Wprowadzenie: dlaczego ochrona danych osobowych ma znaczenie
Ochrona danych osobowych przestała być zagadnieniem zarezerwowanym wyłącznie dla prawników i informatyków. Po wejściu w życie ogólnego rozporządzenia o ochronie danych (RODO) niemal każdy obywatel Unii Europejskiej zyskał realne narzędzia do egzekwowania swoich praw – w tym prawo do złożenia skargi do organu nadzorczego oraz do dochodzenia odszkodowania za naruszenie przepisów o ochronie danych.
W praktyce wciąż wiele osób nie wie, jak w sposób skuteczny złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), kiedy warto to zrobić, czy jest to warunek dochodzenia odszkodowania, jak oszacować wysokość szkody oraz jak wygląda postępowanie sądowe w sprawach „RODO”. Poniższy artykuł ma na celu kompleksowe i możliwie praktyczne omówienie tych zagadnień, z odwołaniem do konkretnych przepisów, przykładów oraz orzecznictwa sądowego.
Podstawy prawne: RODO i przepisy krajowe
Podstawowym aktem prawnym regulującym ochronę danych osobowych jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., powszechnie znane jako RODO (ang. GDPR). Rozporządzenie stosuje się bezpośrednio we wszystkich państwach członkowskich UE, ale w wielu kwestiach dopełniane jest przez ustawodawstwo krajowe.
W Polsce kluczową rolę odgrywa:
– ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, która m.in. reguluje organizację i kompetencje PUODO oraz postępowanie przed tym organem,
– przepisy Kodeksu cywilnego dotyczące odpowiedzialności odszkodowawczej (w szczególności art. 415 i nast., art. 23 i 24 dotyczące dóbr osobistych, art. 444 i 445 – w razie szkody na osobie, oraz art. 448 – zadośćuczynienie za naruszenie dóbr osobistych).
RODO w sposób bezpośredni przyznaje osobie, której dane dotyczą, prawo do:
„wniesienia skargi do organu nadzorczego” (art. 77 ust. 1 RODO) oraz „do otrzymania od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę majątkową lub niemajątkową wskutek naruszenia niniejszego rozporządzenia” (art. 82 ust. 1 RODO).
Przepis art. 77 ust. 1 RODO stanowi wprost:
„Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca, gdzie doszło do domniemanego naruszenia, jeżeli osoba, której dane dotyczą, sądzi, że przetwarzanie danych osobowych jej dotyczących narusza niniejsze rozporządzenie.”
Natomiast art. 82 ust. 1 RODO:
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”
Te dwa przepisy tworzą filar mechanizmów dochodzenia roszczeń przez osoby fizyczne: skarga do organu nadzorczego oraz roszczenie odszkodowawcze kierowane do sądu.
Kiedy mamy do czynienia z naruszeniem przepisów o ochronie danych
Aby skutecznie złożyć skargę lub dochodzić odszkodowania, trzeba w pierwszej kolejności ustalić, czy w ogóle doszło do naruszenia przepisów RODO. Naruszenie może polegać zarówno na bezprawnym przetwarzaniu danych, jak i na zaniedbaniach w zakresie ich bezpieczeństwa, czy też na braku realizacji praw osoby, której dane dotyczą.
RODO w art. 4 pkt 12 definiuje „naruszenie ochrony danych osobowych” jako:
„naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych […]”.
Przykładowe sytuacje, które mogą stanowić naruszenie:
– ujawnienie danych osobowych niewłaściwemu odbiorcy (np. wysłanie maila z załącznikiem zawierającym dane klientów do omyłkowego adresata),
– przetwarzanie danych bez podstawy prawnej, np. wykorzystywanie numeru telefonu do celów marketingowych bez zgody i bez innej podstawy z art. 6 RODO,
– brak realizacji prawa do usunięcia danych (art. 17 RODO) czy prawa dostępu do danych (art. 15 RODO), mimo skutecznego wniosku osoby, której dane dotyczą,
– zbyt długi okres przechowywania danych, nieuzasadniony celem ich przetwarzania,
– brak odpowiednich środków technicznych i organizacyjnych zabezpieczających dane (np. brak szyfrowania, brak kontroli dostępu), co prowadzi do wycieku danych.
Nie każde naruszenie automatycznie oznacza możliwość skutecznego dochodzenia odszkodowania, ale niemal każde może stanowić podstawę do złożenia skargi do PUODO. Odszkodowanie wymaga wykazania dodatkowych przesłanek – przede wszystkim powstania szkody i związku przyczynowego.
Skarga do PUODO: kto, kiedy i w jakim celu
Skarga do Prezesa Urzędu Ochrony Danych Osobowych jest podstawowym, stosunkowo prostym narzędziem, z którego może skorzystać każda osoba, której dane dotyczą. Nie jest wymagane, aby skarżący był konsumentem; może to być również przedsiębiorca będący osobą fizyczną (np. prowadzący jednoosobową działalność gospodarczą), pracownik, kandydat do pracy, pacjent, uczeń, użytkownik serwisu internetowego itd.
Celem skargi jest doprowadzenie do tego, aby organ nadzorczy:
– zbadał, czy doszło do naruszenia przepisów RODO,
– wydał decyzję nakazującą administratorowi podjęcie określonych działań (np. usunięcie danych, ograniczenie przetwarzania, zawiadomienie osób o naruszeniu),
– ewentualnie nałożył administracyjną karę pieniężną na administratora lub podmiot przetwarzający.
Należy podkreślić, że skarga do PUODO nie jest instrumentem bezpośredniego dochodzenia odszkodowania. Prezes UODO nie przyznaje odszkodowań na rzecz osób, których dane dotyczą; to roszczenie przysługuje wyłącznie przed sądem cywilnym. Orzeczenie organu nadzorczego może jednak mieć duże znaczenie dowodowe w ewentualnym sporze odszkodowawczym.
RODO w art. 57 ust. 1 lit. f wskazuje, że organ nadzorczy:
„rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez organ, organizację lub stowarzyszenie […] oraz prowadzi w stosownym zakresie dochodzenie w przedmiocie skargi”.
A więc funkcją skargi jest przede wszystkim uruchomienie postępowania administracyjnego nadzorczego, a nie bezpośrednie naprawienie szkody finansowej czy krzywdy.
Jak przygotować i złożyć skargę do PUODO – krok po kroku
Skarga do PUODO powinna spełniać wymogi pisma w postępowaniu administracyjnym. Można ją złożyć w formie papierowej (tradycyjną pocztą), osobiście w siedzibie urzędu, a także elektronicznie za pośrednictwem platformy ePUAP lub systemów teleinformatycznych wskazanych przez PUODO.
Ustawa o ochronie danych osobowych w art. 12 ust. 1 stanowi:
„Prezes Urzędu rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych.”
W skardze należy przede wszystkim:
– wskazać swoje dane identyfikacyjne (imię, nazwisko, adres do korespondencji, ewentualnie PESEL),
– oznaczyć administratora danych, którego działania lub zaniechania dotyczą skargi (nazwa firmy, adres siedziby, ewentualnie inne dane identyfikujące),
– opisać zdarzenie lub praktykę, którą uznajemy za naruszenie RODO – możliwie konkretnie, z podaniem dat, okoliczności, treści korespondencji itp.,
– wskazać, jakie przepisy – w naszej ocenie – mogły zostać naruszone (np. art. 6 RODO – brak podstawy prawnej, art. 32 – brak odpowiedniego poziomu bezpieczeństwa),
– dołączyć dowody potwierdzające nasze twierdzenia (wydruki korespondencji, screeny, umowy, nagrania – o ile ich pozyskanie nie narusza prawa),
– sprecyzować żądanie skierowane do PUODO (np. przeprowadzenie postępowania, nakazanie administratorowi usunięcia danych, nałożenie sankcji).
Skarga nie wymaga uiszczenia opłaty skarbowej, jest zatem bezpłatna dla skarżącego, co dodatkowo zachęca do korzystania z tego środka.
Case study: niechciany marketing telefoniczny
Pani Anna zaczęła regularnie otrzymywać połączenia telefoniczne z ofertami produktów finansowych od firmy, z którą nigdy nie współpracowała. Gdy zapytała konsultanta, skąd ma jej numer, usłyszała odpowiedź, że został „kupiony w bazie marketingowej”. Pani Anna nigdy nie wyraziła zgody na wykorzystanie swojego numeru w celach marketingu bezpośredniego.
W takiej sytuacji Pani Anna może:
1) zwrócić się do firmy z żądaniem wskazania podstawy przetwarzania danych, poinformowania o źródle ich pozyskania, a także sprzeciwić się dalszemu przetwarzaniu w celach marketingowych (art. 21 RODO),
2) jeżeli odpowiedź będzie niewystarczająca albo firma nadal będzie dzwonić – złożyć skargę do PUODO, wskazując naruszenie art. 6 RODO (brak podstawy prawnej) oraz art. 21 RODO (brak uwzględnienia sprzeciwu).
PUODO może nałożyć na firmę karę administracyjną oraz nakazać zaprzestanie naruszeń. Dodatkowo Pani Anna, jeżeli poniosła szkodę lub doznała krzywdy, może rozważyć dochodzenie odszkodowania przed sądem cywilnym.
Przebieg postępowania przed PUODO i możliwe rozstrzygnięcia
Po złożeniu skargi Prezes UODO w pierwszej kolejności bada jej dopuszczalność – czy dotyczy ochrony danych osobowych, czy skarżący jest osobą, której dane dotyczą, czy skarga nie jest oczywiście bezzasadna. Następnie może wszcząć postępowanie administracyjne, w którym stronami będą skarżący oraz administrator/podmiot przetwarzający.
PUODO może żądać od administratora wyjaśnień, dokumentacji, kopii rejestrów czynności przetwarzania, a także przeprowadzić kontrolę na miejscu. Postępowanie kończy się najczęściej decyzją administracyjną, w której organ:
– stwierdza naruszenie przepisów RODO i nakazuje określone działania (np. dostosowanie procedur, usunięcie danych, wprowadzenie środków bezpieczeństwa),
– może nałożyć administracyjną karę pieniężną na administratora,
– albo umarza postępowanie, jeżeli nie stwierdzi naruszenia.
Ważne jest, że skarżący nie otrzymuje z kary administracyjnej żadnych środków finansowych – wpływa ona do budżetu państwa. Dla skarżącego znaczenie ma natomiast sam fakt stwierdzenia naruszenia, a także treść ustaleń faktycznych, które mogą zostać później wykorzystane w procesie cywilnym.
Decyzja PUODO jest zaskarżalna do Wojewódzkiego Sądu Administracyjnego w Warszawie, a następnie do Naczelnego Sądu Administracyjnego. Zdarza się, że to właśnie w toku takiej kontroli sądowej zapadają ważne, precedensowe rozstrzygnięcia interpretujące przepisy RODO.
Prawo do odszkodowania na gruncie RODO – zakres i charakter
Art. 82 RODO wprowadza autonomiczny reżim odpowiedzialności odszkodowawczej za naruszenie przepisów rozporządzenia. Co istotne, przepis ten obejmuje zarówno szkody majątkowe, jak i niemajątkowe.
Zgodnie z art. 82 ust. 2 RODO:
„Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem, które narusza niniejsze rozporządzenie.”
Natomiast ust. 3 dodaje:
„Administrator lub podmiot przetwarzający jest zwolniony z odpowiedzialności […] jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.”
Z powyższego wynika, że:
– co do zasady odpowiedzialność ma charakter zbliżony do odpowiedzialności na zasadzie domniemania winy (administrator musi wykazać brak swojej winy, aby się uwolnić),
– odpowiedzialność może ponosić nie tylko administrator, ale także podmiot przetwarzający (np. firma IT przetwarzająca dane na podstawie umowy powierzenia),
– odpowiedzialność może mieć charakter solidarny, jeżeli w przetwarzaniu uczestniczyło kilku administratorów lub podmiotów przetwarzających (art. 82 ust. 4 RODO).
RODO nie precyzuje jednak szczegółowych zasad ustalania wysokości odszkodowania. W tym zakresie konieczne jest odwołanie się do prawa krajowego – przede wszystkim do ogólnych reguł odpowiedzialności odszkodowawczej ukształtowanych w Kodeksie cywilnym.
Szkoda majątkowa i niemajątkowa – jak je rozumieć w sprawach „RODO”
Szkoda majątkowa to uszczerbek w majątku poszkodowanego, który można ująć w kategoriach finansowych. W kontekście naruszeń RODO mogą to być przykładowo:
– straty poniesione w wyniku kradzieży tożsamości (np. wyłudzenie kredytu na dane osobowe poszkodowanego),
– koszty poniesione na przeciwdziałanie skutkom naruszenia (np. opłaty za zastrzeżenie dokumentów, usługi prawnicze, dodatkowe zabezpieczenia),
– utracone korzyści (np. utrata możliwości zawarcia korzystnej umowy, jeżeli nieuprawnione udostępnienie danych doprowadziło do ujawnienia tajemnic handlowych).
Szkoda niemajątkowa (krzywda) ma charakter niematerialny i dotyczy sfery dóbr osobistych. W przypadku danych osobowych będzie to często:
– stres, poczucie zagrożenia, utrata poczucia bezpieczeństwa wynikająca z wycieku danych wrażliwych (np. danych medycznych),
– naruszenie dobrego imienia w wyniku ujawnienia określonych informacji,
– poczucie upokorzenia, wstydu, dyskomfortu związanego z bezprawnym ujawnieniem szczegółów życia prywatnego (np. orientacji seksualnej, przekonań religijnych).
