Ekspert o roszczeniach pacjentów po wycieku z ALAB: Jest kilka podstaw prawnych

W praktyce wysokość zadośćuczynienia zależy od rozmiaru krzywdy. Są już orzeczenia sądów polskich, które dotyczyły wycieków danych – mówi Paweł Potocki, adwokat z kancelarii Marszałek & Partnerzy - Adwokaci.

Publikacja: 02.12.2023 17:11

Paweł Potocki, adwokat z kancelarii Marszałek & Partnerzy - Adwokaci

Paweł Potocki, adwokat z kancelarii Marszałek & Partnerzy - Adwokaci

Foto: materiały prasowe

Załóżmy, że ktoś badał się na chorobę weneryczną. Po wycieku danych z ALAB informacja ta została upubliczniona i teraz współmałżonek żąda rozwodu. Czy pacjent może pozwać ALAB o nienależyte zabezpieczenie tych danych, nawet jeśli szkoda w tym wypadku jest niematerialna?

Jak najbardziej. Jest kilka podstaw prawnych, z których można skorzystać w takiej sytuacji. W szczególności mamy art. 82, paragraf 1 RODO. Stanowi on, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Ale gdyby tej podstawy nie było, to nadal istniałaby możliwość dochodzenia zadośćuczynienia za tę krzywdę, na gruncie art. 23, 24 i 448 kodeksu cywilnego. Do tych przepisów odsyła też ustawa o prawach pacjenta i rzeczniku praw pacjenta. W obu przypadkach (RODO i k.c.) podstawą odpowiedzialności będzie przede wszystkim bezprawność działania podmiotu przetwarzającego dane lub administratora. Określa się ją jako niezgodność z przepisami lub zasadami współżycia społecznego. Bezprawnością w tym wypadku jest niezgodność z prawem działania administratora, który sprzecznie z wymogami RODO niedostatecznie zadbał o bezpieczeństwo tych danych osobowych.

Czytaj więcej

UODO czeka na wyjaśnienia od ALAB ws. wycieku danych. Co mogą zrobić poszkodowani

Czy on odpowiada tylko za wdrożenie odpowiednich systemów, czy też za skutek, tzn. że dane faktycznie nie wyciekną?

Obowiązki administratora nie są nieskończone. Systemy informatyczne i procedury bezpieczeństwa muszą być zgodne z wymogami RODO. Podobnie jak praktyka ich stosowania. Jeżeli administrator zawiódł, tzn. wprowadził zabezpieczenia nie tylko nieadekwatne (skoro do tego wycieku doszło), ale i niespełniające minimalnych wymogów RODO, to mamy do czynienia z działaniem bezprawnym, co rodzi odpowiedzialność. W przypadku dochodzenia zadośćuczynienia, co do zasady konieczne jest, na gruncie kodeksu cywilnego, wykazanie zaniedbania po stronie pozwanego, którego skutkiem było wypłynięcie danych. Jednakże ze względu na brzmienie przepisów regulujących ochronę danych osobowych tę bezprawność można utożsamiać z niedbalstwem. Bo zasady były znane, wystarczyło je wdrożyć. W przypadku naruszenia dóbr osobistych, jakim jest prawo do prywatności, sąd może, ale nie musi takie zadośćuczynienie orzec. Jednym z istotnych kryteriów jest wina podmiotu przetwarzającego dane – w tym wypadku w formie niedbalstwa.

Co jeszcze, prócz winy administratora, musiałby wykazać powód w takiej sprawie?

Może też się okazać, że wcale te zabezpieczenia nie były nienależyte. W tym wypadku trudno będzie oczywiście dochodzić zadośćuczynienia od administratora, bo jego działanie nie było bezprawne. Natomiast dużym ułatwieniem dla osoby dochodzącej zadośćuczynienia jest mechanizm domniemania bezprawności. Czyli to administrator musi wykazać, że jego działanie nie było bezprawne, w tym wypadku więc ciężar dowodu spoczywa na laboratorium. Wymagane jest też przekonanie sądów, że doszło do istotnej krzywdy. W przypadku rozwodu można się doszukiwać takich krzywd. Ujawnienie danych spowodowało naruszenie prawa do prywatności, czego skutkiem było poniżenie takiej osoby w oczach otoczenia, rodziny, i może doprowadzenie do rozpadu małżeństwa….

Z drugiej strony można argumentować, że do tego rozpadu doszło w wyniku zdrady, a nie tego, że zdrada wyszła na jaw. Tzn. że sam pokrzywdzony się tu przyczynił…

Można oczywiście przesuwać to źródło zdarzenia wstecz, natomiast bezpośrednią przyczyną było ujawnienie informacji o zdrowiu na skutek wycieku. Nie jest tak, że prawem do prywatności objęte są tylko kwestie, nazwijmy to, akceptowane społecznie, pozytywne moralnie. Właśnie istotą prawa do prywatności jest zachowanie w tajemnicy tych aspektów życia, które są wstydliwe. I każdy ma prawo do zachowania tej tajemnicy. To nie jest tak, że w sytuacji, kiedy ktoś dopuszcza się niewierności małżeńskiej, całe społeczeństwo może ujawnić te informacje i nie ponosić konsekwencji, bo przecież chodzi o czyn, nazwijmy to, wątpliwy etycznie. Prawo do prywatności polega na tym, że wszystko, co może być problematyczne, musi zostać zachowane w tajemnicy, o ile osoba, której te informacje dotyczą, sama nie zdecyduje się na ich ujawnienie. To prawda, że np. doszło do zdrady i zarażenia chorobą, ale administrator doprowadził do ujawnienia tej informacji przez swoje niedbalstwo, ponieważ nie wyczerpał przesłanek ustawowych czy wynikających z RODO.

Czytaj więcej

Jak chronić się po wycieku danych osobowych? Zastrzeżenie PESEL może nie wystarczyć

Na jakie realnie kwoty zadośćuczynienia mogą liczyć osoby, których dane wyciekły?

W praktyce wysokość zadośćuczynienia zależy od rozmiaru krzywdy. Są już orzeczenia sądów polskich, które dotyczyły wycieków danych. Sądy zasądzały kwoty zadośćuczynienia na poziomie 1000-1500 zł . Na marginesie dodam, że to wartości porównywalne do kwot zasądzanych przez sądy w innych krajach członkowskich UE. Mówimy o zadośćuczynieniu za sam fakt, że te dane wyciekły - nie wywołało to większych skutków dla skarżących. Powodowie argumentowali, że ta sytuacja wywołała u nich niepokój. Zaczęli bowiem nieustannie myśleć o tym, kto może mieć do tego dostęp do ich danych itd. Sądy to wyceniały dosyć nisko, dopóki jakiś rzeczywisty, wymierny skutek w postaci np. rozwodu, nie nastąpił.

Mówił pan, że ochrona przysługuje niezależnie od moralnej oceny. A co, jeśli ujawnienie danych medycznych naraziło kogoś na odpowiedzialność karną? Przykładowo – świadome narażanie na zarażenie drugie osoby wirusem HIV jest karalne (do 3 lat więzienia). Więc ktoś, kto np. zrobił badania pod tym kątem, wiedział, że jest nosicielem, ale to ukrywał, po ujawnieniu wyników może być ścigany np. na wniosek osoby, z którą wcześniej współżył. Czy przysługuje mu za to zadośćuczynienie od administratora?

W mojej ocenie jest taka możliwość, aczkolwiek sądy mogą bardzo różnie postrzegać te kwestie. Na pewno działania administratora były bezprawne, więc to nie zależy od działania poszkodowanego – w przypadku, gdy dobra osobiste są naruszone, czy dane osobowe zostały ujawnione. Ale to nie znaczy, że sąd zasądzi zadośćuczynienie. Natomiast sądy mogą uznać, że to nie jest przypadek, który zasługuje na wypłatę zadośćuczynienia właśnie z tych względów, o których pan mówił. Skutki społeczne ujawnienia tej informacji były pozytywne, a nie negatywne. Okazało się, że osoba jest zarażona i to ukrywała – ujawnienie tego może ochronić inne osoby przed zarażeniem. To nie znaczy, że działanie administratora nie było bezprawne.

Ostatnia kwestia, chyba najprostsza, to wyciągane na te wykradzione dane kredyty i pożyczki. Czy osoby, na które takie zobowiązania zostaną zaciągnięte, będą mogły też pozywać administratora? Czy też może np. także banki, które nie zweryfikowały odpowiednio, czy to faktycznie ta osoba wnioskuje o kredyt?

Po pierwsze, administrator odpowiada, tak jak już wcześniej rozmawialiśmy, na gruncie zarówno art. 82 RODO, jak i na zasadach ogólnych kodeksu cywilnego, jeżeli chodzi o szkody majątkowe. Tutaj mówimy de facto o szkodzie majątkowej, czyli powstaniu pasywów po stronie osoby poszkodowanej, spowodowanym takim nielegalnym posłużeniem się danymi osobowymi. Więc dochodzenie roszczeń odszkodowawczych, majątkowych od administratora jak najbardziej jest możliwe. Natomiast jeżeli chodzi o banki, to sam fakt tego, że te dane były fałszywe, tzn. pozyskane nielegalnie i inna osoba, się nimi posłużyła i wyłudziła kredyt, nie musi się przekładać na odpowiedzialność banku.

Trzeba byłoby zbadać, czy bank dochował należytej staranności na wszystkich polach?

Jeżeli człowiek przychodzi ze sfałszowanym dowodem, na tyle wiarygodnie przerobionym (czyli zawierającym wyłudzone dane), żeby się nie zorientować, to trudno tutaj szukać bezpośredniego przełożenia działań banku na skutek. Natomiast jeśli pracownik banku wykazał się daleko idącym niedbalstwem, powiedzmy zaniechał wykonania tych wszystkich obowiązków, tutaj możemy szukać takiej odpowiedzialności.

Banki mają swoje procedury wynikające z ustaleń wewnętrznych, jak i przepisów prawa bankowego i innych ustaw. A co z innymi instytucjami pożyczkowymi, które mają znacznie mniejsze wymagania?

Nie tylko o pożyczki tu chodzi, można przecież pójść, wynająć pojazd w wypożyczalni. Są różne usługi, które już nie mają aż tak, nazwijmy to wyśrubowanych, metod weryfikacji.

Czytaj więcej

Hakerzy udostępnili wyniki badań medycznych Polaków

Taka wypożyczalnia, która nie odzyskała swojego pojazdu, musiałaby pozwać tę osobę, na której dane został on wynajęty. I dopiero gdyby doszło do postępowania, na etapie sądowym, taka osoba musiałaby wykazywać, że nigdy nie zawierała takiej umowy, że to są dane skradzione. Być może nawet nie doszłoby do postępowania sądowego, bo na pewno byłyby wprowadzone jakieś rozmowy przedsądowe i jeszcze być może by się na jakimś etapie okazało, czy jednak mamy do czynienia z przestępstwem. Pokrzywdzonym byłaby zarówno wypożyczalnia, której nie zwrócono samochodu, jak i osoba, której danymi się posłużono - ale niekoniecznie z tytułu zaciągnięcia na nią zobowiązania, a ze względu na posłużenie się danymi właśnie. Niedawno ustawodawca wprowadził możliwość zastrzeżenia numeru PESEL. Natomiast dopiero od czerwca to zastrzeżenie będzie miało znaczenie przy weryfikacji wniosków, np. kredytowych przez banki. Do tego czasu można zastrzegać, ale nie przełoży się to na jakieś szczególnie zwiększone bezpieczeństwo.

Możliwe jest też weryfikowanie np. w Biurze Informacji Kredytowej, po założeniu tam konta, stanu swoich zobowiązań, wobec banków. Czy to wystarczy?

Takie monitorowanie może zasygnalizować, że coś jest nie tak i pozwoli podjąć odpowiednie działania ochronne z wyprzedzeniem. Żeby nie czekać na wyrok w sprawie, na komornika, to na pewno jest zasadne, żeby to monitorować. W związku z tym wyciekiem z laboratorium powstała też strona rządowa, na której można zweryfikować, czy dane, wyniki pacjentów, których badania były tam prowadzone, bądź ich wyniki z innych względów znajdowały się w zasobach laboratorium, wyciekły. Chodzi tu np. o numer PESEL.

I to potem może być jakoś traktowane jako dowód w postępowaniu o unieważnienie kredytu, żeby wskazać, że to konkretnie dane tej osoby wyciekły?

Tak, jak najbardziej. Kredytu udziela się w oparciu o umowę. Czyli musi być umowa zawarta przez dwie strony. Jeżeli to nie te strony, które zostały wskazane w umowie, składały oświadczenia woli, czyli w tym wypadku kredytobiorca nie był tym, za kogo się podawał, to oczywiście ta umowa nie może rodzić skutków prawnych w postaci obowiązku spłaty kredytu po stronie tej osoby, która takiej umowy nie zawarła. Ale niestety konieczność wykazania tego, że się nie było się tą osobą, spoczywa na kredytobiorcy. Co nie znaczy, że jest to niemożliwe do zrobienia, zwłaszcza w przypadku takiego wycieku. I też jest kwestia kolejna - przepisy karne przeciwko ochronie informacji, które też pozwalają na zgłaszanie, składanie zawiadomień o możliwości popełnienia przestępstwa do organów ścigania. Takie czyny zabronione są ścigane na wniosek pokrzywdzonego, czyli w przypadku takiej osoby, której dane zostały ujawnione. Policja czy prokuratura mogą działać tylko, jeżeli taki wniosek wpłynie ze strony pokrzywdzonego. Aczkolwiek, w tym wypadku pokrzywdzonym jest również laboratorium, którego dane zostały ujawnione. Natomiast jeżeli chodzi o dane tych pacjentów, to oni powinni też sami taki wniosek złożyć, aby uzyskać status pokrzywdzonego.

Paweł Potocki jest adwokatem z kancelarii Marszałek & Partnerzy - Adwokaci

Załóżmy, że ktoś badał się na chorobę weneryczną. Po wycieku danych z ALAB informacja ta została upubliczniona i teraz współmałżonek żąda rozwodu. Czy pacjent może pozwać ALAB o nienależyte zabezpieczenie tych danych, nawet jeśli szkoda w tym wypadku jest niematerialna?

Jak najbardziej. Jest kilka podstaw prawnych, z których można skorzystać w takiej sytuacji. W szczególności mamy art. 82, paragraf 1 RODO. Stanowi on, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Ale gdyby tej podstawy nie było, to nadal istniałaby możliwość dochodzenia zadośćuczynienia za tę krzywdę, na gruncie art. 23, 24 i 448 kodeksu cywilnego. Do tych przepisów odsyła też ustawa o prawach pacjenta i rzeczniku praw pacjenta. W obu przypadkach (RODO i k.c.) podstawą odpowiedzialności będzie przede wszystkim bezprawność działania podmiotu przetwarzającego dane lub administratora. Określa się ją jako niezgodność z przepisami lub zasadami współżycia społecznego. Bezprawnością w tym wypadku jest niezgodność z prawem działania administratora, który sprzecznie z wymogami RODO niedostatecznie zadbał o bezpieczeństwo tych danych osobowych.

Pozostało 90% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Sądy i trybunały
Sędzia Barbara Piwnik: To co się dzieje jest dla mnie nie do zniesienia
Materiał Promocyjny
Elektrownie jądrowe to naturalny dla Warty obszar zainteresowań
Prawo karne
Niesłusznie spędził w więzieniu 18 lat. Historia Tomasza Komendy wstrząsnęła Polską
Sądy i trybunały
Rzecznik dyscyplinarny uderza w sędzię SN. Chce ją odsunąć od głośnej sprawy
Spadki i darowizny
Notariusz: Odrzucanie spadków wciąż z pułapkami na obywateli
Prawo dla Ciebie
Sądowa porażka Macieja Wąsika. Jest prawomocny wyrok
Konsumenci
Kredyt na 30 lat spłacony w 19 miesięcy. Czy bank powinien zwrócić prowizję?