Ok. 200.000 osób otrzymało w ostatnim tygodniu pismo od NAV z informacją o naruszeniu przez ten urząd zasad w zakresie ochrony danych osobowych. Naruszenie przepisów dotyczących ochrony danych osobowych będzie w większości przypadków bezsporne. Rodzi to naturalne pytanie, które każdy z adresatów pisma sobie – i nam samym – zadaje: co jak będę z tego miał?

W dniu 17.02.2021 NAV wydał oświadczenie, że doszło do naruszenia przepisów dotyczących ochrony danych osobowych. Naruszenie polegało na tym, że NAV umieścił na stronie portalu arbeidsplassen.no CV osób korzystających ze świadczeń lub w inny sposób korzystających z zasobów ze strony NAV.

Warto się poparzyć
Milionowe odszkodowania z USA za oparzenie kawą, zbiorowe pozwy przeciwko McDonald’sowi za nadwagę i inne legendy miejskie zza oceanu bardzo działają pobudzająco na wyobraźnię. Nadto w samym Rozporządzeniu jest mowa o tym, że organ nadzorczy (w Norwegii będzie nim Datatilsynet) może nałożyć na administratora danych osobowych (w rozpatrywanym przypadku NAV) karę finansową do 20 milionów Euro. Czy sprawa związana z naruszeniem danych osobowych jest zatem złotą wygraną na loterii i uśmiechem od losu?

Ochrona danych osobowych
Od 2018 r. kwestię ochrony danych osobowych reguluje w Norwegii, podobnie jak w pozostałych krajach europejskich, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Rozporządzenie zostało z niewielkimi zmianami inkorporowane do norweskiego porządku prawnego, stając się częścią prawa norweskiego. Chociaż Norwegia nie jest w UE, wspomniane Rozporządzenie może być bezpośrednio stosowane przez „podmioty danych osobowych”, tj. osoby fizyczne.

W rozumieniu Rozporządzenia „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Na gruncie powyższej definicji danymi osobowymi nie będzie zwykle tylko imię lub tylko nazwisko, czy tylko data urodzenia, a niekiedy nawet danymi osobowymi nie będzie nawet sam numer personalny – kryterium, które pozwala uznać tego typu informacje za dane osobowe jest to, że mogą one pozwolić na identyfikację tożsamości danej osoby bez podejmowania skomplikowanych, czasochłonnych i kosztownych działań. W rozumieniu Rozporządzenia zwykle sama data urodzenia, wskazanie tylko na kwalifikacje zawodowe, hobby, pochodzenie nie będzie zatem uznane za dane osobowe.

W sprawie dotyczącej NAV doszło jednak do ujawnienia jednak informacji, które bez problemu pozwalają na identyfikację danej osoby – ujawnione osobom trzecim (potencjalnym pracodawcom) zostały przede wszystkim takie dane jak imię i nazwisko, data urodzenia, uzyskane kwalifikacje, doświadczenie zawodowe, informacje nt. obywatelstwa oraz sam fakt, że dana osoba jest zarejestrowana w NAV.

Odwrócony ciężar dowodu
W sprawach dotyczących naruszenia danych zachodzi tzw. odwrócony ciężar dowodu. Oznacza to, że jeżeli podmiot danych zakłada administratorowi danych sprawę o naruszenie, to na administratorze danych będzie spoczywać wykazanie, że nie doszło do naruszenia. W zakresie samej jednak szkody nie będzie obowiązywała już zasada „odwróconego ciężaru dowodowego – to, że naruszenie spowodowało szkodę, musi wykazać podmiot danych, czyli sam pokrzywdzony.

Naruszenie przepisów Rozporządzenia musi zatem spowodować szkodę materialną lub niematerialną, aby możliwe było skuteczne dochodzenie odszkodowania.

Szkoda. Że to nie takie proste
Art. 82 Rozporządzenia powtarza starszą niż prawo Hammurabiego zasadę, że za szkodą musi pójść odszkodowanie: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”

Ne każde jednak naruszenie powoduje powstanie odpowiedzialności odszkodowawczej. To tak jak – przykładowo – w sytuacji, kiedy kierowca narusza zasady ruchu drogowego nie ustępując wbrew swojemu obowiązkowi pierwszeństwa przejazdu drugiemu kierowcy, to dochodzi wprawdzie do samego naruszenia zasad ruchu drogowego, ale nie musi to od razu oznaczać, że kierowca, który był na drodze z pierwszeństwem przejazdu jest w stanie wykazać po swojej stronie szkodę materialna lub niematerialną.

Większość informacji podawana w CV prawdopodobnie nie będzie stanowiła tego rodzaju danych, które będą mogły być wykorzystane do tego, aby podmiotowi danych (osobie fizycznej będącej z reguły autorem CV) mogłaby zostać wyrządzona szkoda. Jeżeli jednak podmiot danych umieścił w CV zarejestrowanym w NAV informacje takie, jak numer personalny, dane z karty bankomatowej, hasła do poczty e-mail lub innych kont i baz danych i doszło do nadużycia tych danych przez osobę trzecią w ten sposób, że np. zostało zaciągnięte zobowiązanie finansowe w imieniu podmiotu danych (autora CV), to będzie możliwe dość proste powiązanie naruszenia ochrony danych ze szkodą.

Innym przykładem, kiedy byłoby możliwe wykazanie związku przyczynowo skutkowego między naruszeniem a szkodą będzie np. sytuacja, gdy przez naruszenie spowodowane przez NAV podmiot danych (osoba prywatna) jest nagabywany telefonicznie przez firmę, która uzyskała numer telefonu z CV udostępnionego przez NAV na arbeidsplassen.no. Wówczas może dojść do szkody niematerialnej po stronie osoby, która jest uporczywie nękana telefonami przez tego, kto pozyskał numer telefonu w konsekwencji naruszenia spowodowanego przez NAV.

Case study – brak wyroków w Norwegii, jeden wyrok w Polsce
Aktualnie w Norwegii najpewniej nie było jeszcze żadnej sprawy dotyczących odszkodowania na gruncie art. 82 Rozporządzenia. To, jakiego rzędu odszkodowania mogą być aktualne, pokazują przypadki, jakie miały miejsce w innych krajach. I tak, w zeszłym roku nagłośniona była sprawa naruszenia ochronnych danych osobowych przez PZU. Ubezpieczyciel poprzez swojego pracownika dokonał naruszenia w postaci wysłania e-maila zbiorczego do wielu odbiorców, bez opcji ukrycia pozostałych adresów e-mail. PZU zaproponowało odszkodowanie w formie bonów do „Biedronki” w kwocie 15 zł.

02.02.2021 został wydany w Polsce pierwszy wyrok na podstawie Rozporządzenia. Zgodnie z tym wyrokiem sąd przyznał kwotę 1500 zł sprawczyni kolizji drogowej, której dane osobowe ubezpieczalnia przekazała osobie poszkodowanej w wypadu drogowym. Przekazanie danych osobowych przez ubezpieczalnie było w zakresie szerszym niż było do konieczne, stąd doszło do naruszenia przepisów Rozporządzenia.

Z kolei w Niemczech w 2020 r. mężczyzna na gruncie Rozporządzenia dochodził przed niemieckim sądem odszkodowania w kwocie 500 EUR za to, że jedna z firm wysłała do niego zapytanie o przesłanie oferty, bez uprzedniego uzyskania zgody na wysłanie samego zapytania. Mężczyzna otrzymał od sądu niemieckiego odszkodowanie, niemniej jedynie w kwocie 50 EUR.

Bo nie szanujemy swoich danych
Niestety analiza przepisów RODO wbrew pozorom prowadzi do dość gorzkiej prawdy, że dane osobowe pojedynczych osób zwykle są niewiele warte, a każdy z nas jako podmiot własnych danych osobowych nierzadko mocno przecenia ich wartość. Na taki stan rzeczy mocno wpływa to, że swoich własnych danych najzwyczajniej nie szanujemy. Dane osobowe dotyczące imienia i nazwiska, adresu zamieszkania, numeru telefonu, daty urodzenia są często łatwo dostępne w social media, na blogach, stronach-wizytówkach, itp. Dane te bez opamiętania przekazujemy innym osobom, choćby znajomym i nie mamy kontroli na tym, co dalej osoby te z naszymi danymi czynią. A to, jak mocno chronimy własne dane osobowe, rzutuje na ich wartość i cenę w przypadku naruszenia reguł odnośnie ochrony tych danych.

Innymi czynnikiem, który może stanowić o tym, na ile naruszenie ze strony NAV jest podstawą do odszkodowania, jest specyficzna grupa będąca odbiorcami informacji, jakie podlegają ochronie. NAV przekazał dane osobowe osobą zadeklarowanym jako poszukujące pracowników (potencjalni pracodawcy) – można spierać się aż do 29 lutego br., czy działaniem tym NAV zrobił podmiotom danych osobowych przysługę, a więc przysporzył im korzyści, czy też wręcz przeciwnie – naraził na szkodę.

NAV na swoich stronach podaje, że z bazy CV na arbeidsplassen.no miesięcznie korzysta ok. 2000 firm. W samej bazie udostępnionej przez NAV, na ile zdołałem odnotować informacje z NAV, jest zgłoszonych ok, 200.000 CV osób prywatnych. NAV informuje na swojej witrynie, że każdego dnia jest otwieranych ok. 8000 CV przez potencjalnych pracodawców, co oznacza, że w miesiącu łącznie przeglądanych jest ok. 240.000 CV przez wszystkich HR-owców, managerów, właścicieli jednoosobowych firm, choć głównie przez agencje pracy. Takie dane statystyczne wskazywałoby na dość duże prawdopodobieństwo, że CV pojedynczej osoby mogło być sprawdzane przez firmę korzystającą z arbeidsplassen.no. Samo sprawdzenie CV – poza wyjątkami – nie będzie jednak zwykle jeszcze oznaczało rzeczywistej szkody dla pracownika, choć z pewnością w interesie pracownika zwykle będzie zachowanie w tajemnicy przed sowim aktualnym pracodawcą informację o tym, że jest on zgłoszony w NAV jako osoba poszukująca pracy.

Wprowadzenie w 2018 r. RODO i przyjęcie Rozporządzenia niemal w całej Europie, było więc w zasadzie rewolucją, która się nie wydarzyła. Dla jednostek realna ochrona prawna faktycznie w niewielkim stopniu uległa wzmocnieniu w porównaniu ze stanem sprzed wejściem w życie Rozporządzenia.

200.000 NOK dla jednego, czy po 1 NOK dla dwustu tysięcy?
To, czy naruszenie będzie uprawniało do odszykowania będzie mocno zależało od indywidualnej sytuacji osoby, której dane osobowe zostały naruszone. Przy masowości zdarzenia, tj. że naruszenie dotyka aż ok. 200.000 osób, jest dość prawdopodobne, że będą wśród tak dużej grupy osoby, które poniosły rzeczywistą szkodę materialna lub niementalną spowodowaną naruszeniem ze strony NAV. Pozostaje jeszcze poczekać na bliższe wytyczne NAV odnośnie dalsze procesu naprawy skutków naruszenia, niemniej dość pewne jest, że ewentualne odszkodowania będą, jeśli już, to niestety dla nielicznych.

Bezpłatna pomoc prawna
Sprawy związane ze szkodą na osobie spowodowaną naruszeniem wywołanym działaniem ze strony NAV będą podlegały pod bezpłatną pomoc prawną (na etapie porady – z ograniczeniem do kilku godzin). Aby mogła być udzielna bezpłatna porada prawna muszą być spełnione kryteria dochodowe – brutto 20.000 NOK na osobę lub 30.000 NOK na parę (maleństwo, związek konkubencki lub partnerski). Przykładem szkody na osobie będzie rozstrój zdrowia, naruszenie dobrego imienia oraz wszelkie inne wynikające z tego bezpośrednie następstwa takie jak ból czy cierpienia psychiczne.

Jeżeli jednak nie doszło do szkody niematerialnej (np. w postaci naruszenie dobrego imienia, reputacji i związanego z tym obciążenia zdrowotnego, zwłaszcza psychicznego) to sprawa nie będzie podlegała pod bezpłatną pomoc prawną. W takim przypadku poszkodowany sam musiałby ponieść koszty obsługi prawnej. Wówczas jest dość prawdopodobne, że prowadzenie sprawy nie będzie dla poszkodowanego opłacalne – kwota odszkodowania będzie bowiem przypuszczalnie nieadekwatna do kwoty możliwego do uzyskania odszkodowania.

Papierkiem lakmusowym tego, czy w danym przypadku celowe jest ubiegania się o odszkodowanie od norw. Skarbu Państwa (NAV) będzie zatem zwykle
a. wystąpienie szkody niematerialnej (głównie uszczerbek na zdrowiu),
b. spełnienie warunków dochodowych do bezpłatnej pomocy prawnej,
c. jednoznaczny, jasny, udokumentowany związek przyczynowo-skutkowy między naruszeniem ze strony NAV a szkodą.

– a sama szkoda będzie większa niż wartość czasu, jaki poszkodowany musiałby przeznaczyć na współpracę z adwokatem.

Paulina Anna Dworzynska
Advokatfullmektig, MNA
Advokatfirma Oslo - Polski Adwokat - Nierzwicki & Bluszko AS