Poprzednie artykuły skupiły się na środkach administracyjnoprawnych, które stosować może organ nadzorczy w sprawach naruszenia ochrony danych oraz na środkach reakcji prawnokarnej. Ostatnią część artykułu poświęcimy odpowiedzialności cywilnoprawnej administratora oraz podmiotu przetwarzającego.
Odpowiedzialność cywilnoprawna na gruncie RODO
Konsekwencje wynikające z naruszenia ochrony danych osobowych mogą rodzić odpowiedzialność cywilnoprawną na różnych podstawach. Pierwszą i podstawową z nich jest art. 82 ust. 1 RODO, w którym przewidziano, że: każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Wskazany przepis stanowi samodzielną podstawę odpowiedzialności, tzn. poszkodowany (powód) nie musi powoływać się na inny przepis Kodeksu cywilnego, który ustanawiałby odpowiedzialność np. deliktową. Do roszczeń związanych z naruszeniem przepisów RODO stosuje się przepisy Kodeksu cywilnego. Prowadzi to do wniosku, iż roszczenia z tytułu szkody wyrządzonej naruszeniem RODO przedawniają się z upływem trzech lat od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia, nie później jednak niż 10 lat od dnia wystąpienia naruszenia.
Odpowiedzialność na gruncie ww. przepisu uzależnione jest od zaistnienia następujących przesłanek (por. N. Zawadzka, w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 82, teza 3):
- poniesienia przez osobę fizyczną szkody majątkowej lub niemajątkowej – szkodą majątkową jest uszczerbek w sferze materialnej poszkodowanego, który może polegać na rzeczywistej stracie lub utraconych zarobkach. Szkoda niemajątkowa to natomiast, co do zasady, krzywda, czyli uszczerbek w dobrach niematerialnych, np. utrata reputacji, naruszenie godności itd.
- naruszenia przez administratora lub podmiot przetwarzający przepisów RODO – administrator odpowiada za szkody wynikające z przetwarzania naruszającego wszelkie przepisy RODO. Podmiot przetwarzający natomiast odpowiada jedynie za szkody spowodowane przetwarzaniem, gdy nie dopełnił tych obowiązków wynikających z RODO. Obowiązków które zostały nałożone wprost na podmiot przetwarzający, a także gdy działał poza zgodnym z prawem poleceniem administratora danych.
- zaistnienia związku pomiędzy szkodą a naruszeniem – pomiędzy naruszeniem przepisów a wystąpieniem szkody musi zachodzić bezpośredni (adekwatny) związek, czyli szkoda ma być zwykłym następstwem tego naruszenia (zob. M. Górski, Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, art. 82, teza 8).
- wystąpieniem winy w naruszeniu RODO po stronie administratora/podmiotu przetwarzającego – podmioty te zostaną zwolnione z odpowiedzialności, o ile udowodnią, iż w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3). Wprowadzono więc swoiste domniemanie winy administratora/podmiotu przetwarzającego. Nie ma przy tym znaczenia, czy sprawdza działa umyślnie, czy też nieumyślnie.
Odpowiedzialność za naruszenie dóbr osobistych
Cywilnoprawna odpowiedzialność za konsekwencje naruszenia ochrony danych osobowych mogą też wiązać się z naruszeniem dóbr osobistych osoby, której dane dotyczą. Podstawą takiej odpowiedzialności jest art. 23-24 Kodeksu cywilnego. Pierwszy z nich zawiera otwarty katalog dóbr osobistych. Drugi natomiast wskazuje, iż osoba, której dobro osobiste zostało zagrożone cudzym działaniem, może żądać zaniechania tego działania. Chyba iż nie jest ono bezprawne. W razie dokonania naruszenia poszkodowany może też żądać, aby naruszyciel dopełnił czynności potrzebnych do usunięcia jego skutków. W szczególności, aby złożył oświadczenie o odpowiedniej treści i formie. Na zasadach przewidzianych w Kodeksie cywilnym poszkodowany może też żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel, a także naprawienia szkody majątkowej wyrządzonej naruszeniem.
Przesłankami ochrony dóbr osobistych, które muszą wystąpić łącznie są (por. P. Księżak, w: Kodeks cywilny. Komentarz. Część ogólna, wyd. II, red. M. Pyziak-Szafnicka, Warszawa 2014, s. 316):
- istnienie dobra osobistego,
- zagrożenie lub naruszenie tego dobra,
- bezprawność zagrożenia lub naruszenia.
Warto wskazać, iż dane osobowe, co do zasady, nie stanowią samodzielnych dóbr osobistych. Składają się na szerzej rozumiane dobro osobiste, którym jest prywatność (por. wyrok SN z 13.12.2018 r. I CSK 690/17). Samo przetwarzanie danych osobowych bez zgody zainteresowanego (poszkodowanego) nie przesądza o naruszeniu dóbr osobistych i podstawie do uzyskania ochrony przewidzianej we wskazanych wyżej przepisach art. 23-24 Kodeksu cywilnego (wyrok SN z 28.04.2004 r. III CK 442/02). Poszkodowany musi więc udowodnić w procesie cywilnym, iż naruszenie ochrony danych osobowych wywołało u niego konsekwencje w sferze dóbr osobistych. Przykładowo w sferze prywatności czy prawa do wizerunku.
Na powodzie – poszkodowanym – będzie zatem ciążył ciężar udowodnienia, iż doszło do naruszenia jego dobra osobistego. Pozwany zaś, aby uwolnić się od odpowiedzialności będzie musiał wykazać, iż jego zachowanie nie jest bezprawne.
Trzeba podkreślić, iż w przeciwieństwie do art. 82 RODO, Kodeks cywilny przewiduje dla poszkodowanego nie tylko możliwość uzyskania zadośćuczynienia lub odszkodowania, ale też roszczenie o żądanie zaniechania takiego naruszenia, np. zaniechanie dalszego bezprawnego udostępniania danych osobowych, czy też roszczenie o podjęcie czynności potrzebnych do usunięcia skutków naruszenia dóbr, np. poprzez złożenie stosownego oświadczenia z przeprosinami.
Podsumowanie
Podsumowując cały cykl zauważyć należy, iż naruszenie przepisów o ochronie danych osobowych wiązać może się nie tylko z nałożeniem administracyjnej kary pieniężnej przez organ nadzorczy. Należyta ochrona danych osobowych zabezpieczona jest nie tylko normami prawa administracyjnego, ale też przepisami o odpowiedzialności cywilnoprawnej, a w końcu również przepisami karnymi.
Warto, aby z powyższego sprawę zdawali sobie nie tylko administratorzy danych, ale też osoby, których dane dotyczą. Osoby, które mogą poszukiwać pomocy w razie naruszenia ich danych osobowych nie tylko u Prezesa UODO, ale też na Policji lub u prokuratora, a także przed sądem.