Odszkodowanie za udostępnienie danych osobowych

Niedawno sąd zasądził odszkodowanie w kwocie 1500 zł za nadmiarowe udostępnienie danych osobowych (tu pełny wyrok). Jednak to wbrew pozorom to nie jest błaha sprawa. Jest to pierwsze tego typu orzeczenie, kiedy w postępowaniu cywilnym sąd zasądził odszkodowanie za szkodę niematerialną w związku z nadmiarowym przetwarzaniem danych osobowych.

Sprawa wyglądała tak: Po wypadku drogowym poszkodowany zgłosił się towarzystwa ubezpieczeniowego z prośbą o nadesłanie dokumentacji dotyczącej szkody. Pracownik towarzystwa ubezpieczeń przesłał do poszkodowanego skany dokumentacji dotyczącej szkody, które nie zostały zanonimizowane, tj. zawierające imię i nazwisko osoby, która spowodowała wypadek, jej adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu.

Później towarzystwo ubezpieczeniowe zorientowało się, że udostępniono w ten sposób za dużo danych i zgodnie z przepisami RODO zawiadomiło osobę, która spowodowała wypadek o powyższym incydencie, wskutek którego dane osobowe powódki mogły dostać się w niepowołane ręce.

Analizując przepisy dotyczące działalności towarzystw ubezpieczeniowych sąd uznał, że przekazanie w opisanej sytuacji PESELu i numeru telefonu było nieuzasadnione a więc nadmiarowe. Odszkodowanie jest tak niskie bo nikt nie wykorzystał tych danych. Wynika z tego, że samo bezprawne udostępnienie danych osobowych kwalifikuje się już na odszkodowanie (krzywda) i że byłoby ono o wiele większe, gdyby udostępnienie danych wyrządziło większe szkody (np. wykorzystanie PESELu do zaciągnięcia pożyczki czy numeru telefonu do nękania). 

Oczywiście z perspektywy przedsiębiorcy znaczenie ma też fakt, że udostępniono dane tylko jednej osoby a nie większej liczby osób, co pomnożyłoby kwotę odszkodowania.

Co z tego wynika dla przedsiębiorców?

1.      Należy zwracać jeszcze większą uwagę gdy udostępniamy dane osobowe, aby za każdym razem zminimalizować zakres przekazywanych danych, tj. przekazać tylko to co jest niezbędne w kontekście celu przetwarzania i oczywiście zgodne z prawem.

2.     Do pełnego wdrożenia RODO nie wystarczy przygotowanie dokumentacji wymaganej przez RODO (klauzule informacyjne, rejestry itd.) ale też zbudowanie odpowiedniej świadomości u pracowników (np. za pomocą szkoleń i wdrożonych procedur), żeby nie popełniali takich błędów jak ten opisany w wyroku powyżej.