Administrator może żądać odszkodowania od procesora – na jakich zasadach
Wiemy, że powierzenie przetwarzania danych polega na ich przekazaniu innemu podmiotowi, który przetwarza te dane na podstawie umowy powierzenia, w celach i w zakresie wyznaczonym przez administratora. Cechą charakterystyczną umowy powierzenia jest m.in. odpowiedzialność administratora za działania procesora w zakresie powierzonych danych. Może więc zdarzyć się tak, że administrator będzie zmuszony do zapłacenia kary finansowej lub odszkodowania (na rzecz podmiotów danych) w wyniku niewłaściwych działań procesora. Administrator może wówczas rozważyć wytoczenie powództwa o odszkodowanie przeciwko procesorowi.
W temacie tygodnia:
jak zminimalizować ryzyko powstania szkody,
jaką odpowiedzialność może ponieść procesor
jak pozwać procesora,
jakie argumenty stosować w procesie.
Celem wstępu – jak zmniejszyć ryzyko szkody
Aby zminimalizować ryzyko powstania szkody w wyniku działań procesora administrator powinien należycie go zweryfikować jeszcze przed zawarciem umowy powierzenia. Należy m.in. sprawdzić, czy proces ma możliwości techniczne aby należycie zabezpieczać przetwarzane dane.
Czynność tę warto wykonać w drodze ankiety. Wzór takiego dokumentu pobierzesz tutaj>>
W razie ewentualnej kontroli wykazanie, że administrator sprawdził potencjalnego procesora może pozwolić uniknąć lub zmniejszyć karę finansową. Poza tym stanowi dobry argument na wypadek ewentualnego procesu o odszkodowanie.
Odpowiednia klauzula informacyjna przed dochodzeniem odszkodowania
Dochodzenie odszkodowania wiąże się z przetwarzaniem danych osobowych. Dlatego aby nie narazić się na skargi ze strony procesora (skierowane do Prezesa UODO) administrator powinien wskazać jego przedstawicielom w klauzuli informacyjnej m.in. stosowne podstawy przetwarzania i okres przechowywania danych, a gdy nie jest to możliwe, kryteria jego ustalania. W przeciwnym razie administrator musiałby usunąć dane wskazanych osób albo dochodzić odszkodowania z naruszeniem RODO
Fragment klauzuli informacyjnej:
Przetwarzane danych na podstawie zgody (art. 6 ust. 1 lit. a RODO) będzie realizowane do czasu jej odwołania oraz przez okres niezbędny do celów dochodzenia roszczeń prawnych lub obrony przed takimi roszczeniami.
Rodzaje odpowiedzialności odszkodowawczej
Wyróżniamy odpowiedzialność odszkodowawczą:
- deliktową – wynikającą z przepisu prawa (głównie art. 415 Kodeksu cywilnego w związku z RODO);
- kontraktową – jej podstawą jest konkretne postanowienie umowy powierzenia przetwarzania danych osobowych.
Procesor odpowiada za naruszenie umowy
Najczęściej w przypadku procesora będziemy mieli do czynienia z odpowiedzialnością kontraktową tj. wynikającą z umowy powierzenia przetwarzania danych. Naruszenie warunków tej umowy przez procesora skutkujące wyrządzeniem administratorowi szkody może być podstawą do ubiegania się o odszkodowanie od tego procesora.
Nie jest możliwe zobowiązanie procesora w umowie powierzenia do pokrycia za administratora nałożonej na tego administratora kary pieniężnej. Nie można też przenieść umownie tej kary pieniężnej na procesora, gdyż kara jest nakładana w formie decyzji administracyjnej. Nie jest także możliwa ingerencja w to, kto ma zapłacić tę karę (np. ustanowienie procesora gwarantem czy poręczycielem tej kary). Można natomiast przewidzieć zapis, zgodnie z którym procesor będzie zobowiązany zwrócić administratorowi zapłaconą przez niego karę administracyjną, ewentualnie razem z poniesionymi dodatkowymi kosztami (np. obsługi prawnej).
