Co wynika z RODO?
Już na samym wstępie stajemy przed zasadniczym pytaniem: czy przepisy RODO w ogóle przewidują możliwość wniesienia powództwa do sądu cywilnego w zakresie naruszenia przepisów rozporządzenia? Odpowiedź na to pytanie jest twierdząca. Należy wskazać, że zgodnie z art. 79 RODO każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych w sposób z nim niezgodny. Osoba ta może zgłosić naruszenie do sądu niezależnie od złożenia skargi do organu nadzoru, jakim jest w tym wypadku Prezes Urzędu Ochrony Danych Osobowych. Należy nadmienić, że w takich sprawach właściwym sądem będzie sąd okręgowy.
Z kolei art. 82 RODO przewiduje, że każda osoba fizyczna, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Warto podkreślić, że szkoda ta może mieć charakter zarówno majątkowy, jak i niemajątkowy. W przypadku szkody niemajątkowej naruszenie będzie dotyczyło dóbr osobistych, a więc ewentualnie wnoszone powództwo będzie powództwem o zadośćuczynienie.
Orzeczenia polskich sądów na gruncie art. 82 RODO
Analiza najnowszego orzecznictwa polskich sądów pokazuje, że art. 82 RODO znajduje coraz szersze zastosowanie w sprawach dotyczących ochrony danych osobowych.
W wyroku z 17 marca 2022 r. (sygn. II C 1228/19) Sąd Okręgowy Warszawa-Praga uznał, że omyłkowe przesłanie klientce pliku z cudzymi danymi osobowymi stanowiło naruszenie ochrony danych. Co istotne, sąd podkreślił zbieg podstaw odpowiedzialności – zarówno na gruncie RODO, jak i na gruncie prawa cywilnego w zakresie ochrony dóbr osobistych (art. 23 i 24 w związku z art. 448 Kodeksu cywilnego). Jednocześnie z uwagi na szybkie działania naprawcze spółki oraz na brak faktycznego wykorzystania danych zasądzono jedynie 1000 zł zadośćuczynienia zamiast żądanych 20 000 zł.
Podobne podejście zaprezentowano w wyroku Sądu Okręgowego w Warszawie z 7 lutego 2023 r. (sygn. III C 280/22), dotyczącym masowego wycieku danych z portalu pożyczkowego. Powód, który domagał się 30 000 zł zadośćuczynienia, otrzymał 1500 zł. Sąd potwierdził odpowiedzialność administratora, wskazując, że nie może on powoływać się na winę podmiotu przetwarzającego, gdyż przepisy przewidują odpowiedzialność solidarną.
Z kolei wyrok Sądu Apelacyjnego w Warszawie z 22 czerwca 2023 r. (sygn. I ACa 352/23) miał szczególną doniosłość, ponieważ dotyczył instytucji publicznej – Naczelnego Sądu Administracyjnego. Brak anonimizacji nazwiska asesor komorniczej w bazie orzeczeń sądowych doprowadził do zasądzenia 20 000 zł przez sąd pierwszej instancji. Po apelacji kwotę obniżono do 10 000 zł, jednak utrzymano odpowiedzialność Skarbu Państwa. Orzeczenie to potwierdziło, że szkoda niemajątkowa w rozumieniu art. 82 RODO obejmuje także stres i ryzyko naruszenia reputacji, bez konieczności wykazywania strat materialnych.
Przytoczone sprawy wskazują na kilka wspólnych elementów praktyki sądowej. Po pierwsze odpowiedzialność administratora jest szeroko rozumiana, a możliwość zwolnienia się z niej – wyjątkowa. Po drugie sądy uznają, że krzywda niemajątkowa, taka jak obawa, stres czy utrata zaufania, stanowi szkodę w rozumieniu RODO. Po trzecie wysokość przyznawanych świadczeń jest jednak umiarkowana i kształtuje się zazwyczaj na poziomie kilku tysięcy złotych.
Zdaje się zatem, że polskie sądy przyjmują model kompensacyjny o charakterze wyważonym: zadośćuczynienie ma mieć wymiar realny i odczuwalny, ale nie może prowadzić do nadmiernego wzbogacenia poszkodowanego. Kierunek ten jest zgodny z unijną linią orzeczniczą, w której podkreśla się konieczność proporcjonalności odszkodowań.
Stanowisko TSUE – nowe wytyczne w sprawach o zadośćuczynienie z tytułu naruszenia RODO
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 20 czerwca 2024 r. (sygn. C-590/22) stanowi ważny punkt odniesienia dla osób dochodzących roszczeń na podstawie art. 82 RODO. Sprawa dotyczyła sytuacji, w której deklaracje podatkowe zostały omyłkowo ujawnione osobie trzeciej. Sąd niemiecki, rozpatrujący tę sprawę, zwrócił się do TSUE z pytaniami prejudycjalnymi dotyczącymi zasad odpowiedzialności i przesłanek odszkodowania.
TSUE wskazał jednoznacznie, że samo naruszenie RODO nie jest wystarczającą podstawą do przyznania odszkodowania. Aby roszczenie było skuteczne, osoba, której dane dotyczą, musi udowodnić zarówno fakt poniesienia szkody majątkowej lub niemajątkowej, jak i istnienie związku przyczynowego między naruszeniem a szkodą. Te trzy elementy – naruszenie, szkoda i związek przyczynowy – muszą wystąpić łącznie.
Jednocześnie TSUE podkreślił, że prawo nie przewiduje minimalnego progu szkody. Oznacza to, że nawet najmniejsze naruszenie, jeśli prowadzi do odczuwalnej krzywdy lub dyskomfortu, może uzasadniać roszczenie odszkodowawcze. Co więcej, sam fakt obawy przed wykorzystaniem danych przez osobę trzecią może zostać uznany za szkodę niemajątkową, pod warunkiem że zostanie wiarygodnie wykazany.
Ważnym elementem rozstrzygnięcia było także oddzielenie odszkodowań cywilnych od kar administracyjnych. TSUE wyraźnie wskazał, że kryteria stosowane przy nakładaniu administracyjnych kar pieniężnych nie mogą być automatycznie przenoszone na grunt art. 82 RODO. Odszkodowanie ma bowiem charakter kompensacyjny, a nie prewencyjny czy odstraszający.
TSUE zwrócił również uwagę, że art. 82 RODO obejmuje wyłącznie naruszenia wynikające z rozporządzenia. Jeżeli dodatkowo doszło do złamania prawa krajowego, ewentualne rozszerzenie odpowiedzialności i wysokości odszkodowania może być rozpatrywane jedynie na podstawie przepisów krajowych, a nie samego RODO.
Wyrok TSUE ma duże znaczenie praktyczne, ponieważ wskazuje jasne granice odpowiedzialności administratorów danych i porządkuje sposób rozpatrywania roszczeń. Z jednej strony chroni podmioty przed automatycznym zasądzaniem świadczeń za każde naruszenie, z drugiej – daje osobom fizycznym możliwość skutecznego dochodzenia rekompensaty nawet za niewielką, ale rzeczywistą krzywdę.
Wnioski płynące z wyroku TSUE
W omawianym wyroku z 20 czerwca 2024 r. (sygn. C-590/22) TSUE wyraźnie zaznaczył, że samo naruszenie przepisów RODO nie wystarczy, aby domagać się odszkodowania. Konieczne jest udowodnienie szkody oraz wykazanie związku przyczynowego między naruszeniem a jej powstaniem. Co ważne, nie istnieje żaden minimalny próg strat – nawet bardzo drobna szkoda może uzasadniać roszczenie. TSUE podkreślił również, że za szkodę niemajątkową można uznać samą obawę przed wykorzystaniem danych, o ile zostanie ona rzetelnie udowodniona przez osobę poszkodowaną.
Jednocześnie TSUE odciął odszkodowania cywilne od logiki kar administracyjnych. Kryteria stosowane przy nakładaniu kar finansowych nie mają zastosowania przy ustalaniu wysokości rekompensaty, gdyż ta pełni funkcję wyłącznie kompensacyjną, a nie odstraszającą. Ponadto art. 82 RODO obejmuje tylko naruszenia wynikające bezpośrednio z rozporządzenia. Jeżeli doszło także do złamania prawa krajowego, może to uzasadniać dodatkowe roszczenia, ale tylko wtedy, gdy przewidują to przepisy krajowe.
Czy samo naruszenie RODO daje prawo do dochodzenia rekompensaty?
Nie każde naruszenie przepisów RODO rodzi automatycznie roszczenie o świadczenie pieniężne. Zgodnie z art. 82 RODO warunkiem skutecznego dochodzenia odszkodowania lub zadośćuczynienia jest wykazanie nie tylko samego naruszenia, lecz także powstania szkody – majątkowej bądź niemajątkowej – oraz istnienia związku przyczynowego między naruszeniem a tą szkodą.
W wyroku z 4 maja 2023 r. (sygn. C-300/21) TSUE jednoznacznie przesądził, że samo stwierdzenie naruszenia nie jest wystarczające do przyznania rekompensaty. Konieczne jest wykazanie konkretnej krzywdy, takiej jak poczucie utraty kontroli nad danymi, stres, obawa o nieuprawnione wykorzystanie danych czy realna strata finansowa. Istotne jest przy tym, że szkoda nie musi mieć charakteru znacznego – wystarczy, aby była rzeczywista i odpowiednio udokumentowana. Innymi słowy, roszczenie z art. 82 RODO jest zasadne wyłącznie wówczas, gdy naruszenie prawa ochrony danych przełożyło się na wymierne konsekwencje dla osoby, której dane dotyczą.
Jednocześnie TSUE podkreślił, że RODO nie przewiduje progu „minimalnej powagi” szkody, co oznacza, że nawet drobne naruszenia o charakterze niemajątkowym mogą rodzić prawo do rekompensaty. RODO nie reguluje sposobu ustalania wysokości odszkodowania – pozostawia to państwom członkowskim, przy czym muszą one respektować zasadę równoważności i skuteczności, tak aby ochrona wynikająca z prawa unijnego nie była iluzoryczna. Odszkodowanie ma zapewniać „pełną i skuteczną” kompensację szkody, lecz nie pełni funkcji sankcyjnej. Jego rolą jest wyrównanie uszczerbku, a nie ukaranie sprawcy naruszenia.
Krzywda przy RODO – czym jest i jak ją udowodnić?
Szkoda niemajątkowa (krzywda) w kontekście RODO to negatywne skutki psychiczne i emocjonalne wynikające z naruszenia ochrony danych osobowych. Może to być poczucie utraty prywatności, stres, obawa o dalsze losy danych, a także spadek poczucia bezpieczeństwa. Krzywda nie wymaga wykazania strat finansowych, ale musi być realna i odczuwalna. W praktyce sądowej dowodami mogą być zeznania samej osoby poszkodowanej, dokumentacja lekarska lub psychologiczna, korespondencja potwierdzająca skutki zdarzenia czy inne okoliczności pokazujące wpływ naruszenia na życie codzienne. Orzecznictwo wskazuje, że nawet długotrwały stres czy poczucie zagrożenia, jeśli są udowodnione, mogą być wystarczającą podstawą do przyznania zadośćuczynienia.
Jakie dowody zebrać do pozwu o zadośćuczynienie po wycieku danych?
Skuteczne dochodzenie roszczeń z art. 82 RODO wymaga starannego przygotowania materiału dowodowego. Kluczowe znaczenie mają dokumenty potwierdzające sam fakt naruszenia, takie jak zawiadomienia przesłane przez administratora, korespondencja dotycząca incydentu czy oficjalne komunikaty o wycieku danych. Równie istotne jest udokumentowanie następstw naruszenia – mogą to być wiadomości świadczące o nieuprawnionym wykorzystaniu danych, dowody prób oszustwa (np. phishing, podszywanie się pod tożsamość) czy rachunki potwierdzające wydatki poniesione na dodatkowe zabezpieczenia. W przypadku szkody niemajątkowej znaczenie dowodowe mają opinie lekarskie i psychologiczne. Im pełniejszy i bardziej spójny zestaw dowodów, obejmujący zarówno sam fakt naruszenia, jak i jego konsekwencje, tym większe szanse na uzyskanie satysfakcjonującego zadośćuczynienia w postępowaniu cywilnym.
Odpowiedzialność solidarna w RODO – pozywać administratora czy procesora?
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Przedawnienie roszczeń o zadośćuczynienie za naruszenie RODO
Roszczenia wynikające z naruszenia RODO są traktowane w polskim prawie jako roszczenia deliktowe, a więc stosuje się do nich art. 442¹ Kodeksu cywilnego. Oznacza to, że poszkodowany ma trzy lata od dnia, w którym dowiedział się o szkodzie i o osobie odpowiedzialnej, aby wnieść pozew. Niezależnie od tego terminu roszczenie przedawnia się maksymalnie po 10 latach od zdarzenia wywołującego szkodę. Jeżeli naruszenie danych jednocześnie stanowiło przestępstwo (np. nielegalne pozyskanie danych w celu oszustwa), okres ten wydłuża się aż do 20 lat. Takie stanowisko jest potwierdzone zarówno w doktrynie, jak i w orzecznictwie sądów, które konsekwentnie stosują przepisy Kodeksu cywilnego do roszczeń z art. 82 RODO.
