Urząd Ochrony Danych Osobowych

Urząd Ochrony Danych Osobowych

Austriacki Urząd Ochrony Danych Osobowych (DSB) jest centralnym organem nadzorczym ds. ochrony danych osobowych w Austrii. Kontroluje on przestrzeganie Ogólnego Rozporządzenia o Ochronie Danych (RODO) oraz austriackiej ustawy o ochronie danych (DSG), rozstrzyga skargi, wszczyna postępowania kontrolne, nakłada sankcje i reprezentuje Austrię w Europejskiej Radzie Ochrony Danych. Jego zadaniem jest zabezpieczanie praw podstawowych, zapobieganie nadużyciom oraz zobowiązywanie przedsiębiorstw i organów publicznych do przestrzegania obowiązków w zakresie ochrony danych.

Urząd Ochrony Danych Osobowych jest państwowym organem nadzorczym ds. ochrony danych osobowych w Austrii.

Zadania i kompetencje

Urząd Ochrony Danych Osobowych wykonuje szeroki zakres działań, które służą ochronie danych osobowych:

• Rozpatrywanie skarg osób, których dane dotyczą
• Przeprowadzanie postępowań kontrolnych z urzędu
• Rozstrzyganie w postępowaniach w sprawach o wykroczenia administracyjne i nakładanie grzywien
• Przyjmowanie i kontrola zgłoszeń naruszeń ochrony danych (Data Breaches)
• Procedury zatwierdzania, np. dla kodeksów postępowania lub jednostek certyfikujących
• Opinie w przypadku projektów ustaw

Tym samym jest ona centralnym punktem kontaktowym zarówno dla osób, których dane dotyczą, przedsiębiorstw, jak i inspektorów ochrony danych.

Definicja ochrony danych

Ochrona danych to podstawowe prawo do samodzielnego decydowania o tym, kto przetwarza jakie informacje o człowieku. Dane osobowe to wszelkie informacje odnoszące się do określonej osoby lub umożliwiające jej identyfikację, takie jak imię, nazwisko, adres, numer telefonu, adres e-mail, ale także zdjęcia, adresy IP czy dane dotyczące zdrowia.

Ochrona danych nie oznacza, że żadne dane nie mogą być przetwarzane. Oznacza ona, że przetwarzanie jest dozwolone wyłącznie pod jasnymi warunkami prawnymi, a osoby, których dane dotyczą, mają szeroki zakres praw. Prawa te chronią przed nadużyciami i dają możliwość sprawowania kontroli nad własnymi danymi.

Prawa osób, których dane dotyczą

Każda osoba może żądać od Urzędu Ochrony Danych Osobowych poszanowania jej praw podstawowych. RODO przewiduje w tym celu wyraźny zestaw praw:

• Prawo do informacji: Przed każdym przetwarzaniem danych osoby, których dane dotyczą, muszą być jasno i w pełni poinformowane.
• Prawo dostępu do danych: Każda osoba, której dane dotyczą, ma prawo dowiedzieć się, jakie dane są przechowywane i w jakim celu.
• Prawo do sprostowania i usunięcia danych: Nieprawidłowe dane muszą zostać sprostowane, a niedozwolone dane usunięte.
• Prawo do ograniczenia przetwarzania: W określonych okolicznościach przetwarzanie może być kontynuowane jedynie w ograniczonym zakresie.
• Prawo do sprzeciwu: W każdej chwili można wnieść sprzeciw wobec określonych operacji przetwarzania danych.
• Prawo do przenoszenia danych: Osoby, których dane dotyczą, mogą żądać przekazania ich danych w powszechnie używanym formacie im samym lub innemu przedsiębiorstwu.
• Prawo do ochrony przed zautomatyzowanym podejmowaniem decyzji: Nikt nie powinien być dyskryminowany wyłącznie na podstawie zautomatyzowanych procedur.

Prawa te nie mają jedynie charakteru teoretycznego, lecz mogą być egzekwowane – w razie potrzeby w ramach procedury składania skarg przed Urzędem Ochrony Danych Osobowych.

Obowiązki przedsiębiorstw

Przedsiębiorstwa i organy publiczne są zobowiązane do praktycznego wdrażania ochrony danych, a nie tylko do jej deklarowania. Do istotnych obowiązków należą:

• Podstawa prawna przetwarzania: Każde przetwarzanie danych musi opierać się na podstawie prawnej, takiej jak zgoda lub umowa.
• Obowiązki w zakresie przejrzystości: Osoby, których dane dotyczą, muszą być jasno informowane o tym, co dzieje się z ich danymi.
• Techniczne i organizacyjne środki (TOM): Bezpieczeństwo IT i procesy organizacyjne muszą być tak zaprojektowane, aby dane były chronione przed utratą, nadużyciem lub nieuprawnionym dostępem.
• Rejestry czynności przetwarzania: Przedsiębiorstwa muszą w sposób zrozumiały dokumentować, jakie dane przetwarzają.
• Zgłaszanie naruszeń ochrony danych: Incydenty bezpieczeństwa należy zgłaszać Urzędowi Ochrony Danych Osobowych w ciągu 72 godzin.
• Przeprowadzanie ocen skutków dla ochrony danych: W przypadku przetwarzania wysokiego ryzyka należy przeprowadzić szczegółową analizę.

Procedury przed Urzędem Ochrony Danych Osobowych

Procedura przed Urzędem Ochrony Danych Osobowych jest sformalizowana i może przyjmować różne formy:

Procedura składania skarg

Osoby, których dane dotyczą, mogą złożyć skargę do Urzędu Ochrony Danych Osobowych, jeśli uważają, że ktoś przetwarza ich dane osobowe niezgodnie z prawem. Procedura ta jest stosunkowo łatwo dostępna.

Przebieg:

1. Osoba, której dane dotyczą, składa skargę na piśmie – za pomocą formularza, poczty elektronicznej lub poczty tradycyjnej.
2. Urząd Ochrony Danych Osobowych sprawdza, czy skarga jest formalnie dopuszczalna.
3. Strona pozwana – zazwyczaj przedsiębiorstwo lub organ publiczny – zostaje wezwana do złożenia oświadczenia.
4. Następuje ustalenie stanu faktycznego, w razie potrzeby z dodatkowymi pytaniami lub przesłuchaniami.
5. Na koniec wydawana jest decyzja Urzędu Ochrony Danych Osobowych, w której skarga zostaje odrzucona lub uwzględniona, a także nakazane są środki zaradcze.

Dla osób, których dane dotyczą, procedura ta jest najważniejszą możliwością egzekwowania ich praw wynikających z RODO.

Kontrole z urzędu

Urząd Ochrony Danych Osobowych nie tylko rozpatruje skargi, ale może również działać z urzędu. Dzieje się tak zwłaszcza wtedy, gdy istnieją wskazówki dotyczące systematycznych naruszeń lub luk w zabezpieczeniach.

Cechy szczególne:

• Procedura rozpoczyna się bez wniosku osoby, której dane dotyczą.
• Osoby zgłaszające nie mają statusu strony i nie są informowane o wyniku.
• Urząd Ochrony Danych Osobowych samodzielnie sprawdza, czy doszło do naruszeń i w razie potrzeby zarządza odpowiednie środki.

Kontrole z urzędu mają silne działanie prewencyjne, ponieważ zwiększają presję na przedsiębiorstwa i organy publiczne, aby zapewnić ochronę danych nie tylko reaktywnie, ale w sposób ciągły.

Postępowanie w sprawach o wykroczenia administracyjne

Jeśli Urząd Ochrony Danych Osobowych stwierdzi naruszenie, może wszcząć postępowanie w sprawach o wykroczenia administracyjne. Celem jest zobowiązanie przedsiębiorstw i podmiotów publicznych do zaprzestania naruszeń i nałożenie odczuwalnych sankcji.

Możliwe sankcje to:

• Grzywny w wysokości do 20 milionów euro lub 4% światowego rocznego obrotu,
• Nakazy zaprzestania lub dostosowania przetwarzania danych,
• Ostrzeżenia i nakazy.

Wysokość grzywny zależy od wagi, czasu trwania i umyślności naruszenia. Rolę odgrywają również wcześniejsze naruszenia lub współpraca w postępowaniu.

Peter Harlander
Harlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“

Środki odwoławcze

Decyzje Urzędu Ochrony Danych Osobowych są wydawane w formie decyzji administracyjnej. Od tych decyzji osobom, których dane dotyczą, przysługuje prawo odwołania do Federalnego Sądu Administracyjnego (BVwG).

• Federalny Sąd Administracyjny (BVwG) weryfikuje decyzję pod względem prawnym i faktycznym.
• Od jego decyzji, w pewnych okolicznościach, możliwe jest wniesienie rewizji do Naczelnego Sądu Administracyjnego (VwGH) lub skargi do Trybunału Konstytucyjnego (VfGH).

Zapewnia to, że decyzje Urzędu Ochrony Danych Osobowych podlegają wielostopniowej kontroli sądowej.

Wymiar międzynarodowy

Ochrona danych nie jest już kwestią wyłącznie krajową. Urząd Ochrony Danych Osobowych współpracuje z innymi europejskimi organami nadzorczymi i jest częścią Europejskiej Rady Ochrony Danych (EROD). Uczestniczy w sprawach transgranicznych, uzgadnia decyzje w ramach procedury spójności i zajmuje stanowisko w kwestii międzynarodowych transferów danych, np. do USA.

Wolność informacji

Oprócz ochrony danych, wolność informacji również zyskuje na znaczeniu. Wraz z nową ustawą o wolności informacji (IFG) Urząd Ochrony Danych Osobowych przejmie w przyszłości rolę punktu kontaktowego w kwestiach przejrzystości i dostępu do informacji urzędowych.

Obowiązki te nie są opcjonalne. Ich nieprzestrzeganie regularnie prowadzi do dochodzeń, a w skrajnych przypadkach do dotkliwych grzywien.

Korzyści z pomocy prawnej

Postępowanie przed Urzędem Ochrony Danych Osobowych wiąże się ze znacznymi wyzwaniami zarówno dla osób, których dane dotyczą, jak i dla przedsiębiorstw. Osoby te ryzykują, że bez profesjonalnego wsparcia nie będą w stanie w pełni egzekwować swoich praw. Przedsiębiorstwa natomiast stają w obliczu nie tylko wysokich grzywien, ale także szkód wizerunkowych i kosztownych dostosowań swoich procesów. Dodatkowo, procedury są silnie sformalizowane i zawierają złożone wymogi prawne, które są trudne do opanowania bez fachowej pomocy.

Wsparcie prawne ze strony wyspecjalizowanej kancelarii zapewnia bezpieczeństwo i gwarantuje profesjonalne reprezentowanie Państwa interesów od samego początku. Korzystają Państwo z gruntownego doświadczenia w prawie ochrony danych i konsekwentnego reprezentowania przed organem.

• sprawdza, czy dany temat prawny ma zastosowanie w Państwa przypadku
• towarzyszy Państwu przez całą procedurę lub jej realizację
• zapewnia prawnie bezpieczne kształtowanie i realizację wszystkich niezbędnych kroków
• wspiera w obliczaniu, egzekwowaniu lub odpieraniu roszczeń
• chroni Państwa prawa i interesy wobec wszystkich zaangażowanych stron

Sebastian Riedlmair
Harlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“

Często zadawane pytania – FAQ