W pracy inspektora ochrony danych nietrudno o błąd, który może nieść za sobą konsekwencje finansowe np. kary UODO. Administrator może więc pociągnąć inspektora ochrony danych do odpowiedzialności odszkodowawczej. Sprawdź, w jakich przypadkach IOD musi zapłacić odszkodowanie.
Każdy pracownik i współpracownik firmy może zostać pociągnięty do odpowiedzialności materialnej (odszkodowawczej) przez administratora lub podmiot przetwarzający. Może być to także inspektor ochrony danych osobowych, który doprowadzi do wyrządzenia szkody związanej z naruszeniem przepisów o ochronie danych osobowych. Wprawdzie IOD ma zagwarantowaną niezależność w wykonywaniu zadań i nie może być karany za ich wykonywanie. Niemniej jednak nie wyklucza to odpowiedzialności za niewykonywanie lub nienależyte wykonywanie swoich obowiązków. Inspektor może przecież wyrządzić szkodę administratorowi czyli swojemu pracodawcy lub zleceniodawcy.
Odpowiedzialność inspektora ochrony danych - 3 przesłanki
W przypadku pracowników taka odpowiedzialność nosi miano materialnej. IOD poniesie odpowiedzialność materialną w przypadku łącznego wystąpienia następujących przesłanek.
|
Przesłanki odpowiedzialności odszkodowawczej |
Objaśnienia |
|
niewykonywanie lub nienależyte wykonywanie obowiązków służbowych |
Chodzi tu o bezprawne i zawinione zachowanie pracownika. Przy czym wysokość odszkodowania zależna jest od rodzaju winy IOD:
|
|
szkoda |
Chodzi tu o uszczerbek w mieniu pracodawcy spowodowany zachowaniem pracownika. Taki uszczerbek może przejawiać się w sytuacji, w której pracodawca:
Szkoda to różnica majątkowa wywołana przez zachowanie IOD. Inspektor odpowiada za nią jedynie w granicach rzeczywistej straty pracodawcy. |
|
związek przyczynowy |
Dotyczy to związku przyczynowego pomiędzy zachowaniem IOD a wyrządzoną szkodą (adekwatnego). IOD odpowiada wyłącznie za normalne i typowe następstwa swojego działania lub zaniechania. Nie odpowiada natomiast za następstwa przypadkowe (361 § 2 Kodeksu cywilnego). IOD nie odpowiada za szkodę w takim zakresie, w jakim odpowiedzialność tę można przypisać pracownikowi lub innemu pracodawcy. |
Wystąpienie tych przesłanek musi udowodnić ten, który dochodzi odszkodowania od IOD.
Inspektor ochrony danych błędnie interpretował wyniki DPIA i zarekomendował przetwarzanie danych w określonym zakresie. Niestety doszło do dużego wycieku danych. W konsekwencji Prezes UODO ukarał administratora karą 80 tys. zł. Wynagrodzenie IOD w firmie wynosi 6000 zł. Doprowadził on do wyrządzenia szkody nieumyślnie. A to oznacza, że pracodawca może od niego zażądać odszkodowania w wysokości do 18 tys. zł.
IOD zarekomendował odmowę spełnienia żądania usunięcia danych osobowych (bycia zapomnianym). Była to odmowa nieuzasadniona, w związku z czym administrator musiał zapłacić 20 tys. zł odszkodowania plus koszty postępowania sądowego. W konsekwencji IOD może tu zostać pociągnięty do odpowiedzialności odszkodowawczej. Jako że otrzymuje on wynagrodzenie 7 tys. zł, wysokość odszkodowania może wynieść do 21 tys. zł.
Inspektor ochrony danych nie odpowie więc za szkodę, jeśli związek przyczynowy pomiędzy tą szkodą a jego zachowaniem nie był normalny. Co więcej, IOD nie poniesie też odpowiedzialności za szkodę w takim zakresie, w jakim odpowiedzialność tę można przypisać pracownikowi lub innemu pracodawcy.
Pracownik nie odpowiada bezpośrednio wobec osób trzecich a jedynie wobec pracodawcy. Dotyczy to także inspektora ochrony danych. Dlatego w przypadku wyrządzenia szkody przez IOD odszkodowania względem inspektora dochodzi pracodawca a nie osoba, której wyrządzono szkody. Na tym polega właśnie istota roszczenia regresowego.
Potrącenie odszkodowania z wynagrodzenia IOD jest możliwe, ale wyłącznie za jego pisemną zgodą. Przymusowe potrącenie jest możliwe jedynie na mocy tytułu wykonawczego czyli wyroku lub ugody sądowej zaopatrzonych w klauzulę wykonalności.
Pracodawca może zawrzeć pisemne porozumienie z inspektorem. Zgodnie z tym porozumieniem odszkodowanie może być potrącane z jego wynagrodzenia w ratach, tak by udało się odzyskać utracone pieniądze bez sporu sądowego i nie było to nadmiernie dotkliwe dla IOD.
Potrącenia nie mogą być jednak dokonywane w wysokości przekraczającej połowę wynagrodzenia IOD. Poza tym należy pozostawić kwotę wolną od potrąceń, którą jest ustawowe minimalne wynagrodzenie za pracę po odliczeniu składek ZUS, podatku dochodowego i wpłat na PPK.
Inspektor ochrony danych współpracujący z administratorem na podstawie umowy cywilnoprawnej również korzysta z gwarancji niezależności. Nie zwalnia go do jednak z odpowiedzialności odszkodowawczej. Inspektor ochrony danych odpowiada za szkodę na ogólnych zasadach przewidzianych w Kodeksie cywilnym. Będzie ponosił odpowiedzialność:
W przypadku umowy cywilnoprawnej odpowiedzialność IOD nie będzie ograniczona do 3-miesięcznego wynagrodzenia. Inspektor będzie mógł odpowiadać w granicach rzeczywiście wyrządzonej szkody.
Czy IOD może spodziewać się roszczeń bezpośrednio od podmiotów danych? W przypadku umów cywilnoprawnych to niemożliwe. Wprawdzie z RODO wynika odpowiedzialność administratora danych osobowych i podmiotu przetwarzającego. Gdy dojdzie do naruszenia RODO, to osobie poszkodowanej przysługuje prawo żądania odszkodowania. Wprawdzie przepis ten kierowany jest głównie do administratorów danych, ponieważ inspektor ochrony danych działa nie we własnym imieniu lecz niejako w imieniu swojego kontrahenta.
Mimo tego administrator danych może poprzez odpowiednie postanowienia w umowie przerzucić odpowiedzialność odszkodowawczą na IOD.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
