W poprzednim artykule pisałam o odszkodowaniach za naruszenie przepisów o ochronie danych osobowych z perspektywy osoby, która doznała szkody. Niniejszy artykuł adresowany jest do administratorów – uzupełniam w nim informacje i rozwijam wątki istotne z punktu widzenia potencjalnego odpowiedzialnego za szkodę.
Zasady odpowiedzialności
Osoba, która na skutek naruszenia RODO przez administratora lub podmiot przetwarzający poniosła szkodę majątkową lub niemajątkową może domagać się odszkodowania. Dla uproszczenia uznajmy, że osobą taką będzie podmiot danych (osoba fizyczna, której dane dotyczą), gdyż w zdecydowanej większości przypadków tak właśnie będzie. Zgodnie z motywami RODO „Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego.” (motyw 146). Celem Rozporządzenia, o którym mowa jest natomiast zapewnienie osobom fizycznym odpowiedniej ochrony w zakresie danych osobowych – już stąd możemy się domyślać, że prawodawca będzie surowy.
Rzeczywiście, od odpowiedzialności uwolnić się niełatwo. Jak wspomniałam już w poprzednim artykule (bez rozwijania tego wątku) polska i angielska wersja językowa różnią się kluczowym sformułowaniem – u nas jest to „w żaden sposób nie ponosi winy”, natomiast wersja anglojęzyczna wskazuje na zerwanie związku przyczynowo – skutkowego pomiędzy naruszeniem a szkodą. Nawet w tym pierwszym przypadku niezwykle trudno byłoby wykazać, że naruszenie, jakie miało miejsce nie zostało nawet w najmniejszym stopniu zawinione – przykładowo, gdy wyłączną winę ponosi osoba trzecia lub jakiś czynnik obiektywny, którego nie można było przewidzieć. Jednak nawet w takich wypadkach należy jeszcze zbadać, czy rzeczywiście administrator nie ponosi winy za brak należytego zabezpieczenia lub inne – pośrednie - uchybienia. Co więcej, przepis ustanawia domniemanie istnienia winy i to administrator lub procesor musi wykazać, że żadnej winy po jego stronie nie było. W drugiej wersji przepisu mowa jest o nieponoszeniu odpowiedzialności – innymi słowy naruszenie było, szkoda była, ale nie było między nimi takiej relacji jak między przyczyną a skutkiem. Oznacza to, że krąg wyłączeń odpowiedzialności jeszcze bardziej się zawęża.
Naruszenie przepisów RODO
Powyższe rozważania zakładają, że doszło do naruszenia przepisów i że powstała szkoda. O postaciach tej ostatniej pisałam już we wcześniejszym wpisie, do którego odsyłam, natomiast o naruszeniu wypada jeszcze wspomnieć. Jeśli chodzi o sytuację administratora to, podobnie jak w przypadku podstaw do nakładania kar administracyjnych, mowa jest o naruszeniu przepisów rozporządzenia, a zatem wszelkich wynikających z niego obowiązków i zakazów. Czym konkretnie może być zdarzenie wywołujące szkodę? Spójrzmy na przepis art. 24 RODO:
„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”
Jeśli więc administrator wdroży środki techniczne, ale będą one ocenione jako nieodpowiednie wobec wymienionych w przepisie pięciu czynników i przykładowo dojdzie do wycieku danych to administrator będzie ponosił odpowiedzialność. Tyle że administrator sam musi ocenić, jakie środki będą „odpowiednie” i dopiero kontrola urzędu lub – co gorsza – sprawa o odszkodowanie pozwala na zweryfikowanie podjętych decyzji. Niestety, do uroków Rozporządzenia należy to, że wiele przepisów celowo jest dość ogólnie sformułowanych. W założeniu miało to być prawo neutralne technologicznie, czyli bez wyznaczania konkretnych środków ochrony, co pozwala na zachowanie niezmiennej treści przepisów nawet przy zmienności dostępnych technologii.
Innymi słowy o zarzut naruszenia przepisów nie trudno, zwłaszcza przy tzw. wycieku danych (lub – dużo ładniej – data breach). Inaczej wygląda to w przypadku podmiotu przetwarzającego dane na polecenie administratora. Procesor ponosi bowiem odpowiedzialność odszkodowawczą wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (art. 82 ust. 2 RODO). O tym jednak chcę napisać w innym artykule.
