Sąd Najwyższy: ADO odpowiada za naruszenia procesora

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 14 listopada 2017
Sąd Najwyższy: ADO odpowiada za naruszenia procesora

W wyroku z 1 czerwca 2017 r. Sąd Najwyższy orzekł, że administrator danych jest odpowiedzialny za naruszenia, których dopuścił się podmiot przetwarzający.

Sprawa dotyczyła mężczyzny, który odkrył, że skan rewersu jego dowodu osobistego został udostępniony na stronie internetowej wraz z obraźliwym dopiskiem. Okazało się, że skan ten został wykonany podczas zawierania przez mężczyznę umowy z operatorem telekomunikacyjnym. Dane nie wyciekły jednak z firmy telekomunikacyjnej, a z firmy zewnętrznej, któremu firma powierzyła je do przetwarzania (bez zgody i wiedzy swojego klienta – przepisy tego nie wymagają). Mężczyzna zażądał przeprosin i 10 mln zł zadośćuczynienia, jednak nie od firmy zewnętrznej, a od operatora telekomunikacyjnego.

Sąd okręgowy orzekł, że odpowiedzialność za tę sytuację ponosi operator telekomunikacyjny i nakazał mu przeprosić swojego klienta, a także wypłacić mu 4 tys. zł zadośćuczynienia. Sprawa trafiła do sądu apelacyjnego, który zmienił zaskarżony wyrok. Sąd drugiej instancji uznał, że operator telekomunikacyjny nie może ponosić odpowiedzialności, gdyż do ujawnienia danych osobowych mężczyzny doszło, gdy bazą danych zarządzała firma zewnętrzna.

Jakie stanowisko zajął Sąd Najwyższy

Sprawa trafiła do Sądu Najwyższego, który stwierdził, że operator telekomunikacyjny ponosi odpowiedzialność za bezprawne ujawnienie danych klienta, mimo że powierzył ich przetwarzanie firmie zewnętrznej. Sąd stwierdził, że „Pozwana odpowiada bowiem za własne zawinione zachowanie jako powierzający czynność osobie trzeciej (…). Odpowiedzialność powierzającego wynika już z samej umowy łączącej powoda z pozwaną, w której powód nie wyraził zgody na wykonywanie obowiązków, wynikających z tej umowy przez inne podmioty (…). Jest oczywiste, że dane osobowe klientów sieci komórkowej muszą być tak przechowywane, aby konsument czuł się bezpiecznie, a jego uprawnienia i roszczenia nie były przekierowywane z urządzenia elektronicznego strony umowy, którą jest pozwana spółka do podmiotów trzecich, tylko dlatego, że jest to dla niej korzystne organizacyjnie i ekonomicznie”.

Sąd Najwyższy stwierdził, że operator telekomunikacyjny nie powierzył wykonania ciążącej na nim czynności rzeczywistemu profesjonaliście, o którym stanowi art. 429 Kodeksu cywilnego, tylko podmiotowi uważającemu się za profesjonalistę i tylko formalnie to dokumentującemu, o czym świadczy to, że doszło do wycieku danych klienta. Zdaniem sądu firma telekomunikacyjna ponosi odpowiedzialność za zachowanie osób trzecich, którym powierzyła wykonanie umowy.

Źródło:
  • wyrok Sądu Najwyższego z 1 czerwca 2017 r. (sygn. akt I CSK 597/16).
Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x