Wiemy, że powierzenie przetwarzania danych polega na ich przekazaniu innemu podmiotowi, który przetwarza te dane na podstawie umowy powierzenia, w celach i w zakresie wyznaczonym przez administratora. Cechą charakterystyczną umowy powierzenia jest m.in. odpowiedzialność administratora za działania procesora w zakresie powierzonych danych. Może więc zdarzyć się tak, że administrator będzie zmuszony do zapłacenia kary finansowej lub odszkodowania (na rzecz podmiotów danych) w wyniku niewłaściwych działań procesora. Administrator może wówczas rozważyć wytoczenie powództwa o odszkodowanie przeciwko procesorowi.
W temacie tygodnia:
jak zminimalizować ryzyko powstania szkody,
jaką odpowiedzialność może ponieść procesor
jak pozwać procesora,
jakie argumenty stosować w procesie.
Aby zminimalizować ryzyko powstania szkody w wyniku działań procesora administrator powinien należycie go zweryfikować jeszcze przed zawarciem umowy powierzenia. Należy m.in. sprawdzić, czy proces ma możliwości techniczne aby należycie zabezpieczać przetwarzane dane.
Czynność tę warto wykonać w drodze ankiety. Wzór takiego dokumentu pobierzesz tutaj>>
W razie ewentualnej kontroli wykazanie, że administrator sprawdził potencjalnego procesora może pozwolić uniknąć lub zmniejszyć karę finansową. Poza tym stanowi dobry argument na wypadek ewentualnego procesu o odszkodowanie.
Dochodzenie odszkodowania wiąże się z przetwarzaniem danych osobowych. Dlatego aby nie narazić się na skargi ze strony procesora (skierowane do Prezesa UODO) administrator powinien wskazać jego przedstawicielom w klauzuli informacyjnej m.in. stosowne podstawy przetwarzania i okres przechowywania danych, a gdy nie jest to możliwe, kryteria jego ustalania. W przeciwnym razie administrator musiałby usunąć dane wskazanych osób albo dochodzić odszkodowania z naruszeniem RODO
Fragment klauzuli informacyjnej:
Przetwarzane danych na podstawie zgody (art. 6 ust. 1 lit. a RODO) będzie realizowane do czasu jej odwołania oraz przez okres niezbędny do celów dochodzenia roszczeń prawnych lub obrony przed takimi roszczeniami.
Rodzaje odpowiedzialności odszkodowawczej
Wyróżniamy odpowiedzialność odszkodowawczą:
Najczęściej w przypadku procesora będziemy mieli do czynienia z odpowiedzialnością kontraktową tj. wynikającą z umowy powierzenia przetwarzania danych. Naruszenie warunków tej umowy przez procesora skutkujące wyrządzeniem administratorowi szkody może być podstawą do ubiegania się o odszkodowanie od tego procesora.
Nie jest możliwe zobowiązanie procesora w umowie powierzenia do pokrycia za administratora nałożonej na tego administratora kary pieniężnej. Nie można też przenieść umownie tej kary pieniężnej na procesora, gdyż kara jest nakładana w formie decyzji administracyjnej. Nie jest także możliwa ingerencja w to, kto ma zapłacić tę karę (np. ustanowienie procesora gwarantem czy poręczycielem tej kary). Można natomiast przewidzieć zapis, zgodnie z którym procesor będzie zobowiązany zwrócić administratorowi zapłaconą przez niego karę administracyjną, ewentualnie razem z poniesionymi dodatkowymi kosztami (np. obsługi prawnej).
Podmiot przetwarzający może też odpowiadać za niewykonanie obowiązków nałożonych na niego bezpośrednio przez RODO i będące tego efektem wyrządzenie szkody administratorowi.
Reasumując, podmiot przetwarzający odpowie za wyrządzenie szkody wówczas, jeżeli zostanie spełniona jedna z następujących przesłanek:
Administrator (właściciel sklepu) zlecił przetwarzanie danych z aplikacji mobilnej tego sklepu wyspecjalizowanej agencji (procesorowi), która miała monitorować działanie aplikacji i ją rozbudować. Procesor doprowadził do wycieku danych, wskutek czego szkodę majątkową poniósł jeden z klientów. Drugim poszkodowanym był administrator, który poniósł m.in. szkodę wizerunkową.
Jeżeli do powstania szkody przyczyniło się jednocześnie kilku procesorów, to każdy z nich będzie odpowiadał względem administratora na zasadzie odpowiedzialności solidarnej. Administrator może według swego wyboru pozwać jednego z procesorów, niektórych z nich, a także wszystkich.
Jeżeli administrator nie uzyska odszkodowania od procesora dobrowolnie (np. po wezwaniu do zapłaty), wówczas pozostaje mu skierowanie powództwa do sądu powszechnego. Sądem właściwym rzeczowo jest w sprawach o naruszenie prawa o ochronie danych osobowych zawsze sąd okręgowy. Miejscowo właściwy jest sąd okręgowy, w którego okręgu pozwany procesor ma siedzibę lub miejsce zamieszkania.
Pozew o odszkodowanie składamy zawsze do sądu okręgowego wydziału cywilnego według siedziby procesora.
Zauważmy jednak, że naruszenie ochrony danych może być stwierdzone także przez Prezesa Urzędu Ochrony Danych Osobowych i sądy administracyjne. Dlatego, gromadząc materiał dowodowy na sprawę, warto sięgnąć po akta sprawy prowadzonej przez Prezesa UODO lub taki sąd.
Jeżeli postępowanie przed Prezesem UODO nie zostało jeszcze zakończone, to warto poczekać na jego prawomocne ukończenie i dopiero wtedy wytaczać przeciwko procesorowi powództwo przed sądem.
Generalnie w sprawach odszkodowawczych administrator musi udowodnić wystąpienie wszystkich przesłanek odpowiedzialności odszkodowawczej tj.:
Dużym ułatwieniem dla administratora może być domniemanie winy procesorra (art. 82 ust. 3 RODO). Otóżadministrator może być z odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Oznacza to przeniesienie ciężaru dowodu – to pozwany, a nie powód musi wykazać, że wystąpienie szkody nie nastąpiło wskutek jego zawinienia. Należy jednak pamiętać, że z takiego rozwiązania może skorzystać także procesor.
W pozostałym zakresie administrator musi przygotować się na wykazanie przesłanek odpowiedzialności odszkodowawczej. To zaś wymaga złożenia w pozwie stosownych wniosków dowodowych m.in. z zeznań świadków, z dokumentów, opinii biegłych itp.
Naturalnie procesor nie będzie bezbronny w walce z administratorem. Może wykorzystać różne argumenty o charakterze merytorycznym i procesowym. Prezentujemy przykładowe z nich i proponowany sposób reakcji.
|
Argumentacja procesora |
Reakcja administratora |
|
Procesor stara się wykazać, że do powstania szkody doszło wskutek okoliczności, za które nie ponosi odpowiedzialności. W związku z tym wskazuje, jakie regulacje wewnętrzne wprowadzono w związku z naruszeniem i próbuje przy tym udowodnić, że regulacje te faktycznie zostały w tej sytuacji zastosowane. |
W tym przypadku administrator powinien już wcześniej zabezpieczyć swój interes i zażądać dokumentacji podmiotu mającego być procesorem nawet jeszcze przed zawarciem z nim umowy powierzenia przetwarzania danych. Dzięki temu w momencie analizowania zasadności pozwania procesora jest w posiadaniu wewnętrznych dokumentów procesora pozwalających administratorowi na ocenę, czy procesor prawidłowo wywiązał się ze swoich obowiązków. To z kolei zmniejsza ryzyko wdania się w ewidentnie wątpliwy spór, w którym nie tylko nie uzyska odszkodowania, ale także zostanie zobowiązany do zwrotu kosztów procesowych podmiotowi przetwarzającemu. Jeżeli zaś chodzi o działania następcze, to administrator powinien wykazywać, że istotny jest całokształt działań procesora i ich skuteczność w konkretnym przypadku a nie samo trzymanie się sztywnych reguł. |
|
Procesor powołuje się na fakt uzyskania certyfikatu zgodności wydanego na podstawie art. 43 RODO. |
Należy podnieść iż wskazany certyfikat nie jest środkiem wyłączającym odpowiedzialność procesora. Taki certyfikat może być wprawdzie argumentem uprawdopodabniającym brak winy procesora, ale jego przedstawienie w sądzie nie wystarczy – procesor musi wykazać, iż w konkretnych okolicznościach faktycznych sprawy zachował się jak powinien. |
|
Procesor podnosi, że działał w wyniku zgodnych z prawem instrukcji administratora |
W takim przypadku administrator powinien antycypować, że spór może się toczyć wokół następujących zagadnień:
Następnie w oparciu o wcześniejsze ustalenia należy przedstawić stosowną argumentację. |
|
Procesor zarzuca przedawnienie roszczenia |
Przedawnienie roszczenia jest regulowane nie przepisami RODO, lecz ustawą z 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z jej art. 92 w zakresie nieuregulowanym RODO do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych stosuje się przepisy Kodeksu cywilnego. Oznacza to, że skoro mamy do czynienia z roszczeniami deliktowymi, to administrator może wystosować roszczenie o naprawienie szkody przed upływem trzech lat od dnia, w którym:
o szkodzie i o osobie obowiązanej do jej naprawienia. Maksymalnie jednak musi to być w okresie dziesięciu lat od dnia, w którym nastąpiło zdarzenie wywołujące szkodę. W tym przypadku administrator nie ma innego wyjścia niż wykazywanie, że terminy przedawnienia jeszcze nie upłynęły (gdyż np. moment, w którym dowiedział się lub mógł dowiedzieć o zdarzeniu, wystąpił później niż wskazuje procesor). |
Jeżeli procesor był ubezpieczony, wówczas administrator może także dochodzić odszkodowania od ubezpieczyciela. Musi jednak pamiętać o konieczności zrealizowania wszystkich wymogów wynikających z OWU i ewentualnych klauzul dodatkowych.
Najczęściej ubezpieczyciel może oczekiwać, aby:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
