Ochrona konsumenta

Zasady odpowiedzialności cywilnoprawnej administratorów i podmiotów przetwarzających dane osobowe przewidziane w RODO

Z dniem 25 maja 2018 r. na terytorium Polski weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych/RODO). Wspomniany akt prawny w art. 82 m.in. wprowadza zasady dotyczące odpowiedzialności cywilnej administratorów danych osobowych oraz podmiotów, które te dane przetwarzają na polecenie administratora. Administrator danych osobowych to według RODO osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Z kolei za podmiot przetwarzający uważa się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 7 i 8 RODO).

Uprawnienie osoby, której dane dotyczą do dochodzenia odszkodowania 

Art. 82 ust. 1 RODO przyznaje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów prawo do uzyskania od administratora lub podmiotu przetwarzającego odszkodowania.

 

Zasady odpowiedzialności cywilnoprawnej

Przepisy RODO stanowią, iż każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy RODO. Nieco łagodniej w tej kwestii wydaje się być traktowany podmiot przetwarzający. Odpowiada on bowiem za szkody spowodowane przetwarzaniem tylko wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Tym niemniej należy pamiętać, iż podmiot ten – oprócz obowiązku przestrzegania postanowień RODO w zakresie zasad przetwarzania danych osobowych jest jeszcze zobowiązany do stosowania się do zaleceń administratora, a dodatkowo najczęściej administrator w umowie powierzenia przetwarzania danych zastrzega sobie np. prawo do przeprowadzenia audytu wewnątrz podmiotu przetwarzającego w związku z przetwarzaniem powierzonych danych.

 

Możliwość zwolnienia się od odpowiedzialności

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, o której mowa powyżej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3 RODO).

 

Co w przypadku gdy jest wielu administratorów lub podmiotów przetwarzających?

W sytuacji, gdy w tym samym przetwarzaniu danych osobowych uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i odpowiadają oni za szkodę spowodowaną przetwarzaniem – ponoszą oni odpowiedzialność solidarną za całą szkodę tak, aby zapewnić osobie, której dotyczą dane rzeczywiste uzyskanie odszkodowania (art. 82 ust. 4 RODO).

Prawo regresu

Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność (art. 82 ust.5 RODO).

Właściwość sądu

Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego (art. 82 ust. 6 RODO).

 

Polub nas na Facebooku:

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

  • 20.4.2018

    Nowe obowiązki informacyjne

    Od wszystkich administratorów danych wymagać się będzie, aby wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były (...)

  • 21.4.2018

    Powierzenie danych osobowych

    Powierzenie danych powinno być regulowane umową lub innym instrumentem prawnym, określającym przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie (...)

  • 14.6.2018

    Jak rozumieć i stosować podejście oparte na ryzyku?

    Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. Dla (...)

  • 28.3.2018

    Anonimizacja i pseudonimizacja

    Według RODO, anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których dane dotyczą. Z kolei pseudonimizacja to „ukrycie” danych osobowych, ponieważ (...)

  • 22.3.2018

    Prawo do bycia zapomnianym

    RODO przyznaje osobom, których dane dotyczą, prawo do usunięcia danych, w tym prawo do bycia zapomnianym. Sprawdź, jakie obowiązki w tym zakresie ma administrator danych.