Odpowiedzialność cywilna

Zgodnie z art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

W pierwszej kolejności należy więc odpowiedzieć sobie na pytanie, na czym polega szkoda majątkowa, a na czym – szkoda niemajątkowa.

Szkoda majątkowa stanowi uszczerbek majątkowy, na który składają się:

  • szkoda rzeczywista (strata), czyli różnica pomiędzy stanem majątku, jaki istniał, a stanem, jaki powstał wskutek zdarzenia wywołującego szkodę,
  • utracony zysk (utracone korzyści), czyli różnica pomiędzy stanem majątku istniejącym po zdarzeniu wywołującym szkodę i stanem majątku, który istniałby, gdyby nie zdarzenie wywołujące szkodę.

Szkoda niemajątkowa natomiast, czyli tzw. krzywda, powstaje wówczas, gdy dochodzi do uszczerbku w dobrach osobistych. Do tej pory w polskim prawie mówiło się nie o odszkodowaniu za krzywdę, a o zadośćuczynieniu za krzywdę, i możliwe, że sądy w praktyce nadal będą stosować pojęcie zadośćuczynienia.

Pełniący funkcję administratora bądź podmiotu przetwarzającego może więc otrzymać żądanie zapłaty odszkodowania, jeżeli doszło do naruszenia przez niego przepisów RODO, a w wyniku takiego naruszenia osoba występująca z żądaniem zapłaty doznała szkody majątkowej bądź niemajątkowej.

Zakres odpowiedzialności różni się w zależności od pełnionej funkcji. Odpowiedzialność administratora jest bowiem szeroka i obejmuje odpowiedzialność za szkody, które administrator spowodował, przetwarzając dane w sposób naruszający rozporządzenie.

Odpowiedzialność podmiotu przetwarzającego jest natomiast ograniczona wyłącznie do szkód spowodowanych przetwarzaniem, gdy podmiot przetwarzający nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Podmiotowi przetwarzającemu będzie więc łatwiej się bronić, a jego odpowiedzialność nie powstanie, gdy:

  • przepisy RODO nie nałożyły na niego bezpośrednio określonych obowiązków,
  • działał zgodnie z instrukcjami administratora, pod warunkiem że instrukcje te były zgodne z prawem,
  • działał poza lub wbrew instrukcjom administratora, gdy były one niezgodne z prawem.

W jaki sposób administrator bądź podmiot przetwarzający może się bronić przed żądaniem zapłaty odszkodowania? Według RODO podmiot ten nie będzie ponosił odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

To administrator bądź podmiot przetwarzający muszą wykazać w trakcie postępowania, i to w sposób niebudzący wątpliwości, iż nie ponoszą żadnej winy w wystąpieniu określonego zdarzenia, które spowodowało szkodę.

Wyłączenie odpowiedzialności wymaga należytego przestrzegania przepisów RODO, w praktyce więc może okazać się bardzo trudne. Naruszenie przepisów RODO może bowiem polegać na określonym bezprawnym działaniu, ale także zaniechaniu określonego działania.

Podmiot, który będzie dochodził odszkodowania z tytułu poniesionej szkody, będzie z pewnością musiał wykazać: istnienie szkody majątkowej lub niemajątkowej oraz jej wysokość, naruszenie przez administratora lub podmiot przetwarzający przepisów RODO, istnienie związku przyczynowego pomiędzy powstałym naruszeniem a szkodą. Jeżeli chodzi o przesłankę winy, to jak zostało wskazane wcześniej, administrator lub podmiot przetwarzający musi potrafić wykazać, że prawidłowo przetwarza dane (prawidłowo, czyli zgodnie z RODO).

Co ważne, na odpowiedzialność administratora bądź podmiotu przetwarzającego nie będą miały żadnego wpływu:

  • stopień winy,
  • umyślność lub nieumyślność,
  • przyczynienie się osoby, której dane były przetwarzane, do wystąpienia szkody.

Postępowanie sądowe o zapłatę odszkodowania będzie toczyło się albo przed sądem tego państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną, ewentualnie przed sądem właściwym na mocy prawa państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu (chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne, wówczas sądem właściwym jest sąd miejsca siedziby tej jednostki).

W przypadku gdy sprawa będzie toczyła się w Polsce, sądem właściwym w I instancji będzie sąd okręgowy, a postępowania będą toczyły się w trybie cywilnoprawnym. Do tych postępowań będą stosowane (w zakresie nieuregulowanym ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych) przepisy Kodeksu postępowania cywilnego). Postępowanie dowodowe będzie więc toczyło się zgodnie z regułami właściwymi dla postępowania cywilnego.

W toku takiego postępowania można więc posłużyć się:

  • dowodami z dokumentów,
  • zeznaniami świadków,
  • opiniami biegłych,
  • oględzinami,
  • przesłuchaniem stron,
  • innymi środkami dowodowymi (np. wydrukami komputerowymi, w tym wydrukami wiadomości mailowych, wydrukami z ekranu monitora komputerowego, ale także innymi środkami dowodowymi, nawet gdy nie zostały one wprost nazwane w Kodeksie postępowania cywilnego).

Powyższe środki dowodowe mogą więc posłużyć administratorowi lub podmiotowi przetwarzającemu do wykazania braku swojej winy za zdarzenie, które spowodowało powstanie szkody.

Przygotowanie odpowiedniej dokumentacji i procedur przy wdrażaniu RODO, które pozwolą na rozliczenie się z przestrzegania jego przepisów, z pewnością będzie punktem wyjścia w ewentualnym postępowaniu sądowym dotyczącym zapłaty odszkodowania.

Należy jednak pamiętać o tym, aby wszelkie wnioski dowodowe powoływać już w początkowej fazie procesu, aby nie okazało się, że zgłaszany dowód będzie dowodem spóźnionym. Dowody spóźnione sąd ma bowiem obowiązek pominąć, chyba że strona uprawdopodobni, że nie zgłosiła ich (w pozwie, odpowiedzi na pozew, dalszym piśmie przygotowawczym) we właściwym czasie bez swojej winy lub że uwzględnienie spóźnionych dowodów nie spowoduje zwłoki w rozpoznaniu sprawy albo że występują inne wyjątkowe okoliczności. Przekonanie sądu, iż określony wniosek dowodowy nie jest spóźniony, pomimo iż został zgłoszony dopiero na późniejszym etapie procesu, może więc być daremne.

Jeżeli dane są przetwarzane wspólnie z innym podmiotem, wówczas odpowiedzialność wszystkich tych podmiotów jest solidarna. Oznacza to, że osoba, która będzie dochodzić odszkodowania, może według swojego wyboru: pozwać wszystkie te podmioty wspólnie bądź tylko kilka wybranych przez siebie, a nawet tylko jeden. Chodzi bowiem o umożliwienie osobie, która poniosła szkodę, rzeczywistego uzyskania odszkodowania. Ten administrator bądź podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodą, nie jest jednak na przegranej pozycji. Może on bowiem w dalszej kolejności, w drodze regresu, dochodzić od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Z uwagi na okoliczność, iż praktyka orzecznicza w zakresie odszkodowań z tytułu naruszenia przepisów RODO będzie się dopiero kształtować, bardzo ważne jest, aby śledzić wyroki sądów w tym zakresie.