Odszkodowania za utratę danych osobowych z portalu

Odpowiedzialność administratora

Niestety, obecne rozwiązania prawne nie są zbyt korzystne dla właścicieli utraconych danych. Owszem, firma, której zaniedbania doprowadziły do wycieku informacji narażona jest zarówno na sankcje o charakterze rozsianym, czyli nieformalnym, takich jak utrata reputacji, oraz o charakterze zinstytucjonalizowanym, inaczej formalnym – tutaj mowa jest o grzywnie bądź ograniczeniu a nawet pozbawieniu wolności osoby odpowiedzialnej za zaistniałą sytuację. Dodatkowo, aby jeszcze lepiej chronić poufne dane, Generalny Inspektor Ochrony Danych Osobowych ma prawo do kontroli firm przetwarzających i gromadzących dane osobowe, oraz do wydawania zaleceń jeżeli zabezpieczenia stosowane w kontrolowanej firmie okazują się niewystarczające. Jednakże co do osoby poszkodowanej, aktualne przepisy pozostawiają wiele do życzenia.

INFORAKADEMIA poleca: Legalność przetwarzania danych osobowych

Prawa poszkodowanych

Mimo surowości wobec podmiotów odpowiedzialnych za ochronę poufnych danych, prawo nie nakłada na nie obowiązku wypłaty odszkodowania na rzecz właściciela utraconych informacji, co wydaje się nieco kontrowersyjne. Na szczęście nie oznacza to całkowitej bezsilności strony poszkodowanej. Ma ona bowiem prawo do domagania się odszkodowania na podstawie przepisów prawa cywilnego - dokładnie chodzi o art. 24 oraz 448 Kodeksu cywilnego. Jednak ta procedura wymaga skierowania sprawy na drogę sądową; wniesienia pozwu  a potem wykazania przez stronę poszkodowaną zaistnienia szkody spowodowanej na skutek bezprawnego ujawnienia danych poufnych oraz winy sprawcy zaistniałej sytuacji.

Odszkodowanie można uzyskać łatwiej, gdyby wyciek informacji skutkował naruszeniem dóbr osobistych, co w konsekwencji doprowadziło do ryzyka utraty zdrowia, życia, wolności, bądź naruszenia tajemnicy korespondencji. Wtedy powód wykazuje naruszenie konkretnego dobra, a firma lub instytucja, która doprowadziła do utraty danych musi wykazać, że nie doszło do złamania prawa. Jest to niejako odwrócenie zasady domniemania niewinności, ponieważ to sprawca udowadnia swoją niewinność, a nie „ofiara” jego winę.

Z drugiej strony, uzyskanie odszkodowania będzie trudniejsze, jeżeli firma przetwarzające dane padła ofiarą cyberataku mimo zastosowania wszelkich koniecznych środków zabezpieczających.

Nowe prawo

Na szczęście taka sytuacja wkrótce zmieni się na korzyść podmiotów poszkodowanych, a to dzięki nowym unijnym przepisom, zawartym w unijnym rozporządzeniu RODO.

„RODO”, inna nazwa „GDPR” lub „Ogólne Rozporządzenie o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie weszło w życie 17 maja 2016 r. ale zacznie  obowiązywać bezpośrednio w poszczególnych krajach UE od dnia 25 maja 2018 r. Rozporządzenie dotyczyć będzie wszystkich, przetwarzających dane osobowe w związku z prowadzoną działalnością gospodarczą.

Na mocy nowych przepisów,  osobom, których dotyczą utracone, bądź bezprawnie udostępnione dane, przysługiwać będą roszczenia odszkodowawcze w stosunku do administratora danych oraz podmiotu przetwarzającego dane w jego imieniu. Odszkodowanie będzie przysługiwać zarówno za poniesione szkody  o charakterze majątkowym jak i niemajątkowym, np. poczucie dyskomfortu wywołane przez niezgodne z prawem przetwarzanie danych poufnych.

Wysokość odszkodowania

Kwestia wysokości możliwego do uzyskania odszkodowania jest dla osób poszkodowanych niesłychanie istotna, ale jednocześnie trudna do sprecyzowania; nie można bowiem podać konkretnej kwoty przysługującej za utratę konkretnych danych. Wysokość odszkodowania będzie zatem zależeć od wysokości poniesionych strat, które przed sądem będzie musiał wykazać poszkodowany, co w odniesieniu do    szkód niematerialnych może być bardzo trudne. Przyjmuje się, że zasady szacowania wysokości odszkodowań będą musiał być wyinterpretowane z definicji przetwarzania danych osobowych zawartej w ogólnym rozporządzeniu o ochronie danych:

„...Jak wynika z treści art. 4 ogólnego rozporządzenia o ochronie danych, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie...”

Takie podejście da szerokie pole do popisów dla prawników specjalizujących się z sprawach odszkodowawczych.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach