RODO w informatyce: odmowa i dalsze kroki prawne

W dobie powszechnej cyfryzacji i dynamicznego rozwoju sektora nowych technologii, przetwarzanie danych osobowych stało się fundamentem funkcjonowania większości systemów informatycznych. Aplikacje mobilne, platformy SaaS, systemy CRM czy rozwiązania chmurowe codziennie operują na milionach informacji dotyczących użytkowników. W tym kontekście unijne rozporządzenie o ochronie danych osobowych (RODO) nakłada na podmioty z branży IT szereg rygorystycznych obowiązków, jednocześnie przyznając osobom fizycznym szerokie uprawnienia. Realizacja tych praw w praktyce informatycznej napotyka jednak na liczne bariery techniczne i prawne. Nierzadko zdarza się, że administrator danych podejmuje decyzję o odmowie spełnienia żądania użytkownika. Warto wiedzieć, kiedy taka odmowa jest prawnie uzasadniona, jak powinna zostać sformułowana oraz jakie dalsze kroki prawne może podjąć osoba, która spotkała się z odmową.

Specyfika RODO w branży informatycznej

Branża IT charakteryzuje się unikalną architekturą przechowywania i przetwarzania danych. Dane osobowe rzadko znajdują się w jednym, odizolowanym miejscu. Zazwyczaj są one rozproszone pomiędzy relacyjnymi bazami danych, systemami kopii zapasowych (backupami), logami serwerowymi, pamięcią podręczną (cache) oraz zewnętrznymi usługami API. Z tego powodu realizacja podstawowych praw wynikających z RODO, takich jak prawo do usunięcia danych czy prawo do ich przenoszenia, stanowi ogromne wyzwanie inżynieryjne. Administratorzy systemów informatycznych muszą godzić wymogi prawne z technicznymi ograniczeniami systemów, co nierzadko prowadzi do konfliktów na linii użytkownik – dostawca usług IT.

Prawa użytkownika a obowiązki administratora systemów IT

Każdy użytkownik systemu informatycznego, którego dane są przetwarzane, posiada katalog praw gwarantowanych przez przepisy RODO. Do najczęściej egzekwowanych należą prawo dostępu do danych, prawo do sprostowania, prawo do przenoszenia oraz prawo do usunięcia danych (znane jako prawo do bycia zapomnianym). Na administratorze spoczywa ustawowy obowiązek ułatwienia realizacji tych praw. W środowisku IT oznacza to konieczność zaprojektowania systemów w sposób umożliwiający sprawną ekstrakcję, modyfikację lub trwałe usunięcie danych na żądanie użytkownika.

Prawo dostępu do danych i ich przenoszenia

Użytkownik ma prawo uzyskać od administratora potwierdzenie, czy przetwarzane są jego dane osobowe, a także otrzymać ich kopię w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. W informatyce oznacza to najczęściej wygenerowanie pliku w formacie JSON, XML lub CSV. Odmowa realizacji tego prawa może nastąpić jedynie w ściśle określonych przypadkach, na przykład gdy ujawnienie danych mogłoby naruszyć prawa i wolności innych osób (np. innych użytkowników systemu).

Prawo do bycia zapomnianym (usunięcia danych)

To jedno z najbardziej problematycznych uprawnień w sektorze IT. Usunięcie danych z aktywnej bazy danych to jedno, ale całkowite wymazanie informacji z historycznych kopii zapasowych, które są przechowywane w celach bezpieczeństwa, bywa technicznie niewykonalne bez naruszenia spójności całego backupu. RODO dostrzega te trudności, jednak nie zwalnia administratorów z dążenia do maksymalnej ochrony prywatności. Jeśli administrator odmawia usunięcia danych, must wykazać istnienie ważnej podstawy prawnej do ich dalszego przetwarzania.

Kiedy administrator w informatyce może odmówić realizacji wniosku?

Odmowa realizacji praw wynikających z RODO nie zawsze stanowi naruszenie prawa. Przepisy przewidują sytuacje, w których administrator jest uprawniony, a czasem nawet zobowiązany, do odrzucenia wniosku użytkownika. Kluczowe znaczenie ma tutaj analiza prawno-techniczna każdego indywidualnego przypadku.

Przesłanki odmowy: nadmierny charakter żądania

Zgodnie z art. 12 ust. 5 RODO, jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać rozsądną opłatę (uwzględniającą administracyjne koszty udzielenia informacji) albo odmówić podjęcia działań w związku z żądaniem. W branży IT za nadmierne może zostać uznane np. codzienne wysyłanie automatycznych zapytań o kopię danych przez tego samego użytkownika za pomocą skryptów API.

Konflikt z innymi przepisami prawa i bezpieczeństwo systemów

Administrator nie może usunąć danych, jeśli ich przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego (np. przepisy podatkowe, rachunkowe, przeciwdziałanie praniu pieniędzy). W informatyce częstym powodem odmowy usunięcia danych (np. logów aktywności) jest konieczność zapewnienia bezpieczeństwa sieci i informacji, co stanowi prawnie uzasadniony interes administratora. Dane te mogą być niezbędne do wykrywania cyberataków, analizy incydentów bezpieczeństwa oraz dochodzenia ewentualnych roszczeń.

Procedura odmowy: Jak powinna wyglądać prawidłowa odpowiedź?

Jeśli firma informatyczna decyduje się na odmowę realizacji wniosku RODO, musi dopełnić rygorystycznych formalności. Niedopuszczalne jest ignorowanie wiadomości użytkownika lub wysyłanie lakonicznych, automatycznych komunikatów bez podania przyczyny.

Wymogi formalne decyzji odmownej

Odpowiedź odmowna musi zostać sformułowana jasnym i prostym językiem. Administrator ma obowiązek podać konkretne powody niepodjęcia działań oraz wskazać podstawę prawną swojej decyzji. Ponadto, każda odmowa musi zawierać pouczenie o prawie do wniesienia skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych) oraz o możliwości skorzystania ze środków ochrony prawnej przed sądem.

Termin na udzielenie odpowiedzi

Zgodnie z przepisami, administrator musi udzielić odpowiedzi na wniosek bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W przypadku skomplikowanego charakteru żądania lub liczby wniosków, termin ten może zostać przedłużony o kolejne dwa miesiące. Jednak nawet w przypadku przedłużenia terminu, administrator ma obowiązek poinformować użytkownika o tym fakcie w ciągu pierwszego miesiąca, podając przyczyny opóźnienia. Przekroczenie tego terminu bez powiadomienia stanowi bezpośrednie naruszenie RODO.

Dalsze kroki prawne: Co zrobić po otrzymaniu odmowy?

Otrzymanie odmowy od firmy informatycznej nie oznacza końca drogi. Użytkownik, który uważa, że jego prawa zostały naruszone, dysponuje skutecznymi narzędziami prawnymi pozwalającymi na zweryfikowanie decyzji administratora.

Krok 1: Wezwanie do ponownego rozpatrzenia sprawy

Przed podjęciem kroków formalnych warto skierować do administratora (często do wyznaczonego Inspektora Ochrony Danych – IOD) pismo z prośbą o ponowne przeanalizowanie sprawy. W piśmie tym należy odnieść się do argumentów przedstawionych w odmowie i wykazać, dlaczego są one nieuzasadnione. W branży IT, gdzie decyzje często podejmują zautomatyzowane systemy lub pracownicy pierwszej linii wsparcia technicznego, bezpośredni kontakt z IOD może przynieść szybkie i polubowne rozwiązanie problemu.

Krok 2: Skarga do organu nadzorczego (Prezesa UODO)

Głównym instrumentem ochrony praw jest złożenie skargi do Prezesa Urzędu Ochrony Danych Osobowych. Skarga powinna zawierać dokładny opis stanu faktycznego, dane administratora, wskazanie naruszonych przepisów oraz żądanie nakazania administratorowi określonego działania (np. usunięcia danych lub wydania ich kopii). Do skargi należy dołączyć dowody, w tym dotychczasową korespondencję z administratorem oraz otrzymaną odmowę. Postępowanie przed Prezesem UODO jest bezpłatne i może zakończyć się wydaniem decyzji administracyjnej nakazującej spełnienie żądania oraz nałożeniem na administratora kary finansowej.

