Poradnik Przedsiębiorcy

Naruszenie przepisów RODO a odpowiedzialność cywilnoprawna

RODO reguluje zasady ochrony danych osobowych osób fizycznych i nakłada na podmioty przetwarzające te dane wiele obowiązków. Administrator danych osobowych ma m.in. obowiązek przetwarzania ich wyłącznie w zakresie niezbędnym do realizacji celów przetwarzania oraz szereg obowiązków informacyjnych względem osób, których dane dotyczą. Naruszenie przepisów RODO może wiązać się dla przedsiębiorcy z negatywnymi konsekwencjami.

Różne rodzaje odpowiedzialności

Zgodnie z przepisami RODO oraz polskiej ustawy o ochronie danych administrator danych w związku z naruszeniem zasad ochrony danych może ponieść:

  • odpowiedzialność administracyjną,

  • odpowiedzialność karną,

  • odpowiedzialność cywilnoprawną.

Odpowiedzialność administracyjna jest realizowana przez organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. W zależności od rodzaju i okoliczności naruszenia, Prezes UODO może nałożyć na administratora danych karę pieniężną lub zastosować środek naprawczy (na przykład w postaci ostrzeżenia, upomnienia, nakazu określonego zachowania, zakazu przetwarzania danych).

Podmiot przetwarzający dane osobowe, których przetwarzanie jest niedopuszczalne albo podmiot, który jest nieuprawniony do dokonywania takich czynności, może ponieść odpowiedzialność karną – czyny te są zagrożone karą grzywny, karą ograniczenia lub nawet pozbawienia wolności. Przestępstwem jest również udaremnianie lub utrudnianie kontroli prowadzonej przez organ nadzorczy.

Osoba poszkodowana ma prawo do odszkodowania

Przepisy RODO przyznają każdej osobie fizycznej, której dobra zostały naruszone, prawo do wystąpienia z samodzielnym roszczeniem o zapłatę odszkodowania za naruszenie przepisów RODO.

Podstawą tego żądania będzie przepis art. 82 ust. 1 RODO w związku z przepisem art. 92 ustawy o ochronie danych osobowych.Art. 82 ust. 1 i 2 RODO
1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Na gruncie nieuregulowanym przepisami RODO zastosowanie znajdą przepisy polskiego Kodeksu cywilnego.Szkodę majątkową stanowi uszczerbek w majątku osoby fizycznej, rozumiany zarówno jako rzeczywiście poniesione straty, jak i utracone potencjalne korzyści.Szkoda niemajątkowa oznacza krzywdę, uszczerbek w dobrach niemajątkowych osoby fizycznej (na przykład doznany stres).

Osoba fizyczna ma prawo do uzyskania odszkodowania, jeżeli:

  • poniosła szkodę (majątkową lub niemajątkową);

  • szkoda jest wynikiem naruszenia zasad ochrony danych osobowych;

  • istnieje związek przyczynowo-skutkowy pomiędzy szkodą osoby fizycznej a zachowaniem (działaniem albo zaniechaniem) administratora danych;

  • naruszenie przepisów RODO przez administratora ma charakter zawiniony;

Wskazane powyżej warunki muszą zostać spełnione łącznie.Administrator danych nie będzie ponosił odpowiedzialności odszkodowawczej, jeżeli udowodni, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.Ciężar udowodnienia okoliczności przemawiających za zasądzeniem odszkodowania ciąży na powodzie, tj. na osobie fizycznej, która występuje z żądaniem zasądzenia na jej rzecz odszkodowania. W praktyce oznacza to, że powód będzie musiał w toku procesu wskazać dowody wskazujące jednoznacznie, że rzeczywiście doszło do naruszenia przepisów o ochronie danych osobowych, naruszenie jest zawinionym czynem administratora danych i osoba fizyczna poniosła konkretną szkodę.Odpowiedzialność odszkodowawczą może ponieść nie tylko administrator danych, lecz także podmiot przetwarzający dane osobowe w imieniu administratora, jeżeli działał wbrew instrukcjom przekazanym przez administratora danych.Administrator danych może bronić się przed roszczeniem powoda, wskazując, że nie ponosi winy za zdarzenie, które skutkowało szkodą po stronie osoby fizycznej.

Przykład 1.

Jeżeli administrator danych wykorzystuje dane osoby fizycznej wbrew jej woli, ryzykuje odpowiedzialność odszkodowawczą.

Jeżeli dane osoby fizycznej były wykorzystywane zgodnie z prawem (np. w związku z koniecznością wykonania umowy) i administrator podjął szereg działań zabezpieczających dane przed bezprawnym wykorzystaniem, lecz dane osoby fizycznej zostały wykradzione wskutek ataku hakerskiego, któremu administrator obiektywnie nie był w stanie zapobiec, administrator może bronić się przed żądaniem zapłaty, podnosząc zarzut braku winy.

Jeśli w wyniku przeprowadzonego postępowania okaże się, że administrator dopuścił się naruszenia zasad ochrony, lecz w procesie tym uczestniczyły inne podmioty (na przykład inni administratorzy danych lub podmioty przetwarzające), wówczas administrator, który zapłacił odszkodowanie za wyrządzoną szkodę, może żądać od pozostałych podmiotów zwrotu części odszkodowania w wysokości odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Naruszenie przepisów RODO - Prezes Urzędu Ochrony Danych Osobowych może uczestniczyć w procesie

Postępowanie w sprawie zasądzenia odszkodowania za poniesioną przez osobę fizyczną szkodę majątkową lub niemajątkową toczy się w oparciu o przepisy Kodeksu postępowania cywilnego, z uwzględnieniem szczególnych regulacji przewidzianych w ustawie o ochronie danych osobowych.Sądem właściwym do rozpoznania spraw dotyczących naruszenia przepisów o ochronie danych osobowych jest sąd okręgowy.Sprawy o odszkodowanie będą – niezależnie od wartości przedmiotu sporu – zawsze toczyły się przed sądem okręgowym. Ustawa nie przewiduje żadnych szczególnych regulacji dotyczących właściwości miejscowej sądu, a zatem należy uznać, że będzie to sąd właściwości ogólnej pozwanego, tj. właściwy dla jego siedziby.

Ustawa o ochronie danych osobowych przewiduje określone kompetencje dla Prezesa Urzędu Ochrony Danych Osobowych:

  • obowiązek powiadomienia Prezesa UODO o wniesieniu pozwu oraz o prawomocnym zakończeniu sprawy;

  • obowiązek zawieszenia postępowania, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed Prezesem Urzędu;

  • Prezes UODO ma prawo do wytaczania powództw na rzecz osoby fizycznej;

  • Prezes UODO może przystąpić do już toczącego się postępowania;

  • Prezes UODO ma prawo do przedstawienia sądowi rozpoznającemu sprawę istotnego poglądu w sprawie.

Ustalenia poczynione w prawomocnej decyzji Prezesa UODO o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub w prawomocnym wyroku sądu administracyjnego wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów RODO co do stwierdzenia naruszenia tych przepisów.Jeżeli roszczenie powoda zostało już rozpoznane przez Prezesa UODO (albo sąd administracyjny w związku z postępowaniem skargowym), sąd umorzy postępowanie wszczęte pozwem – lecz tylko wówczas, gdy w postępowaniu administracyjnym roszczenie powoda zostało uwzględnione.