RODO: jak przygotować wniosek albo oświadczenie?
W dobie powszechnej cyfryzacji, kiedy niemal każda nasza aktywność w sieci i poza nią pozostawia cyfrowy ślad, ochrona prywatności stała się kwestią fundamentalną. Unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych, powszechnie znane jako RODO, zrewolucjonizowało sposób, w jaki podmioty gospodarcze i instytucje publiczne muszą traktować informacje o osobach fizycznych. RODO nie tylko nałożyło surowe obowiązki na administratorów, ale przede wszystkim wyposażyło obywateli w realne i potężne narzędzia kontroli nad własnymi danymi. Aby jednak te narzędzia zadziałały, musimy wiedzieć, jak z nich korzystać. Najczęstszą formą kontaktu z administratorem w sprawach ochrony danych jest pisemny wniosek lub oświadczenie. W tym poradniku szczegółowo omawiamy, jak samodzielnie przygotować takie dokumenty, aby były one w pełni skuteczne, zgodne z prawem i trudne do zignorowania przez jakikolwiek podmiot.
Katalog praw osób, których dane dotyczą – co możemy zyskać?
Zanim sformułujemy pierwsze zdanie naszego pisma, musimy precyzyjnie zdefiniować swój cel. RODO przyznaje nam szeroki wachlarz uprawnień, a każde z nich odpowiada na inne potrzeby. Zrozumienie różnic między poszczególnymi prawami jest kluczowe, ponieważ błędne nazwanie swojego żądania może opóźnić jego realizację lub dać administratorowi pretekst do odmowy. Poniżej omawiamy najważniejsze uprawnienia, które możemy aktywować za pomocą wniosku.
Prawo dostępu do danych (art. 15 RODO)
Prawo dostępu to fundament, na którym opierają się pozostałe uprawnienia. Pozwala ono na zweryfikowanie, czy dany podmiot w ogóle posiada nasze dane, jakie to są dane, w jakich celach są wykorzystywane, komu są przekazywane oraz przez jaki okres będą przechowywane. Co niezwykle istotne, w ramach tego prawa mamy możliwość zażądania bezpłatnej kopii naszych danych osobowych. Administrator ma obowiązek dostarczyć nam ją w powszechnie używanym formacie elektronicznym, chyba że zażądamy innej formy.
Prawo do sprostowania danych (art. 16 RODO)
Jeżeli zauważymy, że przetwarzane przez administratora informacje na nasz temat są niekompletne, nieaktualne lub po prostu błędne, mamy prawo żądać ich natychmiastowego sprostowania lub uzupełnienia. Dotyczy to np. błędów w nazwisku, nieaktualnego adresu zamieszkania czy niepoprawnego numeru PESEL w systemach bankowych lub ubezpieczeniowych.
Prawo do usunięcia danych, czyli prawo do bycia zapomnianym (art. 17 RODO)
To jedno z najgłośniejszych uprawnień wprowadzonych przez RODO. Pozwala ono żądać całkowitego usunięcia naszych danych z baz administratora. Możemy z niego skorzystać w określonych sytuacjach, na przykład gdy dane przestały być niezbędne do celów, dla których je zebrano, gdy wycofaliśmy zgodę na przetwarzanie, gdy wnieśliśmy skuteczny sprzeciw wobec przetwarzania lub gdy dane były przetwarzane niezgodnie z prawem. Warto pamiętać, że prawo to podlega pewnym ograniczeniom – administrator może odmówić usunięcia danych, jeśli ich przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku (np. podatkowego) lub do ustalenia, dochodzenia bądź obrony roszczeń.
Prawo do ograniczenia przetwarzania (art. 18 RODO)
Ograniczenie przetwarzania polega na czasowym „zamrożeniu” danych. W tym okresie administrator może je jedynie przechowywać, ale nie może wykonywać na nich żadnych innych operacji. Z tego prawa korzystamy najczęściej wtedy, gdy kwestionujemy prawidłowość danych (na czas potrzebny administratorowi do ich sprawdzenia) lub gdy sprzeciwiamy się ich usunięciu, woląc jedynie zablokowanie ich dalszego wykorzystywania.
