Bezprawne ujawnienie przez urzędników państwowych danych osobowych bulwersuje nie tylko przez sam fakt naruszenia prawa, lecz także to, że sankcje, nawet jeśli są wymierzone, dotykają administratora, a nie bezpośrednio winnego. Tak było w przypadku ministra zdrowia Adama Niedzielskiego, który w 2023 r. na portalu społecznościowym ujawnił dane osobowe lekarza, który wystawił receptę na samego siebie (chodziło o zmiany w prawie, które miały zablokować tzw. receptomaty). W grudniu tego samego roku prezes Urzędu Ochrony Danych Osobowych nałożył za to karę – 100 tys. zł. Sankcja dotknęła jednak nie Niedzielskiego, tylko Ministerstwo Zdrowia, bo to ono było administratorem. Podobnie jak jedna z najnowszych kar nałożonych na Prokuraturę Krajową. Prezes UODO wymierzył 85 tys. zł za to, że prokurator PK podczas konferencji prasowej ujawnił dane osoby pokrzywdzonej w głośnej sprawie Mariki, która została skazana za usiłowanie rozboju w związku z próbą wyrwania tęczowej torebki.
W uzasadnieniu tej ostatniej decyzji prezes UODO Mirosław Wróblewski zaszył jednak wskazówki, w których wprost zasugerował administratorowi możliwość pociągnięcia do odpowiedzialności prokuratora bezpośrednio winnego ujawnienia danych. W pierwszym rzędzie wskazał na przepisy kodeksu pracy dotyczące odpowiedzialności pracowników.
„Zatem osoba, która dopuściła się wyrządzenia szkody osobie trzeciej może ponieść odpowiedzialność majątkową za wyrządzoną szkodę w wysokości nieprzewyższającej kwoty trzymiesięcznego wynagrodzenia przysługującego mu w dniu wyrządzenia szkody (art. 119 Kodeksu pracy)” – podkreślono w decyzji.
„Administrator ma natomiast możliwość zastosowania środków prawnych, które pozwalają mu na dochodzenie odpowiedzialności prawnej i finansowej – w szczególności w cywilnoprawnym postępowaniu regresowym, tudzież w drodze pociągnięcia osoby winnej naruszenia przepisów o ochronie danych osobowych do odpowiedzialności karnej za ich naruszenie. Prezes UODO stoi na stanowisku, że dla zapewnienia skutecznej ochrony danych osobowych konieczne są efektywne mechanizmy dochodzenia odpowiedzialności za ich naruszenie przez administratorów, w tym także w odniesieniu do pracowników administratora. Odpowiedzialność ta powinna być jednak dochodzona w odpowiednich procedurach, wskazanych wyżej” – zaznaczył prezes UODO.
Łatwo nie będzie
Prawnicy, których poprosiliśmy o opinię, przyznają, że wskazana ścieżka rzeczywiście mogłaby doprowadzić do realnej odpowiedzialności bezpośredniego naruszyciela, choć wymagałoby to sporo zachodu i nie będzie łatwe.
– Jeśli do powstania po stronie administratora naruszenia RODO skutkującego szkodą przyczynił się jego pracownik, możliwe jest roszczenie regresowe pracodawcy wobec takiego pracownika. Ponosi on wówczas odpowiedzialność za szkodę w granicach rzeczywistej straty poniesionej przez pracodawcę, z tym, że odpowiedzialność pracownika ograniczona jest do wysokości trzymiesięcznego wynagrodzenia, chyba że pracownikowi można udowodnić winę umyślną. Pracodawca jest obowiązany wykazać okoliczności uzasadniające odpowiedzialność pracownika oraz wysokość powstałej szkody – analizuje dr hab. Arwid Mednis, wykładowca WPiA UW i wspólnik w kancelarii Kobylańska Lewoszewski Mednis.
– Sytuacja jest w miarę prosta, jeśli chodzi o dochodzenie odpowiedzialności na gruncie prawa pracy. Nie ma wątpliwości, że przy winie pracownika administrator może się domagać odszkodowania do wysokości trzykrotności miesięcznego wynagrodzenia pracownika – zgadza się dr hab. Marlena Sakowska-Baryła, prof. Uniwersytetu Łódzkiego, radczyni prawna, partnerka w kancelarii Sakowska-Baryła Czaplińska.
Czy administrator może wysuwać roszczenia przekraczające wspomnianą wysokość trzykrotnego wynagrodzenia? Tu sytuacja się komplikuje.
– Teoretycznie tak, na podstawie art. 415 kodeksu cywilnego. Zgodnie z tym przepisem osoba, która wyrządziła drugiemu szkodę, jest zobowiązana do jej naprawienia. Gdyby uznać, że urzędnik, ujawniając dane osobowe, nie działał jako pracownik, a szkodę poniósł nie bezpośredni pracodawca, tylko Skarb Państwa, to droga ta wydawałaby się teoretycznie otwarta. Mam jednak wątpliwości, jak do tej – jak zaznaczam – teoretycznej możliwości podszedłby sąd – analizuje mec. Marlena Sakowska-Baryła.
Możliwe sankcje karne
Regres byłby możliwy także, gdyby z roszczeniami do administratora wystąpiła sama osoba poszkodowana na podstawie art. 82 RODO. Jak informowały media, lekarz, którego dane ujawnił minister Niedzielski, dochodzi odpowiedzialności na drodze cywilnej do resortu zdrowia. Gdyby MZ poniosło taką odpowiedzialność i wypłaciło odszkodowanie, to na zasadach zaproponowanych przez prezesa UODO również mogłoby próbować odzyskać jeśli nie całość, to przynajmniej jakąś jego część od osoby bezpośrednio winnej ujawnienia danych.
– Uważam, że administratorzy danych powinni korzystać z takiej możliwości zawsze, kiedy tylko są ku temu możliwości prawne. W odczuciu społecznym to jest po prostu niesprawiedliwe, gdy osoba, która podejmuje np. decyzję o ujawnieniu danych osobowych wbrew prawu, nie ponosi żadnych konsekwencji swojego działania. Uważam także, że w tego rodzaju sprawach trzeba korzystać z drogi karnoprawnej, czyli wszczynać postępowania z art. 107 ustawy o ochronie danych osobowych – podsumowuje dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński.©℗