Wejście w życie nowych przepisów regulujących ochronę danych osobowych skutkowało wprowadzeniem wielu istotnych zmian w zakresie obowiązków podmiotów przetwarzających dane osobowe osób fizycznych.

RODO – istota i cele regulacji.

Mowa tu zwłaszcza o RODO, czyli o Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz o ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r., poz. 1000), której uchwalenie stanowi oczywistą konsekwencję wejścia w życie rozporządzenia RODO.

Rozwój technologiczny, zacieśnianie współpracy gospodarczej i obywatelskiej między państwami unijnymi, a także zwiększający się w związku z tym zakres transgranicznego przepływu danych osobowych, stanowiły wyzwanie zarówno dla organów Unii Europejskiej, jak i krajowych organów prawodawczych oraz wykonawczych (w szczególności dla Urzędu Ochrony Danych Osobowych i jego organów). To na tych właśnie organach (krajowych i unijnych) spoczywał ciężar stworzenia takiego reżimu prawnego, który z jednej strony umożliwia zainteresowanym podmiotom korzystanie z prawa do przetwarzania danych osobowych, co jest przecież nieodzowne przy prowadzeniu w zasadzie każdego rodzaju działalności (podmioty te według RODO określa się mianem administratorów lub podmiotów przetwarzających – kogo do nich zaliczamy – patrz niżej), z drugiej strony – obfituje w szereg instrumentów (gwarancji, zabezpieczeń), w tym o charakterze prawnym, mających udzielić osobom, których dane osobowe ulegają przetwarzaniu, możliwie maksymalnej ochrony przed powstaniem szkody (także niemajątkowej) w wyniku niewłaściwego przetwarzania tychże danych.

Kilka słów o szkodzie niemajątkowej.

Nowe przepisy o ochronie danych osobowych nakładają na podmioty przetwarzające dane szereg obowiązków. Niewłaściwe przetwarzanie danych osobowych, polegające przykładowo na ich wadliwym zabezpieczeniu i w konsekwencji na ich wycieku, bądź na pozyskaniu od osoby fizycznej danych, których zbierać nie wolno, lub zbieranie danych w sposób godzący w prawo, rodzi ryzyko wywołania szkody w odniesieniu do osób, których te dane dotyczą. Może ona przybrać postać szkody majątkowej lub szkody niemajątkowej, zwanej także krzywdą. Poniższe uwagi poświęcone są ostatniej z nich.

W przeciwieństwie do szkody majątkowej, odnoszącej się do uszczerbku w dobrach majątkowych poszkodowanego, szkoda niemajątkowa (zwana, jak wskazano wyżej, także krzywdą) wyraża się w pewnych trudno mierzalnych, subiektywnych odczuciach osoby, wynikających z cierpienia fizycznego, bądź ujemnych doznań psychicznych w związku z danym zdarzeniem. Szkodę tę może teoretycznie wywołać każde naruszenie prawa o ochronie danych osobowych, polegające przykładowo na niezgodnym z prawem upowszechnieniu danych osobowych (np. ujawnienie danych o życiu rodzinnym, przebytych chorobach – zwłaszcza tych „wstydliwych”, stanie majątkowym danej osoby, jej wyznaniu), pozyskiwaniu od osób fizycznych danych, których osoba w żadnej mierze nie musi ujawniać (np. zadanie pytania o orientację seksualną w procesie rekrutacyjnym).

Katalog naruszeń, które mogą prowadzić do wyrządzenia szkody, zawarty jest w art. 4 pkt 12 RODO. Przewiduje on naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Z cała pewnością można stwierdzić, że rozmiar krzywdy jest uzależniony rodzaju naruszenia. Wpływać nań może zwłaszcza charakter danych, które przetworzono niezgodnie z prawem. Warto pamiętać, że zwiększoną ochroną objęto zwłaszcza tzw. dane wrażliwie. Chodzi o szczególną kategorię danych osobowych wymienionych w art. 9 rozporządzenia, do których zaliczamy: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Otóż w odniesieniu do powyższych danych, z pewnymi zastrzeżeniami, wprowadzono zasadniczo zakaz ich przetwarzania, czyli zbierania, gromadzenia itp.

Przesłanki odpowiedzialności odszkodowawczej administratora i podmiotu przetwarzającego.

Jeśli zatem doszło do naruszenia prawa ochrony danych w sposób wskazany powyżej, które to naruszenie wywołało w dodatku szkodę niemajątkową, pokrzywdzonemu przysługuje szereg roszczeń cywilnoprawnych. Zgodnie z art. 82 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów, ma prawo uzyskać – od administratora lub podmiotu przetwarzającego – odszkodowanie za poniesioną szkodę. Przyjmuje się, że przepis ten stanowi samodzielną podstawą do wystąpienia z powództwem odszkodowawczym, przy czym nie musi nas wiązać z tymi podmiotami żadna umowa (nie chodzi o odpowiedzialność kontraktową), bowiem mówimy tu o autonomicznym reżimie bezumownej odpowiedzialności odszkodowawczej. Innymi słowy sam fakt przetwarzania danych, po spełnieniu kilku przesłanek, może rodzić odpowiedzialność odszkodowawczą po stronie administratora danych lub podmiotu przetwarzającego.

Kim jest zatem administrator i podmiot przetwarzający? Ustalenie tego jest o tyle istotne, że RODO (art. 82 ust. 2.) inaczej kształtuje przesłanki odpowiedzialności odszkodowawczej w odniesieniu do administratora, a inaczej w odniesieniu do podmiotu przetwarzającego. Administrator, który w świetle art. 4 pkt 7 RODO samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy rozporządzenia. Z kolei odpowiedzialność cywilnoprawna z tytułu szkody podmiotu przetwarzającego, będącego – zgodnie z art. 4 pkt 8 RODO – podmiotem, który przetwarza dane osobowe w imieniu administratora, uzależniona jest od wyrządzenia szkody wyłącznie wskutek niedopełnienia obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające (czyli nie na administratorów), lub gdy działał on poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Dodatkowym warunkiem sine qua non pociągnięcia do odpowiedzialności odszkodowawczej zarówno administratora, jak i podmiot przetwarzający jest istnienie po ich stronie winy za spowodowanie szkody, przy czym nie musi być to wina umyślna. Chodzi zatem o sytuacje, w których do szkody doszło wskutek celowych działań powyższych podmiotów, jak i wtedy, gdy doprowadziła do niej nieznajomość przepisów prawa, brak profesjonalizmu w przetwarzaniu danych osobowych (np. brak odpowiednio przeszkolonej kadry, brak właściwego zaplecza technicznego), niedbalstwo w działaniach. Ostatni element, od którego uzależniona jest odpowiedzialność odszkodowawcza, dotyczy związku przyczynowego między zawinionym zdarzeniem (naruszeniem prawa o ochronie danych osobowych) a powstaniem szkody. Innymi słowy krzywda musi wynikać z niewłaściwego postepowania administratora lub podmiotu przetwarzającego w związku z przetwarzaniem chronionych danych (np. bezpodstawne ujawnienie danych wrażliwych sprawiło, że osoba, której te dane dotyczą spotkała się z ostracyzmem środowiskowym, co wywołało u niej depresję, cierpienie itp.).

Udowodnienie winy administratorowi lub podmiotowi przetwarzającemu może być trudne, a nawet niemożliwe. Dlatego też ochrona poszkodowanego poszła na tyle daleko, że RODO wprowadziło rozwiązanie polegające na przeniesieniu ciężaru dowodowego w zakresie ustalenia winy na administratora i podmiot przetwarzający dane osobowe, domniemując ich profesjonalizm w tym zakresie. Z art. 82 ust. 3 RODO wynika bowiem, że administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Tym samym poszkodowany nie musi udowodnić, że naruszenie przepisów o przetwarzaniu danych osobowych nastąpiło z winy jednego z powyższych podmiotów. Ma on obowiązek li tylko udowodnić rozmiar krzywdy, której doznał.

