Składanie formalnych skarg dotyczących nachalnych telemarketerów oraz stron uruchamiających skrypty śledzące może przynieść wymierne efekty. Poniżej opisujemy krok po kroku, po co, kiedy i jak składać skargi do Urzędu Ochrony Danych Osobowych i Urzędu Komunikacji Elektronicznej.
Spis treści:
- Po co składać skargi?
- Co można zgłaszać?
- Po czym poznać, że strona jest niezgodna z RODO?
- Jak składać skargę?
- Wasze pytania i odpowiedzi
Odcinek #25
Ten sam temat poruszamy w najnowszym odcinku podcastu, którego możecie posłuchać tutaj:
Po co składać skargi?
Wpływ na działania urzędów
W idealnym świecie UODO zapobiegałoby nadużyciom administratorów stron internetowych poprzez publikowanie jednoznacznych wytycznych i wykonywanie kontroli najpopularniejszych stron. Niestety tak nie jest. Skargami możemy za to kierować uwagę UODO tam, gdzie uważamy, że jest potrzebna.
Pamiętajmy, że urzędy mają obowiązek rozpatrzyć każdą poprawnie złożoną skargę. Jeżeli do urzędu wpłynie odpowiednio duża liczba skarg, to urzędowi będzie się opłacało podjąć działania, aby zgłaszane naruszenie się nie ponowiło - wtedy uniknie napływu podobnych skarg w przyszłości, oszczędzając sobie czas.
Stopniowa eliminacja frustracji
Wiele frustrujących nas w cyfrowym świecie rzeczy jest nielegalna. Niemniej jednak administratorzy stron i telemarketerzy dopuszczają się naruszeń prawa, bo wiedzą, że prawdopodobnie ujdzie im to na sucho.
Jeżeli będziemy składać skargi na napotkane naruszenia, to więcej z osób dopuszczających się tych naruszeń spotka kara. Gdy powszechnie wiadome będzie, że UODO nakłada kary za niezgodne z RODO skrypty śledzące, to mniej administratorów będzie chciało podejmować ryzyko związane z nielegalnym śledzeniem swoich użytkowników.
Podobnie jest z niechcianymi połączeniami od telemarketerów - jeżeli firmy zajmujące się telemarketingiem będą otrzymywać nie tylko prośby o usunięcie numeru z bazy od klientów, ale także upomnienia, kontrole i kary od UKE, to ich funkcjonowanie będzie znacząco utrudnione.
Mniejszy ślad węglowy
Skrypty śledzące doklejane do stron internetowych zajmują kilobajty (a czasem nawet megabajty!) danych, które trzeba pobrać, przetworzyć i wyświetlić. To kosztuje nas pieniądze (np. zużywamy szybciej pakiet danych LTE) i powoduje zwiększone zużycie energii na transport i odczyt - co zwiększa nasz ślad węglowy.
Więcej skarg = mniej skryptów śledzących = mniej pobranych danych = mniej emisji CO₂.
Nasze sukcesy
Po naszych skargach pojawiły się m.in. następujące zmiany:
- Wp.pl korzysta z własnych fontów zamiast z Googlowych;
- Gazeta.pl usunęła skrypty Facebooka;
- Widgety Facebookowe zniknęły ze strony Instytutu do Walki z Antypolonizmem i innych (mniejszych) stron, które zgłosiliśmy;
- InPost nie ładuje skryptów śledzących Facebooka przed otrzymaniem na to zgody;
- Filmweb nie ładuje skryptów Facebooka przed otrzymaniem zgody;
- Twoje-miasto.pl dodało przycisk „nie wyrażam zgody”;
- Heydoc.pl nie ładuje skryptów Facebooka przed otrzymaniem zgody;
- Demotywatory.pl nie ładują skryptów Facebooka przed otrzymaniem zgody.
Większość z naszych skarg wciąż czeka na rozpatrzenie przez UODO, ale znamy sposoby na wywieranie presji, aby sprawy w końcu otrzymały decyzję Urzędu - o tym niżej :)
Co można zgłaszać?
W tym artykule skupiamy się na dwóch rodzajach naruszeń - dotyczących:
- przetwarzania danych osobowych (w szczególności przez strony internetowe), oraz
- marketingu bezpośredniego (niechciane połączenia telefoniczne).
Strony internetowe
Pamiętajmy, że dane osobowe to nie tylko nasze imię i nazwisko czy adres, ale także rzeczy bardziej przydatne reklamodawcom w Sieci, którzy bardziej niż naszym miejscem zamieszkania są zainteresowani naszymi preferencjami zakupowymi i historią przeglądanych przez nas stron. Skrypty śledzące generują losowy identyfikator i przypisują go konkretnemu użytkownikowi, aby zbierać informacje o tym, który użytkownik odwiedza jakie strony.
Więcej o technicznych aspektach przechowywania tego sztucznego identyfikatora możesz przeczytać tutaj:
Arkadiusz Wieczorek
Takie sztucznie wygenerowane i przypisane nam ID stanowi daną osobową i nie można go przetwarzać bez ważnej podstawy prawnej. Z drobnymi wyjątkami strony dla każdego z procesów przetwarzania danych osobowych mogą legalnie powołać się tylko na jedną z trzech podstaw prawnych:
- Otrzymanie zgody użytkownika na takie przetwarzanie danych (art. 6 ust. 1 lit. a) RODO). Jeżeli administrator powołuje się na zgodę, to:
- administrator musi być w stanie wykazać, że użytkownik wyraził taką zgodę i że ta zgoda jest ważna (motyw 42 RODO);
- aby zgoda była ważna, to jej wyrażenie musi być tak samo łatwe, jak jej niewyrażenie (art. 7 ust. 3 RODO);
- zgoda nie może być wymuszona - brak zgody nie może oznaczać braku dostępu do jakiejś usługi lub treści. (Wytyczne EROD 05/2020 dotyczące zgody, punkt 13).
Trochę więcej o zgodzie opowiedzieliśmy tutaj:
Kuba Orlik
-
Konieczność takiego przetwarzania danych do wykonania umowy (art. 6 ust. 1 lit. b) RODO) lub do wyświetlenia strony (Art. 5, ust. 3 Dyrektywy o prywatności i łączności elektronicznej)
Zatem strona nie musi prosić o zgodę, aby zebrać np. Twój adres, gdy kupujesz coś w sklepie internetowym.
Warto pamiętać też, że do wyświetlenia strony nie jest konieczne przetwarzanie sztucznie nadanego identyfikatora, ale już adresu IP - owszem.
-
Ulubieniec administratorów stron: Uzasadniony Interes (art. 6 ust. 1 lit. f) RODO). Często (błędnie!) jest traktowany jako swojego rodzaju „dzika karta” - gdy administrator nie pozyskał zgody na dany proces przetwarzania danych osobowych i ten proces nie jest konieczny do świadczenia usługi, to myśli, że wystarczy powołać się na uzasadniony interes, aby uczynić ten proces legalnym.
Jak jednak mówi Opinia Grupy Roboczej 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE, aby uzasadniony interes mógł stanowić legalną podstawę prawną, musi być jasno określony (samo „marketing” nie wystarcza - trzeba opisać, marketing komu, czemu, gdzie i w jakim celu).
Administrator danych powinien też wykonać test równowagi pomiędzy jego uzasadnionym interesem, a interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą. Wynik tego testu przesądza o tym, czy uzasadniony interes można traktować jako podstawę prawną przetwarzania.
Innymi słowy - nawet, jeżeli administrator posiada uzasadniony interes, to nie zawsze upoważnia go do przetwarzania danych. Nie można np. zasłaniać się uzasadnionym interesem, gdy wykonuje się śledzenie czyjejś historii przeglądania, aby serwować reklamę behawioralną - bo tutaj prawa i interesy użytkownika przeważają nad interesem administratora.
Po czym poznać, że strona jest niezgodna z RODO?
Najłatwiej jest skorzystać Rentgena - naszej wtyczki do Firefoxa. Podsunie ona potencjalne problemy z Cookiesami i skryptami śledzącymi na zadanej stronie:
Arkadiusz Wieczorek
Są jednak rzeczy, które możesz zaobserwować na stronie bez żadnych wtyczek i bez umiejętności programistycznych:
Widgety Facebooka i Twittera
Jeżeli widzisz je na stronie internetowej, to dana sieć społecznościowa została już poinformowana o części Twojej historii przeglądania. Jeżeli administrator nie otrzymał na to Twojej ważnej zgody, to jest już materiał na skargę.
Niewłaściwie uzyskiwana zgoda
Wyskakujące okienka proszące o „zgodę” często robią to nieprawidłowo i uzyskana przez nie zgoda nie jest ważna w świetle RODO. Oto przykłady:
- Niewyrażenie zgody powinno być samo łatwe, jak jej wyrażenie. Jeżeli można zaakceptować wszystko jednym przyciskiem, to powinien być też równie łatwo dostępny przycisk do niewyrażenia zgody na wszystkie wspomniane cele. W przeciwnym wypadku zgoda wyrażona tym przyciskiem nie jest ważna.
Jeżeli masz już odkliknięte okienko o RODO na jakiejś stronie, możesz zobaczyć je ponownie odwiedzając tę stronę w Trybie Prywatnym.
-
Domniemanie zgody, zgoda przez brak akcji.
Administratorzy w odpowiedzi na nasze maile czasem powołują się na zapisy w postaci „jeżeli nie chcesz cookies, zmień ustawienia przeglądarki” lub „kontynuując korzystanie ze strony, wyrażasz zgodę (...)”, próbując w ten sposób wykazać, że otrzymali zgodę na wypomniane im procesy przetwarzania danych osobowych. To jest bzdura. Zgoda musi być rezultatem świadomej i celowej akcji ze strony użytkownika (Motyw 32 RODO).
Zatem jeżeli administrator w polityce prywatności mówi, że podstawą prawną danego procesu przetwarzania danych osobowych jest „zgoda”, a ta zgoda jest niby wyrażona poprzez zwykłe korzystanie ze strony lub ustawienia przeglądarki, to nie jest to ważna zgoda i administrator nie może wykonywać tych procesów przetwarzania danych.
Ma to sens w szczególności, gdy zwrócimy uwagę na fakt, że zgoda musi być otrzymana zanim rozpocznie się dany proces przetwarzania danych.
Polityka prywatności zasłonięta przez "popup rodo"
Niektóre strony nie pozwalają na przeczytanie treści Polityki Prywatności, póki nie zaakceptujemy ich polityki prywatności:
Telemarketing, spam
Zgodnie z art. 172 ust. 1 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz.U. z 2021 r., poz. 576), zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Jeżeli otrzymujesz spam telefoniczny lub mailowy od podmiotów, które nie otrzymały na to Twojej zgody, jak najbardziej możesz złożyć skargę - najlepiej zarówno do UODO, jak i do Urzędu Komunikacji Elektronicznej.
Jak składać skargę
1. Przygotuj materiał dowodowy
Wykonaj zrzuty ekranów, które pokazują konkretne problemy na stronie. Zanotuj datę, godzinę i konkretne adresy odwiedzonych stron.
2. Ustal tożsamość administratora strony
Aby UODO lub UKE mogły rozpocząć postępowanie administracyjne w reakcji na Twoją skargę, muszą mieć dane podmiotu, na który składasz skargę. Bez tych danych urząd nie podejmie żadnych działań. Jeżeli zatem jesteś administratorem strony internetowej łamiącej RODO i nie chcesz mieć problemów ze strony UODO, po prostu nie podpisuj się na tej stronie 🙃. Urząd nie ma uprawnień do rozpoczynania śledztwa. Ale prokuratura już tak - o tym wspominamy w dalszej części artykułu.
W ustaleniu tożsamości administratora strony może pomóc zakładka Kontakt, treść Polityki Prywatności, oraz wyszukiwarka eKRS i CEIDG.
Wtyczka Rentgen pomoże Ci w zrobieniu odpowiednich zrzutów ekranu strony.
3. Wyślij maila do administratora strony
W rzadkich wypadkach wystarczy napisać do IOD strony i wskazać konkretne problemy, jakie znajdują się na stronie, aby po pewnym czasie zobaczyć zmiany witryny na lepsze.
My z reguły dajemy administratorom miesiąc na wdrożenie zmian i załatanie strony. Jeżeli administrator nie wyraża skruchy i nie wdraża zmian, wtedy idziemy ze skargą do UODO. Można wysłać tego samego dnia zarówno maila do administratora, jak i skargę do UODO, jeżeli ma się małą wiarę w dobrą wolę administratora strony.
