Odpowiedzialność cywilnoprawna za naruszenie przepisów o ochronie danych osobowych w świetle RODO oraz projektu ustawy o ochronie danych osobowych

odpowiedzialność cywilnoprawna

Obecnie podstawą odpowiedzialności cywilnoprawnej za naruszenie ochrony danych osobowych są przepisy o ochronie dóbr osobistych (w szczególności art. 23 i 24 k.c.) – choć w art. 23 k.c. nie wymieniono ochrony danych osobowych wprost, to jednak za odrębną kategorię dobra osobistego uznaje się prywatność, a w jej ramach chroniona jest osoba, której dane są przetwarzane. Wszystko wskazuje na to, że począwszy od 25 maja 2018 r. podstawy te ulegną poszerzeniu o możliwość bezpośredniego powołania się na przepisy RODO dotyczące odpowiedzialności odszkodowawczej za naruszenie zasad ochrony danych osobowych, a ponadto na uzupełniające regulacje RODO przepisy projektowanej nowej ustawy o ochronie danych osobowych.

Za sprawą RODO zyskamy nową podstawę dochodzenia roszczeń cywilnoprawnych (jest to pogląd podzielany przez autorów, choć nie jest on powszechny), w postaci art. 82 RODO. W art. 82 ust. 1 RODO wskazano, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać odszkodowanie za poniesioną szkodę od administratora lub podmiotu przetwarzającego. Pojawia się pytanie, czy oprócz odpowiedzialności odszkodowawczej, której dotyczy art. 82 RODO, celowe jest wprowadzenie dodatkowych podstaw odpowiedzialności cywilnoprawnej. Chodzi w szczególności o art. 79 ust. 1 RODO, który zapewnia prawo podmiotu danych osobowych do skutecznego środka ochrony prawnej przed sądem, jeżeli ten uzna, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem rozporządzenia. Przyjąć należy, że art. 79 ust. 1 RODO obejmuje zarówno środki o charakterze materialnoprawnym jak i procesowym. Wątpliwość dotyczy natomiast tego czy wymaga on wprowadzenia dodatkowych przepisów do polskiego porządku prawnego. Można bowiem argumentować, że w polskim systemie prawnym istnieją skuteczne środki ochrony prawnej przed sądem, w przypadku gdy podmiot danych uzna, że prawa przysługujące mu na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem rozporządzenia. Są nimi właśnie przepisy o ochronie dóbr osobistych.

Wątpliwości te zostały wprost rozstrzygnięte w projekcie ustawy o ochronie danych osobowych, którego rozdział 8 (art. 78-81) poświęcono odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych. Na mocy projektowanego art. 78 ust. 1 każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, będzie mogła żądać zaniechania tego działania, a także może żądać, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. W art. 78 ust. 2 – 3 projektu ustawy przesądzono, że dochodzenie roszczeń w oparciu o art. 78 projektu nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych. Chodzi zarówno o możliwość powołania art. 82 RODO, jak i obecnych przepisów o ochronie dóbr osobistych.

W praktyce jednak, zwłaszcza jeżeli projekt nowej ustawy o ochronie danych osobowych stanie się prawem w prezentowanym obecnie brzmieniu, najistotniejszą kwestią, która będzie wymagała rozstrzygnięcia, pozostanie wzajemny stosunek poszczególnych podstaw dochodzenia przez osoby fizyczne roszczeń z tytułu naruszenia ich praw określonych w przepisach dotyczących przetwarzania danych osobowych.

 

krk logo

Autor

Marek Świerczyński - Michał Chodorek - Barbara Trabszys

dr hab. Marek Świerczyński - adwokat, KRK Kieszkowska Rutkowska Kolasiński
Marek Świerczyński doradza przedsiębiorcom w zakresie danych osobowych, prawa własności intelektualnej, handlu elektronicznego, prawa farmaceutycznego oraz prawa prywatnego międzynarodowego. Ekspert Rady Europy w zakresie dowodów elektronicznych. Członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Pełni funkcję arbitra w Sądzie Polubownym ds. Domen Internetowych. Autor licznych publikacji naukowych.

Michał Chodorek – adwokat, KRK Kieszkowska Rutkowska Kolasiński
Michał Chodorek specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej (w szczególności e-commerce, prawie autorskim i prawie znaków towarowych) a także w prawie nieuczciwej konkurencji.
Jego doświadczenie obejmuje ocenę zgodności z prawem celów, zakresu i sposobów przetwarzania danych osobowych. Doradza przy transakcjach dotyczących praw własności intelektualnej oraz reprezentacje klientów w postępowaniach cywilnych i karnych.

Barbara Trabszys – adwokat, KRK Kieszkowska Rutkowska Kolasiński
Barbara Trabszys zajmuje się bieżącą obsługą spółek z branży life sciences. Obszarami jej specjalizacji są przede wszystkim: e-commerce oraz prawo IT, odpowiedzialność za produkt niebezpieczny, reklama produktów leczniczych, wyrobów medycznych i suplementów diety oraz badania kliniczne i obserwacyjne. Absolwentka studiów podyplomowych z zakresu prawa IT na Akademii Leona Koźmińskiego w Warszawie.