Prawo do ochrony danych osobowych jest zawarte w Karcie praw podstawowych Unii Europejskiej, a na podstawie Traktatu o funkcjonowaniu Unii Europejskiej regulacje dotyczące tej materii są jej legislacyjnym obowiązkiem. Projekt Ustawy o ochronie danych osobowych, który został niedawno (13 września br.) opublikowany na stronie Ministerstwa Cyfryzacji jest podjęciem tematu dostosowania polskiego prawa krajowego do przepisów unijnego rozporządzenia.
Polska ustawa będzie de facto odgrywać rolę instrumentalną, celem skonkretyzowania niektórych nałożonych przez RODO obowiązków, jak i wprowadzenia procedur realizacji części praw z niego wynikających. Ustawa zawiera również przepisy ustrojowe, ustanawiające nowy organ administracji publicznej – Prezesa Urzędu Ochrony Danych osobowych, który będzie polskim organem nadzorczym w rozumieniu przepisów RODO.
Prawa podlegające ochronie
Przedmiotem cywilnoprawnej ochrony w RODO będą więc dwa interesy – prawa przyznane osobie, której dane dotyczą w związku z przetwarzaniem jej danych osobowych oraz interes (majątkowy i niemajątkowy) każdej osoby, która w związku z naruszeniem prawa przez administratora poniesie jakąkolwiek szkodę.
Ważnym punktem do analizy projektowanych regulacji (art. 78 ust. 1 Projektu) wyjaśnienie pojęcia „prawa przysługującego na mocy przepisów o ochronie danych osobowych”. Projekt nie precyzuje tego pojęcia, jednak przepisy RODO pozwalają na ustalenie, o jakie prawa chodzi. Wspomniane rozporządzenie przyznaje szereg praw, takich jak prawo do przenoszenia danych, prawo do sprostowania danych czy „prawo do bycia zapomnianym” i przepisy projektu właśnie do nich się odnoszą (czyli do art. 15 i n. RODO).
Przykładowo do naruszenia może dojść w taki sposób, że administrator odmówi osobie dostępu do danych (art. 15 RODO). Na mocy rozporządzenia każdemu przysługuje prawo do uzyskania takich informacji jak czy jego dane w ogóle są przetwarzane, cel przetwarzania tych danych, źródło pochodzenia danych (jeżeli nie zostały zebrane od osoby) a także prawo żądania kopii przetwarzanych danych. Odmówienie skorzystania z któregokolwiek z tych praw stanowić już będzie naruszenie praw tej osoby i będzie uprawniać do wniesienia stosownego pozwu.
Naprawa szkód i zadośćuczynienie – krąg uprawnionych
Rozporządzenie 2016/679 zabezpiecza również inne interesy osób. Przyznaje prawo do żądania odszkodowania za poniesione szkody. Podstawą do wysuwania roszczeń o takim charakterze jest art. 82 RODO. Daje on uprawnienia bardzo szerokiemu kręgowi osób, gdyż uprawnionym staje się każda osoba, która poniosła szkodę. Przepis nie ogranicza więc uprawnienia tylko do osoby, której dane dotyczą i która w związku z naruszeniem rozporządzenia poniosła szkodę. Taka konstrukcja zapewnia szerszą niż do tej pory ochronę, która wyznaczana była, co do zasady, przez reżim ochrony dóbr osobistych. Nie oznacza to jednak, że w danej sytuacji zachowanie administratora nie może stanowić naruszenia dóbr osobistych.
Wskazane w RODO szkody podlegające naprawie mogą mieć charakter majątkowy, jak i niemajątkowy. Z braku szczegółowej regulacji w tym zakresie na poziomie RODO należałoby ostrożnie przyjąć przepisy polskiego Kodeksu cywilnego, m.in. w zakresie wyboru sposobu naprawienia szkody (w pieniądzu lub w naturze). W praktyce, ze względu na specyficzną konstrukcję przepisu RODO, mówiącego o odpowiedzialności odszkodowawczej, terminologicznie nieprzystosowanej do polskiego systemu prawnego przy stosowaniu tego reżimu odpowiedzialności mogą wystąpić interpretacyjne wątpliwości.
Kto musi naprawić szkodę?
Krąg podmiotów, zobowiązanych do naprawienia szkody jest w przepisach RODO zakreślony bardzo szeroko. Po pierwsze jest to administrator danych. Do odpowiedzialności może zostać pociągnięty każdy z administratorów, biorących udział w przetwarzaniu, więc w przypadku występowania współadministratorów będą oni odpowiadać solidarnie, nawet za naruszenia jednego z nich po to, aby poszkodowany rzeczywiście mógł uzyskać odszkodowanie. Przepisy przyznają również wprost prawo regresu dla tego administratora, który pokrył kwotę odszkodowania w imieniu reszty odpowiedzialnych administratorów.
Podmiot przetwarzający natomiast (czyli ten, któremu administrator powierza przetwarzanie danych, tzw. outsourcing przetwarzania) odpowiada tylko i wyłącznie wtedy, gdy nie dopełnił obowiązków ciążących bezpośrednio na nim lub gdy przetwarzał dane w sposób niezgodny z instrukcjami administratora lub wbrew tym instrukcjom.
W ciekawy sposób został rozwiązany problem zwolnienia się od odpowiedzialności i ciężaru dowodu w tym zakresie. Od odpowiedzialności zwalnia dopiero wykazanie, że podmiot nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Ciężar dowodu został tutaj przerzucony na korzyść osoby, której dane dotyczą. Nie jest to w prawie unijnym rozwiązanie nowe – przepisy europejskie nie po raz pierwszy kształtują korzystnie sytuację podmiotu, uznanego za słabszą stronę stosunku prawnego.
Dochodzenie praw przed sądem
Postępowanie inicjowane będzie pozwem. Sądem właściwym do rozpoznania sprawy będzie sąd okręgowy, natomiast sprawa będzie rozpoznawana zgodnie z przepisami postępowania cywilnego (art. 79 Projektu). W porównaniu do poprzedniego stanu projektu
z marca 2017 r. projektodawca zrezygnował z uregulowania w tej ustawie możliwości składania wniosków o udzielanie zabezpieczeń na dowodach lub zobowiązywania do udzielania informacji przed wytoczeniem powództwa.
Dużo trudniejsza będzie droga sądowego dochodzenia praw. W przeciwieństwie do postępowania przed Prezesem Urzędu Ochrony Danych Osobowych wymaga ona złożenia pisma, które będzie musiało spełniać rygory pism procesowych w postępowaniu cywilnym oraz dodatkowo wymogi dotyczące pozwu. Ponadto, to na osobie, której prawa zostały naruszone, będzie musiała przedstawić faktyczne uzasadnienie swojego żądania. Jeżeli więc osoba w relacji z administratorem danych lub podmiotem przetwarzającym uzna, że naruszono jej prawa, powinna we własnym interesie zachować wszelkie dowody (w szczególności byłaby to korespondencja). Osoba wnosząca pozew będzie bowiem musiała liczyć się z kosztami i oddaleniem powództwa w przypadku, gdy nie uda jej się udowodnić winy administratora.
Natomiast w przypadku dochodzenia roszczeń za wyrządzone szkody powód będzie miał o tyle ułatwioną sytuację, że – jak już wcześniej wspomniano – przerzucony będzie ciężar dowodzenia zawinienia sytuacji prowadzącej do powstania szkody.
Konsekwencje dla administratorów
Przepisy RODO są dużo bardziej restrykcyjne, niż obecnie obowiązujący w Polsce reżim prawny przetwarzania danych. Do sankcji administracyjnych dla podmiotów, które w swojej działalności przetwarzają dane osobowe dochodzi uregulowana w tym zakresie odpowiedzialność cywilna. Administratorzy muszą więc mieć się na baczności i uważać również na same osoby, których dane przetwarzają.
Jedno naruszenie przepisów rozporządzenia może być bardzo kosztowne.
Po pierwsze karę może nałożyć Prezes Urzędu, a ponadto z powództwami mogą się zwrócić zainteresowane osoby. Bardzo groźne mogą również okazać się konsekwencje wizerunkowe w przypadku przedsiębiorcy – „łatka” kogoś, kto nie szanuje prywatności swoich klientów może słono kosztować. Ochrona danych osobowych w Unii wkroczyła na nowy poziom, którego nie można bagatelizować.