NARUSZENIE PRZEPISÓW RODO A PRAWO DO ODSZKODOWANIA
W dobie gospodarki cyfrowej dane osobowe stały jednym z jej najcenniejszych zasobów, a znaczenie ochrony prywatności w związku z dynamicznym rozwojem nowoczesnych technologii nieustannie wzrasta. W przesłaniu na Dzień Ochrony Danych Osobowych w 2018 roku UODO wskazał: „Podobno wiek XXI ma tylko jedną cenną walutę – informację. Jeśli tak jest, to dane osobowe są tą najcenniejszą – złotą monetą.” (źródło: https://uodo.gov.pl/pl/203/484 ; dostęp 11.04.2025) Z perspektywy osoby fizycznej (podmiotu danych) kontrola nad własnymi danymi osobowymi ma bardzo istotne znaczenie, ponieważ niewłaściwe wykorzystanie danych osobowych może realnie wpływać na życie każdego człowieka.
Ochrona danych osobowych ma zatem dziś niewątpliwe fundamentalne znaczenie, a świadomość przysługujących w tym zakresie praw u osób fizycznych systematycznie wzrasta. Przepisy ogólnego rozporządzenia o ochronie danych (RODO), które stosowane jest w całej UE od 25.05.2018 roku przewidują szereg uprawnień dla osób, których dane dotyczą, z których większość ma charakter publicznoprawny. W szerokim ujęciu mają one przede wszystkim zapewnić osobie fizycznej kontrolę nad przetwarzaniem jej danych osobowych. Szczególnym uprawnieniem przysługującym podmiotowi danych jest natomiast prawo do uzyskania odszkodowania, o którym mowa w art. 82 RODO. W przeciwieństwie do pozostałych uprawnień ma ono charakter kompensacyjny, ponieważ jego celem jest zapewnienie osobie fizycznej rekompensaty za szkodę majątkową lub niemajątkową poniesioną z związku z naruszeniem RODO.
PODSTAWA PRAWNA ROSZCZEŃ ODSZKODOWAWCZYCH
Zgodnie z art. 82 ust. 1 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Przepis ten wprowadza niezależną podstawę odpowiedzialności cywilnej za szkody wyrządzone przez przetwarzanie danych osobowych, które odbywało się z naruszeniem przepisów RODO. Odpowiedzialność o której mowa w art. 82 ust. 1 RODO spoczywa zarówno na administratorze danych jak i na podmiocie przetwarzającym, przy czym zgodnie z art. 82 ust. 2 RODO podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.
W przypadku naruszenia dóbr osobistych (takich jak np. prywatność, wizerunek, czy dobre imię) istnieje także możliwość niezależnego dochodzenia roszczeń w oparciu o art. 24 kodeksu cywilnego.
Przepis ten zapewnia szeroki zakres cywilnoprawnych środków ochrony w tym:
- żądanie zaniechania działań mogących skutkować naruszeniem dóbr osobistych;
- żądanie usunięcia skutków naruszenia (m. in. poprzez złożenie oświadczenia odpowiedniej treści i w odpowiedniej formie);
- żądanie zasądzenia zadośćuczynienia pieniężnego lub zapłaty określonej kwoty na wskazany cel społeczny;
- żądanie naprawienia szkody na zasadach ogólnych (jeśli naruszenie spowodowało szkodę majątkową po stronie pokrzywdzonego).
W doktrynie istnieją przy tym spory co do tego, czy dane osobowe (same w sobie) można traktować jako dobro osobiste, w rozumieniu art. 23 kodeksu cywilnego. Katalog wskazany w art. 23 kodeksu cywilnego ma bowiem charakter otwarty, przy czym dane osobowe nie zostały w nim wprost wymienione, stąd rozwiązanie to ma zarówno swoich zwolenników jak i przeciwników. Niektóre z dóbr osobistych wymienionych wprost art. 23 kodeksu cywilnego bezpośrednio wiążą się z danymi osobowymi (m. in. nazwisko lub pseudonim, wizerunek, czy tajemnica korespondencji). Wydaje się jednak, że dane osobowe same w sobie trudno traktować jako osobne „dobro osobiste”. W szerokim ujęciu powiązane są one jednak bezpośrednio z prawem do prywatności, jako jeden z jego elementów. Innymi słowy można przyjąć, że pomiędzy danymi osobowymi a dobrami osobistymi (w szczególności prywatnością) zachodzi stosunek krzyżowania. Taki pogląd wydaje się także przeważać w doktrynie i orzecznictwie.
