Pamiętacie sprawę sprzed kilku miesięcy („Wyciekł skan dowodu osobistego u operatora komórkowego? Uważaj kogo pozywasz!”)? Czas i historia dopisały dalszy ciąg, dzięki czemu możemy jeszcze raz powrócić do pytania: czy operator telekomunikacyjny ponosi odpowiedzialność za wyciek danych osobowych abonenta, do którego doszło w call-center — czy też odpowiedzialność tę ponosi, jako profesjonalista, procesor danych?
wyrok Sądu Najwyższego z 1 czerwca 2017 r. (I CSK 597/16)
Przedsiębiorca telekomunikacyjny będący administratorem danych osobowych odpowiada za szkodę wyrządzoną klientowi — stronie umowy o świadczenie usług telekomunikacyjnych, jeżeli w sposób zawiniony nadużył jego zaufania, powierzając bez jego zgody i wiedzy wykonywanie części umówionych usług innemu przedsiębiorcy (art. 415 kc). Przepis art. 429 kc nie ma w takiej sytuacji zastosowania.
Dla przypomnienia: spór dotyczył odpowiedzialności operatora komórkowego za naruszenie przez jedną z sieci komórkowych dóbr osobistych (godności, wizerunku, prawa do prywatności) abonenta — przez to, że jako administrator danych osobowych dopuścił do rozpowszechnienia przez procesora danych (firmę świadczącą usługi call-center) w internecie skanu awersu dowodu osobistego.
Sąd I instancji powództwo uwzględnił, wychodząc z założenia, że fakt wycieku danych osobowych oznacza, że nie dopełniono powinności w zakresie ich zabezpieczenia. W apelacji uwzględniono jednak argumenty operatora, iż nie może on ponosić odpowiedzialności za nieprawidłowości w przetwarzaniu danych przez procesora (art. 31 uodo), który jest profesjonalistą (art. 429 kc).
Sprawa trafiła do Sądu Najwyższego, który podzielił racje powoda: pozwany operator może ponosić odpowiedzialność za zawinione własne działanie (art. 415 kc) jako powierzający czynność osobie trzeciej, niezależnie od tego, że przetwarzanie danych osobowych zostało powierzone profesjonalnemu podmiotowi. Odpowiedzialność ta wynika już z samego faktu, iż abonent nie wyraził zgody na powierzenie przetwarzania jego danych osobowych — zatem operator nie mógł ich przekazać podwykonawcy.
SN podkreślił, że instytucja powierzenia przetwarzania danych osobowych nie może służyć uchyleniu się przez operatora telekomunikacyjnego od odpowiedzialności za wyciek danych abonenta, zwłaszcza jeśli dane abonentów przekazywane są bez wiedzy i zgody klientów. Co więcej nie można mówić o call-center jako o profesjonaliście, bo skoro doszło do ujawnienia danych osobowych, to procesor profesjonalistą nie jest.
Skoro więc do takiego upublicznienia doszło, jak w sprawie niniejszej, to znaczy, że pozwana nie powierzyła wykonania ciążącej na niej czynności rzeczywistemu profesjonaliście, o którym stanowi art. 429 kc, tylko podmiotowi uważającemu się za profesjonalistę i tylko formalnie to dokumentującemu.
Odpowiedzialność operatora nie wynika wyłącznie z czynu niedozwolonego — wszakże do ujawnienia skanu dowodu osobistego doszło przy wykonywaniu umowy telekomunikacyjnej, zatem odpowiedzialność operatora jako administratora danych osobowych wynikać będzie także z art. 474 kc.