Odszkodowania za niezgodne z prawem przetwarzanie danych w rodo – sprawdź, czego się spodziewać

Paweł Biały

Autor: Paweł Biały

Dodano: 18 kwietnia 2017
Odszkodowania za niezgodne z prawem przetwarzanie danych w rodo – sprawdź, czego się spodziewać

Dotychczas za nieprawidłowości w ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych mógł m.in. nałożyć na administratora danych karę finansową do maksymalnej wysokości 200 tys. zł. W takim przypadku groziła też odpowiedzialność karna. Egzekwowalność tych przepisów była jednak znikoma. Ogólne rozporządzenie o ochronie danych zmienia tę sytuację. Dowiedz się, na co musisz się przygotować.

Zgodnie z ogólnym rozporządzeniem organ nadzorczy będzie mógł nałożyć na administratora danych karę administracyjną w wysokości do 20 mln euro lub 4% obrotu rocznego światowego – zastosowanie będzie miała wyższa kwota. Będą one nakładane już za naruszenie podstawowych obowiązków związanych z ochroną procesu przetwarzania danych osobowych.

Zgodnie z projektem ustawy o ochronie danych osobowych z 28 marca 2017 r. przygotowanym przez Ministerstwo Cyfryzacjikary mają być nakładane w trybie administracyjnym z 14 dniowym terminem płatności (liczonym od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego). Kary mają być dochodem budżetu państwa.

Nowość w rodo – odszkodowania dla osób fizycznych

Dzięki nowym przepisom ogólnego rozporządzenia każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 rodo).

Nie jest nowością to, że za brak przestrzegania przepisów ogólnego rozporządzenia w ramach procesu przetwarzania danych osobowych, odpowiedzialność administracyjną (i jak jest obecnie – karną) ponosi administrator danych osobowych. Ponadto, jak dalej precyzuje ustawodawca europejski, uprawnienie do żądania odszkodowania za szkodę majątkową i niemajątkową przysługuje osobie, której dane osobowe były/są przetwarzane przez podmiot określony wyrażeniem „przetwarzający”.

Tym samym ogólne rozporządzenie jednoznacznie precyzuje, że za szkodę nie musi być wyłącznie odpowiedzialny administrator danych osobowych. Może nim być też inny podmiot, który bierze udział w przetwarzaniu danych osobowych, i który jednocześnie nie ma statusu administratora danych osobowych.

Kilku administratorów danych – kto ponosi odpowiedzialność

Zgodnie z ogólnym rozporządzeniem w procesie przetwarzania danych osobowych może występować więcej niż jeden administrator danych. Jeżeli w tym samym przetwarzaniu danych osobowych uczestniczy więcej niż jeden administrator lub podmiot przetwarzający, albo uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający, odpowiadają oni za szkodę spowodowaną przetwarzaniem danych osobowych (art. 82 ust. 4 rodo). Ponoszą odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą rzeczywiste uzyskanie odszkodowania.

Ustawodawca europejski uregulował zasady odpowiedzialności solidarnej pomiędzy kilkoma ADO. Nie odbiegają one od krajowej cywilistycznej instytucji uprawnienia regresowego pomiędzy solidarnie zobowiązanymi podmiotami. Ten z kilkorga administratorów danych osobowych lub podmiotów przetwarzających, który zapłacił całość odszkodowania na rzecz podmiotu danych, który wystąpił z żądaniem zapłaty odszkodowania, może (lecz nie musi) wystąpić z roszczeniem regresowym do pozostałych podmiotów zobowiązanych. Podmioty te powinny zwrócić mu tę część odszkodowania, za którą ponoszą odpowiedzialność prawną względem osoby uprawnionej.

W praktyce jednak trudno sobie wyobrazić, żeby jeden z odpowiedzialnych podmiotów zapłacił całość odszkodowania za powstałą szkodę, a następnie nie korzystał z uprawnienia regresowego względem podmiotów odpowiedzialnych za jej powstanie.

Kto nie będzie musiał wypłacać odszkodowania

Administrator danych osobowych lub podmiot przetwarzający dane zobowiązany do zapłaty odszkodowania będzie zwolniony z tego obowiązku w ściśle określonych przypadkach. Po pierwsze, jeśli wykaże, że powstała szkoda nie jest spowodowana niedopełnieniem przez niego obowiązków nałożonych przepisami ogólnego rozporządzenia o ochronie danych. Po drugie, jeśli wykaże, że działał w zgodzie z instrukcjami administratora lub w sposób, który nie był z nimi sprzeczny – w przypadku podmiotu przetwarzającego. Podmiot zobowiązany do zapłaty odszkodowania będzie musiał udowodnić, że nie przyczynił się do powstania szkody osobie, której dane dotyczą.

Ważne:

JAKIE PRAWA BĘDĄ MIAŁY OSOBY FIZYCZNE

Osoba, której dane dotyczą, będzie mogła wystąpić przeciwko:

  • administratorowi danych osobowych,
  • administratorom danych osobowych,
  • podmiotowi przetwarzającemu dane lub
  • podmiotom przetwarzającym dane osobowe

z roszczeniem odszkodowawczym za szkodę majątkową lub niemajątkową wyrządzoną jej w związku z przetwarzaniem jej danych osobowych niezgodnym z ogólnym rozporządzeniem o ochronie danych. Osobie uprawnionej będzie więc przysługiwało żądanie zapłaty przez podmiot zobowiązany odszkodowania lub zadośćuczynienia.

Jaka będzie wysokość odszkodowań

Zagadnieniem, które nurtuje środowisko, są zasady szacowania wysokości odszkodowania i zadośćuczynienia. Odpowiedzi należy szukać w definicji przetwarzania danych osobowych zawartej w ogólnym rozporządzeniu o ochronie danych, bo to za niezgodne z prawem przetwarzanie danych będzie można żądać zapłaty odszkodowania i zadośćuczynienia.

Jak wynika z treści art. 4 ogólnego rozporządzenia o ochronie danych, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Przychylam się do stanowiska tych przedstawicieli doktryny, którzy sugerują konieczność szerokiego interpretowania pojęcia szkody. W konsekwencji słuszny w mojej ocenie jest pogląd, że konieczne jest stosowanie, w tym przypadku, również dyrektyw wykładni rozszerzającej.

Warto również wspomnieć o możliwości występowania z żądaniem zapłaty odszkodowania lub zadośćuczynienia w imieniu uprawnionego, przez podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, a które zostały należycie ustanowione zgodnie z prawem państwa członkowskiego oraz mają cele statutowe, które leżą w interesie publicznym, i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych.

Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel