Abstrakt

Artykuł podejmuje problematykę odpowiedzialności prywatnoprawnej
za szkody wynikające z naruszenia przepisów dotyczących ochrony danych osobowych zawartych w RODO, a także w krajowych regulacjach dotyczących ochrony dóbr osobistych, ze szczególnym uwzględnieniem polskiego systemu prawnego. Zidentyfikowane różnice i praktyczne problemy związane z kumulacją roszczeń przeanalizowano na gruncie zasad wykładni prawa unijnego i na tle orzecznictwa. Artykuł wieńczy podsumowanie mające na celu podkreślenie odrębności prywatnoprawnych reżimów ochrony danych osobowych funkcjonujących w polskim prawie, które wspólnie tworzą komplementarny system nakierowany na holistyczną ochronę szeroko pojętej prywatności.

I. Wprowadzenie

Uchwalone przez Parlament Europejski i Radę dnia 27.04.2016 r. ogólne rozporządzenie o ochronie danych osobowychRozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. z 2016 r. nr 119, s. 1), dalej: RODO. wprowadziło nowe zasady ochrony danych osobowych w Unii Europejskiej, ustanawiając standardy wspólne dla wszystkich państw członkowskich. Jego przyjęcie podyktowane było odnotowaną przez unijnego prawodawcę potrzebą ujednolicenia i wzmocnienia ram ochrony danych w Unii Europejskiej oraz zdecydowanego ich egzekwowania, co miałoby przyczynić się do zwiększenia zaufania, które pozytywnie wpłynęłoby na rozwój gospodarki cyfrowej na rynku wewnętrznymMotyw 7 RODO. Obowiązki dotyczące ochrony danych wzmacniają ustanowione w RODO sankcje. Jednym z rodzajów odpowiedzialności, jakie wyraźnie przewiduje omawiane rozporządzenie, jest prywatnoprawna odpowiedzialność za szkody spowodowane naruszeniem przepisów regulujących proces przetwarzania danych osobowych.
Na mocy art. 82 ust. 1 RODO postanowiono bowiem, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Jednocześnie w dyskursie prawniczym funkcjonuje pogląd, zgodnie z którym „prywatność” i „dane osobowe” mogą podlegać ochronie również jako dobra osobiste uregulowane w przepisach art. 23 i 24 Kodeksu cywilnegoUstawa z 23.04.1964 r. Kodeks cywilny (t.j. Dz.U. z 2024 r. poz. 1061, 1237), dalej: k.c.. W związku z powyższym, w praktyce stosowania prawa pojawiają się problemy związane z precyzyjnym określeniem relacji pomiędzy ochroną przewidzianą w przepisach RODO a kodeksowym systemem ochrony dóbr osobistych. Jest to zagadnienie, wokół którego skupia się główny problem badawczy podejmowany w niniejszym artykule.

II. Podstawowe zagadnienia definicyjne

W celu zgłębienia problematyki odpowiedzialności za szkodę poniesioną w wyniku naruszenia przepisów dotyczących ochrony danych osobowych, a także ze względu na potrzebę zachowania przejrzystości wywodu, konieczne jest rozpoczęcie rozważań od ustalenia znaczenia pojęć istotnych dla tytułowego zagadnienia.

Podstawowym terminem wymagającym zdefiniowania na gruncie niniejszych rozważań są dane osobowe. Z uwagi na ścisły związek tego terminu z pojęciem prywatności, jego charakterystyka zostanie dokonana w ramach szerszego kontekstu uwarunkowanego prawną definicją prywatności. Zgodnie z art. 4 pkt 1 RODO dane osobowe to „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej («osobie, której dane dotyczą»). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować,
w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Ustalenie znaczenia pojęcia danych osobowych jest fundamentalne dla stwierdzenia zakresu ochrony wynikającej z RODO. W rozporządzeniu podtrzymano przyjęte w nieobowiązującej już dyrektywie 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danychDyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. UE. L. z 1995 r. nr 281, s. 31–50), dalej: dyrektywa 95/46/WE. szerokie podejście do definicji danych osobowychD. Lubasz (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, s. 164.. W literaturze przedmiotu zaproponowano wyróżnienie
4 elementów umożliwiających kwalifikację określonych danych w kategoriach danych osobowychD. Lubasz (w:) RODO…, s. 164.. W tym ujęciu dane osobowe to:

• wszelkie informacje, a więc informacje o charakterze osobowym, wśród których znajdują się zarówno dane bezpośrednio, jak i pośrednio identyfikująceD. Lubasz (w:) RODO…, s. 171.,
• dotyczące, a więc wykazujące merytoryczny związekMerytoryczny charakter tego związku oznacza, że są to informacje na temat danej osoby. Przy czym związek ten nie musi być ściśle osobowy, ale może odnosić się także do majątku, a więc wykazywać charakter rzeczowy. Jednakże musi przynajmniej w pośredni sposób dotyczyć oznaczonej osoby fizycznej. Por. D. Lubasz (w:) RODO…, s. 173.,
• ze zidentyfikowaną lub możliwą do zidentyfikowaniaPrzy czym oceny identyfikowalności dokonuje się, biorąc pod uwagę moment, w którym następuje przetwarzanie. Wynika to w szczególności z motywu 26 RODO, w którym wskazano, że w tym zakresie należy uwzględnić m.in. technologię dostępną w momencie przetwarzania danych oraz postęp technologiczny.,
• osobą fizycznąPrawodawca unijny to pojęcie przeciwstawia pojęciu osoby prawnej, co wprost wynika z motywu 14, w którym wskazano, że RODO nie ma zastosowania do przetwarzania danych osobowych odnoszących się do osób prawnych, a zwłaszcza przedsiębiorstw, które są osobami prawnymi, w tym danych na temat firmy i formy prawnej czy danych kontaktowych osoby prawnej..

Każda z tych przesłanek w celu ich wyczerpującego omówienia zasługiwałaby na odrębne opracowanie, jednakże dla zasadniczego przedmiotu niniejszego artykułu kluczowe jest zaprezentowanie podstawowej (ogólnej) definicji danych osobowychUzupełniająco dodać należy, że w RODO w wyjątkowy sposób potraktowano informacje na temat pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz danych genetycznych, danych biometrycznych, przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby (art. 9 ust. 1 RODO). Jak wynika z motywu 51 RODO, dane osobowe, które z uwagi na swą naturę mają charakter szczególnie wrażliwy, wymagają wzmocnionej ochrony prawnej, bowiem okoliczności ich przetwarzania mogą generować wysokie ryzyko dla podstawowych praw i wolności., co pozwoli na jej umieszczenie w szerszym kontekście związanym z pojęciem prywatności.

Chcąc wypełnić sygnalizowane tło uwarunkowane znaczeniem terminu „prywatność”, należy rozpocząć od jego kwalifikacji we właściwych kategoriach prawnych. Jest to bowiem termin interdyscyplinarny, analizowany z rozmaitych perspektyw – prawnej, socjologicznej, psychologicznej, filozoficznej etc. Na poziomie najbardziej podstawowym prywatność stanowi wartość będącą zjawiskiem kulturowym. W ten sam sposób należy spojrzeć na prawo, gdyż tworzone jest ono na fundamencie określonych wartości, ażeby je urzeczywistnić i chronićT. Stawecki, P. Winczorek, Wstęp do prawoznawstwa, Warszawa 2003, s. 20–22.. Podstawowe wartości odnoszące się do jednostki zadeklarowane zostały przede wszystkim w regulacjach konstytucyjnych wyznaczających ogólny ład aksjologiczny w społeczeństwie i państwie. Ich wspólnym źródłem jest przyrodzona i niezbywalna godność ludzka (art. 30 Konstytucji RPKonstytucja Rzeczypospolitej Polskiej z 2.04.1997 r. (Dz.U. nr 78 poz. 483).). Hierarchicznie niższe regulacje kodeksowe, traktujące o dobrach osobistych, stanowią swoiste kontinuum prawnego uznania wartości odnoszących się do funkcjonowania człowiekaK. Michałowska, Niemajątkowe wartości życia rodzinnego w polskim prawie cywilnym, Warszawa 2017, Legalis (dostęp: 3.10.2024 r.), rozdział II, § 2.. Prywatność jako wartość konstytucyjna podlega ochronie prawnej zwłaszcza w przepisach art. 47, 49, 50, 51 i 76, a także w art. 45 ust. 2 polskiej ustawy zasadniczej. Przy czym w art. 51 wyrażono expressis verbis prawo do ochrony danych osobowych. Na gruncie prawa cywilnego prywatność kwalifikowana jest jako dobro osobiste. Dla rozważań prowadzonych w niniejszym artykule kluczowe jest ustalenie znaczenia pojęcia dóbr osobistych, gdyż jest to niezbędnym krokiem ku rozstrzygnięciu relacji pomiędzy terminami „dane osobowe” i „prywatność”.

