Jak wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych?

Skarga do organu nadzorczego stanowi tylko jeden z przewidzianych w przepisach RODO środków ochrony prawnej dla osób, których dane dotyczą. Na terenie Rzeczpospolitej Polskiej organem nadzorczym, którego kompetencje określa RODO oraz krajowa ustawa o ochronie danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (dalej jako: organ nadzorczy, PUODO). Niniejszy artykuł ma pomóc w uporządkowaniu informacji o możliwości wniesienia skargi do PUODO oraz o tym, jak można to obecnie zrobić.

Jak wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych?

Rafał Stępniewski

16 sierpnia 2018

Skarga do organu nadzorczego stanowi tylko jeden z przewidzianych w przepisach RODO środków ochrony prawnej dla osób, których dane dotyczą. Na terenie Rzeczpospolitej Polskiej organem nadzorczym, którego kompetencje określa RODO oraz krajowa ustawa o ochronie danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (dalej jako: organ nadzorczy, PUODO). Niniejszy artykuł ma pomóc w uporządkowaniu informacji o możliwości wniesienia skargi do PUODO oraz o tym, jak można to obecnie zrobić.

Uregulowanie w RODO skargi do organu nadzorczego ma charakter dość ogólnikowy. W związku z tym doprecyzowania kwestii praktycznych w zakresie wniesienia skargi podjął się Prezes Urzędu Ochrony Danych Osobowych. Uczynił to między innymi poprzez zamieszczenie na swojej stronie internetowej poradnikowych wpisów dotyczących tego, kto może wnieść skargę oraz jak zrobić to w formie elektronicznej, i tradycyjnej, także do protokołu w siedzibie PUODO (1).

Omówienie skargi jest również dobrą okazją do przedstawienia pełnej listy rodzajów odpowiedzialności, jaką może ponieść administrator lub procesor, jeśli przetwarza dane osobowe w sposób sprzeczny z wymogami RODO.

Prawo do wniesienia skargi do PUODO

Prawo do wniesienia skargi do PUODO jest jednym z elementów, o jakich zgodnie z art. 13 ust. 2 lit. d RODO administrator ma obowiązek poinformować osobę podczas zbierania od niej danych – w tzw. klauzuli informacyjnej. Co tak naprawdę oznacza to prawo i jak w praktyce może z niego skorzystać osoba, która uznała, że jej prawa w zakresie ochrony danych osobowych zostały naruszone?

Prawo do wniesienia skargi jako jednego ze środków ochrony prawnej zostało uregulowane w art. 77 RODO. Zgodnie z przepisem art. 77 ust. 1, każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO. Wniesienie skargi powinno mieć miejsce w szczególności w państwie członkowskim zwykłego pobytu osoby, jej miejsca pracy lub miejsca popełnienia domniemanego naruszenia. Co ważne, prawo do wniesienia skargi osoba, której dane dotyczą może realizować bez uszczerbku dla innych środków administracyjnych oraz innych środków ochrony prawnej przed sądem. Oznacza to, że nic nie stoi na przeszkodzie, aby w razie jednego naruszenia osoba zarówno wniosła skargę do PUODO, jak i wniosła do sądu powództwo cywilne przeciwko administratorowi lub procesorowi, który dopuścił się uchybień w zakresie zgodnego z prawem przetwarzania danych.

Na mocy art. 77 ust. 2 RODO, organ nadzorczy ma obowiązek informowania osoby, która wniosła skargę o postępach i efektach rozpatrywania skargi. Organ powinien pouczyć również osobę o możliwości skorzystania z sądowego środka ochrony prawnej na podstawie art. 78 RODO, czyli skargi do sądu administracyjnego. Wskazany przepis RODO daje osobie, której dane dotyczą, możliwość odwołania się do sądu od prawnie wiążącej decyzji organu, dotyczącej osoby. Drugi przewidziany środek sądowej ochrony prawnej obejmuje uchybienia organu w zakresie niedotrzymania 3-miesięcznego terminu, w którym powinien rozpatrzyć skargę, a co najmniej zawiadomić osobę o postępach i efektach rozpatrywania skargi.

Co do zasady, wniesienie skargi powinno rozpocząć postępowanie PUODO w przedmiotowej sprawie. Jeżeli organ stwierdzi, że doszło do naruszenia przepisów – w drodze decyzji administracyjnej nakaże przywrócenie stanu zgodnego z prawem zgodnie z art. 58 ust. 2 RODO.

Praktyczne aspekty wniesienia skargi do PUODO

Podstawa prawna: zasady i terminy

Skarga wniesiona do Prezesa Urzędu Ochrony Danych Osobowych inicjuje postępowanie administracyjne. Jest ono prowadzone przez PUODO w trybie, na zasadach i z zachowaniem terminów przewidzianych przepisami ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (2). Oznacza to, że co do zasady PUODO powinien skargę rozpatrzyć niezwłocznie, nie później jednak niż w ciągu miesiąca od jej otrzymania (art. 237 § 2 kodeksu postępowania administracyjnego).

Kto może wnieść skargę do PUODO?

Skargę może wnieść osoba fizyczna, której dotyczy naruszenie oraz jej pełnomocnik. Na podstawie Kodeksu postępowania administracyjnego pełnomocnikiem może być wyłącznie osoba posiadająca pełną zdolność do czynności prawnych. Osoba, której dane dotyczą, może wnieść skargę np. w sytuacji niespełnienia przez administratora obowiązków informacyjnych, w konsekwencji czego osoba nie ma możliwości zapanowania nad tym, kto i w jakim celu znalazł się w posiadaniu jej danych. Inna sytuacja – związana z wykonaniem prawa do usunięcia danych – mimo że osoba zgłosiła administratorowi, by usunął jej dane, ponieważ nie istnieje już cel przetwarzania i osoba cofnęła zgodę, a administrator nadal bezpodstawnie kontaktuje się z osobą.

Forma wniesienia skargi do PUODO

Wniesienie skargi na podstawie art. 77 ust. 1 RODO możliwe jest w formie tradycyjnej, w tym do protokołu w siedzibie PUODO oraz w formie elektronicznej (art. 63 § 1 kodeksu postępowania administracyjnego).

Forma tradycyjna

Zgodnie z art. 63 kodeksu postępowania administracyjnego skarga w formie tradycyjnej powinna zawierać:

• imię i nazwisko oraz adres zamieszkania składającego skargę,

• własnoręczny podpis,

• wskazanie podmiotu, na który składana jest skarga (pełną nazwę/imię i nazwisko oraz adres siedziby/zamieszkania).

Dodatkowo Prezes Urzędu Ochrony Danych Osobowych wskazał, że skarga powinna obejmować:

• dokładny opis naruszenia,

• żądanie tj. wskazanie, podjęcia jakich działań składający oczekuje od organu (np. usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych, itd.)... (3)

Jeżeli wnoszący skargę posiada dowody na potwierdzenie okoliczności wskazanych w skardze, powinien je dołączyć do skargi.

Forma elektroniczna

Skargę można złożyć w formie elektronicznej przez Elektroniczną Skrzynkę Podawczą PUODO: https://ewnioski.biznes.gov.pl/suppliant/upage/general/unauth_step0.page?eservice=0000&type=procedura,wniosek&referer=external&institutionID=45.   (4)

Skarga wnoszona przez elektroniczną skrzynkę podawczą powinna spełniać wymogi skargi w formie tradycyjnej. Do rozpoznania skargi niezbędne jest również podanie imienia i nazwiska osoby (lub nazwy podmiotu) oraz adresu elektronicznego wnoszącego skargę – bez tych elementów skarga zostanie pozostawiona bez rozpatrzenia.

Posłużenie się elektroniczną skrzynką podawczą wymaga, aby skarga była opatrzona kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP, lub uwierzytelniona w sposób zapewniający możliwość potwierdzenia pochodzenia i integralności weryfikowanych danych w postaci elektronicznej art. 63 § 3a ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego — Dz.U.2017.1257 t.j. ze zm.

W przypadku wnoszenia skargi przez pełnomocnika w formie elektronicznej, pełnomocnictwo również powinno spełniać wymogi dokumentu elektronicznego – powinno być opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP przez mocodawcę (art. 33 § 2a Kodeksu postępowania administracyjnego).

Żądania, których nie uwzględni PUODO

PUODO wyjaśniając cel skargi w poradnikach opublikowanych na swojej stronie internetowej, podkreślił jakich żądania nie należy włączać do skargi:

  • żądanie przyznania odszkodowania z tytułu naruszenia przepisów o ochronie danych osobowych – odszkodowanie w tym zakresie może być przedmiotem postępowania przed sądem powszechnym,
  • żądanie nałożenia administracyjnej kary pieniężnej na administratora – kompetencję decydowania o nałożeniu takiej kary ma wyłącznie PUODO i nie może ona być realizowana na żądanie osoby, której prawa zostały naruszone.

Odpowiedzialność administratora oraz podmiotu przetwarzającego a środki ochrony prawnej przysługujące osobie, której dane dotyczą

Administrator, który nie przestrzega przepisów o ochronie danych osobowych – na mocy RODO podlega odpowiedzialności cywilnoprawnej oraz administracyjnoprawnej. Oznacza to, że osoba, której dane dotyczą ma dwie – niewykluczające się możliwości dochodzenia swoich praw w przypadku naruszenia ochrony jej danych osobowych.

Po pierwsze, niezależnie od wszczęcia procesu sądowego, każda osoba, która uważa, iż przetwarzanie danych jej dotyczących odbywa się z naruszeniem przepisów RODO, ma prawo do wniesienia skargi do organu nadzorczego, czyli w na terenie Rzeczpospolitej Polskiej– do Prezesa Urzędu Ochrony Danych Osobowych (art. 77 ust. 1 RODO).

Po drugie, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli stwierdzi, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem przepisów RODO (art. 79 ust. 1 RODO). Co więcej, jeżeli osoba poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo do uzyskania na drodze postępowania cywilnego – odszkodowania za poniesioną szkodę (art. 82 ust. 1 RODO). Taką samą odpowiedzialność jak wobec administratorów RODO przewiduje również wobec procesorów, czyli podmiotów przetwarzających dane osobowe w imieniu administratora.

Dodatkowo, polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (u.o.d.o.) przewiduje odpowiedzialność karną za niezgodne z prawem przetwarzanie danych. Udaremnianie i utrudnianie kontroli organu nadzorczego jest zagrożona grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 108 u.o.d.o.). Co więcej, osoba przetwarzające dane osobowe, gdy ich przetwarzanie jest niedopuszczalne lub jeśli osoba ta nie jest uprawniona do przetwarzania danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 107 ust. 1 u.o.d.o.). W wyżej wymienionym przypadku, jeśli przetwarzanie dotyczy danych wrażliwych – osoba podlega karze do trzech lat pozbawienia wolności.

(1) https://uodo.gov.pl/pl/83/155

(2) https://uodo.gov.pl/pl/83/156

(3) https://uodo.gov.pl/pl/83/156

(4) https://uodo.gov.pl/pl/83/153

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!