Rozmowa z dr Anną Franusz, radcą prawnym z Kancelarii Adwokackiej Wachowski, adiunktem w Katedrze Postępowania Cywilnego Wydziału Prawa i Administracji Uniwersytetu Warmińsko-Mazurskiego w Olsztynie

Aleksandra Partyk: Mamy prawo żądać przetwarzania danych osobowych zgodnie z przepisami. Co zrobić, jeśli administrator naszych danych osobowych dopuszcza się naruszeń?

Dr Anna Franusz: Każdy może zgłosić sprzeciw administratorowi lub podmiotowi przetwarzającego dane. Możemy zgłosić też skargę do Prezesa Urzędu Ochrony Danych Osobowych na działanie administratora. Możemy także wytoczyć powództwo do sądu cywilnego o ustalenie, że doszło do niezgodnego z prawem przetwarzania danych osobowych. Takie żądanie możemy wnieść niezależnie od kwestii szkody. Najpierw należy złożyć skargę przed Prezesa UODO. Jak chodzi o powództwo o ustalenie, to trzeba wykazać interes prawny w jego złożeniu. Skoro więc można żądać ustalenia naruszenia prawa przez Prezesa Urzędu, to należy z tej możliwości skorzystać.

Zobacz procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

A co, gdy naruszenie wywołało szkodę majątkową lub niemajątkową?

Sąd cywilny jest wyłącznie właściwy do tego, aby takie żądanie rozpoznać. Sąd może więc zasądzić zadośćuczynienie lub odszkodowanie, jeśli odpowiednio powstała krzywda lub szkoda. Organy administracyjne nie są upoważnione do rozpoznawania takich żądań.

Czytaj: British Airways grozi surowa kara za naruszenie RODO>>
 

Czy istnieje droga polubowna?

Tak, w takich przypadkach możemy sprawę kierować do arbitrażu i do mediacji. Trzeba jednak uzyskać zgodę obydwu podmiotów na zastosowanie mediacji czy arbitrażu. Gdy brak takiej zgody, to pozostaje powództwo do sądu cywilnego. Organ administracyjny sądu cywilnego nie zastąpi, jak chodzi o roszczenia odszkodowawcze i zadośćuczynienie.

Jaki sąd jest właściwy do rozpoznania żądania pozwu?

Sądem właściwym do rozpoznania sprawy jest sąd okręgowy. Wynika to nie tylko z przepisów ustawy o ochronie danych osobowych, ale i ze znowelizowanego kodeksu postępowania cywilnego. W świetle art. 17 pkt 4(5) k.p.c. do właściwości sądów okręgowych należą sprawy o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych. Przyjmuje się bowiem, że jest to powództwo o ochronę dóbr osobistych, a tę kategorię spraw co do zasady badają w pierwszej instancji sądy okręgowe.

Czytaj w LEX: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >

Czy to jedyny przepis dotyczący właściwości spraw w tym przedmiocie?

Nie. W RODO znajduje się przepis, który wprowadza właściwość przemienną. Ta kategoria właściwości dotyczy tego, który sąd miejscowo może rozpoznać daną sprawę. Poszkodowany może dokonać wyboru przed, który sąd miejscowo właściwy wytoczy on powództwo. Dzięki właściwości przemiennej pozew może być wytoczony albo przed sąd według siedziby podmiotu, który dokonał naruszenia albo przez sąd, w okręgu którego poszkodowany ma miejsce zwykłego pobytu. Jest to rozwiązanie, które może okazać się korzystne dla powoda. W przepisach przewidziano natomiast wyjątek, że jeśli administrator przetwarzający dane osobowe jest podmiotem publicznym, to decyduje siedziba tego podmiotu. Co do zasady powód zapewne skorzysta z możliwości wyboru.

Czytaj w LEX: Administracyjne kary pieniężne za naruszenia ochrony danych – wysokość i zasady wymierzania >

Czy ustawodawca przewidział inne rozwiązania, które uprzywilejowują powodów w sprawach o naruszenie danych osobowych?

Tak. Zmieniono przepisy dotyczące ciężaru dowodowego, a więc tego na kim spoczywa obowiązek wykazania zasadności twierdzeń. Co do zasady ciężar dowodzenia spoczywa na powodzie, a więc na tym kto wywodzi z danego faktu skutki prawne (art. 6 k.c.). W sprawach dotyczących naruszeń danych osobowych jest dokładnie na odwrót. Ciężar dowodowy spoczywa na podmiocie przetwarzającym dane osobowe. To administrator danych ma udowodnić przed sądem, że w sposób należyty przetwarzał dane powoda. Pozwany musi więc wykazać, że nie ma jego winy w niewłaściwym przetwarzaniu danych osobowych. Wynika to z art. 82 ust. 3 RODO.

Ochrona danych osobowych w postępowaniach sądowych i przed organami administracji publicznej

Kinga Flaga-Gieruszyńska, Jacek Gołaczyński

Sprawdź  

Czy wysokość opłaty jest stała?

Tak. Wynosi ona 600 zł. Takie rozwiązanie wynika z tego, że przyjmuje się, że jest to pozew o ochronę dóbr osobistych.

Zobacz linię orzeczniczą: Zasady opłacania pozwu o ochronę dóbr osobistych >

Jakie są inne interesujące rozwiązania procesowe?

Ciekawe jest to, że organy mają się wzajemnie informować o toczących się postępowaniach o ustalenie tego, że niezgodnie z prawem przetwarzano dane osobowe. Nie może być tak, że przed sądem powszechnym i przed Prezesem Urzędu Ochrony Danych Osobowych jednocześnie będą prowadzone dwa postępowania. Jeśli PUODO prowadzi postępowanie o stwierdzenie naruszenia, to sąd powszechny musi zawiesić postępowanie aż do czasu ustalenia tego naruszenia przez Prezesa Urzędu.

Co stanie się, jeśli sąd ustali, że organ administracyjny stwierdził takie naruszenie?

Sąd cywilny jest związany prawomocnym orzeczeniem stwierdzającym zaistnienie naruszenia. W takim przypadku powód będzie musiał tylko wykazać wysokość szkody, by móc uzyskać od pozwanego administratora odszkodowanie. Powyższe kwestie wynikają z art. 94 i następnych ustawy o ochronie danych osobowych.

Czytaj w LEX: Odpowiedzialność cywilna za naruszenie przepisów o ochronie danych osobowych >

Czy zanim wprowadzono regulacje prawne związane z RODO, poszkodowany również mógł dochodzić analogicznych praw przed sądem – na podstawie przepisów ogólnych prawa cywilnego?

Wejście w życie nowej ustawy, na kanwie RODO, zwiększyło dla strony gwarancje procesowe. Dotyczy to zmiany w zakresie ciężaru dowodu, właściwości przemiennej sądu. Znaczenie dla powodów ma też rola Prezesa Urzędu Ochrony Danych Osobowych. Należy jednak podkreślić, że nie zmieniły się żądania, z jakimi powód mógł wystąpić. W dalszym ciągu podstawą powództwa będzie art. 24 k.c. dotyczący ochrony dóbr osobistych. Zatem konstrukcja roszczeń jest niezmieniona, ale sposób ich dochodzenia jest bardziej korzystny dla osoby poszkodowanej naruszeniem.

Czytaj w LEX: Postępowanie przed sądem w przypadku naruszenia przepisów o ochronie danych >

Jaką kwotę zadośćuczynienia może uzyskać powód w sprawie cywilnej, jeśli pozwie administratora danych za zawinione naruszenie jego danych?

To będzie zależało od okoliczności danej sprawy. Może się okazać, że sąd zasądzi kwotę symboliczną. Jeśli natomiast okaże się, że ujawnienie wrażliwych danych osobowych o powodzie (np. dotyczących jego orientacji seksualnej, stanu zdrowia) doprowadziło do utraty jego dobrego imienia, rozpadu małżeństwa, to sąd może przyznać mu znaczną kwotę. Wszystko zależy od rozmiaru szkody i krzywdy. To sąd decyduje, jaka kwota jest odpowiednia w danym przypadku.

Co z karami administracyjnymi?

Zmiany w prawie skutkowały już wielokrotnie nakładanymi karami o charakterze administracyjnym. Łącznie w Unii Europejskiej było 59.000 naruszeń, co wynika z raportu GDPR Data Brake Service. Ciekawostką jest to, że przodują w ilości „wycieków” te kraje, które wydawałoby się, że nie mają „problemu” z naruszeniami danych osobowych. Chodzi o Holandię, Danię, Finlandię. Może być to związane z tym, że na wysokim poziomie stoi tam świadomość prawna i właściwym organom zgłaszane są naruszenia. Z drugiej strony może to wynikać z daleko posuniętej informatyzacji tych społeczeństw. Największa kara administracyjna wyniosła 50 milionów euro i nałożył ją francuski urząd ochrony danych osobowych na Google’a. Według moich ustaleń decyzja nie jest prawomocna.

Czytaj w LEX: Analiza decyzji administracyjnych Prezesa UODO z lat 2018-2019 >

A jak Polska wypada w tym rankingu?

Polska zajmuje 15 miejsce w rankingu, jak chodzi o liczbę naruszeń. Na 100.000 mieszkańców przypada 5,7 naruszeń. To, że jesteśmy „w ogonie” rankingu, to dobra informacja.