W tym kierunku wypowiedział się także Sąd Najwyższy w wyroku z dnia 24 czerwca 2014 r. (sygn. I CSK 532/13): „Prawo do prywatności – choć niewymienione w art. 23 KC – jest chronionym prawnie dobrem osobistym. Katalog wskazanych w art. 23 KC dóbr osobistych ma charakter otwarty i jest uzupełniany przed doktrynę oraz judykaturę. Z punktu widzenia prawa cywilnego szeroko rozumiane prawo do prywatności obejmuje – co przyjmuje się również w piśmiennictwie, choć można tam spotkać także odmienne zapatrywania – m.in. dane osobowe i prawo do dysponowania swoimi danymi osobowymi.” Podobnie w wyroku Sądu Najwyższego z dnia 13 grudnia 2018 r. (sygn. I CSK 690/17) przyjęto, że „dane osobowe nie są tożsame z dobrami osobistymi, chociaż pewne ich rodzaje mogą złożyć się na elementy tożsamości i prywatności”.
Wskazane wyżej przepisy (tj. art. 23 i 24 kodeksu cywilnego oraz art. 82 RODO) nie wykluczają się, można zatem żądać odszkodowania lub zadośćuczynienia na podstawie art. 82 RODO, a równocześnie żądać ochrony dóbr osobistych na podstawie art. 24 i art. 448 kodeksu cywilnego. Zgodnie z art. 23 kodeksu cywilnego dobra osobiste pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.
Powyższe nie oznacza oczywiście, że sąd zasądzi dwukrotnie odszkodowanie lub zadośćuczynienie w oparciu o różne podstawy prawne. Zgodnie z zasadami prawa cywilnego nie można bowiem uzyskać dwa razy odszkodowania lub zadośćuczynienia za jedną i tą samą szkodę. W zależności od okoliczności warto jednak rozważyć powołanie się na obydwa przepisy (tj. art. 82 RODO i art. 24 kodeksu cywilnego) ponieważ może to zwiększyć siłę argumentacji, a w przypadku wystąpienia na drogę sądową pozwoli sądowi na większą swobodę w zasądzeniu ewentualnej rekompensaty.
Warto pamiętać przy tym, że w przypadku powołania się na art. 24 kodeksu cywilnego można skorzystać z wymienionych wyżej cywilnoprawnych środków ochrony (np. zażądać złożenie oświadczenia odpowiedniej treści i w odpowiedniej formie), których nie przewidziano w art. 82 RODO. Poza tym można także powoływać się pomocniczo na dosyć bogate orzecznictwo dotyczące art. 24 kodeksu cywilnego, które póki co jest dosyć skromne jeśli chodzi o art. 82 RODO.
CHARAKTER SZKODY
Szkoda w rozumieniu przepisów RODO może mieć charakter:
– majątkowy (np. strata finansowa związana z bezprawnym przetwarzaniem danych osobowych);
– niemajątkowy (np. utrata dobrego imienia, cierpienie fizyczne lub psychiczne, stres, niepokój związany z utratą prywatności).
Powyższy podział znajduje swoje odzwierciedlenie także w przepisach kodeksu cywilnego, który odróżnia szkodę majątkową (podstawa prawna do jej dochodzenia wynika w szczególności z art. 361 par. 2 i art. 415 kodeksu cywilnego ) od szkody niemajątkowej – tzw. krzywdy (podstawa prawna do jej dochodzenia wynika w szczególności z art. 445 i art. 448 kodeksu cywilnego)
CZY KONIECZNA JEST SKARGA DO ORGANU NADZORCZEGO (PUODO)?
Skarga do Prezesa UODO nie jest konieczna dla dochodzenia roszczeń cywilnoprawnych w związku z naruszeniem przepisów RODO w trybie przewidzianym w art. 82 RODO. Dotyczy to oczywiście także roszczeń dochodzonych na podstawie art. 24 kodeksu cywilnego. Prezes UODO nie jest bowiem organem właściwym dla rozstrzygania o zasadności roszczeń cywilnoprawnych.
Warto mieć jednak na uwadze, że wydane w drodze decyzji administracyjnej rozstrzygnięcie Prezesa UODO, w ramach którego potwierdzono, że doszło do naruszenia przepisów o ochronie danych osobowych, może być wykorzystane w ramach postępowania cywilnego jako dowód, że takie naruszenie faktycznie miało miejsce. W związku z tym warto rozważyć uprzednie uzyskanie decyzji administracyjnej potwierdzającej, że doszło do naruszenia przepisów.
CZY PODMIOT KTÓRY ODPOWIADA ZA NARUSZENIE PRZEPISÓW RODO MOŻE UNIKNĄĆ ODPOWIEDZIALNOŚCI?
Osoba która dochodzi roszczeń związanych z naruszeniem przepisów RODO musi wykazać (o czym już była mowa powyżej), że w związku z danym zdarzeniem poniosła szkodę materialną lub niematerialną. Nie każde naruszenie przepisów RODO będzie prowadziło do takiego skutku.
Poza tym możliwość uniknięcia odpowiedzialności po stronie administratora lub podmiotu przetwarzającego przewidziano wprost w art. 82 ust. 3 RODO.
Zgodnie z polskim tłumaczeniem art. 82 ust. 3 RODO administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności za spowodowanie szkody wynikającej z przetwarzania danych naruszających przepisy o ochronie danych osobowych, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania tej szkody. Na podstawie tego tłumaczenia większość doktryny w Polsce zajęła stanowisko, że wina (czyli de facto umyślne działanie niezgodne z prawem lub niedbalstwo) stanowi niezbędną przesłankę do tego, aby móc pociągnąć do odpowiedzialności administratora lub podmiot przetwarzający. Prawdopodobnie jest to błąd tłumaczenia, który może mieć jednak wpływ na kształtujące się nadal orzecznictwo. W angielskiej wersji językowej zostało bowiem wskazane: „A controller or processor shall be exempt from liability under paragraph 2 if it proves that it is not in any way responsible for the event giving rise to the damage”). Podobnie jest także w większości innych wersji językowych. Nie ma tam mowy o „winie”, a jedynie o „odpowiedzialności”. Można zatem dojść do wniosku, że odpowiedzialność administratora i podmiotu przetwarzającego w innych krajach członkowskich UE jest bardziej rygorystyczna, co może prowadzić do tego że stosowanie RODO w zakresie odpowiedzialności cywilnoprawnej w ramach UE będzie niejednolite.
Warto mieć przy tym na uwadze, że w wyroku z dnia 14 grudnia 2023 wydanym w sprawie C-340/21 TSUE jasno wskazał, że „The controller or processor should compensate any damage which a person may suffer as a result of processing that infringes this Regulation. The controller or processor should be exempt from liability if it proves that it is not in any way responsible for the damage. The concept of damage should be broadly interpreted in the light of the case-law of the Court of Justice in a manner which fully reflects the objectives of this Regulation.”
Wydaje się zatem, że odpowiedzialność o której mowa w art. 82 RODO powinna opierać się nie na zasadzie winy, a raczej na zasadzie bezprawności (podobnie jak w przypadku naruszenia dóbr osobistych), natomiast w przypadku odpowiedzialności administratora za działania po stronie podmiotu przetwarzającego na zasadzie ryzyka.
PRZYKŁADY ORZECZEŃ WYDANYCH W POLSCE
W ostatnim czasie w Polsce zapada coraz więcej orzeczeń, zasądzających zadośćuczynienia w których powodowie jako podstawę roszczeń wskazywali m. in. art. 82 RODO. Przykładami takich wyroków są m. in.:
- Wyrok Sądu Okręgowego Warszawa-Praga w Warszawie – III Wydział Cywilny
z dnia 17 grudnia 2021 r. (sygn. III C 1169/19) – w sprawie zasądzono 1.500 złotych zadośćuczynienia z ustawowymi odsetkami za opóźnienie od 18 czerwca 2019 r. do dnia zapłaty w związku z bezprawnym udostępnieniem danych osobowych; - Wyrok Sądu Okręgowego w Warszawie – XXV Wydział Cywilny z dnia 6 sierpnia 2020 r. (sygn. XXV C 2596/19) – w sprawie zasądzono 1.500 złotych zadośćuczynienia w związku z bezprawnym udostępnieniem danych osobowych;
- Wyrok Sądu Okręgowego Warszawa-Praga w Warszawie – II Wydział Cywilny
z dnia 17 marca 2022 r. (II C 1228/19) – 1.000 złotych odszkodowania (zadośćuczynienia) za szkodę niemajątkową w związku z bezprawnym udostępnieniem danych osobowych; - Wyrok Sądu Okręgowego w Warszawie z dnia 5 grudnia 2022 r. (sygn. XXV C 559/22) – w sprawie zasądzono kwotę 20.000 złotych z odsetkami ustawowymi za opóźnienie od dnia 15 czerwca 2021 r. do dnia zapłaty. Sprawa dotyczyła opublikowania niezanonimizowanego orzeczenia NSA (orzeczenie opublikowano w Centralnej Bazie Orzeczeń Sądów Administracyjnych na stronie internetowej Naczelnego Sądu Administracyjnego, a zatem do publicznej wiadomości i w sposób umożliwiający pełną identyfikację powódki)
PODSUMOWANIE
Prawo do ochrony danych osobowych nie ogranicza się wyłącznie do odpowiedzialności administracyjnoprawnej po stronie administratorów danych lub podmiotów przetwarzających. Osobom, których dane dotyczą w razie naruszenia przepisów RODO przysługują także konkretne uprawnienia pozwalające na egzekwowanie roszczeń cywilnoprawnych, które mogą być dochodzone na drodze postępowania sądowego. Jeśli osoba fizyczna poniosła szkodę majątkową lub niemajątkową w związku z naruszeniem przepisów RODO może ona dochodzić roszczeń powołując się bezpośrednio na art. 82 RODO. Nic nie stoi przy tym na przeszkodzie, aby w razie naruszenia dóbr osobistych dochodzić także roszczeń na podstawie przepisów kodeksu cywilnego.
W zakresie wsparcia w związku z naruszeniem Państwa danych osobowych przez podmioty trzecie, bądź w dochodzeniu roszczeń zachęcamy do kontaktu z naszą kancelarią.
opracowanie: adw. Henryk Hoser