Komisja Nadzoru Finansowego ostrzegała w kwietniu przed możliwymi atakami hakerskimi na bankowe bazy danych. Czy zhakowany klient ma prawo do odszkodowania w sytuacji, gdy nie poniósł szkód finansowych?
Potrzebna jest szkoda
Jak się okazuje, kwestia odszkodowania za bezprawne udostępnienie danych nie jest oczywista. – Możliwość żądania odszkodowania zawsze uzależniona jest bowiem od zaistnienia i udowodnienia: konkretnej szkody majątkowej, jaką poniosła osoba, której dane zostały ujawnione, powiązania tej szkody w tzw. adekwatny związek przyczynowy z faktem udostępnienia tych danych oraz stwierdzenia winy udostępniającego (tj. uznania, iż nie dochował on wymaganej od niego należytej staranności) – tłumaczy Piotr Żebiałowicz, aplikant radcowski z kancelarii Głowacki i Wspólnicy. Samo bezpodstawne ujawnienie np. danych osobowych nie będzie zdarzeniem bezpośrednio powodującym szkodę majątkową, gdyż trudno sobie wyobrazić sytuację, w której szkoda taka powstaje wskutek tylko tego, że ktoś się z określonymi danymi wyłącznie zapoznał. Takie udostępnienie samo z siebie nie spowoduje więc powstania odpowiedzialności odszkodowawczej. Muszą zaistnieć pewne dodatkowe okoliczności, jak np. ewentualne działanie osób, które użyją uzyskanych danych i w konsekwencji spowodują realną szkodę – i od takich osób zasadniczo należy domagać się odszkodowania. – Wtedy też powstanie problem rozstrzygnięcia, czy ujawnienie określonych danych pozostaje w tak ścisłym związku przyczynowym z zaistniałą szkodą, że uzasadni obarczenie ujawniającego dane odpowiedzialnością jako „współsprawcy" szkody – podkreśla Piotr Żebiałowicz. Stwierdzenie istnienia takiego związku nie jest wykluczone, jednak na pewno utrudnione. W przypadku gdy dane zostały ujawnione celowo (choćby tylko przez pracownika instytucji ujawniającej dane, bez wiedzy jej zarządu), możliwe jest rozpatrywanie istnienia takiego adekwatnego związku przyczynowego. Można także rozważać potraktowanie umyślnie ujawniającego dane jako pomocnika sprawcy i pociągnięcia do odpowiedzialności odszkodowawczej z tej przyczyny. Możliwość żądania odszkodowania za ujawnienie danych jest więc silnie uzależniona od oceny okoliczności konkretnej sprawy.
Pozostaje zadośćuczynienie
Od odszkodowania należy natomiast odróżnić zadośćuczynienie, tj. kwotę pieniężną, która nie ma na celu naprawienia poniesionej szkody, ale zrekompensowanie tzw. krzywdy, czyli naruszenia dóbr osobistych. – Bezpodstawne udostępnienie danych osobowych niewłaściwej osobie stanowić będzie co do zasady naruszenie prawa do prywatności, a więc wyrządzenie krzywdy. W takim przypadku będziemy mogli domagać się od bezprawnie udostępniającego dane przeprosin oraz właśnie zadośćuczynienia – tego ostatniego jednak tylko w przypadku, gdy wykażemy, że dane zostały udostępnione wskutek niedochowania należytej staranności, której należało się spodziewać od udostępniającego (tzn. wykazania winy) – tłumaczy Piotr Żebiałowicz. Możliwość żądania zadośćuczynienia będzie więc właściwie wyłączona – tak zresztą jak w przypadku odszkodowania – w przypadku braku winy, np. gdy dane wykradziono mimo zachowania przez przechowującego wszelkich zabezpieczeń i innych środków bezpieczeństwa, a on sam nie mógł tej kradzieży zapobiec. Dla zasądzenia zadośćuczynienia nie jest jednak wymagane zaistnienie szkody majątkowej.
