Wyciekł skan dowodu osobistego u operatora komórkowego? Uważaj kogo pozywasz!

Czas na kolejne zagadnienie nurtujące czasem P.T. Czytelników: u mojego operatora komórkowego wyciekł skan dowodu osobistego — czy mogę się domagać odszkodowania za ujawnienie moich danych osobistych? Albo: czy naruszenie obowiązków w zakresie przetwarzania danych osobowych może rodzić odpowiedzialność za naruszenie dóbr osobistych? (Bazując na podstawie wyroku Sądu Apelacyjnego w Warszawie z 23 września 2015 r., sygn. akt VI ACa 1357 /14.)


skan dowodu osobistego

Można ponieść odpowiedzialność za wyciek skanu dowodu osobistego, ale poszkodowany powinien dobrze rozważyć kto odpowiedzialność tę ponosi (fot. M. Rudak, CC-BY-SA 3.0)


Historia wyglądała następująco: klient jednego z operatorów komórkowych odkrył, że na stronie internetowej umieszczony został skan jego dowodu osobistego i numer PESEL, plus jakiś kpiący komentarz. W związku z tym wystąpił do sądu z dość rozbudowanym roszczeniem w zakresie ochrony dóbr osobistych, żądając m.in. przeprosin, usunięcia skutków naruszenia („przez umieszczenie na serwerach www pliku zawierającego instrukcje dla wyszukiwarek internetowych, w celu usunięcia z zasobów internetowych wyszukiwania dotyczącego zapytań…” — to by chyba był obowiązek dodania czegoś do robots.txt) oraz zobowiązania strony pozwanej zobowiązanie „do dokonania wpłat na rzecz 27 różnych, wskazanych przez powoda instytucji w kwotach po: 1.111.000 zł, 2.222.000 zł lub 3.333.000 zł” (sic!).

Sąd I instancji uwzględnił żądanie tylko częściowo, nakazując pisemne przeprosiny podpisane przez członków zarządu spółki — za to, że „bez jego zgody, jako administrator tych danych [osobowych] dopuściła do przetworzenia przez nieupoważnione osoby danych, poprzez umieszczenie ich na stronie portalu internetowego” plus 4 tys. złotych zadośćuczynienia za doznaną krzywdę.

Roszczenie okazało się o tyle zasadne, że dowód osobisty, który został zeskanowany w związku z zawarciem umowy telekomunikacyjnej, faktycznie wyciekł do internetu, przez co szereg danych, w tym wizerunek powoda, został bezprawnie ujawniony szerokiej publiczności. Dla ustalenia bezprawności działania wystarczało ustalenie naruszenia obowiązków administratora danych wynikających z art. 36 UoODO — skoro skan dowodu wyciekł, to nie trzeba nic więcej by ustalić, że zabezpieczenia były zbyt słabe. W dodatku operator wiedząc, że dane klientów mogą wyfruwać, nie zrobił nic by temu zapobiec, a nawet nie ustalił kto z pracowników i w jaki sposób tego dokonał.

Sąd II instancji zmienił wyrok w części dotyczącej usunięcia danych z wyszukiwarek i zapłaty zadośćuczynienia (zostaje do napisania list z przeprosinami), a to dlatego, że nawet jeśli skan dowodu pochodził z bazy firmy komórkowej, to jednak nie sposób przypisać operatorowi odpowiedzialności za jego ujawnienie. Z samego skanu wynika, że pochodzi on z systemu podmiotu, któremu operator powierzył przetwarzanie danych osobowych klientów (powierzenie przetwarzania danych osobowych w ramach usług obsługi klientów i call-center), zatem zgodnie z art. 429 kc operator mógł zwolnić się skutecznie z odpowiedzialności za szkodę wyrządzoną przez takie przedsiębiorstwo — wówczas zaś obowiązki w zakresie ochrony danych spoczywają na procesorze danych (art. 31 UoODO).

Wszystkie zarzuty zatem byłyby może i zasadne, gdyby pozwanym w sprawie był przedsiębiorca świadczący usługi w zakresie call-center, jednak z racji skierowania powództwa przeciwko operatorowi (który nawet wniósł o przypozwanie call-center) — operator nie może odpowiadać za to, co zrobił jego podwykonawca (zaś interwenient uboczny nie mógł zostać wezwany do udziału w sprawie jako pozwany).

I chociaż powód w znacznej części przegrał sprawę, nie został obciążony kosztami, a to przede wszystkim dlatego, że operator w ogóle nie zareagował na wcześniejsze wezwanie do usunięcia skanu dokumentu — tymczasem lekceważące traktowanie powoda, który próbuje polubownie załatwić spór jest jedną z przesłanek, która może być wzięta pod uwagę przy decyzji o nieobciążaniu przegrywającego kosztami (art. 102 kpc).

  • RYBY

    Tak na chłopski rozum, to ja przekazuję swoje dane firmie X i nie powinno mnie obchodzić, że to firma Y coś zaniedbała, ponieważ nie jestem stroną umowy z firmą Y. Ja żądam od X, a ci niech sobie wyjaśniają. A co jak Y przekazał Z, a ten Ź i Ż. To ja mam szukać kto nawalił?
    Tylko, że to na chłopski rozum ;-)

  • Adam314

    Pytanie, czy zgadzając się na przetwarzanie moich danych przez operatora automatycznie wyrażam zgodę na ich przetwarzanie przed podwykonawcę operatora? Trochę to kuriozalne.

