Czy wystarczy uzasadniona obawa o wyciek danych, by domagać się odszkodowania?

Prezes UODO wskazał, że orzeczenie TSUE dotyczące prawa do zadośćuczynienia za niezgodne z prawem przetwarzanie danych osobowych może wpływać na postępowania odszkodowawcze w tej sprawie. Prawnicy tłumaczą, jak dochodzić takich roszczeń.

Publikacja: 14.01.2025 07:04

Czy wystarczy uzasadniona obawa o wyciek danych, by domagać się odszkodowania?

Foto: Adobe Stock

Szymon Cydzik

Wyjaśnienia prezesa Urzędu Ochrony Danych Osobowych skierowane do Kancelarii Premiera dotyczą wyroku TSUE z 20 czerwca 2024 r. w sprawie o sygn. C-590/22 PS. Trybunał odniósł się w nim do pytań prejudycjalnych dotyczących dochodzenia roszczenia z tytułu szkody niemajątkowej za naruszenie przepisów RODO (art. 82 ust. 1 tego rozporządzenia). Wskazał, że dochodzenie takiego roszczenia wymaga wykazania, że powstała szkoda (nie wystarczy sam fakt naruszenia przepisów). Nie ma przy tym żadnego minimalnego progu wartości, jaki ta szkoda musi osiągnąć, ale od jej wielkości zależy jednak wysokość odszkodowania. Niezbędny jest związek przyczynowo-skutkowy między naruszeniem a szkodą.

Czytaj więcej

Dane osobowe

Kradzież danych osobowych ze szpitala. Co mogą zrobić pacjenci?

Po tym, gdy we włocławskim szpitalu doszło do włamania do skrzynki mailowej sekretariatu, pytamy ekspertów, co mogą teraz zrobić pacjenci i jak ochronić się przed takimi zdarzeniami w przyszłości. Pierwszym krokiem może być zastrzeżenie numeru PESEL.

W dalszej kolejności TSUE wskazał, że dla uzasadnienia prawa do odszkodowania wystarczy jedynie obawa osoby, której dane dotyczą, że w wyniku naruszenia trafiły one do osób trzecich. Wyrażając taką obawę, trzeba jednak wskazać negatywne skutki ujawnienia danych, których ona dotyczy, oraz należycie ją uzasadnić. W polskim prawie dopuszczalne jest bowiem uznanie samej obawy za szkodę niemajątkową. Na koniec TSUE dodał, że odszkodowanie, w odróżnieniu od kary, nie ma mieć funkcji odstraszającej, a zatem przy określaniu jego wysokości nie można stosować odpowiednio przepisów o wysokości kary.

Prezes UODO dodał, że choć orzeczenie TSUE nie rodzi konieczności zmiany przepisów krajowych, to może mieć wpływ na postępowania odszkodowawcze w tego typu sprawach.

Im lepiej udokumentowane obawy o naruszenie danych, tym wyższe zadośćuczynienie

Radca prawny Jakub Wezgraj z kancelarii ODOekspert podkreśla, że dochodzenie zadośćuczynienia finansowego trzeba powiązać z obowiązkami administratora danych. To on bowiem stwierdza, że doszło do naruszenia, i musi o tym poinformować osobę, której dane dotyczą. Obejmuje to też informację, na czym polegało naruszenie, jakie skutki może wywołać dla praw i wolności konkretnej osoby, oraz jak można temu przeciwdziałać we własnym zakresie, a także jakie działania podjął sam administrator.

– Takiej osobie już wówczas przysługuje roszczenie odszkodowawcze, nie musi ona już nic wykazywać, gdyż fakt naruszenia został stwierdzony przez administratora – tłumaczy ekspert. – Gdy zainteresowany dostaje taką wiadomość i obserwuje jakieś „dziwne działania” wobec siebie, to faktycznie może mieć uzasadnione obawy, że są to skutki wspomnianego naruszenia. Im bardziej jest w stanie to udokumentować, tym bardziej wskazuje poziom uszczerbku w swoich dobrach osobistych, co może mieć wpływ na poziom naruszenia tych dóbr, a co za tym idzie, wysokość zadośćuczynienia finansowego – dodaje.

Czytaj więcej

Opinie Prawne

Mirosław Wróblewski: Ochrona prywatności i danych osobowych jako prawo człowieka

Konieczne jest aktualizowanie uprawnień organów ochrony danych osobowych, zwłaszcza w odniesieniu do nowych technologii.

Inna jest sytuacja, gdy to dana osoba dowiaduje się o naruszeniu z innych źródeł niż administrator danych.