W mailu radzimy nie zawierać takich zapisów, jak „jeżeli Państwo nie zmienią nic na stronie to zgłoszę Was do UODO”. Nie musisz o tym ostrzegać, a wręcz taki zapis może sprawić, że niektóre podmioty podejdą do tematu zbyt defensywnie.
Wtyczka Rentgen wygeneruje dla Ciebie treść maila dotyczącego konkretnej strony internetowej i umieszczonych na niej skryptach śledzących.
4. Przygotuj treść skargi
Skorzystaj z naszych szablonów, aby przygotować treść skargi:
Wypełnij je swoimy danymi oraz opisem naruszeń i zapisz do pliku PDF.
Oto przykładowy opis naruszenia, który można zamieścić wewnątrz szablonu skargi:
W dniu 2021-09-21 odwiedziłem stronę https://spidersweb.pl/polityka-prywatnosci-spiders-web. Strona ta wyświetliła mi okienko z prośbą o zgodę na przetwarzanie danych. Klinkąłem "Zaakceptuj wszystko". Jakiekolwiek procesy przetwarzania danych osobowych, jakie po tym nastąpiły, nie mogą używać mojej zgody jako podstawy prawnej. Jest tak, ponieważ tę zgodę było łatwiej wyrazić niż nie. Został mi pokazany przycisk, którym mogłem wyrazić zgodę na wszystkie procesy przetwarzania danych osobowych, ale nie było już przycisku który z równą łatwością sygnalizowałby brak mojej zgody na wszystkie te procesy. Zgoda ta zatem nie spełnia warunku opisanego w art. 7 ust. 3 RODO i nie jest ważna.
Zwracam też uwagę na fakt, że administrator tej strony nie umieszcza w łatwo dostępnym miejscu imienia i nazwiska inspektora ochrony danych osobowych, ani jego numeru telefonu i adresu email.
5. Nadaj skargę za pomocą ePUAP
Skorzystaj z tego linka, aby przejść do wypełniania treści pisma. Kliknij „Załatw sprawę”, zaloguj się profilem zaufanym i wypełnij formularz:
- w polu „Wybierz urząd lub instytucję, do której składasz pismo” wpisz „Urząd ochrony danych osobowych” lub „Urząd komunikacji Elektronicznej” i wybierz odpowiednią opcję z listy sugestii;
- w polu „Rodzaj Pisma” wybierz „Skarga”;
- w polu „Tytuł pisma” wpisz „Skarga na podmiot XYZ”;
- w polu „Treść pisma” wpisz „W załączeniu przesyłam treść skargi”;
Następnie uzupełnij załączniki - plik PDF z treścią skargi i zebrane dowody (np. zrzuty ekranu). Opisz krótko każdy załącznik. Kliknij „Dalej”, dokonaj podpisu cyfrowego (najłatwiej jest podpisać za pomocą „podpisu zaufanego”) i nadaj pismo.
Sprawdź, czy w Twojej skrzynce mailowej znajduje się powiadomienie o nadaniu pisma. Jeżeli tak, to oznacza, że jak tylko urząd odpowie na Twoje pismo, dostaniesz o tym powiadomienie mailowe - nie musisz codziennie z niecierpliwością odświeżać skrzynki ePUAP-owej ;)
6. Czekaj maksymalnie trzy miesiące na odpowiedź
Urząd ma obowiązek poinformować skarżącego o postępach lub efektach skargi w przeciągu trzech miesięcy od jej złożenia (art 78. § 2 RODO). Ustaw sobie przypomnienie w kalendarzu. Jeżeli po trzech miesiącach nie masz odpowiedzi, wyślij ponaglenie. Ponaglenie wysyłamy za pomocą ePUAP, wybierając rodzaj pisma na „INNE” i wpisując treść:
W dniu 2021-09-21 wysłałem skargę dotyczącą podmiotu XYZ. Sprawa do dzisiaj pozostała bez rozstrzygnięcia. Wnoszę o bezzwłoczne podjęcie działań prowadzących do wydania decyzji w tej sprawie.