Skarga do UODO czy pozew o zadośćuczynienie – a może oba?
Osoba poszkodowana może wybrać dwie ścieżki dochodzenia swoich praw – administracyjną i cywilną. Obie te ścieżki są od siebie niezależne. Skarga do Prezesa UODO (na mocy art. 77 RODO) uruchamia postępowanie administracyjne, które może zakończyć się nakazaniem administratorowi usunięcia naruszeń lub nałożeniem na niego kary, ale nie przyznaje odszkodowania. Pozew cywilny (zgodnie z art. 82 RODO) pozwala natomiast dochodzić pieniędzy tytułem odszkodowania lub zadośćuczynienia. Te procedury można prowadzić równolegle – nie ma obowiązku czekania na decyzję UODO, by wystąpić do sądu. W praktyce jednak rozstrzygnięcie Prezesa UODO potwierdzające naruszenie stanowi bardzo mocny dowód w sprawie cywilnej, dlatego często rekomenduje się najpierw wniesienie skargi, a następnie złożenie pozwu, jeżeli naruszenie wywołało szkodę.
Jak sądy wyliczają wysokość krzywdy przy naruszeniach RODO?
Wysokość zadośćuczynienia z tytułu naruszenia RODO jest ustalana każdorazowo indywidualnie i opiera się na kryteriach wypracowanych na gruncie ochrony dóbr osobistych. Sądy oceniają przede wszystkim: zakres ujawnienia danych (czy były dostępne dla wąskiego kręgu odbiorców, czy też szeroko upublicznione, np. w Internecie), rodzaj i wrażliwość danych (dane zdrowotne, finansowe czy inne szczególnie chronione są traktowane jako bardziej dotkliwe), a także czas trwania naruszenia i jego konsekwencje (długotrwały stres, utrata poczucia bezpieczeństwa, wstyd, ryzyko nadużyć). Znaczenie ma również postawa administratora – szybkie i skuteczne działania naprawcze mogą ograniczyć rozmiar krzywdy, natomiast bierność lub lekceważenie obowiązków zwiększają zakres odpowiedzialności.
Należy pamiętać, że zadośćuczynienie na gruncie RODO ma charakter wyłącznie kompensacyjny. Oznacza to, że jego wysokość powinna być dostosowana do realnego rozmiaru doznanej krzywdy. Musi być na tyle istotna, by stanowiła odczuwalną rekompensatę, ale jednocześnie nie może prowadzić do nieuzasadnionego wzbogacenia osoby poszkodowanej.
Podsumowanie
Dochodzić roszczeń – zarówno odszkodowania, jak i zadośćuczynienia – na gruncie RODO jak najbardziej można, i to na drodze postępowania cywilnego. Trzeba jednak pamiętać, że samo naruszenie nie wystarczy. Aby sąd przyznał świadczenie, konieczne jest wykazanie realnego wpływu incydentu na sytuację osoby poszkodowanej – w formie szkody materialnej (np. straty finansowe, koszty zabezpieczenia danych) czy krzywdy niemajątkowej (np. stres, utrata poczucia prywatności, obawy o nadużycie danych). Równie istotne jest udowodnienie związku przyczynowego między naruszeniem a skutkiem oraz prawidłowe wskazanie adresata roszczenia – administratora, procesora albo obu solidarnie. Rozpatrując pozew, sąd oceni nie tylko sam fakt naruszenia i naruszenie dóbr osobistych, lecz także to, jakie działania podjął podmiot odpowiedzialny w celu ograniczenia szkody oraz jakie były rzeczywiste konsekwencje dla poszkodowanego. Innymi słowy – dobrze przygotowany pozew, poparty wiarygodnymi dowodami i skierowany do właściwego podmiotu, daje realną szansę na skuteczne uzyskanie odszkodowania bądź zadośćuczynienia.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jako podstawy prawne zasądzenia odszkodowania (zadośćuczynienia) z tytułu naruszenia RODO w postępowaniu cywilnym należy wskazać: