Odpowiedzialność inspektora ochrony danych za szkodę - na jakich zasadach
W pracy inspektora ochrony danych nietrudno o błąd, który może nieść za sobą konsekwencje finansowe np. kary UODO. Administrator może więc pociągnąć inspektora ochrony danych do odpowiedzialności odszkodowawczej. Sprawdź, w jakich przypadkach IOD musi zapłacić odszkodowanie.
Można żądać odszkodowania od IOD
Każdy pracownik i współpracownik firmy może zostać pociągnięty do odpowiedzialności materialnej (odszkodowawczej) przez administratora lub podmiot przetwarzający. Może być to także inspektor ochrony danych osobowych, który doprowadzi do wyrządzenia szkody związanej z naruszeniem przepisów o ochronie danych osobowych. Wprawdzie IOD ma zagwarantowaną niezależność w wykonywaniu zadań i nie może być karany za ich wykonywanie. Niemniej jednak nie wyklucza to odpowiedzialności za niewykonywanie lub nienależyte wykonywanie swoich obowiązków. Inspektor może przecież wyrządzić szkodę administratorowi czyli swojemu pracodawcy lub zleceniodawcy.
Odpowiedzialność inspektora ochrony danych - 3 przesłanki
W przypadku pracowników taka odpowiedzialność nosi miano materialnej. IOD poniesie odpowiedzialność materialną w przypadku łącznego wystąpienia następujących przesłanek.
|
Przesłanki odpowiedzialności odszkodowawczej |
Objaśnienia |
|
niewykonywanie lub nienależyte wykonywanie obowiązków służbowych |
Chodzi tu o bezprawne i zawinione zachowanie pracownika. Przy czym wysokość odszkodowania zależna jest od rodzaju winy IOD:
|
|
szkoda |
Chodzi tu o uszczerbek w mieniu pracodawcy spowodowany zachowaniem pracownika. Taki uszczerbek może przejawiać się w sytuacji, w której pracodawca:
Szkoda to różnica majątkowa wywołana przez zachowanie IOD. Inspektor odpowiada za nią jedynie w granicach rzeczywistej straty pracodawcy. |
|
związek przyczynowy |
Dotyczy to związku przyczynowego pomiędzy zachowaniem IOD a wyrządzoną szkodą (adekwatnego). IOD odpowiada wyłącznie za normalne i typowe następstwa swojego działania lub zaniechania. Nie odpowiada natomiast za następstwa przypadkowe (361 § 2 Kodeksu cywilnego). IOD nie odpowiada za szkodę w takim zakresie, w jakim odpowiedzialność tę można przypisać pracownikowi lub innemu pracodawcy. |
Wystąpienie tych przesłanek musi udowodnić ten, który dochodzi odszkodowania od IOD.
Inspektor ochrony danych błędnie interpretował wyniki DPIA i zarekomendował przetwarzanie danych w określonym zakresie. Niestety doszło do dużego wycieku danych. W konsekwencji Prezes UODO ukarał administratora karą 80 tys. zł. Wynagrodzenie IOD w firmie wynosi 6000 zł. Doprowadził on do wyrządzenia szkody nieumyślnie. A to oznacza, że pracodawca może od niego zażądać odszkodowania w wysokości do 18 tys. zł.
IOD zarekomendował odmowę spełnienia żądania usunięcia danych osobowych (bycia zapomnianym). Była to odmowa nieuzasadniona, w związku z czym administrator musiał zapłacić 20 tys. zł odszkodowania plus koszty postępowania sądowego. W konsekwencji IOD może tu zostać pociągnięty do odpowiedzialności odszkodowawczej. Jako że otrzymuje on wynagrodzenie 7 tys. zł, wysokość odszkodowania może wynieść do 21 tys. zł.
Inspektor ochrony danych nie odpowie więc za szkodę, jeśli związek przyczynowy pomiędzy tą szkodą a jego zachowaniem nie był normalny. Co więcej, IOD nie poniesie też odpowiedzialności za szkodę w takim zakresie, w jakim odpowiedzialność tę można przypisać pracownikowi lub innemu pracodawcy.
IOD ponosi odpowiedzialność regresową
Pracownik nie odpowiada bezpośrednio wobec osób trzecich a jedynie wobec pracodawcy. Dotyczy to także inspektora ochrony danych. Dlatego w przypadku wyrządzenia szkody przez IOD odszkodowania względem inspektora dochodzi pracodawca a nie osoba, której wyrządzono szkody. Na tym polega właśnie istota roszczenia regresowego.
Czy można potrącić odszkodowanie z wynagrodzenia IOD
Potrącenie odszkodowania z wynagrodzenia IOD jest możliwe, ale wyłącznie za jego pisemną zgodą. Przymusowe potrącenie jest możliwe jedynie na mocy tytułu wykonawczego czyli wyroku lub ugody sądowej zaopatrzonych w klauzulę wykonalności.
Pracodawca może zawrzeć pisemne porozumienie z inspektorem. Zgodnie z tym porozumieniem odszkodowanie może być potrącane z jego wynagrodzenia w ratach, tak by udało się odzyskać utracone pieniądze bez sporu sądowego i nie było to nadmiernie dotkliwe dla IOD.
Potrącenia nie mogą być jednak dokonywane w wysokości przekraczającej połowę wynagrodzenia IOD. Poza tym należy pozostawić kwotę wolną od potrąceń, którą jest ustawowe minimalne wynagrodzenie za pracę po odliczeniu składek ZUS, podatku dochodowego i wpłat na PPK.
IOD na umowie cywilnoprawnej – kiedy zapłaci odszkodowanie
Inspektor ochrony danych współpracujący z administratorem na podstawie umowy cywilnoprawnej również korzysta z gwarancji niezależności. Nie zwalnia go do jednak z odpowiedzialności odszkodowawczej. Inspektor ochrony danych odpowiada za szkodę na ogólnych zasadach przewidzianych w Kodeksie cywilnym. Będzie ponosił odpowiedzialność:
- za niewykonania lub nienależyte wykonanie umowy,
- z tytułu zastrzeżonych w umowie kar umownych,
- za czyn niedozwolony.
W przypadku umowy cywilnoprawnej odpowiedzialność IOD nie będzie ograniczona do 3-miesięcznego wynagrodzenia. Inspektor będzie mógł odpowiadać w granicach rzeczywiście wyrządzonej szkody.
Czy IOD może zostać pozwany przez podmiot danych
Czy IOD może spodziewać się roszczeń bezpośrednio od podmiotów danych? W przypadku umów cywilnoprawnych to niemożliwe. Wprawdzie z RODO wynika odpowiedzialność administratora danych osobowych i podmiotu przetwarzającego. Gdy dojdzie do naruszenia RODO, to osobie poszkodowanej przysługuje prawo żądania odszkodowania. Wprawdzie przepis ten kierowany jest głównie do administratorów danych, ponieważ inspektor ochrony danych działa nie we własnym imieniu lecz niejako w imieniu swojego kontrahenta.
Mimo tego administrator danych może poprzez odpowiednie postanowienia w umowie przerzucić odpowiedzialność odszkodowawczą na IOD.
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 38,
- ustawa z 23 kwietnia 1964 r. - Kodeks cywilny (tekst jedn. Dz.U. z 2022 r. poz. 1360) – art. 415, art. 471,
- ustawa z 26 czerwca 1974 r. – Kodeks pracy (tekst jedn. Dz.U. 2022 r., poz. 1510) – art. 114 – 122
- Kopia dokumentacji pracowniczej jako szczególne uprawnienie dostępu do danych osobowych
- Obowiązek informacyjny w związku z rozmową telefoniczną - jak przekazać klauzulę informacyjną RODO
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- System zabezpieczeń przed smishingiem już działa
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