– Wówczas początkiem jest obawa, że dane wyciekły. Później trzeba je zaadresować – ustalić, skąd te dane wyciekły. Ale obarczanie kogoś odpowiedzialnością za wyciek, jeśli zainteresowany nie ma na to dowodów, jest obawą nieuzasadnioną. To na razie tylko przypuszczenia i można z nimi iść do sądu, ale on pewnie zapyta o dowody, a zainteresowany raczej ich nie ma, chyba że sam znajdzie swoje dane w internecie z plikami wskazującymi, od kogo one pochodzą. Jeśli uda się udowodnić, że do wycieku doszło, to już sam jego fakt jest podstawą do roszczeń z tytułu naruszenia dóbr osobistych – wyjaśnia Jakub Wezgraj.

I dodaje, że nie trzeba wykazywać winy za wyciek, a jedynie wskazać, kogo pozywamy i dlaczego akurat jego (a więc potwierdzić związek przyczynowo-skutkowy wycieku i działania administratora).

Mało pozwów o odszkodowanie za naruszenie RODO przez brak informacji i skomplikowane przepisy

Z kolei prof. Grzegorz Sibiga, adwokat z kancelarii Traple Konarski Podrecki i Wspólnicy, wskazuje że w warunkach polskich pismo prezesa UODO należy bardziej traktować jako „ćwiczenie intelektualne” niż urzędowe stanowisko mające wpływ na realną odpowiedzialność za naruszenia przepisów RODO.

– Dzieje się tak na ze względu na niewielką skalę pozwów wnoszonych do polskich sądów na podstawie art. 82 RODO. Przyczyną takiego stanu jest brak polityki informacyjnej czy wręcz porad dla zainteresowanych oraz komplikujące RODO przepisy ustawy o ochronie danych osobowych – tłumaczy.

Czytaj więcej

Dane osobowe

Wyciek danych studentów i absolwentów SGH. Jest decyzja sądu

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Szkoły Głównej Handlowej w Warszawie na decyzję Prezesa UODO w sprawie kary za zignorowanie obowiązków administratora danych osobowych studentów i absolwentów.

I dodaje, że polska ustawa w zakresie nieuregulowanym RODO odsyła do przepisów kodeksu cywilnego, przez co do końca nie wiadomo, jakie są relacje roszczenia z art. 82 do przepisów dotyczących dóbr osobistych. Dodatkowo ustawa przewiduje znaczący wpływ prezesa UODO na postępowanie sądowe, gdyż sąd musi zawiesić postępowanie, jeśli sprawą administracyjnie zajmuje się prezes; sąd jest też związany decyzją prezesa UODO stwierdzającą naruszenie prawa.

– Z drugiej strony odesłanie do przepisów k.c. zawarte w ustawie o ochronie danych osobowych umożliwia sądom skorzystanie z całego dotychczasowego dorobku judykatury dotyczącego zadośćuczynienia z tytułu naruszenia dóbr osobistych, w tym dotyczącego miarkowania jego wysokości oraz podstaw do stwierdzania naruszenia – wskazuje Grzegorz Sibiga. – W aparacie państwa nie ma widocznego „gospodarza” dla tematu odpowiedzialności cywilnoprawnej za naruszenie przepisów o ochronie danych osobowych. Nie jest nim ani minister sprawiedliwości, ani prezes UODO. Nikt nie publikuje statystyk dotyczących tych spraw ani nie prowadzi praktycznej edukacji społeczeństwa w kierunku korzystania ze środków ochrony sądowej przewidzianej w RODO – podsumowuje ekspert.

Dane Osobowe Sądy i Trybunały Tsue Urząd Ochrony Danych Osobowych (UODO)

Pozostało jeszcze 90% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

Prawo w Polsce

Sprawa dotacji dla PiS. Czy PKW wybrnie z impasu?

Niewykluczone, że w najbliższy czwartek Państwowa Komisja Wyborcza wróci do sprawy dotacji dla PiS. Jakie są możliwe scenariusze postępowania?

Materiał Promocyjny

130 lat Škody – atrakcyjne upusty i dni otwarte 13–18 stycznia

Podatki

Ważny wyrok ws. prawa do ulgi przy darowiźnie od najbliższej rodziny

Darowizna pieniężna przekazywane na rachunek służący spłacie obciążającego obdarowanego kredytu bankowego, spełnia warunek udokumentowania i korzysta z pełnego zwolnienia dla zerowej grupy podatkowej czyli najbliższej rodziny.

Niższe opłaty za abonament RTV tylko do 25 stycznia. Jak skorzystać z obniżki?

Konsumenci

Obniżka opłat za abonament RTV na 2025 rok. Trzeba zdążyć przed tym terminem

Poczta Polska informuje o obniżce opłat za abonament RTV, z której można skorzystać do 25 stycznia. Mogą na nią liczyć osoby, które zapłacą abonament za cały rok z góry. Zaoszczędzić można również płacąc za okres dłuższy niż miesiąc.

Nieruchomości

Dom zostawiony rodzinie w kraju nie przechodzi na własność. Sąd Najwyższy o zasiedzeniu

Rodzinna opieka nad nieruchomością na czas przejściowy, choć bardzo się przedłużający, nie prowadzi do jej zasiedzenia.

Materiał Promocyjny

Berlingo Van od 69 900 zł netto - postaw na profesjonalizm w każdym szczególe!

Od 1 stycznia 2025 r. obowiązują nowe zasady dotyczące wydawania zezwoleń na amatorski połów ryb

W sądzie i w urzędzie

Duże zmiany dla wędkarzy od 1 stycznia. Ile trzeba zapłacić w 2025 na łowiskach Wód Polskich?

Od nowego roku wędkarzy czeka sporo zmian dotyczących dostępu do polskich łowisk oraz opłat za wydanie zezwoleń na amatorski połów ryb. Wszystko z powodu zamknięcia programu „Nasze Łowiska”. Jakie zasady obowiązują obecnie?

Materiał Promocyjny

Lexus ES. Teraz z korzyścią do 20%. Odkryj doskonały rocznik w doskonałej cenie.

prof. Patrycja Grzebyk, Uniwersytet Warszawski

Prawo dla profesjonalistów

Każde naruszenie prawa międzynarodowego wiąże się z odpowiedzialnością

Politykom zdarzają się nieszczęśliwe wypowiedzi, czasami wręcz głupie. Ważne, by potrafili się do tego przyznać. Możliwość wyjścia z twarzą z kompromitacji, jaką są gwarancje dla Beniamina Netanjahu, rząd wciąż ma – mówi w magazynie prawnym „Rzeczpospolitej” prof. Patrycja Grzebyk.

Nieruchomości

Resort Bodnara szykuje poważną zmianę w dostępie do ksiąg wieczystych on-line

Ministerstwo Sprawiedliwości proponuje wprowadzenie obowiązkowej weryfikacji użytkowników chcących uzyskać dostęp do treści ksiąg wieczystych.

Sędzia Włodzimierz Wróbel na sali rozpraw w Sądu Najwyższego

Prawo w Polsce

Ustawa Hołowni. Prof. Wróbel: nie będziemy uczestniczyć w fikcjach

Gdyby próbowano tworzyć składy mieszane, to my nie będziemy uczestniczyć w fikcjach - zapowiedział sędzia Sądu Najwyższego, prof. Włodzimierz Wróbel, komentując tzw. ustawę incydentalną marszałka Szymona Hołowni.

Podatki

Sąd: o PIT od zbycia majątku nie decyduje tylko data wykreślenia firmy z CEIDG

Data formalnego wykreślenia firmy z Centralnej Ewidencji i Informacji o Działalności Gospodarczej nie jest jedyną okolicznością przesądzającą o tym, kiedy podatnik zaprzestał działalności.

Administracja

Czy radny powiatu może prowadzić prywatną szkołę?

Zakazu prowadzenia działalności gospodarczej z wykorzystaniem mienia powiatu nie można rozciągnąć na prowadzenie szkoły niepublicznej.

Przewodnicząca Krajowej Rady Sądownictwa Dagmara Pawelczyk-Woicka

Sądy i trybunały

Przewodnicząca KRS: MS dwoi się i troi, by uniemożliwić nam funkcjonowanie

Działalność stowarzyszeń sędziowskich niestety pogłębia chaos w sądownictwie. Wyniki pracy sądów, zwłaszcza w sprawach karnych, będą stale się pogarszać, jeśli ktoś tego szaleństwa nie powstrzyma – mówi „Rzeczpospolitej” przewodnicząca Krajowej Rady Sądownictwa Dagmara Pawelczyk-Woicka.

Administracja

Skarżenie miejscowego planu zagospodarowania przestrzennego

Legalność miejscowego planu zagospodarowania przestrzennego może zostać zakwestionowana poprzez wniesienie skargi do wojewódzkiego sądu administracyjnego.

Premier Donald Tusk (L) i minister sprawiedliwości Adam Bodnar (P) podczas posiedzenia rządu w KPRM

Opinie Prawne

Piotr Szymaniak: Jak rząd pozbawił się legitymacji do przywracania praworządności

Jeśli jedną ręką władza zamierza dobić sądownictwo weryfikacją statusu jednej trzeciej sędziów z powodu wadliwego procesu powołania, a drugą macha na pociągnięcie do odpowiedzialności osoby podejrzewanej o popełnienie zbrodni przeciwko ludzkości, to chyba coś jest nie tak.