Odszkodowanie za naruszenie ochrony danych osobowych

10 miesięcy temu
Czym jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Może dojść do niego w każdej chwili, a jego powodem mogą być zarówno działania zewnętrzne, np. atak hackerski, jak i działa wewnętrzne w organizacji, np. błąd pracownika, zagubienie ważnych dokumentów.

Odpowiedzialność administratora danych za naruszenie ochrony danych

Naruszenie ochrony danych może wiązać się z szeregiem przykrych konsekwencji dla sprawcy takiego działania lub zaniechania, począwszy od możliwej kary ze strony Prezesa UODO, aż przez odpowiedzialność cywilnoprawną na odpowiedzialności karnej kończąc. Odpowiedzialność odszkodowawczą związaną z naruszeniem przepisów ponosi co do zasady administrator danych osobowych w pełnym zakresie. Odpowiedzialność podmiotu przetwarzającego została w RODO ograniczona, do sytuacji, gdy szkoda powstała na skutek przetwarzania przez niego danych osobowych z niedopełnieniem obowiązków nakładanych bezpośrednio na taki podmiot przez RODO lub gdy jest ona wynikiem działania poza zgodnymi poleceniami administratora lub wbrew tym poleceniom. . Podmioty przetwarzające i administratorzy, którzy gromadzą dane osobowe mają obowiązek stosować odpowiednie środki bezpieczeństwa, aby chronić dane przed nieuprawnionym dostępem, ujawnieniem bądź wyciekiem.

Wskazane podmioty nie będą odpowiadały za naruszenie ochrony danych osobowych, gdy w toku postępowania wykażą, iż nie ponoszą za nie winy, bowiem dochowały należytej staranność przy wdrożeniu niezbędnych i adekwatnych działań minimalizujących ryzyko urzeczywistnienia się zagrożenia naruszenia ochrony danych osobowych. A są to m.in. uwzględnienie ochrony danych osobowych w fazie projektowania, przetwarzanie danych osobowych z uwzględnieniem ryzyka, czy też wdrożenie organizacyjnych i technicznych środków bezpieczeństwa. Oczywiście, w stosunku do Administratora katalog wymagań jest znaczenie szerszy niż Podmiotu przetwarzającego, co wynika z jego szczególnej roli przyznanej na gruncie przepisów RODO.

Co w sytuacji, gdy doszło do naruszenia RODO?

Niezależenie czy naruszenia powstało z winy Administratora czy Podmiotu przetwarzającego, osoba fizyczna, której dane osobowe zostały dotknięte zdarzeniem, ma prawo dochodzenia odszkodowania od każdej ze stron zaangażowanych w proces przetwarzania na drodze postępowania sądowego. Wytoczenie powództwa na gruncie przepisów o ochronie danych osobowych jest niezależne od postępowania prowadzonego przed Prezesa UODO, przy czym Sąd związany jest prawomocną decyzją organy i do czasu wydania decyzji, zawiesi takie postępowanie. Ma to dość istotne znaczenia, ponieważ w sytuacji wydania przez Prezesa UODO decyzji stwierdzającej fakt zaistnienia naruszenia, jak i wskazania sprawcy takiego zdarzenia, ułatwia to dochodzenie swoich roszczeń na gruncie postępowania cywilnego. Nie mniej nie wyklucza to jednak dochodzenia swoich praw przed Sądem, bez uwzględnienia stanowiska Organu.

Możliwość żądania odszkodowania lub zadośćuczynienia przez osobę, której dane zostały objęte naruszeniem na gruncie RODO

Unijne rozporządzenie przyznaje każdej osobie, która poniosła szkodę w związku z naruszeniem przepisów o ochronie danych osobowych prawo do odszkodowania. Możliwość żądania odszkodowania za naruszenie przepisów RODO uwarunkowana jest jednak spełnieniem trzech przesłanek, z których wynika, że:

• musi dojść do naruszenia przepisów RODO przez administratora lub podmiot przetwarzający,
• osoba, której dane dotyczą, musi ponieść szkodę majątkową lub niemajątkową
• między szkodą a naruszeniem musi istnieć związek przyczynowo-skutkowy.

