Ocenia się, że RODO przyznaje ponad 20 nowych uprawnień. Jednym z nich jest nowa podstawa dochodzenia roszczeń odszkodowawczych, która może okazać się bardziej bolesna dla przedsiębiorcy niż kary administracyjne – twierdzi adwokat Maciej Konarowski z kancelarii KRK Kieszkowska Rutkowska Kolasiński.

Data 25 maja długo jeszcze kojarzona będzie z nawałnicą mailową rozpętaną wejściem w życie Ogólnego Rozporządzenia o Ochronie Danych (RODO). Nawałnica nawiedziła skrzynkę każdego z nas, ale gdyby tak zapytać przeciętnego przedsiębiorcę, co zmieniło RODO, to najprawdopodobniej większość wskazałaby na oszałamiająco wysokie kary finansowe wprowadzone rozporządzeniem.

Warto zwrócić uwagę na coś jeszcze. Stosunkowo nietrudno o naruszenie przepisów RODO.  Art. 82 ust. 1 RODO stanowi, że „każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”

RODOtrolle i RODOżercy
Przykłady naruszenia prawa do ochrony danych osobowych są tak różnorodne jak uprawnienia podmiotów, którym przysługują. Z jednej strony mamy do czynienia z coraz częstszymi próbami wyłudzenia pieniędzy przez tak zwanych RODOtrolli, czy RODOżerców. Bazują oni na strachu i niewiedzy przedsiębiorców, zgłaszając zupełnie bezzasadne roszczenia.

Zdarza się też, że nadużywają uprawnień przyznanych przez RODO i jednego dnia wyrażają zgodę na przetwarzanie danych osobowych, a następnego wysyłają mail z żądaniem usunięcia tych danych, licząc na to, że mail z ich żądaniem zostanie przeoczony.

Naruszenia bezpieczeństwa
Coraz częściej spotykamy się również z żądaniami osób, które niezupełnie rozumieją na czym polega ochrona danych osobowych. Z drugiej strony, mamy do czynienia z przypadkami ewidentnych naruszeń bezpieczeństwa i nieuprawnionego ujawnienia przetwarzanych danych, od tak prozaicznych jak zgubienie pendrive’a z bazą danych, poprzez przypadki rozesłania mailingu (także tego wystosowanego w celu spełnienia obowiązku informacyjnego wynikającego z RODO) do wielu adresatów, w taki sposób, że każdy z nich uzyskuje dostęp do adresów pozostałych odbiorców, aż po skrajne, ale nie tak rzadkie jakby się mogło wydawać, przypadki odnalezienia dokumentacji medycznej na śmietniku.

Zasada rozliczalności
Po drugie, RODO de facto przerzuca ciężar dowodu i zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) to nie podmiot danych ma udowodnić, że doszło do naruszenie przepisów, a administrator musi być w stanie wykazać ich przestrzeganie.

Po trzecie, RODO wprowadza domniemanie winy sprawcy naruszenia, więc to administrator (lub procesor) musi udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Takie ujęcie winy sprawia, że sprawca odpowiada niemalże na zasadzie ryzyka, nawet za najlżejszą postać winy (culpa levissima).

Po czwarte, nie wolno zapominać o wprowadzonym RODO obowiązku poinformowania o incydencie naruszenia danych osobowych. Jeżeli dojdzie do wycieku danych, albo innego naruszenia bezpieczeństwa danych, wówczas administrator ma obowiązek najpóźniej w ciągu 72 godzin zgłosić ten incydent Prezesowi UODO.

W najpoważniejszych przypadkach, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, administrator musi zawiadomić o fakcie naruszenia również tę osobę, a więc ewentualnego powoda w postępowaniu cywilnym.

Roszczenia relatywnie łatwe w dochodzeniu
W końcu szereg udogodnień proceduralnych sprawia, że roszczenia odszkodowawcze z RODO są relatywnie łatwe w dochodzeniu. Powód może bowiem ułatwić sobie dochodzenie odszkodowania, występując jednocześnie z powództwem do sądu cywilnego i skargą do Prezesa UODO. Wówczas Sąd zawiesi takie postępowanie, do czasu prawomocnego zakończenia postępowania administracyjnego.

Jeżeli Prezes UODO po przeprowadzonym z urzędu postępowaniu stwierdzi, że doszło do naruszenia przepisów o ochronie danych osobowych, Sąd w tym zakresie związany będzie wydaną decyzją. Nie można też wykluczyć dochodzenia roszczeń tzw. pozwem zbiorowym.

Wysokość dochodzonych roszczeń przeważnie będzie stosunkowo niewielka, ale jeżeli pomnoży się ją przez ilość pokrzywdzonych i doda koszty i uciążliwości związane z obsługą prawną procesów, czy ewentualną stratę wizerunkową, może się okazać, że kary administracyjne nie są jednak największym zagrożeniem związanym z nieprzestrzeganiem przepisów o ochronie danych osobowych.