Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Rekordowe zadośćuczynienie w związku z naruszeniem przepisów o ochronie danych osobowych

Rekordowe zadośćuczynienie w związku z naruszeniem przepisów o ochronie danych osobowych

18.04.2023
Autor: Szymon Wróbel
News

W końcu ubiegłego roku zapadło ważne orzeczenie, w którym Sąd Okręgowy w Warszawie zasądził najwyższe dotychczas zadośćuczynienie w związku z naruszeniem przepisów – m.in. o ochronie danych osobowych – w wysokości 20 000 zł oraz obowiązek zwrotu kosztów postępowania na rzecz powódki.

Sprawa toczyła się z powództwa asesor komorniczej przeciwko Skarbowi Państwa – Naczelnemu Sądowi Administracyjnemu, a podstawą roszczenia było nieprzeprowadzenie anonimizacji orzeczenia (usunięcia danych identyfikujących stronę), które wraz z uzasadnieniem zostało opublikowane na stronie internetowej Naczelnego Sądu Administracyjnego (NSA), a zatem poprzez podanie do publicznej wiadomości i w sposób umożliwiający pełną identyfikację strony postępowania. Co istotne dla sprawy NSA miał obowiązek zanonimizować treść wyroku i uzasadnienia zgodnie z obowiązującym zarządzeniem Prezesa NSA, więc publikacja danych strony naruszała prawo i nie istniała inna podstawa prawna do przetwarzania danych osobowych.

Jak zostało stwierdzone w postępowaniu przed sądem okręgowym, orzeczenie NSA dotyczyło zakwestionowania nieposzlakowanej opinii asesora komorniczego niezbędnej do wpisu na listę komorników, do czego podstawą było przeprowadzone kilka lat wcześniej postępowanie dyscyplinarne i skreślenie z listy asesorów komorniczych. Były to więc, w ocenie powódki, informacje mogące istotnie wpłynąć na ocenę jej pracy zawodowej – zarówno przez kolegów, jak i strony postępowania egzekucyjnego.

Pani asesor (której personaliów już tym razem nie poznaliśmy) dochodząc zadośćuczynienia za krzywdę jakiej doznała w związku z publikacją, wskazywała że działanie NSA miało charakter bezprawny i godziło w jej dobre imię oraz prawo do prywatności. W uzasadnieniu sąd podkreślił, że opublikowanie danych osobowych powódki w Internecie w sposób niezgodny z przepisami o ochronie danych osobowych, nastąpiło w wyniku działania instytucji, która powinna cieszyć się szczególnym zaufaniem obywateli. Niezależnie bowiem od przedmiotu rozpoznawanej przez NSA sprawy oraz od tego, jaki zawód czy funkcje pełnią strony postępowania, powinny mieć one pewność, że ich dane osobowe i informacje o przebiegu sprawy są w sposób odpowiedni chronione i nie staną się podstawą późniejszych problemów w życiu prywatnym czy tez zawodowym lub nawet nie będą źródłem jedynie ryzyka ich wystąpienia. Sąd miał przy tym na uwadze, że treść wyroku zawierająca niezanonimizowane dane osobowe powódki pozostawała dostępna w Internecie przez okres kilku lat, co niewątpliwie miało wpływ na rozmiar związanych z tym negatywnych przeżyć powódki.

Wydaje się, że stanowisko sądu co do przyznania i wysokości zadośćuczynienia jest trafne. Także wykonywanie funkcji publicznych nie pozbawia podmiotu danych ochrony prawa do prywatności. I pomimo, że część informacji była publicznie dostępna, to jednak została uzupełniona o informacje zgromadzone w postępowaniu administracyjnym, w którym jawność jest wyłączona, a sam dostęp do jego materiałów w postepowaniu przed sądem administracyjnym mocno ograniczony. Była to więc informacja nie podlegająca co do zasady upublicznieniu, a jej opublikowanie przez NSA naruszało przepisy, m.in. zasady przetwarzania określone w RODO.

Warto również podkreślić, iż sam fakt publicznej dostępności danych nie decyduje o legalności przetwarzania danych czy wyłączeniu ochrony na gruncie RODO – jest wprost przeciwnie – wszelkie dane osobowe i każda osoba fizyczna podlega ochronie, a jedynie w pewnych przypadkach wykorzystanie takich danych może być dopuszczalne – zawsze jednak są to kwestie podlegające ocenie na gruncie przepisów rozporządzenia.

