RODO w ue: termin na pismo i skutki zwłoki w praktyce prawnej

W dobie cyfryzacji i globalnego przepływu informacji, ochrona danych osobowych stała się jednym z filarów funkcjonowania nowoczesnych przedsiębiorstw oraz instytucji publicznych w Unii Europejskiej. Wejście w życie Ogólnego Rozporządzenia o Ochronie Danych (RODO) zrewolucjonizowało podejście do prywatności, nakładając na administratorów danych szereg rygorystycznych obowiązków. Jednym z najbardziej wymagających aspektów codziennej praktyki prawnej jest zarządzanie wnioskami osób, których dane dotyczą, oraz bezwzględne przestrzeganie określonych prawem terminów na udzielenie odpowiedzi. W niniejszym opracowaniu szczegółowo analizujemy, jak prawidłowo liczyć terminy na pisma w świetle RODO, kiedy dopuszczalne jest ich przedłużenie, a także jakie konsekwencje prawne, finansowe i wizerunkowe niesie za sobą zwłoka w realizacji tych obowiązków.

Zasada ogólna: Podstawowy termin na odpowiedź według RODO

Zgodnie z art. 12 ust. 3 RODO, administrator danych ma obowiązek udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej wnioskiem. Wniosek ten może dotyczyć realizacji szerokiego katalogu praw, w tym prawa dostępu do danych (art. 15), sprostowania danych (art. 16), usunięcia danych, znanego jako „prawo do bycia zapomnianym” (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20) czy też sprzeciwu wobec przetwarzania (art. 21).

Podstawowy termin na udzielenie odpowiedzi wynosi miesiąc od dnia otrzymania wniosku. Sformułowanie to wymaga szczególnej uwagi. Po pierwsze, RODO posługuje się pojęciem „bez zbędnej zwłoki”, co oznacza, że administrator nie powinien zwlekać z odpowiedzią do ostatniego dnia miesięcznego terminu, jeśli sprawa jest prosta i możliwa do załatwienia od ręki. Miesiąc to termin maksymalny, a nie standardowy czas oczekiwania. Po drugie, termin ten jest liczony w oparciu o zasady prawa unijnego, co w praktyce oznacza, że kończy się on z upływem dnia w następnym miesiącu, który odpowiada dniowi, w którym wniosek został odebrany. Jeśli w danym miesiącu nie ma takiego dnia (np. wniosek złożono 31 sierpnia, a wrzesień ma tylko 30 dni), termin upływa w ostatnim dniu tego miesiąca.

Kiedy można przedłużyć termin na pismo? Przesłanki i procedura

W praktyce gospodarczej i prawnej zdarzają się sytuacje, w których realizacja żądania w ciągu jednego miesiąca jest obiektywnie niemożliwa. RODO przewiduje taką ewentualność, zezwalając na przedłużenie terminu o kolejne dwa miesiące. Łączny czas na udzielenie ostatecznej odpowiedzi nie może jednak przekroczyć trzech miesięcy od dnia wpływu wniosku.

Przedłużenie terminu nie następuje automatycznie i jest obwarowane ścisłymi warunkami formalnymi i merytorycznymi. Administrator może skorzystać z tej instytucji wyłącznie wtedy, gdy jest to uzasadnione skomplikowanym charakterem żądania lub liczbą wniosków. Skomplikowany charakter może wynikać z konieczności przeszukania wielu systemów IT lub archiwów fizycznych, natomiast duża liczba wniosków odnosi się do sytuacji, gdy ten sam wnioskodawca składa wiele żądań lub administrator mierzy się z nagłym, masowym napływem zapytań.

Obowiązek informacyjny przy przedłużeniu terminu

Samo istnienie przesłanek do przedłużenia terminu nie zwalnia administratora z obowiązku kontaktu z wnioskodawcą w pierwszym miesiącu. Zgodnie z przepisami, administrator must poinformować osobę, której dane dotyczą, o przedłużeniu terminu w ciągu miesiąca od otrzymania wniosku. W piśmie tym należy obowiązkowo wskazać dokładny nowy termin udzielenia odpowiedzi oraz szczegółowe i zindywidualizowane przyczyny opóźnienia.

Skutki prawne i finansowe zwłoki w odpowiedzi

Niedotrzymanie terminów określonych w art. 12 ust. 3 RODO rodzi poważne ryzyka dla administratora danych. Naruszenie to jest traktowane jako uchybienie obowiązkom proceduralnym i bezpośrednie naruszenie praw osób, których dane dotyczą. Skutki te można podzielić na trzy główne kategorie: administracyjne, cywilne oraz wizerunkowe.

Administracyjne kary pieniężne

Organ nadzorczy (w Polsce Prezes Urzędu Ochrony Danych Osobowych) posiada szerokie uprawnienia naprawcze i sankcyjne. W przypadku stwierdzenia zwłoki lub braku odpowiedzi, organ może nałożyć administracyjną karę pieniężną. Zgodnie z art. 83 ust. 5 RODO, naruszenia praw osób, których dane dotyczą, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Kary te są dotkliwe i systematycznie nakładane przez europejskie organy nadzorcze.

Postępowanie przed organem nadzorczym

Osoba, której wniosek został zignorowany lub obsłużony z opóźnieniem, ma prawo wnieść skargę do organu nadzorczego. Wszczęcie takiego postępowania wiąże się dla administratora z koniecznością składania wyjaśnień, przedkładania dowodów i angażowania zasobów prawnych. Nawet jeśli organ nie nałoży kary finansowej, może wydać formalne ostrzeżenie, udzielić upomnienia lub nakazać administratorowi spełnienie żądania w określonym terminie.

Odpowiedzialność cywilna i odszkodowania

Mało docenianym, a niezwykle groźnym skutkiem zwłoki jest odpowiedzialność cywilna na podstawie art. 82 RODO. Przepis ten stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora odszkodowanie. W praktyce sądowej coraz częściej pojawiają się pozwy o zadośćuczynienie za naruszenie dóbr osobistych w związku z bezprawnym przetwarzaniem danych lub ignorowaniem praw podmiotów danych.

Jak prawidłowo liczyć terminy in praktyce unijnej?

W praktyce międzynarodowej i transgranicznej liczenie terminów może budzić wątpliwości ze względu na różnice w kalendarzach i dniach ustawowo wolnych od pracy w poszczególnych państwach członkowskich UE. Zgodnie z prawem unijnym, jeżeli koniec terminu przypada na dzień ustawowo wolny od pracy, sobotę lub niedzielę, termin upływa z końcem następnego dnia roboczego. Należy jednak pamiętać, że ocena, czy dany dzień jest dniem wolnym, zależy od jurysdykcji właściwej dla administratora danych.

Kolejnym aspektem jest moment rozpoczęcia biegu terminu. Termin zaczyna biec w dniu otrzymania wniosku przez administratora, niezależnie od tego, czy wpłynął on na oficjalny adres e-mail wyznaczony do kontaktu, czy też został wysłany na ogólną skrzynkę kontaktową, za pośrednictwem mediów społecznościowych lub złożony osobiście w placówce. Obowiązkiem administratora jest takie zorganizowanie kanałów komunikacji, aby każdy wniosek trafiał niezwłocznie do osób odpowiedzialnych za ochronę danych.

Najczęstsze błędy popełniane przez administratorów danych

Analiza decyzji organów nadzorczych w całej Unii Europejskiej pozwala na zidentyfikowanie powtarzających się błędów, które prowadzą do naruszenia terminów:

  • Brak procedury weryfikacji tożsamości – administrator zwleka z podjęciem działań, ponieważ nie jest pewien tożsamości wnioskodawcy, ale nie podejmuje niezwłocznych kroków w celu jej zweryfikowania;
  • Ignorowanie wniosków nietypowych – traktowanie wniosków napisanych potocznym językiem lub zawierających błędy formalne jako niebyłych, podczas gdy RODO nie wymaga stosowania żadnych szczególnych formularzy;
  • Przekroczenie terminu na poinformowanie o przedłużeniu – wysłanie informacji o przedłużeniu terminu do 3 miesięcy dopiero po upływie pierwszego miesiąca;
  • Brak rejestru wniosków – brak wewnętrznego systemu ewidencjonowania wpływających żądań, co uniemożliwia kontrolę nad biegnącymi terminami.

Praktyczny przykład: Obsługa skomplikowanego wniosku o usunięcie danych

Aby lepiej zobrazować opisywane mechanizmy, przeanalizujmy praktyczny przypadek spółki medycznej działającej w kilku krajach UE. W dniu 10 maja spółka otrzymała za pośrednictwem formularza kontaktowego wniosek od byłego pacjenta o usunięcie wszystkich jego danych osobowych (prawo do bycia zapomnianym). Ze względu na specyfikę branży medycznej, dane pacjenta były przechowywane zarówno w systemie elektronicznej dokumentacji medycznej, systemie bilingowym, jak i w kopiach zapasowych. Dodatkowo, część danych musiała zostać zachowana ze względu na krajowe przepisy o archiwizacji dokumentacji medycznej.

Spółka natychmiast zidentyfikowała wniosek i 15 maja (w ciągu pierwszego miesiąca) wysłała do pacjenta pismo informujące, że ze względu na konieczność przeprowadzenia szczegółowej analizy prawnej i technicznej oraz rozproszenie danych w systemach archiwalnych, termin na udzielenie ostatecznej odpowiedzi zostaje przedłużony o dwa miesiące – do 10 sierpnia. W piśmie szczegółowo wyjaśniono te przyczyny. Dzięki takiemu działaniu spółka dochowała wszelkich wymogów formalnych. Ostateczna, pełna odpowiedź wraz z potwierdzeniem usunięcia części danych oraz uzasadnieniem prawnym dotyczącym odmowy usunięcia pozostałej części została wysłana pacjentowi 5 sierpnia. Spółka uniknęła zarzutu zwłoki i potencjalnej kary od organu nadzorczego.

Podsumowanie i rekomendacje dla przedsiębiorców

Przestrzeganie terminów na udzielenie odpowiedzi na wnioski RODO to nie tylko obowiązek prawny, ale też element budowania zaufania klientów i kontrahentów. Aby zminimalizować ryzyko zwłoki i związanych z nią dotkliwych sankcji, każdy administrator danych powinien wdrożyć odpowiednie procedury wewnętrzne. Kluczowe rekomendacje obejmują wdrożenie jasnej i precyzyjnej polityki obsługi wniosków osób, których dane dotyczą, regularne szkolenia personelu pierwszego kontaktu, prowadzenie elektronicznego rejestru wniosków z automatycznymi powiadomieniami o zbliżających się terminach oraz opracowanie gotowych szablonów pism, w tym szablonu informacji o przedłużeniu terminu, co znacznie przyspiesza komunikację w skomplikowanych sprawach.