Podstawowych gwarancji ochrony dóbr osobistych, a także cech umożliwiających wyjaśnienie ich istoty, należy poszukiwać przede wszystkim w art. 23 i 24 k.c., przy czym w pierwszym z wymienionych przepisów został wprowadzony otwarty katalog dóbr osobistych, w którym prywatność nie została wyrażona wprost. Podobnie jak inne pozakodeksowe dobra osobiste, została wyinterpretowana w drodze twórczej wykładni doktryny i orzecznictwaJeszcze w latach 70. XX w. Sąd Najwyższy, odnosząc się do działalności prasowej, wskazał, że przepis art. 23 k.c. odnosi się także do „intymności życia prywatnego” (por. wyrok SN z 13.07.1977 r., I CR 234/77). Udzielana przez sądy ochrona życia prywatnego początkowo nawiązywała do tzw. koncepcji sfer A. Kopffa, a zatem polegała na przypisaniu poszczególnych naruszeń do oznaczonej sfery – intymności, prywatności bądź powszechnej dostępności (por. A. Kopff, Koncepcja praw do intymności i do prywatności życia osobistego (zagadnienia konstrukcyjne), „Studia Cywilistyczne”, t. XX, Kraków 1972, s. 31 i n.). Zmiana tej optyki nastąpiła wraz z wejściem w życie aktualnie obowiązującej Konstytucji Rzeczypospolitej Polskiej z 2.04.1997 r., w tym zwłaszcza w obliczu wprowadzenia do polskiego porządku prawnego zasad dotyczących autonomii jednostki – w tym w szczególności ujętej w art. 47, czyniąc ją tym samym podstawowym elementem budującym istotę prawa do prywatności, determinując jego treść i zakres (por. J. Sadomski (w:) Kodeks cywilny. Komentarz, red. serii K. Osajda, red. tomu W. Borysiak, Warszawa 2024, art. 23, pkt 122–124, Legalis, dostęp: 7.10.2024 r.). Wskutek powyższego Trybunał Konstytucyjny w ramach wydawanych rozstrzygnięć zaczął podkreślać, iż zakotwiczona w art. 47 ustawy zasadniczej ochrona życia prywatnego odnosi się między innymi do autonomii informacyjnej (por. np. wyrok TK z 19.02.2002 r., U 3/01, OTK-A 2002/1, poz. 3; wyrok TK z 6.12.2005 r., SK 7/05, OTK-A 2005/11, poz. 129).. W art. 24 k.c. przewidziano zaś środki ochrony dóbr osobistych, w tym roszczenia związane z zagrożeniem lub naruszeniem dobra osobistego. Są to środki o charakterze niemajątkowym (o zaniechanie, o usunięcie skutków naruszenia) oraz roszczenia majątkowe (o zadośćuczynienie pieniężne lub o zapłatę odpowiedniej sumy na cel społeczny czy roszczenie o naprawienie szkody majątkowej). Aktualnie przyjmowana definicja dóbr osobistych ma charakter obiektywnyDawniej zarówno sądy, jak i przedstawiciele doktryny, definiując dobra osobiste, opierali się na podejściu subiektywnym, odnoszącym się do przeżyć wewnętrznych (psychicznych) człowieka (por. np. wyrok SN z 19.09.1968 r., II CR 291/68, OSNC 1969/11, poz. 200). Traktowano je jako wartości świata uczuć, stanu życia psychicznego jednostki, mające charakter niemajątkowy i indywidualny, zaś przedmiotem ochrony prawnej w tym znaczeniu było określone uczucie człowieka i niezmącony stan życia psychicznego (por. S. Grzybowski, Ochrona dóbr osobistych według przepisów ogólnych prawa cywilnego, Warszawa 1957, s. 78). i nawiązuje do przyjętych i powszechnie aprobowanych w społeczeństwie ocenPor. np. wyrok SN z 5.04.2002 r., II CKN 953/00, LEX nr 55098; wyrok SN z 11.03.1997 r., III CKN 33/97, OSNC 1997/6–7, poz. 93.. Nie jest to jednak równoznaczne ze zignorowaniem aspektu subiektywne go, bowiem wzięcie pod uwagę percepcji osoby pokrzywdzonej jest konieczne przy ustaleniu, czy doszło do naruszenia dobra osobistegoPor. wyrok SN z 21.09.2022 r., I NSNc 75/21, OSNKN 2022/4, poz. 23., i przy określeniu natężenia tego naruszenia. Obecnie więc pod pojęciem dóbr osobistych rozumie się wartości niemajątkowe odnoszące się do osobowości człowieka, tj. jego fizyczną i psychiczną integralność i przejawy twórczej działalności, powszechnie uznawane w określonym społeczeństwie. Wskutek powyższego pojęciem tym nie są objęte przypadki o nieistotnym, banalnym znaczeniu, które niezależnie od osobiście odczuwanej dolegliwości przez osobę pokrzywdzoną, w odczuciu społecznym nie powinny być objęte ochroną prawną. Ponadto wskazuje się, że dobra osobiste są ściśle związane z indywidualnością jednostki i jej pozycją w ramach społeczeństwa, zapewniając możliwość jej samorealizacji. Nade wszystko są zaś emanacją istotnych wartości etycznych – w tym w szczególności godności ludzkiejA. Sylwestrzak (w:) Kodeks cywilny. Komentarz, red. M. Balwicka-Szczyrba, Warszawa 2024, s. 107 i przywołana tam literatura..

W doktrynie nie istnieje jednolite stanowisko dotyczące tego, czy należy mówić o wielu dobrach osobistych, czy też o jednym ogólnym dobru osobistym. Obecnie przeważa pogląd, zgodnie z którym w polskim prawie cywilnym ochronie podlegają poszczególne dobra osobiste (a zatem istnieje wiele różnych dóbr osobistych). Zwolennicy koncepcji ogólnego dobra osobistego podnoszą, że jest ona pomocna w wypadkach, w których ujawnia się potrzeba objęcia ochroną dobra, którego nie wymieniono wprost w ustawie i które nawet trudno zdefiniowaćS. Grzybowski (w:) System Prawa Cywilnego, t. 1, Część ogólna, red. W. Czachórski, Ossolineum 1974, s. 297.. Podkreśla się,
że w krajowym prawie cywilnym pojęcie ogólnego dobra osobistego jest pozbawione użyteczności, ponieważ regulacje kodeksowe wyróżniają konkretne, odrębne dobra osobiste. Co się zaś tyczy prywatności, należy podkreślić, iż szeroko podzielany jest pogląd, zgodnie z którym dane osobowe stanowią element szerszego dobra osobistego w postaci prywatności. Jak wskazał Sąd Najwyższy (dalej: SN) w wyroku z 15.02.2008 r.Wyrok SN z 15.02.2008 r., I CSK 358/07, OSNC 2009/4, poz. 63., należy przyznać rację przeważającemu w doktrynie i orzecznictwie Trybunału Konstytucyjnego (dalej: TK) stanowisku, zgodnie z którym prawo do ochrony danych osobowych zakotwiczone jest bezpośrednio w takich dobrach osobistych, jak godność człowieka i prawo do prywatnościPor. wyroki TK z: 19.02.2002 r., U 3/01, OTK-A Zb.Urz. 2002/1, poz. 3; 12.11.2002 r., SK 40/01, OTK-A Zb.Urz. 2002/6, poz. 81.. Taki postulat został sformułowany jeszcze na gruncie poprzednio obowiązującego stanu prawnego opartego na dyrektywie 95/46/WE oraz ustawie o ochronie danych osobowych z 29.08.1997 r.Ustawa z 29.08.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922), dalej: u.o.d.o.1997.
Należy jednak zwrócić uwagę, że zarówno w ówczesnej literaturzePor. np. A. Bierć, Ochrona prawna danych osobowych w sferze działalności gospodarczej w Polsce – aspekty cywilnoprawne (w:) Ochrona danych osobowych, red. M. Wyrzykowski, Warszawa 1997, s. 112 i n.; J. Barta, R. Markiewicz, Internet a prawo, Kraków 1998, s. 32., jak i w orzecznictwiePor. np. wyrok SA w Gdańsku z 18.02.2015 r., I ACa 785/14. można było spotkać się z poglądem, w myśl którego dysponowanie własnymi danymi osobowymi powinno się traktować w kategoriach odrębnego dobra osobistego. W związku z tym, w przypadku wystąpienia dodatkowych przesłanek (w postaci m.in. winy) możliwe było zasądzenie zadośćuczynienia w razie naruszenia norm u.o.d.o. 1997.

Nie zmienia to jednak faktu, iż dominuje zapatrywanie o relacji inkluzji pojęciowej pomiędzy omawianymi terminami, w ramach której pojęcie prywatności obejmuje obszar związany z danymi osobowymi jednostki. Powyższa teza prima facie może jawić się jako kontrowersyjna w obliczu stanowiska sformułowanego przez
Sąd Najwyższy m.in. w wyroku z 31.05.2023 r.Wyrok SN z 31.05.2023 r., II CSKP 1251/22, LEX nr 3590461., w którym sąd ten wskazał, że: „Z przepisów Konstytucji RP ustanawiających prawa osobiste, nawet takich jak
art. 47 Konstytucji RP, nie sposób wyprowadzić wniosku, że wszystkie wskazane w nich wartości stanowią dobra osobiste”SN na poparcie tego poglądu odwołał się do uchwały składu 7 sędziów SN z 22.10.2019 r., w której rozpoznawano zagadnienie niemajątkowej ochrony więzi rodzinnej w obliczu ciężkiego i trwałego rozstroju zdrowia członka rodziny. W finalnych wnioskach SN doszedł m.in. do konkluzji o tym, że przyznanie zadośćuczynienia pieniężnego za naruszenie więzi rodzinnej byłoby sprzeczne z ugruntowaną w doktrynie i judykaturze konstrukcją dobra osobistego. Wskazać należy, iż przeprowadzone w tym zakresie rozważania spotkały się z krytyką w literaturze (por. np. T. Nowakowski, Zadośćuczynienie pieniężne za naruszenie więzi rodzinnej. Glosa do uchwały SN z dnia 22 października 2019 r., I NSNZP 2/19, OSP 2020/5, s. 38). W szczególności krytyce poddaje się abstrahowanie SN w ustalaniu statusu więzi rodzinnej od okoliczności związanych ze zmianami w przestrzeni społecznej i technologicznej, które prowadzą do pojawiania się nowych dóbr osobistych, oraz od faktu, że kierunku rozwoju tego procesu w przyszłości w zasadzie nie da się przewidzieć.. SN w cytowanym orzeczeniu wskazał także, iż: „Pomimo tego, że prawo do ochrony danych osobowych jest konstytucyjnym prawem osobistym, to nie może być utożsamiane z dobrami ani prawami osobistymi, o których mowa w art. 23–24 k.c.” W tym miejscu warto posłużyć się perspektywą przedstawioną przez SN w wyroku z 8.11.2012 r.Wyrok SN z 8.11.2012 r., I CSK 190/12, OSNC 2013/5, poz. 67., w którym sąd ten rozpatrywał kwestię związaną z przynależnością danych osobowych do zakresu prywatnościPrzy czym pojęcie prywatności SN dekodował w odniesieniu do art. 5 ust. 2 ustawy z 6.09.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2022 r. poz. 902).. SN, powołując się na dotychczasowe orzecznictwo, wskazał, że w obecnych czasach, kiedy gromadzenie i przetwarzanie danych jest względnie łatwe, zwłaszcza na poziomie technicznym, pojawia się konieczność ochrony jednostki przed pozbawionym kontroli zbieraniem i posługiwaniem się jej danymi osobowymi. Z tych powodów prawodawca intensyfikuje taką ochronę, również przez wprowadzanie odpowiednich regulacji publicznoprawnychSN odwoływał się do przepisów nieobowiązujących już aktów prawnych: u.o.d.o.1997 oraz dyrektywy 95/46/WE.. SN w cytowanych rozważaniach odwołał się także do orzeczenia z 28.04.2004 r.Wyrok SN z 28.04.2004 r., I CSK 190/12., w którym podkreślono, że w ramach oceny, czy doszło do ingerencji w obszar pozostającego pod ochroną prawną życia prywatnego, nie można prowadzić do absolutyzacji tego pojęcia, ponieważ z uwagi na ogólność tego terminu konieczna jest jego wykładnia przez pryzmat konkretnych okoliczności sprawy. Prywatny obszar życia obejmuje zaś sytuacje i okoliczności pozostające w sferze życia osobistego i rodzinnego. Nie jest to równoznaczne, zdaniem SN, z tym, że każda informacja odnosząca się do oznaczonej osoby przynależy do obszaru jej życia osobistego. SN podkreślił, że reżimy ochrony prawa do prywatności oraz ochrony danych osobowych pozostają względem siebie niezależne, przy czym dochodzi między nimi do wzajemnych relacji i oddziaływań, ponieważ w określonych wypadkach przetwarzanie danych osobowych może implikować naruszenie dobra osobistego (prywatności), albo też ochrona tej ostatniej wartości będzie wiązała się z koniecznością zaoponowania przeciwko wykorzystaniu danych osobowych.

Jak wynika z metryk przytoczonych orzeczeń SN, opisane stanowisko zostało ukute jeszcze na gruncie poprzednio obowiązującego stanu prawnego w zakresie ochrony danych osobowych. Podkreślano wówczas, że nie ma odrębnego dobra osobistego w postaci danych osobowych, zaś cywilnoprawny system ochrony wartości niemajątkowych oraz administracyjny system ochrony danych osobowych są względem siebie niezależne. Dostrzegano jednakże, iż naruszenia z obszaru ochrony danych osobowych mogą mieć znaczenie dla oceny, czy doszło do naruszenia prywatności (dobra osobistego). Dlatego też podkreślano, że pomiędzy tymi regulacjami występuje stosunek krzyżowaniaPor. np. A. Wojciechowska (w:) Media a dobra osobiste, red. J. Barta, R. Markiewicz, Warszawa 2009, s. 369; M. Pazdan (w:) System Prawa Prywatnego, t. 1, Prawo cywilne – część ogólna, red. M. Safjan, Warszawa 2012, s. 1265.. Wskutek powyższego możliwe było zasądzenie na podstawie art. 24 § 2 zd. trzecie w zw. z art. 448 k.c. zadośćuczynienia, w wypadku gdy niezgodne z prawem przetwarzanie danych osobowych spowodowało ujawnienie informacji odnoszących się do prywatności jednostki.

W przekonaniu autorek niniejszego artykułu, w obliczu współczesnego znaczenia danych osobowych traktowanych w kategoriach swoistej waluty, nie sposób odmówić im pozostawania w obszarze prywatności jednostki. Dyskusje prawne dotyczące relacji pomiędzy tymi pojęciami zdają się mieć sens, gdy mowa jest o metodach ochrony wartości niemajątkowych, o czym traktują kolejne części niniejszego artykułu. Refleksja na poziomie pojęciowym, a zatem na płaszczyźnie wartości podlegających ochronie, winna być pozbawiona takich kontrowersji. Zwłaszcza we współczesnych realiach społecznych uwarunkowanych cyfryzacją, globalizacją oraz masowym i powszechnym przetwarzaniem danych osobowych, immanentnie stają się one związane z pojęciem prywatności człowieka, stanowiąc zasadniczy element ochrony jego tożsamości i autonomii we współczesnym społeczeństwie informacyjnym. Sam zaś fakt różnorodności środków prawnych służących ochronie poszczególnych wartości należących do określonego obszaru funkcjonowania jednostki i tym samym ich normatywnej kategoryzacji nie oznacza, że na poziomie przedmiotu ochrony (wartości) dochodzi do ścisłego wyodrębnienia tych obszarów i ich zupełnej emancypacji.
Tego rodzaju kategoryzacje wynikają z potrzeby zagwarantowania funkcjonowania poszczególnych rozwiązań legislacyjnych, są elementem języka prawnego i prawniczego, nie zaś kreowania nowych wartości społecznych podlegających ochronie prawnej.

III. Przesłanki odpowiedzialności odszkodowawczej na gruncie RODO i w Kodeksie cywilnym

Dalsze rozważania opierać się będą na porównaniu przesłanek odpowiedzialności odszkodowawczej na gruncie RODO i w ramach regulacji przewidzianych w Kodeksie cywilnym. W klasycznym modelu odpowiedzialności odszkodowawczej do jej zaistnienia konieczne jest wystąpienie trzech podstawowych przesłanek, a mianowicie:

• zdarzenia wywołującego szkodę,
• szkody,
• związku przyczynowego pomiędzy zdarzeniem wywołującym szkodę a samą szkodą.

O ile w odniesieniu do odpowiedzialności odszkodowawczej wynikającej z naruszenia dobra osobistego nie budzi wątpliwości jej prywatnoprawny charakter, o tyle w odniesieniu do regulacji RODO w tym zakresie mogą pojawić się pewne wątpliwości, z uwagi na generalnie publicznoprawny charakter tego rozporządzeniaW literaturze co do zasady nie podnoszono wątpliwości co do cywilnoprawnego charakteru regulacji art. 82 RODO, jednakże pewne kontrowersje toczyły się wokół zagadnienia natury odpowiedzialności odszkodowawczej uregulowanej w tym przepisie. Mianowicie rozprawiano o tym, czy jest to odpowiedzialność deliktowa, czy też kontraktowa. Aktualnie w doktrynie przyjmuje się relatywnie jednolicie, że jest to odpowiedzialność deliktowa (por. M. Gumularz, Wpływ regulacji odpowiedzialności odszkodowawczej w ogólnym rozporządzeniu o ochronie danych osobowych na systemy prawa prywatnego państw członkowskich, „Europejski Przegląd Sądowy” 2017/5, s. 33; R. Strugała, RODO a odpowiedzialność odszkodowawcza. Podstawowe problemy odpowiedzialności za szkodę spowodowaną nieprawidłowym przetwarzaniem danych osobowych, „Monitor Prawniczy” 2018/17, s. 918).. W dyskursie prawniczym jednomyślnie wskazuje się jednak, że roszczenia z art. 82 RODO są przejawem tzw. private enforcement, stanowiącego uzupełnienie publicznoprawnej metody ochrony praw jednostekR. Strugała, RODO..., s. 914.. Regulacji z art. 82 należy zaś przypisać jednoznacznie cywilnoprawny charakter. W celu potwierdzenia powyższej tezy uzasadnione jest odwołanie do przepisu art. 92 ustawy z 10.05.2018 r. o ochronie danych osobowychUstawa z 10.05.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781), dalej: u.o.d.o., zgodnie z którym w zakresie nieuregulowanym rozporządzeniem 2016/679 do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i 89 RODO, stosuje się przepisy k.c. W uzasadnieniu rządowego projektu ustawy o ochronie danych osobowych wskazano, iż konstrukcja art. 92 u.o.d.o. ma na celu rozstrzygnięcie o cywilnoprawnym charakterze roszczenia mającego źródło w art. 82 RODOUzasadnienie rządowego projektu ustawy o ochronie danych osobowych, druk nr 2410, s. 41..

Do warunków zaistnienia odpowiedzialności prywatnoprawnej na gruncie
art. 82 RODO należą:

• zdarzenie szkodzące polegające na naruszeniu RODO, aktów delegowanych i wykonawczych przyjętych na mocy RODO lub prawa państwa członkowskiego doprecyzowującego RODOMotyw 146 RODO.,
• poniesienie przez podmiot danych szkody w postaci szkody majątkowej lub niemajątkowej,
• a także związek przyczynowy między tą szkodą a naruszeniem.

Jednocześnie zastrzeżenia wymaga, że wszystkie wymienione przesłanki muszą być spełnione kumulatywnieWyrok TS z 4.05.2023 r., UI v. Österreichische Post, C-300/21, EU:C:2023:370, pkt 32.. Dodatkowo, jak wynika z najnowszego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, powstanie odpowiedzialności administratora danych na gruncie art. 82 RODO uzależnione jest od jego winy, której istnienie domniemywa się, chyba że podmiot ten wykaże, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3 RODO)Por. także wyrok TS z 21.12.2023 r., Krankenversicherung Nordrhein, C-667/12, EU:C:2023:1022, pkt 103..

W odniesieniu do pierwszego z warunków wskazać należy, że prawo do odszkodowania przysługuje wówczas, gdy szkoda jest konsekwencją naruszenia przepisów rozporządzenia. Przy czym treść motywu 146 preambuły RODO dostarcza wyjaśnienia, zgodnie z którym przetwarzanie, które odbywa się w sposób naruszający rozporządzenie, to również przetwarzanie naruszające akty delegowane i wykonawcze przyjęte na podstawie rozporządzenia, a także prawo państwa członkowskiego, które doprecyzowuje regulacje RODO. Zgodnie z art. 82 ust. 2 RODO, każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym wspomniane rozporządzenie. Podmiot przetwarzający odpowiada zaś za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom. Zgodnie ze stanowiskiem doktryny powyższe „naruszenia przepisów rozporządzenia” nie będą dotyczyć jednak tych działań lub zaniechań, które choć stanowią przejaw naruszenia zasad współżycia społecznego, wykraczają poza postanowienia RODOZob. K. Biczysko-Pudełko, Rozdział IV. Kształtowanie się odpowiedzialności dostawcy usług cloud computing – rozważania cywilnoprawne (w:) Cywilnoprawna odpowiedzialność dostawcy usług cloud computing w świetle przepisów rozporządzenia ogólnego o ochronie danych osobowych – wybrane problemy, Warszawa 2021, Legalis (dostęp: 20.10.2024 r.)..

Kolejnym z wymienionych warunków ponoszenia odpowiedzialności odszkodowawczej na gruncie RODO jest zaistnienie szkody. Z uwagi na specyfikę prawną rozporządzenia, które ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich (art. 288 Traktatu o funkcjonowaniu Unii Europejskiej)Traktat o funkcjonowaniu Unii Europejskiej, wersja skonsolidowana (Dz.Urz. UE C 202 z 2016 r.), s. 47, dalej: TFUE., a także kierując się zasadami autonomicznej wykładni prawa unijnego w duchu effet utile – pojęcie szkody należy interpretować szeroko i zgodnie z orzecznictwem Trybunału Sprawiedliwości (dalej: TS)Motyw 146 RODO; R. Strugała, RODO..., s. 915–916.. W konsekwencji rozumienie tego pojęcia nie musi odpowiadać znaczeniu szkody utrwalonemu w krajowych porządkach prawnych państw członkowskich UEA. Pązik, Szkoda wynikająca z naruszenia przepisów RODO. Wybrane problemy, „Zeszyty Naukowe Uniwersytetu Jagiellońskiego” 2020/3, s. 134.. W myśl motywu 146 preambuły RODO pojęcie szkody powinno być wykładane szeroko i przez pryzmat orzecznictwa Trybunału, a także w sposób w pełni odzwierciedlający cele rozporządzenia. Dorobku orzeczniczego TS w przedmiocie odpowiedzialności odszkodowawczej za naruszenie regulacji dotyczących ochrony danych osobowych nie można na obecną chwilę określić jako ukształtowanego i wyjaśniającego wszelkie powstające w tym zakresie wątpliwości.

Najwięcej rozstrzygnięć traktujących o pojęciu szkody TS wydał w sprawach dotyczących odpowiedzialności odszkodowawczej UE za szkody spowodowane jej działalnością (na podstawie art 340 TFUE). Wykładnia tego pojęcia dokonywana przez TS w powyższym kontekście podobna jest do definicji szkody w krajowym prawie cywilnym (w myśl tzw. teorii dyferencyjnej)A. Pązik, Szkoda..., s. 134 i n.. Jednakże najbardziej aktualne stanowisko prezentowane przez Trybunał Sprawiedliwości dowodzi, że z uwagi na to, iż RODO nie nawiązuje do prawa państw członkowskich w stosunku do znaczenia i zakresu pojęć zawartych w art. 82 ust. 1 RODO, w tym zwłaszcza do pojęć „szkody majątkowej lub niemajątkowej” i „odszkodowania za poniesioną szkodę”, do celów stosowania regulacji rozporządzenia terminy te należy postrzegać jako „autonomiczne pojęcia prawa Unii, które należy interpretować w sposób jednolity we wszystkich państwach członkowskich”Por. wyrok TS z 4.10.2024 r., C-200/23, Agentsia Po Vpisvaniyata v. OL, LEX nr 3763091, pkt 139; wyrok TS z 20.06.2024 r., C-590/22, AT i BT v. PS GBR i in., LEX nr 3727851, pkt 31; wyrok TS z 25.01.2024 r., C-687/21, BL v. Mediamarktsaturn Hagen-Iserlohn Gmbh, Anciennement Saturn Electro-Handelsgesellschaft Mbh Hagen, LEX nr 3666347, pkt 64; wyrok TS, C-300/21, pkt 30..

Dowodem na autonomiczny charakter pojęć występujących w treści
art. 82 ust. 1 RODO jest stanowisko TS, zgodnie z którym nawet obawa przed ewentualnym nielegalnym wykorzystaniem danych osobowych przez osoby trzecie, jaką żywi podmiot danych w związku z naruszeniem RODO, może sama w sobie stanowić „szkodę niemajątkową” i być przedmiotem odszkodowaniaPor. np. wyrok TS z 14.12.2023 r., VB v. Natsionalna agentsia za prihodite, C‑340/21, ECLI:EU:C:2023:986, pkt 87; wyrok TS z 4.10.2024 r., Agentsia po vpisvaniyata v. OL, ECLI:EU:C:2024:827, C-200/23, pkt 144.. W judykatach wydanych na tle spraw związanych z odpowiedzialnością UE na podstawie art. 340 TFUE, Trybunał podkreślał, że szkoda nie może mieć charakteru wyłącznie potencjalnego, a uszczerbek musi być rzeczywisty i pewnyA. Pązik, Szkoda..., s. 134.. W orzeczeniach zaś dotyczących wykładni art. 82 ust. 1 RODO Trybunał wskazuje, że z uwagi na dyrektywę szerokiego rozumienia pojęcia szkody (motyw 85 i 146 RODO), a także biorąc pod uwagę cel, który to rozporządzenie ma realizować, a mianowicie zagwarantowanie wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych, pod pojęciem szkody niemajątkowej należy rozumieć także obawę jednostki, iż jej dane osobowe mogłyby w przyszłości być wykorzystane w sposób stanowiący nadużycieWyrok TS, C-200/23, pkt 144–146.. TS podkreśla również, że pojęcie szkody niemajątkowej nie może być zredukowane tylko do szkód bądź uszczerbków o oznaczonej randze, w tym w szczególności w odniesieniu do długości czasu, w którym realizowały się ujemne konsekwencje naruszenia przepisów RODOWyrok TS, C-200/23, pkt 147; wyrok TS z 14.12.2023 r., C-456/22, VX i AT v. Gemeinde Ummendorf, LEX nr 3642730, pkt 16, 19 i przytoczone tam orzeczenia.. Do innych przykładów szkód, jakie expressis verbis w motywie 85 wymienia RODO, należą też utrata kontroli nad własnymi danymi osobowymi, dyskryminacja, kradzież lub sfałszowanie tożsamości, jak też strata finansowaNawiązując do sygnalizowanej wcześniej kwestii szerokiego ujęcia terminu „szkoda” na gruncie RODO, wyjaśnić należy, że w tym znaczeniu obejmuje ono rzeczywiste straty, utracone korzyści, a także szkodę niemajątkową (por. wyrok TS z 2.06.1976 r., C-56-60/74: Kurt Kampffmeyer Mühlenvereinigung KG i inni v. Komisja i Rada Wspólnot Europejskich, EU:C:1976:78), niemniej jednak w piśmiennictwie wskazuje się, że w stosunku do utraconych korzyści i szkody niemajątkowej, Trybunał prezentuje dość surowe podejście w ocenie żądań poszkodowanych (A. Pązik, Szkoda..., s. 137). Wyraża się to chociażby w konieczności dowodzenia dużego prawdopodobieństwa uzyskania korzyści lub w przyjęciu, że inne środki prawne, aniżeli świadczenie pieniężne, są dostatecznie satysfakcjonujące w celu naprawienia szkód niemajątkowych czy też w orzekaniu zadośćuczynień na poziomie symbolicznym albo w wymogu precyzyjnego wykazania ujemnych przeżyć psychicznych wynikających z ingerencji w określone przepisy dotyczące ochrony danych osobowych. Por. A. Pązik, Szkoda..., s. 134–137 i przywołane tam orzeczenia..

Następną przesłanką niezbędną do powstania odpowiedzialności odszkodowawczej jest zaistnienie związku przyczynowego pomiędzy powstałą szkodą a naruszeniem przepisów RODO. Z uwagi na fakt, że jego charakter nie został opisany ani w art. 82 RODO, ani w motywach rozporządzenia, a tym samym nie wskazano, za jaką koncepcją związku przyczynowego opowiedział się unijny prawodawca, w doktrynie pojawiło się kilka stanowisk. M. Jagielska i M. Jagielski, analizując to zagadnienie, doszli do wniosku, że opisywana kwestia w sporach z „elementem obcym” będzie podlegała odpowiedniemu statutowiM. Jagielska, M. Jagielski, W poszukiwaniu prawa właściwego dla cywilnoprawnych roszczeń odszkodowawczych z tytułu naruszenia RODO (art. 82 RODO), „Problemy Prawa Prywatnego Międzynarodowego” 2021/28, s. 58.. Z kolei R. Strugała opowiada się za konstruowaniem związku przyczynowego w duchu prawa unijnego, zgodnie z aktualnym i przyszłym orzecznictwem Trybunału, nie precyzując jednak jego szczegółowej treściR. Strugała, RODO..., s. 915 i n.. Inny autor, M. Górski, postuluje stosowanie reguł interpretacyjnych wypracowanych w tym zakresie w ramach odpowiedzialności odszkodowawczej za naruszenie prawa unijnego, a tym samym przyjęcie koncepcji związku bezpośredniego (adekwatnego), a zatem relacji, w której szkoda jest zwykłym, normalnym następstwem bezprawnościM. Górski, Komentarz do art. 82 (w:) Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, Legalis (dostęp: 20.10.2024 r.), nb. 8.. Autor podnosi, że formuła odpowiedzialności odszkodowawczej za naruszenie prawa unijnego nie zależy od rodzaju podmiotu, który jest sprawcą naruszenia, a więc nie ma znaczenia, czy naruszycielem jest państwo, osoba fizyczna czy sama Unia Europejska, co nadaje jej charakter uniwersalnyM. Górski, Komentarz do art. 82…, nb. 8..

Ostatnią z przesłanek stosowania art. 82 RODO jest wina podmiotu naruszającego. Trybunał Sprawiedliwości wskazał, że omawiany przepis należy interpretować w ten sposób, że powstanie odpowiedzialności administratora danych jest uwarunkowane jego winą, której istnienie domniemywa sięWyrok TS, C‑667/21, pkt 103; wyrok TS, C-687/21, pkt 52.. Tym samym TS odniósł się do kwestii ciężaru dowodu, stwierdzając, iż ten spoczywa nie na osobie, która poniosła szkodę, lecz na administratorze, co uzasadnione jest kontekstem, w jaki wpisuje się art. 82 RODO, a także celami realizowanymi przez unijnego prawodawcę poprzez przepisy RODOWyrok TS, C‑667/21, pkt 94.. Co istotne dla dalszych rozważań, TS stwierdził, iż art. 82 RODO nie wymaga wzięcia pod uwagę stopnia winy przy określaniu kwoty odszkodowania przyznawanego za doznaną szkodę niemajątkowąWyrok TS, C‑667/21, pkt 103.. Powyższa ocena dokonana przez Trybunał określa odpowiedzialność z tytułu naruszenia danych osobowych jako tę opartą na zasadzie winy, co wywoływało dotychczas istotny spór w polskiej doktrynie. W jego ramach niektórzy z przedstawicieli krajowej nauki prawa upatrywali
w art. 82 RODO przesłanek odpowiedzialności opartej na zasadzie winyM. Gumularz, Wpływ..., s. 33; P. Litwiński, P. Barta, M. Kawecki, Komentarz do art. 82 (w:) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Komentarz, Warszawa 2018, Legalis (dostęp: 10.10.2024 r.), nb. 3; P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, s. 698; O. Legat (w:) Ustawa o ochronie danych osobowych. Komentarz, red. B. Marcinkowski, Warszawa 2018, s. 227 i n., podczas gdy inni taki wniosek odrzucali, uznając, że unijny prawodawca opowiedział się w powyższym przepisie za koncepcją odpowiedzialności obiektywnejR. Strugała, RODO..., s. 961; W. Lamik, Zasada odpowiedzialności odszkodowawczej administratora i podmiotu przetwarzającego na gruncie ogólnego rozporządzenia o ochronie danych (RODO), „Prawo Nowych Technologii” 2023/2, Legalis (dostęp: 10.10.2024 r.)..

Choć RODO nie precyzuje, w jaki sposób miałoby nastąpić naprawienie szkodyNaprawienie szeroko rozumianej szkody zgodnie z poglądami sformułowanymi w odniesieniu do odpowiedzialności odszkodowawczej UE (na podstawie art. 340 TFUE) powinno w istocie polegać na doprowadzeniu do identycznego stanu, jaki miałby miejsce, gdyby nie doszło do wyrządzenia szkody, ewentualnie do stanu maksymalnie zbliżonego do tego, jaki istniałby w sytuacji braku wystąpienia zdarzenia wywołującego szkodę. Por. A. Pązik, Szkoda..., s. 134 i przywołane tam orzeczenia oraz literatura., art. 82 ust. 5 RODO akcentuje kwestię „zapłaty” odszkodowania, co sugerowałoby, że roszczenie odszkodowawcze może mieć jedynie charakter pieniężnyN. Zawadzka (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, s. 1052.. Z uwagi jednak na art. 82 ust. 4, który zakłada zasadę „pełnego i skutecznego odszkodowania za poniesione szkody”, nie należy wykluczać także innych form naprawienia szkody, choćby in natura. W rezultacie powyższego, jak wskazuje M. Gumularz, dopuszczalne byłoby ostrożne stosowanie – w przypadku zaistnienia szkody majątkowej – art. 363 k.c., dającego możliwość wyboru pomiędzy roszczeniem pieniężnym i in natura, a w przypadku krzywdy – stosowanie art. 448 k.c. w zakresie roszczeń majątkowychM. Gumularz, Wpływ…, s. 34.. Należy także podkreślić, że nie istnieje w prawie unijnym, charakterystyczny prawu polskiemu, wyraźny podział na zadośćuczynienie i odszkodowanie.

Tymczasem zgodnie z art. 24 k.c. do przesłanek odpowiedzialności z tytułu naruszenia dóbr osobistych należą:

• naruszenie lub zagrożenie określonego dobra osobistego;
• bezprawność naruszenia (bądź zagrożenia) dobra, przy czym występuje tu domniemanie bezprawności naruszenia (bądź zagrożenia).

Choć ochrona dóbr osobistych ma charakter obiektywny, a więc w przeciwieństwie do art. 82 RODO, niezależny od winy, wina ma znaczenie w przypadku dochodzenia roszczeń majątkowych. Roszczenia o zadośćuczynienie za krzywdę lub o zapłatę określonej sumy na cel społeczny przysługują bowiem na zasadach przewidzianych w reżimie odpowiedzialności deliktowej. Udowodnienie winy jest wymagane również w ramach roszczenia o naprawienie szkody majątkowej (art. 24 § 2 k.c.)A. Sylwestrzak (w:) Kodeks cywilny..., s. 114.. Ponadto, co zdaje się również odróżniać poglądy polskiej judykatury od orzecznictwa unijnego, większe nasilenie winy stanowi w reżimie ochrony dóbr osobistych okoliczność przemawiającą za przyznaniem wyższego zadośćuczynieniaWyrok SA w Warszawie z 5.12.2017 r. (V ACa 1446/17), LEX nr 2425604..

IV. Środki ochrony prawnej w poszczególnych modelach odpowiedzialności

Wstępem do rozważań na temat środków ochrony prawnej w związku z naruszeniem danych osobowych winno być przytoczenie art. 79 ust. 1 RODO. Zgodnie z tym przepisem, bez uszczerbku dla dostępnych administracyjnych bądź pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeśli stwierdzi, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem przepisów tego rozporządzenia. W motywie 141 RODO wyjaśniono, iż mowa tu o sądzie w rozumieniu art. 47 Karty praw podstawowych Unii EuropejskiejKarta praw podstawowych Unii Europejskiej (Dz.U. UE. C. z 2016 r. nr 202, s. 389)., a więc niezawisłym i bezstronnym organie gwarantującym sprawiedliwe i jawne rozpatrzenie sprawy w rozsądnym terminie. W literaturze podkreśla się, że wskazana wyżej podstawa prawna stanowi normę kompetencyjnąZob. A. Pązik, Roszczenie(?) z art. 79 RODO jako środek ochrony przed bezprawnym przetwarzaniem danych osobowych z wykorzystaniem nowych technologii (w:) Prawo sztucznej inteligencji i nowych technologii, red. B. Fischer, A. Pązik, M. Świerczyński, Warszawa 2021, s. 449–451, gdzie autor analizuje zróżnicowane poglądy doktryny prawniczej na art. 79 ust. 1 RODO, konkludując, iż „art. 79 ust. 1 RODO nie stanowi nowej materialnoprawnej podstawy do dochodzenia przez jednostkę ochrony jej praw przyznanych przez rozporządzenie”.. „Niesamodzielność” art. 79 ust. 1 RODO objawia się także tym, iż choć powyższy przepis umożliwia dochodzenie roszczeń zarówno majątkowych, jak i niemajątkowych, to, zdaniem części przedstawicieli doktryny, może to nastąpić tylko w powiązaniu z zarzutem naruszenia dóbr osobistych z art. 24 k.c. i w związku z art. 92 u.o.d.o., zgodnie z którym k.c. należy stosować jedynie w zakresie nieuregulowanym RODOP. Litwiński, P. Barta, M. Kawecki, Komentarz do art. 79 (w:) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Komentarz, Warszawa 2021, Legalis (dostęp: 10.10.2024 r.), nb. 1.. Stanowi to przeciwieństwo art. 82 RODO, który kształtuje niezależną podstawę roszczeń odszkodowawczych, co uzasadnione jest zarówno treścią powyższego przepisu, jak i charakterem prawnym i skutkiem rozporządzeniaW odniesieniu do relacji między art. 79 a art. 82 RODO zob. M. Gumularz, Wpływ..., s. 31–36..

Koncentrując się zatem na regulacji art. 82 RODO, należy zauważyć, że zgodnie z tym przepisem każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Choć art. 82 RODO może być stosowany jako samodzielna podstawa dochodzenia roszczeń (bez konieczności powoływania się na regulacje krajowe), a sam przepis powinien być wykładany zgodnie z prawem unijnym, do postępowań związanych z żądaniem odszkodowania na podstawie tego przepisu i w zakresie nieuregulowanym ustawą o ochronie danych osobowych, na podstawie art. 100 u.o.d.o., stosuje się przepisy Kodeksu postępowania cywilnegoUstawa z 17.11.1964 r. Kodeks postępowania cywilnego (t.j. Dz.U. z 2024 r. poz. 1568), dalej: k.p.c.. Ponadto prawo krajowe znajdzie także zastosowanie w kontekście wyznaczenia kryteriów pozwalających na określenie zakresu należnego odszkodowania, z zastrzeżeniem poszanowania unijnych zasad równoważności i skutecznościWyrok TS, C-300/21, pkt 54..
Wynika to z utrwalonego orzecznictwa TS, zgodnie z którym wobec braku norm UE w danej dziedzinie, do wewnętrznego porządku prawnego każdego państwa członkowskiego należy, na mocy zasady autonomii proceduralnej, uregulowanie szczegółowych aspektów proceduralnych dotyczących środków prawnych mających na celu ochronę uprawnień przysługujących podmiotom prawa. Warunkiem jest jednak to, by zasady te w sytuacjach objętych prawem Unii nie były mniej korzystne niż te odnoszące się do podobnych sytuacji podlegających prawu krajowemu (zasada równoważności) oraz że w praktyce zasady te nie uczynią nadmiernie uciążliwym wykonywania uprawnień przyznanych w prawie UE (zasada skuteczności)Zob. wyroki TS: z 13.12.2017 r., El Hassani, C‑403/16, EU:C:2017:960, pkt 26; a także z 15.09.2022 r., Uniqa Versicherungen, C‑18/21, EU:C:2022:682, pkt 36..

