A skoro nie tak dawno było o tym, że TSUE orzekł, że nie ma odszkodowania za naruszenie przepisów RODO, jeśli nie doszło do wyrządzenia szkody, dziś czas na kilka zdań o tym, czy serwis internetowy może odpowiadać za wyciek danych osobowych użytkowników? I czy odpowiedzialność cywilna administratora może wynikać z samego faktu, iż miało miejsce naruszenie RODO i doszło do zagrożenia kradzieżą tożsamości, czy jednak strona dochodząca roszczeń musi wykazać rzeczywisty uszczerbek powstały wskutek wycieku danych osobowych? (nieprawomocny wyrok SO w Warszawie z 7 lutego 2023 r., III C 280/22).
Orzeczenie jest odpryskiem głośnego wycieku danych z serwisu pożyczkowego MoneyMan.pl: jeden z użytkowników uznał, że odczuwa silny lęk związany z ryzykiem kradzieży tożsamości, codziennie sprawdza swoje konto bankowe i monitoruje dane w BIK, stał się drażliwy i utracił zaufanie do instytucji finansowych, zatem pozwał usługodawcę żądając 30 tys. zł zadośćuczynienia za krzywdę niemajątkową wynikającą z naruszenia przepisów RODO, 149 zł odszkodowania (był to koszt ubezpieczenia), a także ustalenia odpowiedzialności na przyszłość.
W odpowiedzi strona pozwana argumentowała, iż powód tylko ubiegał o pożyczkę, ale jej nie dostał, zatem w serwisie nie było jego istotnych danych (strzelam, że były tylko dane kontaktowe). Powód nie przedstawił także żadnego dowodu ani na to, że ujawnione zostały właśnie jego dane osobowe, ani też, iż doznał jakkolwiek rozumianej szkody — zaś tak czy inaczej wysokość dochodzonych roszczeń jest dalece wygórowana, zwłaszcza, że błąd popełnił podmiot przetwarzający, czyli zupełnie inna spółka (warto dodać, że PUODO nie uwzględnił indywidualnej skargi powoda).
art. 82 ust. 1-3 RODO
1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Odnosząc się do sporu sąd przypomniał, że każdy, kto poniósł szkodę lub krzywdę wskutek naruszenia RODO, może dochodzić stosownego odszkodowania. Administrator ponosi odpowiedzialność za szkody wyrządzone przetwarzaniem sprzecznym z prawem, procesor tylko wówczas, gdy nie dopełnił obowiązku lub naruszył instrukcje wydane przez administratora — który znów nie może zwolnić się z odpowiedzialności powołując się na fakt, iż do naruszenia doprowadził podmiot przetwarzający (art. 429 kc; tu sąd chyba zbyt gładko pominął, że okolicznością egzoneracyjną jest powierzenie wykonania czynności profesjonaliście — no chyba że pozwany rzeczywiście „nie wykazał”).
W tej sytuacji sąd za uzasadnione uznał obawy, iż wskutek wycieku danych osobowych może dojść do kradzieży tożsamości i wykorzystania danych przez osoby nieuprawnione. Doszło w ten sposób do bezprawnego naruszenia dobra osobistego w postaci prawa do prywatności, zaś naruszenie to jest źródłem krzywdy, za które przysługuje zadośćuczynienie.
art. 92 ustawy o ochronie danych osobowych
W zakresie nieuregulowanym rozporządzeniem 2016/679, do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 tego rozporządzenia, stosuje się przepisy ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny.
Nie ma przy tym znaczenia, iż nie istnieje dowód potwierdzający, że wyciek dotyczył także danych tej konkretnej osoby — skoro był to wyciek masowy, to dla przyjęcia odpowiedzialności administratora wystarczy, że sytuacji takiej nie można wykluczyć (aczkolwiek powód otrzymał informację o konieczności zmiany hasła w serwisie, więc ma prawo przypuszczać, że zdarzenie dotyczyło i jego).
Mieć rację co do zasady nie oznacza racji co do szczegółu: uznając, iż dochodzona rekompensata w kwocie 30 tys. zł byłaby rażąco wygórowana, sąd przyznał powodowi zadośćuczynienie w wysokości 1,5 tys. zł. Odmówiono natomiast zasądzenia zwrotu kosztów ubezpieczenia, a to ze względu na brak związku przyczynowo-skutkowego między wyciekiem danych a decyzją o wykupieniu polisy, oddalono także powództwo w zakresie ustalenia odpowiedzialności administratora na przyszłość…
…a ponieważ jest to klasyczna sytuacja, którą na tutejszych łamach określam jako „wygrał, ale przegrał” (żądając 30 tys. i dostając 1,5 tys. powód przegrał w 95%), więc po wzajemnym rozliczeniu kosztów będzie zwracał pozwanemu prawie 3,2 tys. zł.
Tytułem komentarza zwrócę uwagę na dwa aspekty sprawy:
- wyciek danych to coś poważniejszego niż wysyłka spamu — więc zanim ktoś wyskoczy z kwotą 100 tys. zł za niezamawianą informacją handlową, powinien się mocno zastanowić;
- wyrok figuruje jako nieprawomocny, więc jeśli jest apelacja, zatem — pamiętając, że nałożona przez PUODO kara została uchylona, ponieważ WSA doszedł do przekonania, że administrator nie może ponosić konsekwencji zaniedbań podmiotu przetwarzającego (to orzeczenie też jest nieprawomocne) — nie wykluczałbym jeszcze ciekawszego zwrotu akcji (oczywiście orzeczenie sądu administracyjnego wykluczające naruszenie RODO nie jest prejudykatem dla sądu oceniającego jak wygląda odpowiedzialność cywilna administratora).