Wszyscy dobrze pamiętamy rewolucję, która zaczęła się 25 maja 2018 roku w Polsce – znikające imiona i nazwiska z tabliczek przydrzwiowych, brak informacji na gabinecie u lekarza a nawet szkolne konsternacje „czy można wywołać wyróżnionego ucznia podczas akademii czy będzie to już naruszenie RODO ?”. RODO sprawiło, że przez kilka – a może nawet kilkanaście – miesięcy, poruszaliśmy się jak dziecko we mgle, nie wiedząc dokładnie w jaki sposób wdrożyć nowe rozwiązania prawne.
Nie budzi jednak wątpliwości, że jego wdrożenie było i jest konieczne, chociażby ze względu na ciągły rozwój technologiczny, który nie tworzy przestrzeni do bezpiecznego wprowadzania i przechowywania informacji o nas lub z nami związanymi – chociażby w Internecie. Przepisy te nałoży dużo obowiązków, ale przyznały też nowe prawa osobom, których dane są przetwarzane.
Prawo do odszkodowania za naruszenie RODO
Unijne rozporządzenie przyznaje każdej osobie, która poniosła jakąkolwiek szkodę w związku z naruszeniem przepisów o ochronie jej danych osobowych prawo do odszkodowania.
Za typowe przykłady naruszenia RODO uznaje się:
- poufności – np. gdy twój pracownik wyśle przypadkowo bazę danych osobowych klientów do osoby postronnej lub niewłaściwego działu firmy
- dostępności – np. gdy zaginie pendrive z bazą danych klientów
- integralności – np. gdy pracownik dla żartu zmieni nazwiska klientów
źródło przykładów: https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/889
Zarówno RODO jak i polska ustawa o ochronie danych osobowych nie określają jakie i w jakiej kwocie takie odszkodowanie przysługuje.
Czy odszkodowanie przysługuje za każde naruszenie ochrony danych osobowych
Odpowiedź na to pytanie może wydawać się oczywista i każdy uznałby, że tak. Skoro bowiem przepisy są tak rygorystyczne i wielu do dzisiaj spędzają sen z powiek, to nie powinno być inaczej.
Wielu czytelników może jednak poczuć się zaskoczona, albowiem w jednym z ostatnich wyroków Trybunał Sprawiedliwości Unii Europejskiej w sprawie C-300/21 z pytania prejudycjalnego Sądu Najwyższego Austrii przeciwko Österreichische Post AG (austriacki odpowiednik Poczty Polskiej) orzekł, że samo naruszenie przepisów RODO nie wystarcza do przyznania prawa do odszkodowania.
Trybunał wskazał także, że przepisy uprawniające do jego uzyskania należy interpretować w ten sposób, aby nie były one sprzeczne z krajowymi przepisami (lub praktykami) w sprawach odszkodowawczych oraz że kwota przyznanego odszkodowania zależy od prawa wewnętrznego państwa członkowskiego Unii Europejskiej dotyczącego zakresu odszkodowania pieniężnego.
Pełna treść orzeczenia dostępna jest tutaj: https://curia.europa.eu/juris/documents.jsf?num=C-300/21
Co tak naprawdę oznacza wyrok TSUE
Postępowanie sądowe w sprawach o roszczenie z tytułu naruszenia przepisów RODO rozpoznawane są w Polsce na podstawie przepisów kodeksu postępowania cywilnego. Wydane orzeczenie Trybunału Sprawiedliwości ustala normę, że w takim postępowaniu, do ustalenia wysokości odszkodowania będą miały zastosowania przepisów kodeksu cywilnego w tym w szczególności art. 361 i 363 mówiące o tym, że zobowiązany do odszkodowania ponosi odpowiedzialność tylko za normalne następstwa działania lub zaniechania oraz że jeżeli naprawienie szkody ma nastąpić w pieniądzu, wysokość odszkodowania powinna być ustalona według cen z daty ustalenia odszkodowania.
To powoduje, że poszkodowany przez naruszenie RODO będzie musiał wykazać faktyczną szkodę i jej związek z działaniem administratora, a samo roszczenie odszkodowacze nie będzie spełniało funkcji „kary” cywilnej, a jedynie zmierzało do usunięcia normalnych następstw powstałej szkody.