- Jeśli dane teleadresowe wnioskodawcy nie stanowiły istoty informacji publicznej, to należy się zastanowić, czy z uwagi na ochronę prywatności wnioskodawcy nie powinny jednak podlegać anonimizacji - uważa Katarzyna Bitner-Przybylska, adwokatka, of counsel w kancelarii Barta Litwiński.
9 sierpnia opisywaliśmy pozew dewelopera, który żąda od Urzędu Miasta Białystok 200 tys. zł („Miasto Białystok pozwane..., DGP nr 153/2022). Upublicznienie danych teleadresowych oraz numeru księgi wieczystej miało naruszyć jego dobra osobiste oraz spowodować ryzyko nielegalnego posłużenia się informacjami. Czy urząd faktycznie mógł dopuścić się naruszenia?
Jest taka możliwość. Treść wniosku o ustalenie lokalizacji inwestycji mieszkaniowej reguluje ustawa o ułatwieniach w przygotowaniu i realizacji inwestycji mieszkaniowych oraz inwestycji towarzyszących. Poza oczywistymi w takich przypadkach danymi, które identyfikują wnioskodawcę, w piśmie musi zostać podany m.in. numer księgi wieczystej. Przepisy stanowią, że wniosek, razem z dołączonymi do niego dokumentami, podlega publikacji na stronie Biuletynu Informacji Publicznej gminy. Prawo zakłada więc ujawnienie danych zawartych we wniosku jako informacji publicznej. Trzeba jednak wziąć pod uwagę, że w dokumentacji były dane personalne osoby fizycznej, a przepisy regulujące prawo dostępu do informacji publicznej przewidują jego ograniczenie ze względu na prywatność jednostki. Czy dane teleadresowe wnioskodawcy stanowiły tu istotę informacji publicznej i musiały zostać podane? Jeśli nie, to należy się zastanowić, czy z uwagi na ochronę prywatności wnioskodawcy nie powinny jednak podlegać anonimizacji. Urząd mógł więc potencjalnie naruszyć prawo w tym zakresie.
Sprawę badał Urząd Ochrony Danych Osobowych, nie podjął jednak dalszych działań, bo uznał, że administrator poprawnie powiadomił dewelopera o naruszeniu i przeprowadził szkolenia, które minimalizują ryzyko wystąpienia podobnej sytuacji w przyszłości. Czy to słuszne podejście?
Taka argumentacja wpisywałaby się w linię postępowania, jaką od pewnego czasu widać w decyzjach prezesa UODO. Organ zdaje się zwracać uwagę przede wszystkim na fakt, czy w danej sprawie dokonano zgłoszenia naruszenia ochrony danych i czy zawiadomiono osobę, której incydent dotyczy. Nie skupia się zbytnio na innych aspektach. Można to dostrzec przykładowo w decyzjach dotyczących spółki Esselmann Technika Pojazdowa, Uniwersyteckiego Centrum Klinicznego Warszawskiego Uniwersytetu Medycznego czy trzeciej kary dla Głównego Geodety Kraju, gdzie sankcje zostały nałożone wyłącznie z uwagi na naruszenie art. 33 i 34 RODO. Nie jest to dobre podejście. Koncentrowanie się na kwestiach de facto formalnych nie przyczynia się do pełnej realizacji prawa do ochrony danych.
Choć powód domaga się 200 tys. zł, to wyliczył swoje straty aż na 18 mln zł, mnożąc 17 tys. zł (wysokość jednego z odszkodowań za naruszenie danych osobowych) przez 1080, czyli prawdopodobną liczbę pobrań wniosku, w którym znajdowały się informacje o nim. Czy można w ten sposób wyliczać odszkodowanie?
Nie dostrzegam w tej sprawie podstaw dla żądania odszkodowania - nie widziałam nigdzie informacji o tym, że pan Halicki poniósł jakąś szkodę majątkową. W grę wchodziłoby więc wyłącznie zadośćuczynienie, czyli rekompensata za doznaną krzywdę, będącą czymś niematerialnym. Przepisy nie zawierają jednoznacznej formuły, pozwalającej wyliczyć wysokość zadośćuczynienia. Kodeks cywilny mówi jedynie, że suma ma być „odpowiednia”. O żądanej wysokości rekompensaty, a tym samym konkretnym sposobie kalkulacji kwoty, może decydować wiele czynników. A są one subiektywne, bo dla różnych osób krzywdą może być co innego. Stąd trudno jednoznacznie stwierdzić, że metoda wyliczenia, jaką zastosował powód, jest słuszna. To będzie musiał ocenić sąd. ©℗
Rozmawiał Jakub Styczyński
