Słyszeliście o setkach tysięcy dolarów odszkodowania, które otrzymała kobieta w USA za to, że poparzyła się kawą w fastfoodzie? W związku z wejściem w życie RODO niektórzy stwierdzili, że w naszym kraju będzie podobnie – przepisy tego rozporządzenia umożliwiają bowiem dochodzenie odszkodowania od podmiotu, który niezgodnie z prawem przetwarza dane osobowe.
Wydawałoby się więc, że wystarczy zacząć wysyłać wezwania do zapłaty tym firmom, które przysyłają do nas niezamówione wiadomości marketingowe albo nie spełniają obowiązków informacyjnych dot. przetwarzania danych osobowych.
Czy odszkodowanie za niezgodne z RODO przetwarzanie danych można w rzeczywistości uzyskać? I skąd się to wszystko wzięło?
Przepis art. 82 RODO wprowadził nowość nieznaną wcześniej polskiej ustawie o ochronie danych osobowych. Mówi on o tym, że osoba, której dane były przetwarzane niezgodnie z prawem może żądać odszkodowania od administratora danych. Innymi słowy, jeżeli ktoś przetwarza twoje dane osobowe niezgodnie z przepisami RODO, możesz żądać od niego kwoty pieniędzy, która stanowiła będzie swoistą rekompensatę za to, że Twoje dane były przetwarzane niezgodnie z prawem.
Za co więc w praktyce możesz uzyskać odszkodowanie?
za to, że ktoś sprzedał Twoje dane osobowe innej firmie, pomimo tego, że nie miał na to Twojej zgody i teraz otrzymujesz mnóstwo spamu,
za to, że jakaś firma lub organizacja (np. przychodnia) popełniła błędy, które skutkowały wyciekiem danych dotyczących Twojego stanu zdrowia,
za to, że ktoś opublikował zdjęcia, które przedstawiają Ciebie w zawstydzającej Cię sytuacji, pomimo iż nie miał do tego jakichkolwiek podstaw prawnych,
za to, że ktoś omyłkowo wysłał do obcego człowieka dane dotyczące negocjowanej przez Ciebie umowy i przez to straciłeś możliwość zdobycia nowej pracy.
Gdzie jest haczyk?
O tym, że możesz otrzymać odszkodowanie za to, że ktoś niezgodnie z prawem przetwarzał Twoje dane osobowe możesz przeczytać w bardzo wielu miejscach. Ale w niewielu z tych miejsc przeczytasz, że aby w wyroku sąd zasądził na Twoją rzecz jakieś pieniądze, musisz wykazać, że poniosłeś szkodę.
Dotyczy to zarówno szkody majątkowej, jak i niemajątkowej.
Jak wykazać szkodę w związku z naruszeniem RODO?
Szkoda majątkowa to sytuacja, gdy w związku z przetwarzaniem Twoich danych osobowych straciłeś jakieś pieniądze. Innymi słowy, np. ktoś wszedł w posiadanie informacji o Tobie, które umożliwiły mu np. skorzystanie z pieniędzy, które miałeś na swoim koncie bankowym. Dotyczy to także tzw. utraconych korzyści – czyli, ogólnie rzecz biorąc, tych pieniędzy które mógłbyś zarobić/otrzymać, gdyby Twoje dane nie wyciekły (tak jak przypadku przykładu wskazanego powyżej, który dotyczy tego, że przez wyciek danych nie zawarłeś ważnej dla Ciebie umowy).
Czasami nie stracisz żadnych pieniędzy, ale przez fakt, że doszło do wycieku danych będziesz czuł się źle. Będzie tak np. gdy w Internecie pojawią się informacje o Twoim stanie zdrowia. W takim przypadku również możesz domagać się odszkodowania – stanowi to bowiem tzw. szkodę niemajątkową.
I uwaga – administrator, który naruszył przepisy RODO musi ponosić winę za to co się stało. Przykładowo, jeżeli Twoje dane wyciekły bo administrator nie wdrożył odpowiednich środków bezpieczeństwa, oczywiście ponosi on winę za to co się stało – działał bowiem niezgodnie z przepisami RODO.
Natomiast gdy wyciek danych był spowodowany np. takim zdarzeniem przed którym administrator nie mógł się zabezpieczyć (np. atak dobrze zorganizowanych i uzbrojonych terrorystów) to winy nie ponosi.
Do jakiego sądu iść?
Możesz iść do tego sądu, w którego kraju siedzibę lub jednostkę organizacyjną ma administrator danych lub podmiot przetwarzający, który doprowadził do naruszenia przepisów RODO. Możesz także iść do sądu w kraju, w którym masz miejsce zwykłego pobytu. Przykładowo, jeżeli mieszkasz w Polsce, a do naruszenia Twoich praw wynikających z RODO doprowadziła organizacja, która ma siedzibę we Francji, a jednostkę organizacyjną, która zajmowała się obsługą Ciebie jako klienta, w Niemczech, możesz złożyć pozew przed sądem jednego z tych trzech krajów. Wybór należy do Ciebie. Nie dotyczy to sytuacji gdy przepisy zostały naruszone przez organ publiczny – w takim przypadku możesz go pozwać tylko w kraju, w którym znajduje się ten organ.
W Polsce sądem właściwym do rozpoznawania tego typu spraw – bez względu na wartość przedmiotu sporu (czyli bez względu na to, jakiej kwoty się domagasz) – będzie Sąd Okręgowy.
Co gdy kilku administratorów przetwarzało moje dane razem (jako współadministratorzy)?
W takim przypadku możesz pozwać każdego z nich osobno (i wystarczy pozwać tylko jednego) albo wszystkich razem – odpowiadają bowiem solidarnie, co oznacza, że każdy z nich może być zobowiązany do zapłaty odszkodowania na Twoją rzecz. Dotyczy to nie tylko samego administratora ale także podmiotu przetwarzającego, o ile oczywiście przetwarzał Twoje dane osobowe w imieniu administratora.
I oczywiście najważniejsze – jaką kwotę pieniędzy można uzyskać w sądzie?
W przypadku szkody majątkowych sytuacja jest prosta – tyle ile straciliśmy, tyle możemy odzyskać. A co z roszczeniami niemajątkowymi? Tego niestety nie wiemy, bo żadne orzeczenia jeszcze nie zapadły. Ale powiedzmy sobie szczerze jedno – sąd będzie badał to jak dotkliwą szkodę ponieśliśmy (np. jakie negatywne przebycia psychiczne u nas wystąpiły) i „przeliczał to na złotówki”. Polska to nie USA – możemy więc zapomnieć o setkach tysięcy złotych za otrzymanie maila marketingowego, na którego nie wyraziliśmy zgody albo za błąd w klauzuli informacyjnej.
