RODO ułatwia drogę do uzyskania odszkodowania ? Dla jednych korzyść, dla innych zagrożenie.

Obowiązujące od 25 maja 2018r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. „RODO” lub „GDPR” wzbudziło szerokie zainteresowanie nie tylko pośród przedsiębiorców, na których nakłada one nowe obowiązki, ale także wśród wielu zwykłych obywateli. RODO – mania powoli już cichnie, jednak nie warto o tym akcie prawnym zapominać, gdyż przewiduje nową podstawę prawną do uzyskania odszkodowania.

W pierwszej kolejności trzeba odnotować, że z perspektywy przedsiębiorcy na gruncie przepisów RODO stosunkowo nie trudno jest o narażenie się na zarzut naruszenie wymogów w zakresie ochrony danych. osobowych stawianych przez RODO. Warto przywołać jako przykład do dziś aktywną działalność tzw. RODO – trolli, który jednego dnia składają oświadczenie o wyrażeniu zgody na przetwarzanie ich danych osobowych, po czym niezwłocznie, przysłowiowo „nazajutrz”, zgodę wycofują czekając tylko na zwłokę przedsiębiorcy w zaprzestaniu przetwarzania ich danych osobowych i wysłaniu np. maila z ofertą handlową. Rozporządzenie Ogólne o Ochronie Danych Osobowych „RODO” przewiduje ochronę prawną dla osób, które zostały poszkodowane na skutek braku respektowania przedmiotowych przepisów przez administratora lub procesora danych. Przepisy nie limitują odpowiedzialności administratora danych osobowych do konkretnych postaci naruszenia przepisów RODO, więc również opisane wyżej działania RODO – trolli mogę stanowić podstawę do żądania odszkodowania.

Mianowicie, art. 82 ust. 1 RODO stanowi :

„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporzą­dzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”

Na gruncie tego przepisu osoba poszkodowana może żądać nie tylko naprawienia szkody, którą poniosła czyli zwrotu kosztów które musiała ponieść lub utraconych zysków, których nie otrzymała na skutek braku należytej ochrony jej danych osobowych, lecz również może żądać naprawienia szkody niemajątkowej. Przysługuje zatem osobie poszkodowane również zadośćuczynienie za negatywne skutki, które odczuła w wyniku naruszenia RODO, a w tym cierpienia psychiczne, poczucie strachu i niepewności swojej sytuacji finansowej, poszkalowana opinia etc., a także za realny wpływ tych zdarzeń na zdrowie np. ciężkie skutki, które silne wzburzenie i emocje mogą spowodować u kobiety w ciąży.

Co więcej, sytuacja osoby poszkodowanej jest w ewentualnym procesie sądowym szczególnie uprzywilejowana, gdyż przepisy RODO przerzucają ciężar dowodu na administratora danych osobowych, który musi udowodnić, że odpowiednio i zgodnie z przepisami zabezpieczył dane osobowe – tzw. zasada rozliczalności (art. 5 ust. 2 RODO ).

Jedynie z pozoru może wydawać się, że naruszenie ochrony danych osobowych jest sprawą błahą, a skutkować będzie tylko niechcianymi mailami lub telefonami z ofertami handlowymi.. Doświadczenie dowodzi, iż częstym skutkiem wycieku danych osobowych jest zawieranie przez oszustów umów kredytu, pożyczek – tzw. chwilówek, a nawet zawierania umów abonenckich z operatorami telefonii komórkowej i zamawianie drogich telefonów komórkowych za pośrednictwem kuriera. Z zasady skutki finansowe tych działań oszustów będą dotykać osób, którymi danymi się posłużono. Należy pamiętać, że w dzisiejszych czasach rozwoju technologii i sieci informatycznych raz wykradzione dane osobowe są przedmiotem wielokrotnych transakcji w Internecie i w dynamicznym tempie dostają się do rąk osób niepowołanych, a także można racjonalnie przypuszczać, że nigdy z Internetu nie znikną. Skutki, które osoba poszkodowana może z tego tytułu odczuwać mogą ciągnąć się latami.

