Poradnik Przedsiębiorcy

Odpowiedzialność inspektora ochrony danych w zakresie ochrony danych osobowych

W monitorowaniu wewnętrznego przestrzegania przepisów dotyczących ochrony danych osobowych administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych (zgodnie z motywem 97 preambuły RODO). Jak kształtuje się odpowiedzialność inspektora ochrony danych za nieprawidłowości w zakresie ochrony danych osobowych? Odpowiadamy poniżej.

Czy osobą wspomagającą przestrzeganie przepisów musi być inspektor ochrony danych?

Osobą wspomagającą administratora w kwestii przestrzegania przepisów związanych z ochroną danych osobowych może, ale nie musi być inspektor ochrony danych. Przedsiębiorca ma zatem do wyboru kilka opcji, takich jak: 

  1. wyznaczenie pracownika do pełnienia roli wspomagającej bez nadawania mu statusu inspektora ochrony danych;

  2. wyznaczenie pracownika do pełnienia roli inspektora ochrony danych;

  3. zlecenie osobie fizycznej niebędącej w danej chwili pracownikiem administratora pełnienia roli wspomagającej bez nadawania mu statusu inspektora ochrony danych (np. w postaci umowy zlecenia);

  4. zlecenie osobie fizycznej niebędącej w danej chwili pracownikiem administratora pełnienia roli inspektora ochrony danych (np. w postaci umowy zlecenia);

  5. skorzystanie z usług firm doradczych bez powierzenia formalnej roli inspektora ochrony danych;

  6. skorzystanie z usług firm doradczych poprzez powierzenie zewnętrznej firmie obowiązków inspektora ochrony danych,

  7. przejęcie przez siebie, jako administratora danych, wszelkich obowiązków związanych z ochroną danych osobowych.

Zdarzają się sytuacje, w których administrator danych ma ograniczony wybór i jest zmuszony do powołania inspektora ochrony danych. Powołanie inspektora jest konieczne, gdy:
- dane osobowe przetwarzane są przez organ lub podmiot publiczny;
- główna działalność organizacji polega na przetwarzaniu na dużą skalę danych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą;
- działalność organizacji opiera się na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.
Inspektorem ochrony danych może zostać osoba posiadająca odpowiednie kwalifikacje zawodowe, a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań narzuconych przez przepisy prawa. Zatem gdy istnieje konieczność powołania inspektora administrator danych, musi skorzystać z opcji numer 2, 4 lub 6

Kto ponosi odpowiedzialność za nieprzestrzeganie przepisów związanych z ochroną danych osobowych?

Nie ulega wątpliwości, że pełną odpowiedzialność wynikającą z nieprawidłowości związanych z przetwarzaniem danych osobowych ponosi administrator danych. Odpowiedzialność może przyjąć różne wymiary, tj. administracyjną, cywilną, a w skrajnych przypadkach nawet karną. Najpowszechniejszy jej rodzaj to odpowiedzialność administracyjna wyrażająca się w możliwości nałożenia kary pieniężnej w wysokości do nawet 20 mln EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa). Przyczyną nałożenia sankcji administracyjnej może być np.:

  • przetwarzanie danych osobowych niezgodnie z zasadami RODO (np. zasada minimalizacji danych, prawidłowości, ograniczenia celu itd.);

  • przetwarzanie danych osobowych bez podstawy prawnej;

  • niedotrzymanie warunków wyrażenia zgody na przetwarzanie danych osobowych (np. warunku dobrowolności zgody);

  • niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej);

  • niedopełnienie obowiązku w zakresie realizacji praw osoby, której dane dotyczą (np. obowiązek informacyjny, prawo dostępu do danych, prawo do sprostowania);

  • nieprawidłowości w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.

Ponadto, zgodnie z RODO, za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający przepisy rozporządzenia, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający mogą zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, tj. może ona być związana zarówno bezpośrednio ze stratami materialnymi, jak i niematerialnymi (np. wizerunek, dobra osobiste itd.).

Czy administrator danych osobowych może obciążyć inspektora ochrony danych odpowiedzialnością za szkody związane z niewłaściwym przetwarzaniem danych?

Jak wskazano powyżej, odpowiedzialność administratora danych osobowych jest wyraźna i często wiąże się z dotkliwymi konsekwencjami. Mogą zaistnieć sytuacje, w których te konsekwencje (najczęściej finansowe) będą spowodowane niedopełnieniem lub niewłaściwym wykonywaniem obowiązków przez osobę pełniącą rolę inspektora ochrony danych. W takich sytuacjach administrator może obciążyć osobę, która niewłaściwie wykonywała rolę inspektora ochrony danych. Zakres tej odpowiedzialności będzie zależał od stosunku prawnego łączącego administratora i inspektora.

Odpowiedzialność inspektora ochrony danych będącego pracownikiem administratora

Odpowiedzialność inspektora ochrony danych, który jest jednocześnie pracownikiem administratora zatrudnionym na podstawie umowy o pracę, kształtuje się na podstawie zapisów Kodeksu pracy. Zgodnie z art. 114 pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną. W ramy pojęć „niewykonania lub nienależytego wykonania” będą wchodziły takie czynności lub zaniechania, jak np.:

  • niepoinformowanie administratora o istotnym obowiązku, który wynika bezpośrednio z przepisów prawa,

  • ukrycie przed administratorem istotnego faktu dotyczącego systemu ochrony danych osobowych.

Ważnym aspektem w kontekście ewentualnej odpowiedzialności jest aspekt winy. Kodeks pracy uzależnia zakres odpowiedzialności pracowniczej od tego, czy była to wina nieumyślna czy umyślna. W pierwszym przypadku wysokość odszkodowania ustala się w wysokości wyrządzonej szkody, jednak nie może ona przewyższać kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody. W drugim przypadku nie ma ograniczeń w wysokości ewentualnego odszkodowania, co oznacza, że pracownik może ponosić pełną odpowiedzialność majątkową. W praktyce określenie rodzaju winy lub stwierdzenie winy w ogóle może okazać się problematyczne. Ciężar dowodowy w tej kwestii spoczywa na pracodawcy.

Przykład 1.

Pracownik wyznaczony na inspektora ochrony danych nie poinformował administratora o konieczności dopełnienia obowiązku informacyjnego wobec swoich klientów. Ponieważ w firmie przetwarza się dane osobowe na dużą skalę, Prezes Urzędu Ochrony Danych Osobowych po skardze klienta nałożył na administratora karę w wysokości kilkudziesięciu tysięcy złotych. 

Wariant A – brak winy IOD

Jeśli okaże się, że pracownik został wskazany wbrew swojej woli na inspektora ochrony danych, mimo całkowitego braku przygotowania do pełnienia tej funkcji, a dodatkowo nie zapewniono mu szkoleń i odpowiednich warunków pracy (np. niezależności i odpowiedniej ilości czasu na realizację obowiązku IOD), nie powinno być mowy o winie pracownika. W związku z tym nie można pociągnąć go do odpowiedzialności.

Wariant B – wina IOD

Sytuacja będzie wyglądała zupełnie odmiennie, jeśli na przykład okaże się, że pracownik wskazany na inspektora ochrony danych został zatrudniony bezpośrednio na stanowisko IOD, a podczas procesu rekrutacji wykazał się odpowiednim doświadczeniem i wiedzą w zakresie ochrony danych. Ponadto sytuację inspektora pogorszy fakt, że miał on zapewnione środki i możliwości do pełnienia roli IOD. W tym wariancie wina inspektora będzie oczywista. Wysokość ewentualnego roszczenia administratora danych będzie uzależniona od tego, czy będzie on w stanie udowodnić inspektorowi winę umyślną, czy tylko nieumyślną.

Poza powyżej opisanymi regulacjami, należy wspomnieć, że zgodnie z art. 121 Kodeksu pracy naprawienie szkody może nastąpić na podstawie ugody pomiędzy pracodawcą i pracownikiem. W takiej sytuacji wysokość odszkodowania może być obniżona przy uwzględnieniu wszystkich okoliczności sprawy, a w szczególności stopnia winy pracownika i jego stosunku do obowiązków pracowniczych. Nie wyklucza się również bezpośrednich ustaleń dotyczących zasad odpowiedzialności pomiędzy pracodawcą i pracownikiem. Jednak uzgodnienia te mogą przyjąć jedynie postać korzystniejszą dla pracownika, tj. nie mogą zaostrzać odpowiedzialności pracownika względem zasad przyjętych w Kodeksie pracy.

Odpowiedzialność inspektora ochrony danych realizującego zlecenie dla administratora danych

Często stosowanym przez przedsiębiorców rozwiązaniem jest zlecanie pełnienia funkcji inspektora ochrony danych specjalistom z tej dziedziny lub firmom, które zajmują się doradztwem i szkoleniami w zakresie ochrony danych. W takiej sytuacji zawiera się umowę o świadczenie usług. Zgodnie z założeniami Kodeksu cywilnego, strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego. W związku z powyższym również zasady odpowiedzialności mogą być dookreślone w umowie.

Jeśli w umowie pomiędzy administratorem i inspektorem ochrony danych nie zawarto szczegółowych regulacji dotyczących odpowiedzialności, odpowiedzialność inspektora będzie bardzo szeroka (obejmująca nie tylko szkodę rzeczywistą, lecz także utracone korzyści), chyba że szkoda jest następstwem okoliczności, za które inspektor odpowiedzialności nie ponosi (np. czynniki zewnętrzne, na które inspektor nie miał wpływu).

Większość firm zajmujących się ochroną danych osobowych wprowadza do umów ograniczenia odpowiedzialności. Jest to punkt, który wymaga dokładnego przeanalizowania, gdyż w przypadku wystąpienia szkody będzie on warunkował możliwość uzyskania rekompensaty od firmy świadczącej usługi pełnienia funkcji inspektora ochrony danych.