Kiedy oraz od kogo można domagać się odszkodowania za naruszenie przepisów o ochronie danych osobowych?
Zastanawiasz się na jakich zasadach przyznawane są odszkodowania za naruszenie zasad ochrony danych osobowych? Nie wiesz jaka jest zakres twoja odpowiedzialności, gdy przetwarzasz dane osobowe wspólnie z innymi podmiotami? A może chciałbyś wystąpić z roszczeniem odszkodowawczym ale nie znasz właściwego trybu postępowania? Z artykułu dowiesz się:
- jakie są zasady odpowiedzialności odszkodowawczej za naruszenie przepisów o ochronie danych osobowych,
- kiedy i na jakich zasadach odpowiedzialność odszkodowawczą ponosi podmiot przetwarzający,
- czy podmiotowi wypłacającemu odszkodowanie przysługuje prawo regresy,
- jaki sąd jest właściwy w sprawach o odszkodowanie.
Kto ponosi odpowiedzialność za naruszenie RODO?
Na wstępie musisz wiedzieć, że odpowiedzialność za naruszenie ww. przepisów możesz ponosić niezależnie od tego, czy jesteś administratorem danych osobowych, czy jedynie podmiotem przetwarzającym. W zależności jednakże od twojej roli w procesie przetwarzania danych osobowych, inne okoliczności będą wyłączały twoją odpowiedzialność.
Jako administrator danych nie będziesz odpowiadał, gdy wykażesz, że w żaden sposób nie ponosisz winy za zdarzenie, które doprowadziło do powstania szkody. Innymi słowy, że do naruszenia doszło z wyłącznej winy innego podmiotu, osoby której dane dotyczą, bądź na skutek działania siły wyższej (okoliczności, za które nikt nie ponosi odpowiedzialności).
Będąc natomiast podmiotem przetwarzającym dane osobowe, niezależnie od ww. przesłanki uwalniającej od odpowiedzialności, będziesz odpowiadał jedynie za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełniłeś obowiązków, które RODO nakłada bezpośrednio na ciebie, jako podmiot przetwarzający (np. obowiązek zapewnienia bezpieczeństwa danych osobowych, zakaz dalszego powierzania danych bez zgody administratora, obowiązek zachowania danych w tajemnicy przez ciebie i twoich pracowników, itp.), lub gdy działałeś poza zgodnymi z prawem instrukcjami administratora danych lub wbrew tym instrukcjom (np. niezgodnie z treścią umowy powierzenia).
Za jakie szkody przysługuje rekompensata?
Zgodnie z ogólnym rozporządzeniem o ochronie danych [RODO], każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tegoż rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Twoja odpowiedzialność dotyczyć zatem będzie zarówno szkody majątkowej (np. poniesionych przez poszkodowanego kosztów wynikłych z naruszenia, utraconych dochodów, innych strat, itp.), jak i szkód niemajątkowych (np. naruszenie godności, dobrego imienia, renomy, itp.).
Regres między administratorami i podmiotami przetwarzającymi
Jeżeli w procesie przetwarzania danych osobowych, który spowodował szkodę brało udział kilka podmiotów (administratorów danych lub podmiotów przetwarzających), wszystkie te podmioty ponoszą odpowiedzialność solidarną względem osoby, której dane dotyczą. Oznacza to, że poszkodowany może żądać całości lub części świadczenia od wszystkich tych podmiotów łącznie, od kilku z nich lub od każdego z osobna, a zaspokojenie poszkodowanego przez któregokolwiek z administratorów lub podmiotów przetwarzających zwalnia pozostałych.
Jednakże, w przypadku, gdy całe odszkodowanie należne osobie, której dane dotyczą zapłaciłeś ty, RODO przyznaje tobie prawo regresu względem pozostałych podmiotów odpowiedzialnych za powstanie szkody. Od każdego z nich możesz domagać się zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi odpowiedzialność. W tym zakresie bierze się pod uwagę:
- rolę danego podmiotu w procesie przetwarzania,
- jego rolę w zdarzeniu powodującym szkodę,
- działania lub zaniechania danego podmiotu, które mogły przyczynić się do zwiększenia szkody.
Niestety, w przypadku sporu o regresie i jego wysokości rozstrzygać będzie sąd cywilny na zasadach ogólnych.
Sąd właściwy w sprawie o odszkodowanie za naruszenie RODO
W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w RODO, właściwy rzeczowo jest sąd okręgowy. Właściwość miejscową natomiast wyznaczają przepisy ogólne procedury cywilnej. Sądem właściwym będzie zatem sąd, w którego okręgu siedzibę ma pozwany. Jeżeli natomiast szkoda powstała:
- w związku z niewykonaniem albo nienależytym wykonaniem umowy – także przed sąd miejsca wykonania umowy,
- z czynu niedozwolonego (bezumownego naruszenia) – powództwo wytoczyć można także przed sąd, w którego okręgu nastąpiło zdarzenie wywołujące szkodę.
Co ciekawe, w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, które mogą być dochodzone wyłącznie w postępowaniu przed sądem, Prezes Urzędu Ochrony Danych Osobowych może wytaczać powództwa na rzecz osoby, której dane dotyczą, za jej zgodą, a także wstępować, za zgodą powoda, do postępowania w każdym jego stadium. Postępowanie sądowe może się zatem toczyć również z udziałem Prezesa Urzędu Ochrony Danych Osobowych.
Niestety ustawodawca nie wprowadził zmian w wysokości opłat sądowych od pozwu kierowanego w sprawie o odszkodowanie z tytułu naruszenia przepisów o ochronie danych osobowych. W sprawach tych zastosowanie znajduje zatem zasada ogólna, w myśl której opłata sądowa stanowi 5% wartości przedmiotu sporu – w tym przypadku dochodzonego odszkodowania.