Odszkodowanie za naruszenie RODO – czy jest się czego bać

Nawet jednak najlepiej przygotowane procedury niewiele pomogą, gdy nie będziesz nadzorować ich przestrzegania lub gdy zawiedzie czynnik ludzki. Wyobraź sobie, że Twój pracownik przez pomyłkę wysyła osobie nieuprawnionej dane Twoich pacjentów. Albo inny przykład – wydajesz pacjentowi dokumentację medyczną innej osoby…

Jeżeli sądzisz, że nic się nie stało, że przecież każdy może się pomylić – źle myślisz.

Jeżeli podejrzewasz, że możesz mieć problem – dobrze myślisz.

Od wejścia w życie RODO do rozpoczęcia jego stosowania minęły dwa lata. Oczywiście okazało się, że to zbyt krótki okres, aby przygotować się do stosowania nowych przepisów. Przygotowania do RODO upłynęły więc  w atmosferze powszechnej paniki, czy wręcz histerii.

Histerii, której sprzyjało powszechne straszenie przedsiębiorców karami finansowymi za naruszenia ochrony danych osobowych po 25 maja 2018 r.

Jakkolwiek by tej gorączki RODO nie oceniać, nie mam wątpliwości, że to właśnie widmo wysokich kar znacząco przyczyniło się do zainteresowania tematem ochrony danych osobowych wśród przedsiębiorców. Również tych z sektora medycznego.

Niewykluczone, że również Ty wdrożyłeś/wdrożyłaś RODO w swojej firmie właśnie w obawie o konsekwencje finansowe ewentualnych zaniedbań

Przyznasz, że kwoty 10.000.000 euro oraz 20.000.000 euro (w zależności od rodzaju naruszeń) lub 4% rocznego obrotu  robią wrażenie. Ale umówmy się – prawdopodobieństwo, że zajrzy Ci w oczy widmo zapłaty kar w takiej wysokości nie jest wielkie.

Ustalając wysokość kary Prezes Urzędu Ochrony Danych Osobowych weźmie pod uwagę wiele elementów. Wśród nich m.in.:

• charakter, wagę i czas trwania naruszenia,
• czy naruszenie było umyśle, czy nieumyślne,
• jakie działania podjąłeś/podjęłaś w celu zminimalizowania skutków naruszenia,
• Twoją współpracę z organem nadzorczym, czyli Prezesem UODO,
• i wiele innych kryteriów, które wpływają na wysokość kary.

Pamiętaj, że przetwarzasz dane szczególne dotyczące zdrowia swoich pacjentów. Ujawnienie takich danych zawsze będzie okolicznością obciążającą przy wymiarze kary.

Wysokość kary oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku.

Kary finansowe nakładane przez Prezesa UODO mają charakter administracyjny.

Niezależnie od tego możesz stanąć w obliczu roszczeń cywilnoprawnych ze strony swoich pacjentów. Jeżeli naruszysz ochronę ich danych osobowych mogą oni wystąpić przeciwko Tobie z roszczeniami odszkodowawczymi nie czekając na reakcję organu nadzoru.

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Szkodą majątkową, najkrócej rzecz ujmując, jest uszczerbek majątkowy po stronie poszkodowanego. Najczęściej będzie to rzeczywista strata finansowa.

Szkoda to jednak również tzw. utrata korzyści. Żeby zilustrować to przykładem, wyobraź sobie, że Twój pacjent spodziewa się np. podpisania korzystnej finansowo umowy. Z Twojej kliniki lub gabinetu wyciekają jednak dane osobowe zawierające informacje o jego stanie zdrowia. Skutkiem ujawnienia tych informacji jest wycofanie się kontrahenta z zawarcia umowy… W takim przypadku pacjent będzie mógł żądać od Ciebie naprawienia szkody. Jej wartość będzie w tym wypadku wyznaczać  kwota spodziewanego przychodu z kontraktu, który nie doszedł do skutku.

Z kolei szkoda niemajątkowa (krzywda) różni się od szkody majątkowej tym, że nie da się jej w prosty sposób wyrazić w pieniądzu. Nie dotyczy bowiem bezpośrednio majątku poszkodowanego. Jest związana z naruszeniem praw niemajątkowych.

W przypadku naruszenia ochrony danych osobowych krzywda będzie związana z naruszeniem dóbr osobistych pacjentów w postaci np. prawa do prywatności, czy dobrego imienia. Na jej rozmiar z pewnością będzie wpływać szczególnych charakter danych dotyczących zdrowia.

Niezależnie od tego, o jakiej szkodzie (majątkowej, czy niemajątkowej) mowa, za naruszenia odpowiada administrator lub podmiot przetwarzający. Każdy, rzecz jasna, w granicach swojej winy.

Co istotne, RODO wprowadza tzw. domniemanie winy. Poszkodowany pacjent nie będzie więc musiał udowadniać, że ty zawiniłeś. Wystarczy, że udowodni sam fakt naruszenia, jego skutki oraz związek przyczynowy pomiędzy naruszeniem a szkodą.

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Innymi słowy, jeżeli zechcesz uniknąć odpowiedzialności za szkodę wywołaną naruszeniem RODO, będziesz musiał/musiała udowodnić w procesie, że naruszenie nie zostało przez Ciebie zawinione.

Dochodzenie odszkodowania za naruszenie RODO następuje przed sądem cywilnym, w „zwykłym” procesie cywilnym. Postępowanie będzie się toczyło przed sądem okręgowym.

W procesie poszkodowany będzie musiał wykazać:

• naruszenie przepisów RODO przez Twój podmiot leczniczy;
• poniesienie szkody majątkowej lub niemajątkowej;
• związek przyczynowy pomiędzy naruszeniem RODO a szkodą.

Ty zaś, jeżeli chcesz uniknąć odpowiedzialności, musisz udowodnić, że nie ponosisz żadnej winy w naruszeniu przepisów RODO. Nie będzie więc łatwo uwolnić się od odpowiedzialności, skoro  nawet najmniejszy stopień winy wystarczy dla uznania zasadności roszczeń poszkodowanego.

Może się również zdarzyć, że w sprawie tego samego naruszenia lub naruszeń będzie toczyło się postępowanie przed Prezesem UODO.

Zapamiętaj więc:

Ustalenia prawomocnej decyzji Prezesa UODO lub prawomocnego wyroku Wojewódzkiego Sądu Administracyjnego o stwierdzeniu naruszenia przepisów o ochronie danych osobowych wiążą sąd cywilny.

Jeżeli więc w postępowaniu administracyjnym zostanie stwierdzone, że naruszyłeś/naruszyłaś przepisy RODO, wówczas sąd cywilny nie będzie miał wyjścia – musi uznać, że takie naruszenie rzeczywiście nastąpiło.

Jak widzisz, to, że po 25 maja 2018 r. wdrożyłeś/wdrożyłaś RODO w swojej placówce, nie gwarantuje  Ci uniknięcia odpowiedzialności w przypadku ewentualnych naruszeń. Musisz zadbać, by wdrożone procedury były skuteczne.

Pamiętaj, że zarówno Prezes UODO, jak i pacjenci, mają w swoich rękach wystarczająco silne argumenty, byś odczuł/odczuła skutki ewentualnych błędów w ochronie danych osobowych.

Wpis pochodzi z bloga Prawo dla zdrowia prowadzonego przez autora.