Rozporządzenie 2016/679, znane pod nazwami RODO lub GDPR, które od 25 maja 2018 roku będzie stanowić nową, ogólnoeuropejską ramę przepisów o ochronie danych osobowych zostało wydane przez Parlament Europejski i Radę. W związku z uchwaleniem tego aktu prawnego ustawodawca polski prowadzi prace legislacyjne nad nową ustawą o ochronie danych osobowych, która ma być dostosowana do rozwiązań przyjętych przez RODO.
Projekt, który został opublikowany na stronie Ministerstwa Cyfryzacji zawiera co prawda regulację dość szczątkową, jednakże warto zwrócić uwagę na poruszoną tam materię. W związku ze zmianami w prawie europejskim do Polski wejdzie nowy mechanizm chroniący osoby, których dane są przetwarzane.
Sądowa ochrona danych osobowych
W dotychczasowym stanie prawnym na gruncie polskiego ustawodawstwa nie istniały szczególne i jasne regulacje, które tworzyłyby prawa podmiotowe (tj. pewne przyznane przez przepis uprawnienia, które przysługują osobie) o charakterze cywilnoprawnym w odniesieniu do danych osobowych. Co prawda, przepisy obowiązującej ustawy (art. 32 i n. uodo) przyznawały osobie, której dane dotyczą, pewne prawa względem administratorów (np. prawo do żądania usunięcia danych). Jednak nie podlegały one ochronie przed sądem, a jedynie w razie ich naruszenia osoba mogła zwrócić się z wnioskiem do GIODO. Główny Inspektor przeprowadzał postępowanie i w drodze decyzji administracyjnej nakazywał konkretne działanie administratorowi, jeżeli stwierdził uchybienia. W konsekwencji regulacje nie przewidywały ochrony osoby, lecz korygowanie ewentualnych naruszeń przepisów.
Przepisy Kodeksu cywilnego co prawda chronią dobra osobiste (art. 23 kc), jednakże jest to ochrona mieszcząca się w zakresie odrębnym od przepisów ustawy o ochronie danych osobowych (wyrok Sądu Apelacyjnego w Warszawie z dnia 25 listopada 2016 r., sygn. akt I ACa 1565/15), zwłaszcza że nie każde naruszenie przepisów o ochronie danych osobowych musi być naruszeniem dóbr osobistych (tutaj w postaci prawa do prywatności).
RODO wprowadza zmianę, która jest nowością dla polskiego systemu prawnego. Art. 79 rozporządzenia przyznaje, niezależnie od drogi administracyjnej przed organem nadzorczym (w Polsce będzie to Prezes Urzędu Ochrony Danych Osobowych), prawo do żądania udzielenia sądowej ochrony praw osoby, której dane dotyczą.
Właśnie ta regulacja została ujęta w obecnym projekcie ustawy o ochronie danych osobowych. Artykuł 55 wspomnianego projektu stanowi, że każda osoba, której prawa przysługujące jej na mocy przepisów o ochronie danych osobowych zostały naruszone, ma prawo żądać od osoby naruszającej dopełniła czynności, które usuną skutki tego naruszenia.
Prawa podlegające ochronie
Aby móc dokładniej przyjrzeć się projektowanej regulacji, należy ustalić, czym są „prawa przysługujące na mocy przepisów o ochronie danych osobowych”. Projekt nie precyzuje tego pojęcia, jednakże przepisy RODO pozwalają na ustalenie, o jakie prawa chodzi.
Wspomniane rozporządzenie przyznaje szereg praw, takich jak prawo do przenoszenia danych, prawo do sprostowania danych czy „prawo do bycia zapomnianym”. Przepisy projektu ustawy odnoszą się do tych właśnie praw (art. 15 i n. RODO). Nie można jednak uznać, aby omawiana regulacja zawarta w projekcie odnosiła się do naprawiania szkód wyrządzonych przez bezprawne przetwarzanie danych osobowych. Wynika to z faktu, że wprowadzenie do projektu wskazuje te przepisy jako regulację postępowania wszczynanego na podstawie uprawnienia z art. 79 RODO, natomiast do naprawiania szkód według przepisów rozporządzenia służyć ma art. 82. Istotnym jest jednak fakt, że wniesienie omawianej skargi nie będzie stanowiło uszczerbku dla innych roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych (tj. nie będzie zamykać dla nich drogi sądowej).
Dochodzenie praw przed sądem
Przepisy projektu wprost mówią o składaniu pozwu (art. 56 Projektu). Sądem właściwym do rozpoznania sprawy będzie sąd okręgowy, natomiast sprawa będzie rozpoznawana zgodnie z przepisami postępowania cywilnego (art. 55 ust. 3 Projektu). Możliwe będzie również składanie wniosków o zabezpieczenie bez jednoczesnego złożenia pozwu (art. 56 ust. 1 Projektu).
Zainicjowanie postępowania przed sądem będzie trudniejsze niż w przypadku postępowania przed Urzędem Ochrony Danych Osobowych. Pismo złożone do biura podawczego w sądzie lub wysłane do niego pocztą będzie podlegać formalnym rygorom wszystkich pism procesowych w postępowaniu cywilnym oraz dodatkowym wymogom dotyczących pozwu. To na osobie, której prawa zostały naruszone, ciążyć będzie obowiązek przedstawienie faktycznego uzasadnienia swojego żądania. Jeżeli więc osoba w relacji z administratorem danych lub podmiotem przetwarzającym uzna, że naruszono jej prawa, powinna we własnym interesie zachować wszelkie dowody (w szczególności byłaby to korespondencja).
Osoba poszkodowana przedstawia swoje żądania
Materialnoprawną podstawą kierowanego do sądu roszczenia (czyli takim przepisem prawa, który uprawnia do skierowania roszczenia) będzie wspomniany art. 79 RODO oraz obecny art. 55 ust. 1 Projektu. Przepis rozporządzenia mówi, że każdemu przysługuje prawo do skutecznej sądowej ochrony na mocy rozporządzenia, natomiast projekt ustawy wskazuje, że ochrona ta będzie odbywać się poprzez zobowiązywanie do dokonania czynności potrzebnych do usunięcia skutków naruszenia. Ochrony takiej sąd będzie udzielał na podstawie powództwa, tak więc to od powoda zależeć będzie, czego konkretnie zażąda. W przeciwieństwie do postępowania administracyjnego przed organem nadzorczym w sądowym postępowaniu cywilnym cała „inicjatywa” należy do stron. Jeżeli więc osoba, której dane dotyczą, uzna, że naruszono jej prawa i będzie chciała dochodzić tego na drodze sądowej, sama musi określić, czego oczekuje i wszelkie okoliczności faktyczne oraz prawne wykazywać samodzielnie.
Projekt ustawy zakłada również możliwość składania wniosków o zabezpieczenie dowodów oraz zobowiązywanie pozwanego (czyli administratora lub podmiotu przetwarzającego) do udzielenia informacji i wydania dokumentacji.
Koszty sądowe w przypadku dochodzenia praw
Zainicjowanie sporu przed sądem będzie również wymagać wniesienia stosownych opłat. W przypadku pozwu, jeżeli ostateczne brzmienie ustawy nie będzie przewidywać czegoś innego, opłata wynosić będzie 600 zł. Wnioski o zabezpieczenie można składać wraz z pozwem lub przed wniesieniem powództwa – w tym drugim przypadku jednak za taki wniosek trzeba będzie wnieść opłatę w wysokości 100 zł, podczas gdy wnioski o zabezpieczenie składane razem z pozwem nie podlegają dodatkowej opłacie.
Czas trwania postępowania
Zgodnie z zamierzeniami projektu, postanowienia w sprawie zobowiązania i zabezpieczeń mają być wydawane przez sąd w przeciągu 3 dni. Jednakże wątpliwym jest, czy terminu tego uda się dotrzymać, jeżeli weźmie się pod uwagę ilość spraw w sądach i ilość sędziów, którzy w sądach orzekają.
Właściwe postępowanie związane z rozpatrzeniem powództwa będzie się odbywać po normalnym przeprowadzeniu rozprawy w procesie, tak więc czas trwania postępowania będzie zależeć od wielu czynników, np. od obciążenia sądów sprawami po zachowanie samych stron sporu, np. czy nie będą one przedłużać procesu.
Wyrok sądu
Końcową, merytoryczną decyzją w sprawie będzie wyrok. W wyroku sąd, podobnie jak w przypadku ochrony dóbr osobistych, zobowiązywał będzie do usunięcia skutków naruszeń. To, w jaki sposób zostanie udzielona ochrona, zależeć będzie od tego, z jakim żądaniem powód zwróci się do sądu. Rozwiązań może być wiele. Można przykładowo wnosić o nakazanie usunięcia danych, nakazanie udostępnienia jakichś danych itp. Jednak wybór żądania każdorazowo trzeba będzie niejako „dopasowywać” do konkretnego sporu.
Naprawa szkód i zadośćuczynienie
Omawiając kwestię cywilnoprawnej odpowiedzialności, nie sposób pominąć kwestii związanej z odpowiedzialnością za szkody. Wyżej wskazana regulacja zawarta w projekcie nie odnosi się do żądania zadośćuczynienia czy odszkodowania.
Podstawą do wysuwania roszczeń o takim charakterze jest art. 82 RODO. Daje on uprawnienia bardzo szerokiemu kręgowi osób, gdyż uprawnionym staje się każda osoba, która poniosła szkodę majątkową lub niemajątkową. Do naprawienia szkody zobowiązany będzie administrator lub podmiot przetwarzający, jeżeli szkoda wynikła z naruszenia przepisów rozporządzenia.
Kategoria ta jest więc szersza niż tylko naruszenie praw osoby, której dane dotyczą. Dzięki takiej konstrukcji zaspokojenia swoich roszczeń będą mogli oczekiwać wszyscy, którzy doznali jakichś szkód przez niezgodne z prawem działanie innego podmiotu. Ta podstawa będzie też lepiej zabezpieczała majątkowe interesy osób, gdyż zapewnia ochronę szerszą niż dobra osobiste.