Procesor odpowie także za delikt
Podmiot przetwarzający może też odpowiadać za niewykonanie obowiązków nałożonych na niego bezpośrednio przez RODO i będące tego efektem wyrządzenie szkody administratorowi.
Naruszenie umowy lub RODO
Reasumując, podmiot przetwarzający odpowie za wyrządzenie szkody wówczas, jeżeli zostanie spełniona jedna z następujących przesłanek:
- procesor nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające; lub
- procesor działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Administrator (właściciel sklepu) zlecił przetwarzanie danych z aplikacji mobilnej tego sklepu wyspecjalizowanej agencji (procesorowi), która miała monitorować działanie aplikacji i ją rozbudować. Procesor doprowadził do wycieku danych, wskutek czego szkodę majątkową poniósł jeden z klientów. Drugim poszkodowanym był administrator, który poniósł m.in. szkodę wizerunkową.
Jeżeli do powstania szkody przyczyniło się jednocześnie kilku procesorów, to każdy z nich będzie odpowiadał względem administratora na zasadzie odpowiedzialności solidarnej. Administrator może według swego wyboru pozwać jednego z procesorów, niektórych z nich, a także wszystkich.
Do którego sądu składamy pozew
Jeżeli administrator nie uzyska odszkodowania od procesora dobrowolnie (np. po wezwaniu do zapłaty), wówczas pozostaje mu skierowanie powództwa do sądu powszechnego. Sądem właściwym rzeczowo jest w sprawach o naruszenie prawa o ochronie danych osobowych zawsze sąd okręgowy. Miejscowo właściwy jest sąd okręgowy, w którego okręgu pozwany procesor ma siedzibę lub miejsce zamieszkania.
Pozew o odszkodowanie składamy zawsze do sądu okręgowego wydziału cywilnego według siedziby procesora.
Przydadzą się materiały z innych postępowań
Zauważmy jednak, że naruszenie ochrony danych może być stwierdzone także przez Prezesa Urzędu Ochrony Danych Osobowych i sądy administracyjne. Dlatego, gromadząc materiał dowodowy na sprawę, warto sięgnąć po akta sprawy prowadzonej przez Prezesa UODO lub taki sąd.
Jeżeli postępowanie przed Prezesem UODO nie zostało jeszcze zakończone, to warto poczekać na jego prawomocne ukończenie i dopiero wtedy wytaczać przeciwko procesorowi powództwo przed sądem.
Domniemanie winy procesora
Generalnie w sprawach odszkodowawczych administrator musi udowodnić wystąpienie wszystkich przesłanek odpowiedzialności odszkodowawczej tj.:
- wystąpienia szkody
- dopuszczenia się przez procesora danego zachowania (zawinionego umyślnie lub nieumyślnie),
- adekwatnego (normalnego) związku przyczynowego pomiędzy zachowaniem procesora a szkodą.
Dużym ułatwieniem dla administratora może być domniemanie winy procesorra (art. 82 ust. 3 RODO). Otóżadministrator może być z odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Oznacza to przeniesienie ciężaru dowodu – to pozwany, a nie powód musi wykazać, że wystąpienie szkody nie nastąpiło wskutek jego zawinienia. Należy jednak pamiętać, że z takiego rozwiązania może skorzystać także procesor.
W pozostałym zakresie administrator musi przygotować się na wykazanie przesłanek odpowiedzialności odszkodowawczej. To zaś wymaga złożenia w pozwie stosownych wniosków dowodowych m.in. z zeznań świadków, z dokumentów, opinii biegłych itp.
Procesor nie jest bezbronny
Naturalnie procesor nie będzie bezbronny w walce z administratorem. Może wykorzystać różne argumenty o charakterze merytorycznym i procesowym. Prezentujemy przykładowe z nich i proponowany sposób reakcji.
|
Argumentacja procesora |
Reakcja administratora |
|
Procesor stara się wykazać, że do powstania szkody doszło wskutek okoliczności, za które nie ponosi odpowiedzialności. W związku z tym wskazuje, jakie regulacje wewnętrzne wprowadzono w związku z naruszeniem i próbuje przy tym udowodnić, że regulacje te faktycznie zostały w tej sytuacji zastosowane. |
W tym przypadku administrator powinien już wcześniej zabezpieczyć swój interes i zażądać dokumentacji podmiotu mającego być procesorem nawet jeszcze przed zawarciem z nim umowy powierzenia przetwarzania danych. Dzięki temu w momencie analizowania zasadności pozwania procesora jest w posiadaniu wewnętrznych dokumentów procesora pozwalających administratorowi na ocenę, czy procesor prawidłowo wywiązał się ze swoich obowiązków. To z kolei zmniejsza ryzyko wdania się w ewidentnie wątpliwy spór, w którym nie tylko nie uzyska odszkodowania, ale także zostanie zobowiązany do zwrotu kosztów procesowych podmiotowi przetwarzającemu. Jeżeli zaś chodzi o działania następcze, to administrator powinien wykazywać, że istotny jest całokształt działań procesora i ich skuteczność w konkretnym przypadku a nie samo trzymanie się sztywnych reguł. |
|
Procesor powołuje się na fakt uzyskania certyfikatu zgodności wydanego na podstawie art. 43 RODO. |
Należy podnieść iż wskazany certyfikat nie jest środkiem wyłączającym odpowiedzialność procesora. Taki certyfikat może być wprawdzie argumentem uprawdopodabniającym brak winy procesora, ale jego przedstawienie w sądzie nie wystarczy – procesor musi wykazać, iż w konkretnych okolicznościach faktycznych sprawy zachował się jak powinien. |
|
Procesor podnosi, że działał w wyniku zgodnych z prawem instrukcji administratora |
W takim przypadku administrator powinien antycypować, że spór może się toczyć wokół następujących zagadnień:
Następnie w oparciu o wcześniejsze ustalenia należy przedstawić stosowną argumentację. |
|
Procesor zarzuca przedawnienie roszczenia |
Przedawnienie roszczenia jest regulowane nie przepisami RODO, lecz ustawą z 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z jej art. 92 w zakresie nieuregulowanym RODO do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych stosuje się przepisy Kodeksu cywilnego. Oznacza to, że skoro mamy do czynienia z roszczeniami deliktowymi, to administrator może wystosować roszczenie o naprawienie szkody przed upływem trzech lat od dnia, w którym:
o szkodzie i o osobie obowiązanej do jej naprawienia. Maksymalnie jednak musi to być w okresie dziesięciu lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę. W tym przypadku administrator nie ma innego wyjścia niż wykazywanie, że terminy przedawnienia jeszcze nie upłynęły (gdyż np. moment, w którym dowiedział się lub mógł dowiedzieć o zdarzeniu, wystąpił później niż wskazuje procesor). |
A może pokrycie szkody z OC
Jeżeli procesor był ubezpieczony, wówczas administrator może także dochodzić odszkodowania od ubezpieczyciela. Musi jednak pamiętać o konieczności zrealizowania wszystkich wymogów wynikających z OWU i ewentualnych klauzul dodatkowych.
Najczęściej ubezpieczyciel może oczekiwać, aby:
- zgłosić szkodę w określonym czasie od jej powstania lub uzyskania o niej wiadomości;
- zgłosić szkodę w określony sposób;
- zawiadomić policję o szkodzie, która mogła powstać w wyniku przestępstwa;
- umożliwić ubezpieczycielowi dokonanie niezbędnych czynności (przede wszystkim potrzebnych do ustalenia okoliczności powstania szkody i wysokości roszczenia);
- dostarczyć dokumenty niezbędne dla rozpatrzenia roszczenia;
- przedstawić wyliczenie rozmiaru szkody.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 28, art. 43, art. 82,
- ustawa z 23 kwietnia 1964 r. – Kodeks cywilny (tekst jedn.: Dz.U. z 2020 r. poz. 1740) – art. 415.
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Kody QR a bezpieczeństwo danych osobowych
- Skarga do WSA na decyzję UODO – jak ją złożyć
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
