Przetwarzanie danych osobowych powinno być zgodne z RODO. Niestety bywa i tak, że nie jest. Administratorzy popełniają błędy, czasem świadomie przyjmują na siebie ryzyko podejmowanych decyzji. Niezależnie od ich intencji, ich działania może oceniać Prezes UODO.
W jakich wypadkach może dojść do takich sytuacji? Jakie mogą być konsekwencje? O tym wszystkim przeczytasz w tym artykule.
Czym jest nieprawidłowe przetwarzanie danych osobowych?
Nieprawidłowym przetwarzaniem jest każde, które jest niezgodne z przepisami RODO i godzi w prawa osoby, której ono dotyczy. Zacznijmy od podstaw, konkretniej od ich braku. Jeżeli administrator nie ma podstawy prawnej (o podstawach przeczytać tutaj), to nie ma mowy o prawidłowości prowadzonych działań. Przykładowo, nieuprawnione może być wysyłanie informacji marketingowych bez uzyskania na to zgody, jeżeli przetwarzanie nie jest oparte na prawnie uzasadnionym interesie administratora. Nieprawidłowe będzie też działanie oparte na zgodzie, która była od Ciebie wymuszona. To godzi w cechy zgody, wśród których znajduje się dobrowolność.
Innym przykładem nieprawidłowości może być nieodpowiednie zabezpieczenie danych. Zastosowanie nieadekwatnych środków zabezpieczeń powoduje ryzyko naruszenia Twoich praw lub wolności, np. przez wykorzystanie Twoich danych.
Nieuprawnione może być też ujawnienie Twoich danych, np. przez zbyt szerokie udostępnienie informacji publicznej bez ograniczenia z uwagi na prywatność lub wydanie dokumentacji medycznej nieupoważnionej do tego osobie. Z takim ujawnieniem mamy do czynienia także przy wysłaniu maila z danymi do omyłkowego adresata, a nawet przez załączenie adresatów w DW, zamiast UDW, przy masowej wysyłce np. życzeń świątecznych.
Oczywiście najistotniejszymi naruszeniami są zdarzenia powiązane z danymi wrażliwymi, np. dotyczącymi zdrowia, lub danymi umożliwiającymi kradzież tożsamości. Prezes UODO zwraca szczególną uwagę na numer PESEL. Na marginesie, jak wynika z decyzji, w większości przypadków ocenia związane z nim naruszenia jako wymagające zgłoszenia organowi nadzorczemu.
Przykłady można by mnożyć. Myślę jednak, że tyle wystarczy dla zobrazowania, czym jest nieprawidłowe przetwarzanie. Ruszamy więc dalej.
Kto może złożyć skargę do Prezesa UODO?
Odpowiedź na to pytanie jest prosta. Skargę do Prezesa UODO może złożyć każda osoba fizyczna, nazywana potocznie osobą prywatną, której dotyczy nieprawidłowe przetwarzanie. Jeżeli więc uważasz, że administrator naruszył Twoje interesy, możesz to zaskarżyć.
Możesz też wyznaczyć do tego celu pełnomocnika lub umocować organizację, która zrobi to w Twoim imieniu. Organizacja taka musi mieć charakter niezarobkowy, a do jej celów statutowych musi należeć ochrona danych osobowych.
Jakie konsekwencje może ponieść administrator?
Wachlarz jest szeroki. Przede wszystkim Prezes UODO może wszcząć postępowanie, w wyniku którego ma dojść do naprawienia sytuacji. Prezes UODO może też ukarać administratora. Możliwości kar jest kilka, najbardziej przemawiają jednak do wyobraźni te finansowe. RODO przewiduje tu naprawdę wysokie kwoty, choć są one zarezerwowane dla największych graczy, takich jak Google czy Meta, w ramach której działają takie aplikacje jak Facebook, czy Instagram. O jakich kwotach mówimy? Dla podmiotów prywatnych kary mogą sięgnąć nawet 10 lub 20 milionów euro albo 2 lub 4 procent całkowitego światowego obrotu firmy z poprzedniego roku. Dla podmiotów publicznych, jak urzędy, wysokość ta została ograniczona do 100.000 zł.
Istnieje też możliwość dochodzenia swoich praw na drodze sądowej w postępowaniu cywilnym. Prawo przewiduje możliwość zadośćuczynienia. Jak jednak pokazuje praktyka niekoniecznie musi się to opłacać. Jako uzasadnienie mogę przytoczyć jedną ze spraw, w której wprawdzie zasądzono odszkodowanie, jednak z uwagi na koszty procesu (spowodowane m.in. wysoką wartością dochodzonych roszczeń) było ono dwukrotnie niższe od tych kosztów.
W telegraficznym skrócie
- Skargę do Prezesa UODO może złożyć osoba fizyczna, której dotyczy nieprawidłowe przetwarzanie danych.
- Może ona w tym celu umocować pełnomocnika lub skorzystać ze współpracy organizacji.
- W wyniku nieprawidłowości Prezes UODO może ukarać administratora.
Pingback: 72 godziny - zgłaszanie naruszeń ochrony danych osobowych - Zdrowe Dane
Pingback: Co zrobić, kiedy dzwoni nieznany numer? - Zdrowe Dane