Une plainte concernant des activités illicites liées à la divulgation de nos données personnelles a donné lieu à une enquête au Bureau de la protection des données personnelles. Il est nécessaire de dresser la liste des personnes dont nous nous plaignons, car le bureau n’a pas la compétence des forces de police pour identifier l’entité qui viole le droit d’une personne.  

Nous ne sommes pas en mesure de déterminer qui et comment quelqu’un a partagé nos données et, dans notre avis, il y a un crime, nous présenterons une notification adéquate d’un crime suspect. Les forces de police, comme la police ou le bureau du ministère public, ont la possibilité de déterminer les données de l’auteur du délit au cours du processus préparatoire relatif à ce rapport. 

Il existe des situations dans lesquelles l’Office de la protection des données personnelles réagit fortement. Cela se produit très fréquemment, par exemple, lorsqu’il y a un grave manque de données, c’est-à-dire une violation des données à caractère personnel par un administrateur spécifique. Les actions du Bureau de la protection des données personnelles porteront sur la violation des données personnelles, et non sur les personnes impliquées dans l’accident. En outre, lorsque, dans ces situations, il y a lieu de soupçonner qu’une action spécifique du responsable du traitement des données ou d’une personne spécifique présente les caractéristiques d’un délit, les autorités de contrôle seront contactées. 

Dans d’autres situations, la procédure se déroule entre le responsable du traitement des données et le président du Bureau de la protection des données à caractère personnel. 

Dans une telle situation, l’ouverture de la procédure par l’Office de la protection des données à caractère personnel a lieu après que la personne concernée a déposé une plainte contre l’entité en question, qui doit être indiquée dans la plainte et la demande envisagée à satisfaire, par exemple la suppression des données, la rectification des données, le respect de l’obligation d’informer une personne spécifique, le retrait éventuel du consentement au traitement des données.

La procédure est liée à la demande de la personne

L’engagement d’une procédure par le président de l’Office de la protection des données pour violation des dispositions relatives à la protection des données en cas de traitement des données à caractère personnel d’une personne donnée est donc étroitement lié à l’exercice du droit par cette personne en vertu de l’article 77 GDPR, ce qui signifie qu’il ne peut être engagé qu’à la demande de la personne concernée.

Le président de l’Office de protection des données à caractère personnel peut, à titre exceptionnel, en raison de l’intérêt particulièrement important d’une partie, engager d’office une procédure administrative dans un cas individuel, mais il doit obtenir le consentement de la personne dont les données à caractère personnel sont traitées. Toutefois, il doit obtenir le consentement de la personne dont les données à caractère personnel sont traitées. Sans le consentement de la personne dont les données à caractère personnel sont traitées, pour mener à bien cette procédure, il devrait suspendre la procédure, car il pourrait agir contre sa volonté. En outre, il serait impossible de définir l’objet d’une procédure administrative par la personne dont les droits et obligations doivent être liés à la procédure en cours.

Il convient de rappeler que les dispositions du code de procédure administrative s’appliquent aux procédures devant l’Office de protection des données à caractère personnel, qui prévoient que la plainte introductive d’instance doit contenir, entre autres, une indication de la page demandée.

Le fait que la nature et la portée de la demande contenue dans la lettre présentée par une partie dans le cadre d’une procédure administrative sont décidées en dernier ressort par la partie et non par l’autorité à laquelle la lettre a été adressée a également été indiqué par le tribunal administratif provincial de Gliwice (dossier n° IV SA / Gl 590/13).

Par conséquent, si une personne concernée estime qu’un responsable spécifique du traitement a violé ses droits ou a traité ses données en violation des dispositions relatives à la protection des données, elle a le droit de déposer une plainte auprès du président de l’Office de protection des données à caractère personnel et de saisir la justice. L’article 79 de la GDPR prévoit le droit de faire valoir ses droits à la fois devant l’autorité de contrôle et devant les tribunaux. Le recours à l’une de ces méthodes, par exemple une plainte auprès de l’Office de la protection des données à caractère personnel, n’exclut pas la possibilité de faire valoir ses droits d’une autre manière, c’est-à-dire devant un tribunal.

En outre, le GDPR permet également à une personne de demander des dommages et intérêts devant un tribunal si, à la suite d’une violation par l’administrateur des dispositions du présent règlement, une personne particulière a subi un préjudice matériel ou moral (article 82).

L’Office n’a pas de pouvoir d’enquête

Il est important d’être conscient que parfois une violation de la protection des données se produit, par exemple la divulgation de documents, d’informations sur la santé, mais l’administrateur où la fuite de données s’est produite est inconnu. Le bureau tente alors d’identifier l’administrateur et, si cela n’est pas possible, en informe les autorités répressives. Sans savoir qui est l’administrateur, il n’est pas possible d’engager une procédure d’office.

L’UODO n’est pas un organisme d’application de la loi et, dans certains cas, n’a pas de pouvoirs d’enquête pour identifier l’auteur. Seuls les organismes chargés de l’application de la loi, tels que la police ou le ministère public, disposent de ces pouvoirs et de ces outils.

Le GDPR n’est pas de la censure

Très souvent, les données personnelles sont divulguées par les médias. L’article 85, paragraphes 1 et 2, du GDPR prévoit que les États membres adoptent dans leur législation nationale des règles conciliant le droit à la protection des données à caractère personnel et la liberté d’expression et d’information.

Le législateur polonais a prévu, à l’article 2, paragraphe 1, de la loi du 10 mai 2018 sur la protection des données à caractère personnel, l’exclusion des articles 5 à 9, 11, 13 à 16, 18 à 22, 27, 28, paragraphes 2 à 10, et 30 de la loi sur la protection des données à caractère personnel en ce qui concerne l’activité « consistant à rédiger, préparer, créer ou publier des documents de presse en vertu de la loi du 26 janvier 1984 sur la presse ».

Dans leur travail, les journalistes doivent cependant garder à l’esprit les limites que leur imposent les dispositions de la loi – loi sur la presse. Ils doivent donc, entre autres choses : faire preuve d’un soin et d’une diligence particuliers dans la collecte et l’utilisation du matériel de presse, et tenir compte également de la protection des droits de l’individu (article 12).

Les dispositions de cette loi interdisent la publication d’informations et de données concernant la sphère privée de la vie sans le consentement de la personne concernée, à moins qu’elles ne soient directement liées à l’activité publique de cette personne (article 14, paragraphe 6). La responsabilité légale pour la violation de la loi causée par la publication de documents de presse est prévue par les dispositions des chapitres 7 et 8 de la loi sur la presse.

Dans l’hypothèse où l’UODO engagerait une procédure contre les médias en divulguant des données dans le cadre d’activités journalistiques, cela conduirait à une situation où le président du protection de données ne serait pas en mesure d’évaluer la légalité de ce traitement de données sur la base des prémisses de l’article 6, paragraphe 1, du GDPR, en raison de l’exclusion de l’application de cette disposition à ce type d’activité, et la procédure devrait être suspendue.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO