Odszkodowanie za naruszenie przepisów RODO

Ogólne rozporządzenie o ochronie danych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako RODO lub Rozporządzenie) największe wrażenie na tych, których czekało jego wdrożenie zrobiło za sprawą wysokości sankcji administracyjnych. I choć rzeczywiście kwoty podane w RODO robią wrażenie, to jednak nie jest to jedyna forma odpowiedzialności administratora. Za nieprzestrzeganie RODO administrator i podmiot przetwarzający (procesor) odpowiadają także bezpośrednio wobec osoby, której dane dotyczą (podmiotu danych).

Odszkodowanie czy zadośćuczynienie, zasada winy czy ryzyka

Zgodnie z przepisem art. 82 RODO każda osoba, której zaszkodziło naruszenie przepisów o ochronie danych osobowych może domagać się odszkodowania lub zadośćuczynienia (tego ostatniego terminu nie znajdzie się w Rozporządzeniu, które posługuje się pojęciem odszkodowania za szkody niematerialne, które w polskiej tradycji prawnej nazywane jest właśnie „zadośćuczynieniem za doznaną krzywdę”, czyli właśnie szkodę niematerialną). Dotyczy to głównie, o ile nie wyłącznie, podmiotów danych, gdyż ich dobra prawnie chronione są zagrożone w związku z przetwarzaniem i trudno wyobrazić sobie, aby naruszenie RODO mogło dotknąć kogoś innego. Odpowiedzialność ponosi przy tym każdy administrator, który bierze udział w przetwarzaniu oraz podmioty, którym powierzono przetwarzanie. Jest to więc odpowiedzialność ujęta szeroko pod względem podmiotowym oraz – co znamienne – nieomal niemożliwe jest uchylenie się od niej. W polskiej wersji językowej przepis ustanawia domniemanie odpowiedzialności: „Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.” W wersji angielskiej natomiast mowa jest o nieponoszeniu odpowiedzialności: „not in any way responsible for the event giving rise to the damage”.

Dochodzenie roszczeń

Niezależnie jednak od tego, czy poprzestaniemy na wykładni interpretacji wersji rodzimej czy też posłużymy się treścią anglojęzyczną w praktyce każdorazowo dochodzimy do wniosku, że sprawy, w których administrator nie poniesie odpowiedzialności będą stanowiły margines wszystkich przypadków naruszenia przepisów Rozporządzenia, o ile dojdzie jednocześnie do naruszenia cudzych dóbr. Prawodawca założył bowiem, że mechanizm odszkodowawczy ma być skuteczny i odstraszać od naruszeń.

Mając zatem informację o naruszeniu bezpieczeństwa danych (tzw. data breach) możemy założyć, że odpowiedzialność materialną za jego skutki poniesie ten, kto dane przetwarzał – a więc administrator lub procesor. Taka informacja może pochodzić od odpowiedzialnego za szkodę, który realizuje obowiązek z art. 34 ust. 1 RODO (przypadek autodenuncjacji):

„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu."

Osoba, która poniosła szkodę na skutek takiego naruszenia może domagać się jej naprawienia przed sądem (właściwym będzie sąd okręgowy). Zaistnienie szkody, czyli uszczerbku materialnego zazwyczaj nie jest trudno stwierdzić, co jednak ze szkodą niematerialną (w polskiej tradycji – krzywdą), która z natury jest mniej wymierna? Samo uznanie, że do takiej szkody rzeczywiście doszło może sprawiać problem. Tym większy, że nie mamy jeszcze wypracowanej praktyki orzeczniczej (o „ugruntowanej linii orzecznictwa" nie wspominając).

Przykładów negatywnego wpływu naruszenia RODO na osobę, której dane dotyczą w wymiarze niematerialnym proponuję więc poszukać w publikacji organów nadzoru. Francuski odpowiednik Urzędu Ochrony Danych Osobowych opublikował tabelę na potrzeby oceny wpływu naruszenia na dobra osobiste jednostki. Poniżej podaję kilka przykładów, inspirowanych tabelą opublikowaną pod tym adresem: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-en-knowledgebases.pdf:

• otrzymywanie spamu,
• strata czasu związana z załatwianiem formalności,
• przemijające bóle głowy,
• strach przed utratą kontroli nad swoimi danymi,
• otrzymywanie niechcianych reklam kierunkowych (np. marketing związany z ciążą, chorobami),
• rozwód lub separacja.

Francuski odpowiednik UODO wykazał się dużą kreatywnością, a przytoczone przykłady pochodzą z pierwszych trzech szczebli czterostopniowej skali wagi skutków. Z tego względu nie one wyczerpują tematu i w zależności od tego, jakie dane były przetwarzane i na czym polegało naruszenie, szkoda niematerialna może przybrać inną jeszcze postać. Pytanie tylko, czy polski sąd powszechny uda się przekonać do tego, że dany skutek stanowi normalne następstwo tego, że administrator danych naruszył swoje obowiązki. A może nie warto sprawy zbyt komplikować - same negatywne odczucia związane z nieposzanowaniem prawa do prywatności mogą przecież stanowić punkt wyjścia do uznania, że poszkodowany doznał uszczerbku na dobrach niematerialnych - a kogo nie irytuje nachalna ingerencja w prywatność?

Wartość zadośćuczynienia (odszkodowania)

W Rozporządzeniu nie podano żadnych wytycznych, jak należy obliczyć wartość odszkodowania. O ile na gruncie prawa polskiego wartość naprawienia szkody materialnej jest liczona jednolicie, jako „straty, które poszkodowany poniósł, oraz korzyści, które mógłby osiągnąć, gdyby mu szkody nie wyrządzono" (art. 361 § 2 k.c.), o tyle krzywda sprawia więcej problemów praktycznych i brak materialnych następstw utrudnia żądanie adekwatnej rekompensaty.

Jednocześnie nie ma dolnej, ani nawet górnej granicy możliwego zadośćuczynienia. Prawo nie uznaje żadnych spraw za zbyt drobne, co obrazuje przypadek rekompensaty w kwocie 50 euro uznanej przez sąd niemiecki za odpowiednią wobec otrzymania przez podmiot danych niechcianej wiadomości e-mail. Sąd ten wskazał jednak, że uwzględnienie żądania powinna poprzedzać ocena wszystkich okoliczności sprawy, także tych leżących po stronie administratora.

Oczywiście sądowa droga dochodzenia roszczenia nie jest obowiązkowa. Administrator może wypłacić odszkodowanie lub zadośćuczynienie bezpośrednio po wezwaniu przez osobę, której dane podlegały naruszeniu. Dopiero w drugim kroku – w razie odmowy wypłaty – rozważyć należy pozew do sądu.