Co można zrobić, gdy ktoś ujawni nasze dane w sieci?

Naruszenie bezpieczeństwa danych osobowych

Zgodnie z rozporządzeniem 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (znane bardziej jako RODO), naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Zniszczenie danych polega na ich unicestwieniu – przestają one w ogóle istnieć w ogóle lub niemożliwe jest ich dalsze wykorzystanie.

Utrata danych oznacza np. utratę dostępu do nich Modyfikacja oznacza naruszenie ich integralności, zaś nieuprawnione ujawnienie danych osobowych i nieuprawniony dostęp do nich obejmują przypadki ujawnienia lub udostępnienia tych danych odbiorcom, którzy nie mają uprawnień do ich otrzymania lub uzyskania do nich dostępu. Naruszenie nie musi mieć charakteru umyślnego.

Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Może to być imię, nazwisko, numer dowodu osobistego, dokumentacja medyczna czy numer PESEL. Daną osobową może być także nasze zdjęcie lub wizerunek, jeśli pozwalają na naszą identyfikację.

Co gdy nasze dane osobowe zostaną ujawnione? RODO oraz ustawa o ochronie danych osobowych (UODO) przewidują dla obywatela zasadniczo dwie drogi – administracyjną oraz sądową. Obie jednak różnią się od siebie i mają odmienne cele.

Skarga do Prezesa UODO, jakkolwiek stosunkowo tania oraz wygodna, zapewnia jedynie naprawienie stanu niezgodnego z prawem, tj. usunięcie naruszenia przepisów o ochronie danych osobowych. Nie wynagradza jednak szkody (materialnej lub niematerialnej), którą mogliśmy ponieść wskutek tego ujawnienia. O naruszeniu oraz rekompensacie zadecydować może jednak sąd.

Obecnie obowiązujące przepisy przewidują dwie możliwe podstawy uzyskania rekompensaty na drodze sądowej.

Zgodnie z art. 82 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Podmiot przetwarzający to osoba dokonująca przetwarzania danych w imieniu administratora.

Drugą podstawą do uzyskania odszkodowania może być art. 24 Kodeksu cywilnego: ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. Również w kontekście tego przepisu można mówić zarówno o szkodach majątkowych jak i niemajątkowych.

Obydwie podstawy do złożenia pozwu są odrębne i nie należy ich ze sobą łączyć.

Pozew jest opcją bardziej kosztowną niż skarga do prezesa UODO – podlega bowiem opłacie stałej w wysokości 600 zł.

Pozew można złożyć albo przed sąd właściwy dla siedziby administratora lub podmiotu przetwarzającego, albo przed sądem właściwym dla miejsca stałego pobytu osoby, której dane dotyczą. Sprawę rozpatruje sąd okręgowy.

Bardzo istotną kwestią jest przeniesienie ciężaru dowodowego w przypadku złożenia skargi w związku z art. 82 RODO – ciąży on bowiem na pozwanym. To administrator lub przetwarzający dane musi udowodnić, iż naruszenie przepisów nie wynikało ,,z jego winy” (jak głosi polska wersja RODO – wydaje się jednak, iż w kontekście anglojęzycznej wersji tego rozporządzenia, bardziej zasadne byłoby mówienie o braku bezprawności w naruszeniu). Stanowi to znaczne wzmocnienie sytuacji procesowej powoda.

W kontekście przepisów RODO nie jest do końca jasne, czy możliwe odszkodowanie (zadośćuczynienie) musi mieć charakter pieniężny. Niewykluczone, że możliwe jest wystąpienie o inne formy naprawienia szkody znane polskiemu prawu cywilnemu.

Postępowanie przed sądem a przed Prezesem UODO

Przepisy ustawy o ochronie danych osobowych jasno precyzują relacje między obiema procedurami. Złożenie pozwu nie wyklucza złożenia skargi do Prezesa UODO i na odwrót. W przypadku, gdy oba postępowania toczą się równolegle, sąd oraz Prezes UODO i sąd mają obowiązek wzajemnego przekazywania sobie informacji związanych z toczącymi się lub zakończonymi postępowaniami dotyczącymi tego samego naruszenia.

Jest to związane z tym, iż na podstawie art. 95 ustawy o UODO, sąd zobowiązany jest zawiesić postępowanie, jeśli w odniesieniu do tego samego naruszenia została już wszczęta sprawa przed Prezesem UODO (jako organem wyspecjalizowanym w rozpoznawaniu tego typu spraw). Potencjalnie może to prowadzić to znacznego wydłużenia oczekiwania na wyrok sądu cywilnego – jest ono zawieszane nie tylko na czas postępowania administracyjnego w I instancji, ale też postępowania ewentualnego postępowania sądowoadministracyjnego (aż do wydania prawomocnego orzeczenia).

Warto pamiętać, iż sąd cywilny jest jednak związany decyzją prezesa UODO, w której stwierdzono naruszenie przepisów (art. 97 ustawy o UODO). Zatem uzyskanie wcześniejszej decyzji Prezesa UODO może być o tyle korzystne, iż sąd będzie związany jego poglądem na naruszenie przepisów. Może to znacznie ułatwić uzyskanie odszkodowania. Z drugiej strony, sąd nie jest związany decyzją Prezesa UODO, w której nie stwierdził on naruszenia przepisów. Sąd ma w takiej sytuacji prawo do zajęcia odmiennego stanowiska niż urząd i uznania, że naruszenie wystąpiło.

Ujawnienie danych osobowych w sieci Podsumowanie

To, którą drogę dochodzenia naszych praw wybrać zależy od tego, czy bardziej zależy nam na usunięciu naruszenia danych czy też na odszkodowaniu (zadośćuczynieniu). Istotne jest także to, czy zależy nam na szybkim załatwieniu sprawy – w takim wypadku lepiej zdecydować się tylko na jedną formę usunięcia naruszenia. Pamiętajmy jednak o tym, że nawet odrzucenie naszej skargi lub pozwu, nie wyklucza jeszcze możliwości upomnienia się o swoje prawa za pomocą drugiego z opisywanych tutaj środków.