Problem: W połowie sierpnia na blisko 40 mln użytkowników Ashley Madison.com padł blady strach. Ujawniono bowiem część ich danych osobowych, które zamieścili w owym serwisie dla osób szukających erotycznych przygód. Jednak obawy operatora portalu Praecellens Ltd. z siedzibą na Cyprze wcale nie są mniejsze niż jego klientów. Wyciek wrażliwych danych wiąże się dla niego nie tylko z zainteresowaniem władz publicznych na całym świecie i groźbą zamknięcia serwisu, lecz także z ogromnymi roszczeniami jego użytkowników. W Polsce sprawa może dotyczyć około 20 tys. osób.
Także inni przedsiębiorcy zadają sobie pytanie: co może czekać podmiot prowadzący działalność w Polsce w wypadku, gdy z prowadzonego przez niego serwisu wyciekną dane użytkowników. Jakiej wielkości roszczeń należy się spodziewać? Jak się zabezpieczyć? Czy przedsiębiorca może dzięki odpowiednim zapisom w umowach i regulaminach ograniczyć swoją odpowiedzialność?
Gdzie są granice odpowiedzialności właściciela portalu?
Przedsiębiorca będący operatorem serwisu społecznościowego czy innego serwisu gromadzącego dane swoich użytkowników jest w świetle ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.) administratorem danych osobowych bez względu na to, czy ma on siedzibę na terenie Polski, czy poza nią. Ustawa stosowana jest bowiem m.in. do wszystkich podmiotów decydujących o celach i środkach przetwarzania danych osobowych, jeżeli przetwarzają te dane w związku z działalnością zarobkową, bez względu na siedzibę albo miejsce zamieszkania, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.
Skoro operator serwisu jest w świetle ustawy o ochronie danych osobowych administratorem danych, to spoczywają na nim przewidziane w niej obowiązki.
Jak się zabezpieczyć przed ewentualnymi roszczeniami?
Zapewnienie gwarancji ochrony danych osobowych swoich użytkowników stanowi podstawową formę zabezpieczenia się przed ewentualnymi roszczeniami.
Zasadniczym obowiązkiem jest zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Serwisy społecznościowe przetwarzają różnego rodzaju dane osobowe. W świetle ustawy o ochronie danych osobowych wyróżnia się dane zwykłe i dane wrażliwe. Do tych ostatnich należą dane ujawniające m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych.
W serwisach takich jak Facebook ujawnianie danych osobowych wrażliwych jest dobrowolne, jednak taki serwis staje się mimowolnie administratorem niniejszych danych, bo użytkownicy zamieszczają tam różne informacje, które są łączone z nimi w różnych konfiguracjach. W przypadku innych serwisów, aby się zalogować, musimy wskazać nasze oczekiwania co do użytkowania niniejszego portalu, które mogą dotyczyć danych wrażliwych. Dla przykładu w trakcie rejestracji w Ashley Madison trzeba wybrać którąś z następujących opcji: „coś na krótko”, „coś na dłużej”, „cyberseks/erotyczny czat”, „cokolwiek mnie podnieci”, „cokolwiek”, „brak zdecydowania”, co mówi o naszych preferencjach i upodobaniach seksualnych.
Z jakimi żądaniami mogą wystąpić klienci?
Udostępnienie przez przedsiębiorcę naszych danych osobowych, szczególnie tych wrażliwych, może stanowić naruszenie naszych dóbr osobistych, takich jak cześć, wizerunek czy prawo do prywatności. W przypadku ich naruszenia użytkownik w myśl art. 24 w zw. z art. 448 ustawy z 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz.U. z 2014 r. poz. 121 ze zm.) może żądać od przedsiębiorcy przetwarzającego jego dane osobowe dopełnienia czynności potrzebnych do usunięcia skutków wycieku danych – w szczególności poprzez złożenie oświadczenia o odpowiedniej treści i w odpowiedniej formie – oraz zapłaty zadośćuczynienia za doznaną krzywdę. Alternatywnie użytkownik może żądać od przedsiębiorcy zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
Klient domagający się zadośćuczynienia pieniężnego nie musi wykazywać bezprawności i winy przedsiębiorcy, który dopuścił do tego, że dane wyciekły z portalu. To na operatorze będzie spoczywał ciężar wykazania, że przestrzegał wszystkich wymagań prawnych przechowywania danych oraz dołożył należytej staranności, stosownej do charakteru tych danych, np. że: dokonał prawidłowego doboru środków zabezpieczenia danych osobowych zgodnie ze stanem wiedzy w tej dziedzinie; kierował się aktualnymi, istniejącymi zagrożeniami dla bezpieczeństwa danych; przeprowadził analizę ryzyka wiążącego się z przetwarzaniem danych osobowych lub wdrożył odpowiednie fizyczne albo logiczne zabezpieczenia chroniące przed nieuprawnionym dostępem.
Na użytkowniku będzie spoczywał ciężar wykazania związku przyczynowo-skutkowego oraz krzywdy, jakiej doznał w wyniku wycieku danych osobowych na zewnątrz. Sąd rozpatrując taką sprawę, będzie badał rozmiar i intensywność doznanej krzywdy, która jest oceniana według miar zobiektywizowanych, stopnia negatywnych konsekwencji, w tym również tak niewymiernych jak utrata dobrego imienia skutkująca zmniejszeniem szans na realizację kariery zawodowej, oraz stopień zawinienia po stronie sprawcy, a także jego sytuację majątkową.
Oprócz zadośćuczynienia, w przypadku doznania wymiernej szkody majątkowej, użytkownik serwisu może żądać odszkodowania na zasadach ogólnych.
W przypadku sądowego rozpatrywania sprawy wycieku sąd nie będzie skupiał szczególnej uwagi, dlaczego i jak dokładnie dane osobowe wyciekły, ale zbada, czy działaniu przedsiębiorcy można zarzucić naruszenie prawa bądź np. należytej staranności wymaganej od profesjonalisty.
Co może dać umowa powierzenia?
Najbezpieczniejszym i najbardziej rekomendowanym środkiem zabezpieczenia przedsiębiorcy, i tym samym danych osobowych przez niego przetwarzanych, jest powierzenie przechowywania danych osobowych wyspecjalizowanej firmie gwarantującej poziom zabezpieczenia odpowiedni do rodzaju danych. Zawarcie umowy powierzenia przetwarzania danych osobowych nie zwolni wprawdzie przedsiębiorcy z odpowiedzialności w stosunku do swoich użytkowników za prawidłowe przetwarzanie ich danych osobowych, ale prawidłowo skonstruowana umowa powierzenia może ograniczać ryzyka związane z ewentualnymi roszczeniami użytkowników. By tak się stało, konieczne jest zawarcie w umowie postanowień, na mocy których podmiot przetwarzający dane przyjmuje na siebie obowiązek zrekompensowania wszelkich szkód powstałych w wyniku niewłaściwego zabezpieczenia danych osobowych. Powinno być to połączone ze zobowiązaniem podmiotu przetwarzającego dane do wstąpienia do postępowania cywilnego w charakterze interwenienta ubocznego w przypadku pozwania administratora danych. Bezpieczeństwo finansowe umowy powierzenia przetwarzania danych osobowych można uzyskać poprzez różnego rodzaju formy zabezpieczenia roszczeń pieniężnych, ze szczególnym uwzględnieniem gwarancji bankowej czy ubezpieczeniowej.
Czy przedsiębiorcy grozi dodatkowo odpowiedzialność karna?
Na podstawie ustawy o ochronie danych osobowych za udostępnienie lub umożliwienie dostępu do danych osobowych osobie nieupoważnionej administrator danych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. W przypadku gdy przedsiębiorca działał nieumyślnie, a więc można mu przypisać jedynie lekkomyślność lub rażące niedbalstwo, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Jakie działania podjąć w obliczu procesu?
Na gruncie prawa polskiego brak jest odpowiedzialności absolutnej, a więc niezależnej od jakichkolwiek czynników zewnętrznych. Dlatego głównym zadaniem przedsiębiorcy w razie ewentualnego procesu powinno być wykazanie dochowania wszelkich możliwych standardów ochrony uzyskanych danych osobowych. Niezwykle pomocne w tym zakresie jest współuczestnictwo w procesie podmiotu, któremu przedsiębiorca powierzył przetwarzanie danych osobowych (dlatego tak istotne jest prawidłowe skonstruowanie z nim umowy).
Istotną kwestią w przypadku przetwarzania danych osobowych jest prewencja. Dlatego warto wcześniej gromadzić dokumentację świadczącą o prawidłowym spełnieniu wszystkich ustawowych i pozaustawowych wymogów dotyczących przetwarzania danych osobowych oraz świadczącą o tym, że przedsiębiorca dołożył należytej staranności. W przypadku ewentualnego procesu posiadanie dokumentacji w kompletnej formie ułatwi zaprezentowanie jej sądowi w trakcie procesu.
Czy polski przedsiębiorca będzie musiał uczestniczyć w procesie poza krajem?
Sprawy wynikające z umów konsumenckich należą według uznania konsumenta do jurysdykcji krajowej danego państwa członkowskiego bądź innego państwa UE – wynika to z rozporządzenia Rady (WE) nr 44/2001 z 22 grudnia 2000 r. w sprawie jurysdykcji i uznawania orzeczeń sądowych oraz ich wykonywania w sprawach cywilnych i handlowych (Dz.Urz. UE z 2001 r. L 12, s.1), które musi być stosowane przez każde państwo członkowskie UE. Zatem np. angielski operator serwisu społecznościowego może być skutecznie pozwany przez konsumenta w Polsce przed polskim sądem, a polski operator serwisu np. przed sądem słowackim. Takiej właściwości nie można zmienić umownie poprzez dodanie klauzuli derogacyjnej o poddaniu jurysdykcji sądów państwa obcego wynikłych lub mogących wyniknąć z niego spraw o prawa majątkowe, wyłączając jurysdykcję sądów polskich.
W przypadku kiedy użytkownikiem serwisu będzie przedsiębiorca, możliwe jest stosowanie klauzul derogacyjnych, a więc regulamin serwisu prowadzonego dla przedsiębiorców może przewidywać poddanie przyszłych sporów pod rozstrzygnięcie dowolnego sądu.