Private enforcement RODO
Nowe rozporządzenie o ochronie danych osobowych wprowadza surowe kary administracyjne za jego nieprzestrzeganie. Jak jednak wiadomo, nie surowość, lecz nieuchronność kary decyduje o jej skuteczności. Choć urząd ochrony danych osobowych został wyposażony w szerokie kompetencje, ma jednak niewystarczające środki, aby z nich korzystać. Uzupełnieniem tej luki może być wbudowany w rozporządzenie mechanizm tzw. private enforcement. Pozwala on na to, aby każda osoba której dane zostały naruszone, samodzielnie dochodziła ochrony sądowej.
Mechanizm private enforcement coraz częściej uzupełnia publicznoprawny mechanizm egzekwowania przepisów regulacyjnych. Takie rozwiązanie wprowadzono ostatnio w sprawach dotyczących odpowiedzialności odszkodowawczej za naruszenie prawa konkurencji (o czym pisaliśmy tutaj). Takie rozwiązanie przewiduje także RODO.
RODO wprowadza dwa rodzaje środków indywidualnych:
- prawo do uzyskania od administratora lub podmiotu przetwarzającego dane (procesora) odszkodowania za szkodę poniesioną w wyniku naruszenia przepisów rozporządzenia,
- prawo do skutecznego środka prawnego polegające na domaganiu się określonego zachowania.
Roszczenia odszkodowawcze
Zgodnie z art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub procesora odszkodowanie za poniesioną szkodę.
W naszej ocenie ww. przepis stanowi samodzielną podstawę dochodzenia roszczeń (o wątpliwościach w tym zakresie zobacz tutaj). Rozporządzenie bardzo szeroko definiuje pojęcie „szkody”. Kompensacji podlega zarówno szkoda majątkowa (rzeczywista strata albo utracone korzyści), jak i szkoda niemajątkowa (zadośćuczynienie za krzywdę). Takie podejście zgodne jest z dotychczasowym orzecznictwem sądów europejskich orzekających w sprawach o naruszenie danych osobowych na gruncie poprzednio obowiązujących przepisów (zob. np. wyrok angielskiego Court of Appeal w sprawie Google Inc v Vidal-Hall and Others (2014), gdzie jednoznacznie stwierdzono, że prawo europejskie daje możliwość dochodzenia zadośćuczynienia za krzywdę powstałą w wyniku naruszenia danych).
Szeroko ujęte jest także pojęcie naruszenia. Będzie nim każde działanie niezgodne z przepisami rozporządzenia i aktami je wykonującymi (akty delegowane i wykonawcze). Oznacza to, że sama niezgodność działań administratora z aktem wykonawczym określającym techniczne standardy mechanizmów certyfikacji, wydanym w przyszłości przez Komisję Europejską na podstawie art. 43 ust. 9 RODO, będzie stanowiła samodzielną przesłankę ubiegania się o odszkodowanie.
Rozporządzenie w żaden sposób nie ogranicza odpowiedzialności administratora. Natomiast w odniesieniu do odpowiedzialności podmiotu przetwarzającego dane funkcjonują pewne zasady ograniczające, które wynikają z jego funkcji w systemie ochrony danych osobowych. Procesor będzie odpowiadał za szkody tylko jeżeli:
- nie dopełni obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające,
- działa poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
W art. 82 ust. 3 RODO wprowadzono domniemanie winy administratora i podmiotu przetwarzającego za zajście zdarzenia, które doprowadziło do powstania szkody. Oznacza to, że w ewentualnym procesie dojdzie do przerzucenia ciężaru dowodu i to pozwany będzie musiał udowodnić, że „w żaden sposób” wystąpienie szkody nie było przez niego zawinione.
Rozporządzenie wskazuje również, że gdy odpowiedzialny za tę samą szkodę będzie więcej niż jeden podmiot (np. administrator wraz z procesorem), to podmioty te ponosić będą odpowiedzialność na zasadach solidarnych (każdy z nich w pełnej wysokości). Takie rozwiązanie ułatwi osobom fizycznym dochodzenie odszkodowań. Zgodnie z art. 82 ust. 5 RODO podmiotowi naruszającemu, który zapłacił całość odszkodowania, będzie przysługiwało prawo regresu w stosunku do innych naruszycieli.
Roszczenia odszkodowawcze wynikające z rozporządzenia w pewnym zakresie pokrywają się z już obecną w polskim systemie ochroną dóbr osobistych. Również na tej podstawie można domagać się zadośćuczynienia, odszkodowania lub zapłaty określonej kwoty pieniężnej na wskazany cel społeczny w przypadku bezprawnego naruszenia dóbr osobistych. Część katalogu chronionych dóbr niezaprzeczalnie pokrywa się z regulacją danych osobowych (np. prawo do prywatności, prawo do wizerunku, ochrona nazwiska i pseudonimu). O popularności przepisów rozporządzenia jako podstawy odszkodowawczej może przesądzić domniemanie winy podmiotu, który dopuścił się naruszenia przepisów regulacji. Powód, występując o zasądzenie kwoty pieniężnej na podstawie ogólnej podstawy odszkodowawczej, miałby obowiązek samodzielnego udowodnienia faktu zawinienia naruszenia, którego dopuścił się administrator lub procesor. Takie ułatwienie może być szczególnie ważne w przypadku dochodzenia roszczeń od dużych firm. W przypadku dochodzenia roszczeń na podstawie RODO to pozwane firmy będą musiały wykazać, że wdrożyły odpowiednie rozwiązania organizacyjne i technologiczne chroniące dane w sposób wymagany przez RODO.
Jak się będzie można bronić?
Administratorzy i procesorzy będą mogli bronić się przed roszczeniami zarzutami merytorycznymi i formalnymi.
Przede wszystkim, wobec przerzucenia na nich ciężaru dowodu braku winy, to oni w razie powstania sporu będą zmuszeni wykazać, że do powstania szkody doszło w wyniku zdarzenia, za którego wystąpienie nie ponoszą winy. W praktyce będzie to się sprowadzało do konieczności wykazania, że przedsiębiorstwo z należytą starannością wdrożyło i przestrzegało reguł obchodzenia się z danymi wymaganymi przez RODO. Ponieważ RODO nie opiera się na systemie reguł, lecz celów, jakie mają być osiągnięte, każda sprawa będzie oceniana indywidualnie. Istotne znaczenie praktyczne będą mogły mieć certyfikaty zgodności, których wydawanie dopuszcza art. 43 RODO. Fakt uzyskania takiego certyfikatu nie uchroni od odpowiedzialności cywilnej, może jednak mieć istotne znaczenie dla oceny, czy dochowano należytej staranności w zakresie wdrożenia standardów wymaganych przez RODO. Będzie to istotny argument przemawiający za brakiem winy. Równie ważne może okazać się wskazanie prawidłowego przeprowadzenia procedury szacowania ryzyka związanego z przetwarzaniem danych zgodnie z art. 35 RODO. Proces ten zakłada prawidłową identyfikację ryzyk, ich analizę poprzez oszacowanie prawdopodobieństwa incydentu, a także ostateczną ocenę ryzyka i podjęcie działania, które ma na celu jego maksymalne ograniczenie. Jeśli administrator będzie w stanie wykazać prawidłowe i sumienne przeprowadzenie procedury szacowania ryzyka, będzie to dodatkową przesłanką do uniknięcia przez niego odpowiedzialności.
Procesorzy będą mieli także dodatkowe możliwości obrony. Ich odpowiedzialność zależna jest bowiem od tego, czy szkoda powstała w wyniku uchybienia obowiązkom, które rozporządzenie nałożyło na nich bezpośrednio, czy też w wyniku działania poza zgodnymi z prawem instrukcjami administratora albo wbrew takim instrukcjom.
Do dyspozycji administratorów i procesorów pozostawać będą także zarzuty formalne, a przede wszystkim zarzut przedawnienia. Tej kwestii RODO nie reguluje samodzielnie. Wynika ona jednak z ustawy uzupełniającej rozporządzenie. Art. 92 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych wskazuje, że do nieuregulowanych przez rozporządzenie kwestii, które dotyczą roszczeń cywilnoprawnych z tytułu naruszenia przepisów o ochronie danych osobowych, będą miały zastosowanie unormowania Kodeksu cywilnego. Ponieważ roszczenia o odszkodowanie należy potraktować jako roszczenie deliktowe, roszczenia o naprawienie szkody wyrządzonej czynem niedozwolonym będą ulegać przedawnieniu z upływem lat trzech od dnia, w którym poszkodowany dowiedział się albo przy zachowaniu należytej staranności mógł się dowiedzieć o szkodzie i o osobie obowiązanej do jej naprawienia. Jednakże termin ten nie może być dłuższy niż dziesięć lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę.
Wysokość odszkodowań
Dane stały się jednym z najcenniejszych surowców świata. Nie ma dzisiaj branży, która z nich nie korzysta. Proces obiegu danych odgrywa coraz większą rolę nie tylko w gospodarce, ale też w funkcjonowaniu współczesnego społeczeństwa. Dlatego prawna regulacja tego obszaru powinna zapewniać ochronę podstawowych praw jednostek, ale jednocześnie nie nakładać na przedsiębiorców nadmiernych ograniczeń, które mogłyby zastopować rozwój gospodarki.
Taka równowaga w dobie coraz częstszych ataków zewnętrznych na zasoby informatyczne firm może wydawać się trudna do uzyskania. Wątpliwości w tym aspekcie nie pozostawia tegoroczny raport dotyczący naruszeń ochrony danych sporządzony przez amerykańskiego dostawcę usług telekomunikacyjnych Verizon Communications. Jak wynika z tego raportu, w 2017 roku doszło do ponad 53 tysięcy incydentów oraz ponad 2 200 wycieków danych. Incydenty te dotyczyły najróżniejszych branż i dotknęły przedsiębiorców działających w sektorze finansowym, usługach naukowych, administracji publicznej, a nawet w szkolnictwie, opiece zdrowotnej czy usługach gastronomicznych. Może to być argument za słusznością nałożenia na wszystkie podmioty przetwarzające dane konkretnych obowiązków pod rygorem kar i odpowiedzialności finansowej za ich nieprzestrzeganie. Jednak trzeba pamiętać, że ochrona danych użytkowników leży przede wszystkim w interesie firm przetwarzających dane. Bez niej trudno o powszechną akceptację i zaufanie dla innowacyjnych technologii.
Rosnąca społeczna świadomość dotycząca ochrony danych bezpośrednio wpływa na wysokość odszkodowań, których można się domagać w postępowaniach sądowych. Dobrym przykładem ewolucji zasądzanych kwot pieniężnych może być orzecznictwo angielskich sądów wypracowane jeszcze na gruncie przepisów implementujących wcześniejszą europejską dyrektywę o ochronie danych osobowych[1].
Kwoty zadośćuczynienia zasądzane przez angielskie sądy stopniowo rosną. Przykładowo za jednokrotne naruszenie skutkujące niewłaściwymi wpisami w historii rachunku bankowego powoda sąd przyznał kwotę 750 funtów (Halliday v Creation Consumer Finance Ltd, 2013), za wieloletnie, bezprawne gromadzenie przez regionalną policję danych dotyczących jej pracownika – 9000 funtów (Andrea Brown v Commissioner of Police of the Metropolis and Chief Constable of Greater Manchester Police, 2016). Za upublicznienie w internecie przez brytyjskie ministerstwo spraw wewnętrznych informacji dotyczących ok. 1600 wnioskodawców starających się o przyznanie azylu lub prawa pobytu zasądzono kwoty w przedziale od 2500 funtów do 12500 funtów (TLT and Others v Secretary of State for the Home Department, 2016). Ciekawe jest również orzeczenie w sprawie Mirror Group Newspapers v Gulati & others (2015), gdzie zasądzenie stosunkowo wysokich kwot (od 85 000 do 260 250 funtów za hacking telefonu i upublicznienie zdobytych w tym sposób materiałów) zostało uzasadnione m.in. tym, że sama utrata całkowitej kontroli nad swoimi prywatnymi danymi stanowi formę poniesienia szkody i należy ją rozpoznawać niezależnie od strat majątkowych i poniesionej krzywdy.
Pokazuje to, że podobne roszczenia mogą mieć coraz poważniejsze konsekwencje finansowe dla przedsiębiorców. Działanie wbrew regulacjom może być też przyczyną kryzysów wizerunkowych i innych negatywnych konsekwencji, których skutki są niemożliwe do przewidzenia. Przykładem tego, jak dalekie następstwa mogą mieć podobne incydenty, jest głośna sprawa Cambridge Analytica, która po tym, jak przyczyniła się do wycieku i bezprawnego użycia danych użytkowników Facebooka, zmuszona była na początku maja złożyć wniosek o upadłość.
Roszczenie o skuteczny środek ochrony
Niezależnie od możliwości żądania odszkodowania, a także innych ewentualnych środków administracyjnych czy pozasądowych, osoba, której dotyczą naruszone dane, ma prawo zwrócić się do sądu o udzielenie skutecznego środka ochrony prawnej. W praktyce przepis ten nakłada na państwa członkowskie obowiązek zapewnienia skutecznego funkcjonowania dochodzenia ochrony danych osobowych.
W celu realizacji tych obowiązków polski ustawodawca w ustawie o ochronie danych osobowych zdecydował się na wcześniej wspomniane odesłanie do przepisów Kodeksu cywilnego. Oznacza to, że podmiot, którego dane dotyczą, może złożyć odpowiednie powództwo przeciwko administratorowi swoich danych lub procesorowi, w którym domagać się może zobowiązania pozwanych do podjęcia odpowiednich działań zmierzających do zabezpieczenia naruszonych danych. Szczególnie przydatny będzie tutaj katalog środków ochrony prawnej dóbr osobistych z art. 24 k.c. Zgodnie z tymi regulacjami polskie sądy będą mogły zobowiązywać naruszycieli do zaniechania naruszeń przepisów RODO, nakładać na nich obowiązki usunięcia wszelkich skutków, które pojawiły się w związku z naruszeniami, a także zobowiązać do złożenia oświadczenia o odpowiedniej treści (np. wystosować przeprosiny w środkach masowego przekazu).
Gdzie będą toczyć się procesy?
RODO samodzielnie rozstrzyga także, przed sądami których państw można inicjować procesy o odszkodowanie albo uzyskanie efektywnego środka prawnego. Przyznaje w tym zakresie dwie możliwości: takie sprawy będą mogły toczyć się przed sądami państwa członkowskiego, w którym administrator lub podmiot przetwarzający mają jednostkę organizacyjną (ang. establishment), albo – poza sytuacją, gdy pozwanym miałby być organ publiczny wykonujący swoje funkcje publiczne – przed sądami państwa, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu.
Pojęcie jednostki organizacyjnej zostało dodatkowo wyjaśnione w preambule do rozporządzenia i zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Co więcej, czynnikiem decydującym nie powinna być konkretna forma prawna czy krajowy oddział struktur organizacyjnych. Takie podejście jest zgodne z wcześniejszą linią orzeczniczą TSUE, która została wskazana w sprawie Weltimmo. W sprawie tej dopuszczono, aby właściwość jednostki organizacyjnej została ustalona nie na podstawie oficjalnej siedziby osoby prawnej, ale na podstawie miejsca jej rzeczywistej działalności oraz tego, gdzie działalność ta będzie odnosiła rzeczywiste i efektywne skutki. Trybunał, ustalając właściwość w tej sprawie, opierał się na tym, w jakim języku była prowadzona strona przedstawiająca usługi jednostki organizacyjnej oraz do obywateli jakiego państwa była skierowana, czy jednostka miała przedstawicieli na terenie innego państwa, w jakim kraju udostępniała swój adres pocztowy oraz gdzie posiadała konto w banku.
Tak szerokie możliwości ustalania właściwej jurysdykcji na pierwszy rzut oka mogą wydawać się mało znaczące, zwłaszcza że osoba, której dane zostały naruszone, zazwyczaj będzie mogła wytoczyć powództwo zgodnie ze swoim miejscem pobytu. Kwestia ta może mieć jednak niebagatelne znaczenie dla możliwości wytaczania powództw zbiorowych. Samo RODO nie wskazuje, czy grupowe dochodzenie roszczeń odszkodowawczych za naruszenie ochrony danych osobowych jest dopuszczalne. Te kwestie zostały pozostawione krajowym porządkom prawnym państw członkowskich. W Polsce taka możliwość jest co najmniej niejasna (ustawa o dochodzeniu roszczeń w postępowaniu grupowym enumeratywnie ogranicza możliwość pozwów zbiorowych z tytułu naruszenia dóbr osobistych, ale dopuszcza roszczenia związane z czynami niedozwolonymi). Natomiast w innych państwach Unii Europejskiej takich wątpliwości już nie ma ze względu na o wiele bardziej liberalne przepisy. Pojawia się pytanie, czy taka regulacja umożliwi wytaczanie powództw zbiorowych w dogodnych do tego jurysdykcjach (jeśli podmiot przetwarzający dane działa w kilku państwach UE), a także przyłączanie się do tego typu postępowań, które już trwają w innych krajach.