Prawo do przenoszenia danych (art. 20 RODO)
Uprawnienie to pozwala na otrzymanie swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, a następnie przesłanie ich innemu administratorowi (np. przy zmianie dostawcy usług telekomunikacyjnych, banku czy ubezpieczyciela). Możemy również żądać, by dane zostały przesłane bezpośrednio przez jednego administratora drugiemu, o ile jest to technicznie możliwe.
Prawo do sprzeciwu (art. 21 RODO)
Mamy prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania naszych danych opartego na prawnie uzasadnionym interesie administratora (np. w celach marketingu bezpośredniego). W przypadku marketingu bezpośredniego sprzeciw ma charakter bezwzględny – administrator musi natychmiast zaprzestać takich działań i nie może powoływać się na żadne wyjątkowe okoliczności.
Konstrukcja formalna pisma – jak napisać wniosek krok po kroku
Choć RODO stawia na odformalizowanie procedur i ułatwienie życia obywatelom, to jednak dobrze przygotowany wniosek musi zawierać stałe elementy formalne. Ich brak może sprawić, że administrator nie będzie w stanie zidentyfikować nadawcy lub precyzyjnie określić, czego dotyczy żądanie, co w konsekwencji doprowadzi do wydłużenia całej procedury. Poniżej przedstawiamy kluczowe elementy, które powinny znaleźć się w każdym piśmie.
1. Dane adresowe i identyfikacyjne
W lewym górnym rogu pisma należy umieścić swoje dane: imię, nazwisko, adres zamieszkania oraz dane kontaktowe (telefon, adres e-mail). W prawym górnym rogu wpisujemy miejscowość i datę. Poniżej umieszczamy pełne dane administratora danych osobowych, do którego kierujemy pismo. Jeśli wiemy, że w danej firmie lub instytucji funkcjonuje Inspektor Ochrony Danych (IOD), warto dodać dopisek „Do rąk Inspektora Ochrony Danych” – to sprawi, że wniosek trafi bezpośrednio do osoby merytorycznie odpowiedzialnej za te kwestie.
2. Tytuł wniosku
Tytuł powinien być jasny i jednoznaczny. Przykładowo: „Wniosek o realizację praw na podstawie art. 17 RODO (usunięcie danych)” lub „Oświadczenie o wycofaniu zgody na przetwarzanie danych osobowych”. Dzięki temu pracownicy kancelarii lub sekretariatu administratora od razu będą wiedzieli, jak zakwalifikować pismo i do jakiego działu je skierować.
3. Precyzyjne sformułowanie żądania
To najważniejsza część dokumentu. Musimy jasno określić, czego oczekujemy od administratora. Unikajmy sformułowań nieostrych, które mogą być różnie interpretowane. Jeśli chcemy usunąć dane, napiszmy: „Wnoszę o usunięcie moich danych osobowych w zakresie...”. Jeśli chcemy uzyskać dostęp, napiszmy: „Wnoszę o potwierdzenie przetwarzania oraz o przesłanie kopii moich danych”. Warto powołać się na konkretny artykuł RODO, co nada pismu profesjonalny charakter i zasygnalizuje administratorowi, że znamy swoje prawa.
4. Podanie danych ułatwiających identyfikację w systemie
Administrator ma obowiązek zweryfikować naszą tożsamość, zanim zrealizuje wniosek. Aby mu to ułatwić i skrócić czas oczekiwania, warto w treści pisma podać dodatkowe informacje, które jednoznacznie powiążą nas z bazą danych administratora. Może to być numer umowy, numer klienta, login w serwisie internetowym, stary adres e-mail (jeśli uległ zmianie) czy numer telefonu. Pamiętajmy jednak, aby nie podawać danych nadmiarowych, których administrator wcześniej nie posiadał (np. nie podawajmy numeru PESEL, jeśli wcześniej nie był on zbierany).
5. Podpis wnioskodawcy
Każde pismo składane w formie tradycyjnej (papierowej) musi być własnoręcznie podpisane. W przypadku wniosków wysyłanych drogą elektroniczną (e-mail), warto zadbać o to, by wiadomość została wysłana z adresu e-mail, który jest zarejestrowany w systemie administratora. W niektórych przypadkach administrator może wymagać podpisu kwalifikowanego lub profilu zaufanego, zwłaszcza przy wnioskach o wysokim stopniu wrażliwości (np. w bankowości czy placówkach medycznych).
Oświadczenie o wycofaniu zgody – specyfika i zasady
Wycofanie zgody na przetwarzanie danych osobowych różni się nieco od klasycznego wniosku o realizację praw. Zgoda jest jedną z podstaw prawnych przetwarzania danych (art. 6 ust. 1 lit. a RODO). Zgodnie z art. 7 ust. 3 RODO, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać tę zgodę. Co niezwykle istotne, wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. Oznacza to, że jeśli administrator pozwolił nam na wyrażenie zgody jednym kliknięciem na stronie internetowej, nie powinien wymagać od nas wysyłania tradycyjnego listu poleconego w celu jej wycofania. Jeśli jednak decydujemy się na formę pisemną, nasze oświadczenie powinno być krótkie i stanowcze. Powinno zawierać jednoznaczne sformułowanie, np.: „Niniejszym wycofuję zgodę na przetwarzanie moich danych osobowych w celach marketingowych”. Po otrzymaniu takiego oświadczenia administrator ma obowiązek natychmiast zaprzestać przetwarzania danych w tym konkretnym celu.
Forma złożenia wniosku – tradycyjna czy elektroniczna?
Jednym z częstych dylematów jest wybór odpowiedniej formy dostarczenia pisma do administratora. Przepisy RODO nie narzucają jednej konkretnej formy, co oznacza, że mamy w tym zakresie dużą swobodę. Możemy zdecydować się na tradycyjną formę papierową, wysłać wiadomość e-mail, skorzystać z dedykowanego formularza kontaktowego na stronie internetowej administratora, a w przypadku podmiotów publicznych – użyć platformy ePUAP.
Wysyłka tradycyjna listem poleconym
Forma papierowa wysłana listem poleconym (najlepiej za zwrotnym potwierdzeniem odbioru) jest najbardziej klasycznym i najbezpieczniejszym rozwiązaniem z dowodowego punktu widzenia. Posiadanie fizycznego dowodu nadania oraz podpisanego przez odbiorcę żółtego kartonika (ZPO) stanowi niepodważalny dowód w ewentualnym postępowaniu przed Prezesem Urzędu Ochrony Danych Osobowych. Tę formę zaleca się szczególnie przy wnioskach o kluczowym znaczeniu, takich jak żądanie usunięcia danych medycznych czy finansowych.
Droga elektroniczna – e-mail i formularze
Wysyłka wniosku pocztą elektroniczną jest bez wątpienia najszybsza i najwygodniejsza. Aby jednak była skuteczna, musimy pamiętać o kilku zasadach. Przede wszystkim wniosek powinien być wysłany z adresu e-mail, który administrator posiada w swojej bazie (np. z adresu, na który otrzymujemy newsletter lub który służy do logowania w portalu klienta). Jeśli wyślemy wniosek z zupełnie nowego, nieznanego administratorowi adresu, ten najprawdopodobniej (i słusznie) wezwie nas do dodatkowej weryfikacji tożsamości, co wydłuży czas realizacji sprawy. Warto również poprosić w treści maila o potwierdzenie jego otrzymania.
Obowiązki administratora, terminy i opłaty
Złożenie wniosku nakłada na administratora konkretny obowiązek prawny. Nie może on zignorować naszego pisma ani odłożyć go na bliżej nieokreśloną przyszłość. Przepisy RODO bardzo rygorystycznie regulują kwestię terminów oraz kosztów związanych z obsługą żądań obywateli.
Ustawowy termin na odpowiedź
Zgodnie z art. 12 ust. 3 RODO, administrator ma obowiązek udzielić odpowiedzi na wniosek bez zbędnej zwłoki, a w każdym razie w terminie jednego miesiąca od dnia otrzymania żądania. Jest to termin maksymalny dla standardowych spraw. W tym czasie administrator musi nie tylko podjąć decyzję, ale również faktycznie zrealizować nasze żądanie (np. przesłać kopię danych lub potwierdzić ich usunięcie).
Możliwość przedłużenia terminu
W sprawach szczególnie skomplikowanych lub przy bardzo dużej liczbie wniosków, termin ten może zostać przedłużony o kolejne dwa miesiące. W takiej sytuacji administrator ma jednak bezwzględny obowiązek poinformować nas o przedłużeniu terminu w ciągu pierwszego miesiąca od otrzymania wniosku, podając jednocześnie merytoryczne przyczyny opóźnienia. Brak takiej informacji w ciągu 30 dni stanowi rażące naruszenie przepisów.
Zasada bezpłatności
Wszelkie działania podejmowane przez administratora w związku z realizacją naszych praw są całkowicie bezpłatne. Administrator nie może żądać od nas opłat za sporządzenie kopii danych, ich sprostowanie czy usunięcie. Opłata może zostać naliczona jedynie w wyjątkowych sytuacjach, gdy żądania są ewidentnie nieuzasadnione lub nadmierne (np. mają charakter ustawiczny, gdy wnioskodawca wysyła identyczne zapytania co kilka dni). Wówczas administrator może pobrać rozsądną opłatę uwzględniającą koszty administracyjne lub odmówić podjęcia działań, przy czym ciężar dowodu, że wniosek ma charakter nadmierny, spoczywa na administratorze.
Rola organu nadzorczego – co zrobić w przypadku bezczynności?
Niestety, w praktyce wciąż zdarzają się sytuacje, w których administratorzy ignorują wnioski obywateli, odmawiają ich realizacji bez podania uzasadnionej przyczyny prawnej lub rażąco przekraczają ustawowe terminy. W takich przypadkach nie jesteśmy bezbronni. RODO przewiduje dwutorową ścieżkę dochodzenia swoich praw. Pierwszą i najpopularniejszą jest złożenie skargi do organu nadzorczego. W Polsce funkcję tę pełni Prezes Urzędu Ochrony Danych Osobowych (PUODO). Skarga do organu jest bezpłatna i można ją złożyć zarówno tradycyjnie, jak i elektronicznie za pośrednictwem platformy ePUAP. Drugą ścieżką jest wystąpienie na drogę sądową przed sądem powszechnym w celu dochodzenia odszkodowania za naruszenie przepisów o ochronie danych osobowych.
Przed wniesieniem skargi do organu nadzorczego należy bezwzględnie zgromadzić dowody potwierdzające, że podjęliśmy próbę kontaktu z administratorem. Kluczowe będzie posiadanie potwierdzenia nadania listu poleconego, potwierdzenia odbioru przesyłki lub kopii wiadomości e-mail wraz z nagłówkami technicznymi. Bez tych dowodów organ nadzorczy może mieć trudności z wykazaniem bezczynności administratora.
Najczęstsze błędy przy sporządzaniu wniosków RODO
Aby uniknąć niepotrzebnych opóźnień i problemów, warto uczyć się na błędach innych. Do najczęstszych potknięć popełnianych przez osoby składające wnioski należą:
- Brak precyzji w określaniu tożsamości: Wysyłanie wniosków z anonimowych skrzynek pocztowych bez podania imienia, nazwiska czy numeru klienta. Administrator nie ma wówczas możliwości powiązania wniosku z konkretną osobą w bazie i słusznie odmówi realizacji żądania ze względów bezpieczeństwa.
