Firma może ponieść odpowiedzialność odszkodowawczą za tzw. incydent

Przepisy RODO wprost umożliwiają  podmiotom danych dochodzenie roszczeń na drodze cywilnej. Otóż, jak wynika z art. 79 i 82 RODO:

• każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jej danych osobowych;
• postępowanie przeciwko ADO przeprowadzone może być przed sądem państwa członkowskiego, w którym ADO posiada jednostkę organizacyjną;
• każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od ADO odszkodowanie za poniesioną szkodę;
• każdy ADO uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO.

Ponadto, zgodnie z art. 415 Kodeksu cywilnego, kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia.

Co więcej, zgodnie z art. 430 Kodeksu cywilnego, kto na własny rachunek powierza wykonanie czynności osobie, która przy wykonywaniu tej czynności podlega jego kierownictwu i ma obowiązek stosować się do jego wskazówek, ten jest odpowiedzialny za szkodę wyrządzoną z winy tej osoby przy wykonywaniu powierzonej jej czynności.

Z powyższych przepisów wynika, że klient ma prawo wnieść do sądu cywilnego pozew o naprawienie szkody kierowany przeciwko ADO. Co więcej, może on to zrobić niezależnie od ewentualnej skargi do Prezesa Urzędu Ochrony Danych Osobowych, do której wniesienia jest on uprawniony.

Niezależnie od powyższych uprawnień, to po stronie klienta będzie leżeć obowiązek wykazania przed sądem, dlaczego wnosi on o odszkodowanie w tej a nie innej wysokości. Tym samym, klient musi wykazać, że ujawnienie przez Państwa jego numeru PESEL spowodowało po jego stronie uszczerbek, który naraził go na określoną stratę. Przykładowo, jeżeli klient poświęcił cały dzień na wyjaśnienie i tym samym musiał wówczas zrezygnować z pracy zarobkowej, wówczas może on próbować wykazać, że poniósł określoną stratę majątkową poprzez nieuzyskanie określonych korzyści. Jeżeli jednak jedyny uszczerbek polegał, np. na wykonaniu kilku połączeń telefonicznych, co zajęło łącznie 15 minut, trudno wówczas będzie wykazać znaczącą szkodę. Niezależnie od powyższego, to po stronie klienta leży obowiązek wiarygodnego wykazania straty będącej podstawą do żądania odszkodowania, a o ewentualnym odszkodowaniu i jego wysokości zadecyduje sąd.

Przepisy nie stoją również na przeszkodzie, aby porozumieć się z klientem bez udziału sądu. Zgodnie z art. 917 Kodeksu cywilnego strony mogą zawrzeć ugodę, poprzez którą „ (…) czynią sobie wzajemne ustępstwa w zakresie istniejącego między nimi stosunku prawnego w tym celu, aby uchylić niepewność co do roszczeń wynikających z tego stosunku lub zapewnić ich wykonanie albo by uchylić spór istniejący lub mogący powstać”. Tym samym warto rozważyć zawarcie z klientem ugody, chcąc chronić dobre imię Państwa firmy. Niemniej jednak, kwota odszkodowania powinna odzwierciedlać realną szkodę klienta.