Poradnik Przedsiębiorcy

Odpowiedzialność administratora danych osobowych i podmiotu przetwarzającego wg RODO

Gromadzenie w toku działalności gospodarczej firmy danych osobowych klientów, kontrahentów, a nawet pracowników nakłada na przedsiębiorcę obowiązek bezpiecznego przechowywania i przetwarzania takich danych. Podmiotem odpowiedzialnym za ochronę danych osobowych w każdej firmie jest administrator danych. Z kolei każda inna osoba, która otrzyma dostęp do tych danych, staje się podmiotem przetwarzającym, odpowiadającym na równi z administratorem. Kim dokładnie są administrator danych i podmiot przetwarzający? Jakie pełnią funkcję? Jaka jest odpowiedzialność administratora danych? O tym w poniższym artykule.

Kim jest administrator danych?

RODO dokładnie definiuje pojęcie i odpowiedzialność administratora danych osobowych w art. 4 pkt 7. Przepis ten stanowi, że administratorem jest osoba fizyczna, osoba prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie bądź wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Obowiązki administratora

Administrator danych osobowych działający zgodnie z wymogami RODO powinien zapewnić zastosowanie w przedsiębiorstwie takich środków technicznych oraz organizacyjnych, które zagwarantują trwałą i pewną ochronę przetwarzanych w firmie danych. Musi zadbać o stworzenie zasad ochrony danych i nadzorować administrowanie nimi.

Administrator w szczególności ma obowiązek zabezpieczyć przetwarzane dane przed ich:

  • udostępnieniem osobom nieupoważnionym;

  • zabraniem przez osobę nieuprawnioną;

  • przetwarzaniem z naruszeniem ustawy;

  • zmianą;

  • utratą;

  • uszkodzeniem;

  • zniszczeniem.

Wśród pozostałych obowiązków administratora możemy wyróżnić również prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ich ochronę; zapewnienie kontroli nad rodzajem wprowadzanych danych osobowych do zbiorów; a także ewidencjonowanie osób upoważnionych do przetwarzania zebranych danych.

Dodatkowo, jeżeli przepisy tego wymagają, administrator jest obowiązany do powołania Inspektora Ochrony Danych Osobowych, tzw. IODO.

Kim jest podmiot przetwarzający?

Administrator danych osobowych w trakcie prowadzenia swojej działalności może powierzyć bazy danych osobowych innemu podmiotowi, tzw. podmiotowi przetwarzającemu. Zgodnie z art. 4 pkt 8 RODO podmiotem przetwarzającym może być osoba fizyczna, prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie, o którym mówi rozporządzenie, ma dosyć szeroki zakres. Bierzemy za nie m.in. przechowywanie, utrwalanie, organizowanie, modyfikowanie, przeglądanie, udostępnianie, niszczenie czy usuwanie danych osobowych.

Rozporządzenie unijne nakłada odpowiedzialność na administratora danych za wybór podmiotu przetwarzającego oraz jego działania. Z powyższego wynika, że podmiot przetwarzający przy wykonywaniu swoich obowiązków, analogicznie do administratora, musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Administrator danych a podmiot przetwarzający

Najistotniejszą różnicą pomiędzy omawianymi podmiotami jest to, kto decyduje o celach i środkach przetwarzania danych osobowych. Trzeba pamiętać, że podmiot przetwarzający zawsze będzie przetwarzał dane na polecenie administratora, tak więc musi się ono zgadzać z celami określonymi przez tego drugiego. Cele przetwarzania danych osobowych są obligatoryjnym elementem każdej umowy o przetwarzanie danych osobowych, jaką każdorazowo powinien zawierać administrator danych z podmiotami przetwarzającymi. Z kolei kwestia decydowania o środkach przetwarzania zazwyczaj należy już do samego podmiotu przetwarzającego. To podmiot przetwarzający decyduje o rodzaju systemów zabezpieczających powierzone dane osobowe czy oprogramowania wykorzystywanego do przetwarzania tych danych.

Przykład 1.

Najpowszedniejszym, bo dotyczącym większości przedsiębiorców, przykładem stosunku między administratorem danych a podmiotem przetwarzającym jest umowa o usługi księgowe. Wybrane biuro księgowe przetwarza dane osobowe kontrahentów administratora w celu prowadzenia rejestru i rozliczania jego przychodów i rozchodów wynikających z faktur VAT, tj. w celu określonym przez administratora. Jednocześnie przy wskazanym przetwarzaniu danych to biuro księgowe decyduje o środkach przetwarzania, gdyż to ono wybiera sposób księgowania, np. korzystając z konkretnego programu księgowego.

Cywilnoprawna odpowiedzialność administratora danych

RODO prócz obowiązków reguluje także zakres odpowiedzialności nałożonej na administratora i podmiot przetwarzający. Odpowiedzialność ta ma charakter odszkodowawczy wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony przetwarzania danych osobowych.

