Nie każdy wie, że w przypadku wycieku danych, RODO przewiduje dla nas odszkodowanie. Mało kto rozumie też, na czym odszkodowanie naprawdę polega. Za wyciek danych z PZU (adresów e-mail) firma zaoferowała swoim klientom bony do Biedronki za 15 zł. Ktoś może prychnąć z oburzeniem, ale za takie naruszenie ta forma i wysokość rekompensaty na ten moment wydaje się… więcej niż wystarczająca.
Czasami na kanwie nie do końca wytłumaczonych przez media historii o milionowych odszkodowaniach za oparzenie kawą w USA rodzi się wyobrażenie o tym, że w życiu wystarczy jeden złoty traf. Jakaś firma popełni błąd, zrobi nam krzywdę i już jesteśmy ustawieni do końca życia – wielomilionowe odszkodowanie, życie z odsetek na hawajach itp.
Taką nadzieję, może komuś dawać np. art. 82 rozporządzenia RODO, zgodnie z którym:
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia (RODO), ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Tymczasem odszkodowanie na gruncie prawa zazwyczaj ma jednak jakieś odzwierciedlenie w poniesionej szkodzie. Nie jest więc tak, że poszkodowani dostają nieadekwatne do szkody kwoty z kosmosu – nawet w Stanach Zjednoczonych.
Odszkodowanie za naruszenie RODO – wyciek danych z PZU i bony do Biedronki
Co ciekawe, zgodnie z przytoczonym wyżej artykułem, odszkodowanie na podstawie RODO obejmuje zarówno szkodę majątkową, jak i niemajątkową. Najprościej rzecz ujmując szkoda majątkowa to wydatki związane ze zdarzeniem, jakim jest wyciek. Szkoda niemajątkowa to szeroko pojęta „krzywda” – ta sama, której zadośćuczynienia od sprawcy może domagać się np. rodzina zmarłego w wypadku. Teoretycznie więc słusznie osoby, których dotyczył wyciek danych z uczelni SGGW, szykują się do pozwu zbiorowego przeciwko uczelni (co zabawne stworzyli jednak formularz niezgodny z RODO).
Nie ma jednak co kryć, że wyciek danych osobowych często będzie powodował stosunkowo małe poczucie krzywdy u poszkodowanego. Tym samym więc poszkodowani nie mogą za bardzo liczyć na wysokie odszkodowania. Nie wiadomo nawet do końca na ten moment jakimi kryteriami się tu kierować przy ustalaniu wysokości odszkodowania.
Swojego czasu słynna była sprawa przed niemieckim sądem, w której poszkodowany domagał się 500 euro za to, że firma wysłała do niego maila z zapytaniem, czy może wysyłać do niego newsletter. Naruszenie polegało na tym, że firma wysłała tego maila bez uzyskania wcześniejszej zgody marketingowej poszkodowanego. Sąd uznał, że za takie naruszenie wystarczy kwota 50 euro – i to pewnie też w jakiejś mierze dlatego, że takie właśnie odszkodowanie firma wypłaciła dobrowolnie. Sąd nie musiał się więc zastanawiać czy np. odpowiednia nie byłaby mniejsza kwota.
Oczywiście inaczej wyglądałaby sprawy, w których oprócz „krzywdy” poszkodowani poniósł konkretne wydatki. Wtedy jednak mowa o szkodzie majątkowej, która podlega wykazaniu – wydatki trzeba udokumentować. Za szkodę majątkową można np. uznać konieczność rejestracji w BIK-u, który jest co do zasady odpłatny, w związku z wyciekiem (żeby monitorować czy ktoś nie zaciągnął na nasze dane kredytu).
Wyciek danych z PZU i oferta bonów do Biedronki– na czym polegało naruszenie?
Wyciek danych z PZU opisał niezawodny portal Niebezpiecznik.pl. Zgodnie z artykułem na stronie portalu, PZU popełniło klasyczny błąd RODO. Wysyłając zbiorowego maila do klientów, pracownik PZU chciał zaadresować e-mail do wszystkich klientów. Niestety zapomniał użyć pola UDW: BCC: (do ukrytej wiadomości). Wysyłając wiadomość skierowaną do grupy osób należy zrobić to tak, żeby adresat nie mógł zobaczyć przy jej odbiorze adresów mailowych innych odbiorców. Naruszenie RODO czy też wyciek danych z PZU polegał więc na tym, że wszyscy więc mogli przeczytać adresy mailowe adresatów wiadomości.
PZU nie uciekło od problemu i postanowiło przyznać się do błędu. Rozesłało wiadomość do klientów informującą o wycieku, wypełniając jednocześnie obowiązek informacyjny RODO. Przy okazji zaproponowało w ramach przeprosin bony do Biedronki o wartości 15 zł.
Odszkodowanie za RODO będzie warte tyle, na ile sami cenimy swoje dane osobowe
Czy taka forma rekompensaty jest odpowiednia? Można się spierać, ale dane dotyczące adresu e-mail to informacje o stosunkowo małej wartości w porównaniu do np. numeru PESEL. Większość osób rozdaje swoje adresy e-mail na prawo i lewo, nie bardzo przejmując się możliwą kradzieżą tożsamości. Każdy na pewno kojarzy np. akcje marketingowe firm papierosowych. Ich przedstawiciele zbierają na imprezach dane od palaczy (adres, e-mail, imię i nazwisko) w zamian za… paczkę papierosów.
Nie da się ukryć więc, że bon do Biedronki za 15 zł wydaje się więcej niż adekwatną formą przeprosin. Mimo, że jest to naruszenie, to jednak dość drobne, bo ujawnieniu podlegały tylko adresy e-mail. Najważniejsze jednak, że firma nie próbowała udawać, że problemu nie ma. Pewnie nawet nie wszyscy adresaci tej wiadomości zdawali sobie sprawę, że doszło do naruszenia. Poszanowanie danych osobowych to wciąż stosunkowo nowy trend i warto doceniać podmioty, które to rozumieją. Być może wraz ze zmianą naszego stosunku do prywatności naszych danych zmienią się też kwoty odszkodowań za ich naruszenie. Bo po prostu w oczach wszystkich prywatność danych takich jak adres e-mail będzie więcej warta.