Dochodzenie roszczeń
Naruszenia mogą być więc różne, różną postać może także przybrać szkoda. W zależności od tego, co się wydarzyło i jakie miało skutki roszczenie może opiewać na różne kwoty, przy czym przepisy nie dają podpowiedzi. Istotne jest, aby naprawienie szkody czyniło zadość celom Rozporządzenia. Najwięcej niepewności wiąże się ze szkodą niematerialną – orzecznictwo nie dostarczyło jeszcze przykładów, jakie mogą być skutki naruszenia i jakie kwoty zadośćuczynienia im odpowiadają.
Zauważmy, że co do zasady odszkodowanie nie jest zależne od tego, czy administrator działał odpłatnie lub odniósł korzyść, czy dane były zbierane ze względu na potrzebę administratora bądź też ich gromadzenie wynikało z przepisu prawa. Co więcej, ze względu na indywidualny tryb dochodzenia roszczeń sąd nie miał obowiązku przeliczania według liczby osób, które mogły doznać podobnej szkody, nawet jeśli liczba ta będzie znaczna – a przecież przy aktualnych możliwościach technologicznych dane przetwarzane są bardzo często na dużą skalę.
Przykładowo: dochodzi do wycieku bardzo dużej liczby danych przechowywanych przez administratora pomimo upływu terminu ich usunięcia. Podstawą roszczenia jednej z osób jest szkoda niematerialna w postaci silnie przeżywanej obawy o kradzież tożsamości, uzyskanie dostępu do danych prywatnych lub konta bankowego etc. Reakcja poszkodowanego nie wykracza poza ogólne standardy, nie wynika z jego szczególnej sytuacji, jest raczej typowa dla naruszenia. Sąd zasądza na rzecz powoda 200 zł. Jak ocenić tę kwotę? Z jednej strony nie jest znaczna, ale przy dużej skali roszczeń, jeśli w ślady pierwszego poszkodowanego pójdą inni, łącznie odszkodowanie może okazać się znacznym obciążeniem. Sąd nie tworzy jednak precedensu – orzeka w indywidualnej sprawie i taki wyrok nie wiąże innych sądów, rozpatrujących sprawy tego samego naruszenia. Po wyroku, a przed upływem terminu przedawnienia roszczeń mogą bowiem zgłaszać się kolejne osoby, a ich żądania nie są limitowane zasądzonymi już kwotami. Innymi słowy – każdy kolejny skład orzekający nie ma obowiązku kierowania się wysokością wypłaconych już innym osobom odszkodowań. Termin przedawnienia roszczeń o odszkodowanie wynosi trzy lata od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia, jednakże termin ten nie może być dłuższy niż dziesięć lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę (art. 4421 § 1 kodeksu cywilnego). Oznacza to, że w tym czasie do administratora mogą zgłaszać się kolejne osoby, dla których właściwość sądu (będzie to sąd okręgowy) wyznaczać będzie miejsce zwykłego pobytu poszkodowanego – przy ogólnopolskiej skali działalności administratora może on być pozywany w różnych województwach, pomimo że do naruszenia doszło np. w jego siedzibie.
Odszkodowanie a inne sankcje
Odpowiedzialność odszkodowawcza nie wyłącza zastosowania sankcji administracyjnych. Przeciwnie – decyzja Prezesa Urzędu Ochrony Danych Osobowych wiąże sąd orzekający o odszkodowaniu co do stwierdzonego w niej naruszenia przepisów. Po uprawomocnieniu się decyzji administracyjnej sąd cywilny bada tylko, czy zachodzą pozostałe przesłanki uwzględnienia powództwa. Jeśli decyzji jeszcze nie wydano, ale organ nadzoru został zawiadomiony postępowanie sądowe jest zawieszane do czasu wydania decyzji. W tym celu sądy i Urząd wymieniają się informacjami – sąd informuje o wniesieniu pozwu, a UODO – o postępowaniach dotyczących tego samego naruszenia, może także przedstawić pogląd istotny dla sprawy.
Odszkodowanie i kara administracyjna to dwie sankcje, jakie mogą spotkać administratora, jednak pamiętać należy, że to nie koniec – jeśli naruszenie RODO towarzyszyło innemu deliktowi lub uchybieniu obowiązkom umownym to do omawianej pary może dojść jeszcze trzeci element.