Przede wszystkim należy podkreślić, że w przypadku braku respektowania przez administratora danych praw wynikających z przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, osobie, której dane są przetwarzane, przysługuje prawo do zwrócenia się do organu do spraw ochrony danych osobowych (GIODO) z pisemną skargą na działanie wskazanego w niej podmiotu, dotyczące przetwarzania przez niego danych osobowych. Do skargi należy załączyć odpowiednie dowody potwierdzające stawiane zarzuty, jak również – stosownie do ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej – wnieść opłatę skarbową.
W przypadku przetwarzania danych osobowych administrator danych musi mieć podstawę prawną i faktyczną do ich przetwarzania. Podstawy prawne związane z przetwarzaniem danych osobowych wymienione są w art. 23 ust. 1 ustawy i należą do nich m. in. zgoda osoby, której dane są przetwarzane lub okoliczność związana z realizacją umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
W opisanym stanie faktycznym może mówić o naruszeniu przepisów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych oraz o nie respektowaniu praw osoby, której dane są przetwarzane, co uzasadnia możliwość złożenia skargi do GIODO. Od chwili, gdy administrator jakim jest bank oraz sklep uzyskały informację o tym, że Pana dane zostały wykorzystane niezgodnie z prawem w celach przestępczych, odpadła przesłanka związana z przetwarzaniem Pana danych osobowych. Dane te winy zostać niezwłocznie usunięte. Dalsze przetwarzanie danych osobowych zgodnie z przepisem art. 49 ust. 1 ww. ustawy stanowi przestępstwo. W myśl tego przepisu każdy kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. W postępowaniu karnym można także żądać naprawienia szkody lub zasądzenia na rzecz pokrzywdzonego odpowiedniej nawiązki.
Ponadto niezgodne z prawem przetwarzanie danych osobowych stanowi naruszenie dóbr osobistych, a tym samym na podstawie art. 24 Kodeksu cywilnego każda osoba, której dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
Reasumując, w przypadku naruszenia przepisów w zakresie przetwarzania danych osobowych możliwe jest dochodzenie swoich praw na drodze administracyjnej, cywilnej a nawet karnej (w zależności od spełnienia przesłanek). Można także żądać naprawienia szkody lub zadośćuczynienia pieniężnego w postępowaniu cywilnym albo nawiązki w postępowaniu karnym. Ewentualne możliwości związane z dochodzeniem roszczeń są uzależnione od zgromadzonego w sprawie materiału dowodowego oraz dokonanej jego oceny przez sąd.
