Widzę Polaków na temat ochrony danych osobowych i przysługujących im praw oceniam wysoko

Z Pauliną Dawidczyk Dyrektor, Departamentu Skarg UODO rozmawiał Karol Witowski, Zastępca Rzecznika Prasowego UODO

Rozpatrywanie skarg to ważny element pracy organu nadzorczego. Kto zajmuje się rozpatrywaniem wniosków skargowych?

Rozpatrywanie skarg jest jednym z podstawowych zadań Prezesa Urzędu Ochrony Danych Osobowych jako organu nadzorczego. Mówi o tym art. 57 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Zgodnie z przepisami, wpłynięcie skargi do organu nadzorczego inicjuje postępowanie administracyjne, zmierzające do rozstrzygnięcia sprawy poprzez wydanie decyzji.

Rozpatrywaniem wszystkich skarg, wpływających do UODO, zajmuje się Departament Skarg (DS). Zadaniem Ds-u jest także procedowanie spraw transgranicznych oraz szereg zadań związanych z prowadzonymi postępowaniami administracyjnymi, takich jak udostępnianie stronom postępowań do wglądu akt, przyjmowanie skarg wnoszonych ustnie czy przygotowywanie pism w toku postępowań przed sądami administracyjnymi. W naszym departamencie powstają też projekty skarg kasacyjnych od wyroków Wojewódzkiego Sądu Administracyjnego w Warszawie, a także odpowiedzi na wezwania sądów i innych organów, związane z prowadzonymi postępowaniami administracyjnymi.

Jak przebiega proces analizy skarg?

Każda ze skarg analizowana jest najpierw pod kątem spełnienia warunków formalnych przewidzianych przepisami Kodeksu postępowania administracyjnego. W przypadku ich nie spełnienia wzywamy wnioskodawcę do uzupełnienia braków formalnych, a jeśli te nie zostaną uzupełnione, skargi pozostawiane są bez rozpoznania. Jeśli warunki formalne zostały spełnione, wzywamy skarżony podmiot o złożenie wyjaśnień oraz przedłożenie dowodów na ich poparcie oraz odniesienie się do zarzutów, podniesionych w skardze.

Każdej osobie, która złożyła skargę na naruszenie przepisów RODO w procesie przetwarzania jej danych osobowych przysługuje prawo do informacji o postępach i wynikach rozpatrzenia skargi, dlatego podejmując szereg czynności koniecznych do zebrania materiału dowodowego, niezbędnego do wydania rozstrzygnięcia w każdej sprawie, organ nadzorczy informuje o postępach i wynikach rozpatrzenia skargi.

Ile skarg wpłynęło do UODO w 2023 roku?

W roku 2023 do Departamentu Skarg Urzędu Ochrony Danych Osobowych wpłynęły 6962 skargi krajowe. W porównaniu do roku poprzedniego to o 33 skargi mniej, jednak wysoki wskaźnik skarg w latach poprzednich przełożył się na zwiększoną liczbę spraw prowadzonych w Departamencie Skarg w roku 2023. Chodzi o sprawy, które wpłynęły do naszego departamentu w roku poprzedzającym, ale podjęcie czynności niezbędnych do zebrania materiału dowodowego i wydania decyzji administracyjnej nastąpiło w 2023 roku. Trzeba zaznaczyć, że w minionym roku zakończono 5898 postępowań skargowych, spośród których 1750 spraw zakończyło się wydaniem decyzji administracyjnych.

W decyzjach tych Prezes UODO w 965 przypadkach w oparciu o art. 58 RODO zastosował środki naprawcze, w tym w 630 sprawach udzielił upomnienia za naruszenie przepisów RODO, zaś w 335 przypadkach zastosował środek naprawczy w postaci nakazu.

Wykres: Liczba skarg, które wpłynęły do UODO w latach 2020-2023

A co ze skargami na decyzje Prezesa UODO? Liczba skarg rośnie, czy wraz z tym współczynnikiem rośnie liczba wniosków, składanych do sądu, skarżących decyzję PUODO?

