Skorzystaj ze swoich praw - art. 77 - złóż skargę do organu ochrony danych!

Czy korzystali już Państwo z przysługujących Państwu praw wobec administratora danych? Nie byłeś usatysfakcjonowany odpowiedzią? Czy odkryłeś naruszenie GDPR w inny sposób?

Jeśli tak, czytaj dalej, aby dowiedzieć się, że możesz skorzystać z prawa do złożenia skargi..

Ta strona jest dostępna wyłącznie w tłumaczeniu automatycznym na język polski. Zawsze możesz przełączyć się na oryginalną wersję w języku angielskim.

Twoje prawo do złożenia skargi do organu nadzorczego

Na czym polega prawo do złożenia skargi?

Możesz złożyć skargę do wybranego przez siebie organu ochrony danych (DPA) w sprawie kwestii, która Twoim zdaniem narusza Twoje prawa do ochrony danych w ramach GDPR. Organy ochrony danych (IOD) to krajowe lub regionalne organy publiczne, które są uprawnione do nakładania grzywien lub innych kar na firmy, organizacje i inne podmioty przetwarzające dane.

Złożenie skargi do organu ochrony danych nie uniemożliwia składania skarg w tej samej sprawie do innych organów. Na przykład, jeśli kupisz zepsute buty od firmy, która odmówi Ci zwrotu pieniędzy i będzie gromadzić nadmierną ilość Twoich danych osobowych, możesz złożyć skargę do organu ochrony danych w związku z nadmiernym gromadzeniem danych oraz do lokalnego organu ochrony praw konsumentów w związku z odmową zwrotu pieniędzy

Krok 1: znajdź dane kontaktowe swojego organu ochrony danych (DPA)

Krok 2: sporządzenie skargi

Krok 3: odpowiedź organu ochrony danych

Skąd mam wiedzieć, czy administrator lub podmiot przetwarzający naruszyli moje prawa?

Istnieją dwa główne sposoby wykrycia naruszenia

Czasami jest to oczywiste naruszenie, np. linia lotnicza nakładająca obowiązkową opłatę za zmianę danych osobowych lub firma, o której nigdy nie słyszałeś, kontaktująca się z Tobą za pośrednictwem Twojego adresu e-mail.

W innych przypadkach naruszenie wychodzi na jaw , gdy po raz pierwszy skorzystasz z jednego z innych praw przysługujących Ci na mocy GDPR i otrzymasz odpowiedź administratora danych na swój wniosek

Niektóre potencjalne naruszenia mogą obejmować:

  • Brak odpowiedzi w wyznaczonym terminie,
  • Niepełną odpowiedź, np. udzielenie informacji na temat niektórych, ale nie wszystkich danych osobowych, które administrator przetwarza, lub potwierdzenie wniosku bez udzielenia merytorycznej odpowiedzi,
  • Odmowa wykonania żądania,
  • Próba obciążenia użytkownika opłatą za złożenie wniosku,
  • Odpowiedź wskazuje, że administrator lub podmiot przetwarzający naruszył art. 6 GDPR, przetwarzając Państwa dane bez podstawy prawnej lub na niewłaściwej podstawie prawnej,
  • Odpowiedź wskazuje, że administrator lub podmiot przetwarzający naruszył art. 5 GDPR, nie przetwarzając danych użytkownika w sposób przejrzysty, w wystarczająco ograniczonym celu lub w sposób bezpieczny i poufny, lub nie aktualizując danych użytkownika lub przechowując je przez okres dłuższy niż jest to konieczne,
  • Naruszenie bezpieczeństwa, które spowodowało ujawnienie Państwa danych

Czy przed złożeniem skargi powinienem najpierw skontaktować się z administratorem danych ?

Tak, powinieneś. W większości przypadków zalecamy skorzystanie z jednego z innych praw z tej serii przed złożeniem skargi do organu ochrony danych, ponieważ może to dać Państwu jaśniejsze pojęcie o tym, w jaki sposób podmiot zajmujący się Państwa danymi mógł naruszyć Państwa prawa. Może to również pozwolić na szybsze rozpatrzenie Państwa skargi przez organ ochrony danych. Niektóre organy ochrony danych wymagają również, aby przed złożeniem skargi skontaktować się najpierw z administratorem danych

Jak skutecznie wyjaśnić swoją sprawę/pisać wniosek do administratora?

  • Skontaktuj się z administratorem jak najszybciej, aby zgłosić swoje zastrzeżenia i skierować wniosek (im szybciej to zrobisz, tym szybciej uzyskasz reakcję i odpowiedź na swoje pytanie. Pamiętaj również, że Twoja sprawa może być trudniejsza do rozwiązania, jeśli podzielisz się swoimi obawami dopiero po kilku latach)
  • Skontaktuj się z właściwą osobą w organizacji (zapytaj wcześniej organizację, gdzie możesz wysłać swoje zapytanie. Niektórzy administratorzy danych posiadają inspektora ochrony danych ("DPO"): jest on najbardziej kompetentny do rozpatrzenia Państwa wniosku)
  • Należy napisać jasno i prosto wyjaśnić danej osobie, co się stało. Należy mieć świadomość, że osoba czytająca Państwa skargę mogła właśnie dołączyć do organizacji dzień wcześniej)
  • Bądź konkretny i krótki. Odnieś się tylko do kwestii ochrony danych, którą chcesz poruszyć. Wszystkie inne sprawy (konflikty z organizacją, frustracja z działem posprzedażowym) nie pomogą Ci w dochodzeniu swoich praw. Zachowaj swoją energię na później!
  • Bądź kompletny. Nasza rada: w swoim wniosku użyj wypunktowania.
  • Zachowaj rozsądek i uprzejmość. Nie rób z tego sprawy osobistej i bądź uprzejmy w stosunku do pracowników organizacji. Oni są ludźmi tak jak Ty i obrażanie ich nie pomoże Ci w szybszym egzekwowaniu Twoich praw
  • Poproś o rozsądne ramy czasowe. Nie wymagaj odpowiedzi tego samego dnia. Pozwól organizacji zbadać twoją sprawę i wrócić do ciebie z kompletem informacji. W przypadku braku odpowiedzi, wystarczy wysłać delikatne przypomnienie
  • Dołącz wszystkie istotne dowody. Wyślij kopie wszystkich dokumentów, które masz na poparcie swojej skargi. Nie wysyłaj zbyt wielu informacji: tylko tyle, ile uważasz, że jest potrzebne do zrozumienia i rozpatrzenia Twojej sprawy lub prośby
  • Zachowaj dokumentację. Zawsze podawaj daty w swojej korespondencji i zachowaj kopie wszystkich dokumentów.

Jeśli "ostateczna" odpowiedź administratora danych nie rozwiązuje problemu, można zdecydować się na złożenie skargi do organu ochrony danych.

Gdzie mogę złożyć skargę?

Jeśli nie jesteś zadowolony z odpowiedzi (lub jej braku) od administratora, GDPR daje Ci swobodę wyboru kraju UE, w którym możesz złożyć skargę. Zalecamy jednak, aby wybrać organ ochrony danych w kraju, w którym:

  • Państwa miejsca zwykłego pobytu (np. jeśli chcą Państwo złożyć skargę w swoim języku ojczystym),
  • Twojego miejsca pracy (np. jeśli dojeżdżasz do innego kraju w związku z wykonywaną pracą i praktyczniej jest złożyć skargę w tym kraju)
  • Miejsce naruszenia (np. mieszkasz na Słowacji, a Twoje dane są przetwarzane w Hiszpanii, możesz chcieć złożyć skargę bezpośrednio do hiszpańskiego organu ochrony danych)

Organ ochrony danych, do którego składa się skargę, nie zawsze będzie organem, który ją rozpatruje i podejmuje decyzję w jej sprawie. GDPR zezwala organom ochrony danych na przekazywanie skarg do innych organów ochrony danych w pewnych okolicznościach, np. gdy przetwarzanie danych odbywa się w innym państwie UE lub gdy administrator danych ma główną siedzibę w innym państwie

Jak złożyć skargę?

Krok 1: zidentyfikuj dane kontaktowe swojego organu ochrony danych

Korzystając z powyższych wskazówek, należy zdecydować, do którego organu ochrony danych należy złożyć skargę. Dane kontaktowe i strony internetowe poszczególnych organów ochrony danych są dostępne tutaj

Procedura składania skarg różni się w zależności od organu ochrony danych; wiele z nich posiada własne formularze internetowe lub portale służące do składania skarg. Aby uzyskać więcej szczegółów na temat konkretnych procedur składania skarg w różnych organach ochrony danych w różnych krajach, kliknij tutaj.

Krok 2: sporządzenie skargi


GDPR nie określa konkretnego procesu, który należy wykonać, aby złożyć skargę. Dzięki temu można śledzić swoją skargę i uniknąć zamieszania lub błędów w jej rozpatrywaniu. Kilka organów ochrony danych dysponuje własnymi szablonami lub formularzami internetowymi do składania skarg; linki do tych zasobów znajdują się w kroku 1

Niezależnie od konkretnego systemu składania skarg stosowanego przez organ ochrony danych, można skorzystać z poniższej listy, która pomoże Państwu uporządkować szczegóły skargi. Chociaż organy ochrony danych muszą same zbadać Państwa skargę, uwzględnienie poniższych informacji będzie pomocne w przekazaniu jak największej ilości informacji na temat Państwa postępowania.

Przy redagowaniu:

  • Oświadcz, że Twoje prawa wynikające z GDPR zostały naruszone. Potwierdź, że zgłaszane naruszenie dotyczy przetwarzania Twoich danych
  • Podaj kilka informacji na temat specyfiki skargi, w tym:
    • Nazwę i dane kontaktowe administratora lub podmiotu przetwarzającego, który dopuścił się naruszenia;
    • Podsumowanie faktów wraz z dowodami, które są dostępne (zrzuty ekranu, e-maile od administratora, kopia Twoich danych, itp...),
    • Co uważasz, że naruszenie jest (patrz nasza lista powyżej). Możesz również wspomnieć artykuł GDPR, który został naruszony w Twojej opinii,
    • W jaki sposób dowiedziałeś się o naruszeniu (np. odpowiedź na wniosek, otrzymanie nieoczekiwanej wiadomości z nieznanego źródła, powiadomienie od administratora, przeczytanie wiadomości)
    • W jaki sposób naruszenie negatywnie na Ciebie wpłynęło (np. strata finansowa, naruszenie reputacji, upokorzenie, ujawnienie lub utrata poufnych informacji bez Twojej zgody lub wbrew Twoim życzeniom).

Krok 3: Odpowiedź organu ochrony danych

Organ ochrony danych, do którego składają Państwo skargę, powinien bezzwłocznie potwierdzić jej otrzymanie

OOD jest prawnie zobowiązany do informowania Państwa o postępach i wyniku Państwa skargi, w tym o tym, czy została ona przekazana do innego OOD, czy też wymaga dalszego dochodzenia. Taka aktualizacja powinna być dokonywana najpóźniej co 3 miesiące

Niektóre organy ochrony danych mają ściśle określony termin na wydanie decyzji (jak np. austriacki organ ochrony danych - DSB - który ma obowiązek wydać decyzję w ciągu 6 miesięcy w przypadku spraw krajowych). Niestety, większość organów ochrony danych nie jest zobowiązana do wydania decyzji ani nawet do podjęcia działań w określonym terminie

Jeżeli nie otrzymają Państwo decyzji od organu ochrony danych w terminie określonym prawem właściwym dla danego organu ochrony danych, mają Państwo prawo wnieść sprawę do sądu

Nawet jeśli prawo krajowe nie przewiduje ścisłego terminu na podjęcie działań przez organ ochrony danych, nie oznacza to, że nie można nic zrobić. Jeżeli uważają Państwo, że organ ochrony danych zbyt długo zwleka z rozpatrzeniem Państwa skargi, powinni Państwo mieć możliwość zwrócenia się do sądu o zmuszenie organu ochrony danych do podjęcia działań lub o egzekwowanie Państwa praw

W każdym przypadku, jeżeli nie są Państwo zadowoleni z odpowiedzi organu ochrony danych, mogą Państwo zwrócić się do sądu w kraju, w którym znajduje się siedziba organu ochrony danych, o zadośćuczynienie lub odszkodowanie

Jeśli potrzebują Państwo pomocy w złożeniu skargi lub jeśli uważają Państwo, że OOD nie rozpatruje Państwa skargi w sposób właściwy, mogą Państwo skontaktować się z nami pod adreseminfo@noyb.euw celu omówienia dalszych kroków.

Powrót do Korzystanie z praw