Za wyciek danych osobowych należy się rekompensata

Już samo poczucie zagrożenia spowodowane bezprawnym udostępnieniem informacji o kliencie wymaga zadośćuczynienia – uznał sąd w precedensowym wyroku.

Z roku na rok rośnie liczba zgłaszanych przez przedsiębiorców incydentów związanych z danymi osobowymi. Zdarza się, że wyciekają dane setek tysięcy czy nawet milionów klientów. Najsurowsza kara finansowa nałożona przez prezesa Urzędu Ochrony Danych Osobowych może się w takiej sytuacji okazać mniej dotkliwa od konieczności zapłaty choćby symbolicznej rekompensaty wszystkim poszkodowanym. A jak pokazuje wyrok, którego uzasadnienie zostało właśnie opublikowane, samo poczucie zagrożenia wywołane wyciekiem danych osobowym może zostać uznane za naruszenie dóbr osobistych, które wymaga zadośćuczynienia.

Proces był konsekwencją jednego z częściej powtarzających się błędów, czyli wysłania danych do niewłaściwego adresata. Pracownica spółki pomyliła się i wygenerowała plik z danymi 1,5 tys. klientów, które przesłała do kontrahenta. Informacje te nie zostały w żaden sposób wykorzystane, ale skoro doszło do wycieku, to firma uznała za konieczne zgłosić to zarówno prezesowi UODO, jak i samym zainteresowanych. Jedna z kobiet, której dane omyłkowo przesłano, doszła do wniosku, że naruszono w ten sposób jej dobra osobiste. W skierowanym do sądu pozwie domagała się 3 tys. zł zadośćuczynienia.

Bezsporne naruszenie

Firma przekonywała przed sądem, że nie można jej przypisać winy, gdyż do incydentu doszło w wyniku „błędu ludzkiego”, na który nie miała żadnego wpływu.

„Nie sposób było zgodzić się z taką argumentacją. Wina w tym przypadku była oczywista. Spółka ponosi odpowiedzialność za błędy popełnione przez osoby, które świadczą dla niej pracę lub usługi. Pracownica pozwanej podjęła błędne działania, które skutkowały przekazaniem danych osobowych wielu klientów osobie nieuprawnionej do ich pozyskania. Błąd ludzki w tym przypadku nie oznaczał umyślnego działania, natomiast niewątpliwie był wynikiem niedbalstwa lub lekkomyślności” - ocenił tę argumentację sąd.

Sąd nie miał wątpliwości, że doszło do naruszenia prawa do prywatności oraz wolności powódki, rozumianej jako prawo decydowania o własnych danych. Choć nie zostały one w żaden sposób wykorzystane, a wyciek nie doprowadził do szkody majątkowej, to pozostaje jeszcze kwestia naprawienia szkody niemajątkowej. Kobieta skarżyła się na poczucie zagrożenia, lęk związany z potencjalną możliwością wykorzystania jej danych.

„Poczucie naruszenia bezpieczeństwa, obawa przed niekontrolowanym wykorzystaniem danych, odczuwanie zagrożenia i niepewności - to emocje, które w sposób oczywisty negatywnie wpływają na psychikę danego człowieka. Nie ma potrzeby posiłkowania się w tym zakresie wiedzą specjalistyczną, jest to zjawisko powszechne i mieszczące się w przeciętnym doświadczeniu życiowym. Takie negatywne emocje wpływają na odczucie krzywdy, samopoczucie danej osoby, jej dobrostan psychiczny” - podkreślił sąd w uzasadnieniu wyroku.

Skład orzekający obniżył natomiast wysokość zadośćuczynienia, uznawszy, że 1,5 tys. zł będzie kwotą adekwatną do krzywdy.

- Powódka dochodziła zadośćuczynienia na podstawie bezspornego naruszenia RODO oraz naruszenia dóbr osobistych. W tym kontekście sporne pozostało jedynie ustalenie istnienia szkody niematerialnej i jej rozmiaru. Z jednej strony mamy kompensację krzywdy, a z drugiej sąd słusznie miarkował odszkodowanie, by nie było ono wzbogaceniem, a rzeczywistym zadośćuczynieniem. Jest to o tyle trudne, że jedną z funkcji zadośćuczynienia jest prewencja, a tutaj sprawca sam się przyznał, przesyłając poszkodowanej informację o naruszeniu - komentuje Tomasz Osiej, radca prawny z kancelarii OSIEJ i Partnerzy.

Zadośćuczynienie, nie kara

Przedsiębiorca argumentował, że klientka w żaden sposób nie udowodniła odniesienia szkody, nawet niemajątkowej. Sąd uznał, że nie musiała tego robić. Psychicznego poczucia krzywdy nie sposób bowiem dowieść w żaden inny sposób, niż składając zeznania.

- To dyskusyjne stanowisko. Sąd oparł się wyłącznie na odczuciach powódki, podczas gdy powinien się kierować kryteriami obiektywnymi. Zresztą przyznaje to sam sąd, pisząc w uzasadnieniu, że „poczucie naruszenia bezpieczeństwa, obawa przed niekontrolowanym wykorzystaniem danych, odczuwanie zagrożenia i niepewności to emocje, które w sposób oczywisty negatywnie wpływają na psychikę danego człowieka”. Mamy więc sprawę, której źródłem są emocje i w której to emocje zdecydowały o zasądzeniu zadośćuczynienia - komentuje dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.

Kodeks postępowania RODO zapewni lepszą ochronę danych [WYWIAD]

Zasądzoną kwotę trudno uznać za wygórowaną, raczej za symboliczną. Gdyby jednak takie samo zadośćuczynienie uzyskał każdy z 1,5 tys. klientów, których dane przesłano, to spółka musiałaby już zapłacić 2,25 mln zł. Co zaś mówić o firmach, które utraciły dane setek tysięcy klientów?

- Warto na pewno zwrócić uwagę na dużą rolę sądów w kształtowaniu się praktyki orzeczniczej dotyczącej wysokości zasądzanych zadośćuczynień, tak żeby znaleźć rozsądny balans pomiędzy wysoko wycenianymi w pozwach szkodami niemajątkowymi a ich rzeczywistą, możliwą do określenia wartością. Roszczenia nie powinny stanowić dodatkowej kary dla administratorów, tylko być wynagrodzeniem za rzeczywiście poniesioną szkodę niemajątkową. Istotny wydaje się tu cel, czyli ochrona i zadośćuczynienie, a nie dodatkowa sankcja, która w coraz lepszym stopniu jest egzekwowana chociażby poprzez nakładane przez organy nadzorcze kary administracyjne - zauważa Karol Kozieł, radca prawny kancelarii OSIEJ i Partnerzy.

Firma przekonywała dodatkowo, że pozywająca ją kobieta sama udostępniała publicznie większość danych, które zostały omyłkowo przesłane na niewłaściwy adres. Prowadzi bowiem działalność gospodarczą i udostępnia na Facebooku profil swej firmy. W ocenie sądu nie ma to jednak żadnego znaczenia w kontekście naruszenia dóbr osobistych powódki.

„Czym innym jest dobrowolne, intencjonalne i dokonane za zgodą danej osoby upublicznienie swoich danych jako przedsiębiorcy, a czym innym niekontrolowane przekazanie informacji o osobie fizycznej bliżej nieznanemu podmiotowi, który może wykorzystać je w dowolny sposób. Prywatność to dobro odnoszące się do faktów z życia człowieka, co do których musi on wyraźnie zgodzić się na ich upublicznienie. Przejawem wolności jest możliwość decydowania o tym, jak i przez kogo takie dane zostaną wykorzystane. Ujawnienie pewnych informacji w sieci nie oznacza zgody na przekazywanie własnych danych osobowych innym podmiotom w transakcjach handlowych, które to informacje mogą one następnie wykorzystać w sposób pozbawiony kontroli osoby, której dotyczą” - podkreślił sąd w uzasadnieniu orzeczenia. ©℗