Załóżmy, iż ktoś badał się na chorobę weneryczną. Po wycieku danych z ALAB informacja ta została upubliczniona i teraz współmałżonek żąda rozwodu. Czy pacjent może pozwać ALAB o nienależyte zabezpieczenie tych danych, choćby jeżeli szkoda w tym wypadku jest niematerialna?
Jak najbardziej. Jest kilka podstaw prawnych, z których można skorzystać w takiej sytuacji. W szczególności mamy art. 82 § 1 RODO. Stanowi on, iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Ale gdyby tej podstawy nie było, to przez cały czas istniałaby możliwość dochodzenia zadośćuczynienia za tę krzywdę, na gruncie art. 23, 24 i 448 Kodeksu cywilnego. Do tych przepisów odsyła też ustawa o prawach pacjenta i rzeczniku praw pacjenta. W obu przypadkach (RODO i KC) podstawą odpowiedzialności będzie przede wszystkim bezprawność działania podmiotu przetwarzającego dane lub administratora. Określa się ją jako niezgodność z przepisami lub zasadami współżycia społecznego. Bezprawnością w tym wypadku jest niezgodność z prawem działania administratora, który sprzecznie z wymogami RODO niedostatecznie zadbał o bezpieczeństwo tych danych osobowych.
Czy on odpowiada tylko za wdrożenie odpowiednich systemów, czy też za skutek, tzn., iż dane faktycznie nie wyciekną?
Obowiązki administratora nie są nieskończone. Systemy informatyczne i procedury bezpieczeństwa muszą być zgodne z wymogami RODO. Podobnie jak praktyka ich stosowania. o ile administrator zawiódł, tzn. wprowadził zabezpieczenia nie tylko nieadekwatne (skoro do tego wycieku doszło), ale i niespełniające minimalnych wymagań RODO, to mamy do czynienia z działaniem bezprawnym, co rodzi odpowiedzialność. W przypadku dochodzenia zadośćuczynienia co do zasady konieczne jest, na gruncie Kodeksu cywilnego, wykazanie zaniedbania po stronie pozwanego, którego skutkiem było wypłynięcie danych. Jednakże ze względu na brzmienie przepisów regulujących ochronę danych osobowych tę bezprawność można utożsamiać z niedbalstwem. Bo zasady były znane, wystarczyło je wdrożyć. W przypadku naruszenia dóbr osobistych, jakim jest prawo do prywatności, sąd może, ale nie musi, takie zadośćuczynienie orzec. Jednym z istotnych kryteriów jest wina podmiotu przetwarzającego dane – w tym wypadku w formie niedbalstwa.
Co jeszcze, prócz winy administratora, musiałby wykazać powód?
Może też się okazać, iż wcale te zabezpieczenia nie były nienależyte. W tym wypadku trudno będzie oczywiście dochodzić zadośćuczynienia od administratora, bo jego działanie nie było bezprawne. Natomiast dużym ułatwieniem dla osoby dochodzącej zadośćuczynienia jest mechanizm domniemania bezprawności. Czyli to administrator musi wykazać, iż jego działanie nie było bezprawne, w tym wypadku więc ciężar dowodu spoczywa na laboratorium. Wymagane jest też przekonanie sądów, iż doszło do istotnej krzywdy. W przypadku rozwodu można się doszukiwać takich krzywd. Ujawnienie danych spowodowało naruszenie prawa do prywatności, czego skutkiem było poniżenie takiej osoby w oczach otoczenia, rodziny i może doprowadzenie do rozpadu małżeństwa…
Z drugiej strony można argumentować, iż do tego rozpadu doszło w wyniku zdrady, a nie tego, iż zdrada wyszła na jaw. Tzn. iż sam pokrzywdzony się tu przyczynił…
Można oczywiście przesuwać to źródło zdarzenia wstecz, natomiast bezpośrednią przyczyną było ujawnienie informacji o zdrowiu na skutek wycieku. Nie jest tak, iż prawem do prywatności objęte są tylko kwestie, nazwijmy to, akceptowane społecznie, pozytywne moralnie. Właśnie istotą prawa do prywatności jest zachowanie w tajemnicy tych aspektów życia, które są wstydliwe. I każdy ma prawo do zachowania tej tajemnicy. To nie jest tak, iż w sytuacji, kiedy ktoś dopuszcza się niewierności małżeńskiej, całe społeczeństwo może ujawnić te informacje i nie ponosić konsekwencji, bo przecież chodzi o czyn, nazwijmy to, wątpliwy etycznie. Prawo do prywatności polega na tym, iż wszystko, co może być problematyczne, musi zostać zachowane w tajemnicy, o ile osoba, której te informacje dotyczą, sama nie zdecyduje się na ich ujawnienie. To prawda, iż np. doszło do zdrady i zarażenia chorobą, ale administrator doprowadził do ujawnienia tej informacji przez swoje niedbalstwo, ponieważ nie wyczerpał przesłanek ustawowych czy wynikających z RODO.
Na jakie realnie kwoty zadośćuczynienia mogą liczyć osoby, których dane wyciekły?
W praktyce wysokość zadośćuczynienia zależy od rozmiaru krzywdy. Są już orzeczenia sądów polskich, które dotyczyły wycieków danych. Sądy zasądzały kwoty zadośćuczynienia na poziomie 1000–1500 zł. Na marginesie dodam, iż to wartości porównywalne do kwot zasądzanych przez sądy w innych krajach członkowskich UE. Mówimy o zadośćuczynieniu za sam fakt, iż te dane wyciekły – nie wywołało to większych skutków dla skarżących. Powodowie argumentowali, iż ta sytuacja wywołała u nich niepokój. Zaczęli bowiem nieustannie myśleć o tym, kto może mieć do tego dostęp do ich danych itd. Sądy to wyceniały dosyć nisko, dopóki jakiś rzeczywisty, wymierny skutek w postaci np. rozwodu nie nastąpił.
Wiele osób obawia się, iż ktoś wykorzysta ich upublicznione dane, w tym PESEL, do podpisania umowy o kredyt czy pożyczkę. Czy w takiej sytuacji będą mogły pozwać laboratorium czy raczej instytucję finansową?
Po pierwsze, administrator odpowiada, tak jak już wcześniej rozmawialiśmy, na gruncie zarówno art. 82 RODO, jak i na zasadach ogólnych Kodeksu cywilnego, o ile chodzi o szkody majątkowe. A tutaj mówimy de facto o szkodzie majątkowej, czyli powstaniu pasywów po stronie osoby poszkodowanej, spowodowanej takim nielegalnym posłużeniem się danymi osobowymi. Więc dochodzenie roszczeń odszkodowawczych, majątkowych od administratora jak najbardziej jest możliwe. Natomiast o ile chodzi o banki, to sam fakt tego, iż te dane były fałszywe, tzn. pozyskane nielegalnie, i inna osoba się nimi posłużyła i wyłudziła kredyt, nie musi się przekładać na odpowiedzialność banku.