RODO prostą drogą do odszkodowania i zadośćuczynienia za naruszenie przepisów o ochronie danych osobowych ?

Nadchodzi RODO. Nie można oprzeć się wrażaniu, że informacje o przełomie w zakresie ochrony danych osobowych od dłuższego czasu bombardują przedsiębiorców, zachęcając do audytów i szkoleń i certyfikatów potwierdzających odpowiednie przygotowanie na nadchodzące zmiany. Rośnie świadomość społeczna konsumentów udostępniających swoje dane, słychać o odszkodowaniach za szkody majątkowe i niemajątkowe i pojawia się więc co częściej  pytanie: „Co Kowalski może na tym całym RODO ugrać?”.

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz projektowanej ustawy czyli w skrócie słynne RODO wejdzie w życie 25 maja 2018 r., a w raz z nim dodatkowe przepisy gwarantujące ochronę.

Zgodnie z art. 79 ust. RODO:

Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia.

Na gruncie polskich przepisów takim środkiem będzie powództwo  przeciwko administratorowi lub podmiotowi przetwarzającemu dane w sposób bezprawny. Swoisty absurd licznych obowiązków i przeregulowanych przepisów RODO można żartem sprowadzić do stwierdzenia, że znacznie powszechniejsze będzie w praktyce przetwarzanie danych z naruszeniem RODO, jak ich przetwarzanie bez jakiegokolwiek naruszenia. Nie będzie to gołosłowne – wystarczy przykładowo przyjrzeć się zasadom na jakich przedsiębiorcy obecnie realizują obowiązki informacyjne związane z ochroną danych czy też uświadomić sobie w jakim zakresie dokumentacja dot. przetwarzania odbiega od faktycznych zasad funkcjonowania danego przedsiębiorstwa. Niby był długi audyt, niby wydrukowano setki stron papieru, ale w praktyce nic nie działa tak jak opisano to w procedurach. Dlaczego ? Prawdopodobnie dlatego, że zarówno procedury, jak ich interpretacja oderwane są często od rzeczywistości. Gdyby niewielki przedsiębiorca miał koncentrować się w pierwszej kolejności na skrupulatnym wypełnianiu wszelkich obowiązków związanych z ochroną danych to bardzo prawdopodobne, że zabrakłoby mu czasu i środków na marketing swoich towarów i usług oraz na należyte wykonywanie zawieranych umów. Ochrona danych nie jest priorytetem przedsiębiorców.

To natomiast otwiera szeroki spektrum możliwości jakie pojawiają się przed osobami potencjalnie zagrożonymi naruszeniem RODO. Właśnie w  tym zakresie przychodzi z pomocą art. 82 RODO, zgodnie z którym:

1.Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia,ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Nie ma wątpliwości, że mamy tu bardzo szeroką podstawę odszkodowawczą, która w sposób ogólny odnosi się do wielu szczegółowych przepisów dot. procesu przetwarzania. Podkreślone zostało również uprawnienie do naprawienia szkody niemajątkowej, a więc do uzyskania zadośćuczynienia za wyrządzoną naruszeniem krzywdę.  Osoba w praktyce zaangażowana w stałą obsługę przedsiębiorców działający w branży B2C z pewnością jest w stanie wyobrazić sobie jak wiele mających poczucie krzywdy osób w różnej formie formułuje swoje roszczenia związane z rzekomo bezprawnym wykorzystaniem ich danych.

2.Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Katalog podmiotów odpowiedzialnych został dodatkowo poszerzony, tak by roszczenie mogło być kierowane do każdego podmiotu uczestniczącego w procesie przetwarzania.

3.Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Przeprowadzanie dowodu na okoliczność tego, że „w żaden sposób nie ponosi się winy za zdarzenie” wywołujące szkodę nie należy w praktyce do najłatwiejszych. Jednym z przykładów, które w sposób oczywisty kojarzą się z brakiem winy administratora jest kradzież danych przez jego pracownika. Jednak nawet w tym przykładzie można zastanowić się czy zabezpieczenia oraz zasady przetwarzania w sposób należyty ograniczały możliwość wystąpienia takiej sytuacji i czy rzeczywiście administrator nie ponosił winy „w żaden sposób”.

4.Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.(…)

Odpowiedzialność administratora i podmiotów, którym powierzył dane do przetwarzania jest solidarna, co oznacza, że poszkodowany może zwrócić się z roszczeniem do dowolnie wybranego podmiotu lub do obu jednocześnie. Administrator nie może uchronić się przed postępowaniem sądowym wskazując na zawarcie odpowiednich umów z podmiotem przetwarzającym – można natomiast uregulować proces przetwarzania tak, by ułatwić sobie regres do takiego podmiotu.

Dotychczas korzystano z różnych teorii (jak choćby naruszenie dóbr osobistych w postaci prawa do prywatności lub nieuczciwa praktyka rynkowa), by uzasadnić możliwości dochodzenia roszczeń związanych z naruszeniem przepisów o ochronie danych osobowych i nie były to sprawy proste. Zmiana, z którą przedsiebiorcy zetkną się po 25 maja 2018 r. będzie miała również taki skutek, że regulacje będące wprost podstawą dla odpowiedzialności będą coraz mocniej promowane. To niewątpliwie ugruntuje przekonanie, że „w przypadku uchybień w procesie przetwarzania moich danych coś mi się należy”.

To „coś” -w odniesieniu do zaakceptowanej wprost przez RODO szkody niemajątkowej czyli krzywdy- będzie wymagało oczywiście doprecyzowania w orzecznictwie sądów powszechnych. Niemniej jednak jeśli pojawią się orzeczenia zasadzające z tytułu różnego rodzaju naruszeń choćby drobne kwoty zadośćuczynienia, to można spodziewać się również zwiększonej ilości roszczeńszczególnie wobec znanych administratorów lub podmiotów prowadzących aktywną działalność marketingową. Można wyobrazić sobie wyciek danych z nieodpowiednio zabezpieczonej bazy znanego operatora telekomunikacyjnego, który skutkuje możliwością ich wykorzystania przez bliżej nieokreślone podmioty. Jeśli uznamy, że było to wynikiem naruszenia przepisów dot. ochrony danych i przyjmiemy, że poszkodowanym należy się jakaś zryczałtowana kwota za bliżej nieokreśloną krzywdę związaną z takim naruszeniem, to mamy podstawy do pozwu zbiorowego, który może być dla przedsiebiorcy dolegliwy.

Uchybień w przetwarzaniu danych jest obecnie bardzo dużo, co wiązało się z brakiem realnych sankcji za naruszenia w tym zakresie. Właśnie dochodzi do zmiany otoczenia prawnego istotnego dla tych kwestii, a jeśli w ślad za tą zmianą pójdzie nie przychylna dla przedsiębiorców praktyka orzecznicza, to problem związany z roszczeniami może stać się realny.

Pozostaje życzyć jedynie sądom okręgowym, by upowszechnianie wiedzy o RODO nie wywołało po stronie Kowalskiego przekonania, że za za każde przetwarzanie jego danych bez zgody należą się „jakieś pieniądze”. To właśnie tym sądom ustawodawca planuje powierzyć bowiem rozstrzyganie roszczeń, których podstawą jest art. 79 i 82 RODO, a w zasadzie wszelkich roszczeń wynikających z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych  (tak planowany art. 94, a w szczególności art. 110 UODO zmieniający  art. 17 kodeksu postępowania cywilnego). Biorąc pod uwagę moje praktyczne doświadczenia, może to oznaczać sporo dodatkowej pracy.

Korzystając z okazji wszystkim Czytelnikom Blog a życzę pogodnych Świąt Wielkiej Nocy.

Ten wpis został opublikowany w kategorii Przedsiębiorco Problem, RODO i oznaczony tagami , , , . Dodaj zakładkę do bezpośredniego odnośnika.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*