W odniesieniu do ochrony dóbr osobistych Kodeks cywilny przewiduje szereg środków prawnych, zarówno majątkowych, jak i – w odróżnieniu od art. 82 RODO – także niemajątkowych. Do pierwszej z wymienionych grup należą odszkodowanie i zadośćuczynienie, niemniej należy wymienić tu również roszczenie o zapłatę sumy pieniężnej na cel społeczny, które w przeciwieństwie do dwóch wcześniejszych roszczeń przewiduje, że świadczenie pieniężne przyznane zostanie nie na rzecz powoda, lecz na wskazany przez niego cel społeczny. Do roszczeń niemajątkowych zalicza się natomiast roszczenie o zaniechanie działań zagrażających dobru, roszczenie o usunięcie skutków naruszenia (w szczególności złożenie oświadczenia o odpowiedniej treści i w odpowiedniej formie), a także – przewidziane w art. 189 k.p.c. – roszczenie o ustalenie, gdyż w określonych przypadkach bywa ono wystarczające do uchylenia zagrożenia czy powstrzymania kolejnych naruszeń, a zarazem może być wystarczająco satysfakcjonujące dla pokrzywdzonegoA. Sylwestrzak (w:) Kodeks cywilny..., s. 115.. W przypadku roszczeń majątkowych, jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych (art. 24 § 2 k.c.), a zatem w oparciu o reguły opisane w art. 415 i n. k.c. Natomiast w przypadku poniesienia krzywdy możliwość zasądzenia zadośćuczynienia na rzecz poszkodowanej jednostki znajduje swoje podstawy w art. 24 § 1 zd. trzecie w zw. z art. 448 k.c.

Wyżej wskazany podział na środki majątkowe i niemajątkowe ma istotne znaczenie dla rozkładu ciężaru dowodu. Wykładnia art. 24 k.c. prowadzi bowiem do konkluzji, iż problem rozkładu ciężaru dowodu faktów zaistnieje tylko w kontekście roszczeń o charakterze niemajątkowym, ponieważ jedynie dla nich art. 24 § 1 zd. pierwsze i drugie k.c. stanowi podstawę prawną powstania roszczeń ochronnychZob. B. Janiszewska (w:) Kodeks cywilny. Komentarz. Część ogólna, cz. 1 (art. 1–55(4)), red. J. Gudowski, Warszawa 2021, t. 1, s. 504.. Choć ciężar wykazania, że doszło do zagrożenia bądź naruszenia dobra osobistego, spoczywa na powodzie dochodzącym ochrony prawnej, obowiązek udowodnienia, że brak jest bezprawności zagrożenia lub naruszenia dobra, a zatem iż kwestionowane postępowanie było legalne, spoczywa na pozwanymZob. np. P. Nazaruk (w:) Kodeks cywilny. Komentarz, red. J. Ciszewski, Warszawa 2019, s. 100.. Z kolei dochodzenie roszczeń majątkowych następuje w przypadku szkód majątkowych „na zasadach ogólnych” (art. 24 § 2),
zaś w odniesieniu do kompensacji krzywdy – przez zapłatę zadośćuczynienia pieniężnego lub odpowiedniej sumy na wskazany cel społeczny „na zasadach przewidzianych w kodeksie” (art. 24 § 1 zd. trzecie k.c.). W tych sytuacjach konkretny rozkład ciężaru dowodu powinien być ustalony indywidualnie, stosownie do konkretnej podstawy prawnej dochodzonego roszczeniaZob. np. B. Janiszewska (w:) Kodeks cywilny..., s. 504..

V. Problemy praktyczne związane z realizacją roszczeń na gruncie RODO i Kodeksu cywilnego

Wprawdzie polskie orzecznictwo w zakresie odszkodowania za naruszenie RODO dopiero się kształtujeZob. m.in. wyrok SO w Warszawie z 6.08.2020 r., XXV C 2596/19; wyrok SO Warszawa-Praga w Warszawie z 17.12.2021 r., III C 1169/19; wyrok SO Warszawa-Praga w Warszawie z 17.03.2022 r., II C 1228/19; wyrok SO w Warszawie z 7.02.2023 r., III C 280/22., warto na wstępie odnotować, iż w zdecydowanej części zasądzonych odszkodowań z tytułu naruszenia RODO ich wysokość nie przekroczyła 1 500 zł, za wyjątkiem rozstrzygnięcia Sądu Okręgowego w Warszawie z 5.12.2022 r.Wyrok SO w Warszawie z 5.12.2022 r., XXV C 559/22, LEX nr 3499530., który przyznał poszkodowanemu odszkodowanie w kwocie 20 000 zł, biorąc pod uwagę szczególne okoliczności zawisłej sprawy. Należy zauważyć, że również na gruncie stanu prawnego obowiązującego przed wejściem w życie RODO wysokość zasądzanych świadczeń z tytułu zadośćuczynienia za szkody niemajątkowe była względnie niska czy nawet symbolicznaA. Pązik, Szkoda…, s. 130, przyp. 13 i przywołane tam orzeczenia., co uzasadniano kompensacyjną funkcją zadośćuczynieniaA. Pązik, Szkoda…, s. 130.. Abstrahując jednak od przedziału kwot przyznanych świadczeń, z uwagi na problem bezpośredniej stosowalności art. 82 RODO warto dokładniej przybliżyć jeden z dotychczas wydanych wyroków. W orzeczeniu jednego z polskich sądów okręgowych z 2021 r.Wyrok SO Warszawa-Praga w Warszawie, III C 1169/19., w sprawie dotyczącej ujawnienia nadmiernego zakresu danych bez podstawy prawnej, sąd zasądził zadośćuczynienie w wysokości 1 500 zł (co stanowiło 50% dochodzonej przez powódkę kwoty). W omawianej sprawie stwierdził bowiem, że po stronie powódki zaistniała krzywda związana z poczuciem naruszenia bezpieczeństwa, obawy przed niekontrolowanym wykorzystaniem danych, a także odczuwaniem zagrożenia i niepewności, które to emocje w sposób oczywisty negatywnie wpływają na psychikę. Sąd stwierdził jednak, że powyższa szkoda nie była duża, zatem i funkcja kompensacyjna zadośćuczynienia wskazywała, że należna jej kwota nie powinna być wygórowana. Co szczególnie istotne, w omawianej sprawie sąd przyjął, że podstawy przyznania odszkodowania nie powinien stanowić art. 82 RODO, tylko przepisy k.c. regulujące problematykę ochrony dóbr osobistych, co spotkało się z krytyką ze strony części przedstawicieli doktrynyK. Ciućkowska, Zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych – glosa do wyroku Sądu Okręgowego Warszawa-Praga w Warszawie z 17.12.2021 r., III C 1169/19, „Glosa” 2024/1, s. 60 i n..

Choć linii orzeczniczej polskich sądów w zakresie odszkodowania za naruszenie danych osobowych nie można jeszcze nazwać ugruntowaną, analiza powyższego judykatu wyraźnie wskazuje na praktyczne problemy związane z interpretacją wzajemnej relacji, jaką tworzą roszczenia odszkodowawcze za naruszenie danych formułowane na gruncie art. 82 RODO i przepisów k.c. odnoszących się do ochrony dóbr osobistych, a także adaptacją metodyk orzeczniczych z zakresu dóbr osobistych do spraw cywilnoprawnych związanych z naruszeniem RODO. Jak konkludują ten aspekt praktycy, specyfika RODO wymaga od sądów wyspecjalizowanej wiedzy i dogłębnego zrozumienia przepisów o ochronie danych osobowych, co może stanowić doniosłe wyzwanie w kontekście ograniczeń czasowych i dostępnych zasobów, jakimi dysponuje polski wymiar sprawiedliwościJ. Schabowski, J. Markowski, Zasadność przyznawania odszkodowania na podstawie art. 82 RODO przez sądy za szkodę niemajątkową, „Monitor Prawniczy” 2024, s. 254..

Istotny problem na gruncie dochodzenia odpowiedzialności cywilnoprawnej z tytułu naruszenia prywatności stanowi również kwestia zbiegu roszczeń, jakie można na tym tle sformułować na podstawie art. 82 RODO i art. 24 k.c. Jak wskazano
we wcześniejszej części pracy, pojęcia prywatności i danych osobowych tworzą złożoną, krzyżującą się relację, w której punkt przecięcia to obszar, gdy w ramach jednego zdarzenia możemy mówić o naruszeniu zarówno zasad przetwarzania danych osobowych, jak i ingerencji w prywatność rozumianą jako dobro osobiste. Co więcej, część przedstawicieli doktryny twierdzi nawet, iż w obecnym stanie prawnym trudno jest w praktyce wykazać, że doszło do powstania szkody niemajątkowej bez dowiedzenia, iż jest ona efektem ingerencji w dobra osobiste osoby, której dane dotycząP. Litwiński, P. Barta, M. Kawecki, Komentarz do art. 82…, nb. 4..

W tym kontekście pomocne może okazać się nawiązanie do koncepcji przyjmowanej na gruncie poprzednio obowiązującego stanu prawnego dotyczącego ochrony danych osobowych. Otóż w myśl art. 23 ust. 1 dyrektywy 95/46/WE państwa członkowskie zobligowane były do zagwarantowania odszkodowania od administratora danych na rzecz każdego podmiotu, który poniósł szkodę w konsekwencji niezgodnej z prawem operacji przetwarzania danych bądź innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z dyrektywą. Zgodnie zaś z ust. 2 cytowanej regulacji administrator mógł być zwolniony z tej odpowiedzialności w razie udowodnienia,
iż nie jest odpowiedzialny za zdarzenie, które wywołało szkodę. Ustawa z 1997 r. nie wprowadziła regulacji, która wprost normowałaby odpowiedzialność odszkodowawczą za szkody wywołane naruszeniem przepisów ustawyW piśmiennictwie wskazuje się, że w polskim systemie prawnym realizacji obowiązku wynikającego z art. 23 dyrektywy 95/43/WE upatrywano w przepisach kodeksowych traktujących o odpowiedzialności deliktowej (art. 415 k.c.). Por. np. A. Pązik, Szkoda…, s. 128.. W literaturze i orzecznictwie przyjęto wówczas, że w razie gdy dochodzi do naruszenia norm z zakresu ochrony danych osobowych, ma miejsce jednocześnie akt ingerencji w obszar dóbr osobistych, wskutek czego jako podstawę zadośćuczynienia wskazywano art. 23 i 24 § 2 zd. trzecie w zw. z art. 448 k.c. Jak już jednak wskazywano wcześniej, stanowisko to nie cechowało się jednomyślnością. Funkcjonowały bowiem w tym zakresie dwa zasadnicze poglądy. Pierwszy – pozostający w mniejszości, opierał się na założeniu, że dane osobowe stanowią przedmiot odrębnego dobra osobistego, co umożliwiałoby orzeczenie zadośćuczynienia w razie ingerencji w regulacje u.o.d.o.1997. Drugi, o przeważającym charakterze, opierał się na przekonaniu, że danych osobowych nie należy pojmować w kategoriach odrębnego dobra osobistego, zaś cywilnoprawny reżim ochrony dóbr osobistych i administracyjnoprawny mechanizm ochrony danych osobowych są od siebie niezależne. Jednocześnie dostrzegano wzajemny związek tych dwóch systemów prawnych polegający na tym, że naruszenie zasad ochrony danych osobowych przewidzianych w u.o.d.o.1997 w pewnych wypadkach mogło prowadzić także do naruszenia dobra osobistego (prywatności). Wskutek tego, w sytuacji gdy niezgodne z prawem przetwarzanie danych osobowych prowadziło do ujawnienia informacji z obszaru życia prywatnego jednostki, możliwe było orzeczenie na jej rzecz zadośćuczynienia w oparciu o art. 24 § 2 zd. trzecie w zw. z art. 448 k.c.A. Pązik, Szkoda…, s. 129. Dopuszczalne było także żądanie naprawienia szkody o charakterze majątkowym spowodowanej niezgodnym z u.o.d.o.1997 przetwarzaniem danych na podstawie art. 415 i n. k.c. U źródła takiej kwalifikacji spoczywało przekonanie, że naruszenie norm cytowanej ustawy stanowi czyn niedozwolonyPor. np. wyrok SN z 1.06.2017 r., I CSK 597/16.. Należy zauważyć, że wyżej opisane poglądy funkcjonowały w obliczu braku istnienia w u.o.d.o.1997 wyraźnej podstawy prawnej regulującej odpowiedzialność odszkodowawczą. Wejście w życie wywołującego bezpośredni skutek rozporządzenia o ochronie danych osobowych, które expressis verbis wprowadza prawo do odszkodowania za naruszenie przepisów o ochronie danych, jest jednym z argumentów przemawiających za tym, że odnośne regulacje rozporządzenia należy traktować jako samodzielną podstawę odpowiedzialności, co zdaje się eliminować konieczność posiłkowania się przepisami kodeksowymi o dobrach osobistych.

W świetle ustaleń poczynionych w poprzednich częściach niniejszego artykułu, adaptacja metodyk orzeczniczych z zakresu dóbr osobistych do spraw cywilnoprawnych związanych z naruszeniem RODO, w których dochodzi do wspomnianej wcześniej relacji „krzyżowania”, może okazać się bardzo problematyczna i nietrafna, głównie z uwagi na odmienne przesłanki w poszczególnych modelach odpowiedzialności odszkodowawczej. W przypadku dochodzenia roszczeń niemajątkowych bądź sformułowania żądań jedynie w obliczu zagrożenia prywatności przepisy dotyczące ochrony dóbr osobistych wydają się być jedyną podstawą, z której poszkodowany mógłby skorzystać.

W przypadku natomiast żądań o charakterze majątkowym, choć w obu przypadkach wymaganą przesłanką jest wina, w RODO jest ona traktowana inaczej niż w ramach koncepcji funkcjonującej na gruncie k.c.Z uwagi na problematykę niniejszej pracy analizie nie zostanie poddane samo pojęcie „winy”, którego rozumienie na gruncie art. 82 RODO budzi wątpliwości wykraczające znacznie poza ramy niniejszego artykułu. Zob. R. Strugała, RODO…, s. 917, gdzie autor, rozważając znaczenie pojęcia winy, stwierdza, iż „pomimo, że w kwestiach nieuregulowanych w RODO stosować należy przepisy Kodeksu cywilnego o odpowiedzialności deliktowej, nie byłoby zasadne odwoływanie się do rozumienia pojęcia winy utrwalonego w dorobku polskiej doktryny i orzecznictwa. Wbrew pozorom nie byłoby też jednak prawidłowe odwoływanie się w tym zakresie do autonomicznego pojęcia winy w prawie europejskim, o ile uznać, że pojęcie takie w ogóle istnieje”. Różnice uwidocznione są przede wszystkim na płaszczyźnie rozkładu ciężaru dowodu – na gruncie art. 82 RODO wina jest domniemana, podczas gdy w ramach reżimu dóbr osobistych powód musi ją samodzielnie udowodnić.

Ponadto, z punktu widzenia orzecznictwa polskich sądów wyrokujących w sprawach o naruszenie dóbr osobistych, stopień winy sprawcy ma znaczenie dla wysokości roszczeń odszkodowawczych, co nie znajduje analogii w judykatach TS. Choć w doktrynie podkreślana jest przeważająca rola funkcji kompensacyjnej zadośćuczynienia, a inne funkcje odpowiedzialności odszkodowawczej (represyjna czy prewencyjna) powinny być wobec niej wtórneL. Jantowski (w:) Kodeks cywilny. Komentarz aktualizowany, red. M. Balwicka-Szczyrba, A. Sylwestrzak, Warszawa 2024, s. 901–902., polskie orzecznictwo znacznie bardziej niuansuje tę kwestię, wskazując, że stopień, w jakim zadośćuczynienie pieniężne powinno spełniać także funkcje represyjną oraz prewencyjną, nie jest stałyWyrok SN z 21.02.2020 r., I CSK 565/18, OSNC 2020/12, poz. 105.. Co więcej, zgodnie ze stanowiskiem Sądu Najwyższego, nasilenie represyjnego, a także prewencyjnego oddziaływania zadośćuczynienia pieniężnego powinno mieć miejsce w razie ciężkiego naruszenia dóbr osobistych; dotyczy to w szczególności sytuacji, w których naruszycielowi można przypisać winę umyślną, niskie pobudki i niegodziwy cel jego działania, dopuszczenie się naruszenia dóbr osobistych, mimo pełnej świadomości uwarunkowań prawnych podjętego działania, tj. jego bezprawności, kierowanie się chęcią osiągnięcia własnych korzyści, w tym korzyści majątkowychWyrok SN, I CSK 565/18.. Tymczasem, jak wyraźnie wynika z najbardziej aktualnego orzecznictwa TS, art. 82 RODO nie wymaga wzięcia pod uwagę stopnia winy naruszyciela przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie tego przepisuWyrok TS, C‑667/21, pkt 103.. Ponadto prawo do odszkodowania za naruszenie danych osobowych przyznane na gruncie RODO pełni wyłącznie funkcję kompensacyjną, mając umożliwiać pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia omawianego rozporządzenia, a nie funkcję odstraszającą lub represyjnąZob. wyrok TS, C‑667/21, pkt 87; wyrok TS, C-300/21, pkt 58..

Co więcej, różnice mogą zachodzić także w odniesieniu do przesłanki szkody. W przypadku roszczeń niemajątkowych przysługujących na mocy regulacji kodeksowych szkoda nie jest elementem, jaki powód musi wykazać, by móc skorzystać z ochrony prawnej. W przypadku roszczeń majątkowych, choć w obu modelach odpowiedzialności wymagane jest wykazanie szkody, jej pojęcie ma charakter autonomiczny w ramach każdego z nich, o czym była mowa w części poświęconej przesłankom odpowiedzialności na gruncie RODO i w k.c. Warto przypomnieć, iż zgodnie z motywem 146 preambuły RODO pojęcie szkody powinno być interpretowane możliwie szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, a także w sposób odzwierciedlający w pełni cele rozporządzenia, a z uwagi na brak
w art. 82 ust. 1 RODO odwołania do prawa wewnętrznego państw członkowskich, występującemu w tym przepisie pojęciu szkody należy przypisać charakter autonomiczny. Wskutek powyższego pojęcie szkody związanej z naruszeniem RODO wymaga interpretacji niezależnej od koncepcji ukutych w polskiej cywilistycePodkreślić także należy, że w odróżnieniu od RODO, k.c. nie posługuje się terminem „szkoda niemajątkowa”, lecz „krzywda”, przewidując możliwość jej zrekompensowania wskutek zapłaty zadośćuczynienia. Pod pojęciem krzywdy rozumie się uszczerbek o charakterze niemajątkowym powstały wskutek naruszenia dóbr osobistych, niedający się zwymiarować w kategoriach sytuacji majątkowej pokrzywdzonego (jest to szkoda niemajątkowa sensu stricto). W literaturze można spotkać pogląd, że pojęcie krzywdy ma węższy zakres aniżeli pojęcie szkody niemajątkowej, bowiem można wyróżnić sytuacje, w których powstaje uszczerbek niemajątkowy niestanowiący skutków naruszenia dóbr osobistych (szkoda niemajątkowa sensu largo). Por. M. Kaliński (w:) System Prawa Prywatnego, t. 6, Prawo zobowiązań – część ogólna, red. A. Olejniczak, Warszawa 2018, s. 93..

Istotną różnicą w ramach obu modeli odpowiedzialności odszkodowawczej jest także okoliczność, iż w przypadku art. 82 RODO to powód musi wykazać naruszenie RODO lub powiązanych z nim aktówZob. motyw 146 RODO., podczas gdy w ramach art. 24 k.c. ciężar dowodu braku bezprawności naruszenia dóbr osobistych, z uwagi na zawarte w przepisie domniemanie, ciąży na pozwanym.

Jak wynika z powyższego, odpowiedzialność odszkodowawcza na gruncie RODO oraz kodeksowa odpowiedzialność za szkody związane z naruszeniem dóbr osobistych to dwa odrębne modele odpowiedzialności. Każdy z nich operuje odmiennymi (w szczegółach) przesłankami odpowiedzialności, które należy interpretować w sposób autonomiczny, zgodnie z celem poszczególnych regulacji. W konsekwencji pojęcia konstytuujące przesłanki odpowiedzialności w obu reżimach powinny podlegać wykładni właściwej dla danego kontekstu prawnego (unijnego bądź krajowego).

VI. Podsumowanie i wnioski końcowe

Ochrona danych osobowych oraz dóbr osobistych, choć osadzona na zbliżonych fundamentach aksjologicznych, związanych z poszanowaniem prywatności jednostki, różni się istotnie w wielu płaszczyznach, w tym zwłaszcza w odniesieniu do przesłanek ochrony, co zostało omówione w poprzednich częściach niniejszego artykułu. Jednakże warto na to zagadnienie spojrzeć jeszcze z jednej perspektywy, a mianowicie z perspektywy systemowej. W tym kontekście istotny jest argument
R. Strugały, iż odmiennie niż w przypadku dyrektyw, przepisy takiego rodzajowo aktu, jakim jest rozporządzenie, „nie tylko wyznaczają kierunek wykładni (wykładni zgodnej) krajowych przepisów dotyczących odpowiedzialności odszkodowawczej, ale (...) traktowane być powinny jako zasadnicza podstawa prawna tej odpowiedzialności”R. Strugała, RODO…, s. 915..
Tym samym odmienności w obu reżimach nie można lekceważyć, a co więcej, powagę tych różnic należy zestawić z regułami dotyczącymi interpretacji prawa unijnego. Z nich bowiem wynika „bezwzględny i absolutny” prymat prawa Unii Europejskiej nad prawem krajowym państw członkowskich, a także zasada, iż w przypadku stwierdzenia, że przepis prawa krajowego jest nie do pogodzenia z postanowieniem prawa unijnego, sąd państwa członkowskiego powinien in officio zapewnić pierwszeństwo stosowania prawa unijnegoD. Kornobis-Romanowska (w:) Prawo Unii Europejskiej, red. J. Barcik, R. Grzeszczak, Warszawa 2022, s. 326.. Zasadę tę wzmacnia również obowiązek prounijnej wykładni, której niezastosowanie, w określonych sytuacjach, może skutkować nawet zaistnieniem odpowiedzialności odszkodowawczej państwa za wyroki sądowe godzące w prawo unijneD. Kornobis-Romanowska (w:) Prawo…, s. 337.. Tym samym więc organy stosujące prawo powinny ze szczególną uwagą podchodzić do roszczeń formułowanych na gruncie art. 82 RODO, mając również na uwadze pryncypia związane z wykładnią prawa UE i w sposób niezwykle ostrożny adaptować metodyki znane z dochodzenia roszczeń obejmujących naruszenie dóbr osobistych do spraw związanych z naruszeniem RODO.

Należy również zauważyć, że dobra osobiste odnoszą się do niematerialnych wartości ściśle związanych z godnością człowieka – w kontekście merytorycznym niniejszych rozważań obejmują szeroko rozumianą sferę prywatności oraz integralności osoby, gwarantując ochronę podmiotowości i autonomii człowieka. Są immanentnie związane z istotą człowieczeństwa, godnością jednostki i prawną ochroną tego,
co głęboko indywidualne i osobiste. Dane osobowe, choć również pozostają w obszarze prywatności jednostki, nabrały szczególnego znaczenia w obliczu rozwoju społeczeństwa informacyjnego, gdzie stały się podstawowym elementem ekosystemu relacji pomiędzy jednostką a cyfrową reprezentacją rzeczywistego świata relacji społecznych, gospodarczych etc. Wartość, jaką jest prywatność, manifestuje się dziś w przeważającej mierze w ramach ochrony danych osobowych, a tym samym ochrona ta zyskuje status autonomicznego modelu prawnej ochrony prywatności. Wynika to m.in. z faktu, iż współczesne zagrożenia podyktowane przetwarzaniem i gromadzeniem danych osobowych mają skalę i intensywność nieporównywalną do klasycznych naruszeń dóbr osobistych. Zagrożenia te są bowiem wszechobecne, wielowymiarowe i powodują naruszenia na poziomie znacznie trudniejszym do zidentyfikowania i skontrolowania przez jednostkę.

Ponadto, mając na uwadze ścisły związek dóbr osobistych z godnością ludzką, należy zauważyć, że dane osobowe podlegają współcześnie powszechnemu zjawisku komercjalizacji, niekiedy także w wyniku decyzji osób, których dane dotyczą.
Dane osobowe w obliczu dzisiejszego modelu gospodarczego są wręcz swoistym towarem o niezwykle istotnej wartości rynkowej, co musi determinować specyficzne spojrzenie na obszar ich ochrony. Rozwiązania przewidziane w RODO są odpowiedzią na tę unikalną sytuację, w której prywatność może być zagrożona nie tylko wskutek indywidualnych działań, lecz także (a może przede wszystkim) przez systemowe procesy społeczeństwa informacyjnego i cyfrowej gospodarki.

Powyższe skłania ku refleksji, że nie powinno się utożsamiać naruszenia przepisów o ochronie danych osobowych z naruszeniem dóbr osobistych. O ile w wyjątkowych sytuacjach naruszenie regulacji o ochronie danych może prowadzić
do tak poważnej ingerencji, że uderza jednocześnie w godność człowieka i narusza jego dobra osobiste, o tyle istnieje również wiele operacji przetwarzania, w których naruszenie ochrony danych, poza ewentualnym niedotrzymaniem obowiązków wynikających z RODO, nie będzie wiązało się z bezprawnym wkroczeniem w zakres ochrony dóbr osobistych. Ochrona danych osobowych jest istotnie sformalizowana i wprowadza szereg szczegółowych zasad „obchodzenia się” z danymi, ustanawia konkretne standardy organizacyjne i techniczne, które administratorzy muszą zrealizować, jak również wyraźnie określone prawa jednostki w tym zakresie, jak np. prawo do bycia zapomnianym czy prawo dostępu do danych. Jak wskazał R. Strugała, naruszenie prawa do ochrony danych osobowych nie powinno być uznawane en bloc jako naruszenie dóbr osobistychR. Strugała, RODO…, s. 915–916.. Choć nie ulega wątpliwości, iż naruszenie, zwłaszcza szczególnych kategorii danych osobowych, może bezpośrednio skutkować wkroczeniem w zakres prawa do prywatności, istnieje szeroki zakres przypadków, gdy stwierdzenie takiej ingerencji będzie wątpliwe. Przykładem na drugą okoliczność może być naruszenie przez administratora terminu na podjęcie działań w związku z żądaniem podmiotu danych o dostęp do informacji o sobie, zgodnie z art. 15 RODO, podczas gdy okoliczności przetwarzania dotyczą podstawowych i pseudonimizowanych kategorii danych osobowych przetwarzanych w celach zapewnienia cyberbezpieczeństwa. Choć administrator może ponieść za takie zaniechanie odpowiedzialność administracyjną, nie wydaje się, bez nadzwyczajnych okoliczności sprawy, aby odpowiedzialność za ten czyn wynikała także z art. 24 k.c.

Jak wynika z powyższego, dobra osobiste oraz dane osobowe mają zbliżone korzenie aksjologiczne, lecz koncepcje ich ochrony wymagają sprofilowanych podejść z uwagi na specyfikę aktualnych zagrożeń i potrzeb społecznych. Cywilnoprawna konstrukcja dóbr osobistych i ich ochrony odnosi się do obszarów fundamentalnych dla godności człowieka. Dane osobowe – jako część prywatności szczególnie narażona na naruszenia w społeczeństwie informacyjnym – stały się przedmiotem szczególnego zainteresowania ze strony unijnego prawodawcy, którego wolą było wyodrębnienie tego obszaru jako podlegającego autonomicznemu systemowi regulacyjnemu.
Różnice między omawianymi w niniejszym artykule reżimami ochrony istotnie uwidocznione są także w przesłankach ochrony i konsekwencjach procesowych, jakie wynikają z tego zarówno dla strony powodowej, jak i pozwanej. Ponadto zmiana podejścia unijnego prawodawcy przejawiająca się w przyjęciu metody regulacji w formie rozporządzenia (w miejsce dotychczasowej regulacji w drodze dyrektywy) również jest świadectwem jego jednoznacznych motywacji. Świadczy to bowiem o rosnącym znaczeniu danych osobowych i potrzebie jednolitej, bezpośrednio stosowanej ochrony w całej Unii Europejskiej. W rezultacie należy przyjąć, że ochrona prywatnoprawna przewidziana za naruszenie RODO i zawarta w art. 82 tegoż aktu ma charakter autonomiczny i niezależny w relacji do systemu ochrony dóbr osobistych. Niemniej współistnienie obu reżimów prawnych, dzięki ich komplementarnej naturze, umożliwia stworzenie kompleksowego systemu ochrony danych osobowych, który zwiększa skuteczność ochrony prywatności jednostek w obliczu realiów współczesnego społeczeństwa informacyjnego.