Rekordowe zadośćuczynienie w związku z naruszeniem przepisów o ochronie danych osobowych

• 18.04.2023

• Autor: Szymon Wróbel

• News

Potrzebujesz oferty na wdrożenie RODO?

Wypełnij formularz

Potrzebujesz usługi Outsourcingu IOD?

Wypełnij formularz

Potrzebujesz oferty na audyt RODO?

Wypełnij formularz

W końcu ubiegłego roku zapadło ważne orzeczenie, w którym Sąd Okręgowy w Warszawie zasądził najwyższe dotychczas zadośćuczynienie w związku z naruszeniem przepisów – m.in. o ochronie danych osobowych – w wysokości 20 000 zł oraz obowiązek zwrotu kosztów postępowania na rzecz powódki.

Sprawa toczyła się z powództwa asesor komorniczej przeciwko Skarbowi Państwa – Naczelnemu Sądowi Administracyjnemu, a podstawą roszczenia było nieprzeprowadzenie anonimizacji orzeczenia (usunięcia danych identyfikujących stronę), które wraz z uzasadnieniem zostało opublikowane na stronie internetowej Naczelnego Sądu Administracyjnego (NSA), a zatem poprzez podanie do publicznej wiadomości i w sposób umożliwiający pełną identyfikację strony postępowania. Co istotne dla sprawy NSA miał obowiązek zanonimizować treść wyroku i uzasadnienia zgodnie z obowiązującym zarządzeniem Prezesa NSA, więc publikacja danych strony naruszała prawo i nie istniała inna podstawa prawna do przetwarzania danych osobowych.

Jak zostało stwierdzone w postępowaniu przed sądem okręgowym, orzeczenie NSA dotyczyło zakwestionowania nieposzlakowanej opinii asesora komorniczego niezbędnej do wpisu na listę komorników, do czego podstawą było przeprowadzone kilka lat wcześniej postępowanie dyscyplinarne i skreślenie z listy asesorów komorniczych. Były to więc, w ocenie powódki, informacje mogące istotnie wpłynąć na ocenę jej pracy zawodowej – zarówno przez kolegów, jak i strony postępowania egzekucyjnego.

Pani asesor (której personaliów już tym razem nie poznaliśmy) dochodząc zadośćuczynienia za krzywdę jakiej doznała w związku z publikacją, wskazywała że działanie NSA miało charakter bezprawny i godziło w jej dobre imię oraz prawo do prywatności. W uzasadnieniu sąd podkreślił, że opublikowanie danych osobowych powódki w Internecie w sposób niezgodny z przepisami o ochronie danych osobowych, nastąpiło w wyniku działania instytucji, która powinna cieszyć się szczególnym zaufaniem obywateli. Niezależnie bowiem od przedmiotu rozpoznawanej przez NSA sprawy oraz od tego, jaki zawód czy funkcje pełnią strony postępowania, powinny mieć one pewność, że ich dane osobowe i informacje o przebiegu sprawy są w sposób odpowiedni chronione i nie staną się podstawą późniejszych problemów w życiu prywatnym czy tez zawodowym lub nawet nie będą źródłem jedynie ryzyka ich wystąpienia. Sąd miał przy tym na uwadze, że treść wyroku zawierająca niezanonimizowane dane osobowe powódki pozostawała dostępna w Internecie przez okres kilku lat, co niewątpliwie miało wpływ na rozmiar związanych z tym negatywnych przeżyć powódki.

Wydaje się, że stanowisko sądu co do przyznania i wysokości zadośćuczynienia jest trafne. Także wykonywanie funkcji publicznych nie pozbawia podmiotu danych ochrony prawa do prywatności. I pomimo, że część informacji była publicznie dostępna, to jednak została uzupełniona o informacje zgromadzone w postępowaniu administracyjnym, w którym jawność jest wyłączona, a sam dostęp do jego materiałów w postepowaniu przed sądem administracyjnym mocno ograniczony. Była to więc informacja nie podlegająca co do zasady upublicznieniu, a jej opublikowanie przez NSA naruszało przepisy, m.in. zasady przetwarzania określone w RODO.

Warto również podkreślić, iż sam fakt publicznej dostępności danych nie decyduje o legalności przetwarzania danych czy wyłączeniu ochrony na gruncie RODO – jest wprost przeciwnie – wszelkie dane osobowe i każda osoba fizyczna podlega ochronie, a jedynie w pewnych przypadkach wykorzystanie takich danych może być dopuszczalne – zawsze jednak są to kwestie podlegające ocenie na gruncie przepisów rozporządzenia.

Ze sprawy rozpoznanej przed sądem okręgowym płyną doniosłe wnioski zarówno teoretyczne, jak i praktyczne – każdy administrator poza odpowiedzialnością administracyjną związaną z postępowaniem przed Prezesem Urzędu Ochrony Danych Osobowych musi się liczyć z potencjalnymi roszczeniami osób, których dane przetwarza – odszkodowaniem – gdy naruszenie RODO spowoduje szkodę w majątku podmiotu danych – i zadośćuczynieniem, czyli rekompensatą za krzywdę (uraz psychiczny) jakiego doznał podmiot danych. O ile jednostkowe zadośćuczynienia są względnie niewielkie, o tyle masowość przetwarzania danych i skutki ew. błędu powodują, że potencjalne roszczenia mogą pochodzić od tysięcy podmiotów – np. w związku z kradzieżą bazy danych.

Katalog dóbr osobistych jest otwarty i poza prawem do prywatności obejmuje również szereg innych dóbr – np. prawo do ochrony wizerunku, prawo do tajemnicy korespondencji, prawo do ochrony życia rodzinnego, prawo pracownika do tajemnicy wynagrodzenia, czy prawo do ochrony mieszkania (temat bardzo aktualny w kontekście pracy zdalnej). Te wszystkie prawa podmiotowe mogą zostać naruszone również przez niewłaściwe przetwarzanie danych osobowych i np. przekazanie korespondencji niewłaściwemu adresatowi, ujawnienia informacji osobie nieuprawnionej, czy zbieranie nadmiarowych danych osobowych.

RODO a ochrona dóbr osobistych

W kontekście omawianej sprawy warto zwrócić uwagę, że podstawą do zasądzenia zadośćuczynienia były przepisy kodeksu cywilnego o ochronie dóbr osobistych, a nie art. 82 ust. 1 RODO określający samodzielną podstawę do zasądzenia zadośćuczynienia w związku z naruszeniem przepisów tego rozporządzenia. I choć przepis ten został powołany w uzasadnieniu wyroku, to przepisy RODO zostały wskazane jako uzupełniające przesłanki ochrony dóbr osobistych.
Jest to niebagatelna kwestia mająca znaczenie dla podmiotów, które na gruncie RODO nazywamy administratorami danych osobowych i podmiotami przetwarzającymi – otóż naruszenie przepisów o ochronie danych osobowych może się wiązać nie tylko z odpowiedzialnością wskazaną w RODO, ale również z alternatywną odpowiedzialnością cywilnoprawną (tzw. odpowiedzialnością deliktową).

Art. 82 RODO kształtuje odpowiedzialność administratora szerzej i bardziej rygorystycznie niż przepisy kodeksu cywilnego, zwłaszcza w zakresie odpowiedzialności za szkodę w majątku osoby, której dane dotyczą – w tym zakresie RODO ustanawia domniemanie winy w spowodowaniu szkody przez administratora (lub procesora) i to administrator musi udowodnić, że nie jest winny szkody spowodowanej naruszeniem rozporządzenia. Jest to konsekwencja podstawowej zasady RODO, zasady rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie. Przeniesienie tzw. ciężaru dowodu ma kolosalne znaczenie procesowe, ponieważ to na pozwanym (administratorze/podmiocie przetwarzającym) ciąży obowiązek udowodnienia, że dołożył szczególnej staranności i naruszenie przepisów nie nastąpiło z jego winy. W praktyce w sytuacji, gdy doszło do zdarzenia naruszającego przepisy RODO, wykazania szczególnej staranności będzie wymagało przedstawienia np. szczegółowych zasad ochrony danych i dowodów na ich stałe monitorowanie (np. przez audyty) albo wykazania dokładnej weryfikacji procesorów.

Zbieg przepisów RODO i kodeksu cywilnego

Stanowisko sądu łączące reżimy RODO i kodeksu cywilnego należy jednak uznać za kontrowersyjne, ponieważ odpowiedzialność określona w RODO nie może być ograniczana przez prawo krajowe, co w niektórych okolicznościach może wystąpić przy zastosowaniu przepisów kodeksu cywilnego. Podstawę określoną w RODO i przepisy kodeksu cywilnego należy ujmować alternatywnie – nie powinny być one łączone, a powód powinien wskazać czy domaga się np. ochrony na gruncie dóbr osobistych, czy danych osobowych.

Jeśli więc podmiot danych będzie się powoływał na RODO, to sąd oceniający podstawy do zasądzenia zadośćuczynienia powinien ostrożnie podchodzić do posiłkowania się przepisami o ochronie dóbr osobistych. Nieco odmiennie będzie w przeciwnym wypadku – ponieważ np. art. 24 i art. 448 kodeksu cywilnego wymagają bezprawności działania prowadzącego do naruszenia dóbr osobistych, to co do zasady naruszenie RODO takim bezprawnym działaniem będzie. Nie jest to jednak kwestia przesądzająca o zasadności przyznania ochrony na gruncie dóbr osobistych – wykazanie naruszenia RODO nie jest jednoznaczne z wykazaniem naruszenia określonych dóbr osobistych, choć najczęściej będzie do tego prowadzić.

Z kolei na gruncie art. 82 RODO nie ma powodu, aby w kontekście szkody niemajątkowej istniała konieczność precyzowania w pozwie naruszonego dobra osobistego – wymóg taki nie wynika z RODO. Art. 82 przyznaje prawo do odszkodowania lub zadośćuczynienia w związku z naruszeniem RODO – powód w oparciu o ten przepis – w przeciwieństwie do przepisów kodeksu cywilnego – nie musi wykazywać, że istnieje naruszone dobro osobiste, a jedynie to, że doszło do naruszenia przepisów rozporządzenia i że poniósł w związku z tym krzywdę (lub szkodę majątkową).

Art. 92 ustawy o ochronie danych osobowych wskazuje, że w zakresie nieuregulowanym rozporządzeniem do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa m.in w art. 82 rozporządzenia, stosuje się przepisy kodeksu cywilnego. Przepis ten nie do końca koreluje z motywem 146 RODO, zgodnie z którym „pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia”. Takie definiowane pojęcie „szkody”, na gruncie RODO rozumiane przez odniesienie do prawa unijnego i orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, choć co do zasady jest zbieżne z przepisami kodeksu cywilnego, to może być zmienne w czasie i powodować rozbieżności. Szacując więc ryzyka związane z odpowiedzialnością administratora należy uwzględniać również regulacje unijne, a nie tylko prawo krajowe.

Odpowiedzialność podmiotów uczestniczących w przetwarzaniu

Każdy administrator uczestniczący w przetwarzaniu danych odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom, a wiec co do zasady w granicach umowy powierzenia przetwarzania danych osobowych.

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Określenie „w żaden sposób” wskazuje, że nawet minimalna wina i niedochowanie szczególnej staranności nie pozwala na uwolnienie się od odpowiedzialności. Jak zostało wcześniej wspomniane, to na administratorze lub podmiocie przetwarzającym ciąży obowiązek wykazania, że nie ponoszą winy (istnieje więc domniemanie obalalne, że naruszenie obowiązków jest przez te podmioty zawinione).

Z uwagi na to, że administrator odpowiada za cele i sposoby przetwarzania oraz za wydawanie poleceń podmiotowi przetwarzającemu, to inaczej niż w prawie cywilnym nie może się zwolnić z odpowiedzialności względem podmiotu danych, wskazując na błędy podmiotu przetwarzającego (jeśli ten nie wykorzystał danych do własnych celów) i brak winy w wyborze podwykonawcy przetwarzania.

Odpowiedzialność administratora (administratorów) i podmiotów przetwarzających uczestniczących w przetwarzaniu jest solidarna, a zatem poszkodowany może domagać się odszkodowania lub zadośćuczynienia od dowolnego z tych podmiotów, jak i wszystkich jednocześnie.

Podsumowanie
Na koniec warto jeszcze wskazać, że zobowiązania kontraktowe dotyczące odpowiedzialności pozostają w zgodzie z RODO, o ile nie modyfikują jej w zakresie dotyczącym podmiotu danych – umowa może więc zawierać zobowiązanie do zwolnienia administratora lub podmiotu przetwarzającego przez drugą stronę, ale nie wpływa to na prawo dochodzenia odszkodowania przez podmiot danych zgodnie z zasadami wyrażonymi w art. 82 RODO.
W świetle przedstawionych uwag należy stwierdzić, że przepisy RODO dają szersze uprawnienia podmiotowi danych aniżeli przepisy kodeksu cywilnego. Wiąże się to również z większą odpowiedzialnością podmiotów zaangażowanych w przetwarzanie danych osobowych aniżeli na gruncie przepisów kodeksu cywilnego. Jakkolwiek na tym etapie podobne orzeczenia pojawiają się raczej wyjątkowo, to nie jest to kwestia braku podstaw do roszczeń, a raczej wady etapu – skomplikowanej procedury i niewielkiej świadomość prawnej społeczeństwa. Łatwo sobie wyobrazić, że w związku z ciągłym wzrostem świadomości liczba podobnych powództw będzie jednak rosła.

Autor

Szymon Wróbel

Radca prawny, specjalista z zakresu ochrony danych z wieloletnią praktyką.
Ukończył prawo na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Doświadczenie zawodowe zdobywał we własnej kancelarii, świadcząc usługi na rzecz przedsiębiorców m.in. z branży nieruchomości, e-commerce, nowych technologii oraz podmiotów leczniczych. Autor artykułów branżowych oraz prelegent licznych szkoleń m.in. z zakresu danych osobowych.