Jak działać w sytuacji, w której wina leży i po stronie przetwarzającego i administratora? Należy pozwać obydwa podmioty. Aby uzyskać możliwie najpełniejsze naprawienie szkody, legislator wprowadził zasadę, stosownie do której, jeśli do krzywdy osoby fizycznej przyczynił się w ramach jednego przetwarzania tak administrator, jak i podmiot przetwarzający (bądź kilku administratorów lub przetwarzających) ponoszą oni solidarną odpowiedzialność za powstała szkodę (art. 82 ust 4 RODO). Istota odpowiedzialności solidarnej dłużników polega na tym, że jeśli jeden z dłużników solidarnych zapłacił odszkodowanie poszkodowanemu za całą wyrządzoną szkodę, ma on prawo żądania od pozostałych dłużników, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Roszczenia cywilnoprawne w związku z doznaną krzywdą.

Pozostaje zatem odpowiedzieć na pytanie, jakie roszczenia cywilnoprawne przysługują osobie fizycznej z tytułu doznanej szkody niemajątkowej za niezgodne z prawem przetwarzanie danych osobowych. Przepis art. 82 ust. 5 RODO odwołuje się do zapłaty za szkodę, czyli zapłacenia poszkodowanemu określonej kwoty pieniężnej z tytułu zadośćuczynienia za krzywdę. Każdy poszkodowany musi we własnym zakresie wyliczyć jak dotkliwie były dla niego negatywne odczucia psychiczne, biorąc pod uwagę szereg czynników, np. skalę naruszenia, rodzaj danych, które przetwarzano niewłaściwie (czy były to tzw. dane wrażliwie), wiek, pozycję zawodową, środowisko, w którym się żyje, perspektywy na przyszłość i wiele innych. Jest to oczywiście kwestia wysoce subiektywna jednak trzeba podkreślić, że wysokość tej kwoty zostanie zweryfikowana przez sąd. Nie może być to zatem kwota nadmiernie wygórowana, biorąc pod uwagę zasady doświadczenia życiowego oraz zasady współżycia społecznego, lecz także nie może być to kwota symboliczna. Zgodne z rozporządzeniem, poszkodowana osoba powinna uzyskać „pełne i skuteczne odszkodowanie za poniesione szkody” (motyw nr 146 do RODO).

Nie wydaje się jednak, że jest to jedynie roszczenie jaki można kierować przeciwko podmiotowi, warto bowiem pamiętać o tym, że obok żądania zapłaty zadośćuczynienia, poszkodowany może wnosić roszczenia takie, jak przy naruszeniu dóbr osobistych, np. o zapłatę odpowiedniej sumy pieniężnej na wskazany cel społeczny. Niezależnie od roszczenia o zapłatę (o świadczenie w pieniądzu), można także żądać zaniechania dalszych naruszeń (np. zaprzestanie przetwarzania danych osobowych, których podmiot nie może przetwarzać w świetle obowiązującego prawa) oraz dopełnienia czynności potrzebnych do usunięcia skutków (np. zobowiązanie do przeproszenia osoby fizycznej, zobowiązanie do natychmiastowego usunięcia bezprawnie opublikowanych informacji o danych osobowych). Wreszcie możemy żądać samego ustalenia przez sąd, że miało miejsce naruszenie prawa o ochronie danych osobowych (nie jest to uzależnione od powstania szkody).

Na końcu warto nadmienić, że wszystkie omawiane roszczenia powinny być kierowane do sądu na drodze procesu cywilnego. Kwestie dotyczące właściwości sądu (rzeczowej i miejscowej) do złożenia powództwa, elementów formalnych pozwu, przebiegu postępowania itp. zostaną omówione w kolejnej publikacji. Zapraszamy zatem do śledzenia naszej strony.