W wyroku z 30.11.2021 r. (sygn. akt 4 U 1158/21) Wyższy Sąd Okręgowy w Dreźnie nakazał spółce i jej dyrektorowi zarządzającemu jako dłużnikom solidarnym zapłatę odszkodowania na podstawie GDPR. Sąd uznał również dyrektora zarządzającego za podmiot odpowiedzialny w rozumieniu GDPR. Tym samym akcjonariusz ponosi osobistą odpowiedzialność obok spółki.
Gdyby sądy kontynuowały tę decyzję, miałoby to poważne konsekwencje dla praktyki.
Fakty
Powód złożył wniosek o członkostwo w stowarzyszeniu. W imieniu stowarzyszenia stowarzyszenie (ściślej: jego dyrektor zarządzający) podjęło działania mające na celu sprawdzenie przeszłości kryminalnej powoda. W tym celu zleciło prywatnemu detektywowi, który następnie przedstawił wyniki istotne z punktu widzenia prawa karnego. W końcu dyrektor zarządzający poinformował zarząd, który w związku z tym odmówił powodowi członkostwa.
Powód uznał to za naruszenie ochrony danych i pozwał nie tylko stowarzyszenie, ale także spółkę, której dyrektorem zarządzającym był wspomniany dyrektor, o odszkodowanie w wysokości 5.000 euro na podstawie art. 82 DSGVO.
Decyzja sądu
W swoim orzeczeniu Wyższy Sąd Krajowy w Dreźnie musiał wyjaśnić kilka kwestii związanych z prawem ochrony danych. Najbardziej poruszające dla praktyki jest pytanie, czy dyrektor zarządzający, który wynajął prywatnego detektywa i przekazał wyniki, ponosi osobistą odpowiedzialność oprócz spółki.
W kontekście tego pytania należało wyjaśnić, czy sam dyrektor zarządzający był administratorem danych i czy jego działanie stanowiło nieuzasadnione przetwarzanie danych osobowych. Ponadto pojawiło się pytanie, czy wyszpiegowanie danych mogło stanowić podstawę do roszczenia o odszkodowanie na podstawie art. 82 GDPR.
Dyrektor zarządzający jako osoba odpowiedzialna w rozumieniu art. 4 nr 7 DSGVO
Sąd stwierdził najpierw, że odpowiedzialność w rozumieniu GDPR "należy stwierdzić zawsze, gdy osoba fizyczna lub prawna samodzielnie lub wspólnie z innymi może decydować i decyduje o celach i środkach przetwarzania danych osobowych". Jeśli pracownik działa zgodnie z instrukcjami, jego odpowiedzialność co do zasady nie ma zastosowania. Natomiast dyrektor zarządzający, który sam podejmuje te decyzje, mieści się w pojęciu administratora danych w rozumieniu GDPR.
Krytyka polega tu na tym, że sąd jedynie powiela definicje z GDPR, nie zajmując się nimi bardziej szczegółowo. W szczególności należało odnieść się do orzecznictwa ETS w zakresie interpretacji pojęcia "administrator danych". Blankietowe zakwalifikowanie dyrektora zarządzającego jako administratora bez odniesienia się do jego pola działania i zależności od zgromadzenia wspólników jest mało przekonujące.
Szpiegowanie jako przetwarzanie danych osobowych w rozumieniu art. 4 nr 1, 2 DSGVO
Sąd nie rozwodzi się nad kwestią przetwarzania danych osobowych. Informacje istotne z punktu widzenia prawa karnego są danymi osobowymi w rozumieniu art. 4 nr 1 GDPR. Poprzez wynajęcie prywatnego detektywa do szpiegowania powoda, a następnie przekazanie uzyskanych danych zarządowi, dochodzi również do przetwarzania w rozumieniu art. 4 nr 2 DSGVO. W szczególności dotyczy to zbierania, utrwalania, ujawniania poprzez przekazywanie i przesłuchiwanie.
Niezgodność przetwarzania z prawem
Powód nie wyraził zgody na przetwarzanie danych. Przetwarzanie jest zatem bezprawne, chyba że zachodzi podstawa prawna uzasadniająca.
W tym zakresie sąd stwierdza, że nie istnieje również uzasadniony interes w rozumieniu art. 6 I lit. f DSGVO. Ważąc interesy powoda i pozwanego, szpiegowanie powoda nie było w pierwszej kolejności konieczne. Mniej inwazyjną alternatywą byłoby zwrócenie się do powoda o przedłożenie zaświadczenia o niekaralności wystawionego przez policję.
Ponadto sąd stwierdził, że szpiegowanie przez prywatnego detektywa "narusza również [narusza] art. 10 GDPR, który co do zasady zezwala na przetwarzanie danych osobowych dotyczących wyroków karnych i przestępstw lub związanych z nimi środków bezpieczeństwa jedynie pod nadzorem urzędowym". Pogląd ten został skrytykowany, ponieważ zasadniczo zabraniałby również pracodawcom żądania od pracowników zaświadczeń o dobrym sprawowaniu.
Odszkodowania zgodnie z art. 82 DSGVO
Sąd uznał, że wyszpiegowanie danych w niniejszej sprawie przekracza próg de minimis i tym samym może skutkować powstaniem roszczenia odszkodowawczego. Ponadto wyszpiegowane dane stały się znane większemu kręgowi osób, co w znacznym stopniu narusza interesy powoda.
Biorąc pod uwagę "charakter, wagę, czas trwania naruszenia, stopień winy, środki podjęte w celu złagodzenia szkody poniesionej przez osoby, których dane dotyczą, poprzednie istotne naruszenia oraz kategorie danych osobowych, których dotyczą", sąd ustalił kwotę zadośćuczynienia na 5 000 euro. Sąd nie wdaje się jednak w dalsze szczegóły dotyczące konkretnego określenia krzywdy.
Wniosek
Nawet jeśli decyzja OLG Dresden w tej sprawie jest z pewnością zaskarżalna, istnieje ryzyko, że kolejne sądy pójdą za tą opinią i pociągną poszczególnych członków zarządu do osobistej odpowiedzialności. Dyrektorzy zarządzający byliby wówczas narażeni na znaczne ryzyko odpowiedzialności. Ryzyko to wzrasta, gdy muszą oni podejmować decyzje, które prowadzą do przetwarzania danych.
Pozwól, aby nasz zespół ekspertów pokazał Ci, jak przetwarzanie danych w Twojej firmie może odbywać się zgodnie z przepisami o ochronie danych!