Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

Odpowiedzialność odszkodowawcza w RODO - czym jest?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

RODO przewiduje zasady dotyczące dochodzenia roszczeń związanych z naruszeniem ochrony danych osobowych. Na jakich zasadach i kogo może dotyczyć odpowiedzialność odszkodowawcza w RODO? Dowiesz się z poniższego artykułu!

Prawo do odszkodowania za szkodę wyrządzoną naruszeniem danych osobowych

Każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem RODO.

Postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.

W szczególności każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Jak wskazuje orzecznictwo unijne: „W celu ustalenia wysokości odszkodowania z tytułu szkody, należnego na podstawie 82 ust. 1 rozporządzenia RODO – nie należy, po pierwsze, stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 tego rozporządzenia, a po drugie, uwzględniać okoliczności, że na osobę dochodzącą odszkodowania wpływa kilka naruszeń tego rozporządzenia dotyczących tej samej operacji przetwarzania” – wyrok Trybunału Sprawiedliwości z 11 kwietnia 2024 roku (C-741/21).

Należy pamiętać, że osoba dochodząca odszkodowania na podstawie art. 82 ust. 1 rozporządzenia RODO jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, lecz także, iż owo naruszenie wyrządziło jej szkodę majątkową lub niemajątkową.

W odniesieniu do ustalania szkody niemajątkowej z orzecznictwa wynika, że: „W przypadku, gdy dokument zawierający dane osobowe został przekazany nieupoważnionej stronie trzeciej, co do której wykazano, że nie zapoznała się z tymi danymi, »szkodę niemajątkową« w rozumieniu art. 82 ust. 1 rozporządzenia RODO może stanowić sam fakt, iż osoba, której dane dotyczą, obawia się, że w następstwie tego ujawnienia umożliwiającego sporządzenie kopii tego dokumentu przed jego zwróceniem dojdzie w przyszłości do rozpowszechnienia, lub nawet do nadużycia jej danych” – wyrok Trybunału Sprawiedliwości z 25 stycznia 2024 roku (C-687/21).

Zasady odpowiedzialności administratora i procesora

Odpowiedzialność odszkodowawcza w RODO nakłada na każdego administratora uczestniczącego w przetwarzaniu, obowiązek odpowiadania za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. 

Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłącznie gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

Przykład 1.

Firma ABC Sp. z o.o. (administrator danych) zleciła przetwarzanie danych osobowych swoich klientów firmie XYZ (procesor). XYZ zarządza bazą danych klientów ABC, przechowując dane takie jak imiona, nazwiska, adresy e-mail oraz numery telefonów. W ramach umowy pomiędzy ABC a XYZ procesor zobowiązał się do zachowania odpowiednich standardów bezpieczeństwa w zakresie ochrony danych osobowych, zgodnie z rozporządzeniem RODO. 

Popełnił on jednak błąd w konfiguracji serwera, który był źle zabezpieczony (niezgodnie z umową), co umożliwiło nieautoryzowany dostęp do bazy danych klientów ABC. W wyniku tego naruszenia hakerzy uzyskali dostęp do wrażliwych danych osobowych ponad 10 000 klientów i rozpowszechnili je w sieci. Naruszenie zostało wykryte przez administratora (ABC), który natychmiast zgłosił incydent do organu nadzorczego oraz powiadomił poszkodowanych klientów, zgodnie z wymogami RODO. 

W tej sytuacji klienci, którzy ponieśli szkody, mogą domagać się odszkodowania od procesora danych, czyli firmy XYZ. XYZ jako procesor odpowiada za niewłaściwe zabezpieczenie danych osobowych, co stanowiło naruszenie obowiązków wynikających z art. 32 RODO (odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych) – procesor przetwarzał dane niezgodnie z umową, wykroczył tym samym poza polecenie administratora.

Administrator lub podmiot przetwarzający zostają zwolnieni z ww. odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający bądź uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający i odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi wyżej.

Odpowiedzialność odszkodowawcza w RODO i cywilnoprawny tryb dochodzenia roszczeń

W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych właściwy jest sąd okręgowy.

O wniesieniu pozwu oraz prawomocnym orzeczeniu kończącym postępowanie w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych sąd zawiadamia niezwłocznie Prezesa Urzędu.

Prezes Urzędu zawiadomiony o toczącym się postępowaniu niezwłocznie informuje sąd o każdej sprawie dotyczącej tego samego naruszenia przepisów o ochronie danych osobowych, która toczy się przed Prezesem Urzędu lub sądem administracyjnym albo została zakończona. Prezes Urzędu niezwłocznie informuje sąd również o wszczęciu każdego postępowania w sprawie dotyczącej tego samego naruszenia.

Sąd zawiesza postępowanie, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed Prezesem Urzędu.

Sąd umarza postępowanie w zakresie, w jakim prawomocna decyzja Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocny wyrok wydany w wyniku wniesienia skargi, uwzględnia roszczenie dochodzone przed sądem.

Ustalenia prawomocnej decyzji Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocnego wyroku wydanego w wyniku wniesienia skargi, o której mowa w art. 145a § 3 Ustawy z dnia 30 sierpnia 2002 roku – Prawo o postępowaniu przed sądami administracyjnymi, wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów.

W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, które mogą być dochodzone wyłącznie w postępowaniu przed sądem, Prezes Urzędu może wytaczać powództwa na rzecz osoby, której dane dotyczą, za jej zgodą, a także wstępować, za zgodą powoda, do postępowania w każdym jego stadium.

W pozostałych sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych Prezes Urzędu może wstępować, za zgodą powoda, do postępowania przed sądem w każdym jego stadium, chyba że toczy się przed nim postępowanie dotyczące tego samego naruszenia przepisów o ochronie danych osobowych.

Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, przedstawia sądowi istotny dla sprawy pogląd w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych.

Odpowiedzialność odszkodowawcza w RODO i prawo do wniesienia skargi do organu nadzorczego

Bez uszczerbku dla innych środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma również prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi.

Każda osoba fizyczna lub prawna ma również prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.

Każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie 3 miesięcy o postępach lub efektach rozpatrywania skargi.

Postępowanie przeciwko organowi nadzorczemu zostaje wszczęte przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów