Nadchodzi RODO. Nie można oprzeć się wrażaniu, że informacje o przełomie w zakresie ochrony danych osobowych od dłuższego czasu bombardują przedsiębiorców, zachęcając do audytów i szkoleń i certyfikatów potwierdzających odpowiednie przygotowanie na nadchodzące zmiany. Rośnie świadomość społeczna konsumentów udostępniających swoje dane, słychać o odszkodowaniach za szkody majątkowe i niemajątkowe i pojawia się więc co częściej pytanie: „Co Kowalski może na tym całym RODO ugrać?”.
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz projektowanej ustawy czyli w skrócie słynne RODO wejdzie w życie 25 maja 2018 r., a w raz z nim dodatkowe przepisy gwarantujące ochronę.
Zgodnie z art. 79 ust. RODO:
Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia.
Na gruncie polskich przepisów takim środkiem będzie powództwo przeciwko administratorowi lub podmiotowi przetwarzającemu dane w sposób bezprawny. Swoisty absurd licznych obowiązków i przeregulowanych przepisów RODO można żartem sprowadzić do stwierdzenia, że znacznie powszechniejsze będzie w praktyce przetwarzanie danych z naruszeniem RODO, jak ich przetwarzanie bez jakiegokolwiek naruszenia. Nie będzie to gołosłowne – wystarczy przykładowo przyjrzeć się zasadom na jakich przedsiębiorcy obecnie realizują obowiązki informacyjne związane z ochroną danych czy też uświadomić sobie w jakim zakresie dokumentacja dot. przetwarzania odbiega od faktycznych zasad funkcjonowania danego przedsiębiorstwa. Niby był długi audyt, niby wydrukowano setki stron papieru, ale w praktyce nic nie działa tak jak opisano to w procedurach. Dlaczego ? Prawdopodobnie dlatego, że zarówno procedury, jak ich interpretacja oderwane są często od rzeczywistości. Gdyby niewielki przedsiębiorca miał koncentrować się w pierwszej kolejności na skrupulatnym wypełnianiu wszelkich obowiązków związanych z ochroną danych to bardzo prawdopodobne, że zabrakłoby mu czasu i środków na marketing swoich towarów i usług oraz na należyte wykonywanie zawieranych umów. Ochrona danych nie jest priorytetem przedsiębiorców.
To natomiast otwiera szeroki spektrum możliwości jakie pojawiają się przed osobami potencjalnie zagrożonymi naruszeniem RODO. Właśnie w tym zakresie przychodzi z pomocą art. 82 RODO, zgodnie z którym:
1.Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia,ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Nie ma wątpliwości, że mamy tu bardzo szeroką podstawę odszkodowawczą, która w sposób ogólny odnosi się do wielu szczegółowych przepisów dot. procesu przetwarzania. Podkreślone zostało również uprawnienie do naprawienia szkody niemajątkowej, a więc do uzyskania zadośćuczynienia za wyrządzoną naruszeniem krzywdę. Osoba w praktyce zaangażowana w stałą obsługę przedsiębiorców działający w branży B2C z pewnością jest w stanie wyobrazić sobie jak wiele mających poczucie krzywdy osób w różnej formie formułuje swoje roszczenia związane z rzekomo bezprawnym wykorzystaniem ich danych.
2.Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Katalog podmiotów odpowiedzialnych został dodatkowo poszerzony, tak by roszczenie mogło być kierowane do każdego podmiotu uczestniczącego w procesie przetwarzania.
3.Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Przeprowadzanie dowodu na okoliczność tego, że „w żaden sposób nie ponosi się winy za zdarzenie” wywołujące szkodę nie należy w praktyce do najłatwiejszych. Jednym z przykładów, które w sposób oczywisty kojarzą się z brakiem winy administratora jest kradzież danych przez jego pracownika. Jednak nawet w tym przykładzie można zastanowić się czy zabezpieczenia oraz zasady przetwarzania w sposób należyty ograniczały możliwość wystąpienia takiej sytuacji i czy rzeczywiście administrator nie ponosił winy „w żaden sposób”.
4.Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.(…)
Odpowiedzialność administratora i podmiotów, którym powierzył dane do przetwarzania jest solidarna, co oznacza, że poszkodowany może zwrócić się z roszczeniem do dowolnie wybranego podmiotu lub do obu jednocześnie. Administrator nie może uchronić się przed postępowaniem sądowym wskazując na zawarcie odpowiednich umów z podmiotem przetwarzającym – można natomiast uregulować proces przetwarzania tak, by ułatwić sobie regres do takiego podmiotu.
Dotychczas korzystano z różnych teorii (jak choćby naruszenie dóbr osobistych w postaci prawa do prywatności lub nieuczciwa praktyka rynkowa), by uzasadnić możliwości dochodzenia roszczeń związanych z naruszeniem przepisów o ochronie danych osobowych i nie były to sprawy proste. Zmiana, z którą przedsiebiorcy zetkną się po 25 maja 2018 r. będzie miała również taki skutek, że regulacje będące wprost podstawą dla odpowiedzialności będą coraz mocniej promowane. To niewątpliwie ugruntuje przekonanie, że „w przypadku uchybień w procesie przetwarzania moich danych coś mi się należy”.
To „coś” -w odniesieniu do zaakceptowanej wprost przez RODO szkody niemajątkowej czyli krzywdy- będzie wymagało oczywiście doprecyzowania w orzecznictwie sądów powszechnych. Niemniej jednak jeśli pojawią się orzeczenia zasadzające z tytułu różnego rodzaju naruszeń choćby drobne kwoty zadośćuczynienia, to można spodziewać się również zwiększonej ilości roszczeń – szczególnie wobec znanych administratorów lub podmiotów prowadzących aktywną działalność marketingową. Można wyobrazić sobie wyciek danych z nieodpowiednio zabezpieczonej bazy znanego operatora telekomunikacyjnego, który skutkuje możliwością ich wykorzystania przez bliżej nieokreślone podmioty. Jeśli uznamy, że było to wynikiem naruszenia przepisów dot. ochrony danych i przyjmiemy, że poszkodowanym należy się jakaś zryczałtowana kwota za bliżej nieokreśloną krzywdę związaną z takim naruszeniem, to mamy podstawy do pozwu zbiorowego, który może być dla przedsiebiorcy dolegliwy.
Uchybień w przetwarzaniu danych jest obecnie bardzo dużo, co wiązało się z brakiem realnych sankcji za naruszenia w tym zakresie. Właśnie dochodzi do zmiany otoczenia prawnego istotnego dla tych kwestii, a jeśli w ślad za tą zmianą pójdzie nie przychylna dla przedsiębiorców praktyka orzecznicza, to problem związany z roszczeniami może stać się realny.
Pozostaje życzyć jedynie sądom okręgowym, by upowszechnianie wiedzy o RODO nie wywołało po stronie Kowalskiego przekonania, że za za każde przetwarzanie jego danych bez zgody należą się „jakieś pieniądze”. To właśnie tym sądom ustawodawca planuje powierzyć bowiem rozstrzyganie roszczeń, których podstawą jest art. 79 i 82 RODO, a w zasadzie wszelkich roszczeń wynikających z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych (tak planowany art. 94, a w szczególności art. 110 UODO zmieniający art. 17 kodeksu postępowania cywilnego). Biorąc pod uwagę moje praktyczne doświadczenia, może to oznaczać sporo dodatkowej pracy.
Korzystając z okazji wszystkim Czytelnikom Blog a życzę pogodnych Świąt Wielkiej Nocy.
Dzisiaj tj.8.10.2018 odebrałem przesyłkę ze Sądu Rejonowego za potwierdzeniem i o dziwo błaha sprawa ,ale widnieją 36 nazwiska z PESELEM ,imionami rodziców to zawiadomienie otrzymało 36 osób których częściowo nie znam ale mogą wszyscy wykorzystać te dane za co poniosę straty.
Proszę o pomoc co z tym fantem mogę zrobić i gdzie się zwrócić.
Wydaje się z opisu, że jest Pan stroną postępowania sądowego lub jego uczestnikiem. Podane przez Pana dane są w aktach spray i są dostępne dla pozostałych stron/uczestników. Podstawą ich przetwarzania są przepisy kodeksu postępowania cywilnego, więc po prostu ten niefortunny sposób sformułowania wezwania jedynie ułatwił innym osobom (uprawnionym) zapoznanie się z danymi. Można ewentualnie poinformować administratora lub inspektora ochrony danych w sądzie, że w pana ocenie sposób wezwania i ujawnione dane były nieadekwatne do celu przetwarzania, ponieważ przykładowo mogły się z nimi zapoznać również inne osoby…ale szczerze…szkoda czasu.
Dzien dobry, ostatnio bylam na rozmowie rekrutacyjnej. Potencjalny pracodawca zastosował jak dla mnie dosyc niepokojaca praltyke. Wezwal wszystkich kandydatów o tej samej godzinie, do tej samej sali. Przedstawiciel hr puscil liste obecnosci z prośba o podpisanie. Na liscie byly juz imiona i naziwska kandydatow wydrukowane. Nalezalo jedynie postawic parafke przy swoim nazwisku. Juz wtedy ta praktyka wzbudzila moj niepokoj w szczegolnosci ze kandydatow bylo 3 a moje naziwsko nie jest zbyt popularne. Kilka dni po rozmowie moj dotychczasowy pracodawca wreczyl mi wypowiedzenie pod pretekstem likwidacji stanowiska pracy. Przez chwile mi przeszlo ze moi kontrkandydaci pmogli przyczynic sie do mojego zwolnienia, ale tego nikt mi nie potwierdzi. Czy w zwiazku z udostepnieniem moich danych przez potencjalnego pracodawce kontrkandydatom moge cokolwiek zrpbic?
Praktyka z pewnością nieprawidłowa – trudno jednak o wykazanie ewentualnej szkody.