  • Ano tak :) można zawrzeć umowę o powierzenie przetwarzania, wówczas procesor przetwarza je „dla i w imieniu” administratora (art. 31 UoODO). Nie wymaga to odrębnej zgody.

  • RYBY

    Ale wymaga powiadomienia „właściciela danych”, czyż nie?!

  • Nie :)
    Zakładam, że masz na myśli art. 25 ust. 1 UoODO — ale tam jest mowa o obowiązku administratora. Tymczasem procesor danych nie jest ich administratorem (nie decyduje o „celach i środkach” przetwarzania danych).

  • keiran

    Ot to to, skąd taki Kowalski ma wiedzieć, że to Y przetwarza jego dane.

  • Ale w tej sprawie powód *wiedział* skąd pojawił się ów skan — z dokumentu wynikało, że pochodzi on z bazy innej firmy.

  • Nottenick

    Ale kto w takim razie odpowiada prawnie za ochronę moich danych osobowyc w takim wypadku? Administrator, któremu powierzylem swoje dane czy jakiś tam jego podwykonawca, jakiś pracownik, jakis „procesor” wynajęty przez administratora czy Ciocia Klocka, ktorej administrator kazał dane osobowe w drewnianym kufrze trzymać? Czy administrator może w ten sposób pozbyc się odpowiedzialności i jakby coś się stało z danymi to może powiedzieć „miałem wasze dane, tak to prawda ale dalem je Cioci Kloci, ale ona już u mnie nie pracuje bo uciekła do Argentyny więc sobie jej szukajcie na własną rękę i ją pozywjcie jeśli chcecie”?

  • Na gruncie ustawy o ochronie danych osobowych administrator d.o. może powierzyć przetwarzanie innemu podmiotowi (art. 31 UoODO). Jeśli powierzy te czynności Cioci-Kloci, to będzie miał problem, ale jeśli ten podmiot jest w stanie profesjonalnie spełniać swoje obowiązki (w tym potrafi zabezpieczyć dane, art. 31 ust. 3 UoODO).

    W takim przypadku ADO odpowiada „za przestrzeganie przepisów” (art. 31 ust. 4), ale za przetwarzanie niezgodne z ustawą odpowiada procesor (art. 31 ust. 4 in fine).

    Natomiast granice odpowiedzialności deliktowej wyznacza art. 429 kc — przy powierzeniu czynności drugiej osobie nie odpowiadam za tę osobę jeśli powierzyłem jej wykonanie profesjonaliście.

    Tutaj schemat ten ma w całości zastosowanie:
    – operator wynajął firmę do prowadzenia BOK,
    – firma ta jest profesjonalistą w tym zakresie,
    – zawarł umowę o powierzenie przetwarzania d.o.,
    – operator odpowiadałby za złamanie przepisów ustawy,
    – ale za nieprawidłowe przetwarzanie odpowiada BOK,
    – dotyczy to również odpowiedzialności cywilnej.

  • Mike

    A w praktyce to jak miałby Kowalski działać?
    Złożyć zapytanie do ADO, kto odpowiada? Czy wystarczy pozwać ADO, a ten sceduje odpowiedzialaność na procesora? Czy to Kowalski ma obowiązek dowiedzieć się kto na końcu jest odpowiedzialny za przetwarzanie danych?

  • Właściwie w tej sprawie to było bez znaczenia, bo powód miał informację gdzie nastąpił wyciek (wynikało to z treści skanu).

    W ogólności oczywiście „mamy prawo wiedzieć co ktoś o nas wie” (por. http://olgierd.bblog.pl/wpis,prawo;by;wiedziec;kto;cos;o;nas;wie,46999.html). W art. 32 ust. 1 pkt 2 jest „informacja o sposobie przetwarzania” danych osobowych — wydaje mi się, że trzeźwy ADO, otrzymując takie pismo, przekazuje także informacje o powierzeniu przetwarzania.

    Jeśli tego nie zrobi, to nic się nie stanie, ale wówczas w przypadku sporu nie może przerzucić odpowiedzialności na procesora (tj. może, ale później — w ramach regresu).

    Ale orzecznictwa o tym nie znam, może poszukam i coś znajdę :)

  • pp

    W praktyce jeszcze nie spotkałem się aby jakakolwiek firma poinformowała mnie o powierzeniu przetwarzania. Ogólnie rzecz biorąc firmy nie bardzo wiedzą co zrobić z takim wnioskiem z art. 33, reakcje bywają przedziwne i prześmieszne — polecam popróbować :)

    Szkoda, że w Polsce to prawo do informacji jest mocno ograniczone. Chciałbym zobaczyć w naszej rzeczywistości coś na wzór Subject Access Requests z UK, które zasadniczo pozwalają na wyciągnięcie wszystkich materiałów powiązanych z naszą osobą.