RODO na tacy. Odcinek V: Lekcje samoobrony, czyli jak skorzystać z praw, które daje RODO?

Telemarketer znowu Cię zirytował napastliwym telefonem? Do Twojej skrzynki po raz setny trafiła oferta sklepu, który nie wiadomo skąd ma Twój adres? A może zamierzasz starać się o kredyt i zastanawiasz się, jak wygląda Twój profil z perspektywy banku? Nad danymi, które już raz się od nas odkleiły, trudno jest zapanować. Jednak sam fakt, że one „gdzieś tam krążą”, jeszcze nie oznacza, że nic w tej sprawie nie możemy zrobić. Wręcz przeciwnie! RODO daje nam konkretne uprawnienia, po które może sięgnąć każdy, kto chce odzyskać kontrolę nad swoimi danymi.

W tym odcinku z cyklu RODO na tacy wyjaśniamy, jak to zrobić. Nie damy Ci jednego przycisku, który załatwia wszystko. Zamiast tego przygotowaliśmy zbiór prostych instrukcji, które krok po kroku przeprowadzą Cię przez cały proces. Aby jeszcze bardziej ułatwić Ci życie, wzbogaciliśmy go o gotowe wzory wniosków, które możesz wypełnić i wysłać do administratora swoich danych.

Lekcja 1: Sprawdź, jak się mają Twoje dane!

Twoje dane to twoja sprawa. Ci, którzy mają do nich dostęp, są w stanie wpływać na Twoje decyzje (np. poprzez reklamę/ofertę wykorzystującą Twoje słabości), zmieniać sposób, w jaki patrzysz na świat (np. poprzez odpowiednio sprofilowane treści w Internecie), a nawet postawić Cię w trudnym położeniu (np. podnosząc stawkę ubezpieczenia czy kwestionując Twoją wiarygodność kredytową). To niebezpieczne, jeśli jedna strona (firma/instytucja) wie dużo, a druga (klient/petent) – nawet nie zdaje sobie z tego sprawy. Dlatego uważamy, że dostęp do informacji o przetwarzanych danych to podstawa.

Masz prawo wymagać przejrzystości od wszystkich, którzy mają do czynienia z Twoimi danymi.

Masz prawo wymagać przejrzystości od wszystkich, którzy mają do czynienia z Twoimi danymi. Nie ma znaczenia, kiedy, w jakim celu i na jakiej podstawie takie dane pozyskali: zawsze możesz do nich zapukać i zażądać wyłożenia kart na stół. Takie żądanie może się odbić od ściany w przypadku organów, które działają w sposób tajny (np. policji czy ABW), ale w sektorze prywatnym i w relacji z administracją publiczną powinno zadziałać.

Czasem o tym, że ktoś przetwarza nasze dane, dowiadujemy się w bezpośrednim kontakcie (klasyczna sytuacja z telemarketerem dzwoniącym na nasz numer telefonu, a czasem wręcz zwracającym się do nas po imieniu…). Czasem możemy się tego tylko domyślać (np. kiedy wchodzimy na stronę i widzimy zaskakująco dobrze spersonalizowaną reklamę). Możemy też bezpiecznie założyć, że nasze dane ma każda firma i instytucja, z którą wcześniej mieliśmy jakąkolwiek (nawet przelotną) relację. Nie namawiamy do tego, żeby odtwarzać pełną historię swoich zakupów, podróży i wizyt lekarskich. Ale jeśli intryguje Cię, jaki ślad pozostał po Tobie w prywatnej przychodni, korporacji taksówkarskiej czy sklepie internetowym – możesz to łatwo sprawdzić.

Jak to zrobić?

Żądanie informacji o przetwarzanych danych naprawdę nie jest trudne. Oto parę praktycznych wskazówek na początek:

• możesz złożyć takie żądanie w dowolnej formie (list, e-mail, formularz online etc.);
• adresat ma miesiąc na reakcję: w tym czasie powinien albo odpowiedzieć, albo poinformować Cię o przedłużeniu realizacji żądania ze względu na skomplikowany charakter sprawy;
• sposób udostępnienia informacji powinien być dopasowany do Twoich potrzeb (np. jeśli pytanie zostało wysłane mailem, odpowiedź też powinna wrócić drogą elektroniczną).

Sprawdź, jak zażądać informacji o przetwarzanych danych w 4 krokach.

Pamiętaj: firma/instytucja, do której kierujesz swoje żądanie, musi wiedzieć, że „Ty to Ty”, a więc że dane, o które pytasz, rzeczywiście dotyczą Ciebie. Ale to nie oznacza, że do każdego takiego wniosku trzeba dołączyć skan dowodu osobistego. W żadnym razie! Żeby uwiarygodnić swoje żądanie, możesz wykorzystać każdą informację, która identyfikuje Cię w tej konkretnej relacji. Na przykład: jeśli pytasz o dane przetwarzane w sklepie internetowym, wyślij maila z pytaniem z adresu użytego do założenia konta albo złożenia zamówienia. Jeśli administrator nadal ma (w jakiś sposób uzasadnione) wątpliwości, sam powinien zaproponować sposób zweryfikowania Twojej tożsamości.

Czego konkretnie możesz się dowiedzieć?

• w jakim celu i na jakiej podstawie Twoje dane są przetwarzane (np. że sklep internetowy uznał, że kiedyś zrobione zakupy dają mu prawo przetwarzać Twoje dane także w celach marketingowych);
• komu Twoje dane są przekazywane (np. że dane o Twojej lokalizacji zbierane przez aplikację mobilną są przekazywane takim firmom jak Selectivv i że dzieje się to za Twoją „zgodą”, udzieloną przy okazji akceptowania polityki prywatności);
• jak to się stało, że Twoje dane trafiły w to miejsce (np. że Twój adres trafił do bazy telemarketingowej od operatora, z którym już dawno nie masz umowy);
• jak długo Twoje dane są przechowywane i dlaczego tak długo (np. że sklep czy portal internetowy planuje je trzymać jeszcze przez trzy lata po rozwiązaniu umowy ze względu na możliwe roszczenia);
• jakie masz w związku z tym uprawnienia (np. że możesz zażądać usunięcia lub sprostowania danych).

Więcej o informacjach, jakie powinni przekazywać Ci wszyscy ci, którzy przetwarzają Twoje dane, znajdziesz w RODO na tacy. Odcinku I.

Co dalej? Masz kilka możliwości…

W zależności od tego, jakie (i jak silne) emocje wzbudziła w Tobie informacja uzyskana w pierwszym kroku (kto, po co i na jakiej podstawie przetwarza Twoje dane, skąd je pozyskał, komu przekazuje i jak długo trzyma), masz kilka możliwości.

Lekcja 2: Odzyskaj swoje dane!

Jeśli udało Ci się ustalić, że konkretna firma/instytucja przetwarza Twoje dane, możesz pójść krok dalej i skorzystać z innych praw, jakie daje Ci RODO. W miarę możliwości, administrator powinien udostępnić bezpieczny system, w którym (po zalogowaniu) każdy może sam przeglądać, weryfikować i – w razie potrzeby – pobierać swoje dane. W braku takiego ułatwienia, nadal możesz zrealizować swoje prawa za pomocą prostych wniosków.

• Uzyskanie kopii danych

Trudno w to uwierzyć, ale przed RODO możliwość uzyskania kopii danych wcale nie była oczywista. Zgodnie z polskim prawem mogliśmy się dowiedzieć, jakie kategorie (rodzaje) danych ktoś przetwarza na nasz temat, ale już niewiele więcej. Teraz będzie inaczej. Bez względu na rodzaj przetwarzanych danych – czyli na to, czy w grę wchodzą wiadomości tekstowe, nagrania rozmów, czy metadane – masz prawo dostać ich kopię na własny użytek.

Uzyskanie kopii danych daje nam przede wszystkim pełny wgląd w to, co na nasz temat zostało zgromadzone w danej bazie.

Co nam daje uzyskanie kopii danych? Przede wszystkim pełny wgląd w to, co na nasz temat zostało zgromadzone w danej bazie. Jeśli w grę wchodzą tylko podstawowe informacje, jakie jak e-mail, numer telefonu czy adres, żądanie przekazania ich kopii to trochę zawracanie głowy. Ale kiedy mówimy o historii, jaką za sobą zostawiliśmy w banku, wyszukiwarce internetowej czy na portalu społecznościowym, warto podjąć ten wysiłek. Możemy się przekonać, że tego typu podmioty mają lepszą pamięć naszego cyfrowego życia niż my sami…

O ile nie zażądasz odpowiedzi w innej formie, administrator powinien Ci przekazać kopię Twoich danych drogą elektroniczną. Za jej przygotowanie i przesłanie nie ma prawa pobrać opłaty, jeśli to jest pierwsze takie żądanie z Twojej strony. Przy kolejnych tego typu prośbach może zacząć pobierać opłaty, ale tylko w rozsądnej wysokości wynikającej z kosztów, jakie sam ponosi.

Sprawdź, jak zażądać kopii danych w 4 krokach.

• Przeniesienie danych w ustrukturyzowanym formacie

Prawo do przeniesienia danych to tak naprawdę modyfikacja poprzedniego kroku, polegająca na tym, że dostajesz kopię swoich danych w ustrukturyzowanym, powszechnie używanym formacie. Dzięki temu mogą być one od razu przekazane do bazy innej firmy (uwaga: ta możliwość nie dotyczy organów publicznych). Nie musi się to wiązać z zakończeniem istniejącej relacji – możesz zażądać przeniesienia swoich danych, jednocześnie nie wymagając ich usunięcia u źródła (np. jeśli występujesz o kredyt w kilku bankach i nie chcesz wypełniać kilka razy tej samej dokumentacji).

Przygotowanie Twoich danych do przeniesienia wymaga nieco więcej nakładów i wysiłku po stronie administratora, dlatego nie zawsze możesz się tego domagać.

Masz prawo zażądać przeniesienia Twoich danych, jeśli są spełnione dwa warunki:

• są one przetwarzane w sposób zautomatyzowany;
• są to dane dostarczone bezpośrednio przez Ciebie: albo z Twojej inicjatywy (w oparciu o udzieloną zgodę), albo na podstawie umowy (dane niezbędne do realizacji umowy).

Pierwszy warunek w dzisiejszych czasach spełnia już prawie każda firma (odmówić mogłaby Ci tylko taka, która nie korzysta z systemów IT). Natomiast ten drugi w praktyce może się okazać dość problematyczny: czy chodzi tylko o dane, które własnoręcznie wprowadzamy do systemu (np. wypełniając formularz internetowy), czy też o te, które generujemy, korzystając z danej usługi (np. historia transakcji bankowych, zakupów online czy konwersacji na portalu społecznościowym)? Na szczęście dla nas wytyczne dotyczące stosowania RODO (przyjęte przez Grupę Roboczą Art. 29) promują szerszą interpretację prawa do przenoszenia danych i objęcie nim również wygenerowanych danych.

Więcej na temat przenoszenia danych możesz przeczytać w RODO na tacy. Odcinek IV.

Sprawdź, jak przenieść swoje dane w 4 krokach.

Lekcja 3: Powiedz „dość!”

Jeśli nie podoba Ci się to, w jaki sposób Twoje dane zostały pozyskane lub są przetwarzane (np. nie przypominasz sobie udzielenia zgody, na którą powołuje się administrator, albo uważasz, że dane nie są już potrzebne do celu, w którym zostały zebrane), możesz wziąć sprawy w swoje ręce i powiedzieć „dość!”. Nie zawsze wystarczy po prostu zażądać „natychmiast usuń moje dane”, żeby osiągnąć pożądany efekt. Może się okazać, że administrator ma zgodne z prawem powody, żeby Twoje dane przetwarzać, albo że na ich usunięcie musisz jeszcze chwilę poczekać (por. RODO na tacy. Odcinek IV). Warto jednak próbować, choćby po to, żeby się przekonać, jak to wszystko działa.

• Sprzeciw wobec przetwarzania danych

Typową sytuacją, w której możesz zgłosić sprzeciw, jest przetwarzanie Twoich danych w celach marketingowych. Za tym celem mogą się kryć rozmaite praktyki o różnym stopniu ingerencji w prywatność: od okazjonalnej wysyłki reklamowego mailingu na Twój adres, przez zbieranie okruchów Twoich danych z różnych źródeł i tworzenie spójnego profilu, po monitorowanie Twojej lokalizacji i analizowanie historii transakcji. Możemy się różnić w tym, gdzie wytyczamy swoją osobistą granicę, za którą zaczyna się naruszenie prywatności. Ale dzięki RODO każdy z nas może zgłosić sprzeciw, jeśli poczuje, że to jest ten moment.

Jeśli firma przetwarza Twoje dane w celach marketingowych, zawsze możesz zgłosić sprzeciw. I nie musisz tego uzasadniać.

Jeśli już wiesz, że konkretna firma przetwarza Twoje dane po to, żeby się skuteczniej reklamować i oferować Ci kolejne produkty/usługi, a Ty nie masz ochoty na taką komunikację (bo jest irytująca, zajmuje czas albo po prostu nie trafia w Twoje potrzeby), wystarczy, że powiesz „nie, dziękuję”. Takiego sprzeciwu nie musisz uzasadniać. Możesz go też zgłosić w dowolnej formie. Co więcej: administrator powinien wręcz wyjść Ci naprzeciw i zachować maksymalną elastyczność (nie może np. wymagać, żeby sprzeciw został złożony na specjalnym formularzu albo w jego siedzibie).

Prawo wniesienia sprzeciwu komplikuje się, jeśli powodem przetwarzania Twoich danych są inne cele niż marketing. Twoje dane mogą być przetwarzane przez firmę w innym uzasadnionym interesie (np. po to, żeby ulepszać działanie serwisu, przeciwdziałać awariom albo prowadzić statystyki strony), a nawet w interesie publicznym (np. żeby monitorować, czy nie wrzucasz na portal społecznościowy nielegalnych treści). Jeśli taki cel Cię nie przekonuje i nadal chcesz się sprzeciwić, możesz to zrobić, ale musisz wykazać swoją „szczególną sytuację”. Sprowadza się to do wykazania, że względy, na które powołuje się administrator, nie są na tyle ważne, żeby uzasadnić ograniczenie Twojego prawa do prywatności. Akurat w tym zakresie przepisy RODO nie są precyzyjne i będą działać na korzyść przetwarzających dane – więc tę ścieżkę polecamy tylko mocno zdeterminowanym.

Sprawdź, jak sprzeciwić się przetwarzaniu danych w 4 krokach.

• Wycofanie wcześniej udzielonej zgody

Jeśli po wykonaniu pierwszego kroku wiesz już, że firma/instytucja wykorzystuje Twoje dane na podstawie udzielonej w przeszłości zgody, pamiętaj, że zawsze możesz ją wycofać. To Twoje bezwzględne prawo, a obowiązkiem administratora jest ułatwić Ci skorzystanie z niego. Zgodnie z RODO wycofanie zgody powinno być równie proste jak jej udzielenie. A więc jeśli zgoda na przetwarzanie danych została wyrażona jednym kliknięciem w formularzu, który był dobrze wyeksponowany na stronie internetowej, do wycofania zgody też powinno wystarczyć jedno kliknięcie w analogicznym miejscu.

Zawsze możesz wycofać udzieloną w przeszłości zgodę, a obowiązkiem administratora jest Ci to ułatwić.

Swojej decyzji nie musisz uzasadniać. Od tego momentu administrator nie może już powoływać się na zgodę jako podstawę przetwarzania Twoich danych. Jeśli więc zgoda obejmowała udostępnienie Twojej lokalizacji, a nawet przekazywanie jej innym firmom w celach marketingowych, po wycofaniu zgody administrator powinien takie dane usunąć i zażądać ich usunięcia od firm, którym je przekazał.

O tym, kiedy udzielenie zgody na przetwarzanie danych osobowych ma sens, piszemy w RODO na tacy. Odcinku II.

Sprawdź, jak wycofać zgodę na przetwarzanie danych w 4 krokach.

• Żądanie usunięcia danych

Jeśli dotarłaś/-eś do tego miejsca, zapewne wiesz już, jakie dane na Twój temat są przetwarzane. Być może nawet udało Ci się uzyskać ich kopię? Jeśli zakres tych informacji dał Ci do myślenia i uważasz, że jest tego wszystkiego za dużo, albo nie widzisz podstawy do dalszego przetwarzania (przynajmniej niektórych) danych, możesz zażądać ich usunięcia. Pamiętaj jednak, że to uprawnienie nie działa automatycznie i może napotkać pewien opór. Jeśli administrator znajdzie podstawę, żeby Twoje dane nadal przetwarzać (np. ustali, że jest to niezbędne do realizacji umowy albo wymaga tego od niego obowiązujące prawo), będzie mógł odmówić.

Żądanie usunięcia danych ma największe szanse powodzenia, jeśli:

• cel, w jakim Twoje dane zostały zebrane, został już zrealizowany (np. chodziło o ocenę Twojej wiarygodności kredytowej, a bank już udzielił Ci kredytu);
• wcześniej udzieliłaś/-eś zgody na zbieranie dodatkowych danych, ale później zmieniłaś/-eś zdanie i tę zgodę wycofałaś/-eś;
• chodzi o dane „niewiadomego pochodzenia”, na których przetwarzanie nigdy nie udzielałaś/-eś zgody, a nawet o tym nie wiedziałaś/-eś.

O tym, w jakich sytuacjach możesz zażądać usunięcia swoich danych, szczegółowo piszemy w RODO na tacy. Odcinku IV.

Sprawdź, jak zażądać usunięcia danych w 4 krokach.

Lekcja 4: Wyciągnij konsekwencje

Nadal nie wiesz, na jakiej podstawie Twoje dane są przetwarzane albo skąd się wzięły w rękach telemarketerów? Już dawno minął miesiąc od Twojego żądania informacji na temat przetwarzanych danych, a po drugiej stronie nadal cisza? A może dotarła do Ciebie właśnie informacja, że Twoje dane wyciekły albo bez podstawy prawnej zostały przekazane do innej firmy/instytucji, która nie ma zamiaru ich usunąć? Cóż, może się tak zdarzyć… Ale Ty nie musisz tego tolerować! Jeśli na etapie zbierania informacji albo przy próbie zrealizowania innych uprawnień nabierzesz przekonania, że druga strona narusza prawo, możesz zrobić kolejny krok i wyciągnąć konsekwencje.

• Skarga do Prezesa UODO

Najprostszym i niemal darmowym środkiem prawnym, z którego możesz skorzystać, jest skarga do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Taka skarga powinna dotyczyć naruszenia przepisów RODO (np. braku informacji o tym, jakie dane są przetwarzane, albo tego, że ktoś przetwarza Twoje dane bez podstawy prawnej). Wnosząc ją, nie musisz wykazywać ani krzywdy, ani szkody z tym związanej. Prezes UODO bada przede wszystkim to, czy doszło do naruszenia obowiązującego prawa.

W swojej skardze możesz się domagać:

• zmuszenia firmy/instytucji do tego, żeby wreszcie zareagowała na Twoje żądanie (np. usunęła niepotrzebne dane, udzieliła Ci informacji, przestała przekazywać Twoje dane innym podmiotom, skoro się na to nie zgadzasz);
• nałożenia na nią administracyjnej kary pieniężnej. Taka kara może być bardzo dotkliwa (do 4% globalnego obrotu), więc ma silne działanie dyscyplinujące. Pamiętaj jednak, że trafia ona do budżetu państwa i nie ma nic wspólnego z odszkodowaniem (o nim piszemy w kolejnym punkcie).

Postępowanie przed Prezesem jest jednoinstancyjne. Jego przebieg reguluje kodeks postępowania administracyjnego (z wyjątkami wynikającymi z ustawy o ochronie danych osobowych).

Skargę możesz wnieść do organu ochrony danych osobowych w Polsce (jeśli zwykle tu przebywasz: mieszkasz lub pracujesz) albo w innym kraju, jeśli łączy Cię z nim podobny związek (mieszkanie lub praca). Ze względów taktycznych możesz też wybrać kraj, w którym doszło do naruszenia Twoich praw (np. zostały zebrane nielegalnie Twoje dane). Przy wnoszeniu skargi nie ma znaczenia adres firmy, która mogła naruszyć prawo, więc tego czynnika w ogóle nie musisz brać pod uwagę.

