Naruszenie RODO to naruszenie prawa do prywatności – art. 82 RODO

Naruszenie ochrony danych osobowych może mieć dla administratora przeróżne konsekwencje – od utraty zaufania na rynku, a więc odejścia klientów, po postępowanie administracyjne Prezesa UODO i ewentualność jego zakończenia nałożeniem administracyjnej kary pieniężnej.

To nie koniec “skutków” takiego naruszenia.

Niech za przykład innego skutku posłuży wyroku Sądu Okręgowego Warszawa-Praga w Warszawie, w którym Sąd zasądził od administratora danych na rzecz powódki kwotę 1500 zł (z ustawowymi odsetkami za opóźnienie) jako zadośćuczynienie za naruszenie prawa do prywatności spowodowane naruszeniem ochrony danych osobowych.

Zgodnie z przepisami RODO administrator zawiadomił powódkę o naruszeniu ochrony danych osobowych jej dotyczącym, a polegającym na wygenerowaniu przez pracownika administratora pliku obejmujące większą liczbę klientów (1500) i przesłanie tego pliku do jednego kontrahentów. Administrator wskazał, że tylko jeden klient administratora otrzymał “feralny” plik, a incydent miał charakter jednorazowy i przypadkowy.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Nadto administrator zawiadomił o naruszeniu Prezesa UODO, a w późniejszym terminie osoby, których dane zostały niewłaściwe przekazane.

W ustaleniach faktycznych Sąd wskazał jeszcze:

Treść informacji, wskazane tam możliwe konsekwencje „wycieku danych”, łącznie z kradzieżą tożsamości spowodowała, że poczuła się ona zagrożona. Obawiała się ewentualnych konsekwencji takiego zdarzenia dla siebie i swojej rodziny. Powódka zadzwoniła na policję i zgłosiła ten fakt, jednak poinformowaną ją, że nie ma podstaw do podejmowania czynności. Skontaktowała się z prawnikami i zapytała się, czy dalej istnieją zagrożenia i co może zrobić. Poinformowano ją, że możliwe jest, że ktoś wykorzysta jej dane. Mąż powódki miał do niej pretensję, że podpisała umowę z pozwaną spółką, ponieważ w gospodarstwie domowym to ona jest odpowiedzialna za tego rodzaju czynności i decyzje. Po otrzymaniu informacji powódką miała kłopoty ze snem, zastanawiała się jak postępować. Czuła się zaniepokojona tym, że nie ma wpływu na to, co się dzieje z informacjami dotyczącymi jej osoby – danymi osobowymi, jak mogą one zostać wykorzystane. Dalej odczuwa obawę, że ktoś może posłużyć się jej danymi, tym bardziej, że nie otrzymała informacji, że naruszenie zostało definitywnie usunięte. Powódce towarzyszy przeświadczenie, że takie zdarzenie może się powtórzyć.

nadto:

Powódka zawodowo jest przedsiębiorcą. Swoje dane jako przedsiębiorcy, w tym dotyczące miejsca prowadzenia działalności (ulica, nr domu, miejscowość, kod pocztowy) udostępnia na facebook’u, na publicznym profilu związanym z prowadzoną działalnością gospodarczą.

Jak wskazał Sąd:

Powódka dochodziła zadośćuczynienia w związku z bezspornym faktem naruszenia przepisów o ochronie danych osobowych. Podstawą jej roszczenia były przepisy art. 24 w zw. z art. 448 k.c. oraz art. 79 i art. 82 RODO.

Stosownie do art. 79 § 1 RODO bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia.

Zgodnie zaś z art. 82 § 1 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Przechodząc do oceny podstawy prawnej orzeczonego zadośćuczynienia Sąd jasno stwierdził, że:

W związku z naruszeniem RODO oraz powołanymi przepisami dotyczącymi naprawienia szkody, powódka dochodziła zadośćuczynienia na podstawie przepisów o ochronie dóbr osobistych. Zgodnie z art. 23 k.c. musiała więc wykazać fakty: naruszenia konkretnego dobra osobistego oraz doznania krzywdy na skutek takiego naruszenia. Ponadto – zważywszy, że domagała się zadośćuczynienia na podstawie art. 448 k.c., który znajduje się wśród przepisów o odpowiedzialności tzw. deliktowej – konieczne było udowodnienie, że naruszenie miało charakter zawiniony.

W odpowiedzi na pozew wskazywano, że winy nie można było pozwanej przypisać, bowiem do ujawnienia danych doszło w wyniku „ludzkiego błędu”. Nie sposób było zgodzić się z taką argumentacją. Wina w tym przypadku była oczywista. Spółka ponosi odpowiedzialność za błędy popełnione przez osoby, które świadczą dla niej prace lub usługi. Pracownica pozwanej podjęła błędne działania, które skutkowały przekazaniem danych osobowych wielu klientów osobie nieuprawnionej do ich pozyskania. Błąd ludzki w tym przypadku nie oznaczał umyślnego działania, natomiast niewątpliwie był wynikiem niedbalstwa lub lekkomyślności. Nie mogło budzić wątpliwości, że pozwanej należało przypisać zawinione działanie, z tym, że była to wina nieumyślna.

W ocenie Sądu nie mogło budzić wątpliwości naruszenie prawa do prywatności. Ponadto naruszona została wolność powódki, w rozumieniu swobody dysponowania i decydowania przez nią o sposobie i zakresie wykorzystania oraz udostępnienia jej danych. Poczucie bezpieczeństwa, wolność od obawy i strachu trudno było uznać za dobra osobiste (pomimo otwartego ich katalogu), zważywszy na ich utrwaloną w nauce prawa definicję. Uznaje się za nie bowiem dobra niemajątkowe przysługujące każdej osobie fizycznej oraz osobie prawnej, związane z ich indywidualnym istnieniem. Odnoszą się one do uznanych przez społeczeństwo oraz system prawny wartości obejmujących psychiczną i fizyczną integralność człowieka, jego indywidualność, godność oraz pozycję w społeczeństwie. Tym samym poczucie bezpieczeństwa, brak obawy i strachu można uznać co najwyżej za przejaw dóbr osobistych, a nie ich istotny element.

W prawie cywilnym przyznanie zadośćuczynienia pieniężnego na podstawie art. 448 k.c. nie jest obligatoryjne, lecz ma charakter fakultatywny, decyzje pozostawiono swobodnemu uznaniu sędziowskiemu. Zasadność przyznania zadośćuczynienia pieniężnego, jak i jego wysokość, zależą od oceny całokształtu okoliczności faktycznych sprawy, takich jak rodzaj naruszonego dobra, rozmiar doznanego uszczerbku, charakter następstw naruszenia, stopień zawinienia sprawcy, stosunki majątkowe zobowiązanego i uprawnionego. Użyte w przepisie pojęcie “odpowiedniej sumy” ma niedookreślony charakter. W judykaturze wypracowane zostały kryteria, którymi należy się kierować, określając rozmiar przysługującego zadośćuczynienia. Skompensowana powinna zostać krzywda, która oznacza szkodę niemajątkową wywołaną naruszeniem dobra osobistego, polegająca na psychicznych cierpieniach pokrzywdzonego. Przy oznaczeniu zakresu wyrządzonej krzywdy należy wziąć pod uwagę czynniki obiektywne, takie jak chociażby czas trwania oraz stopień intensywności cierpień psychicznych oraz czynniki subiektywne, m.in. poczucie pokrzywdzenia, wpływ naruszenia na funkcjonowanie danej osoby, jej stosunki zawodowe, rodzinne. Ustalając wysokość zadośćuczynienia należy mieć na względzie, że ma ono mieć charakter głównie kompensacyjny, a więc przedstawiać ma ekonomicznie odczuwalną wartość, adekwatną do warunków gospodarki rynkowej i rozmiaru doznanej krzywdy. Kwota zadośćuczynienia nie może stanowić źródła wzbogacenia. Nie można przy tym jednak zapominać o dodatkowych funkcjach zadośćuczynienia, tj. prewencyjnej i represyjnej w stosunku do sprawcy naruszenia.

W okolicznościach sprawy ustalono, że na skutek działania strony pozwanej doszło do przekazania danych osobowych powódki osobie trzeciej, która nie miała prawa do ich pozyskania i przetwarzania. Oczywistym musiało być, że w ten sposób spółka naruszyła co najmniej dobro osobiste J. B., w postaci prawa do prywatności. W ocenie Sądu nie mogło również budzić wątpliwości, że doprowadziło to do wystąpienia po jej stronie krzywdy, która stanowiła szkodę niemajątkową. Podkreślić należy, że zakres pokrzywdzenia nie musi być jakiś nadzwyczajny, a rozmiar negatywnych odczuć wielki, aby uznać, że dana osoba doznała krzywdy. Poczucie naruszenia bezpieczeństwa, obawa przed niekontrolowanym wykorzystaniem danych, odczuwanie zagrożenia i niepewności – to emocje, które w sposób oczywisty negatywnie wpływają na psychikę danego człowiek. Nie ma potrzeby posiłkowania się w tym zakresie wiedzą specjalistyczną, jest to zjawisko powszechne i mieszczące się w przeciętnym doświadczeniu życiowym. Takie negatywne emocje wpływają na odczucie krzywdy, samopoczucie danej osoby, jej dobrostan psychiczny. Tak zresztą było w przypadku powódki, która podjęła działania zmierzające do zapewnienia sobie bezpieczeństwa, zwracała się do policji, prawników, czy też odczuła skutki błędu pozwanej poprzez subiektywne poczucie zagrożenia, obawę o skutki wycieku je danych.

Administrator kontrargumentował, że dane osobowe powódki i tak były wcześniej znane, bo jako przedsiębiorca umieszczała je na swoich stronach Facebooka. Sąd odniósł się do tego argumentu następująco:

Za bezprzedmiotowe należało uznać wywody strony pozwanej dotyczące dobrowolnego udostępniania przez powódkę jej danych za pośrednictwem facebook’a. Zasadnie wskazywała strona powodowa, że czym innym jest dobrowolne, intencjonalne i dokonane za zgodą danej osoby upublicznienie swoich danych jako przedsiębiorcy, a czym innym niekontrolowane przekazanie informacji o osobie fizycznej bliżej nieznanemu podmiotowi, który może wykorzystać je w dowolny sposób. Prywatność to dobro odnoszące się do faktów z życia człowieka, co do których musi on wyraźnie zgodzić się na ich upublicznienie.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Przechodząc do oceny odpowiedniej kwoty zadośćuczynienia Sąd wypowiedział się tak:

W okolicznościach sprawy stwierdzono, że na skutek działań pozwanej udostępnione zostały osobie trzeciej dane powódki, których osoba ta nie był uprawniona uzyskać (dane adresowe, PESEL, itd.). Opierając się na wynikach postępowania dowodowego ustalono, że w wyniku tego zdarzenia powódka utraciła poczucie bezpieczeństwa, zaczęła odczuwać lęk związany z możliwością nieuprawnionego wykorzystania jej danych osobowych przez inne osoby, w sposób grożący jej oraz jej rodzinie. Od samego incydentu do jego wykrycia upłynęło trochę czasu, co dodatkowo wzmogło jej obawy. Nie podjęła jednak żadnych dalej idących działań w celu zwiększenia swojego bezpieczeństwa. Faktem jednak musiało być istniejące poczucie zagrożenia, niepewności, braku kontroli nad wykorzystaniem danych osobowych, wynikające z naruszenia jej dóbr osobistych, a więc krzywda. To zaś w ocenie Sądu musiało zrodzić po stronie pozwanej obowiązek jej naprawnienia.

Oceniając te wszelkie okoliczności, w ocenie Sądu odpowiednią kwotą zadośćuczynienia powinna być połowa żądanej przez powódkę sumy, tj. 1500 zł. Stosownie do rozmiaru krzywdy, taka kwota pozwoli na jej zrekompensowanie. Będzie to przysporzenie majątkowe, które powinno dać powódce odpowiednią do stopnia naruszenia satysfakcję. Kwota ta nie jest również wygórowana i nie prowadzi do nadmiernego wzbogacenia powódki. Jest ona również realna do poniesienia przez pozwaną i na tyle wysoka, że powinna mieć również skutek prewencyjny.

Ciekawe jak zareagowałby ardministraor, gdyby każdy z “pokrzywdzonych” naruszeniem ochrony danych 1500 osób wystąpił o zadośćuczynienie i otrzymał przybliżoną kwotę – to dopiero pokazuje jak istotnym jest opracowywanie zawiadomień, osób, których naruszenie “dotknęło”.