Trybunał Sprawiedliwości UE w wyroku z 4 maja 2023 r. w sprawie C‑300/21 (Österreichische Post AG) podkreślił, że:
„Samo naruszenie przepisów RODO nie wystarcza, aby przyznać odszkodowanie. Konieczne jest wystąpienie rzeczywistej szkody oraz istnienie związku przyczynowego między naruszeniem a szkodą.”
Jednocześnie TSUE wyjaśnił, że:
„RODO nie przewiduje żadnego progu istotności szkody. Każda szkoda, nawet o niewielkiej wadze, może podlegać kompensacie, pod warunkiem że jest rzeczywista i została wykazana.”
To orzeczenie ma fundamentalne znaczenie: nie ma automatycznego prawa do odszkodowania za każde naruszenie RODO, ale też nie można odrzucać roszczeń tylko dlatego, że szkoda (zwłaszcza niemajątkowa) wydaje się „błaha”. O tym decydować będą sądy krajowe, stosując swoje standardy przyznawania zadośćuczynienia.
Jak dochodzić odszkodowania – sąd, właściwość i tryb
Roszczenia odszkodowawcze na podstawie art. 82 RODO dochodzi się co do zasady przed sądem cywilnym. W Polsce są to sądy powszechne – sądy rejonowe lub okręgowe, w zależności od wartości przedmiotu sporu (co do zasady do 100 000 zł – sąd rejonowy, powyżej – sąd okręgowy, z zastrzeżeniami wynikającymi z przepisów szczególnych).
RODO w art. 79 ust. 2 przewiduje, że powództwo można wytoczyć:
– przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający ma jednostkę organizacyjną, lub
– przed sądem państwa członkowskiego miejsca zwykłego pobytu osoby, której dane dotyczą (z pewnymi wyjątkami w odniesieniu do organów publicznych).
W praktyce oznacza to, że polski obywatel może zazwyczaj wytoczyć powództwo przed sądem polskim, nawet jeśli administrator ma siedzibę w innym państwie członkowskim, o ile naruszenie dotyczy przetwarzania jego danych.
Istotna kwestia: skorzystanie z prawa do złożenia skargi do PUODO nie jest warunkiem wstępnym dochodzenia odszkodowania. Można złożyć powództwo do sądu niezależnie od tego, czy wcześniej była skarga, i niezależnie od jej wyniku. Z drugiej strony, posiadanie decyzji organu stwierdzającej naruszenie może znacząco ułatwić prowadzenie sprawy cywilnej.
Dowodzenie w procesie odszkodowawczym
W procesie o odszkodowanie kluczowe są trzy elementy:
1) wykazanie naruszenia przepisów RODO,
2) udowodnienie szkody (majątkowej lub niemajątkowej),
3) wykazanie związku przyczynowego między naruszeniem a szkodą.
Ciężar dowodu co do zasady spoczywa na powodzie (osobie, której dane dotyczą). Jednak w odniesieniu do winy administratora RODO wprowadza swoiste domniemanie – to administrator musi wykazać, że nie ponosi winy za zdarzenie, które doprowadziło do szkody (art. 82 ust. 3).
W praktyce powód powinien przedstawić:
– dokumenty potwierdzające naruszenie (korespondencja, decyzja PUODO, zawiadomienia o wycieku, logi systemowe itp.),
– dokumenty potwierdzające wysokość szkody majątkowej (faktury, potwierdzenia przelewów, umowy kredytowe w razie kradzieży tożsamości),
– dowody na istnienie szkody niemajątkowej (zeznania własne, zeznania świadków, ewentualnie dokumentacja medyczna w razie długotrwałych zaburzeń).
Orzecznictwo sądów polskich w sprawach o odszkodowanie za naruszenie RODO
W Polsce coraz częściej zapadają wyroki przyznające odszkodowanie lub zadośćuczynienie za naruszenia przepisów o ochronie danych. Warto przywołać kilka przykładów, które ilustrują podejście sądów do tego typu spraw.
Wyrok Sądu Apelacyjnego w Warszawie z 13 stycznia 2022 r., sygn. akt VII AGa 1002/20
Sąd zasądził zadośćuczynienie za naruszenie dóbr osobistych w postaci prawa do prywatności w związku z ujawnieniem danych osobowych powoda. Podkreślono, że „bezprawne ujawnienie danych osobowych może stanowić jednocześnie naruszenie dóbr osobistych, co uzasadnia przyznanie zadośćuczynienia na podstawie art. 24 § 1 i art. 448 k.c.”
Choć wyrok nie był oparty bezpośrednio na art. 82 RODO, pokazuje alternatywną, a często komplementarną ścieżkę dochodzenia roszczeń – poprzez ochronę dóbr osobistych na gruncie prawa krajowego.
Wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2021 r., sygn. akt XXV C 2596/20
Sąd oddalił powództwo o odszkodowanie za naruszenie RODO w związku z wyciekiem danych pracowników. Wskazał, że „samo naruszenie obowiązków administratora nie przesądza jeszcze o zasadności roszczenia odszkodowawczego; konieczne jest wykazanie przez powoda konkretnej szkody oraz związku przyczynowego”.
Ten wyrok jest zbieżny z linią wytyczoną później przez TSUE w sprawie C‑300/21 i pokazuje, że sądy oczekują od powodów konkretyzacji i udowodnienia szkody.
Wyrok Sądu Rejonowego w Zamościu z 4 marca 2020 r., sygn. akt I C 293/19
Sąd zasądził zadośćuczynienie za bezprawne udostępnienie danych osobowych klienta banku osobie trzeciej. Podkreślono, że „naruszenie zasad poufności danych finansowych klienta banku stanowi istotne naruszenie jego prawa do prywatności i uzasadnia przyznanie zadośćuczynienia za krzywdę”.
Chociaż orzecznictwo w zakresie art. 82 RODO dopiero się kształtuje, wyroki te potwierdzają, że sądy przyjmują możliwość dochodzenia zadośćuczynienia zarówno na podstawie RODO, jak i przepisów o ochronie dóbr osobistych – często łącznie.
Relacja między postępowaniem przed PUODO a procesem cywilnym
W praktyce często pojawia się pytanie: czy warto najpierw złożyć skargę do PUODO, a dopiero potem występować do sądu? Czy wyrok sądu administracyjnego wiąże sąd cywilny?
Formalnie postępowania te są od siebie niezależne. Osoba, której dane dotyczą:
– może złożyć skargę do PUODO i potem, w oparciu o ustalenia organu, wnieść pozew o odszkodowanie,
– może zrezygnować ze skargi i od razu wytoczyć powództwo cywilne,
– może również połączyć te działania równolegle.
Decyzja PUODO czy wyrok sądu administracyjnego nie wiążą automatycznie sądu cywilnego co do oceny odpowiedzialności odszkodowawczej. Mogą jednak stanowić bardzo silny dowód w sprawie, zwłaszcza w zakresie:
– stwierdzenia samego faktu naruszenia przepisów RODO,
– ustaleń technicznych i organizacyjnych dotyczących przetwarzania danych,
– oceny staranności administratora.
Sąd cywilny nie jest związany oceną prawną PUODO, ale w praktyce rzadko kwestionuje szczegółowe ustalenia faktyczne, jeżeli zostały dokonane przez wyspecjalizowany organ na podstawie obszernych materiałów dowodowych.
Przedawnienie roszczeń odszkodowawczych z tytułu naruszenia RODO
RODO nie reguluje kwestii przedawnienia roszczeń odszkodowawczych. Z tego względu zastosowanie znajdują przepisy krajowe, w szczególności Kodeksu cywilnego.
Zgodnie z art. 4421 § 1 k.c.:
„Roszczenie o naprawienie szkody wyrządzonej czynem niedozwolonym ulega przedawnieniu z upływem lat trzech od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie oraz o osobie obowiązanej do jej naprawienia.”
Jednocześnie nie może ono przedawnić się później niż z upływem 10 lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę (termin długościowy), z wyjątkami dotyczącymi szkód na osobie i przestępstw.
W praktyce osoby, których dane dotyczą, często dowiadują się o naruszeniu z dużym opóźnieniem (np. po otrzymaniu zawiadomienia o wycieku od administratora). Od tego momentu biegnie trzyletni termin na wystąpienie z powództwem. W razie wątpliwości, kiedy dokładnie poszkodowany dowiedział się o szkodzie i osobie zobowiązanej, ciężar dowodu spoczywa zazwyczaj na pozwanym.
Jak oszacować wysokość odszkodowania lub zadośćuczynienia
Ustalenie konkretnej kwoty roszczenia jest jednym z trudniejszych elementów praktycznych. W przypadku szkody majątkowej sytuacja jest prostsza – posługujemy się rachunkiem ekonomicznym. Wymaga to udokumentowania wydatków, strat i utraconych korzyści.
Problematyczne jest natomiast oszacowanie szkody niemajątkowej (krzywdy). RODO nie zawiera żadnych tabel ani wytycznych kwotowych. Sądy krajowe odwołują się zatem do własnego dorobku orzeczniczego w sprawach zadośćuczynienia za naruszenie dóbr osobistych oraz wypadków komunikacyjnych, błędów medycznych itp.
Przy ustalaniu kwoty zadośćuczynienia sądy biorą pod uwagę m.in.:
– rodzaj naruszonych danych (dane zwykłe vs dane szczególnej kategorii – zdrowotne, dotyczące życia intymnego, przekonań),
– zakres naruszenia (jednorazowe ujawnienie vs masowy wyciek obejmujący tysiące osób),
– czas trwania naruszenia,
– stopień winy administratora (rażące zaniedbania vs pojedynczy błąd mimo wysokich standardów bezpieczeństwa),
– realne konsekwencje dla życia prywatnego poszkodowanego (np. konieczność zmiany numeru, miejsca zamieszkania, problemy rodzinne, zawodowe).
Kwoty zasądzane przez polskie sądy w sprawach dotyczących naruszeń danych osobowych są na razie dość zróżnicowane, często oscylują w przedziale od kilku do kilkudziesięciu tysięcy złotych w poważniejszych przypadkach. Należy jednak spodziewać się, że wraz z rozwojem orzecznictwa będą się krystalizować pewne standardy.
Case study: wyciek danych medycznych a zadośćuczynienie
Pan Marek korzystał z usług prywatnej kliniki, która przechowywała jego dokumentację medyczną w systemie teleinformatycznym. W wyniku ataku hakerskiego, ułatwionego brakiem aktualnych zabezpieczeń i brakiem szyfrowania, doszło do wycieku danych medycznych pacjentów, w tym informacji o chorobie przewlekłej Pana Marka. Dane te zostały następnie opublikowane w internecie.
Pan Marek:
– przez dłuższy czas odczuwał silny stres, obawiał się stygmatyzacji zawodowej, unikał kontaktów towarzyskich,
– zdecydował się na konsultację psychologiczną,
– musiał informować o wycieku kolejnych lekarzy i instytucje, co potęgowało poczucie wstydu.
W takiej sytuacji Pan Marek może:
1) złożyć skargę do PUODO – urząd zbada, czy klinika dochowała obowiązków z art. 32 RODO (bezpieczeństwo przetwarzania) i innych przepisów, a w razie stwierdzenia naruszeń może nałożyć karę,
2) wystąpić do sądu z powództwem na podstawie art. 82 RODO, żądając od kliniki odszkodowania za poniesione koszty (w tym konsultacje psychologiczne) oraz zadośćuczynienia za krzywdę związaną z naruszeniem prywatności i ujawnieniem danych o stanie zdrowia.
W toku procesu sąd będzie oceniał m.in. stopień zabezpieczenia systemu przez klinikę, czy atak hakerski był możliwy do przewidzenia, czy klinika reagowała właściwie po wykryciu naruszenia (zawiadomienie PUODO i osób, których dane dotyczą – art. 33 i 34 RODO) oraz jaki był realny wpływ wycieku na życie Pana Marka.
RODO a tradycyjna ochrona dóbr osobistych
Naruszenie przepisów RODO bardzo często wiąże się jednocześnie z naruszeniem dóbr osobistych, takich jak prywatność, cześć, dobre imię, wizerunek, tajemnica korespondencji. W polskim prawie cywilnym dobra osobiste podlegają ochronie na podstawie art. 23 i 24 k.c.
Art. 24 § 1 k.c. stanowi:
„Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania […]. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków […] oraz zadośćuczynienia pieniężnego […] albo zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.”
Dodatkowo art. 448 k.c. przewiduje możliwość przyznania zadośćuczynienia pieniężnego za naruszenie dóbr osobistych.
W praktyce poszkodowany może więc oprzeć swoje żądania:
– na art. 82 RODO (odpowiedzialność szczególna za naruszenie przepisów ochrony danych),
– oraz jednocześnie na art. 24 i 448 k.c. (naruszenie dóbr osobistych).
Sądy coraz częściej odwołują się do obu podstaw, uznając, że RODO nie wyłącza tradycyjnych środków ochrony. Wręcz przeciwnie – stanowią one komplementarny system ochrony prawa do prywatności.
Najczęstsze błędy osób dochodzących naruszeń RODO
W praktyce można zaobserwować szereg powtarzających się błędów popełnianych przez osoby, które chcą dochodzić swoich praw w związku z naruszeniem danych:
– ograniczanie się wyłącznie do „oburzenia moralnego” bez konkretnego wskazania szkody – sądy wymagają precyzyjnego wykazania krzywdy lub straty,
– brak dokumentowania skutków naruszenia (brak zaświadczeń lekarskich, dowodów poniesionych kosztów, korespondencji z administratorem),
– żądanie rażąco wygórowanych kwot zadośćuczynienia, nieadekwatnych do skali naruszenia i dotychczasowego orzecznictwa,
– mylenie postępowania administracyjnego przed PUODO z procesem cywilnym – oczekiwanie, że PUODO przyzna odszkodowanie,
– zbyt późne podjęcie działań, co może prowadzić do przedawnienia roszczeń.
