• złożenie skargi do krajowego organu ochrony danych (OOD, w Polsce to PUODO); organ ten ma trzy miesiące na zbadanie sprawy i powiadomienie o poczynionych postępach bądź o wyniku rozpatrzenia skargi;
• wystąpienie na drogę sądową przeciwko firmie lub organizacji; jeśli uważasz, że Twoje prawa dotyczące ochrony danych zostały naruszone, złóż powództwo bezpośrednio przed sądem przeciwko firmie/organizacji łamiącej prawo; nie znaczy to, że nie możesz równocześnie złożyć także skargi do krajowego organu ochrony danych;
• wystąpienie na drogę sądową przeciwko OOD. Jeśli uznasz, że nastąpiły jakieś nieprawidłowości podczas rozpatrywania skargi przez organ ochrony danych, lub jesteś nieusatysfakcjonowany z odpowiedzi bądź organ nie powiadomił Cię o postępach w sprawie lub wyniku po upływie trzech miesięcy od dnia złożenia skargi, możesz złożyć powództwo przeciwko organowi bezpośrednio przed sądem.

Niekiedy firmy, przeciwko którym wniesiono skargę, przetwarzają dane w kilku różnych państwach członkowskich UE. W takich szczególnych przypadkach właściwy OOD rozpatruje skargę we współpracy z OOD ustanowionymi w innych państwach członkowskich UE. Taki system, nazywany „mechanizmem kompleksowej współpracy”, ma na celu większą skuteczność podczas rozpatrywania skarg. Na przykład może pomóc w łączeniu podobnych skarg złożonych w różnych państwach członkowskich UE. Głównym punktem kontaktowym pozostaje OOD, do którego została wniesiona skarga. 

Przykład:

Lubisz biegać. Masz zegarek z funkcją pomiaru tętna, szybkości, śledzenia trasy i zapisywania innych istotnych danych. Wszystkie te dane są przesyłane do strony internetowej. Odkrywasz, że Twoje dane zostały pomieszane z danymi innej osoby. Wówczas możesz złożyć skargę przeciwko administratorowi strony internetowej do organu ochrony danych.

Czym są organy ochrony danych i jak można się z nimi kontaktować?

Organy ochrony danych to niezależne organy publiczne posiadające uprawnienia do prowadzenia postępowań wyjaśniających oraz uprawnienia naprawcze, które pełnią nadzór nad stosowaniem przepisów o ochronie danych. Zajmują się specjalistycznym doradztwem w zakresie ochrony danych i rozpatrywaniem skarg przeciwko naruszeniom ogólnego rozporządzenia o ochronie danych oraz stosownych przepisów krajowych. W każdym państwie członkowskim UE znajduje się jeden taki organ.

Ogólnie rzecz biorąc, w przypadku pytań dotyczących ochrony danych rolę głównego punktu kontaktowego pełni OOD znajdujący się w państwie członkowskim UE, w którym dana firma/organizacja ma siedzibę. Jeśli jednak firma/organizacja przetwarza dane w różnych państwach członkowskich UE lub należy do grupy podmiotów z różnych państw członkowskich UE, głównym punktem kontaktowym może być OOD z innego państwa członkowskiego UE.

Wyszukaj online organ ochrony danych w swoim kraju.

Czy organizacja pozarządowa (NGO) może dochodzić roszczeń w moim imieniu?

Każda osoba ma prawo upoważnić organizację NGO do złożenia skargi w jej imieniu, ale po spełnieniu trzech następujących warunków:

1. NGO została utworzona zgodnie z prawem;
2. NGO realizuje cele związane z interesem publicznym (np. ułatwiając obywatelom sprawy związane z prawami konsumentów);
3. NGO działa w obszarze dotyczącym ochrony danych.

Skargę można wnieść do organu ochrony danych, a w stosownych przypadkach – także do organu sądowego. W niektórych państwach członkowskich UE prawo krajowe dopuszcza wniesienie skargi przez NGO bez upoważnienia udzielonego jej przez osobę, której dane dotyczą.

Czy można wystąpić o odszkodowanie?

O odszkodowanie można wystąpić, w przypadku gdy firma lub organizacja nie przestrzega przepisów prawa o ochronie danych, wskutek czego osoba doznała szkód majątkowych (np. straty materialne) bądź szkód niemajątkowych (np. cierpienie psychiczne czy utrata dobrego imienia). Z roszczeniem można wystąpić albo do firmy lub organizacji, której ono dotyczy, albo do sądu w danym państwie członkowskim. Można także domagać się wypłaty odszkodowania na drodze sądowej w państwie członkowskim UE, w którym administrator lub podmiot przetwarzający dane ma swoją siedzibę. Alternatywnie można też wszcząć postępowanie o odszkodowanie w państwie członkowskim UE, w którym znajduje się miejsce zwykłego pobytu osoby, której dane dotyczą.

Przykład:

Składasz zamówienie za pośrednictwem strony internetowej. Strona internetowa stała się celem ataku cybernetycznego, ponieważ nie była odpowiednio zabezpieczona. Dane z Twojej karty kredytowej zostały wykorzystane na innej stronie internetowej do zakupu przedmiotów, które nie były przez Ciebie zamówione. Wówczas możesz wystąpić o należne odszkodowanie od administratora strony internetowej z tytułu szkód majątkowych. W tym przypadku administrator naruszył bowiem przepisy prawa o ochronie danych, gdyż nie zapewnił odpowiednich zabezpieczeń podczas przetwarzania danych.

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

Podstawa prawna: