Czego mogę się spodziewać w piśmie UODO jak przyjdzie skarga?
Share
Skarga klienta trafiła do UODO. Po kilku tygodniach przychodzi pismo z urzędu z prośbą o wyjaśnienia. Wezwanie ma konkretną strukturę której większość firm widzi pierwszy raz. Warto wiedzieć co dokładnie tam będzie zanim dostaniecie ten list.
UODO nie pisze pism dowolnie. Wezwania do złożenia wyjaśnień w sprawach skargowych mają w większości przypadków powtarzalną strukturę. Cztery główne pytania które wynikają z konstrukcji RODO i z tego co organ musi ustalić żeby ocenić skargę.
Znając te pytania wcześniej można przygotować odpowiedzi systematycznie zamiast pisać je w panice po otrzymaniu wezwania z terminem 14 dni na odpowiedź.
Pytanie pierwsze: jak weszliście w posiadanie danych skarżącego
UODO zaczyna od początku łańcucha. Skąd firma w ogóle ma dane osoby która składa skargę.
Pytanie jest zazwyczaj sformułowane mniej więcej tak: czy, kiedy, w jakim celu, i w zakresie jakich danych osobowych spółka pozyskała dane osobowe skarżącego oraz prosi o przekazanie kopii informacji przekazanej podmiotowi danych przy ich pozyskiwaniu.
To pytanie ma kilka warstw.
Czy w ogóle macie te dane. Czasem odpowiedź brzmi po prostu "nie." Skarga może dotyczyć firmy która nigdy nie przetwarzała danych skarżącego – ktoś podał błędną firmę, ktoś pomylił podobne nazwy, ktoś działał w złej wierze.
Kiedy. Konkretna data lub okres pozyskania. Jeśli pozyskaliście dane 5 lat temu – to też trzeba napisać.
W jakim celu. Kupno produktu, zapisanie na newsletter, zatrudnienie, złożenie reklamacji. Cel musi być konkretny.
W jakim zakresie. Co dokładnie zebraliście. Imię, nazwisko, adres mailowy, telefon. Nie ogólnie "dane kontaktowe" ale konkretnie wymieniona lista kategorii.
Kopia klauzuli informacyjnej. Jaka klauzula została skarżącemu przekazana przy pozyskiwaniu danych. To jest dokument który UODO będzie potem porównywać z aktualną sytuacją.
Już na tym etapie wiele firm ma problem. Bo nie pamiętają jak dokładnie pozyskali dane konkretnej osoby. Nie mają archiwum klauzul z lat poprzednich. Nie wiedzą czy klauzula z 2020 roku różniła się od obecnej.
Przygotuj się: archiwizuj wersje klauzul informacyjnych z dat ich obowiązywania. Trzymaj logi systemowe pokazujące momenty pozyskania danych konkretnej osoby. Bez tego odpowiedź na pierwsze pytanie UODO jest improwizacją.
Pytanie drugie: czy nadal macie dane i co z nimi robicie
Drugie pytanie patrzy na stan aktualny.
UODO pyta zazwyczaj: czy spółka nadal posiada dane osobowe skarżącego, jakie konkretnie dane, w jakim celu są przetwarzane oraz jak długo będą przetwarzane.
Czy nadal macie. Pytanie brzmi prosto ale wymaga sprawdzenia we wszystkich systemach – CRM, baza marketingowa, archiwum księgowe, lista newslettera, system rezerwacji. Dane jednej osoby mogą być w kilku miejscach naraz a każde z tych miejsc ma inną logikę retencji.
Jakie dane konkretnie. Inwentaryzacja tego co macie dziś. Może być inna niż to co zebraliście pierwotnie – bo część danych mogła zostać usunięta po upływie okresów retencji, ale za to dołączyły inne dane wytworzone w trakcie współpracy.
W jakim celu. Aktualny cel przetwarzania. Może być ten sam co pierwotnie ale często jest inny – pierwotnie zebraliście dane do zawarcia umowy, dziś przetwarzacie je do dochodzenia roszczeń albo obowiązków księgowych.
Jak długo będziecie przetwarzać. Tu trzeba podać konkretne okresy retencji z konkretnym uzasadnieniem prawnym. Nie "do końca współpracy" tylko "do upływu okresów przedawnienia roszczeń zgodnie z Kodeksem cywilnym, czyli przez 6 lat od zakończenia umowy."
To pytanie sprawdza czy macie ustaloną politykę retencji i czy faktycznie ją stosujecie. Firmy które trzymają wszystkie dane w nieskończoność "na wszelki wypadek" wpadają na tym pytaniu regularnie.
Pytanie trzecie: czy skarżący zwrócił się wcześniej i jak zareagowaliście
Skarga do UODO bardzo często jest poprzedzona próbą bezpośredniego kontaktu z firmą (Jest to jedno z pytań na formularzu zgłoszenia skargi i w teorii konieczne). Klient wysłał maila z żądaniem usunięcia danych. Firma nie odpowiedziała albo odpowiedziała niesatysfakcjonująco. Klient zwrócił się do UODO.
UODO pyta o tę wcześniejszą fazę: czy spółka otrzymała żądanie podmiotu danych, jak się ustosunkowała oraz prosi o przekazanie dowodów reakcji.
Czy otrzymaliście żądanie. Sprawdź wszystkie kanały komunikacji – maile, formularze kontaktowe, listy papierowe, telefoniczne zgłoszenia. Czasem żądanie wpłynęło do działu obsługi klienta i nikt z RODO o nim nie wiedział.
Jak się ustosunkowaliście. Pełna chronologia. Kiedy wpłynęło żądanie. Kto się nim zajął. Jakie podjęliście kroki. Jaka była odpowiedź dla klienta. W jakim terminie.
Dowody. Kopia korespondencji z klientem. Wewnętrzna dokumentacja procesu obsługi żądania. Logi systemowe pokazujące że dane zostały usunięte (jeśli to było żądanie usunięcia). Skan pisma jeśli odpowiedź była papierowa.
Brak żadnej dokumentacji wcześniejszego kontaktu z klientem przy potwierdzeniu że klient pisał do firmy – jest dowodem że proces obsługi żądań w firmie nie działa.
Pytanie czwarte: ściśle związane z istotą skargi
Czwarte pytanie jest zawsze inne bo zależy od konkretnej skargi. UODO pyta o sedno tego co klient zarzuca firmie.
Typowe warianty:
Przy skardze na wyciek danych. Czy faktycznie doszło do wycieku, w jakich okolicznościach, jakich danych dotyczył, jakie podjęliście działania, czy zgłosiliście naruszenie do UODO.
Przy skardze na niezrealizowane żądanie usunięcia. Dlaczego dane nie zostały usunięte, na jakiej podstawie prawnej dalsze przetwarzanie jest uzasadnione, jakie dane zostały usunięte a jakie pozostały.
Przy skardze na nieautoryzowane przekazanie danych. Czy faktycznie przekazaliście dane danemu odbiorcy, na jakiej podstawie prawnej, czy istnieje umowa powierzenia albo inny mechanizm uregulowania transferu.
Przy skardze na marketing bezpośredni bez zgody. Na jakiej podstawie wysyłaliście komunikację, jak była zebrana zgoda jeśli była, kiedy klient zgłosił sprzeciw, jak na sprzeciw zareagowaliście.
Przy skardze na klauzulę informacyjną. Jakie klauzule otrzymał skarżący, kiedy, w jakiej formie. Kopia każdej wersji klauzuli z dat ich obowiązywania.
Czwarte pytanie wymaga konkretnej odpowiedzi popartej dowodami. Tu nie wystarczy ogólne zapewnienie że "firma dba o RODO." UODO oczekuje konkretów – co, kiedy, kto, dlaczego.
Jak nie odpowiadać na pismo UODO
Trzy najczęstsze błędy które firmy popełniają w pierwszych odpowiedziach.
Pierwszy: pisanie zbyt dużo.
Niektóre firmy w odpowiedzi na 4 pytania UODO przesyłają 30-stronicowy dokument z opisem całej swojej polityki ochrony danych. To nie jest dobre. UODO zadało konkretne pytania – odpowiadacie na konkretne pytania. Wszystko dodatkowe to dodatkowy materiał z którym kontroler może coś niewygodnego zrobić.
Drugi: odpowiadanie bez dowodów.
Pisanie "klient otrzymał odpowiedź na swoje żądanie w terminie" bez załączenia kopii korespondencji. UODO nie weźmie takiej deklaracji za pewnik. Każde stwierdzenie powinno być poparte załączonym dowodem.
Trzeci: improwizowanie tam gdzie nie macie pewności.
Jeśli nie wiecie dokładnie kiedy zebraliście dane skarżącego – nie zgadujcie. Napiszcie że na podstawie dostępnych logów ustaliliście że dane prawdopodobnie pochodzą z określonego okresu. Zgadywana data która okaże się błędna jest gorsza niż uczciwe przyznanie że nie da się tego ustalić z absolutną precyzją.
Co zrobić w pierwszych dniach po otrzymaniu pisma
Krok pierwszy: sprawdzić termin odpowiedzi. UODO zazwyczaj daje 7 dni od chwili dostarczenia. Potencjalnie dokument mógł "przeleżeć" na recepcji.
Krok drugi: zinwentaryzować dane skarżącego we wszystkich systemach firmy. To jest podstawa odpowiedzi na pytanie drugie i często też czwarte. Bez tej inwentaryzacji nie ma materiału na sensowną odpowiedź.
Krok trzeci: znaleźć całą historyczną korespondencję ze skarżącym. Każdy mail, każde zgłoszenie, każdy ticket w systemie obsługi klienta. To jest materiał do pytania trzeciego.
Krok czwarty: znaleźć i zarchiwizować wersje klauzul informacyjnych z okresu kiedy dane zostały zebrane. Bez tego pytanie pierwsze odpowiada się niekompletnie.
Krok piąty: skonsultować pismo z prawnikiem albo IOD jeśli macie. Pierwsza odpowiedź do UODO ma duże znaczenie dla całego dalszego biegu sprawy. Lepiej zainwestować dzień konsultacji niż wysłać improwizowaną odpowiedź.
Co dzieje się po Waszej odpowiedzi
UODO ma kilka opcji.
Może uznać że odpowiedź wyjaśnia sprawę i zamknąć postępowanie. Najczęstszy scenariusz jeśli odpowiedź była konkretna, poparta dowodami i nie pokazała poważnych naruszeń.
Może wezwać do dodatkowych wyjaśnień. Wtedy proces się powtarza – kolejne pytania, kolejna odpowiedź, kolejna ocena.
Może wszcząć postępowanie administracyjne. Wtedy zaczyna się formalne postępowanie z możliwymi konsekwencjami w postaci kary administracyjnej, nakazu zaprzestania określonych praktyk albo innych środków.
Pierwsza odpowiedź ma kluczowe znaczenie dla tego który z tych scenariuszy nastąpi. Konkretna, dobrze udokumentowana, kompletna odpowiedź zazwyczaj prowadzi do zamknięcia sprawy. Powierzchowna, niekompletna, broniąca się generalniem – do eskalacji.
Co to znaczy dla budowania compliance w firmie
Świadomość że pismo z UODO ma powtarzalną strukturę pozwala budować dokumentację w sposób który ułatwia odpowiedź zanim skarga w ogóle wpłynie.
Archiwizuj historyczne wersje klauzul informacyjnych. Loguj momenty pozyskania danych konkretnych osób. Dokumentuj proces obsługi każdego żądania podmiotu danych. Trzymaj politykę retencji w sposób który pozwala udzielić konkretnej odpowiedzi na pytanie ile czasu jeszcze przechowujecie dane.
Firma która ma te elementy systematycznie odpowiada na skargę w UODO w jeden dzień. Firma która tego nie ma odpowiada przez dwa tygodnie (prosząc o wydłużenie terminu) i często nie potrafi udokumentować swoich twierdzeń.
Różnica między tymi dwoma scenariuszami nie polega na tym czy dochodzi do skarg. Skargi się zdarzają. Polega na tym jaki jest ich finał.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.