Ze sprawy rozpoznanej przed sądem okręgowym płyną doniosłe wnioski zarówno teoretyczne, jak i praktyczne – każdy administrator poza odpowiedzialnością administracyjną związaną z postępowaniem przed Prezesem Urzędu Ochrony Danych Osobowych musi się liczyć z potencjalnymi roszczeniami osób, których dane przetwarza – odszkodowaniem – gdy naruszenie RODO spowoduje szkodę w majątku podmiotu danych – i zadośćuczynieniem, czyli rekompensatą za krzywdę (uraz psychiczny) jakiego doznał podmiot danych. O ile jednostkowe zadośćuczynienia są względnie niewielkie, o tyle masowość przetwarzania danych i skutki ew. błędu powodują, że potencjalne roszczenia mogą pochodzić od tysięcy podmiotów – np. w związku z kradzieżą bazy danych.

Katalog dóbr osobistych jest otwarty i poza prawem do prywatności obejmuje również szereg innych dóbr – np. prawo do ochrony wizerunku, prawo do tajemnicy korespondencji, prawo do ochrony życia rodzinnego, prawo pracownika do tajemnicy wynagrodzenia, czy prawo do ochrony mieszkania (temat bardzo aktualny w kontekście pracy zdalnej). Te wszystkie prawa podmiotowe mogą zostać naruszone również przez niewłaściwe przetwarzanie danych osobowych i np. przekazanie korespondencji niewłaściwemu adresatowi, ujawnienia informacji osobie nieuprawnionej, czy zbieranie nadmiarowych danych osobowych.

RODO a ochrona dóbr osobistych

W kontekście omawianej sprawy warto zwrócić uwagę, że podstawą do zasądzenia zadośćuczynienia były przepisy kodeksu cywilnego o ochronie dóbr osobistych, a nie art. 82 ust. 1 RODO określający samodzielną podstawę do zasądzenia zadośćuczynienia w związku z naruszeniem przepisów tego rozporządzenia. I choć przepis ten został powołany w uzasadnieniu wyroku, to przepisy RODO zostały wskazane jako uzupełniające przesłanki ochrony dóbr osobistych.
Jest to niebagatelna kwestia mająca znaczenie dla podmiotów, które na gruncie RODO nazywamy administratorami danych osobowych i podmiotami przetwarzającymi – otóż naruszenie przepisów o ochronie danych osobowych może się wiązać nie tylko z odpowiedzialnością wskazaną w RODO, ale również z alternatywną odpowiedzialnością cywilnoprawną (tzw. odpowiedzialnością deliktową).

Art. 82 RODO kształtuje odpowiedzialność administratora szerzej i bardziej rygorystycznie niż przepisy kodeksu cywilnego, zwłaszcza w zakresie odpowiedzialności za szkodę w majątku osoby, której dane dotyczą – w tym zakresie RODO ustanawia domniemanie winy w spowodowaniu szkody przez administratora (lub procesora) i to administrator musi udowodnić, że nie jest winny szkody spowodowanej naruszeniem rozporządzenia. Jest to konsekwencja podstawowej zasady RODO, zasady rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie. Przeniesienie tzw. ciężaru dowodu ma kolosalne znaczenie procesowe, ponieważ to na pozwanym (administratorze/podmiocie przetwarzającym) ciąży obowiązek udowodnienia, że dołożył szczególnej staranności i naruszenie przepisów nie nastąpiło z jego winy. W praktyce w sytuacji, gdy doszło do zdarzenia naruszającego przepisy RODO, wykazania szczególnej staranności będzie wymagało przedstawienia np. szczegółowych zasad ochrony danych i dowodów na ich stałe monitorowanie (np. przez audyty) albo wykazania dokładnej weryfikacji procesorów.

Zbieg przepisów RODO i kodeksu cywilnego

Stanowisko sądu łączące reżimy RODO i kodeksu cywilnego należy jednak uznać za kontrowersyjne, ponieważ odpowiedzialność określona w RODO nie może być ograniczana przez prawo krajowe, co w niektórych okolicznościach może wystąpić przy zastosowaniu przepisów kodeksu cywilnego. Podstawę określoną w RODO i przepisy kodeksu cywilnego należy ujmować alternatywnie – nie powinny być one łączone, a powód powinien wskazać czy domaga się np. ochrony na gruncie dóbr osobistych, czy danych osobowych.

Jeśli więc podmiot danych będzie się powoływał na RODO, to sąd oceniający podstawy do zasądzenia zadośćuczynienia powinien ostrożnie podchodzić do posiłkowania się przepisami o ochronie dóbr osobistych. Nieco odmiennie będzie w przeciwnym wypadku – ponieważ np. art. 24 i art. 448 kodeksu cywilnego wymagają bezprawności działania prowadzącego do naruszenia dóbr osobistych, to co do zasady naruszenie RODO takim bezprawnym działaniem będzie. Nie jest to jednak kwestia przesądzająca o zasadności przyznania ochrony na gruncie dóbr osobistych – wykazanie naruszenia RODO nie jest jednoznaczne z wykazaniem naruszenia określonych dóbr osobistych, choć najczęściej będzie do tego prowadzić.