Zgodnie z ww. przesłankami, nie każde naruszenie przepisów RODO będzie skutkowało powstaniem szkody, a w konsekwencji, nie za każde naruszenie wynikające z RODO będzie należało się odszkodowanie. Taka decyzja będzie ostatecznie leżała po stronie sądu i zależała od okoliczności sprawy. Zostało to potwierdzone w wyroku z dnia 4 maja 2023 roku wydanym przez Trybunał Sprawiedliwości Unii Europejskiej (C-300/21), w którym stwierdzono, iż naruszenie RODO, w samo sobie nie rodzi prawa do odszkodowania, a inna wykładania byłaby sprzeczna z zasadami wynikającymi z Ogólnego Rozporządzenia o Ochronie Danych.

Wysokość odszkodowania za naruszenie ochrony danych osobowych jak również zasad jej szacowania nie zostały ściśle określone w przepisach RODO. Zgodnie z wyżej wskazanym wyrokiem, TSUE potwierdził, iż ustalenie kryteriów pozwalających na określenie odszkodowania należnego na gruncie przepisów RODO należy do porządku prawnego państwa członkowskiego, z zastrzeżeniem poszanowania zasad równości i skuteczności. W konsekwencji wartość odszkodowania ustalana jest w postępowaniu Sądowym przy uwzględnieniu wagi czynu oraz szkody, poniesionej przez osobę fizyczną. Sąd w wyroku z dnia 6 sierpnia 2020 r. (sygn. akt. XXV C 2596/19), w związku z wniesionym powództwem o odszkodowanie w związku z niezgodnym z prawem przekazaniem danych osobowych przez Towarzystwo Ubezpieczeniowe, osobie trzeciej, uwzględniając wykazaną przez powódkę szkodę, odnoszącą się do obaw związanych z możliwością bezprawnego posłużenia się jej danymi osobowymi przez osobę trzecią, oszacował wartość odszkodowania na kwotę 1 500,00 zł.

Nie tylko RODO, ale też naruszenie dóbr osobistych

Odpowiedzialność cywilnoprawna na gruncie RODO nie jest jedynym rodzajem odpowiedzialności cywilnoprawnej, z którym powinien liczyć się administrator, u którego dojdzie do naruszenia ochrony danych. Osoba, której dane dotyczą może bowiem wysuwać też roszczenia przewidziane przepisami Kodeksu cywilnego a związane z naruszeniem jej dóbr osobistych, np. prawa do prywatności, czy dobrego imienia.
Co warto zauważyć, o ile roszczenie o odszkodowanie lub zadośćuczynienie może być oparte zarówno na przepisach RODO, jak też na przepisach Kodeksu cywilnego (dobra osobiste), o tyle tylko w ramach procedury ochrony dóbr osobistych podmiot danych może żądać zaniechania działania, które godzi w jego dobra (np. publikacji jego danych na określonej stronie), czy też dochodzić dopełnienia czynności potrzebnych do usunięcia skutków takiej ingerencji w te dobra (np. złożenia oświadczenia o określonej treści, przeprosin).
Powyższe pokazuje, iż roszczenie o ochronę dóbr osobistych dopełnia cywilnoprawny system ochrony naszej prywatności i bezpieczeństwa naszych danych. Może być ono przydatne, o czym świadczyć może chociażby niedawny wyrok Sądu Apelacyjnego w Warszawie, którym prawomocnie zasądzono 10.000 zł tytułem zadośćuczynienia za naruszenie dóbr osobistych powódki, do którego doszło na skutek bezpodstawnego ujawnienia jej danych osobowych w uzasadnieniu jednego z orzeczeń opublikowanego w Centralnej Bazie Orzeczeń Sądów Administracyjnych.

Czy warto zatem ryzykować?

Podsumowując, podmiotom, które przetwarzają dane osobowe – czy to w charakterze administratora, czy podmiotu przetwarzającego, powinna towarzyszyć perspektywa, iż ich działania, w tych sposób w jaki chronią dane, mogą mieć daleko idące skutki. Zaniedbania w tym zakresie mogą rodzić nie tylko ryzyko utraty reputacji, zastosowania środków nadzorczych przez Prezesa UODO, ale też ryzyko odpowiedzialności cywilnoprawnej. W skrajnych przypadkach każda z tych sankcji może spowodować znaczące utrudnienia dla organizacji, a choćby wyeliminować ją z rynku. Warto więc dbać o przestrzeganie przepisów o ochronie danych i stosować odpowiednie zabezpieczenia.

Idź do oryginalnego materiału