Austriacki sąd orzekł pierwsze w Unii Europejskiej zadośćuczynienie pieniężne osobie, której dane osobowe były przetwarzane niezgodnie z przepisami RODO. W związku z tym, że Rozporządzenie o ochronie danych osobowych obowiązuje na terenie całej Unii Europejskiej, w przyszłości można się spodziewać podobnych wyroków również w Polsce. Praktyka pokazuje, że Polacy mają coraz większą świadomość dotycząca możliwości kierowania skarg do Prezesa Urzędu Ochrony Danych Osobowych (blisko 7 tys. skarg dotarło do PUODO w 2019 r.). Niewielu pokrzywdzonych jednak wie, że RODO przewiduje także możliwość dochodzenia swoich praw związanych z naruszeniem ochrony danych osobowych na drodze sądowej.
Na początku przybliżmy krótko okoliczności dotyczące precedensowej sprawy z Austrii. Poczta austriacka (Österreichische Post) została ukarana przez miejscowy organ właściwy ds. ochrony danych osobowych karą finansową wynoszącą 18 milionów euro. Organ w ramach przeprowadzonego postępowaniu stwierdził, że poczta profilowała dane osobowe swoich klientów, w celu przyporządkowania ich poglądów politycznych do poszczególnych austriackich partii politycznych. Poczta wykorzystywała również do celów marketingowych dane dotyczące częstotliwości zamawiania paczek. Organ uznał, że poczta przetwarzała dane w tych celach bez podstawy prawnej, a także nie spełniła obowiązku informacyjnego wobec swoich klientów, co więcej, dane osobowe były w niektórych przypadkach sprzedawane innym podmiotom. Jedna z osób, której dotyczyło to naruszenie, postanowiła skierować sprawę na drogę sądową. Powód podnosił w sądzie, że poczuł się zaniepokojony tym, że poczta profilowała jego dane w opisany powyżej sposób, bez informowania czy pytania o zgodę. Sąd uznał, że już samo powstanie u powoda poczucia zaniepokojenia może stanowić wystarczającą podstawę do przyznania zadośćuczynienia. Sąd zauważył, że poglądy polityczne zaliczają się do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO i podlegać powinny większej ochronie niż tzw. „zwykłe” dane osobowe. Podkreślił jednak, że nie każda niedogodność czy pomniejsze naruszenie ochrony danych osobowych powoduje powstanie roszczenia o zadośćuczynienie za powstałą szkodę niematerialną.
Wprawdzie zasądzona przez sąd na rzecz powoda kwota nie jest znaczna, wynosi bowiem 800 euro (powód domagał się 2 500 euro), to mając na uwadze, że naruszenie przepisów o ochronie danych osobowych dotyczyło około 2 milionów osób, to pozwana – austriacka poczta – może spodziewać się w najbliższej przyszłości fali kolejnych pozwów.
Można się zastanawiać, czy na gruncie polskiego porządku prawnego możemy oczekiwać podobnych wyroków, a w konsekwencji, czy polskie sądy mogą się w najbliższej przyszłości spodziewać pozwów cywilnych za samo poczucie dyskomfortu wywołane niezgodnym z przepisami przetwarzaniem danych osobowych?
Art. 79 ust. 1 RODO stanowi, iż bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem rozporządzenia.
Art. 82 ust. 1 RODO dookreśla, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Na podstawie art. 82 ust. 3 RODO, administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Jest to korzystne dla osób, których prawa zostały naruszone. Odwrócenie ciężaru dowodu zawarte w tym przepisie powoduje, że to administrator lub podmiot przetwarzającym zobowiązani są udowodnić, że nie ponoszą winy za zdarzenie.
Należy pamiętać, że prawo do dochodzenia swoich roszczeń z zakresu ochrony danych osobowych przed sądem jest regulowane także przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 92 ustawy o ochronie danych osobowych, w zakresie nieuregulowanym w RODO należy stosować przepisy kodeksu cywilnego w odniesieniu do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych.
W polskim prawie cywilnym wyróżnia się zarówno pojęcie odszkodowania za szkodę majątkową, czyli za dający się wyliczyć uszczerbek na majątku osoby poszkodowanej, jak i pojęcie zadośćuczynienia za krzywdę, której nie da się łatwo wycenić. Nie jest zatem wykluczone, że polski sąd może uznać, że samo naruszenie przepisów RODO, np. brak spełnienia obowiązku informacyjnego, wyrządziło krzywdę podmiotowi danych, a zatem powstała możliwość dochodzenia roszczenia o przyznanie zadośćuczynienia za doznaną krzywdę.
Warto mieć na uwadze, że w celu uzyskania zadośćuczynienia za szkodę niematerialną przed sądem cywilnym, trzeba udowodnić że:
- Doszło do naruszenia przepisów o ochronie danych osobowych.
- Administrator lub podmiot przetwarzający ponosi winę za to zdarzenie.
- Wystąpiły inne okoliczności istotne dla sprawy, wpływające na wielkość krzywdy oraz wysokość możliwego do zasądzenia zadośćuczynienia.
W drugiej części artykułu omówimy praktyczne aspekty skierowania pozwu do sądu lub skargi do Prezesa Urzędu Ochrony Danych Osobowych.