Jeżeli po kolejnym miesiącu sprawa nie masz odpowiedzi, możesz złożyć skargę na bezczynność do Wojewódzkiego Sądu Administracyjnego. Opiszemy jak to zrobić w osobnym artykule.
Powiadomienie do prokuratury o popełnieniu przestępstwa
Zgodnie z art. 107 ust. 1 u.o.d.o.’2018 2, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Jeżeli skarga do UODO/UKE nie przyniesie rezultatu lub jej wykonanie jest niemożliwe, bo administrator chowa swoją tożsamość, warto spróbować wysyłać powiadomienie do prokuratury o popełnieniu przestępstwa. Tej ścieżki jeszcze nie przećwiczyliśmy, ale mamy to w planach i poinformujemy Was, jak tylko będziemy mieli z tym konkretne doświadczenia. Zapraszamy do subskrybowania ;)
Odpowiedzi na Wasze pytania:
Czy mogę zgłaszać bez wcześniejszych prób załatwienia tego bezpośrednio ze zgłaszanym?
Skargi mogą dotyczyć spraw ogólnych („taka a taka strona źle przetwarza dane użytkowników”) lub sprawy indywidualnej („taka a taka strona źle przetworzyła moje dane, oto dowody”).
Warto jest informować UODO i UKE o ogólnych nadużyciach, jakie napotykamy - nawet, jeżeli wcześniej nie próbowaliśmy tego załatwić „grzecznie” z administratorem strony.
Warto wiedzieć, że UODO nie podejmuje się postępowania wyjaśniającego, jeżeli zgłaszamy tylko ogólne nadużycie, a nie naruszenie naszych konkretnych danych. Innymi słowy: UODO ma obowiązek pochylić się nad każdym zgłoszeniem dotyczącym czyjejś indywidualnej sprawy, a zgłoszeniami bardziej ogólnymi może się zająć lub nie - wedle własnego uznania (na pewno ilość wysyłanych skarg ma pewien wpływ na to uznanie).
Jeżeli chcemy, aby UODO podjęło postępowanie wyjaśniające w naszej indywidualnej sprawie, to najpierw trzeba spróbować to załatwić z administratorem danych. Jeżeli nasze żądania nie zostaną spełnione w przeciągu miesiąca (lub trzech, jeżeli administrator poprosi o dodatkowy czas), to wtedy przysługuje nam skarga. Do takiej skargi należy koniecznie załączyć kopię całej naszej korespondencji z administratorem.
Czy podmiot, którego dotyczy zgłoszenie, otrzymuje dostęp do danych osobowych osoby zgłaszającej?
Tak. W co najmniej jednej sytuacji dostaliśmy informację, że podmiot, którego dotyczyła skarga, dostał kopię całej treści skargi - razem z danymi teleadresowymi na niej umieszczonymi. Sprawdzimy, czy można poprosić UODO, aby przy wysyłaniu kopii skargi nie umieszczało na niej danych teleadresowych osoby skarżącej.
Czy w zgłoszeniu muszą znajdować się dane osobowe?
Tak. Bez danych teleadresowych skarga nie będzie rozpatrywana, nie można składać anonimowo skargi.
Czy sam numer telefonu to dana osobowa?
Zdaniem UODO - tak. Zdaniem WSA - nie. Sprawa jeszcze nie jest rozstrzygnięta.
Możecie nas śmiało pytać o pomoc w zgłaszaniu!
Jeżeli chcecie zgłosić naruszenie, ale nie wiecie dokładnie jak - piszcie śmiało do nas na kontakt@internet-czas-dzialac.pl, na naszych social mediach, lub w komentarzach pod tym artykułem. Z chęcią pomożemy na każdym kroku składania skargi :)
Wspomniane podstawy prawne
- Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne - o zakazie telemarkegingu bez zgody;
- Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679 - jakie cechy ma ważna zgoda;
- Opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE - wspomina o teście równowagi interesu administratora i interesów i praw obywateli/użytkowników;
- Spór o to, czy numer telefonu to dane osobowe;
Źródła i materiały:
- Gazeta.pl przed i po naszej skardze;
- InPost.pl przed i po naszej skardze;
- Wyszukiwarka eKRS;
- Wyszukiwarka CEIDG;
- Pismo ogólne do podmiotu publicznego - epuap;
Zobacz także:
Arkadiusz Wieczorek