Drogi Użytkowniku,

Informujemy, iż używamy plików cookies, potocznie zwanych ciasteczkami. Pliki te automatycznie instalują się w pamięci Twoich urządzeń za pomocą, których przeglądasz naszą stronę internetową. Robimy to w celu usprawnienia funkcjonowania naszego Portalu, a także w celach marketingowych. Pamiętaj, że w każdym czasie możesz zmienić ustawienia plików cookies.

Jeżeli chcesz dowiedzieć się więcej, np. w jaki sposób wyłączyć pliki cookies, albo jak przetwarzamy i chronimy Twoje dane zapraszamy do zapoznania się z naszą Polityką prywatności.

Dalsze nawigowanie po stronie internetowej lub zamknięcie niniejszego komunikatu będzie równoznaczne z wyrażeniem zgody na stosowaną przez nas Politykę prywatności oraz pliki cookies.

Zgadzam się
06 KWI 2018

Ochrona praw w razie naruszenia RODO.

Już niedługo, bo 25 maja 2018 r., zacznie obowiązywać w Polsce unijne rozporządzenie dotyczące ochrony danych osobowych (RODO). Jego nadrzędnym celem jest zabezpieczenie szeroko rozumianego prawa do naszej prywatności. Co jednak, gdy ta prywatność została zakłócona wskutek niezgodnego z prawem wykorzystania naszych danych osobowych? Jakie wtedy przysługują nam prawa? RODO przewiduje kilka przydatnych środków ochrony prawnej, dzięki którym będziemy w stanie dochodzić lub bronić naszych praw.

Naruszenie przepisów o ochronie danych osobowych

Zacznijmy od tego, co jest przetwarzaniem danych osobowych i jak najczęściej dochodzi do naruszenia przepisów o ochronie danych osobowych. Termin przetwarzanie należy rozumieć szeroko. Zawiera się w nim wszelkiego rodzaju korzystanie z danych osobowych, jak np. pozyskiwanie, kopiowanie, udostępnianie, przechowywanie, przenoszenie, usuwanie, etc.

Ważny jest też cel przetwarzania. Nawet bowiem jeśli wyraziliśmy zgodę na przetwarzanie naszych danych osobowych do konkretnego celu, np. procesu rekrutacji, to nie oznacza to, że dane te mogą być przetwarzane do innego celu, np. wykorzystanie maila czy telefonu, który podaliśmy w CV do zaoferowania nam produktu, którego dystrybucją zajmuje się firma, do której to CV wysłaliśmy.

Do naruszenia przepisów o ochronie danych osobowych może dojść zarówno na skutek działania np. sprzedaży pomiędzy firmami baz danych klientów odbywającej się bez zgody tych klientów, jak i zaniechania (np. brak powołania inspektora danych osobowych lub niezawarcie umów powierzenia przetwarzania danych osobowych).

Skarga do PUODO

Jeżeli nabierzemy podejrzeń, że jakaś firma lub osoba przetwarza nasze dane osobowe w sposób niezgodny z prawem, to na podstawie art. 77 RODO będziemy mieli prawo wnieść skargę do organu nadzorczego o sprawdzenie, czy dane osobowe są przetwarzane zgodnie z obowiązującymi przepisami prawa. Po wejściu w życie RODO organem nadzorczym będzie Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Po otrzymaniu skargi PUODO powinien wszcząć postępowanie kontrolne, a jeżeli w tej firmie zostanie wykryte naruszenie przepisów o ochronie danych osobowych, postępowanie w sprawie naruszania przepisów o ochronie danych osobowych. Oczywiście postępowania te nie będą prowadzone fizycznie przez Prezesa Urzędu Ochrony Danych Osobowych lecz przez upoważnionych kontrolerów z Urzędu Ochrony Danych Osobowych. W przypadku potwierdzenia naruszeń przepisów dot. ochrony danych osobowych, postępowanie to powinno zakończyć się wydaniem przez PUODO decyzji administracyjnej, w której będzie mógł on zastosować którąś z sankcji opisanych w RODO. Sankcje te dzielą się co do zasady na:

sankcje administracyjne: począwszy od stosunkowo mało dotkliwych, takich jak ostrzeżenie o możliwym naruszeniu lub upomnienie w związku z naruszeniem przepisów RODO czy nakazanie uwzględnienia żądania skarżącego, do bardzo dotkliwych, takich jak nakazanie czasowego zakazu przetwarzania danych osobowych przez danego przedsiębiorcę, które w niektórych przypadkach może de facto uniemożliwić mu prowadzenie działalności gospodarczej.
kary pieniężne: do kwoty 10 mln euro, lub do 2 proc. wartości zeszłorocznego globalnego obrotu, a w przypadku niezastosowania się do sankcji administracyjnych, o których mowa w punkcie nr 1, kara może wynieść nawet do 20 mln euro lub do 4 proc. wartości zeszłorocznego globalnego obrotu danego przedsiębiorcy.

Na marginesie warto odnotować, że groźba nałożenia takich sankcji niejednokrotnie jest głównym bodźcem motywującym przedsiębiorców do weryfikacji, czy stan zabezpieczeń funkcjonujących w ich firmach spełnia minimalne wymogi ochrony danych osobowych, z czym do tej pory bywało różnie.

Odszkodowanie

Niezależnie od skargi do PUODO, osobie, której dane osobowe były nieprawidłowo lub niezgodnie z obowiązującymi przepisami prawa przetwarzane, przysługuje roszczenie odszkodowawcze za szkody powstałe z tytułu niezgodnego z prawem przetwarzania naszych danych osobowych, które może być dochodzone przed sądem powszechnym. Skorzystanie wcześniej ze skargi do PUODO nie jest warunkiem koniecznym poprzedzającym wystąpienie przeciwko naruszającemu nasze dane osobowe do sądu, ale decyzja PUODO stwierdzająca fakt naruszeń wydana w wyniku naszej skargi z pewnością będzie cennym materiałem dowodowym potwierdzającym fakt, rodzaj i skalę naruszenia przepisów o ochronie danych osobowych.

Prawo do odszkodowania wynika wprost z art. 82 RODO, który stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Tytułem przykładu, jeśli wskutek zaniedbań pracodawcy w zakresie ochrony danych osobowych jego pracownicy dowiedzą się, że ich kolega z zakładu pracy cierpi na jakąś wstydliwą chorobę, albo że jego wynagrodzenie zostało zajęte przez komornika, przez co jest obiektem kpin reszty pracowników, to poszkodowany pracownik powołując się właśnie na art. 82 RODO będzie mógł dochodzić od pracodawcy pieniężnego zadośćuczynienia za doznane szykany.

Sankcja karna

Co więcej, projekt nowej ustawy o ochronie danych osobowych w art. 108 ust. 1 przewiduje również inny sposób ochrony naszych danych osobowych, tj. odpowiedzialność karną za niezgodne z prawem ich przetwarzanie. Przepis ten, jeśli w takim brzmieniu wejdzie w życie, będzie przewidywał karę pozbawienia wolności do dwóch lat za niezgodne z prawem przetwarzanie danych osobowych. O ile możliwość nakładania kar administracyjnych lub pieniężnych przez Prezesa UODO, a także dochodzenie odszkodowania przed sądem wydaje się zrozumiała z punktu widzenia skuteczności egzekwowania RODO, o tyle decyzja ustawodawcy o wprowadzeniu sankcji karnej za tego typu naruszenia wydaje się dosyć kontrowersyjna, szczególnie w kontekście bardzo ogólnego brzmienia tego przepisu, co może rodzić w przyszłości wątpliwości, jakie sytuacje objęte są jego zakresem. Przykładowo: interpretując ten przepis literalnie należałoby dojść do wniosku, że brak upoważnienia przez pracodawcę kadrowej do przetwarzania danych osobowych pracowników skutkuje jej odpowiedzialnością karną.

Konkluzja

Nielegalne pozyskiwanie i wykorzystywanie naszych danych osobowych jak np. imię, nazwisko oraz nr telefonu to w dzisiejszych czasach zjawisko powszechne, w szczególności w kontekście nachalnego marketingu telefonicznego. Wejście w życie RODO daje każdemu z nas narzędzia do skuteczniejszego dochodzenia swoich praw i walki z taką praktyką. Wielką niewiadomą jest natomiast to, czy aparat państwowy będzie na tyle wydolny, aby zagwarantować realizację przysługujących nam praw.
Autorzy:
Radcowie Prawni Wojciech Kawczyński i Marcin Siemienkiewicz
Artykuł ukazał się pierwotnie na portalu Trójmiasto.pl