Ten artykuł czytasz w ramach bezpłatnego limitu

Unijne rozporządzenie o ochronie danych osobowych zaczęło obowiązywać 25 maja. Podlegają mu wszystkie instytucje, które przetwarzają dane osobowe, a za przetwarzanie należy uznać nawet samo posiadanie danych. Przestrzegać przepisów muszą zatem firmy, organizacje pozarządowe, administracja, jednostki samorządowe, a nawet związki wyznaniowe.

W ostatnich miesiącach w związku z RODO szczególne zainteresowanie budziły przede wszystkim kary, które mogą nakładać inspektorzy. Działają one na wyobraźnię. Za najcięższe naruszenia przepisów grożą kary nawet do 20 mln euro lub 4 proc. wartości globalnych obrotów firmy. Inspektorzy uspokajają jednak wszystkich przedsiębiorców.

- To, że w RODO pojawiają się kary finansowe, absolutnie nie oznacza, że za chwilę prezes Urzędu Ochrony Danych Osobowych nałoży na kwiaciarkę z Hali Mirowskiej karę 20 mln euro. Kary w tak ogromnym wymiarze wzięły się po to, żeby kara np. dla takiego Facebooka była karą niezabijającą. On ją odczuje, ale to nie zabije jego biznesu - tłumaczy dr Maciej Kawecki z Ministerstwa Cyfryzacji.

Szkody majątkowe i niemajątkowe

RODO wyszczególnia, że najpierw urząd ochrony danych może przedsiębiorcę upomnieć, potem ostrzec, następnie podjąć decyzję niezawierającą kary, aż w końcu ukarać finansowo. Te same przepisy wskazują jednak, że osoby, których dane zostały naruszone, mogą się domagać od podmiotu odszkodowania. A dokładniej mówi o tym art. 82 rozporządzenia.

Zgodnie z nim każdy, kto „poniósł szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”. Administrator w tym przypadku to właśnie firma, która przetwarza dane. Może ona jednak zadanie to powierzyć innej firmie (tak jak np. teleoperatorzy korzystają z zewnętrznych call center) - wtedy właśnie mowa o podmiocie przetwarzającym.

Szkodę majątkową łatwo można sobie wyobrazić - z firmy (np. e-sklepu) wyciekły dane o kartach płatniczych klientów, ktoś to wykorzystał i tymi danymi autoryzował sobie zakupy w sieci. Klient stracił pieniądze, firma, z której dane wyciekły, musi wypłacić odszkodowanie. To proste i jasne.

Gorzej jednak jest ze szkodą niemajątkową. Tu RODO pozostawia pole do interpretacji. Rozporządzenie nie tłumaczy bowiem, co taką szkodą jest, ani też nie tworzy klasyfikacji wagi naruszeń. Bo szkodą niemajątkową może być wszystko: przekazanie danych innej firmie bez zgody ich właściciela, nieprawidłowe poinformowanie konsumenta o przysługujących mu prawach, wpisanie adresatów zbiorowego maila w widoczny dla wszystkich nagłówek, wyciek danych itd., itp.

Kiedy żądać odszkodowania?

Wydaje się, że najpoważniejszymi naruszeniami rozporządzenia mogą być właśnie wycieki danych - i to takie, w których wyciekają dane wrażliwe (na temat zdrowia, orientacji seksualnej czy poglądów politycznych), finansowe (dane z kart kredytowych) czy te, których nie da się zmienić (PESEL, DNA). Jednak w dosłownie każdej z wcześniej wymienionych sytuacji można domagać się odszkodowania, bo skoro instytucja naruszyła przepisy RODO, to znaczy, że konsument doznał w ten sposób szkody niemajątkowej.

W polskim prawie nie ma pojęcia szkody niemajątkowej.

- Chodzi o krzywdę powstałą w wyniku naruszenia dóbr osobistych. I tak - ktoś może się poczuć skrzywdzony tym, że firma nie podała mu wszystkich informacji, czyli nie spełniła obowiązku informacyjnego wymaganego w RODO - mówi dr Paweł Litwiński z kancelarii Barta Litwiński.

RODO nie podaje też żadnych widełek co do wysokości samych odszkodowań. Decyzja zarówno o jego przyznaniu, jak i wysokości leży w gestii sądów okręgowych, do których będą trafiały takie sprawy.

- Wysokość odszkodowania nie jest łatwa do oszacowania, zwłaszcza w przypadku wystąpienia szkody niemajątkowej, nie istnieje więc żaden wzór pozwalający na jej chociaż przybliżone określenie. Sąd z pewnością weźmie pod uwagę takie aspekty jak rodzaj danych, które zostały ujawnione, stopień nieprzyjemności czy reperkusji, jakie spotkały podmiot danych, czy ujawnienie danych jest trwałe, czy może być naprawione lub usunięte. Warto zaznaczyć, że w zależności od okoliczności danego przypadku obok odszkodowania możliwe jest dochodzenie także innych roszczeń związanych np. z naruszeniem dóbr osobistych (sytuacja ujawnienia danych medycznych) - mówi Michał Wołoszczuk z kancelarii prawnej D. Dobkowski sp. k. stowarzyszonej z KPMG w Polsce.

Skąd w ogóle dowiemy się, że nasze dane naruszono?

Przede wszystkim warto znać najważniejsze zasady unijnego rozporządzenia. Ponadto nowe przepisy nakazują, że każda instytucja, w której doszło do wycieku danych, ma o nim poinformować osoby, których dane wyciekły. I musi to zrobić w ciągu 72 godzin od wykrycia wycieku.

Administrator danych lub podmiot przetwarzający dane są zwolnieni z odpowiedzialności i płacenia odszkodowania tylko wtedy, gdy udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody u konsumenta.

E-bilet na pociąg tylko z nazwiskiem

- Nie rozumiem i nie widzę powodów, dla których PKP Intercity potrzebuje mojego imienia i nazwiska, a potem okazania dokumentu. Ten przypadek jest tym bardziej kuriozalny, że wymaga tego tylko przy zakupie biletu przez internet lub aplikację, a w okienku na dworcu już nie - mówi dr Paweł Litwiński z kancelarii Barta Litwiński.

Jest on jednym z najbardziej znanych i cenionych ekspertów ds. ochrony danych osobowych w Polsce. Nic więc dziwnego, że szybko „wziął na tapetę” jeden z polskich absurdów - wymóg podania imienia i nazwiska przy zakupie biletu w PKP Intercity - i złożył na to skargę. Taką możliwość daje mu unijne rozporządzenie o ochronie danych osobowych, które obowiązuje od 25 maja. Jak tłumaczy prawnik, nie widzi powodów, dla których PKP Intercity potrzebuje imienia i nazwiska, a potem okazania dowodu osobistego w pociągu. Zresztą przypadek jest tym bardziej kuriozalny, że wymagane jest to tylko przy zakupie biletu przez internet lub aplikację, a w okienku na dworcu już nie.

Spółka tłumaczy, że dane są potrzebne, by zapobiec jeździe na jednym e-1bilecie przez kilka osób. Jak mówi w rozmowie z „DGP” rzecznik prasowy PKP Intercity Agnieszka Serbeńska, bilety tradycyjne są przed tym odpowiednio zabezpieczone. Sprawę wyjaśni Urząd Ochrony Danych Osobowych. Powinien to zrobić w ciągu 30 dni od wpłynięcia skargi.

Czytaj ten tekst i setki innych dzięki prenumeracie

Wybierz prenumeratę, by czytać to, co Cię ciekawi

Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich. Zrezygnować możesz w każdej chwili.