Odszkodowania za niezgodne z prawem przetwarzanie danych w rodo – sprawdź, czego się spodziewać

Zgodnie z ogólnym rozporządzeniem organ nadzorczy będzie mógł nałożyć na administratora danych karę administracyjną w wysokości do 20 mln euro lub 4% obrotu rocznego światowego – zastosowanie będzie miała wyższa kwota. Będą one nakładane już za naruszenie podstawowych obowiązków związanych z ochroną procesu przetwarzania danych osobowych.

Zgodnie z projektem ustawy o ochronie danych osobowych z 28 marca 2017 r. przygotowanym przez Ministerstwo Cyfryzacjikary mają być nakładane w trybie administracyjnym z 14 dniowym terminem płatności (liczonym od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego). Kary mają być dochodem budżetu państwa.

Dzięki nowym przepisom ogólnego rozporządzenia każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 rodo).

Nie jest nowością to, że za brak przestrzegania przepisów ogólnego rozporządzenia w ramach procesu przetwarzania danych osobowych, odpowiedzialność administracyjną (i jak jest obecnie – karną) ponosi administrator danych osobowych. Ponadto, jak dalej precyzuje ustawodawca europejski, uprawnienie do żądania odszkodowania za szkodę majątkową i niemajątkową przysługuje osobie, której dane osobowe były/są przetwarzane przez podmiot określony wyrażeniem „przetwarzający”.

Tym samym ogólne rozporządzenie jednoznacznie precyzuje, że za szkodę nie musi być wyłącznie odpowiedzialny administrator danych osobowych. Może nim być też inny podmiot, który bierze udział w przetwarzaniu danych osobowych, i który jednocześnie nie ma statusu administratora danych osobowych.

Zgodnie z ogólnym rozporządzeniem w procesie przetwarzania danych osobowych może występować więcej niż jeden administrator danych. Jeżeli w tym samym przetwarzaniu danych osobowych uczestniczy więcej niż jeden administrator lub podmiot przetwarzający, albo uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający, odpowiadają oni za szkodę spowodowaną przetwarzaniem danych osobowych (art. 82 ust. 4 rodo). Ponoszą odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą rzeczywiste uzyskanie odszkodowania.

Ustawodawca europejski uregulował zasady odpowiedzialności solidarnej pomiędzy kilkoma ADO. Nie odbiegają one od krajowej cywilistycznej instytucji uprawnienia regresowego pomiędzy solidarnie zobowiązanymi podmiotami. Ten z kilkorga administratorów danych osobowych lub podmiotów przetwarzających, który zapłacił całość odszkodowania na rzecz podmiotu danych, który wystąpił z żądaniem zapłaty odszkodowania, może (lecz nie musi) wystąpić z roszczeniem regresowym do pozostałych podmiotów zobowiązanych. Podmioty te powinny zwrócić mu tę część odszkodowania, za którą ponoszą odpowiedzialność prawną względem osoby uprawnionej.

W praktyce jednak trudno sobie wyobrazić, żeby jeden z odpowiedzialnych podmiotów zapłacił całość odszkodowania za powstałą szkodę, a następnie nie korzystał z uprawnienia regresowego względem podmiotów odpowiedzialnych za jej powstanie.

Administrator danych osobowych lub podmiot przetwarzający dane zobowiązany do zapłaty odszkodowania będzie zwolniony z tego obowiązku w ściśle określonych przypadkach. Po pierwsze, jeśli wykaże, że powstała szkoda nie jest spowodowana niedopełnieniem przez niego obowiązków nałożonych przepisami ogólnego rozporządzenia o ochronie danych. Po drugie, jeśli wykaże, że działał w zgodzie z instrukcjami administratora lub w sposób, który nie był z nimi sprzeczny – w przypadku podmiotu przetwarzającego. Podmiot zobowiązany do zapłaty odszkodowania będzie musiał udowodnić, że nie przyczynił się do powstania szkody osobie, której dane dotyczą.

Zagadnieniem, które nurtuje środowisko, są zasady szacowania wysokości odszkodowania i zadośćuczynienia. Odpowiedzi należy szukać w definicji przetwarzania danych osobowych zawartej w ogólnym rozporządzeniu o ochronie danych, bo to za niezgodne z prawem przetwarzanie danych będzie można żądać zapłaty odszkodowania i zadośćuczynienia.

Jak wynika z treści art. 4 ogólnego rozporządzenia o ochronie danych, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Przychylam się do stanowiska tych przedstawicieli doktryny, którzy sugerują konieczność szerokiego interpretowania pojęcia szkody. W konsekwencji słuszny w mojej ocenie jest pogląd, że konieczne jest stosowanie, w tym przypadku, również dyrektyw wykładni rozszerzającej.

Warto również wspomnieć o możliwości występowania z żądaniem zapłaty odszkodowania lub zadośćuczynienia w imieniu uprawnionego, przez podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, a które zostały należycie ustanowione zgodnie z prawem państwa członkowskiego oraz mają cele statutowe, które leżą w interesie publicznym, i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych.