RODO a odpowiedzialność odszkodowawcza

Ustanawiając standardy i wymagania dotyczące zasad przetwarzania danych osobowych okreś­lonych w przepisach RODO, ustawodawca unijny zadbał także o wprowadzenie wielu przepisów dotyczących sankcji, jakie mogą być nałożone na podmioty biorące udział w procesie przetwarzania danych osobowych. Po wejściu w życie przepisów RODO administratorzy danych i podmioty przetwarzające zaczęli obawiać się przede wszystkim kar administracyjnych, które mogą zostać nałożone decyzją Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO). Obawy te były uzasadnione, tym bardziej że decyzję o nałożeniu kary PUODO może podjąć na skutek postępowania zainicjowanego m.in. wskutek skargi złożonej przez osobę, której dane dotyczą. W praktyce tego rodzaju kary są nakładane na administratorów danych.

Należy jednak pamiętać, że sankcje przewidziane w przepisach RODO to nie tylko kary administracyjne, ale także roszczenia cywilnoprawne, które osoby, których dane dotyczą, mogą kierować zarówno wobec administratora danych, jak i wobec podmiotu przetwarzającego. Obecnie osoby, których dane dotyczą, nie korzystają zbyt często z tej możliwości, należy się jednak spodziewać, że z czasem będzie to coraz bardziej popularne rozwiązanie prawne.

Podstawy prawne odpowiedzialności odszkodowawczej

Przepisem regulującym odpowiedzialność odszkodowawczą na gruncie RODO jest art. 82 ust. 1, zgodnie z którym: każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Analiza zasad odpowiedzialności odszkodowawczej na gruncie powołanego przepisu RODO będzie wymagała odniesienia się do przepisów Kodeksu cywilnego. W doktrynie przyjmuje się bowiem, że przesłanki odpowiedzialności z art. 82 RODO są zbliżone do tych wynikających z art. 415 Kodeksu cywilnego, z tym że autorzy komentarzy zaznaczają, że jeżeli nie ukształtuje się rozumienie przesłanki winy i związku przyczynowego na poziomie prawa unijnego, to możliwe jest ostrożne odwołanie się do rozumienia tych pojęć na gruncie prawa cywilnego w zakresie, w jakim nie będzie ono naruszać celu przepisów RODO[1]. W tej sytuacji poniżej omówiono zasady odpowiedzialności deliktowej w rozumieniu przepisów Kodeksu cywilnego.

Zasady odpowiedzialności odszkodowawczej na gruncie przepisów Kodeksu cywilnego

Odpowiedzialność deliktowa (pozaumowna) powstaje w sytuacji wyrządzenia szkody, gdy strony nie były do momentu powstania szkody związane żadnym stosunkiem prawnym. W reżimie odpowiedzialności ex delicto świadczenie ma charakter pierwotny, istniejący od początku stosunku obligacyjnego powstałego w wyniku wyrządzenia szkody na skutek deliktu. Czyn niedozwolony wyrządzający szkodę jest samoistnym źródłem powstania stosunku obligacyjnego.

Odpowiedzialność na zasadzie winy jest głównym reżimem odpowiedzialności deliktowej. Zgodnie z treścią art. 415 Kodeksu cywilnego: kto z winy swojej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia. Przesłankami odpowiedzialności z art. 415 k.c. są:

  • zaistnienie zdarzenia powodującego szkodę (czynu niedozwolonego);
  • wystąpienie szkody;
  • zaistnienie adekwatnego związku przyczynowego między zdarzeniem szkodzącym a szkodą.

Odpowiedzialność odszkodowawcza dotyczy zarówno szkody majątkowej (np. poniesionych przez poszkodowanego kosztów wynikłych ze szkody, utraconych dochodów, innych strat), jak i szkód niemajątkowych (np. naruszenie godności, dobrego imienia, renomy). Z tytułu powstania szkody majątkowej należne jest odszkodowanie, z kolei zadośćuczynienie ma na celu zrekompensowanie szkody niemajątkowej.

Kodeks cywilny łączy odpowiedzialność odszkodowawczą na zasadzie winy z każdą postacią winy: zarówno umyślną, jak i nieumyślną. W prawie cywilnym nieumyślność sprowadza się do niezachowania przez daną osobę należytej staranności. Chodzi tu o zachowanie odbiegające niekorzystnie od wzorca właściwego postępowania ustalanego na podstawie kryterium staranności wymaganej w stosunkach danego rodzaju[2]. Przez należytą staranność należy rozumieć staranność ogólnie wymaganą w stosunkach danego rodzaju. Należytą staranność dłużnika w zakresie prowadzonej działalności gospodarczej określa się przy uwzględnieniu zawodowego charakteru tej działalności.

Odpowiedzialność odszkodowawcza na podstawie przepisów RODO

Zgodnie z motywem 146 Preambuły RODO: za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele wynikające z przepisów RODO. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. Przetwarzanie dokonywane w sposób naruszający RODO obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy RODO oraz prawo państwa członkowskiego doprecyzowujące RODO. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody.

 

WAŻNE!

Należy pamiętać, że osobie, której dane dotyczą, przysługuje odszkodowanie za szkodę powstałą nie tylko w wyniku naruszenia wymogów wynikających z przepisów RODO, ale także ze wszystkich przepisów obowiązujących na terenie Polski, które zostały wydane w związku z RODO, np. ustaw sektorowych.

Każde naruszenie standardów RODO albo przepisów dotyczących ochrony danych osobowych, skutkujące powstaniem szkody po stronie osoby, której dane dotyczą, może prowadzić do odpowiedzialności odszkodowawczej obciążającej administratora danych albo podmiot przetwarzający.

 

Wielość podmiotów biorących udział w przetwarzaniu danych

Analizując odpowied...

Dalsza część jest dostępna dla użytkowników z wykupionym planem