Naruszenie prawa do ochrony danych osobowych – skarga do Prezesa Urzędu Ochrony Danych Osobowych czy pozew do sądu ? – cz. 1.
30.01.2020
Autor: Michał Madecki
Austriacki sąd orzekł pierwsze w Unii Europejskiej zadośćuczynienie pieniężne osobie, której dane osobowe były przetwarzane niezgodnie z przepisami RODO. W związku z tym, że Rozporządzenie o ochronie danych osobowych obowiązuje na terenie całej Unii Europejskiej, w przyszłości można się spodziewać podobnych wyroków również w Polsce. Praktyka pokazuje, że Polacy mają coraz większą świadomość dotycząca możliwości kierowania skarg do Prezesa Urzędu Ochrony Danych Osobowych (blisko 7 tys. skarg dotarło do PUODO w 2019 r.). Niewielu pokrzywdzonych jednak wie, że RODO przewiduje także możliwość dochodzenia swoich praw związanych z naruszeniem ochrony danych osobowych na drodze sądowej.
Na początku przybliżmy krótko okoliczności dotyczące precedensowej sprawy z Austrii. Poczta austriacka (Österreichische Post) została ukarana przez miejscowy organ właściwy ds. ochrony danych osobowych karą finansową wynoszącą 18 milionów euro. Organ w ramach przeprowadzonego postępowaniu stwierdził, że poczta profilowała dane osobowe swoich klientów, w celu przyporządkowania ich poglądów politycznych do poszczególnych austriackich partii politycznych. Poczta wykorzystywała również do celów marketingowych dane dotyczące częstotliwości zamawiania paczek. Organ uznał, że poczta przetwarzała dane w tych celach bez podstawy prawnej, a także nie spełniła obowiązku informacyjnego wobec swoich klientów, co więcej, dane osobowe były w niektórych przypadkach sprzedawane innym podmiotom. Jedna z osób, której dotyczyło to naruszenie, postanowiła skierować sprawę na drogę sądową. Powód podnosił w sądzie, że poczuł się zaniepokojony tym, że poczta profilowała jego dane w opisany powyżej sposób, bez informowania czy pytania o zgodę. Sąd uznał, że już samo powstanie u powoda poczucia zaniepokojenia może stanowić wystarczającą podstawę do przyznania zadośćuczynienia. Sąd zauważył, że poglądy polityczne zaliczają się do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO i podlegać powinny większej ochronie niż tzw. „zwykłe” dane osobowe. Podkreślił jednak, że nie każda niedogodność czy pomniejsze naruszenie ochrony danych osobowych powoduje powstanie roszczenia o zadośćuczynienie za powstałą szkodę niematerialną.
Wprawdzie zasądzona przez sąd na rzecz powoda kwota nie jest znaczna, wynosi bowiem 800 euro (powód domagał się 2 500 euro), to mając na uwadze, że naruszenie przepisów o ochronie danych osobowych dotyczyło około 2 milionów osób, to pozwana – austriacka poczta – może spodziewać się w najbliższej przyszłości fali kolejnych pozwów.
Można się zastanawiać, czy na gruncie polskiego porządku prawnego możemy oczekiwać podobnych wyroków, a w konsekwencji, czy polskie sądy mogą się w najbliższej przyszłości spodziewać pozwów cywilnych za samo poczucie dyskomfortu wywołane niezgodnym z przepisami przetwarzaniem danych osobowych?
Art. 79 ust. 1 RODO stanowi, iż bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem rozporządzenia.
Art. 82 ust. 1 RODO dookreśla, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Na podstawie art. 82 ust. 3 RODO, administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Jest to korzystne dla osób, których prawa zostały naruszone. Odwrócenie ciężaru dowodu zawarte w tym przepisie powoduje, że to administrator lub podmiot przetwarzającym zobowiązani są udowodnić, że nie ponoszą winy za zdarzenie.
Należy pamiętać, że prawo do dochodzenia swoich roszczeń z zakresu ochrony danych osobowych przed sądem jest regulowane także przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 92 ustawy o ochronie danych osobowych, w zakresie nieuregulowanym w RODO należy stosować przepisy kodeksu cywilnego w odniesieniu do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych.
W polskim prawie cywilnym wyróżnia się zarówno pojęcie odszkodowania za szkodę majątkową, czyli za dający się wyliczyć uszczerbek na majątku osoby poszkodowanej, jak i pojęcie zadośćuczynienia za krzywdę, której nie da się łatwo wycenić. Nie jest zatem wykluczone, że polski sąd może uznać, że samo naruszenie przepisów RODO, np. brak spełnienia obowiązku informacyjnego, wyrządziło krzywdę podmiotowi danych, a zatem powstała możliwość dochodzenia roszczenia o przyznanie zadośćuczynienia za doznaną krzywdę.
Warto mieć na uwadze, że w celu uzyskania zadośćuczynienia za szkodę niematerialną przed sądem cywilnym, trzeba udowodnić że:
W drugiej części artykułu omówimy praktyczne aspekty skierowania pozwu do sądu lub skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Autor
Michał Madecki
Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!