Korzystając z baz udostępnianych przez organy państwa, można nieświadomie naruszyć przepisy o ochronie danych osobowych i narazić się na odpowiedzialność odszkodowawczą.

Złożony w niemieckim sądzie pozew o odszkodowanie może odbić się echem w całej Unii Europejskiej. Jeśli sąd uzna racje powoda, to zarówno firmy komercyjnie wykorzystujące dane publiczne, jak i zajmujące się tym samym w interesie publicznym organizacje non profit będą musiały przeanalizować model swej działalności. Może się bowiem okazać, że będzie ona wiązała się ze zbyt dużym ryzykiem.

Niemiecka sprawa dotyczy stowarzyszenia OpenJur, które od 2008 r. udostępnia wszystkim zainteresowanym darmową bazę orzeczeń sądowych. To realizacja celu statutowego, jakim jest gromadzenie i rozpowszechnianie bezpłatnych legalnych treści w celu promowania równych szans w dostępie do wiedzy i edukacji. Organizacja występuje o wyroki wprost do sądów, otrzymuje je od osób prywatnych, ale przede wszystkim zaciąga je z oficjalnych baz danych krajów związkowych. Tak też było w przypadku uzasadnienia, które stało się powodem pozwu przeciwko OpenJur. W bazie jednego z landów nie zanonimizowano danych osoby, która procesowała się z funduszem emerytalnym. Wyrok ten został pobrany i udostępniony w bazie stowarzyszenia. Po interwencji zainteresowanego organizacja bezzwłocznie usunęła dane, jednak pozew i trak trafił do sądu. OpenJur szacuje, że zapłata odszkodowania oraz kosztów procesu może pochłonąć 13 tys. euro, czyli pięcioletni budżet prowadzenia bazy orzeczniczej. W tej chwili prowadzi w internecie zbiórkę, aby pozyskać środki na proces.

– OpenJur, gromadząc z różnych źródeł orzeczenia sądowe i umieszczając je w swojej bazie, automatycznie staje się administratorem danych osobowych, przetwarzając dane we własnych celach statutowych, a to moim zdaniem oznacza, że ciąży na nich obowiązek sprawdzenia tych orzeczeń pod kątem prawidłowej anonimizacji – uważa Tomasz Borys, specjalista ds. ochrony danych osobowych, który w mediach społecznościowych opisał pozew przeciwko OpenJur.

– Niekoniecznie jednak taka anonimizacja jest potrzebna. Można wskazać tu chociażby orzeczenie Sądu Administracyjnego w Stuttgarcie, zgodnie z którym „publikacja orzeczenia sądowego może być uzasadniona, jeżeli opinia publiczna ma nadrzędny interes w uzyskaniu informacji, nawet jeśli stronę procesową można zidentyfikować bez większego wysiłku za pomocą innych informacji, a zatem orzeczenie nie jest zanonimizowane w rozumieniu prawa o ochronie danych” – zaznacza ekspert, cytując uzasadnienie wyroku sądu w Stuttgarcie z 31 marca 2022 r. (sygn. akt 1 K 6043/20).

Konieczna anonimizacja

Samo stowarzyszenie, usuwając natychmiast z uzasadnienia wyroku dane osoby, która je następnie pozwała, niejako potwierdza, że powinny one być od początku zanonimizowane.

– Jeśli dane podlegały obowiązkowi anonimizacji, to doszło do naruszenia ochrony danych osobowych zarówno przez podmiot publiczny, który je opublikował, jak i organizację, która te same dane upubliczniła w swojej bazie. Dla kwalifikacji tego ujawnienia jako bezprawne nie ma znaczenia, że odbyło się to w sposób zautomatyzowany, bez udziału człowieka – ocenia dr hab. Marlena Sakowska-Baryła, radca prawny i partnerka w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych.

– Ponowne wykorzystanie publicznych danych nie zwalnia z obowiązków związanych z ich przetwarzaniem. Organizacja pozarządowa jest administratorem tak samo, jak jest nim podmiot publiczny. Powinna więc wprowadzić mechanizmy, które zapobiegną podobnym naruszeniom – dodaje.

Problem w tym, że wprowadzenie rzeczywiście skutecznych mechanizmów może być trudne. Automatyczne wyszukiwanie nazwisk nie jest w pełni skuteczne, poza tym prowadzi do anonimizacji danych, które nie powinny być zanonimizowane. Czasem wręcz do ośmieszania anonimizacji, jak w przypadku Adolfa Hitlera, którego w uzasadnieniu skrócono do „A.H. na spotkaniu z generałami i marszałkami hitlerowskich Niemiec”. Ostatecznie więc treści publiczne musiałby weryfikować człowiek, co przy 600 tys. orzeczeń, które do tej pory opublikowano w bazie OpenJur, trudno sobie wyobrazić.

– OpenJur wskazuje, że jako organizacja non profit z darowiznami rzędu 2 tys. euro rocznie nie ma organizacyjnych i finansowych możliwości weryfikacji wszystkich publikowanych orzeczeń pod kątem anonimizacji danych – mówi Tomasz Borys.

Kiedy grozi odszkodowanie

Nie wszyscy zapytani przez nas eksperci uważają jednak, że doszło do naruszenia ochrony danych. Doktor hab. Robert Suwaj, prof. Politechniki Warszawskiej, zwraca uwagę na cele statutowe organizacji.

– Informacyjno-edukacyjny charakter działalności, polegający w zasadzie na udostępnieniu legalnych treści, prowadzi do realizacji zadań w interesie publicznym i takiej też ochronie powinno podlegać jako działanie w interesie publicznym – przekonuje prawnik, odwołując się do art. 6 ust. 1 lit. e RODO. Przepis ten uznaje za zgodne z prawem przetwarzanie danych, kiedy jest to „niezbędne do wykonania zadania realizowanego w interesie publicznym”.

Drugi istotny dla niego aspekt to charakter organizacji (non profit).

– Szczególnie istotne jest to, że do naruszenia RODO doszło w istocie refleksowo, bowiem – jak wynika z opisu – błąd został tu pierwotnie popełniony poprzez ujawnienie danych przez publicznie prowadzoną bazę danych kraju związkowego – zwraca uwagę prof. Robert Suwaj.

– Odpowiedzialność stowarzyszenia ma tu charakter wtórny do istoty ochrony danych, bowiem była realizowana w zaufaniu do działania podmiotu publicznego. Gdyby więc nie była to działalność non profit, można by oczekiwać, że podmiot, który takie dane upublicznia w ramach prowadzonej działalności gospodarczej, jest obowiązany zadbać o dodatkową ochronę przetwarzanych danych, gdyż działa w warunkach ryzyka gospodarczego – podsumowuje.

Doktor hab. Marlena Sakowska-Baryła nie podziela tej argumentacji. Także w kwestii ewentualnej odpowiedzialności.

– Trudno mi oceniać ewentualne szanse na wywalczenie odszkodowania, nie znając szczegółów sprawy. Sądzę jednak, że mniejszy wpływ na decyzję sądu o jego ewentualnym zasądzeniu i wysokości będzie miało to, że dane ujawniono w związku z działalnością komercyjną czy też nie, większe znaczenie ma tu zakres ewentualnej szkody i czy w ogóle można ją wykazać – zauważa. ©℗

ikona lupy />
Kiedy dochodzi do naruszenia / Dziennik Gazeta Prawna - wydanie cyfrowe