Kto może zgłosić naruszenie ochrony danych osobowych to pytanie, na które odpowiedź zależy przede wszystkim od roli, jaką dana osoba lub podmiot pełni w ekosystemie przetwarzania informacji. Choć RODO kojarzy się głównie z obowiązkami firm, system ten jest dwukierunkowy. Z jednej strony mamy administratorów, którzy muszą raportować własne błędy, by uniknąć kar, a z drugiej – osoby fizyczne, które otrzymały potężne narzędzie do obrony swojej prywatności. Zrozumienie, kto ma legitymację do działania przed organem nadzorczym, jest istotne dla skutecznego egzekwowania prawa.
Spis treści
Osoba fizyczna: Strażnik własnej prywatności
Pierwszym i najważniejszym podmiotem uprawnionym do zgłoszenia naruszenia jest osoba fizyczna, której dane dotyczą. Jeśli podejrzewasz, że Twoje dane wyciekły, zostały bezprawnie udostępnione lub są wykorzystywane niezgodnie z celem, na który wyraziłeś zgodę, masz pełne prawo zainicjować postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO).
Co ważne, nie musisz działać sam. Możesz ustanowić pełnomocnika, np. prawnika, który będzie Cię reprezentował. Należy jednak pamiętać o rygorach formalnych: pełnomocnik musi posiadać dokument, który wyraźnie upoważnia go do występowania w Twoim imieniu konkretnie przed organem ochrony danych. Przed złożeniem skargi warto również podjąć próbę kontaktu z podmiotem, u którego doszło do incydentu. Jeśli Twoja prośba o wyjaśnienie okoliczności zostanie zignorowana lub odpowiedź będzie niewystarczająca, jest to najsilniejsza podstawa do złożenia oficjalnego zawiadomienia.
Administrator danych: Ustawowy obowiązek raportowania
Zupełnie inna rola przypada administratorowi danych, czyli firmie, urzędowi czy organizacji, która decyduje o tym, jak i po co przetwarza nasze informacje. Dla administratora zgłoszenie naruszenia nie jest przywilejem, lecz twardym obowiązkiem wynikającym z przepisów.
Zgłoszenia w imieniu organizacji dokonują osoby uprawnione do jej reprezentacji (np. członkowie zarządu) lub ustanowiony przez nich pełnomocnik. Administrator ma na to 72 godziny. Warto tu wyjaśnić kluczowy szczegół: czas ten liczymy od momentu stwierdzenia naruszenia, a nie od chwili, w której ono faktycznie nastąpiło. Jeśli haker włamał się do systemu w sobotę, ale dział IT wykrył to i potwierdził skalę problemu w poniedziałek o 9:00, czas na powiadomienie urzędu upływa w czwartek o 9:00.
Podmiot przetwarzający: Rola „posłańca” złych wiadomości
W nowoczesnym biznesie dane rzadko są trzymane tylko na jednym serwerze. Często korzystamy z zewnętrznych chmur, biur rachunkowych czy firm hostingowych. Są to tzw. podmioty przetwarzające (procesorzy). Choć procesor nie zgłasza naruszenia bezpośrednio do UODO, ma on krytyczne zadanie: musi powiadomić administratora o każdym incydencie „bez zbędnej zwłoki”.
Jeśli procesor zatai informację przed administratorem, uniemożliwiając mu dochowanie terminu 72 godzin, naraża się na ogromne kary finansowe i roszczenia regresowe. W tym łańcuchu odpowiedzialności każdy podmiot ma swoją rolę, a sprawny przepływ informacji decyduje o tym, czy uda się zminimalizować szkody dla osób, których dane wyciekły.
Sygnaliści i osoby trzecie: Czy można zgłosić cudzy problem?
Często pojawia się pytanie, czy osoba postronna – np. pracownik, który zauważył, że w jego firmie niszczy się dokumenty w sposób nieprawidłowy – może zgłosić naruszenie. Odpowiedź brzmi: tak. Prezes UODO może wszcząć postępowanie z urzędu na podstawie informacji od dowolnej osoby (sygnalisty) lub doniesień medialnych.
Choć taka osoba nie zawsze będzie stroną w postępowaniu (nie będzie miała wglądu w akta sprawy tak jak bezpośrednio poszkodowany), jej zgłoszenie może być impulsem do przeprowadzenia kontroli w danym podmiocie. W dobie wysokiej świadomości społecznej, „doniesienie” o nieprawidłowościach staje się skutecznym mechanizmem wymuszania na administratorach uczciwości.
Formy złożenia zawiadomienia do Prezesa UODO
Zawiadomienie o naruszeniu ochrony danych osobowych może zostać złożone w dwóch głównych formach: tradycyjnej (papierowej) oraz elektronicznej. Wybór odpowiedniej drogi zależy od statusu zgłaszającego, posiadanych narzędzi cyfrowych oraz pożądanego tempa procedowania sprawy. Należy jednak pamiętać, że każda z tych form musi spełniać surowe wymogi dotyczące autentyczności, aby została uznana za prawnie skuteczną.
Forma elektroniczna – kanał priorytetowy i najszybszy
Z punktu widzenia administratora danych, na którym ciąży rygor 72 godzin, forma elektroniczna jest jedynym rozsądnym rozwiązaniem. Pozwala ona na natychmiastowe dostarczenie dokumentacji do Urzędu bez konieczności oczekiwania na fizyczne doręczenie przesyłki.
- Platforma ePUAP i dedykowane formularze: Najskuteczniejszym sposobem jest skorzystanie z dedykowanych formularzy dostępnych na platformie biznes.gov.pl lub ePUAP. Urząd Ochrony Danych Osobowych udostępnia specjalne schematy zgłoszeń, które prowadzą administratora krok po kroku przez niezbędne informacje (tzw. formularze dedykowane).
- Wymóg certyfikowanego podpisu: Zgłoszenie elektroniczne to nie jest zwykłe pismo wysłane w załączniku e-maila. Aby dokument miał moc prawną, musi zostać opatrzony podpisem zaufanym (dostępnym dla każdego posiadacza numeru PESEL i bankowości elektronicznej) lub kwalifikowanym podpisem elektronicznym.
- Ryzyko zwykłego e-maila: Wysłanie opisu naruszenia na ogólny adres poczty elektronicznej urzędu (np. na adres kancelarii) zazwyczaj nie zostanie uznane za skuteczne wniesienie zawiadomienia. Organ nadzorczy wezwie wówczas zgłaszającego do uzupełnienia braków formalnych, co w praktyce oznacza konieczność ponownego przesłania dokumentu z właściwym podpisem cyfrowym. Może to prowadzić do przekroczenia ustawowego terminu 72 godzin.
Forma papierowa – tradycyjna ścieżka administracyjna
Forma papierowa jest wybierana najczęściej przez osoby fizyczne składające skargi lub mniejsze podmioty, które preferują tradycyjny obieg dokumentacji. Jest ona równorzędna prawnie z formą elektroniczną, pod warunkiem dochowania rygorów dotyczących podpisu.
- Własnoręczny podpis: Dokument składany w formie tradycyjnej musi zawierać własnoręczny, czytelny podpis osoby uprawnionej. W przypadku administratorów (np. spółek), podpis musi zostać złożony przez osoby uprawnione do reprezentacji zgodnie z KRS.
- Wysyłka pocztowa lub osobista: Pismo można złożyć osobiście w biurze podawczym UODO w Warszawie lub wysłać listem poleconym za pośrednictwem operatora pocztowego. Warto pamiętać, że dla zachowania terminu (np. wspomnianych 72 godzin) kluczowa jest data nadania przesyłki w placówce pocztowej operatora wyznaczonego (Poczta Polska), a nie data doręczenia do urzędu.
- Kopie i załączniki: W formie papierowej należy zadbać o czytelność wszystkich załączników, w tym analizy ryzyka czy dowodów na podjęte działania naprawcze. Wszelkie kopie dokumentów powinny być poświadczone za zgodność z oryginałem, zwłaszcza jeśli zgłoszenia dokonuje pełnomocnik.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Wyjaśnienia u administratora jako „forma przedwstępna”
Choć nie jest to formalne zgłoszenie do urzędu, przepisy i praktyka dopuszczają formę zapytania skierowanego bezpośrednio do podmiotu, u którego doszło do incydentu. Osoba, której dane dotyczą, może w formie pisemnej lub elektronicznej wezwać administratora do złożenia wyjaśnień.
Dopiero w sytuacji, gdy administrator:
- nie udzieli odpowiedzi w terminie miesiąca,
- udzieli odpowiedzi wymijającej,
- odmówi przyznania, że doszło do naruszenia mimo dowodów,
otwiera się droga do wniesienia oficjalnej skargi do PUODO. Taka dwuetapowość pozwala organowi nadzorczemu na sprawniejsze rozpatrywanie spraw, w których administrator faktycznie uchyla się od odpowiedzialności.
Specyfika zgłoszeń dla podmiotów zagranicznych
Dla podmiotów z innych krajów UE, które przetwarzają dane Polaków, system przewiduje tzw. mechanizm kompleksowej współpracy (One-Stop-Shop). Zgłoszenie może zostać wysłane do organu wiodącego w kraju siedziby firmy, który skonsultuje się z polskim PUODO. W takim przypadku forma zgłoszenia zależy od przepisów obowiązujących w kraju, w którym firma ma swoją główną jednostkę organizacyjną.
Podsumowanie
Możliwość zgłoszenia naruszenia ochrony danych osobowych to fundament systemu RODO. Administratorzy robią to, by wykazać swoją rozliczalność i uniknąć surowszych kar, natomiast osoby fizyczne korzystają z tego prawa, by chronić swoją tożsamość i finanse. Niezależnie od pełnionej roli, kluczem do sukcesu jest szybkość działania, rzetelność opisu oraz dbałość o formę prawną zgłoszenia. W starciu z naruszeniem prywatności, wiedza o tym, że „każdy może zareagować”, jest naszą najlepszą linią obrony.