Czy grozi nam zalew procesów o wyciek danych?
Uważamy, że w najbliższych latach będziemy obserwowali lawinowy wzrost liczby procesów odszkodowawczych z tytułu wycieku danych. Chociaż dotychczas zasądzane kwoty zadośćuczynień mogą nie wydawać się znaczące, jednak będą stopniowo rosły z uwagi na zwiększające się znaczenie danych i świadomość zagrożeń związanych z ich utratą.
Do wyobraźni przedsiębiorców masowo przetwarzających dane powinna też przemawiać skala ewentualnych roszczeń. Każdorazowy incydent skutkujący wyciekiem danych może dotyczyć setek tysięcy osób. Zeszłoroczny wyciek danych amerykańskiej agencji kredytowej Equifax dotknął ponad 145 milionów mieszkańców Stanów Zjednoczonych. Nawet zatem niewielkie, nieprzekraczające kilkuset euro odszkodowania, przemnożone przez liczbę poszkodowanych, mogą powodować, że potencjalna odpowiedzialność odszkodowawcza będzie szła w miliony.
Osoby inicjujące takie procesy będą też mogły liczyć na istotne ułatwienia. W niektórych jurysdykcjach europejskich będzie to możliwość skorzystania z postępowań grupowych. Przede wszystkim jednak RODO wprowadza alternatywne do postępowań grupowych rozwiązanie, mianowicie pozwala osobom fizycznym umocować podmiot, organizację lub zrzeszenie o charakterze niezarobkowym, które działają w obszarze ochrony danych osobowych, do wytoczenia na ich rzecz roszczenia przed sądem oraz wniesienia skargi do organu nadzorczego.
Takie organizacje specjalizujące się w ochronie prywatności już powstały i oferują pomoc w dochodzeniu roszczeń wynikających z RODO. Prawdopodobnie najsłynniejszą z nich jest My Privacy Is Not Of Your Business (NOYB). Jest to paneuropejska organizacja pozarządowa założona przez znanego działacza na rzecz ochrony prywatności Maxa Schremsa. W przeszłości przyczynił się on do rozwoju tej dziedziny prawa w Europie poprzez wskazywanie na uchybienia w ochronie danych osobowych, których dopuszcza się Facebook. Szczególnie ważny okazał się wyrok TSUE w sprawie C-362/14 Maximilian Schrems v. Data Protection Commissioner dotyczącej transferu danych osobowych obywateli UE poza jej obszar. Przyczynił się on do wprowadzenia w RODO opisanej wyżej instytucji roszczenia o skuteczny środek ochrony. Organizacja NOYB ma ambicje prowadzić stałą platformę wykorzystującą wszelkie wprowadzone przez RODO instrumenty w celu ochrony danych osobowych na szeroką skalę. Ma ona działać w tzw. trybie strategic litigation, czyli wyszukiwać i inicjować konkretne sprawy sądowe, których rozwiązanie może przyczynić się do powszechnych zmian i standardu ochrony praw wszystkich obywateli UE.
Organizacja zdołała zachęcić do współpracy wielu wybitnych prawników i ekspertów – w ich gronie są m.in. członkowie Parlamentu Europejskiego czy naukowcy prestiżowych uczelni europejskich. W celu sfinansowania swojej w pełni transparentnej działalności NOYB prowadzi także zbiórkę crowdfundingową – zarówno w postaci comiesięcznych wpłat na bieżącą działalność, jak i w postaci finansowania konkretnych projektów. Oznacza to, że w rzeczywistości o kolejnych krokach działania organizacji będzie decydowała jej społeczność. Jeszcze przed wejściem w życie RODO organizacja ta zdążyła złożyć skargi na niezgodne z prawem działanie takich podmiotów jak Google, Instagram, WhatsApp czy Facebook. Każde ze zgłoszonych naruszeń może kosztować te firmy ponad miliard euro i ma na celu skłonienie ich do prawidłowej implementacji wymagań rozporządzenia.
Adam Polanowski, Łukasz Lasek