Skarga do Prezesa UODO to prosty środek ochrony Twoich praw.

Jeśli Twoja sprawa została wszczęta w Polsce, ale dotyczy firmy mającej siedzibę za granicą (albo naruszenia prawa, do którego doszło za granicą), Prezes UODO będzie współpracował z zagranicznymi organami, ale Ty tego specjalnie nie odczujesz, ponieważ cała komunikacja z Tobą będzie się odbywać po polsku.

Dowiedz się, jak złożyć skargę do Prezesa UODO w 3 krokach.

• Pozew do sądu (także o odszkodowanie)

Bez względu na to, czy postanowisz złożyć skargę do Prezesa UODO, czy nie, możesz dochodzić swoich praw bezpośrednio przed sądem cywilnym. To niezależna, choć nieco bardziej skomplikowana i kosztowna ścieżka (przy składaniu pozwu czeka Cię podstawowa opłata w wysokości 600 zł; jeśli dodatkowo wnosisz o odszkodowanie, wysokość opłaty będzie uzależniona od wysokości dochodzonej kwoty).

Sprawę sądową możesz wnieść w tym kraju, w którym mieszkasz, lub w kraju, w którym ma swoją siedzibę firma/instytucja, którą zamierzasz pozwać (przy czym chodzi o jakąkolwiek jednostkę organizacyjną, np. biuro marketingowe). Wybór należy do Ciebie. Jedynym wyjątkiem jest pozew przeciwko organom publicznym: można je pozwać tylko na terytorium kraju, w którym funkcjonują. Do spraw z zakresu ochrony danych osobowych w Polsce zawsze będzie właściwy sąd okręgowy [lista sądów okręgowych].

Pamiętaj: jeśli zdecydujesz się wnieść pozew, sąd zawiadomi o tym Prezesa UODO. Jeśli przed Prezesem UODO toczy się akurat postępowanie w sprawie tego samego naruszenia, sąd zostanie o tym poinformowany i będzie musiał zawiesić Twoją sprawę, żeby poczekać na rozstrzygnięcie Prezesa UODO. A jeśli Twoja sprawa została już rozstrzygnięta przez Prezesa UODO, jego ustalenie będzie wiążące dla sądu.

Sąd cywilny może zobowiązać administratora do przestrzegania Twoich praw oraz do zapłaty odszkodowania, jeśli naruszenie spowodowało w Twoim życiu konkretne straty.

Przed sądem cywilnym możesz dochodzić nie tylko stwierdzenia, że doszło do naruszenia Twoich praw oraz zobowiązania administratora do ich przestrzegania, ale też odszkodowania, jeśli takie naruszenie spowodowało w Twoim życiu konkretne straty (moralne czy majątkowe). Żeby mieć szansę na odszkodowanie, musisz udowodnić, że te szkody rzeczywiście wystąpiły (np. ze względu na informacje, które wyciekły lub zostały nielegalnie zebrane, straciłaś/-eś obiecujący kontrakt, miałaś/-eś nieprzyjemności towarzyskie albo problemy w pracy). Po stronie pozwanej firmy/instytucji leży natomiast udowodnienie, że nie ponosi ona winy za zdarzenie, które doprowadziło do powstania szkody (np. zrobiła wszystko, czego wymagało prawo, żeby dobrze zabezpieczyć dane).

Dowiedz się, jak złożyć pozew do sądu w 3 krokach.

Powodzenia!

Wojciech Klicki, Katarzyna Szymielewicz

Współpraca: Maria Wróblewska, Karolina Iwańska

Praktyczne instrukcje i wzory:

Lekcja 1: Sprawdź, jak się mają Twoje dane!

Wzór wniosku o udostępnienie informacji

Lekcja 2: Odzyskaj swoje dane!

Wzór wniosku o udostępnienie kopii danych

Wzór wniosku o udostępnienie danych w formacie umożliwiającym przeniesienie

Lekcja 3: Powiedz „dość!”

Wzór sprzeciwu

Wzór cofnięcia zgody

Wzór żądania usunięcia danych

Lekcja 4: Wyciągnij konsekwencje!

Wzór skargi do Prezesa Urzędu Ochrony Danych Osobowych

Wzór pozwu do sądu

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon.