kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Solidarna odpowiedzialność w RODO

Każda osoba, która poniesie szkodę majątkową lub niemajątkową w wyniku naruszenia  RODO ma prawo uzyskać od administratora lub procesora odszkodowanie za poniesioną szkodę.

Nie tak dawno, jeszcze w aktualnym stanie prawnym, zapadł głośny wyrok, w którym SN orzekł odpowiedzialność administratora danych osobowych, mimo, iż ten powierzył przetwarzanie danych osobowych profesjonalnej firmie a szkoda na osobie powstała podczas wykonywania usług przez procesora.

Sądy orzekające w omawianej sprawie nie do końca wiedziały jak ugryźć problem. Sprawa dotyczyła bezprawnego ujawnienia na portalu internetowym pliku graficznego zawierającego skan dowodu osobistego powoda. Kopia dowodu osobistego została przez powoda udostępniona pozwanemu operatorowi telekomunikacyjnemu w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych.

Skan dowodu osobistego skarżącego powoda wyciekł do internetu. Co istotne został umieszczony na portalu internetowym i opatrzony obraźliwym komentarzem. Sprawa znalazła swój finał w sądzie. Skarżący na podstawie art. 415 k.c. żądał od operatora sieci komórkowej zapłaty wielomilionowego zadośćuczynienia w związku z naruszeniem dóbr osobistych  w postaci: godności, wizerunku i prawa do prywatności, w tym prawa do ochrony danych osobistych.

Sąd okręgowy uznał, że doszło do naruszenia dóbr osobistych powoda  w ten sposób, że pozwana jako administrator danych osobowych dopuściła do ich przetworzenia – awersu jego dowodu osobistego – przez nieupoważnione do tego osoby, na stronie portalu internetowego. Uznał też, że pozwanej nie zwalnia od odpowiedzialności zlecenie administrowania bazą danych podmiotowi profesjonalnemu.

Sąd apelacyjny jako sąd drugiej instancji  oddalił powództwo uznając, iż pozew został wniesiony przeciwko podmiotowi, który nie powinien być pozwanym w zainicjowanym procesie, gdyż czynu niedozwolonego wobec powoda dopuszczono się, gdy bazą danych klientów pozwanej  zarządzał podwykonawca (procesor).

Sąd Apelacyjny  na podstawie art. 429 w związku z art. 415 k.c. uznał, że pozwana skutecznie zwolniła się od odpowiedzialności, powierzając obowiązki przetwarzania podmiotowi zawodowo trudniącemu się wykonywaniem powierzonych czynności. Ustalono bowiem, iż wyciek skanu dowodu nastąpił, gdy bazą zarządzał podwykonawca wykonujący na rzecz pozwanej usługi call center.

Sprawa ostatecznie znalazła się przed Sądem Najwyższym, który zważył, co następuje i orzekł, iż pozwana nie może uwolnić się od odpowiedzialności cywilnej przez zastosowanie ogólnego przepisu, jakim jest art. 429 k.c.

Sąd Najwyższy orzekł ponadto, iż administrator danych osobowych, będący firmą telekomunikacyjną odpowiada na podstawie art. 415 k.c. za własną winę wobec klienta – strony umowy o świadczenie usług telekomunikacyjnych, jeżeli nadużył zaufania tego klienta, powierzając bez jego zgody i wiedzy wykonywanie części umówionych usług osobie trzeciej – profesjonalnej firmie, która dopuściła do przetworzenia przez nieupoważnione osoby jego danych.

Powyżej przytoczone konkluzje wyroku Sądu Najwyższego odbiły się szerokim echem oraz były komentowane przez prawników specjalizujących się w prawie ochrony danych osobowych na łamach prasy i grup dyskusyjnych. Aktualnie obowiązujące przepisy dla skutecznego i legalnego powierzenia danych do przetwarzania nie wymagają bowiem zgody podmiotów danych. Nie wymagają takiej zgody również przepisy RODO.

W związku z powszechnym w obrocie gospodarczym, korzystaniem przez firmy z outsourcingu usług, powierzanie danych do przetwarzania stało się naturalną koniecznością. Na powierzenie danych w związku z outsourcingiem usług administratorzy danych nie pozyskują dodatkowych zgód od podmiotów danych. W tym kontekście wywód SN o braku zgody klienta na powierzenie jego danych osobowych musi szokować.

RODO przychodzi z pomocą i dylematy takie, jak dokładnie te, z którymi mierzyły się sądy orzekające w opisywanej sprawie, czyli kto odpowiada za szkodę wyrządzoną podmiotowi danych i na jakiej podstawie nie powinny już mieć miejsca. RODO wprowadza bowiem solidarną odpowiedzialność administratora oraz procesora.

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub procesor   ponoszą  oni odpowiedzialność solidarną za całą szkodę spowodowaną przetwarzaniem, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

Solidarna odpowiedzialność ułatwi dochodzenie roszczeń podmiotom danych, ułatwi też życie sądom, które nie będą musiały rozstrzygać kwestii który z podmiotów posiada legitymację, aby być pozwanym. Jednakże nie rozwiąże ona problemów podmiotom przetwarzającym dane czyli administratorowi i procesorowi.

Administrator lub podmiot przetwarzający, który  zapłaci odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

I tutaj moim zdaniem zacznie się zabawa. Aktualnie umowy regulujące świadczenie usług, z którymi związane jest powierzenie ale także udostępnianie danych do przetwarzania często są bardzo enigmatyczne z reguły cytując wprost przepisy prawa. Są i takie, które  powierzenia nie regulują w ogóle lub wprowadzają tam, gdzie ono nie występuje. Dochodzi jeszcze powszechne mylenie powierzenia z udostępnieniem i odwrotnie.

Koniec końców może być tak, że ten podmiot, który zostanie pozwany jako pierwszy może mieć  trudne zadanie, aby odzyskać od innych podmiotów uczestniczących w procesie przetwarzania, część zapłaconego odszkodowania z wyjątkiem spraw oczywistych.

Wobec solidarnej odpowiedzialności przewidzianej w RODO, podmioty uczestniczące w procesie przetwarzania, w sposób przejrzysty i konkretny, powinny określić i zdefiniować odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. W przypadku dochodzenia przez podmioty przetwarzające ewentualnych roszczeń regresowych takie umowy mogą mieć nieocenione znaczenie.

 

 

3 comments

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: