Odpowiedzialność odszkodowawcza administratora danych osobowych lub podmiotu przetwarzającego za naruszenie w zakresie ochrony danych osobowych

16 maja 2018

Opublikowano przez: Natalia Stojanowska

KATEGORIA: RODO informator

Oprócz licznych obowiązków nałożonych na administratora lub podmiot przetwarzający, RODO[1] określa także zasady odpowiedzialności odszkodowawczej ww. podmiotów wobec osoby, która poniosła szkodę majątkową lub niemajątkową[2] w wyniku naruszenia przepisów RODO, aktów delegowanych i wykonawczych przyjętych na jego mocy oraz przepisów prawa państwa członkowskiego doprecyzowujących przepisy RODO (przepisy krajowe)[3].

W świetle motywu nr 146 zdanie 3 RODO, pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele RODO. W polskim porządku prawnym pojęcie szkody majątkowej dzieli się na stratę rzeczywistą i utracone korzyści. Odszkodowanie za szkodę niemajątkową w rozumieniu RODO – jak się wydaje – będzie utożsamiane z zadośćuczynieniem za doznaną krzywdę.

Zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego „pełne i skuteczne”[4] odszkodowanie za poniesioną szkodę.

Unijne Rozporządzenie 2016/679 wprowadza zasadę, że odpowiedzialność odszkodowawczą związaną z naruszeniem przepisów RODO ponosi co do zasady administrator (art. 82 ust. 2 zd. 1 RODO).

Odpowiedzialność podmiotu przetwarzającego została ograniczona i jest proporcjonalna do zakresu jego uprawnień i obowiązków[5]. Podmiot przetwarzający odpowiada, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na niego, a także gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Obowiązek naprawienia szkody może powstać w przypadku spełnienia następujących przesłanek:

1) poniesienie przez podmiot danych szkody majątkowej lub niemajątkowej;

2) przetwarzanie dokonywane przez administratora lub procesora w sposób naruszający przepisy RODO;

3) zaistnienie związku przyczynowego pomiędzy szkodą a naruszeniem;

4) wystąpienie winy w naruszeniu przepisów Unijnego Rozporządzenia 2016/679.

Przepis art. 82 ust. 3 RODO przewiduje przesłankę wyłączającą obowiązek naprawienia zaistniałej szkody przez administratora lub podmiot przetwarzający. Dotyczy to sytuacji, gdy administrator lub podmiot przetwarzający udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Należy pamiętać, że zgodnie z zasadą rozliczalności administrator musi być w stanie wykazać przestrzeganie 7 podstawowych zasad przetwarzania danych osobowych wynikających z art. 5 RODO – dlatego w praktyce ciężar udowodnienia poprawności przetwarzania danych zostanie przeniesiony na administratora niezwłocznie po przedstawieniu przez podmiot danych dowodu, że doszło do naruszenia przepisów Unijnego Rozporządzenia 2016/679[6].

RODO określa również zasady odpowiedzialności w sytuacji, gdy w procesie przetwarzania uczestniczy więcej niż jeden administrator lub podmiot. Wówczas zarówno administrator, jak i podmiot przetwarzający odpowiadają solidarnie za wyrządzoną szkodę (art. 82 ust. 4 RODO).

W efekcie przyjętego w RODO rozwiązania podmiot danych w przypadku naruszenia danych osobowych i powstania szkody może żądać całości odszkodowania od dowolnego ze wskazanych podmiotów albo od wszystkich łącznie (odpowiedzialność solidarna). W konsekwencji wprowadzenia formy odpowiedzialności, Unijne Rozporządzenie 2016/679 przewiduje również instytucję roszczenia zwrotnego (regresowego). Administrator lub podmiot przetwarzający, który zgodnie z art. 82 ust. 4 RODO zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w art. 82 ust. 2 RODO (o ile nie zachodzą przesłanki wyłączenia ich odpowiedzialności).

[1] Także jako: Unijne Rozporządzenie 2016/679.

[2] Dalej jako: podmiot danych.

[3] Zob. motyw nr 146 zdanie 5 RODO.

[4] Zgodnie z motywem nr 146 zdanie 6 RODO, osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody.

[5] Zob. art. 30 ust. 2 (prowadzenie rejestru kategorii czynności przetwarzania), art. 32 ust. 1 (wdrożenie środków bezpieczeństwa), art. 33 ust. 2 (zgłoszenie administratorowi naruszenia ochrony danych). Podmioty przetwarzające są również zobowiązane do działania zgodnie z wytycznymi administratora i przetwarzania danych wyłącznie na udokumentowane polecenie administratora (art. 29).

[6] Zob. https://www.currenda.pl/2018/02/7-podstawowych-zasad-przetwarzania-danych-osobowych-w-swietle-rodo/.

 

Zobacz pełny artykuł