RODO pozwala domagać się odszkodowania od przedsiębiorcy łamiącego prawo. Za nękanie spamem jego uzyskanie może być trudne, ale nie niemożliwe.
RODO, czyli stosowane od 25 maja 2018 r. unijne rozporządzenie o ochronie danych osobowych 2016/679, wprowadziło nie tylko surowe kary finansowe, ale także wyrażoną wprost możliwość domagania się odszkodowania za szkody materialne i niematerialne. Pierwsza zakończona sprawa sądowa o takie odszkodowanie dotyczyła pozwu obywatela Niemiec, który w pierwszym dniu stosowania RODO dostał e-maila z prośbą o wyrażenie zgody na otrzymywanie newslettera. W Niemczech już sam taki e-mail może być potraktowany jako spam. Adresat uznał, że naruszono ochronę jego danych osobowych i zażądał 500 euro odszkodowania.
W niedawno wydanym wyroku sąd oddalił to żądanie, uznając je za zbyt wygórowane. Odbiorca spamu otrzymał już bowiem wcześniej 50 euro od firmy, która wysłała e-maila. Zdaniem sądu wyższe odszkodowanie za jeden list byłoby nieadekwatne.
Mnogość przepisów
Obywatel Niemiec oparł swoje żądanie na art. 82 RODO, którego ust. 1 wprost stanowi, że „każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”. Zgodnie z przepisami polskiej ustawy o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) sprawy o odszkodowania za naruszenia RODO rozpoznają sądy okręgowe.
Kluczowe jest pytanie, czy w naszym kraju również można domagać się odszkodowania za wykorzystanie samego adresu e-mail do wysyłania niezamówionej korespondencji?
– Biorąc pod uwagę klimat, jaki panuje w Polsce wokół RODO, dziwię się, że nikt jeszcze podobnego roszczenia nie zgłosił. Wykazanie szkody niemajątkowej w związku z otrzymywaniem spamu nie wydaje się niemożliwe; pewną trudność przedstawiać będzie natomiast nastawienie sądów. Pamiętamy refleksję Sądu Apelacyjnego w Katowicach, który 20–30 telefonów marketingowych uznał za normalny element życia codziennego – zauważa Adam Klimowski, specjalista ds. ochrony danych osobowych z firmy JAMANO.
Część prawników ma jednak wątpliwości, czy samo wykorzystanie adresu e-mail do wysyłki korespondencji może być uznane za naruszenie RODO.
– Obawiam się, że w Polsce może być to problematyczne. Zgodnie bowiem z art. 95 RODO rozporządzenie nie nakłada dodatkowych obowiązków, jeśli wynikają one z przepisów szczególnych zawartych w dyrektywie 2002/58/WE dotyczącej ochrony prywatności w łączności elektronicznej. W naszym kraju obowiązki związane z informacjami handlowymi wynikają z dwóch różnych ustaw, dlatego samo przetwarzanie adresu e-mail polegające na wysyłaniu na niego informacji handlowych może być trudno uznać dodatkowo za naruszenie RODO – zauważa Witold Chomiczewski, radca prawny z kancelarii Lubasz i Wspólnicy.
Wspomniane przez niego przepisy to z jednej strony art. 172 ustawy – Prawo telekomunikacyjne (t.j. Dz.U. z 2017 r. poz. 1907 ze zm.) zakazujący „używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących do celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę”. Z tego przepisu firma może zostać ukarana przez Urząd Komunikacji Elektronicznej. Z drugiej strony, z art. 10 ustawy o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2017 r. poz. 1219 ze zm.) wynika zakaz przesyłania niezamówionej informacji handlowej. Na podstawie tej drugiej ustawy wysyłanie spamu może stanowić wykroczenie (grzywna do 5 tys. zł) lub czyn nieuczciwej konkurencji. Żadna jednak nie daje podstaw do żądania odszkodowań.
Skomplikowane sprawy
Paradoksalnie więc mnogość przepisów sprawia, że odpowiedzialność za wysyłanie spamu rozmywa się, co utrudnia walkę z tym zjawiskiem. Do UKE wpływa rocznie niewiele więcej niż 100 zgłoszeń o niechcianych reklamach. Tymczasem do Urzędu Ochrony Danych Osobowych tylko w pierwszym półroczu stosowania RODO skierowano 3,7 tys. skarg, z czego spora część dotyczy właśnie spamu.
– Sprawy te, pozornie proste, są jednak w istocie skomplikowane. UODO nie bada treści takich e-maili, a więc zgodności z innymi przepisami, tylko podstawy prawne do przetwarzania danych. Może więc się zdarzyć tak, że administrator przetwarza je legalnie, bo ma do tego podstawy prawne, ale nie powinien ich wykorzystywać do marketingu, bo na to nie uzyskał zgody – wyjaśnia Weronika Kowalik, dyrektor Zespołu ds. Sektora Prywatnego w UODO.
– Jeśli jednak adres e-mail pozyskano bezprawnie, a następnie wykorzystano do przesłania spamu, to można mówić o naruszeniu RODO, nie tylko przepisów regulujących marketing – zaznacza.
Spam może także naruszać dobra osobiste. Zanim jeszcze zaczęto stosować RODO, do sądów trafiały sprawy o takie naruszenie kierowane na podstawie kodeksu cywilnego. Czasem sądy rzeczywiście stwierdzały takie naruszenie, ale dużo mniej chętnie zasądzały zadośćuczynienie. W sprawie mężczyzny, który domagał się 2 tys. zł za nękanie spamem, sądy obu instancji nakazały zaprzestać wysyłania takiej korespondencji, oddaliły jednak roszczenia finansowe.
„Artykuł 448 k.c. przewiduje jedynie możliwość przyznania, w przypadku naruszenia dóbr osobistych, odpowiedniego zadośćuczynienia. Zatem zawinione, bezprawne naruszenie cudzego dobra osobistego nie generuje samo przez się obowiązku zasądzenia zadośćuczynienia. (…) dowody przedstawione przez powoda przy pozwie nie świadczą o zaistnieniu po jego stronie krzywdy uzasadniającej zasądzenie jakiejkolwiek kwoty tytułem zadośćuczynienia” – napisano w uzasadnieniu wyroku z 17 maja 2017 r. (sygn. akt VI ACa 223/16).
Dopiero praktyka pokaże, czy wysyłanie spamu będzie traktowane przez sądy jako naruszenie RODO.
– Nawet jeśli będą one uznawać istnienie szkody niemajątkowej, odszkodowania z pewnością nikogo nie przyprawią o zawrót głowy – zaznacza Adam Klimowski.