Z kolei na gruncie art. 82 RODO nie ma powodu, aby w kontekście szkody niemajątkowej istniała konieczność precyzowania w pozwie naruszonego dobra osobistego – wymóg taki nie wynika z RODO. Art. 82 przyznaje prawo do odszkodowania lub zadośćuczynienia w związku z naruszeniem RODO – powód w oparciu o ten przepis – w przeciwieństwie do przepisów kodeksu cywilnego – nie musi wykazywać, że istnieje naruszone dobro osobiste, a jedynie to, że doszło do naruszenia przepisów rozporządzenia i że poniósł w związku z tym krzywdę (lub szkodę majątkową).

Art. 92 ustawy o ochronie danych osobowych wskazuje, że w zakresie nieuregulowanym rozporządzeniem do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa m.in w art. 82 rozporządzenia, stosuje się przepisy kodeksu cywilnego. Przepis ten nie do końca koreluje z motywem 146 RODO, zgodnie z którym „pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia”. Takie definiowane pojęcie „szkody”, na gruncie RODO rozumiane przez odniesienie do prawa unijnego i orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, choć co do zasady jest zbieżne z przepisami kodeksu cywilnego, to może być zmienne w czasie i powodować rozbieżności. Szacując więc ryzyka związane z odpowiedzialnością administratora należy uwzględniać również regulacje unijne, a nie tylko prawo krajowe.

Odpowiedzialność podmiotów uczestniczących w przetwarzaniu

Każdy administrator uczestniczący w przetwarzaniu danych odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom, a wiec co do zasady w granicach umowy powierzenia przetwarzania danych osobowych.

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Określenie „w żaden sposób” wskazuje, że nawet minimalna wina i niedochowanie szczególnej staranności nie pozwala na uwolnienie się od odpowiedzialności. Jak zostało wcześniej wspomniane, to na administratorze lub podmiocie przetwarzającym ciąży obowiązek wykazania, że nie ponoszą winy (istnieje więc domniemanie obalalne, że naruszenie obowiązków jest przez te podmioty zawinione).

Z uwagi na to, że administrator odpowiada za cele i sposoby przetwarzania oraz za wydawanie poleceń podmiotowi przetwarzającemu, to inaczej niż w prawie cywilnym nie może się zwolnić z odpowiedzialności względem podmiotu danych, wskazując na błędy podmiotu przetwarzającego (jeśli ten nie wykorzystał danych do własnych celów) i brak winy w wyborze podwykonawcy przetwarzania.

Odpowiedzialność administratora (administratorów) i podmiotów przetwarzających uczestniczących w przetwarzaniu jest solidarna, a zatem poszkodowany może domagać się odszkodowania lub zadośćuczynienia od dowolnego z tych podmiotów, jak i wszystkich jednocześnie.

Podsumowanie
Na koniec warto jeszcze wskazać, że zobowiązania kontraktowe dotyczące odpowiedzialności pozostają w zgodzie z RODO, o ile nie modyfikują jej w zakresie dotyczącym podmiotu danych – umowa może więc zawierać zobowiązanie do zwolnienia administratora lub podmiotu przetwarzającego przez drugą stronę, ale nie wpływa to na prawo dochodzenia odszkodowania przez podmiot danych zgodnie z zasadami wyrażonymi w art. 82 RODO.
W świetle przedstawionych uwag należy stwierdzić, że przepisy RODO dają szersze uprawnienia podmiotowi danych aniżeli przepisy kodeksu cywilnego. Wiąże się to również z większą odpowiedzialnością podmiotów zaangażowanych w przetwarzanie danych osobowych aniżeli na gruncie przepisów kodeksu cywilnego. Jakkolwiek na tym etapie podobne orzeczenia pojawiają się raczej wyjątkowo, to nie jest to kwestia braku podstaw do roszczeń, a raczej wady etapu – skomplikowanej procedury i niewielkiej świadomość prawnej społeczeństwa. Łatwo sobie wyobrazić, że w związku z ciągłym wzrostem świadomości liczba podobnych powództw będzie jednak rosła.

Autor

Szymon Wróbel

Radca prawny, specjalista z zakresu ochrony danych z wieloletnią praktyką.
Ukończył prawo na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Doświadczenie zawodowe zdobywał we własnej kancelarii, świadcząc usługi na rzecz przedsiębiorców m.in. z branży nieruchomości, e-commerce, nowych technologii oraz podmiotów leczniczych. Autor artykułów branżowych oraz prelegent licznych szkoleń m.in. z zakresu danych osobowych.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>