UODO pomoże, ale nas nie wyręczy. Konieczna jest skarga

Wiele osób zwraca się do Urzędu Ochrony Danych Osobowych, aby zajął się ich sprawą, ale nie składa skargi na praktyki administratora. W takiej sytuacji urząd ma związane ręce.

„UODO nie zajął się moją sprawą, nie znalazł sprawców naruszenia, nie podejmuje działań z urzędu, nie wiem, kto mnie nęka telefonami” – takie komentarze pojawiają się niekiedy w przestrzeni publicznej. Jednak często po zbadaniu tych spraw okazuje się, że oczekiwania osób, które czują się pokrzywdzone, były na wyrost albo UODO, według przepisów, nie ma kompetencji do zajmowania się takimi sprawami.

Przykład? Zdarzają się osoby, które dzwonią na infolinię urzędu z informacją, że administrator łamie RODO, ale nie składają skargi. A to skarga złożona do prezesa UODO rozpoczyna postępowanie administracyjne w takich sprawach.

Bywa i tak, że osoba, której dane zostały ujawnione, w ogóle się tym nie interesuje. Jednak z racji tego że jest rozpoznawalna, to inni występują w jej sprawie, domagając się działań z urzędu. Po jakimś czasie dopytują, co się dzieje w danej sprawie – i otrzymują informację, że nic, bo sam zainteresowany w ogóle się z UODO nie kontaktował.

Konieczna jest skarga

Postępowanie w związku z naruszeniem przepisów o ochronie danych osobowych, dotyczące przetwarzania danych konkretnej osoby, może być wszczęte przez prezesa UODO wyłącznie na jej wniosek (art. 77 RODO). Konieczne jest przy tym zarówno wskazanie, kogo skarżymy, jak i podanie żądań, których UODO ma się domagać od administratora. Możemy się domagać realizacji prawa dostępu do naszych danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia, a także sprzeciwiać się ich przetwarzaniu. Ponadto, według RODO, mamy też prawo nie zgadzać się na to, żebyśmy podlegali decyzjom związanym z przetwarzaniem danych, które są zautomatyzowane (chodzi np. o profilowanie).

Są sytuacje, gdy UODO podejmuje działania z urzędu. Tak się dzieje najczęściej, gdy dochodzi do dużego wycieku danych, czyli naruszenia ochrony danych u konkretnego administratora. Działania UODO mają wówczas związek z samym naruszeniem ochrony danych, a nie z konkretnymi osobami, których dotyczy dany incydent.

Należy mieć na uwadze, że w sprawach wszczętych z urzędu postępowanie toczy się pomiędzy administratorem danych a UODO. Osoba fizyczna nie jest stroną takiego postępowania. Ponadto musiałaby wyrazić zgodę na to, by w jej sprawie podjąć działania z urzędu. Jednak kodeks postępowania administracyjnego nie przewiduje trybu, w jakim organ nadzorczy mógłby ją uzyskać.

Urząd to nie policja

UODO nie ma, jak się niektórym osobom wydaje, takich uprawnień, jak organy ścigania (policja i prokuratura). Nie prowadzi postępowań karnych i nie jest w stanie pociągnąć do odpowiedzialności karnej osób, które u administratora nieprawidłowo przetwarzały dane osobowe czy doprowadziły do ich wycieku.

Urząd Ochrony Danych Osobowych prowadzi postępowania administracyjne i może najwyżej nałożyć karę pieniężną, ale po ten środek też sięga tylko w wyjątkowych sytuacjach. Ponieważ głównym celem jest przywrócenie stanu zgodnego z prawem, a nie karanie samo w sobie, to znacznie częściej organ nadzorczy korzysta z innych uprawnień wobec administratorów danych. Mogą to być: wydawanie ostrzeżeń, udzielanie upomnień, nakazanie administratorowi lub podmiotowi przetwarzającemu dane spełnienia żądania osoby, której to dotyczy, wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania danych.

UODO, oprócz tego że nie wszczyna postępowań karnych, nie ma też kompetencji śledczych. Nie prowadzi więc dochodzeń w celu wykrycia sprawców. Dlatego, składając skargę, należy wskazać administratora danych, który, zdaniem skarżącego, nieprawidłowo przetwarza jego dane. Rozpoczęte wówczas postępowanie ma na celu zweryfikowanie tych zarzutów i np. nakazanie spełnienia żądania danej osoby.

Może się zdarzyć, że dane są wykorzystywane przez oszustów czy przez osoby, które nie ujawniają się, korzystając z naszych danych, np. przedstawiając nam oferty handlowe podczas niechcianych rozmów telefonicznych. Wówczas, żeby doprowadzić do ich identyfikacji i pociągnięcia do odpowiedzialności, należy zawiadomić policję. Tylko organy ścigania mogą zidentyfikować sprawcę.

Gigantów karze się za granicą

RODO obowiązuje także UODO. A to oznacza, że w przypadku skarg na niektóre podmioty urząd musi się stosować do przepisów RODO określających zasady działania w sytuacjach, gdy administrator ma siedzibę w innym państwie Unii Europejskiej. Wówczas właściwym organem do prowadzenia postępowania jest ten, w którego państwie dany podmiot ma swoje przedstawicielstwo.

Tak też jest z tzw. gigantami technologicznymi. Na przykład takie korporacje jak Meta czy Google mają główne siedziby w Irlandii i dlatego to tamtejszy organ nadzorczy (Data Protection Commission) jest właściwy w ich sprawach.

Bywa, że pojawiają się komentarze czy publikacje, w których ktoś się dziwi, że UODO nie ukarał którejś z tych firm. Otóż w świetle obowiązujących przepisów skargę na taki podmiot polski organ musi przekazać tzw. organowi irlandzkiemu. Inni argumentują, że jednak francuski organ nadzorczy (CNIL) nałożył karę na Google’a. To prawda, ale w jednym z tych przypadków postępowanie zostało wszczęte, zanim przedstawicielstwo tej spółki zostało wyznaczone w Irlandii, a w innym miały zastosowanie francuskie przepisy szczególne, a nie ogólne rozporządzenie o ochronie danych osobowych (RODO).

W Polsce krajowe regulacje są inne, dlatego ewentualne postępowanie musiałoby się odbywać na podstawie przepisów RODO. Zgodnie z tym rozporządzeniem przetwarzanie danych przez jakiegokolwiek administratora, który ma przedstawicielstwo w innym państwie UE, podlega pod jurysdykcję organu nadzoru w tym kraju (art. 55 i 56 RODO). Prezes UODO ma obowiązek przestrzegania tych zasad, gdyż wydanie decyzji przez niewłaściwy organ może być podstawą do stwierdzenia jej nieważności.

Natomiast Urząd Ochrony Danych Osobowych jest aktywny w sprawach prowadzonych przez inne organy. Jako członek Europejskiej Rady Ochrony Danych uczestniczy w wielu postępowaniach o charakterze transgranicznym, w tym w kilkudziesięciu postępowaniach dotyczących wspomnianych firm, prowadzonych przez irlandzki organ nadzorczy.

UODO działa na styku administratorów danych z osobami fizycznymi. Jego zadaniem jest reagowanie na wszelkie nieprawidłowości związane z przetwarzaniem danych zgłaszane przez osoby fizyczne. RODO, które dotyczy właśnie osób fizycznych, to nowoczesne prawo, które firmom i innym administratorom danych daje dużą elastyczność w tworzeniu procedur związanych z ochroną danych. UODO musi funkcjonować w granicach tego prawa, które określa jego rolę i kompetencje. Urząd nie ma też inicjatywy ustawodawczej, aby to prawo zmienić. ©℗