Prezes Urzędu Ochrony Danych Osobowych może nałożyć na administratora danych osobowych administracyjną karę pieniężną w wysokości w wysokości do 20 mln euro lub 4% obrotu rocznego światowego. To jednak nie wszystko. Administrator danych osobowych i podmiot przetwarzający może być zmuszony do zapłaty odszkodowania za naruszenie RODO polegające na niezgodnym z prawem przetwarzaniu danych osobowych.
Paweł Biały, Michał Kowalski
Osoba, której dane dotyczą, może żądać odszkodowania przeciwko administratorowi danych osobowych lub podmiotowi przetwarzającemu za szkodę majątkową lub niemajątkową wyrządzoną jej w związku z naruszeniem wywołanym przetwarzaniem jej danych osobowych niezgodnym z ogólnym rozporządzeniem o ochronie danych osobowych. Osobie uprawnionej przysługuje więc żądanie zapłaty przez podmiot zobowiązany odszkodowania za szkodę lub zadośćuczynienia za krzywdę (szkodę niemajątkową).
Na mocy art. 82 ust. 1 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
W kontekście przesłanek odpowiedzialności odszkodowawczej bardzo istotne znaczenie ma niedawny wyrok Trybunału Sprawiedliwości UE z dnia 11 kwietnia 2024 r. wydany w sprawie C-741/21 GP/juris GmbH, w którym TSUE orzekł o odszkodowaniu za szkodę niemajątkową. TSUE sformułował wniosek, zgodnie z którym samo wykazanie naruszenia RODO nie wystarczy do dochodzenia odszkodowania. Przesłanką odpowiedzialności odszkodowawczej jest tu poniesienie szkody przez podmiot danych. Rozmiar tej szkody ma znaczenie dla wysokości odszkodowania za naruszenie przepisów RODO, ale już nie dla możliwości jego dochodzenia.
W odniesieniu do tego wyroku komentarz przedstawił Prezes UODO. Organ nadzorczy wskazał, że prawo do odszkodowania z tytułu naruszenia RODO podlega regulacjom art. 415 Kodeksu
cywilnego (tzw. odpowiedzialność deliktowa). Aby skutecznie ubiegać się o odszkodowanie za przetwarzanie z naruszeniem przepisów o ochronie danych, należy udowodnić:
Podmiot danych nie musi natomiast wykazywać winy po stronie administratora lub procesora - obowiązuje bowiem domniemanie winy.
Co istotne, rozmiar szkody nie jest przesłanką powstania odpowiedzialności odszkodowawczej. Nie przyjęto bowiem konstrukcji szkody minimalnej.
Więcej na ten temat w artykule: Prezes UODO wyjaśnia, jak dochodzić odszkodowania za naruszenie RODO
Odpowiedzialność odszkodowawczą za przetwarzanie niezgodne z przepisami o ochronie danych osobowych ponosi więc nie tylko administrator ale też procesor czyli inny podmiot, który bierze udział w przetwarzaniu danych osobowych, i który jednocześnie nie ma statusu administratora danych osobowych.
Procesor odpowiada za szkody spowodowane przetwarzaniem jedynie wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom (czyli wykraczał poza zakres umowy powierzenia przetwarzania danych).
Co oczywiste, w procesie przetwarzania danych osobowych może występować więcej niż jeden administrator danych. Jeżeli w tym samym przetwarzaniu danych osobowych uczestniczy więcej niż jeden administrator lub podmiot przetwarzający, albo uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający, odpowiadają oni za szkodę spowodowaną przetwarzaniem danych osobowych (art. 82 ust. 4 RODO). Ponoszą wówczas odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą rzeczywiste uzyskanie odszkodowania.
Na czym polega ta odpowiedzialność? Otóż ten z administratorów danych osobowych lub podmiotów przetwarzających, który zapłacił całość odszkodowania na rzecz poszkodowanego, może (lecz nie musi) wystąpić z tzw. roszczeniem regresowym do pozostałych podmiotów zobowiązanych. Odpowiednik takiego roszczenia przewidziany jest w przepisach Kodeksu cywilnego. Podmioty te powinny zwrócić mu tę część odszkodowania, za którą ponoszą odpowiedzialność prawną względem osoby uprawnionej. W praktyce jednak trudno sobie wyobrazić, żeby jeden z odpowiedzialnych podmiotów zapłacił całość odszkodowania za powstałą szkodę, a następnie nie korzystał z uprawnienia regresowego względem podmiotów odpowiedzialnych za jej powstanie.
Administrator danych osobowych lub podmiot przetwarzający uniknie obowiązku zapłaty odszkodowania w ściśle określonych przypadkach. Aby uwolnić się od odpowiedzialności odszkodowawczej, musi on wykazać, że:
Dużym problemem jest szacowanie rozmiaru poniesionej szkody w kontekście wysokości odszkodowania. Wysokość ta powinna bowiem odpowiadać rozmiarowi poniesionej szkody. Rozwiązania należy szukać w definicji przetwarzania danych osobowych zawartej w ogólnym rozporządzeniu o ochronie danych, bo to za niezgodne z prawem przetwarzanie danych będzie można żądać zapłaty odszkodowania i zadośćuczynienia. Szkoda może zostać wyrządzona wskutek każdego przejawu przetwarzania. Konieczna jest więc szeroka interpretacja pojęcia szkody.
Zgodnie z art. 4 RODO, przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany m.in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