Krok 3: Droga sądowa i roszczenia odszkodowawcze

Niezależnie od postępowania przed organem nadzorczym, osoba, której dane dotyczą, ma prawo do wytoczenia powództwa przed sądem powszechnym. Jeżeli w wyniku niezgodnego z prawem przetwarzania danych osobowych lub bezprawnej odmowy realizacji praw użytkownik poniósł szkodę majątkową lub niemajątkową (krzywdę), może żądać od administratora odszkodowania lub zadośćuczynienia na drodze cywilnej. W sprawach związanych z IT szkoda może polegać np. na utracie dostępu do ważnych danych biznesowych lub wycieku informacji poufnych w wyniku opieszałości administratora.

Najczęstsze błędy popełniane przez firmy IT przy odmowach

Analiza sporów przed Prezesem UODO wskazuje na powtarzające się błędy po stronie podmiotów przetwarzających dane w sektorze IT. Najczęstszym z nich jest powoływanie się na ogólne trudności techniczne bez wykazania, że usunięcie lub przeniesienie danych jest rzeczywiście obiektywnie niemożliwe. Innym błędem jest brak wdrożenia odpowiednich procedur weryfikacji tożsamości wnioskodawcy, co prowadzi albo do bezprawnej odmowy z powodu rzekomego braku możliwości identyfikacji, albo – co gorsza – do udostępnienia danych osobie nieuprawnionej. Firmy często zapominają także o konieczności udokumentowania każdego wniosku i motywów podjęcia decyzji odmownej w wewnętrznym rejestrze naruszeń i wniosków.

Praktyczny przykład: Odmowa usunięcia konta w aplikacji SaaS

Wyobraźmy sobie sytuację, w której użytkownik korzystał z platformy do zarządzania projektami w modelu SaaS. Po zakończeniu subskrypcji użytkownik wysyła wniosek o usunięcie wszystkich jego danych osobowych oraz projektów z bazy danych aplikacji. Administrator platformy odmawia usunięcia danych, argumentując, że dane te są mu potrzebne do celów statystycznych oraz do obrony przed ewentualnymi roszczeniami z tytułu niewykonania umowy przez okres 3 lat. Czy taka odmowa jest zgodna z prawem? W tym przypadku odmowa jest częściowo uzasadniona, ale tylko w zakresie niezbędnym do obrony przed roszczeniami (np. dane o płatnościach, historia subskrypcji). Administrator nie ma jednak prawa przetwarzać wszystkich danych projektowych i plików przesłanych przez użytkownika, jeśli nie wykaże, że są one niezbędne do tego konkretnego celu. Prawidłowym działaniem administratora powinno być usunięcie danych zbędnych (np. zawartości projektów) i zanonimizowanie danych statystycznych, przy jednoczesnym ograniczeniu przetwarzania pozostałych danych wyłącznie do celów archiwalno-dowodowych. Całkowita odmowa usunięcia jakichkolwiek danych bez precyzyjnego podziału na kategorie stanowiłaby naruszenie RODO, co daje użytkownikowi pełne prawo do wniesienia skutecznej skargi do Prezesa UODO.

Podsumowanie

RODO w informatyce wymaga precyzyjnego balansu pomiędzy technicznymi możliwościami systemów a prawami użytkowników. Każda odmowa realizacji wniosku RODO przez firmę IT musi być solidnie uargumentowana prawnie i technicznie. Użytkownicy nie są bezbronni wobec odmownych decyzji administratorów – dysponują prawem do złożenia skargi do Prezesa UODO oraz dochodzenia swoich praw przed sądami powszechnymi. Z kolei dla przedsiębiorstw z sektora IT kluczem do uniknięcia dotkliwych kar finansowych jest wdrożenie odpowiednich procedur obsługi wniosków, dbałość o transparentność komunikacji oraz rzetelne dokumentowanie motywów podejmowanych decyzji.