- Ignorowanie innych przepisów prawa: Często żądamy natychmiastowego usunięcia danych z banku, firmy ubezpieczeniowej czy placówki medycznej zaraz po zakończeniu współpracy. Zapominamy jednak, że podmioty te mają ustawowy obowiązek przechowywania dokumentacji (np. medycznej przez 20 lat, a finansowo-księgowej przez 5 lat). W takich przypadkach prawo do bycia zapomnianym jest ograniczone przez inne ustawy.
- Używanie zbyt agresywnego lub potocznego języka: Emocjonalne pismo pełne gróźb i oskarżeń rzadko przyspiesza sprawę. O wiele skuteczniejszy jest chłodny, profesjonalny ton, oparty na konkretnych artykułach RODO.
- Brak podpisu na dokumentach papierowych: Wysyłanie wydrukowanego wniosku bez odręcznego podpisu uniemożliwia nadanie mu mocy prawnej.
Praktyczny przykład: Wniosek o usunięcie danych osobowych
Poniżej prezentujemy wzorcowy układ pisma, który można wykorzystać jako szablon przy samodzielnym sporządzaniu wniosku o usunięcie danych osobowych (prawo do bycia zapomnianym). Szablon ten można łatwo dostosować do innych żądań, zmieniając podstawę prawną oraz treść oczekiwań.
Miejscowość, Data: Gdańsk, 24 maja 2024 r.
Wnioskodawca: Anna Nowak, ul. Długa 12/4, 80-001 Gdańsk, e-mail: [email protected], tel. 987-654-321, Numer klienta: AN-90812
Adresat: XYZ Usługi Finansowe Sp. z o.o., ul. Szeroka 50, 00-001 Warszawa (Do rąk Inspektora Ochrony Danych)
Temat: Wniosek o usunięcie danych osobowych na podstawie art. 17 RODO
Działając na podstawie art. 17 ust. 1 lit. a) Ogólnego Rozporządzenia o Ochronie Danych (RODO), niniejszym wnoszę o niezwłoczne usunięcie wszystkich moich danych osobowych przetwarzanych przez XYZ Usługi Finansowe Sp. z o.o.
Uzasadnienie: Moje dane osobowe zostały zebrane w celu realizacji umowy o świadczenie usług pośrednictwa finansowego, która została ostatecznie rozwiązana i rozliczona w dniu 10 kwietnia 2024 r. W związku z tym, dalsze przetwarzanie moich danych osobowych przez Państwa firmę stało się bezprzedmiotowe, gdyż dane te nie są już niezbędne do celów, w których zostały zebrane. Jednocześnie oświadczam, że wycofuję wszelkie zgody marketingowe, które mogły zostać przeze mnie udzielone w trakcie trwania umowy.
Proszę o przesłanie potwierdzenia realizacji niniejszego wniosku na wskazany powyżej adres e-mail w ustawowym terminie jednego miesiąca.
Z poważaniem,
[własnoręczny podpis Anny Nowak]
Podsumowanie i praktyczne wskazówki
Przygotowanie poprawnego wniosku lub oświadczenia w oparciu o przepisy RODO nie jest zadaniem skomplikowanym, o ile pamiętamy o podstawowych wymogach formalnych. Kluczem do sukcesu jest precyzja w formułowaniu żądań, jednoznaczne potwierdzenie swojej tożsamości oraz dbałość o dowody nadania korespondencji. Pamiętajmy, że ochrona danych osobowych to nie przywilej, lecz nasze fundamentalne prawo. Korzystając z narzędzi, jakie daje nam RODO, możemy skutecznie chronić swoją prywatność i decydować o tym, kto i na jakich zasadach ma dostęp do informacji o naszym życiu prywatnym i zawodowym. W przypadku jakichkolwiek problemów lub oporu ze strony administratorów, zawsze warto skorzystać z pomocy organu nadzorczego, który stoi na straży przestrzegania tych przepisów.