Nowe rozporządzenie unijne o ochronie danych osobowych RODO
Odszkodowanie za nielegalne przetwarzanie danych
Obecnie w przypadku naruszenia przepisów o ochronie danych osobowych przez administratora danych, dochodzenie rekompensaty pieniężnej w postaci zadośćuczynienia jest możliwe na podstawie przepisów dotyczących naruszenia dóbr osobistych zgodnie z art. 24 oraz 448 kodeksu cywilnego. Prawo do ochrony danych osobowych jest bowiem dobrem osobistym. Ustawa o ochronie danych osobowych nie zawiera przepisu uprawniającego poszkodowanego do żądania odszkodowania za niezgodne z prawem przetwarzanie tych danych. Niedługo jednak się to zmieni.
Na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane RODO) w ramach prawa do sądu, osobie, której dane dotyczą, przysługiwać będą roszczenia odszkodowawcze względem administratora danych oraz podmiotu przetwarzającego dane w jego imieniu (art. 82 rozporządzenia). Rozporządzenie to weszło w życie w 24 maja 2016 roku i będzie bezpośrednio stosowane we wszystkich krajach członkowskich Unii Europejskiej od 25 maja 2018 roku. Do tego czasu przepisy obowiązujące w państwach członkowskich będą musiały zostać dostosowane do treści rozporządzenia. Co za tym idzie osoby, których dane osobowe podlegały nielegalnemu przetworzeniu będą mogły domagać się odszkodowania za naruszenie danych osobowych od administratorów danych.
Większa odpowiedzialność
Rozporządzenie rozszerza odpowiedzialność za niezgodne z prawem przetwarzanie danych osobowych na szkody spowodowane przez podmioty, które mimo że nie są administratorami danych, przetwarzające te informacje. Warto podkreślić, że odpowiedzialność podmiotu przetwarzającego dane w imieniu administratora jest - zgodnie z RODO - ograniczona i zachodzi wyłącznie w przypadku niedopełnienia przez niego obowiązków wskazanych w RODO. Obowiązki te to m.in. przetwarzanie danych wyłącznie na udokumentowane polecenie administratora, zachowanie danych osobowych w tajemnicy czy wdrożenie odpowiednich środków technicznych i organizacyjnych dla zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku zagrożenia bezpieczeństwa danych. Podmiot przetwarzający dane ponosi również odpowiedzialność, gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew nim.
Jak w takim razie należy interpretować pojęcie szkody związanej z niezgodnym z prawem przetwarzaniem danych osobowych? Szeroko. Należy przy tym brać pod uwagę orzecznictwo Trybunału Sprawiedliwości w sposób w pełni odzwierciedlający cele rozporządzenia. Odszkodowanie przysługuje zarówno za szkody majątkowe jak i niemajątkowe, np. za poczucie dyskomfortu wywołane niezgodnym z prawem przetwarzaniem danych osobowych. Poszkodowany będzie musiał przed sądem udowodnić wysokość poniesionej szkody, co może być utrudnione, zwłaszcza przy szkodach niematerialnych.
Decyduje wina
Odpowiedzialność zarówno administratora, jak i podmiotu przetwarzającego dane jest odpowiedzialnością opartą o zasadę winy. A zatem odszkodowanie będzie mogło zostać zasądzone, gdy te podmioty będą ponosić winę za zdarzenie, które doprowadziło do powstania szkody. Jeśli administrator lub podmiot przetwarzający dane udowodnią, że nie ponoszą winy za wystąpienie powodującego szkodę zdarzenia, wówczas może nastąpić zwolnienie od odpowiedzialności. Jednak spoczywa na nich (a nie na poszkodowanym) ciężar dowodu. Wmuszą wykazać, że nie ponoszą winy za ich niezgodne przetwarzanie „w żaden sposób”. Najmniejsza wątpliwość dotycząca legalności przetwarzania danych, będzie działać na korzyść poszkodowanego.
Jeśli w tym samym przetwarzaniu danych brało udział więcej podmiotów, to odpowiedzialność administratora i podmiotu przetwarzającego dane ma charakter solidarny. Gdy zostaną włączeni do jednego postępowania sądowego, to odszkodowaniem można obarczyć każdego z administratorów i każdy z podmiotów przetwarzających dane stosownie do ich winy za szkodę wynikłą z przetwarzania. Poszkodowany może domagać się całości należnego mu odszkodowania od wszystkich podmiotów biorących udział w przetwarzaniu jego danych, jak i od każdego z nich z osobna.
Autor: Bogdan Fischer, radca prawny, Partner Kancelarii Chałas i Wspólnicy