Naruszenie RODO: O wysokości kar zadecydują sądy

Zasady postępowania z danymi osobowymi w całej Unii określa rozporządzenie (UE) 2016/679, a procedury ochrony przed naruszeniami w Polsce nowa ustawa o ochronie danych osobowych. Oba akty wchodzą w życie 25 maja.

Nowe rygory

RODO obok administracyjnych środków ochrony przed decyzjami prezesa Urzędu Ochrony Danych Osobowych (następcą GIODO), gwarantuje każdej osobie prawo do skutecznej ochrony przed sądem cywilnym, jeżeli jej prawa zostały naruszone w wyniku przetwarzania jej danych osobowych. W pierwszym postępowaniu za naruszenie podstawowych zasad przetwarzania danych grozi kara nawet do 20 mln euro, a przedsiębiorstwu – do 4 proc. jego rocznego światowego obrotu.

– To są oczywiście kary maksymalne teraz służące za straszak, ale w żadnym wypadku nie będą dotyczyć małych i średnich firm, gdyż rozporządzenie, które ma stosować prezes UODO, zawiera kryteria, którymi musi się kierować. W szczególności proporcjonalnością do naruszenia – ocenia Wojciech Klicki, prawnik z Fundacji Panoptykon.

Dodajmy, że sankcje pieniężne polska ustawa ograniczyła dla jednostek sektora finansów publicznych do 100 tys. zł. A od decyzji o karze prezesa UODO będzie można się odwołać do sądu administracyjnego, a potem do NSA.

Prezes UODP może oczywiście i zakazywać określonych działań przetwarzającym dane, to samo mogą orzekać sądy cywilne, ale sąd cywilny może też zasądzać na rzecz poszkodowanych odszkodowanie, które należy rozumieć szeroko, gdyż art. 82 RODO mówi o szkodzie majątkowej lub niemajątkowej, może to być zatem zarówno zwyczajne odszkodowanie lub zadośćuczynienia, np. za poniesioną krzywdę czy utratę dobrego imienia.

Co zrobią sędziowie

To oznacza, że procesy będą się różnić w zależności od żądania, ale zaczną przypominać procesy o ochronę dóbr osobistych. I w przypadku odszkodowania powód będzie musiał wykazać szkodę jaką poniósł na skutek bezprawnego przetwarzania jego danych. W razie zaś żądania zadośćuczynienia za uszczerbek, np. na dobrym imieniu czy zdrowiu, bo to też można sobie wyobrazić, sąd będzie miał większą swobodę przy jej oszacowaniu, ale będzie je porównywał np. z błędami lekarskimi i zasądzanymi tam kwotami.

Gdy poszkodowany skorzysta z obu ścieżek, sąd cywilny zawiesza postępowanie, jeżeli sprawa wszczęta przed prezesem UODO dotyczy tego samego naruszenia. Poszkodowany będzie zatem musiał wyważyć, która droga sądowa jest dla niego wygodniejsza: czy chodzi mu o zdyscyplinowanie naruszyciela, wtedy skuteczniejsze będzie postępowanie administracyjne, czy o odszkodowanie w sądzie cywilnym.

Istotna zmiana dotyczy wyboru sądu. Otóż poszkodowany będzie mógł pozwać firmę zza oceanu, np. z USA, co jest ważne w przypadku takich firm jak Google czy Facebook, w miejscu „zwykłego pobytu".

– Do tej pory Europejczycy mieli problemy z egzekwowaniem od amerykańskich firm ochrony swych danych. Miejmy nadzieję, że Unia pomoże egzekwować europejskie rygory – mów Wojciech Klicki.

Polska ustawa przewiduje nadal, choć ograniczone, sankcje karne na osobę przetwarzającą dane osobowe wbrew przepisom, ale mec. Arwid Mendis, zajmujący się tą tematyką, mówi „Rzeczpospolitej", że nie pamięta, aby ktoś został przez 20 lat obowiązywania dotychczasowej ustawy i szerszych rygorów karnych skazany na więzienie.

W jeszcze jednym zgadzają się prawnicy: skuteczność, a zwłaszcza moc nowych rygorów zweryfikuje praktyka sądowa, kary i odszkodowania tam zasądzane oraz skuteczność ich egzekucji.