Sen z powiek administratorom danych spędzają kwoty kar, które może nałożyć Prezes UODO za naruszenie drakońskiego prawa spisanego w RODO. Górne granice finansowej odpowiedzialności administracyjnej, ustanowione w art. 83 RODO, są tak abstrakcyjne dla statystycznego przedsiębiorcy, że próby ich zwizualizowania całkowicie przysłaniają mu inne, czające się w sąsiednim przepisie niebezpieczeństwo. Niebezpieczeństwo nie mniej, a może nawet bardziej realne – prawo podmiotu danych do uzyskania odszkodowania na drodze postępowania cywilnego.
Nawet nałożenie na przedsiębiorcę administracyjnej kary pieniężnej nie zwalnia go z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą. Przypomniał o tym ostatnio Sąd Okręgowy w Warszawie, przyznając 1500 zł odszkodowania osobie, która pozwała zakład ubezpieczeń[1]. Pozew dotyczył „jedynie” nadmiarowego ujawnienia numeru PESEL i numeru telefonu.
Jest to pierwsza sprawa w Polsce, w której RODO było egzekwowane nie przez UODO, a wyłącznie przez sąd cywilny. Kary nakładane w postępowaniu administracyjnym trafiają do Skarbu Państwa, natomiast w postępowaniu cywilnym sąd może przyznać odszkodowanie za poniesioną szkodę osobie, która jej doznała na skutek naruszenia RODO. Powódka skorzystała z tej atrakcyjnej możliwości.
Sprawa jest o tyle specyficzna, że dotyczy sektora ubezpieczeń. Dlatego kazus może wydawać się mało uniwersalny, ale taki nie jest. Niezależnie od branży ma charakter precedensowy i należy skupić się raczej na rodzaju i ciężarze naruszenia oraz jego ocenie przez sąd.
W omawianym stanie faktycznym mamy do czynienia z jednostkowym odszkodowaniem; ale nie mniej prawdopodobne byłoby wystąpienie naruszenia ochrony danych osobowych skutkującego pozwami wielu osób, co z kolei mogłoby sprawić, że łączna kwota zasądzonych odszkodowań byłaby równa, a nawet wyższa od przewidzianych w RODO administracyjnych kar finansowych.
Pozew w tej sprawie został wniesiony przez właścicielkę pojazdu uczestniczącego w kolizji drogowej. Nie była ona kierowcą w czasie wypadku, ale to do niej należała polisa OC. Poszkodowany w kolizji otrzymał od zakładu ubezpieczeń pełną dokumentację szkody, w tym dane powódki – jej imię i nazwisko, adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu. Zakład ubezpieczeń w drodze autokontroli uznał, że przekazał poszkodowanemu nadmiarowe informacje i notyfikował naruszenie zarówno organowi do spraw ochrony danych jak i właścicielce pojazdu jako osobie dotkniętej naruszeniem danych osobowych. W efekcie powódka odczuwała strach przed możliwością wykorzystania jej danych w sposób sprzeczny z prawem, przez co zmieniła numer telefonu oraz zastrzegła w banku, że wypłaty z jej rachunku mogą być dokonywane tylko na jej osobiste zlecenie. Powódka wystąpiła do zakładu ubezpieczeń o zadośćuczynienie za naruszenie ochrony jej danych osobowych w wysokości 10.000 zł, ale zakład ubezpieczeń nie uznał roszczenia, co stało się powodem pozwu. Jako podstawę prawną powódka wskazała przepisy RODO oraz przepisy kodeksu cywilnego o naruszeniu dóbr osobistych.
Sąd przyznał, że przepisy ustawy o działalności ubezpieczeniowej i reasekuracyjnej nie uprawniały zakładu ubezpieczeń do przekazania poszkodowanemu kompletnych informacji na temat właścicielki auta. Sąd wskazał bowiem, że art. 5 ust. 1 lit. c RODO nakazuje, aby przetwarzanie (a więc i przekazywane osobie trzeciej) danych osobowych było adekwatne, stosowne oraz ograniczone do tego, co niezbędne jest do celów, w których są przetwarzane – tak więc „[c]elem wejścia przez poszkodowanego w wypadku drogowym w posiadanie danych dotyczących właściciela pojazdu (jego posiadacza) jest umożliwienie mu dochodzenia roszczeń związanych z doznaną szkodą. (…) Wystarczające do realizacji tych celów jest udostępnienie imienia i nazwiska właściciela pojazdu i numeru polisy ubezpieczenia OC (ewentualnie dodatkowo miejsca zamieszkania), które go w sposób wystarczający identyfikują. Poza te cele wykracza z pewnością udostępnienie numeru PESEL i numeru telefonu właściciela pojazdu. (…) Przekazanie tych dodatkowych danych powódki wykraczało poza upoważnienie ustawowe wynikające z przywołanych wyżej przepisów, a więc było bezprawne”. Sąd uznał jednocześnie, że żądana kwota 10 tys. zł jest zbyt wysoka w stosunku do rzeczywiście doznanej krzywdy, bo bezprawne przekazanie danych nie wiązało się z dalszymi negatywnymi konsekwencjami, jak nękanie czy próby zaciągnięcia zobowiązań. Dlatego sąd przyznał powódce kwotę 1,5 tys. zł, jako rekompensatę rzeczywistej krzywdy.
Wróćmy jednak na chwilę do podstaw (prawnych). Zasady odpowiedzialności odszkodowawczej w związku z naruszeniem RODO znajdziemy w art. 79 i 82 RODO. Te przepisy mówią, „co?” przysługuje podmiotowi danych. Jednak, aby dowiedzieć się, „jak?” to prawo podmiotowe zrealizować, mamy nieczęsto nadarzającą się okazję sięgnięcia po ustawę o ochronie danych osobowych [a w dalszej kolejności – również do przepisów materialnego (KC) i procesowego (KPC) prawa cywilnego].
Odpowiedzialność cywilna i postępowanie przed sądem powszechnym zostały ustanowione w rozdziale 10. ustawy o ochronie danych osobowych. Ustawodawca wprowadził zasadę właściwości sądu okręgowego dla wszystkich spraw o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i 82 RODO. Jest to jak najbardziej uzasadnione względami ekonomiki, w tym chęcią zapewnienia szybkości postępowania, ponieważ liczba spraw rozpatrywanych przez sądy okręgowe jest mniejsza niż przez sądy rejonowe.
Nie może nam też umknąć fakt, że roszczenia z zakresu ochrony danych osobowych są ściśle powiązane z dobrem osobistym w postaci prawa do prywatności, a to właśnie sądy okręgowe orzekają w sprawach o ochronę dóbr osobistych. Instytucjonalna ochrona dóbr osobistych jest realizowana przez wprowadzenie odpowiednich nakazów i zakazów prawnych, a o bezprawności nie rozstrzyga naruszenie określonego dobra osobistego, ale samo zachowanie sprzeczne z normą postępowania[2]. I chociaż w art. 82 RODO nie ma bezpośredniego wskazania dóbr osobistych ani rodzajów roszczeń, to jest oczywiste, że żądanie odszkodowania za doznaną krzywdę jest roszczeniem majątkowym za szkodę niemajątkową.
Trzeba mieć więc na uwadze, że sąd powszechny, orzekając w sprawie o naruszenie RODO skutkujące szkodą niemajątkową (tj. krzywdą), będzie korzystał z bogatego dorobku orzecznictwa i doktryny prawa cywilnego oraz z innej metodyki pracy niż ta, do której przyzwyczaiły nas UODO i sąd administracyjny.
Poruszanie się po nieznanych wodach może dużo kosztować administratora danych. Dlatego warto już teraz zweryfikować, czy wewnętrzne zasoby Twojej firmy będą zdolne do zarządzania ryzykiem prawnym i finansowym w przypadku konieczności obsługi takich roszczeń.
Źródła:
Wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19A. Klimkiewicz „Krzywda i jej zadośćuczynienie w prawie cywilnym. Analiza pojęć w świetle orzecznictwa sądów polskich” w: Zeszyty Naukowe KUL 60 (2018), nr 2 (242), s. 296
- Art. 79 i 82 RODO
- Art. 92 i nast. ustawy o ochronie danych osobowych
Autor: Paulina Wirska
[1] Wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19.
[2] A. Klimkiewicz „Krzywda i jej zadośćuczynienie w prawie cywilnym. Analiza pojęć w świetle orzecznictwa sądów polskich” w: Zeszyty Naukowe KUL 60 (2018), nr 2 (242), s. 296