Rozwój technologii oraz wciąż zwiększające się znaczenie danych jako zasobu stawiają szczególne wyzwania pod kątem zabezpieczenia przed ich wyciekiem. Wyciek danych może pociągać za sobą nie tylko konsekwencje administracyjne na gruncie przepisów ogólnego rozporządzenia o ochronie danych (RODO), ale również skutkować odpowiedzialnością cywilnoprawną względem kontrahentów, których interesy zostały naruszone.

Celem niniejszego opracowania jest analiza podstaw odpowiedzialności cywilnej w sytuacji, w której przedsiębiorca nie wdrożył adekwatnej polityki bezpieczeństwa informacji, a jego kontrahent poniósł szkodę w wyniku wycieku danych.

Zakres obowiązków w zakresie bezpieczeństwa danych osobowych

Zgodnie z art. 24 ust. 1 RODO, administrator danych zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzania odbywało się zgodnie z niniejszym rozporządzeniem. Środki te powinny być adekwatne do charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych.

I tutaj kluczową rolę odgrywa wewnętrzna polityka bezpieczeństwa informacji, która obejmuje m.in. zarządzanie uprawnieniami dostępowymi, procedury reagowania na incydenty, politykę haseł, zasady przechowywania i szyfrowania danych oraz szkolenia pracowników.

Odpowiedzialność cywilna – podstawa prawna i przesłanki

W przypadku, gdy w wyniku braku adekwatnych zabezpieczeń dochodzi do wycieku danych, odpowiedzialność cywilna może zostać oparta na:

reżimie kontraktowym, zgodnie z art. 471 Kodeksu cywilnego (k.c.), gdy szkoda wynika z nienależytego wykonania zobowiązania umownego (np. umowy o współpracy, umowy powierzenia przetwarzania danych),
reżimie deliktowym, w oparciu o art. 415 k.c., w przypadku naruszenia ogólnych zasad staranności lub przepisów prawa, gdy pomiędzy stronami nie istnieje stosunek obligacyjny,
art. 82 RODO, który przewiduje możliwość dochodzenia odszkodowania przez osobę fizyczną, której dane zostały naruszone, przeciwko administratorowi lub podmiotowi przetwarzającemu.

W kontekście relacji biznesowych, kluczowa będzie regulacja art. 471 kodeksu cywilnego, zgodnie z którym dłużnik obowiązany jest do naprawienia szkody wynikłej z niewykonania lub nienależytego wykonania zobowiązania, chyba że wykaże, iż niewykonanie lub nienależyte wykonanie nastąpiło wskutek okoliczności, za które nie ponosi odpowiedzialności. Wobec powyższego, należy wykazać istnienie obowiązku, jego nienależyte wykonanie, szkodę po stronie kontrahenta a także związek przyczynowy pomiędzy naruszeniem a szkodą.

Znaczenie braku polityki bezpieczeństwa informacji jako naruszenia należytej staranności

W orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej wielokrotnie wskazywano o obowiązku należytej staranności w ochronie danych osobowych. 14 grudnia 2023 roku TSUE wydał wyrok w sprawie C-340/21 zgodnie z którym, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Co istotne, TSUE uznało, iż sama obawa przed wykorzystaniem przez osoby trzecie danych osobowych w przyszłości spełnia przesłankę „szkody niemajątkowej”.

Analogicznie, w relacjach pomiędzy kontrahentami, brak wdrożenia adekwatnych środków techniczno-organizacyjnych (w tym formalnej polityki bezpieczeństwa) może być dowodem rażącego niedbalstwa, a tym samym przesłanką odpowiedzialności za poniesione przez drugą stronę szkody.

Praktyczne konsekwencje i roszczenia

W przypadku wycieku danych, kontrahent poszkodowany może dochodzić m.in.:

zwrotu kosztów poniesionych w związku z naruszeniem (np. audytów, powiadomień osób, usług PR),
odszkodowania za szkody wizerunkowe,
zadośćuczynienia za naruszenie dóbr osobistych (jeśli dane dotyczyły jego pracowników lub klientów),
regresu z tytułu kar administracyjnych (np. na mocy odpowiednich postanowień umownych).

Ostateczny zakres odpowiedzialności zależy od okoliczności konkretnego przypadku, a także tego, czy można wykazać związek przyczynowy między uchybieniami w polityce bezpieczeństwa a powstałą szkodą.

Wnioski

W świetle obowiązującego prawa, brak wdrożenia polityki bezpieczeństwa informacji może stanowić podstawę przypisania odpowiedzialności cywilnej- zarówno wobec osób fizycznych jak i przedsiębiorców. Równie istotny jest fakt, iż przy wycieku danych, budowana przez lata renoma przedsiębiorstwa może dotkliwie ucierpieć, co może doprowadzić do problemów z napływem nowych klientów oraz odejścia tych dotychczasowych, co w konsekwencji będzie miało przełożenie na wyniki finansowe organizacji.

Należy uznać, iż posiadanie aktualnej i skutecznie wdrożonej polityki bezpieczeństwa informacji powinno być standardem dla każdego profesjonalnego uczestnika obrotu gospodarczego.

Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 19 sierpnia 2025 r.

Autor:

Olga Jacykowska

Aplikant adwokacki
+48 795 888 714 | o.jacykowska@kglegal.pl

Redaktor cyklu:

Mateusz Grosicki

Adwokat, wspólnik
+48 506 367 109 | m.grosicki@kglegal.pl

Post Views: 46

Kancelaria Graś i Wspólnicy to – Profesjonalizm Doświadczenie Wsparcie.

Odpowiedzialnosć cywilna za wyciek danych osobowych – analiza w kontekście obowiązku wdrożenia polityki bezpieczeństwa informacji

Ostatnie posty

Projekt nowelizacji ustawy o własności lokali

Sankcje w KSeF

Zasada jednakowego wynagradzania w prawie pracy – zakres, znaczenie i konsekwencje prawne

Dofinansowanie rejestracji znaków towarowych i wzorów przemysłowych

Roszczenia odszkodowawcze za obniżenie wartości nieruchomości w skutek zmiany Miejskiego Planu Zagospodarowania Przestrzennego

Nasze cykle

Kancelaria Prawna Warszawa
Graś i Wspólnicy

Nasze usługi

Menu

Skontaktuj się z nami!