RODO jest obecnie odmieniane przez wszystkie przypadki, a nadchodząca rzeczywistość prawna w zakresie ochrony danych osobowych, na czele z karami, jakie przewiduje, stała się straszakiem. Wszędzie słychać, że polscy przedsiębiorcy nie są gotowi, a nakładanie kar będzie pompowało budżet państwa. Warto jednak pamiętać, że obok potencjalnych sankcji w grę wchodzi również odpowiedzialność odszkodowawcza wobec osób, których dane będą przetwarzane niezgodnie z prawem. Zachęcam do przeczytania wpisu Agaty Majewskiej, który jest właśnie o tym. 

Hasło „RODO” spędza sen z powiek coraz większej liczbie osób, które w zakresie prowadzonej działalności przetwarzają dane osobowe. Szczególne obawy wiążą się z wysokimi sankcjami, o jakich usłyszeć można, za naruszenie przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych.

Co więcej jednak, oprócz wysokich kar administracyjnych, europejskie rozporządzenie wprowadza do realiów krajowych nowy – nieznany dotąd – cywilnoprawny środek ochrony, przysługujący osobie poszkodowanej przetwarzaniem danych osobowym z naruszeniem przepisów RODO.

Co to oznacza dla podmiotów przetwarzających dane jak i dla samego zainteresowanego?

Dotychczasowe przepisy krajowe o ochronie danych osobowych przewidywały jedynie odpowiedzialność karną  – jak za wykroczenia – podmiotu, który dopuściłby się naruszenia bezpieczeństwa naszych danych. Tym samym, ewentualnej indywidualnej rekompensaty z tego tytułu dochodzić można było jedynie na podstawie ogólnej odpowiedzialności odszkodowawczej takiego podmiotu opisanej w Kodeksie Cywilnym.

Co do nowego zaś środka prawnego, uznaje się, że nie wpisuje się on w znany dotychczas typ odpowiedzialności wynikającej z czynu niedozwolonego ani też odpowiedzialności kontraktowej.

RODO przyznaje każdemu z nas odrębną, samodzielną podstawę pozwalającą na rekompensatę uszczerbku doznanego na skutek naruszenia bezpieczeństwa danych osobowych. Oznacza to, że podmioty przetwarzające dane niezgodnie z nowymi przepisami, powinny liczyć się nie tylko z możliwością zapukania do drzwi przez pracowników Urzędu Ochrony Danych Osobowych i nałożenia kary przez Prezesa tego urzędu, ale również muszą mieć na uwadze ryzyko żądań naprawienia szkody zgłaszanych bezpośrednio ze strony samych osób, których to dane przetwarzają.

Art. 82 RODO przewiduje bowiem możliwość dochodzenia odszkodowania przez każdą osobę, która poniosła – majątkową czy też niemajątkową – szkodę na skutek naruszenia przepisów rozporządzenia unijnego o ochronie danych osobowych. Z roszczeniem takim wystąpić można do dwóch rodzajów podmiotów:

  • administratora danych osobowych (zwanego dalej ADO)– a więc tego, kto ustala zarówno sposób jak i cel przetwarzania naszych danych (a więc np. pracodawca, osoba prowadząca sklep internetowy, w którym dokonujemy zakupów, organ administracji, szkoła, przedsiębiorstwo, z którym współpracujemy) lub
  • podmiotu przetwarzającego nasze dane w imieniu i na zlecenie administratora (tj. każdego, któremu administrator powierzy ich przetwarzanie).

Kiedy można domagać się odszkodowania i w jakiej wysokości?

Obowiązujące od 25 maja 2018 r. przepisy unijne pozwolą na wystąpienie z żądaniem zapłaty odszkodowania przy spełnieniu łącznie następujących warunków:

  • poniesienia przez osobę fizyczną szkody majątkowej lub niemajątkowej – która może w szczególności wynikać z naruszenia jej dóbr osobistych w związku z naruszeniem reguł przetwarzania danych osobowych,
  • zawinionego naruszenia przez ADO lub podmiot przetwarzający przepisów RODO – a więc w szczególności w przypadku przetwarzania danych w zakresie szerszym niż to uzasadnione, wycieku danych w niepowołane ręce, pobierania danych, których przetwarzania zabrania prawo, niepoinformowania osoby, której dane dotyczą o przysługujących jej prawach związanych z takim przetwarzaniem.
  • zaistnienia związku pomiędzy takim naruszeniem, a poniesioną szkodą.

RODO stanowi, że „osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody”. Oznacza to, że w przypadku poniesienia uszczerbku w związku z naruszeniem przepisów o ochronie danych osobowych, to na żądającym odszkodowania ciążyć będzie obowiązek wykazania jego zasadnej wysokości. Jest to o tyle istotne, gdyż w przypadku wystąpienia z powództwem odszkodowawczym do sądu, ten nie będzie mógł samodzielnie badać takiej okoliczności, a tym samym zasądzić na rzecz poszkodowanego więcej niż zgłosił on w żądaniu swojego pozwu.

Jednocześnie przepisy nie ograniczają postaci odszkodowania jedynie do zapłaty kwoty pieniężnej, co oznacza, że w grę wchodzić może również naprawienie szkody w inny sposób – stosownie do skutków naruszenia oraz żądania zgłoszonego przez poszkodowanego.

Zastanawiając się nad możliwością bądź prawdopodobieństwem spotkania się z wyżej opisanym roszczeniem, pamiętajmy, iż nie ma znaczenia fakt, że przewidziane zostało ono we wspólnotowym akcie prawnym. Jako rozporządzenie unijne ma ono bowiem bezpośrednie zastosowanie w każdym państwie członkowskim i pozwala oprzeć się na nim niezależnie od istnienia krajowej ustawy, która to jedynie doprecyzować może jego regulację.

Agata Majewska