Czy operator telekomunikacyjny odpowiada za wyciek danych abonenta w call-center?

Pamiętacie sprawę sprzed kilku miesięcy („Wyciekł skan dowodu osobistego u operatora komórkowego? Uważaj kogo pozywasz!”)? Czas i historia dopisały dalszy ciąg, dzięki czemu możemy jeszcze raz powrócić do pytania: czy operator telekomunikacyjny ponosi odpowiedzialność za wyciek danych osobowych abonenta, do którego doszło w call-center — czy też odpowiedzialność tę ponosi, jako profesjonalista, procesor danych?


zatrzymywanie danych telekomunikacyjnych

Operator telekomunikacyjny odpowiada za wyciek danych osobowych u jego podwykonawcy — bo skoro doszło do ujawnienia danych, to podwykonawca nie może mienić się profesjonalistą (fot. Olgierd Rudak, CC-BY-SA 3.0)


wyrok Sądu Najwyższego z 1 czerwca 2017 r. (I CSK 597/16)
Przedsiębiorca telekomunikacyjny będący administratorem danych osobowych odpowiada za szkodę wyrządzoną klientowi — stronie umowy o świadczenie usług telekomunikacyjnych, jeżeli w sposób zawiniony nadużył jego zaufania, powierzając bez jego zgody i wiedzy wykonywanie części umówionych usług innemu przedsiębiorcy (art. 415 kc). Przepis art. 429 kc nie ma w takiej sytuacji zastosowania.

Dla przypomnienia: spór dotyczył odpowiedzialności operatora komórkowego za naruszenie przez jedną z sieci komórkowych dóbr osobistych (godności, wizerunku, prawa do prywatności) abonenta — przez to, że jako administrator danych osobowych dopuścił do rozpowszechnienia przez procesora danych (firmę świadczącą usługi call-center) w internecie skanu awersu dowodu osobistego.

Sąd I instancji powództwo uwzględnił, wychodząc z założenia, że fakt wycieku danych osobowych oznacza, że nie dopełniono powinności w zakresie ich zabezpieczenia. W apelacji uwzględniono jednak argumenty operatora, iż nie może on ponosić odpowiedzialności za nieprawidłowości w przetwarzaniu danych przez procesora (art. 31 uodo), który jest profesjonalistą (art. 429 kc).

Sprawa trafiła do Sądu Najwyższego, który podzielił racje powoda: pozwany operator może ponosić odpowiedzialność za zawinione własne działanie (art. 415 kc) jako powierzający czynność osobie trzeciej, niezależnie od tego, że przetwarzanie danych osobowych zostało powierzone profesjonalnemu podmiotowi. Odpowiedzialność ta wynika już z samego faktu, iż abonent nie wyraził zgody na powierzenie przetwarzania jego danych osobowych — zatem operator nie mógł ich przekazać podwykonawcy.

SN podkreślił, że instytucja powierzenia przetwarzania danych osobowych nie może służyć uchyleniu się przez operatora telekomunikacyjnego od odpowiedzialności za wyciek danych osobowych, zwłaszcza jeśli dane abonentów przekazywane są bez wiedzy i zgody klientów. Co więcej nie można mówić o call-center jako o profesjonaliście, bo skoro doszło do ujawnienia danych osobowych, to procesor profesjonalistą nie jest.

Skoro więc do takiego upublicznienia doszło, jak w sprawie niniejszej, to znaczy, że pozwana nie powierzyła wykonania ciążącej na niej czynności rzeczywistemu profesjonaliście, o którym stanowi art. 429 kc, tylko podmiotowi uważającemu się za profesjonalistę i tylko formalnie to dokumentującemu.

Odpowiedzialność operatora nie wynika wyłącznie z czynu niedozwolonego — wszakże do ujawnienia skanu dowodu osobistego doszło przy wykonywaniu umowy telekomunikacyjnej, zatem odpowiedzialność operatora jako administratora danych osobowych wynikać będzie także z art. 474 kc.

  • sjs

    „nie można mówić o call-center jako o profesjonaliście, bo skoro doszło
    do ujawnienia danych osobowych, to procesor profesjonalistą nie jest.”

    Serio?

    Skoro są wycieki z NSA (tej amerykańskiej) to oni też nie są profesjonalistami? ;)

  • Mariusz H

    A z Netii wypłynęły dane i … nic się nie stało (twierdzi Netia).

  • Jak widać w Polsce nie ma prawa precedensu ;-)

  • Nottenick

    Zauważ, że Netia ten wyciek przyjęła „na klatę” a nie migała się, że „przecież dane były na serwerze np. HP i to na ten serwer się włamali i to HP powinno serwer dobrze zabezpieczyć więc to HP a nie my odpowiadamy za wyciek ble ble ble…”

  • Mariusz H

    No wzięła, powiedziała, że był wyciek, ale nie bierze żadnej odpowiedzialności za to. Poza tym tych danych tam już nie powinno być. Trochę to tak jak tłumaczenie ciecia „weszli na budowę i ukradli ciężarówkę, ale ja za to nie będę odpowiadał, bo to tylko ciężarówka”.

  • Michał Kluska

    Trudno jest mi się zgodzić z tym uzasadnieniem. Praktycznie z każdym zdaniem. Zwłaszcza ten element, że jest potrzebna zgoda aby ADO mógł zawrzeć umowę powierzenia? Serio? Średnio ADO ma zawartych co najmniej kilkanaście tego typu umów. Czyli jak powierzam biuru księgowemu i ono będzie miało wyciek to ja poniosę za to odpowiedzialność jako ADO przekazanych danych?

  • Mike

    na chłopski rozum to abonent może żądać odszkodowania od usługodawcy a usługodawca zwrotnie od operatora danych, więc w czym problem?

  • Tego chyba faktycznie zabrakło w uzasadnieniu, ale myślę, że istotne jest, że sprawa dotyczyła tajemnicy telekomunikacyjnej, która podlega szczególnej ochronie — a ponadto zgodnie z art 162 ust. 1 PT Przedsiębiorca telekomunikacyjny ponosi odpowiedzialność za naruszenie tajemnicy telekomunikacyjnej przez podmioty działające w jego imieniu.