25 RODO: odmowa i dalsze kroki prawne w praktyce prawnej
Artykuł 25 Ogólnego Rozporządzenia o Ochronie Danych (RODO) wprowadza do europejskiego porządku prawnego dwie fundamentalne zasady: ochronę danych w fazie projektowania (privacy by design) oraz domyślną ochronę danych (privacy by default). W praktyce oznacza to, że każdy administrator danych osobowych ma prawny obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych już na etapie planowania procesów przetwarzania. Teoria ta jednak często zderza się z rzeczywistością biznesową i technologiczną. Administratorzy, dążąc do minimalizacji kosztów lub maksymalizacji pozyskiwanych informacji, nierzadko ignorują ten obowiązek, a w przypadku interwencji użytkowników lub kontrahentów formułowana jest oficjalna odmowa. Co w takiej sytuacji może zrobić podmiot danych lub podmiot reprezentujący jego interesy? Jakie kroki prawne należy podjąć, gdy wniosek o dostosowanie systemów do wymogów art. 25 RODO zostanie odrzucony?
Zrozumieć art. 25 RODO: Na czym polega obowiązek administratora?
Aby skutecznie kwestionować odmowę administratora, należy najpierw precyzyjnie zrekonstruować treść normatywną, jaką niesie za sobą art. 25 RODO. Przepis ten nie jest jedynie ogólną deklaracją programową, lecz nakłada konkretny, dający się zoperacjonalizować obowiązek prawny. Zgodnie z jego treścią, administrator musi uwzględnić:
- stan wiedzy technicznej,
- koszt wdrażania,
- charakter, zakres, kontekst i cele przetwarzania,
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
W oparciu o te kryteria administrator ma wdrożyć środki takie jak pseudonimizacja, które mają na celu skuteczne realizowanie zasad ochrony danych, takich jak minimalizacja danych. Z kolei domyślna ochrona danych wymaga, aby w sposób standardowy przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczy to ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
Kiedy dochodzi do odmowy i jak ją zidentyfikować?
Odmowa realizacji obowiązków z art. 25 RODO rzadko przybiera formę prostego pisma o treści "odmawiamy". W praktyce prawniczej najczęściej spotykamy się z odmową dorozumianą lub argumentacją maskującą. Może ona polegać na:
- Twierdzeniu, że wdrożenie wnioskowanych zabezpieczeń lub domyślnych ustawień prywatności jest technicznie niemożliwe w ramach istniejącej architektury IT.
- Powoływaniu się na nadmierne koszty finansowe, które rzekomo czynią wdrożenie nieproporcjonalnym.
- Ignorowaniu wniosków użytkowników domagających się np. domyślnego wyłączenia opcji śledzenia geolokalizacji w aplikacji mobilnej.
- Przedstawianiu analizy ryzyka, która w sposób nierzetelny marginalizuje zagrożenia dla prywatności użytkowników.
Każde z tych zachowań stanowi w istocie odmowę realizacji uprawnień i otwiera drogę do formalnego sporu prawnego.
Krok 1: Wniosek do administratora jako punkt wyjścia
Przed uruchomieniem zewnętrznych procedur odwoławczych konieczne jest formalne wyczerpanie drogi polubownej. Służy temu precyzyjnie sformułowany wniosek do administratora danych. W dokumencie tym należy jednoznacznie wskazać uchybienia w zakresie privacy by design lub privacy by default. Wniosek powinien zawierać:
- Dokładne wskazanie systemu, aplikacji lub procesu, który narusza art. 25 RODO.
- Opis postulowanych zmian (np. zmiana domyślnych ustawień profilowania na opcję "opt-in" zamiast "opt-out").
- Argumentację prawną opartą na analizie ryzyka oraz zasadzie minimalizacji danych.
- Wyznaczony termin na odpowiedź i wdrożenie zmian, najczęściej wynoszący 30 dni.
Brak odpowiedzi w tym terminie lub odpowiedź odmowna stanowi bezpośrednią podstawę do podjęcia dalszych kroków przed organem nadzorczym.
Krok 2: Skarga do Prezesa Urzędu Ochrony Danych Osobowych
Gdy administrator odmawia współpracy, kolejnym krokiem jest uruchomienie postępowania administracyjnego. Organem właściwym do rozpatrzenia sprawy w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Skarga do tego organu musi spełniać wymogi formalne określone w Kodeksie postępowania administracyjnego oraz ustawie o ochronie danych osobowych.
Co musi zawierać skarga do PUODO?
W treści skargi należy dokładnie opisać stan faktyczny. Kluczowe jest załączenie kopii korespondencji z administratorem, w tym wysłanego wcześniej wniosku oraz otrzymanej odmowy. Wskazujemy naruszenie art. 25 RODO poprzez wykazanie, że administrator nie zastosował domyślnej ochrony danych lub zaprojektował system w sposób naruszający prywatność. Warto powołać się na konkretne wytyczne Europejskiej Rady Ochrony Danych (EROD) dotyczące art. 25 RODO, co znacznie wzmacnia pozycję argumentacyjną skarżącego.
Termin rozpatrzenia sprawy przez organ
Zgodnie z przepisami, organ nadzorczy powinien załatwić sprawę bez zbędnej zwłoki, a w sprawach szczególnie skomplikowanych w terminie do dwóch miesięcy. W praktyce, ze względu na stopień skomplikowania spraw technicznych oraz obciążenie urzędu, postępowania te mogą trwać znacznie dłużej. W przypadku bezczynności organu, skarżącemu przysługuje prawo do wniesienia ponaglenia, a następnie skargi na bezczynność do sądu administracyjnego.
Krok 3: Droga sądowa – Skarga do Wojewódzkiego Sądu Administracyjnego
Decyzja Prezesa UODO nie kończy definitywnie sprawy. Stronie niezadowolonej z rozstrzygnięcia przysługuje prawo do wniesienia skargi do Wojewódzkiego Sądu Administracyjnego (WSA). Jest to kluczowy etap odwoławczy, w którym badana jest legalność decyzji wydanej przez organ nadzorczy.
Termin na wniesienie skargi do WSA wynosi 30 dni od dnia doręczenia decyzji PUODO. Skargę wnosi się za pośrednictwem Prezesa UODO, co daje organowi szansę na ewentualną autoreformę decyzji. W skardze do sądu należy skupić się na wykazaniu błędów w interpretacji przepisów prawa materialnego (art. 25 RODO) lub naruszeniu przepisów postępowania administracyjnego, które miało istotny wpływ na wynik sprawy.
Najczęstsze błędy w sprawach dotyczących art. 25 RODO
Analiza postępowań przed PUODO oraz sądami administracyjnymi pozwala na zidentyfikowanie najczęstszych błędów popełnianych przez skarżących. Należą do nich:
- Niewystarczające uprawdopodobnienie naruszenia: Skarżący często ograniczają się do ogólnych twierdzeń, nie przedstawiając dowodów na to, jak system działa w praktyce (np. zrzutów ekranu, analizy ruchu sieciowego).
- Mylenie pojęć: Często myli się brak realizacji praw podstawowych (np. prawa dostępu do danych z art. 15 RODO) z wadliwością projektową systemu (art. 25 RODO). Choć są to kwestie powiązane, wymagają innej argumentacji.
- Przeoczenie terminów: Uchybienie 30-dniowemu terminowi na zaskarżenie decyzji organu do WSA zamyka drogę do dalszej weryfikacji sądowej.
Praktyczny przykład (Case Study)
Wyobraźmy sobie sytuację, w której dostawca platformy e-learningowej dla szkół wdraża nowy moduł analityczny. Moduł ten domyślnie śledzi aktywność uczniów poza godzinami lekcyjnymi oraz analizuje ich zaangażowanie za pomocą algorytmów sztucznej inteligencji, nie dając możliwości wyłączenia tej funkcji. Jeden z rodziców składa wniosek do szkoły (administratora) o wyłączenie domyślnego profilowania, powołując się na art. 25 ust. 2 RODO. Szkoła odmawia, twierdząc, że system został zakupiony od zewnętrznego dostawcy i nie ma możliwości technicznej modyfikacji tych ustawień.
W tym przypadku odmowa jest bezprawna. Szkoła jako administrator ma obowiązek korzystać wyłącznie z takich narzędzi, które spełniają wymogi privacy by design. Rodzic składa skargę do PUODO. Organ po przeprowadzeniu postępowania nakłada na szkołę obowiązek dostosowania systemu do przepisów prawa poprzez nakazanie wyłączenia domyślnego profilowania lub zmianę dostawcy oprogramowania. Gdyby szkoła zaskarżyła tę decyzję, WSA z dużym prawdopodobieństwem utrzymałby decyzję PUODO w mocy, wskazując, że trudności techniczne i relacje z podwykonawcami nie zwalniają administratora z bezwzględnych obowiązków publicznoprawnych.
Podsumowanie i rekomendacje
Odmowa realizacji obowiązków wynikających z art. 25 RODO nie powinna być końcem walki o prywatność. Narzędzia prawne, takie jak wniosek do administratora, skarga do organu nadzorczego oraz skarga do sądu administracyjnego, tworzą spójny i skuteczny system ochrony. Kluczem do sukcesu jest jednak ścisłe przestrzeganie procedur, rzetelne gromadzenie dowodów technicznych oraz bezwzględne pilnowanie terminów procesowych. W dobie postępującej cyfryzacji, egzekwowanie zasad privacy by design i privacy by default staje się jednym z najważniejszych wyzwań współczesnej praktyki prawnej.