Według nr 146 Preambuły RODO: „Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy”. Oznacza to, że zarówno administrator danych, jak i podmiot przetwarzający odpowiadają za naruszenia na zasadzie winy, czyli w sytuacji kiedy zostanie im udowodnione, że szkoda powstała wskutek świadomego działania lub niezachowania wymaganej w danych warunkach ostrożności.

Zgodnie ze zdaniem trzecim wyżej wskazanego numeru Preambuły pojęcie szkody należy interpretować szeroko, w sposób w pełni odzwierciedlający cele rozporządzenia. Oznacza to, że w przypadku szkody majątkowej poszkodowanemu przysługiwało będzie roszczenie dotyczące naprawienia straty rzeczywistej oraz zwrotu utraconych korzyści. Z kolei w przypadku szkody niemajątkowej poszkodowanemu będzie przysługiwało roszczenie o zadośćuczynienie za doznaną krzywdę.

RODO stoi na stanowisku, że odpowiedzialność odszkodowawczą związaną z naruszeniem przepisów ponosi co do zasady administrator danych osobowych w pełnym zakresie. Natomiast odpowiedzialność podmiotu przetwarzającego została ograniczona – jest proporcjonalna do zakresu uprawnień i obowiązków nałożonych przez administratora. Art. 82 pkt 2 RODO wskazuje wprost, że podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków nałożonych na niego przez rozporządzenie lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

RODO przewiduje przesłankę wyłączającą obowiązek naprawienia zaistniałej szkody przez administratora lub podmiot przetwarzający. Przepis art. 82 ust. 3 RODO doprecyzowuje postanowienia Preambuły, stwierdzając, że gdy administrator lub podmiot przetwarzający udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody, z mocy prawa zostają zwolnieni z ponoszenia odpowiedzialności.

Z powyższego przepisu wynika również, iż to nie na poszkodowanym będzie ciążył obowiązek udowodnienia winy. To podmioty odpowiedzialne za przetwarzanie danych będą musiały dowieść swojej niewinności.

RODO uregulował także zasady odpowiedzialności w sytuacji, jeżeli w procesie przetwarzania danych brał udział więcej niż jeden administrator i jeden podmiot przetwarzający. Zgodnie z art. 82 pkt 4 rozporządzenia jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający, wtedy odpowiadają oni solidarnie za całą powstałą szkodę. Odpowiedzialność solidarna oznacza, że w przypadku naruszenia danych osobowych i powstania szkody poszkodowany może żądać całości odszkodowania od dowolnego z winnych podmiotów albo od wszystkich łącznie. Ma to na celu zapewnienie poszkodowanemu rzeczywistego uzyskania odszkodowania.

Odpowiedzialność solidarna rodzi także tzw. roszczenie zwrotne. Oznacz to, że podmiot, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądać od pozostałych winnych szkody, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą oni odpowiedzialność.

Administracyjna odpowiedzialność administratora danych

Administrator danych oraz podmiot przetwarzający w razie niedochowania obowiązku bezpiecznego przetwarzania danych osobowych, prócz odpowiedzialności cywilnoprawnej wobec poszkodowanego mogą narazić się również na otrzymanie kar administracyjnych.

Organ nadzorczy, w przypadku stwierdzenia naruszenia przepisów RODO przez odpowiedzialny podmiot, może nałożyć na niego administracyjną karę lub środek naprawczy (lub oba naraz). Prócz oczywistej kary pieniężnej, wyróżniamy środki naprawcze takie jak ostrzeżenie, upomnienie, nakazanie sprostowania, usunięcia danych osobowych czy nawet nałożenie zakazu przetwarzania.

Wysokość kar pieniężnych

RODO wyróżnia dwa zakresy wysokości kar pieniężnych, tj.:

  • karę do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa;

  • karę do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa.

Organ decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, musi zwrócić w każdym indywidualnym przypadku należytą uwagę na:

  • charakter, wagę i czas trwania naruszenia;

  • umyślny lub nieumyślny charakter naruszenia;

  • działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

  • stopień odpowiedzialności z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez podmiot;

  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia;

  • kategorie danych osobowych, których dotyczyło naruszenie;

  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu.

Wszystkie z wyżej wymienionych przesłanek decydują o ewentualnym nałożeniu kary oraz jej rozmiarze. Nie ma sztywnych wytycznych, które wskazywałyby konkretną karę za konkretne przewinienie. Na każdą decyzję administracyjną będą miały bowiem wpływ indywidualne okoliczności każdej ze spraw.

Reasumując RODO nakłada zarówno na administratorów danych, jak i podmioty przetwarzające wiele obowiązków, które mają zapewniać bezpieczeństwo danych osób fizycznych, których dane osobowe są przetwarzane. Co więcej, rozporządzenie wymaga od podmiotów przetwarzających ścisłego i konsekwentnego przestrzegania przepisów, gdyż naruszenie ich może skutkować odpowiedzialnością administracyjnoprawną i wysokimi karami pieniężnymi, a także odpowiedzialnością cywilnoprawną wiążącą się z obowiązkiem odszkodowawczym.