Świadomość tych pułapek pozwala lepiej przygotować zarówno skargę do PUODO, jak i ewentualny pozew.
Podsumowanie – jak rozsądnie korzystać z mechanizmów ochrony RODO
System ochrony danych osobowych wprowadzony przez RODO daje jednostce szerokie narzędzia: od prawa do informacji i dostępu do danych, przez możliwość żądania ich sprostowania, usunięcia, ograniczenia przetwarzania, aż po prawo do złożenia skargi do organu nadzorczego i do dochodzenia odszkodowania.
W praktyce rozsądne korzystanie z tych instrumentów można ująć w kilku krokach:
– najpierw warto zwrócić się bezpośrednio do administratora danych, korzystając z praw przewidzianych w art. 15–22 RODO (dostęp, sprostowanie, usunięcie, sprzeciw),
– w razie braku reakcji administratora albo w razie poważnego naruszenia – złożyć skargę do PUODO, opisując szczegółowo sytuację i dołączając dowody,
– jeżeli naruszenie spowodowało szkodę majątkową lub krzywdę niemajątkową – rozważyć powództwo cywilne, najlepiej po zebraniu maksymalnie pełnego materiału dowodowego (w tym ewentualnej decyzji PUODO).
W miarę jak orzecznictwo TSUE i sądów krajowych będzie się rozwijać, standardy odpowiedzialności odszkodowawczej i wysokości zasądzanych kwot będą się stopniowo klarować. Już dziś jednak osoby, których dane dotyczą, nie są bezbronne – prawo do skargi i prawo do odszkodowania stanowią realne, a nie tylko teoretyczne gwarancje ochrony prywatności.
Q&A – najczęściej zadawane pytania dotyczące skarg i odszkodowań na gruncie RODO
1. Czy muszę najpierw złożyć skargę do PUODO, zanim pójdę do sądu po odszkodowanie?
Nie. Złożenie skargi do PUODO nie jest warunkiem koniecznym wystąpienia z powództwem cywilnym o odszkodowanie na podstawie art. 82 RODO. Można od razu skierować sprawę do sądu. W praktyce jednak posiadanie decyzji PUODO stwierdzającej naruszenie może ułatwić dochodzenie roszczeń, dlatego często warto zacząć od skargi.
2. Czy za każde naruszenie RODO przysługuje automatycznie odszkodowanie?
Nie. Aby otrzymać odszkodowanie, trzeba wykazać:
– naruszenie RODO,
– wystąpienie szkody (majątkowej lub niemajątkowej),
– związek przyczynowy między naruszeniem a szkodą.
TSUE w sprawie C‑300/21 wyraźnie wskazał, że samo naruszenie przepisów nie wystarcza do przyznania odszkodowania.
3. Czy mogę domagać się pieniędzy od PUODO, jeśli stwierdzi on naruszenie?
Nie. PUODO nie przyznaje odszkodowań ani zadośćuczynienia na rzecz osób, których dane dotyczą. Organ może nałożyć karę administracyjną na administratora lub podmiot przetwarzający, ale wpływa ona do budżetu państwa. Aby otrzymać świadczenie pieniężne, należy wystąpić z pozwem do sądu cywilnego.
4. Czy naruszenie RODO zawsze jest naruszeniem moich dóbr osobistych?
Nie zawsze, ale bardzo często tak. Naruszenie przepisów RODO dotyczących prywatności, bezpieczeństwa danych, poufności korespondencji itp. może jednocześnie naruszać dobra osobiste (np. prawo do prywatności, dobre imię). W takiej sytuacji można dochodzić roszczeń zarówno z RODO (art. 82), jak i z Kodeksu cywilnego (art. 24 i 448 k.c.).
5. Jak wysokiego zadośćuczynienia mogę się domagać za wyciek moich danych?
Nie ma sztywnego cennika. Wysokość zadośćuczynienia zależy od wielu czynników: rodzaju danych, skali i czasu trwania naruszenia, winy administratora, skutków dla Pana/Pani życia. W praktyce roszczenia w kwotach rzędu kilkunastu czy kilkudziesięciu tysięcy złotych mogą być uzasadnione w poważniejszych przypadkach, ale każda sprawa wymaga indywidualnej oceny. Warto odnieść się do istniejącego orzecznictwa w podobnych sprawach.
6. Czy mogę dochodzić odszkodowania, jeżeli jeszcze nie ma decyzji PUODO w mojej sprawie?
Tak. Postępowanie przed PUODO i postępowanie cywilne są niezależne. Można wytoczyć powództwo, nawet jeśli postępowanie administracyjne dopiero się toczy. Sąd cywilny samodzielnie oceni, czy doszło do naruszenia i czy przysługuje odszkodowanie. Decyzja PUODO – jeśli zapadnie – może zostać potem włączona do materiału dowodowego.
7. Ile czasu mam na dochodzenie odszkodowania za naruszenie danych?
Co do zasady roszczenie przedawnia się z upływem 3 lat od dnia, w którym dowiedział się Pan/Pani o szkodzie i o osobie zobowiązanej do jej naprawienia (art. 4421 § 1 k.c.), nie później jednak niż 10 lat od dnia zdarzenia wywołującego szkodę (z wyjątkami dla szkód na osobie i przestępstw). W sprawach danych osobowych ważne jest zachowanie wszelkich zawiadomień o naruszeniu, które mogą pomóc ustalić początek biegu terminu.
8. Czy muszę mieć prawnika, aby złożyć skargę do PUODO lub pozew o odszkodowanie?
Nie ma takiego obowiązku. Skargę do PUODO może Pan/Pani złożyć samodzielnie. W sprawach cywilnych również nie ma przymusu adwokacko-radcowskiego (z wyjątkami dla niektórych instancji w Sądzie Najwyższym). W praktyce jednak przy bardziej skomplikowanych sprawach odszkodowawczych, zwłaszcza o wyższe kwoty, pomoc profesjonalnego pełnomocnika znacząco zwiększa szanse na właściwe przygotowanie i poprowadzenie sprawy.
9. Co zrobić, jeśli administrator nie reaguje na mój wniosek o usunięcie danych?
Jeżeli administrator:
– nie odpowiada w terminie miesiąca na wniosek (np. o usunięcie, dostęp, sprostowanie),
– lub odpowiada w sposób oczywiście niezgodny z prawem,
może Pan/Pani:
1) ponowić wniosek, powołując się na art. 12 i 17 RODO (prawo do usunięcia danych),
2) złożyć skargę do PUODO, dołączając kopie korespondencji,
3) w razie powstania szkody rozważyć powództwo odszkodowawcze.
10. Czy administrator może bronić się, twierdząc, że to „atak hakerski” i nie ponosi winy?
Może próbować, ale samo powołanie się na atak hakerski nie wyłącza odpowiedzialności. RODO wymaga od administratora zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo danych (art. 32). Jeżeli atak był możliwy z powodu zaniedbań (brak aktualizacji, haseł, szyfrowania, procedur), administrator nadal będzie ponosił odpowiedzialność. Tylko wyka-zanie, że mimo należytej staranności ataku nie dało się uniknąć, może prowadzić do zwolnienia z odpowiedzialności na podstawie art. 82 ust. 3 RODO.
11. Czy mogę żądać usunięcia negatywnej opinii w internecie, która zawiera moje dane?
Jeżeli opinia:
– zawiera dane osobowe (np. imię, nazwisko, dane kontaktowe),
– a jej publikacja narusza RODO (brak podstawy prawnej, nadmierny zakres danych) lub dobra osobiste (np. zniesławienie),
może Pan/Pani domagać się od administratora serwisu:
– usunięcia lub anonimizacji danych,
– a w razie odmowy – złożenia skargi do PUODO,
– oraz ewentualnie powództwa cywilnego o usunięcie skutków naruszenia dóbr osobistych i zadośćuczynienie.
12. Czy organizacje społeczne mogą działać w moim imieniu w sprawach RODO?
Tak. Art. 80 RODO pozwala państwom członkowskim na przewidzenie, że organizacja lub stowarzyszenie, które działa w interesie publicznym, może – za upoważnieniem osoby, której dane dotyczą – wnieść w jej imieniu skargę do organu nadzorczego lub powództwo sądowe. W Polsce możliwość taka została w określonym zakresie wprowadzona, choć praktyka jej stosowania dopiero się kształtuje. Dla wielu osób może to być forma wsparcia w bardziej skomplikowanych sprawach.
Na gruncie obecnego prawa każda osoba fizyczna dysponuje więc realnymi narzędziami nacisku na administratorów danych: od skargi administracyjnej, przez presję reputacyjną związaną z postępowaniem przed PUODO, aż po roszczenia finansowe dochodzone przed sądami. Właściwe zrozumienie tych mechanizmów i umiejętne z nich korzystanie jest kluczowe dla skutecznej ochrony prywatności w erze cyfrowej.
Dodaj komentarz