Przedsiębiorca może ponosić odpowiedzialność za wyciek danych, do którego doszło w innej firmie. Tak przynajmniej uważa Sąd Najwyższy.
Powierzanie danych osobowych wyspecjalizowanym firmom to dzisiaj raczej reguła niż wyjątek. Coraz więcej przedsiębiorstw rezygnuje z własnego działu kadrowego i korzysta z zewnętrznych usług kadrowo-płacowych, coraz więcej firm outsourcuje księgowość czy zleca na zewnątrz prowadzenie kampanii promocyjnych wśród swoich klientów. Oczywiście każda taka współpraca powinna zostać poprzedzona weryfikacją profesjonalizmu partnera, sprawdzeniem jego zasad bezpieczeństwa i zawarciem umowy powierzenia, w której zostaną uregulowane zasady postępowania z danymi.
Wydawałoby się, że dopełnienie wszystkich tych procedur wystarczająco świadczy o należytej staranności, co w konsekwencji oznacza, że przedsiębiorca nie może ponosić odpowiedzialności za ewentualne błędy czy naruszenia firmy zewnętrznej. Okazuje się jednak, że Sąd Najwyższy jest innego zdania. Jak wynika z opublikowanego właśnie uzasadnienia wyroku, uważa on, że operator telekomunikacyjny odpowiada za wyciek danych, do którego doszło w firmie call center (wyrok SN z 1 czerwca 2017 r., sygn. akt I CSK 597/16).
– To wyrok o fundamentalnym znaczeniu dla podmiotów przetwarzających dane osobowe – komentuje dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Zasadą wynikającą z przepisów o ochronie danych osobowych jest możliwość skorzystania przez administratora z usług podmiotu przetwarzającego dane na jego zlecenie. Są to powszechnie i masowo zawierane umowy, takie jak choćby przechowywanie i niszczenie dokumentów. Według SN administrator ponosi odpowiedzialność za błędy popełnione przez podmiot, któremu powierzył dane – dodaje.
Poczucie bezpieczeństwa
Wyrok dotyczy pozwu mężczyzny, który znalazł na stronie internetowej skan rewersu swojego dowodu osobistego z obraźliwym dopiskiem. Okazało się, że skan ten został zrobiony podczas zawierania umowy na usługi telekomunikacyjne. Nie wyciekł jednak od operatora, tylko od firmy call center, której ten powierzył dane. Mimo tego poszkodowany mężczyzna zażądał zadośćuczynienia od operatora. Najpierw chciał 10 mln zł. Potem w pozwie wśród wielu roszczeń dodatkowych zażądał 55 tys. zł płatnych każdego tygodnia.
Z roku na rok coraz więcej zbiorów / Dziennik Gazeta Prawna
Sąd Apelacyjny w Warszawie uznał, że operator nie może ponosić odpowiedzialności, „gdyż czynu niedozwolonego wobec powoda dopuszczono się, gdy bazą danych klientów pozwanej spółki zarządzał interwenient uboczny” (sygn. akt VI ACa 1357 /14.). SN uchylił jednak ten wyrok i nakazał ponowne rozpoznanie sprawy. Zdaniem składu orzekającego operator ponosi odpowiedzialność na równi z firmą, z której nastąpił wyciek.
„Pozwana odpowiada bowiem za własne zawinione zachowanie jako powierzający czynność osobie trzeciej (...). Jest oczywiste, że dane osobowe klientów sieci komórkowej muszą być tak przechowywane, aby konsument czuł się bezpiecznie, a jego uprawnienia i roszczenia nie były przekierowywane z urządzenia elektronicznego strony umowy, którą jest pozwana spółka do podmiotów trzecich, tylko dlatego, że jest to dla niej korzystne organizacyjnie i ekonomicznie” – napisał SN w uzasadnieniu wyroku, podkreślając, że przekazanie danych nastąpiło bez zgody klienta.
Większe ryzyko
Eksperci, których poprosiliśmy o komentarz, uważają, że taka interpretacja stanowi duże zagrożenie dla administratorów. Muszą bowiem liczyć się z odpowiedzialnością za coś, na co nie mają żadnego wpływu.
– Administrator ma pełne prawo na podstawie przepisów prawa, aby outsourcować pewne operacje na danych osobowych do innego podmiotu. Jeżeli to po stronie procesora doszło do naruszenia zasad ochrony danych, to on powinien być adresatem ewentualnych roszczeń – uważa Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka. – W powierzaniu danych nie chodzi wcale o pozbycie się odpowiedzialności. Bardzo często takie umowy są zawierane, gdyż administrator nie ma odpowiedniej infrastruktury czy możliwości organizacyjnych – tłumaczy prawnik.
Sąd dużo uwagi poświęca w uzasadnieniu temu, że do powierzenia danych doszło bez wiedzy i zgody abonenta. Gdyby o tym wiedział, mógłby nie zdecydować się na zawarcie umowy na usługi telekomunikacyjne.
– Problem w tym, że przepisy o ochronie danych osobowych nie wymagają zgody dla zawarcia i wykonywania umowy powierzenia. Bez znaczenia pozostaje też okoliczność, że ich administratorem jest operator sieci komórkowej. Nie istnieją specjalne przepisy regulujące odpowiedzialność w przypadku powierzenia przetwarzania danych przez tego rodzaju podmioty – zauważa dr Paweł Litwiński. – Obecne regulacje nie wymagają nawet informowania o ich powierzeniu. Taki obowiązek wprowadza dopiero unijne rozporządzenie o ochronie danych osobowych – dodaje.
Ekspert zwraca uwagę, że sąd odwołuje się w uzasadnieniu do zaufania klienta w stosunku do usługodawcy. Zdaniem składu orzekającego dopuszczenie do ujawnienia danych przez firmę zewnętrzną jest nadużyciem takiego zaufania.
– Wyrok sprawia wrażenie opartego na zasadzie słuszności niż na przepisach prawa – podsumowuje prawnik.