Zasady odpowiedzialności cywilnoprawnej administratorów i podmiotów przetwarzających dane osobowe przewidziane w RODO

Z dniem 25 maja 2018 r. na terytorium Polski weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych/RODO). Wspomniany akt prawny w art. 82 m.in. wprowadza zasady dotyczące odpowiedzialności cywilnej administratorów danych osobowych oraz podmiotów, które te dane przetwarzają na polecenie administratora. Administrator danych osobowych to według RODO osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Z kolei za podmiot przetwarzający uważa się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 7 i 8 RODO).

Uprawnienie osoby, której dane dotyczą do dochodzenia odszkodowania 

Art. 82 ust. 1 RODO przyznaje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów prawo do uzyskania od administratora lub podmiotu przetwarzającego odszkodowania.

 

Zasady odpowiedzialności cywilnoprawnej

Przepisy RODO stanowią, iż każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy RODO. Nieco łagodniej w tej kwestii wydaje się być traktowany podmiot przetwarzający. Odpowiada on bowiem za szkody spowodowane przetwarzaniem tylko wtedy, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Tym niemniej należy pamiętać, iż podmiot ten – oprócz obowiązku przestrzegania postanowień RODO w zakresie zasad przetwarzania danych osobowych jest jeszcze zobowiązany do stosowania się do zaleceń administratora, a dodatkowo najczęściej administrator w umowie powierzenia przetwarzania danych zastrzega sobie np. prawo do przeprowadzenia audytu wewnątrz podmiotu przetwarzającego w związku z przetwarzaniem powierzonych danych.

 

Możliwość zwolnienia się od odpowiedzialności

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, o której mowa powyżej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3 RODO).

 

Co w przypadku gdy jest wielu administratorów lub podmiotów przetwarzających?

W sytuacji, gdy w tym samym przetwarzaniu danych osobowych uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i odpowiadają oni za szkodę spowodowaną przetwarzaniem – ponoszą oni odpowiedzialność solidarną za całą szkodę tak, aby zapewnić osobie, której dotyczą dane rzeczywiste uzyskanie odszkodowania (art. 82 ust. 4 RODO).

Prawo regresu

Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność (art. 82 ust.5 RODO).

Właściwość sądu

Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego (art. 82 ust. 6 RODO).

 


Michał Pichór

Radca prawny

Radca prawny, prawnik biznesu. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Swoją pracę magisterską napisał w Instytucie Prawa Własności Intelektualnej UJ. Ukończył aplikację radcowską prowadzoną przy Okręgowej Izbie Radców Prawnych w Krakowie. Specjalista w zakresie obsługi prawnej przedsiębiorców, ze szczególnym uwzględnieniem windykacji należności oraz prawa umów.

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika