Naruszenie bezpieczeństwa danych osobowych
Zgodnie z rozporządzeniem 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (znane bardziej jako RODO), naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Zniszczenie danych polega na ich unicestwieniu – przestają one w ogóle istnieć w ogóle lub niemożliwe jest ich dalsze wykorzystanie.
Utrata danych oznacza np. utratę dostępu do nich Modyfikacja oznacza naruszenie ich integralności, zaś nieuprawnione ujawnienie danych osobowych i nieuprawniony dostęp do nich obejmują przypadki ujawnienia lub udostępnienia tych danych odbiorcom, którzy nie mają uprawnień do ich otrzymania lub uzyskania do nich dostępu. Naruszenie nie musi mieć charakteru umyślnego.
Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Może to być imię, nazwisko, numer dowodu osobistego, dokumentacja medyczna czy numer PESEL. Daną osobową może być także nasze zdjęcie lub wizerunek, jeśli pozwalają na naszą identyfikację.
Co gdy nasze dane osobowe zostaną ujawnione? RODO oraz ustawa o ochronie danych osobowych (UODO) przewidują dla obywatela zasadniczo dwie drogi – administracyjną oraz sądową. Obie jednak różnią się od siebie i mają odmienne cele.
Ujawnienie danych osobowych w internecie – skarga do Prezesa Urzędu Ochrony Danych Osobowych (UODO)
Pierwszą możliwą drogą jest złożenie skargi do Prezesa UODO. Celem tego postępowania jest ustalenie, czy nastąpiło naruszenie przepisów o ochronie danych osobowych, a jeśli tak, to jakie działania powinny być podjęte, aby usunąć naruszenia i przywrócić stan zgodności z prawem. Postępowanie to ma charakter administracyjny i kończy się wydaniem decyzji.
Bez wątpienia dużą zaletą tego trybu postępowania jest to, że złożenie skargi jest całkowicie bezpłatne – jedyne wydatki z nim związane to ewentualna opłata za pełnomocnictwo. Skarga musi zawierać elementy właściwe dla podania w postępowaniu administracyjnym.
W decyzji Prezes UODO nakazać może przywrócenie stanu zgodnego z prawem. Decyzja taka zostanie wydana, jeżeli naruszenie będzie nadal istnieć w dniu wydawania decyzji – jeżeli nieprawidłowości zostały w trakcie postępowania usunięte, wówczas postępowanie staje się bezprzedmiotowe (co skutkować będzie jego umorzeniem).
Nawet jednak w przypadku wcześniejszego usunięcia nieprawidłowości, Prezes UODO może nałożyć karę pieniężną za naruszenie przepisów o ochronie danych osobowych.
Prezes UODO wyposażony został ponadto w instrumenty zapewniające wykonanie decyzji przez podmiot, który naruszył przepisy o ochronie danych osobowych: służą temu środki egzekucyjne w celu przymuszenia do wykonania obowiązku wskazane w ustawie o postępowaniu egzekucyjnym w administracji.
Teoretycznie sprawa powinna zostać rozpatrzona w ciągu jednego miesiąca – w praktyce jednak, ze względu na dużą liczbę postępowań, należy przygotować się na wielomiesięczne oczekiwanie na decyzję. Jednak prezes UODO, zawiadamiając strony o niezałatwieniu sprawy w terminie, jest obowiązany również poinformować o stanie sprawy i przeprowadzonych w jej toku czynnościach.
Warto pamiętać, iż postępowanie przed Prezesem UODO jest jednoinstancyjne i nie przysługuje od decyzji odwołanie – możliwe jest jedynie zaskarżenie jej do Wojewódzkiego Sądu Administracyjnego.
Postępowanie cywilne o zadośćuczynienie lub odszkodowanie
Skarga do Prezesa UODO, jakkolwiek stosunkowo tania oraz wygodna, zapewnia jedynie naprawienie stanu niezgodnego z prawem, tj. usunięcie naruszenia przepisów o ochronie danych osobowych. Nie wynagradza jednak szkody (materialnej lub niematerialnej), którą mogliśmy ponieść wskutek tego ujawnienia. O naruszeniu oraz rekompensacie zadecydować może jednak sąd.
Obecnie obowiązujące przepisy przewidują dwie możliwe podstawy uzyskania rekompensaty na drodze sądowej.
Zgodnie z art. 82 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Administratorem jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Podmiot przetwarzający to osoba dokonująca przetwarzania danych w imieniu administratora.
Drugą podstawą do uzyskania odszkodowania może być art. 24 Kodeksu cywilnego: ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. Również w kontekście tego przepisu można mówić zarówno o szkodach majątkowych jak i niemajątkowych.
Obydwie podstawy do złożenia pozwu są odrębne i nie należy ich ze sobą łączyć.
Pozew jest opcją bardziej kosztowną niż skarga do prezesa UODO – podlega bowiem opłacie stałej w wysokości 600 zł.
Pozew można złożyć albo przed sąd właściwy dla siedziby administratora lub podmiotu przetwarzającego, albo przed sądem właściwym dla miejsca stałego pobytu osoby, której dane dotyczą. Sprawę rozpatruje sąd okręgowy.
Bardzo istotną kwestią jest przeniesienie ciężaru dowodowego w przypadku złożenia skargi w związku z art. 82 RODO – ciąży on bowiem na pozwanym. To administrator lub przetwarzający dane musi udowodnić, iż naruszenie przepisów nie wynikało ,,z jego winy” (jak głosi polska wersja RODO – wydaje się jednak, iż w kontekście anglojęzycznej wersji tego rozporządzenia, bardziej zasadne byłoby mówienie o braku bezprawności w naruszeniu). Stanowi to znaczne wzmocnienie sytuacji procesowej powoda.
W kontekście przepisów RODO nie jest do końca jasne, czy możliwe odszkodowanie (zadośćuczynienie) musi mieć charakter pieniężny. Niewykluczone, że możliwe jest wystąpienie o inne formy naprawienia szkody znane polskiemu prawu cywilnemu.
Postępowanie przed sądem a przed Prezesem UODO
Przepisy ustawy o ochronie danych osobowych jasno precyzują relacje między obiema procedurami. Złożenie pozwu nie wyklucza złożenia skargi do Prezesa UODO i na odwrót. W przypadku, gdy oba postępowania toczą się równolegle, sąd oraz Prezes UODO i sąd mają obowiązek wzajemnego przekazywania sobie informacji związanych z toczącymi się lub zakończonymi postępowaniami dotyczącymi tego samego naruszenia.
Jest to związane z tym, iż na podstawie art. 95 ustawy o UODO, sąd zobowiązany jest zawiesić postępowanie, jeśli w odniesieniu do tego samego naruszenia została już wszczęta sprawa przed Prezesem UODO (jako organem wyspecjalizowanym w rozpoznawaniu tego typu spraw). Potencjalnie może to prowadzić to znacznego wydłużenia oczekiwania na wyrok sądu cywilnego – jest ono zawieszane nie tylko na czas postępowania administracyjnego w I instancji, ale też postępowania ewentualnego postępowania sądowoadministracyjnego (aż do wydania prawomocnego orzeczenia).
Warto pamiętać, iż sąd cywilny jest jednak związany decyzją prezesa UODO, w której stwierdzono naruszenie przepisów (art. 97 ustawy o UODO). Zatem uzyskanie wcześniejszej decyzji Prezesa UODO może być o tyle korzystne, iż sąd będzie związany jego poglądem na naruszenie przepisów. Może to znacznie ułatwić uzyskanie odszkodowania. Z drugiej strony, sąd nie jest związany decyzją Prezesa UODO, w której nie stwierdził on naruszenia przepisów. Sąd ma w takiej sytuacji prawo do zajęcia odmiennego stanowiska niż urząd i uznania, że naruszenie wystąpiło.
Ujawnienie danych osobowych w sieci Podsumowanie
To, którą drogę dochodzenia naszych praw wybrać zależy od tego, czy bardziej zależy nam na usunięciu naruszenia danych czy też na odszkodowaniu (zadośćuczynieniu). Istotne jest także to, czy zależy nam na szybkim załatwieniu sprawy – w takim wypadku lepiej zdecydować się tylko na jedną formę usunięcia naruszenia. Pamiętajmy jednak o tym, że nawet odrzucenie naszej skargi lub pozwu, nie wyklucza jeszcze możliwości upomnienia się o swoje prawa za pomocą drugiego z opisywanych tutaj środków.
FAQ
To zależy przede wszystkim od stopnia i skali wycieku danych. Rozporządzenie ani ustawy szczególne nie przewidują granic, w ramach których można się ubiegać o odszkodowanie. Co do zasady wyliczenie wartości przedmiotu sporu w sprawach o odszkodowanie i zadośćuczynienie jest trudne i powinno się odbywać w oparciu o inne podobne sprawy, które już zostały prawomocnie rozstrzygnięte.
Kara za naruszenie RODO, którą może nałożyć Prezes UODO zależy od wielu czynników, przede wszystkim od stopnia i skali naruszenia, a także czasu jego trwania. W oderwaniu od konkretnego stanu faktycznego w zasadzie nie jesteśmy w stanie odpowiedzieć, ile wynoszą kary za naruszenie RODO. Jest to możliwe dopiero po analizie konkretnego przypadku i rozstrzygnięć podobnych.
Wymóg reprezentacji przed sądem przez radcę prawnego lub adwokata (tzw. przymus adwokacko-radcowski) co do zasady ograniczony jest wyłącznie do najtrudniejszych postępowań, takie jak postępowania przed SN, NSA czy TK. Teoretycznie zatem przez Prezesem UODO podmiot nie musi być reprezentowany przez profesjonalnego pełnomocnika. Niemniej jednak strona reprezentowana zawsze może być spokojniejsza m.in. o terminy czy strategię procesową, ponieważ będzie się nimi opiekował radca prawny czy adwokat. Z tego powodu w przypadku wszczęcia takiego postępowania warto rozważyć, czy skorzystanie z pomocy prawnej nie polepszy pozycji w procesie.
Zaufali nam: