< Previous440 3 / 2020 / vol. 9 Kosmetologia Estetyczna Aesthetic Cosmetology and Medicine ARTYKUŁ NAUKOWY KOSMETOLOGIA ESTETYCZNA N wymaga lub przepisy na to wskazują również w kontekście winy. Nie zmienia to jednak faktu, że w kontekście rozpatry- wania odpowiedzialności odszkodowawczej należy wskazać jej trzy podstawowe filary. Pierwszy to wystąpienie szkody, drugi dotyczy zdarzenia przez które szkoda wystąpiła, trze- ci dotyczy związku przyczynowo-skutkowego (adekwatno- -skutkowego) łączącego zdarzenie ze szkodą [1, 10-14]. SZKODA Czym jest szkoda i jak należy ją rozumieć oraz udowod- nić? Kodeks cywilny nie formułuje pojęcia szkody, dlate- go też na potrzeby interpretacji w artykule odwołano się do dorobku doktryny. Słownik języka polskiego definiuje szkodę jako stratę materialną lub niematerialną, jednak z perspektywy prawnej warto wskazać, że zgodnie z dok- tryną, szkodę uznaje się za uszczerbek w dobrach, które są prawnie chronione. Uszczerbek ten może być majątkowy albo niemajątkowy w zależności czego on dotyczy. Może to być sytuacja, w której na podstawie wycieku danych osobowych z salonu beauty klientka dozna szkody. Przy- kładem takiego wycieku, który obrazuje potencjalne ry- zyko związane z cyberatakami jest sytuacja, która miała miejsce u jednego szkockiego fryzjera. Hakerzy zabloko- wali bazę danych firmy fryzjerskiej i zagrozili usunięciem wszystkich danych. Zadeklarowali, że przywrócą dane fir- my tylko wtedy, gdy fryzjer zapłaci 1000 Euro. Firma wpła- ciła pieniądze hakerom (za pomocą Bitcoinów) ponieważ nie chciała stracić reputacji ani klientów. Sprawa jest aktu- alnie wyjaśniana. Nie zmienia to jednak faktu, że mniejsze firmy nie zgłaszają tego typu incydentów w obawie utraty klientów, reputacji, czy też nałożeniu ogromnych kar. War- to jednak podkreślić, że istota problemu leży w budowaniu świadomości korzystania z narzędzi technologicznych w taki sposób, aby dane osobowe nie były zagrożone [15]. Jak już wcześniej wskazano, szkoda może mieć odzwier- ciedlenie majątkowe, czyli mające pewną wartości wyra- żoną wprost w pieniądzu. Przykładem takiej szkody może być sytuacja, w której hakerzy wykorzystają skradzione dane klientów do zaciągnięcia pożyczek. Szkoda niema- jątkowa to szkoda, która dotyczy sfery niematerialnej czyli np. dóbr osobistych. Przykładem takiej szkody może być opublikowanie danych wrażliwych w sieci w skutek czego dojdzie do naruszenia dóbr osobistych. Warto wskazać, że szkoda może uwzględniać straty, ale również korzyści, które ktoś mógłby otrzymać w przyszło- ści jeżeli do danej szkody by nie doszło, zgodnie z tezą wy- roku Sądu Apelacyjnego w Białymstoku o sygnaturze I ACa 724/16 szkodą niemajątkową klienta może być również sam fakt nie wywiązania się przez administratora danych z obowiązku informacyjnego [13, 16, 17]. Oczywiście przykłady można mnożyć, wszystko jednak zależy od danego stanu faktycznego. Natomiast z perspek- tywy wykorzystywania technologii, warto tu wskazać, że już samo bezprawne przetwarzanie danych przez podmiot do tego nieuprawniony będzie rodziło ogromne ryzyko do pociągnięcia do odpowiedzialności. Zgodnie z Rozporzą- dzeniem, na gruncie przepisów karnych, przetwarzanie danych osobowych, które jest niedopuszczalne albo do- konane przez osobę, która nie jest uprawniona do podej- mowania takich czynności, jest zagrożone karą grzyw- ny, ograniczenia wolności lub pozbawienia wolności do lat dwóch. W przypadku, w którym czyn dotyczy danych osobowych o szczególnym znaczeniu (np. danych biome- trycznych, danych ujawniających pochodzenie rasowe lub etniczne, danych dotyczących zdrowia), wymiar kary pozbawienia wolności został zwiększony do lat trzech. Przestępstwem w rozumieniu prawa karnego jest również udaremnianie lub utrudnianie przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Czyn ten jest zagrożony karą grzywny, ograniczenia wol- ności lub pozbawienia wolności do lat dwóch [9]. Szkoda jest jednym z kryteriów odpowiedzialności od- szkodowawczej, a co za tym idzie, aby móc domagać się odszkodowania należy nie tylko ją wykazać, ale należy wykazać inne przesłanki odpowiedzialności. Jednocze- śnie warto w tym miejscu wskazać, zgodnie z tezą Sądu Apelacyjnego w Gdańsku, że przesłanką odpowiedzialno- ści nie jest sama wina, ale szereg okoliczności, których łączne spełnienie może stanowić podstawę przyjęcia tej odpowiedzialności. Chodzi w szczególności, po pierwsze, o zdarzenie, z którym ustawa wiąże obowiązek napra- wienia szkody, następnie powstanie szkody i po trzecie, istnienie związku przyczynowego między tym zdarze- niem a szkodą, jak już było wskazane wcześniej. Jednak dopiero w następnej kolejności, w razie stwierdzenia istnienia związku przyczynowego między konkretnym zdarzeniem a szkodą, (np. wyciekiem danych z kon- kretnego salonu kosmetycznego a użyciem tych danych w przestępstwie), będzie trzeba rozważać, jaka podstawa odpowiedzialności wchodzi w rachubę w danej sytuacji, tzn. czy mamy do czynienia z odpowiedzialnością na za- sadzie winy, czy na zasadzie ryzyka, czy wreszcie na trze- ciej podstawie tzw. zasady słuszności [11, 14]. Najważniejsze zatem jest to, aby szkoda była wykazana. Nie jest to łatwe, ale też nie jest to niemożliwe do realiza- cji. Szczególnie, że zgodnie z przepisami Rozporządzenia każdy administrator danych w chwili kiedy dojdzie do wy- cieku danych jest zobowiązany poinformować UODO o in- cydencie oraz co ważne, poinformować o tym fakcie osoby, których dane wyciekły. W sytuacji wycieku danych, ciężar udowodnienia spełnienia wszelkich kwestii bezpieczeń- stwa i ochrony danych będzie spoczywał na właścicielu sa- lonu (zakładając, że jest administratorem danych), a udo- wodnienie szkody spoczywać będzie na kliencie (osobie, której dane wyciekły).441 3 / 2020 / vol. 9 Kosmetologia Estetyczna Aesthetic Cosmetology and Medicine ARTYKUŁ NAUKOWY KOSMETOLOGIA ESTETYCZNA N Na wykazanie szkody składa się szeroki zakres informa- cji, dokumentów, dowodów czyli wszystko to, co może po- twierdzić zajście szkody. Jeżeli dane zostały wykorzystane do wzięcia pożyczki, będzie trzeba wykazać wszelką doku- mentację z tym związaną, w tym również zawiadomienie złożone w tej sprawie na policji. Jeżeli zatem doszło do wycieku danych, wówczas zdarze- niem będzie wyciek danych, szkodą będzie wzięcie pożycz- ki, natomiast najistotniejszą kwestią, którą należy wykazać to związek przyczynowo-skutkowy pomiędzy zdarzeniem a szkodą. Może jednak zdarzyć się tak, że klient próbując uzyskać odszkodowanie będzie konfabulował, bo w rzeczy- wistości np. sam zaciągnął zobowiązania w banku. Katarzyna Kryla-Cudna wskazuje, że „(…) okoliczność, że dany uszczerbek powstał nie wbrew woli uprawnionego, lecz za jego sprawą lub wolą nie eliminuje szkody”. Kwestia ta może być istotna przy ustaleniu odpowiedzialności odszkodo- wawczej. Czyli przyczynienie się klienta do powstania szkody istotnie może wpłynąć na zakres odpowiedzialno- ści podmiotu, który prowadzi salon beauty [18-20]. Udowodnienie faktu, że dany wyciek doprowadził do sytuacji, że ktoś użył danych klientki do zaciągnięcia po- życzki nie jest proste. Owszem istnieje takie prawdopo- dobieństwo, jednak jednoznacznie nie można wykluczyć sytuacji, w której klientka swoje dane podała dobrowolnie wypełniając dostępny formularz w internecie. Rozwiąza- nie tej problematyki będzie możliwe dopiero na etapie we- ryfikacji przez policję lub sąd. ODPOWIEDZIALNOŚĆ ADMINISTRATORA DANYCH W SALONIE BEAUTY W tej części warto zatrzymać się i wyjaśnić kim jest ad- ministrator, a kim jest osoba przetwarzająca. Otóż do ad- ministratora należy ustalenie celów na podstawie których dane osobowe będą przetwarzane. Administratorem za- tem będzie podmiot odpowiedzialny i decydujący o tym po co i w jaki sposób mają być przetwarzane dane. Natomiast podmiotem przetwarzającym jest podmiot (np. zewnętrz- ny) wykonujący zadania dla danego salonu beauty. Może to być księgowa, firma wykonująca działania outsourcingo- we, podmiot wykonujący obowiązki kadrowe, promocyjne itd. Za najczęstszy przykład przytacza się firmy informa- tyczne, które dostarczają oprogramowanie i zarządzają nim lub udostępniają przechowywanie danych w chmurze. Istotę odpowiedzialności administratora danych w salo- nie beauty w świetle Rozporządzenia, opisuje artykuł 82, ust. 2. Wskazuje on na odpowiedzialność podmiotu prze- twarzającego – „Odpowiada on wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bez- pośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom”. Jednocześnie należy zwrócić uwagę na zdanie pierwsze, które wskazuje, że każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spo- wodowane przetwarzaniem naruszającym niniejsze Roz- porządzenie, a co za tym idzie należy rozróżnić dwie role: administratora i pomiotu przetwarzającego. Pełnią oni kluczowe role w zakresie przetwarzania danych, i w ich obowiązkach jest dopełnienie wszelkich czynności zmie- rzających do ochrony danych osobowych. Administrator i podmiot przetwarzający powinni w ramach podwyższo- nej należytej staranności zrobić wszystko co w ich mocy, aby dane osobowe były odpowiednio chronione [1]. Ustawodawca w ustępie 3 wskazał na przesłankę egzone- racyjną, czyli wyłączającą odpowiedzialność, a dokładniej – „Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowa- dziło do powstania szkody”. Zatem każdy z tych podmiotów może zwolnić się z odpowiedzialności jeżeli udowodni, że do wycieku nie doszło z jego winy. Tu dochodzimy do istot- nego zagadnienia jakim jest wina. Z treści ustępu drugiego dowiadujemy się, że każdy ad- ministrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze Rozporządzenie. Podmiot przetwarzający odpo- wiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze Rozporządze- nie nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami admini- stratora lub wbrew tym instrukcjom. W tym miejscu warto wskazać, że mamy do czynienia z odwróconym ciężarem dowodu. Jest to niezwykle ważne, albowiem co do zasady przyjmuje się zgodnie z artykułem 6 Kodeksu cywilnego, że „ciężar udowodnienia faktu spoczywa na osobie, która z fak- tu tego wywodzi skutki prawne”, a więc w normalnej sprawie (innej niż ochrona danych), gdzie klientka zostaje poszko- dowana, to na niej spoczywa ciężar udowodnienia faktu, że doznała uszczerbku w danym salonie kosmetycznym. Jednak z perspektywy ochrony danych osobowych, to na przedsiębiorcy czyli osobie prowadzącej biznes w bran- ży beauty będzie ciążył ciężar udowodnienia, że dopełnił wszelkich obowiązków wynikających z Rozporządzenia (RODO). Niewątpliwie zmienia to sytuację procesową po- zwanego przedsiębiorcy [1, 11]. Z ustępu trzeciego dowiadujemy się o przesłankach eg- zoneracyjnych, czyli wyłączajacych odpowiedzialność. Ad- ministrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. A więc, pomijając już fakt konieczności udowodnienia dołożenia podwyższonej należytej staranności przy wprowadzeniu i realizowaniu obowiązków wynikających z Rozporządzenia, to z tego ustępu dowiadujemy się, że przesłanką zwalniającą jest 442 3 / 2020 / vol. 9 Kosmetologia Estetyczna Aesthetic Cosmetology and Medicine ARTYKUŁ NAUKOWY KOSMETOLOGIA ESTETYCZNA N udowodnienie, przez dany podmiot, że nie ponosi winy za np. wyciek danych. Choć należy podkreślić, że udowodnie- nie braku winy nie jest łatwe [1]. Ustęp czwarty wskazuje na sytuację, do której może dojść jeżeli występuje więcej podmiotów przetwarzających dane niż sam administrator czy przetwarzający. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden ad- ministrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania. Odpowiedzialność solidarna, która jest tu wskazana dotyczy sytuacji, w której każda ze stron będzie odpowiadała w częściach równych do wysokości odszkodowania jakie przyzna sąd [1]. Z ustępu piątego i szóstego wynika, że administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapła- cił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowia- dającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2 omawianego artykułu. Natomiast ustęp szósty wskazuje na postępowa- nie sądowe dotyczące odszkodowania, a które jest wszczy- nane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2. Rozpo- rządzenia [1]. PODSUMOWANIE Zebranie powyższych rozważań pozwala zobrazować pew- ną należytą staranność jaką w minimalnym stopniu powi- nien spełnić każdy przedsiębiorca w kontekście ochrony danych osobowych, aby zminimalizować ryzyko odpowie- dzialności odszkodowawczej. Najistotniejszymi są m.in obligatoryjne kwestie dokładnego przestrzegania Rozpo- rządzenia (RODO), unikanie korzystania z aplikacji/opro- gramowania, jeżeli nie można sprecyzować gdzie dane są udostępniane przez podmiot dostarczający daną aplikację. Jeżeli w przedsiębiorstwie dane gromadzone są w chmurze internetowej należy zweryfikować czy jest ona publiczna, czy prywatna oraz odpowiednio dostosować przepisy i za- sady gromadzenia danych w firmie, aby spełniały wymogi prawne Rozporządzenia w tym zakresie. Odpowiednie zabezpieczenie danych, przechowywa- nie w zamkniętych miejscach, należyte zabezpieczanie hasłem nośników danych, niewykorzystywanie kom- puterów, na których gromadzone są dane klientów do celów prywatnych, minimalizują ryzyko potencjalnego zarażenia go złośliwym oprogramowaniem. Świado- mość i szacowanie ryzyka to pierwsze kroki do zgodności prawnej salonu beauty. Jeżeli jednak dojdzie do wycieku, najistotniejsze jest zminimalizowanie jego skutków. Dla- tego konieczne jest przygotowanie procedury postępowa- nia na wypadek wycieku danych, aby w sytuacji awaryjnej nie podejmować decyzji pod wpływem emocji tylko zgod- nie z założeniami. Warto korzystać ze wsparcia prawni- ków, aby pomogli odpowiednio przygotwać salon do zgod- ności prawnej (compliance). LITERATURA 1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarza- niem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 2. Dyrektywa 2009/24/WE. Programy komputerowe - ochrona prawna. 3. Włodek J. Wynalazki wykorzystujące programy komputerowe. Rzecznik Pa- tentowy 2002, vol. 2(33): 40. 4. Sztobryn K. Ochrona programów komputerowych w prawie własności intelek- tualnej w Unii Europejskiej: 71. 5. Deloitte, Ochrona danych osobowych, https://www2.deloitte.com/pl/pl/pages/ doradztwo-prawne/articles/alerty-prawne/ochrona-danych-osobowych.html (dostęp: 26.04.2020). 6. Wyrok Trybunału Sprawiedliwości z dnia 29 lipca 2019 r. C-40/17, Operator witryny internetowej jako administrator danych osobowych. 7. Przeprowadzenie anonimowej ankiety wśród przedsiębiorców na stronie www. kosmetykaprawo.pl, w dniu 12.08.2019 r., https://kosmetykaprawo.pl/podziel- sie-ze-mna-swoja-opinia-na-temat-aplikacji-mobilnych/ (dostęp: 26.04.2020). 8. Cloud computing RODO a lokalizacja serwerów poza Europejskim Obszarem Gospodarczym. Computerworld, https://www.computerworld.pl/news/Clo- ud-computing-RODO-a-lokalizacja-serwerow-poza-Europejskim-Obszarem- Gospodarczym,407576.html (dostęp: 26.04.2020). 9. Odpowiedzialność za naruszenie przepisów RODO. Poradnik przedsiębiorcy. https:// poradnikprzedsiebiorcy.pl/-odpowiedzialnosc-za-naruszenie-przepisow- rodo (dostęp: 26.04.2020). 10. Zaniechanie w prawie karnym. Prokuratura w Zielonej Górze, http://www.zie- lona-gora.po.gov.pl/index.php?id=36&ida=3735 (dostęp: 26.04.2020). 11. Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny, Dz.U.2019.1145 t.j. z dnia 19.06.2019 r. 12. Wyrok Sądu Apelacyjnego w Szczecinie z dnia 6 lipca 2018 r. I ACa 164/18. 13. Bierć A. Zarys Prawa Prywatnego. Warszawa 2018: 295-403. 14. Bieniek G. (red.) Komentarz do Kodeksu cywilnego, Księga Trzecia Zobowiąza- nia, tom 1 wydanie 7, Warszawa 2007: 240-554. 15. Scottish hairdressing company suffers data breach https://www.retailsecu- re.co.uk/blog/scottish-hairdressing-company-suffers-data-breach (dostęp: 26.04.2020). 16. Słownik języka polskiego, https://sjp.pwn.pl/slowniki/szkoda.html (dostęp: 26.04.2020). 17. Wyrok Sądu Apelacyjnego w Białymstoku. I ACa 724/16. 18. Rezler J. Naprawienie szkody wynikłej ze spowodowania uszczerbku na ciele lub zdrowiu (według Prawa cywilnego), RPEiS 1968: 21-22. 19. Jastrzębski J. Kara umowna, Warszawa. 2006: 111. 20. Kryla-Cudna K. Instytucje Prawa Cywilnego, Zadośćuczynienie pieniężne za szkodę niemajątkową powstałą wskutek niewykonania lub nienależytego wy- konania umowy, Warszawa 2018: 3-4. 21. Ustawa z dnia 6 czerwca 1997 r., Kodeks karny, Dz.U.2019.1950 t.j. z dnia 14.10.2019. 22. Wyrok Sądu Apelacyjnego w Gdańsku z dnia 3 grudnia 2015 r. I ACa 600/15. 23. Wyrok Sądu Apelacyjnego w Łodzi z dnia 16 lipca 2019 r. III APa 12/19. 24. Wyrok Sądu Apelacyjnego w Gdańsku z dnia 31 maja 2016 r. V ACa 877/15. 25. Rodzaje chmur obliczeniowych http://cloudinfos.pl/Rodzaje-chmur-oblicze- niowych (dostęp: 26.04.2020).Next >