Firma inwestycyjna usilnie namawia mnie do zakupu obligacji korporacyjnych za jej pośrednictwem. Byłem zmęczony telefonami przedstawicieli, więc po kilku takich przypadkach złożyłem w firmie sprzeciw wobec przetwarzania moich danych osobowych w celach marketingowych. Mimo że przyjęli pismo za pokwitowaniem, sytuacja się nie zmieniła, czyli ich przedstawiciele nadal do mnie wydzwaniają. Czy mogę przeciwdziałać takim praktykom – pyta czytelnik
Jeśli mamy dość telefonów od reprezentantów różnych firm, możemy złożyć sprzeciw wobec przetwarzania naszych danych osobowych w celach marketingowych. Jest to zwykłe pismo, w którym bez uzasadnienia żądamy zaprzestania wykorzystywania informacji o nas do celów sprzedaży produktów czy usług przez daną firmę. Sprzeciw należy skierować do firmy albo listem poleconym za zwrotnym potwierdzeniem odbioru, albo osobiście w siedzibie przedsiębiorcy. W tym drugim przypadku warto poprosić o potwierdzenie na kopii pisma, że pracownik firmy przyjął dokument. Pokwitowanie może okazać się cenne w sytuacji, w jakiej znalazł się czytelnik.
Jeśli bowiem przedsiębiorca nie uszanuje naszej woli wyrażonej w sprzeciwie, możemy się na niego poskarżyć do generalnego inspektora ochrony danych osobowych (GIODO). Z tego rozwiązania korzysta coraz więcej świadomych swoich praw osób (patrz grafika).
Skargę na nieprawidłowości w procesie przetwarzania danych osobowych składa się albo w formie papierowej, albo elektronicznej (patrz wzór). W tym drugim przypadku niezbędne jest posiadanie bezpiecznego podpisu elektronicznego albo jego bezpłatnej alternatywy, czyli profilu zaufanego elektronicznej platformy usług administracji publicznej (ePUAP). Skarga podlega opłacie, choć wydatek nie jest duży, bo wynosi zaledwie 10 zł. Dodatkowe 17 zł trzeba zapłacić, jeśli ma nas reprezentować pełnomocnik, np. wynajęty przez nas prawnik. Z opłat zwolnione są osoby, które na co dzień korzystają ze świadczeń pomocy społecznej z powodu ubóstwa.
W skardze – obok podstawowych danych, jak imię, nazwisko, adres zamieszkania – trzeba opisać okoliczności sprawy. Należy to zrobić szczegółowo, najlepiej punkt po punkcie wykazując, w jaki sposób dana firma naruszyła zasady ochrony danych osobowych. W przypadku czytelnika będzie to brak poszanowania sprzeciwu na przetwarzanie danych osobowych w celach marketingowych. Przedsiębiorca nie może bowiem nie zgodzić się ze wspomnianym żądaniem. Warto przywołać przy tym przepisy, które naruszyła firma. W przypadku wspomnianego przez czytelnika sprzeciwu będzie to art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych, która przyznaje osobom fizycznym prawo wniesienia sprzeciwu.
Do skargi można dołączyć kopie dokumentów potwierdzających opis sprawy, a więc chociażby kopię wniesionego do firmy sprzeciwu, na którym widać, że przedsiębiorca przyjął żądanie zaprzestania przetwarzania danych osobowych. Należy również wskazać, jakiego działania oczekuje się od inspektora. GIODO może bowiem nakazać firmie określone zachowanie, które ma przywrócić stan zgodności z prawem, ale tylko jeśli skarżący wyraźnie tego zażąda.
Po otrzymaniu skargi GIODO co wyśle kontrolerów do przedsiębiorcy. Właściciele firm boją się takich wizyt, bo inspektorzy mają szerokie uprawnienia, a poza tym przy okazji badania danej sprawy mogą wykryć inne nieprawidłowości. Nim złożymy oficjalną skargę do GIODO, warto poinformować przedsiębiorcę, że mamy taki zamiar. Część firm zreflektuje się i z własnej woli poprawi swoje postępowanie.
Prawa do wnoszenia skarg nie ograniczyły ostatnie zmiany związane z możliwością powołania w danej firmie administratora bezpieczeństwa informacji (ABI), a więc osoby odpowiedzialnej za zgodne z prawem przetwarzanie danych osobowych w przedsiębiorstwie. Różnica jest jednak taka, że wówczas to nie pracownicy GIODO będą bezpośrednio przeprowadzać inspekcję w firmie, a właśnie ABI.
Skarga powinna zostać rozpatrzona w ciągu miesiąca od jej wniesienia. Jeśli jesteśmy niezadowoleni z ustaleń organu, możemy wnioskować o ponowne rozpatrzenie sprawy przez GIODO.
WZÓR
Jan KowalskiWarszawa, 6 marca 2015 r.
PESEL 12345678912
ul. Kwiatowa 15
02-000 Warszawa
tel. 123 456 789, mejl@mejl.pl
Generalny Inspektor Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
Skarga na nieprawidłowości w procesie przetwarzania danych osobowych
W związku z naruszeniem przepisów o ochronie danych osobowych przez administratora danych (firmę XYZ z siedzibą w...) polegającym na............... (np. nieuwzględnieniu złożonego przeze mnie sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych) na podstawie art. 18 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.) wnoszę o............... (np. nakazanie administratorowi danych stanu zgodnego z prawem polegającego na uwzględnieniu złożonego przeze mnie sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych).
OPIS SPRAWY
(...)
Załączniki:
(...)
Z wyrazami szacunku
Jan Kowalski
......................................................
(własnoręczny podpis)
Podstawa prawna
Art. 18 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.).
Co zrobić, gdy okaże się, ze sprzedano bazę z naszymi danymi osobowymi
Co zrobić, gdy okaże się, ze sprzedano bazę z naszymi danymi osobowymi

Zobacz również