W roku 2023 nieznaczenie wzrosła liczba skarg na decyzje Prezesa UODO, składanych do sądów administracyjnych. Do Wojewódzkiego Sądu Administracyjnego w Warszawie w roku 2023 zostały zaskarżone 223 decyzje Prezesa UODO (177 w 2022 r.), zaś do NSA wniesiono 66 skarg kasacyjnych od wyroków w sprawach dotyczących decyzji wydanych przez Prezesa UODO (55 skarg w 2023 r.). Utrzymująca się w ostatnich latach tendencja wzrostowa skarg na decyzje organu nadzorczego w sprawach skargowych wynika nie tylko z utrzymującej się wysokiej liczby wnoszonych skarg osób, których dane dotyczą, na przetwarzanie ich danych, ale przede wszystkim z większej aktywności orzeczniczej organu.

Jak ocenia Pani rozbieżności między decyzjami Prezesa a orzeczeniami sądowymi?

Generalnie zauważyć należy, że sądy administracyjne rzadko uchylają decyzje wydane w sprawach skargowych, co świadczy o dobrym poziomie merytorycznym rozstrzygnięć organu. Z analizy uzasadnień wyroków wpływających do organu wynika ponadto, że częstym powodem uchylenia decyzji nie są kwestie merytoryczne a formalne, przy czym od większości tych rozstrzygnięć organ składa skargi kasacyjne, nie podzielając oceny sądu.

Skargi wniesione do WSA i NSA w latach 2021-2023 w sprawie decyzji wydanych w Departamencie

Wyroki utrzymujące i uchylające decyzję Prezesa UODO w sprawach skargowych w latach 2021-2023

Porównując obydwa ww. wykresy można także zauważyć problem małej aktywności orzeczniczej sądów administracyjnych w sprawach Urzędu Ochrony Danych Osobowych. Liczba wpływających skarg na decyzje jest znacząco wyższa niż liczba wydawanych wyroków w sprawie skarg na decyzje. Obecnie na wyroki w części spraw oczekujemy od 2019 roku.

W latach poprzednich zmagaliśmy się także z kwestią wydawanych w WSA w Warszawie licznych sprzecznych ze sobą wyroków w sprawach o niemal takim samym stanie faktycznym i prawnym. Szczególnie widoczne było to w sprawach z sektora finansowego, dotyczących banków. Podkreślić jednak należy że w ostatnim roku widzimy wyraźną korzystną zmianę w tym zakresie.

Czy w ostatnim czasie były jakieś wyroki NSA, potwierdzające stanowisko Urzędu, z których jest Pani szczególnie zadowolona? 

Wyroki Sądu Administracyjnego często potwierdzają stanowisko Urzędu. Wszystkie tego typu decyzje cieszą nas, są potwierdzaniem tego, że realizujemy nasze działania skutecznie i podejmujemy słuszne decyzje. To dowód uznania dla wysokiej jakości naszej pracy.

Zachęcam do lektury decyzji opisanej w niniejszym wydaniu biuletynu, w której Prezes UODO nakazał zaprzestanie przetwarzania danych osobowych przez bank po stwierdzeniu, że nie spełnił on obowiązku informacyjnego, o którym mowa w art. 105a ust. 3 Prawa bankowego i wskazał, że ciężar udowodnienia spełnienia takiego obowiązku spoczywa na podmiocie udzielającym kredytu. Decyzja Prezesa UODO została zaskarżona do WSA w Warszawie, który uwzględnił zarzuty strony skarżącej i uchylił decyzję organu nadzorczego. W postępowaniu przez NSA, zainicjowanym skargą kasacyjną Prezesa UODO, Sąd II instancji przychylił się jednak do stanowiska organu. Chciałabym nagłośnić tę sprawę, ponieważ temat jest bardzo aktualny – mierzymy się z ogromną liczbą skarg w tym zakresie, różnymi orzeczeniami WSA, a opisywany w biuletynie wyrok NSA to pierwsze orzeczenie, które potwierdza nasze stanowisko.

Czego najczęściej dotyczą skargi? W których sektorach jest najwięcej postępowań?

W roku 2023 najwięcej, 2659 skarg dotyczyło skarg na podmioty sektora prywatnego. Następnie 1519 skarg na podmioty sektora finansowego,1454 skarg na podmioty sektora zdrowia, 1328 skarg na podmioty sektora publicznego, 532 skarg na podmioty sektora transgranicznego.

Liczba skarg wniesionych do UODO w roku 2023 utrzymała się na podobnym poziomie w porównaniu do lat poprzednich. Jednakże wartość ta wciąż pozostaje na bardzo wysokim poziomie. Spadek liczby wnoszonych skarg odnotowano w sektorze prywatnym, w pozostałych sektorach, w tym w sektorze transgranicznym, liczba ta wzrosła.

Czy to oznacza, że zmienia się świadomość społeczeństwa dotycząca praw związanych z ochroną danych osobowych?

Zdecydowanie tak, społeczeństwo jest coraz bardziej świadome przysługujących im praw w zakresie ochrony danych osobowych i prywatności. Wiedzę Polaków na temat ochrony danych osobowych i przysługujących im praw oceniam wysoko. Wskazują na to powody składania skarg. Osoby, których dane dotyczą często skarżyły się na przetwarzanie ich danych osobowych bez podstawy prawnej, w tym na udostępnienie ich danych osobowych podmiotom nieuprawnionym, czy też nieuprawnione działania marketingowe z wykorzystaniem ich danych.

Duża część skarg dotyczyła także niespełnienia obowiązków informacyjnych, wynikających z RODO, w tym nieprzekazania kopii danych, zgodnie z art. 15 ust. 3 RODO. Odnotowano także liczne skargi na nieprawidłowe wykonanie obowiązku sprostowania danych oraz niewłaściwą realizację prawa do usunięcia danych wynikającego z art. 17 RODO i prawa sprzeciwu, o którym mowa w art. 21 RODO.

Jakich naruszeń dotyczą skargi na podmioty z sektora publicznego?

Skargi na podmioty z sektora publicznego, podobnie jak w latach ubiegłych najczęściej dotyczą udostępnienia danych osobowych. Zanotowaliśmy wiele przypadków skarg dotyczących udostępnienia danych osobowych na stronach internetowych Biuletynu Informacji Publicznej. Przypadki te często dotyczyły publikacji na stronach instytucji publicznych dokumentów, które nie zostały prawidłowo zanonimizowane i zawierały dane osobowe. Sprawa może się wydawać trywialna, ale jednak chodzi tu o dane osobowe, które powinny być bezwzględnie chronione i w takich sytuacjach reakcja organu nadzorczego musi być stanowcza.

A jak wygląda sprawa w przypadku sektora finansów, ubezpieczeń czy telekomunikacji, gdzie administratorzy przetwarzają ogromne ilości danych osobowych?

Działalność Prezesa Urzędu Ochrony Danych Osobowych w obszarze sektora finansowego, ubezpieczeń i telekomunikacji od lat skupiała się na rozpatrywaniu skarg osób kwestionujących proces przetwarzania ich danych związanych z zawieraniem różnego rodzaju umów. Są to głównie umowy skutkujące powstaniem zobowiązań finansowych po stronie osób skarżących i najczęściej wiążą się z dochodzeniem roszczeń majątkowych przez firmy windykacyjne, którym wierzyciele zlecali dochodzenie wierzytelności, ale także przez fundusze inwestycyjne, które w drodze cesji wierzytelności nabyły wierzytelności od wierzycieli pierwotnych oraz przez podmioty zarządzające portfelem wierzytelności funduszy inwestycyjnych.

UODO często podkreślał, że rozwiązywanie sporów dotyczących istnienia roszczeń, czy też skuteczności zawierania umów, w tym umów będących źródłem tychże roszczeń, pozostaje poza zakresem kompetencji przysługujących Prezesowi UODO. Organ władny jest wyłącznie do oceny procesu przetwarzania danych związanego z powyższymi zagadnieniami.

Znaczna część skarg wpływających do organu nadzorczego dotyczyła działalności podmiotów sektora finansowego, takich jak banki, instytucje pożyczkowe, spółdzielcze kasy oszczędnościowo-kredytowe, instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, związanej z przetwarzaniem danych osobowych w związku z dokonywaniem oceny zdolności kredytowej i analizy ryzyka kredytowego.

Zaskakujące jest jak duży odsetek skarg nie spełnia wymogów formalnych. Może warto jeszcze raz podkreślić, przypomnieć jakie elementy musi zawierać skarga, żeby UODO mógł ją przyjąć do rozpatrzenia.

Z pewnością warto to powtarzać. Każda skarga złożona do Prezesa Urzędu musi zawierać pięć elementów:

1.     dane osoby skarżącej: imię, nazwisko, adres zamieszkania;

2.     wskazanie podmiotu, na który osoba, której dane dotyczą, składa skargę;

3.     dokładny opis naruszenia;

4.     żądanie skarżącego – jakich działań oczekuje od Prezesa UODO;

5.własnoręczny podpis bądź, jeśli skarga jest składana drogą elektroniczną, podpis właściwy dla tej formy.

Należy pamiętać, że składając skargi należy dołączyć dowody potwierdzające nieprawidłowe działanie administratora. Warto też pamiętać, że zgłaszając więcej niż jedno żądanie w ramach jednej skargi, należy zwrócić uwagę, by nie były one ze sobą sprzeczne.

Szczegóły dotyczące składania skarg znaleźć można na stronie Urzędu.

Urząd cały czas daje możliwość składania wniosków za pośrednictwem tradycyjnej poczty czy nawet osobiście. Jaki procent wniosków jest składany właśnie w taki tradycyjny sposób z pominięciem internetu?

Tradycyjne sposoby składania wniosków, czy też innego kontaktu z Urzędem są dla nas bardzo ważne. Nie chcemy wykluczać nikogo również w sposób cyfrowy. Ten aspekt nie ogranicza się do składania wniosków, pomimo bardzo rozbudowanej i przejrzystej strony internetowej prowadzimy Infolinię UODO, która jest bardzo ważnym kanałem komunikacji Urzędu ze społeczeństwem. Obserwujemy stale rosnący odsetek liczby skarg zgłaszanych drogą elektroniczną.

Czy spodziewa się Pani zmian w statystykach składanych wniosków w 2024 roku? Może jest jakiś sektor, który zapowiadał intensyfikację działań w tym aspekcie?

Z tego co obserwujemy, ilość skarg wpływających do organu w ostatnim czasie utrzymuje się na wysokim, ale dość stałym poziomie. Stosunkowo nowym zjawiskiem jest duża liczba skarg osób, których dane zostały naruszone wskutek wycieków u dużych administratorów. Obowiązek notyfikowania tych naruszeń przez administratorów organowi nadzorczego i jednocześnie informowanie osób, których dane naruszono, powoduje, że chcą one dochodzić swoich praw również w indywidualnych postępowaniach prowadzonych przez organ.

Czego życzyłaby Pani sobie i swojemu departamentowi w 2024 roku? Co mogłoby usprawnić działania Departamentu Skarg?

Życzę, nie sobie czy departamentowi, ale przede wszystkim społeczeństwu, jeszcze większej świadomości. Znajomość swoich praw i umiejętność korzystania z nich to bardzo ważne aspekty życia. Jednocześnie chciałabym, żeby większy odsetek wniosków trafiających do nas był pozbawiony błędów formalnych, żeby większa część złożonych wniosków kończyła się decyzją organu. Nieustannie edukujemy w tym zakresie społeczeństwo, ale niestety dostrzegamy sporą niedbałość klientów przy składaniu wniosków – to o tyle przykre, że nie możemy ich wtedy rozpatrzeć. Oczywiście w takich sytuacjach składający dostaje informację zwrotną i zostaje poproszony o uzupełnienie braków czy poprawienie błędów, mamy jednak świadomość, że dużej części nieprawidłowości można by uniknąć.

Dziękuję za rozmowę.