Pierwszą informacją z której osoba poszkodowana może dowiedzieć się o wycieku jej danych osobowych powinno być zawiadomienie administratora danych osobowych, o tym zdarzeniu wraz z poinformowaniem o możliwych skutkach. Jednak, wielokrotnie poszkodowany dowiaduje się o tym, że ktoś niepowołany użył jego danych osobowych jest wezwanie do zapłaty skierowane przez bank lub operatora telefonii, czy nawet nakaz zapłaty doręczony przez sąd.

Wysokość ewentualnego odszkodowania przysługującego w oparciu o przepisy RODO nie została uregulowana. W konsekwencji ostateczną decyzję w tym względzie podejmować będzie Sąd, który wyważyć będzie musiał takie aspekty jak zakres i rodzaj ujawnionych danych, stopień doznanych nieprzyjemności i reperkusji, trwałość wycieku danych etc. Przyznać trzeba, że postępowania odszkodowawcze, w szczególności w zakresie zadośćuczynienia są skomplikowane pod kątem dowodowym, wymagają sporego zaangażowania i warto w takim przypadku poszukać profesjonalnej pomocy prawnej.

Wpis inspirowany prawdziwą sprawą.

Adwokat Szymon Solarski

601-408-511

 

RODO – ryzyko czy szansa dla przedsiębiorcy ?

Rozporządzenie Ogólne o Ochronie Danych Osobowych tzw. RODO lub GDPR (General Data Protection Regulation) z perspektywy wielu przedsiębiorców jawi się jako następna formalność stawiania przez rządzących lub wręcz jako zagrożenie dla prowadzonej działalności, któremu należy przeciwdziałać. Zapewne dla innych przedsiębiorców problematyka RODO jest odległa, gdyż wychodzą z założenia, że pewnie to ich nie dotyczy lub „niech zajmą się za tych dużych”.

Niestety oba te zapatrywania są bardzo mylne i mogą prowadzić do nałożenia na nierozważnych przedsiębiorców dotkliwych sankcji, w tym kar nawet do 20 milionów euro lub do wysokości 4 % całkowitego rocznego obrotu. Do podjęcia działania jednak nie zostało wiele czasu, gdyż przepisy RODO zostaną stosowane już od dnia 25 maja 2018r.

Czym jest RODO?

Pod akronimem RODO kryje się Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. RODO w krajowym porządku prawnym zastąpi regulacje zawarte w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na mocy czekających na wprowadzenie przepisów zostaną na administratorów danych nałożone nowe obowiązki, a to np. uzyskania zgody klientów / kontrahentów na przetwarzanie ich danych osobowych, a samo zapytanie o zgodę musi być złożone w formie łatwej do zrozumienia i odróżnienia od pozostałych informacji. Oznacza to, iż wielu przedsiębiorców będzie musiało odpowiednio zmienić formularze zgód, którymi się posługują. Przedsiębiorca ma obowiązek na żądanie klienta poprawić, przenieść lub usunąć (prawo do bycia zapomnianym) jego dane, a klient ma prawo cofnąć wyrażoną zgodę lub wnieść sprzeciw w stosunku do przetwarzania jego danych osobowych.

W stosunku do kogo znajduje zastosowanie RODO?

Wbrew obiegowej opinii regulacje ochrony danych osobowych zawarte w  tzw. RODO znajdują zastosowanie do bardzo szerokiego grona podmiotów. Aby ustalić czy RODO znajduje zastosowanie do konkretnego przedsiębiorcy należy odpowiedzieć na pytanie czy przetwarza dane osobowe? Pod pojęciem danych osobowych na gruncie RODO kryją się informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności imię, nazwisko, numer identyfikacyjny, identyfikator internetowy, dane lokalizacji lub informacje określające jego wygląd fizyczny, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość. W związku z tym jako dane osobowe mogą być postrzegane nie tylko imię nazwisko i numer PESEL lub NIP, ale także adres mail lub zapis obrazu na monitoringu. Jako administratora danych na gruncie RODO kwalifikuje się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe. Znając już powyższe kryteria można wskazać, iż z pewnością pod przepisy RODO podlegają nie tylko wielkie przedsiębiorstwa zarządzające bazami danych jak np. Facebook, ale także mniejsi przedsiębiorcy jak np. biura podróży, kwiaciarnie, które z okazji Walentynek wysyłają mailem do swoich klientów oferty na czerwone róże, kawiarnie i restauracje, które za pośrednictwem newsletterów informują klientów o nowym menu, w związku z tym, znajduje zastosowanie także względem jednoosobowych działalności gospodarczych.

RODO – ryzyko czy szansa dla przedsiębiorcy?

Odpowiadając na zadane pytanie warto w pierwszej szczególności poddać analizie dotychczasowe obowiązki przedsiębiorców z zakresu ochrony danych osobowych. Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych gromadzone dane osobowe w systemie informatycznym, muszą być po pierwsze zabezpieczone zgodnie z wymaganiami technicznymi opisanymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004r.  w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – poziom wysoki – m.in.  obowiązek rejestracji z loginu i hasła każdego odrębnego użytkownika (pracownik), który dokonuje czynności w bazie danych.  Hasło ma się składać z 8 znaków dużych, małych liter, cyfr i znaków specjalnych. System ma być zabezpieczony przed wirusami i utratą danych na skutek awarii zasilania. Połączenia z Internetem muszą być szyfrowane, a sama baza danych musi być zabezpieczona mechanizmami logicznej ochrony. Należy mieć na uwadze, obowiązki wynikające z samej ustawy o ochronie danych osobowych tj. m.in. obowiązki w zakresie zarejestrowania bazy danych osobowych w GIODO (Generalny Inspektor Ochrony Danych Osobowych) wraz z dokumentowaniem każdej dokonywanej czynności przetwarzania danych osobowych w zbiorze danych.

RODO nie przewiduje kazuistycznie określonych metod ochrony danych osobowych, tak jak dotychczasowa ustawa.  Nowa regulacja nakładać będzie na administratora danych jedynie obowiązek samodzielnego zaprojektowania systemu ochrony danych osobowych. System ochrony danych osobowych względem każdego z osobna przedsiębiorców będzie się różnić w zależności od skali i celu przetwarzania danych osobowych oraz możliwości technicznych i finansowych danego przedsiębiorcy.

Co istotne, RODO wprowadza zasadę „rozliczalności” przedsiębiorcy z wprowadzonych metod ochrony danych osobowych. Oznacza, to iż na żądanie organu kontrolnego tj. Urzędu Ochrony Danych Osobowych przedsiębiorca będzie musiał wykazać, iż podjął niezbędne kroki w celu ochrony danych osobowych. Wśród tych niezbędnych kroków wskazać można opracowanie wewnętrznych dokumentów tj. kodeksu postępowania z danymi osobowymi lub oceny skutków dla ochrony danych osobowych, a także opinii prawnej kancelarii adwokackiej, gdzie zawarte będą wprowadzone przez przedsiębiorcę mechanizmy ochrony danych osobowych. W opracowaniu takich dokumentów lub mechanizmów z pewnością pomocna będzie fachowa obsługa adwokata, która zagwarantuje, iż przepisy RODO stworzą szansę do opracowania systemu ochrony danych osobowych w sposób prostszy, bardziej przejrzysty, a w konsekwencji także bardziej ekonomiczny do wprowadzenia niż przewidziany przez obecne przepisy.

Podsumowując, mając fachową pomoc prawną, nie taki diabeł straszny jak go malują.