RODO – Roszczenia odszkodowawcze

RODO - MS Kancelaria radców prawnych - Michał & Marta Syguła

RODO – Roszczenia odszkodowawcze

Niniejszy artykuł, chciałbym poświęcić tematyce instrumentu dyscyplinowania administratorów danych osobowych – mianowicie prawu, jakie na mocy art. 82 rozporządzenia, każdej osobie, która w wyniku naruszenia regulacji RODO poniosła szkodę przyznaje prawo do odszkodowania a na administratorów i inne podmioty przetwarzające dane osobowe zobowiązuje do ponoszenia takiej odpowiedzialności odszkodowawczej.

Zasady odpowiedzialności odszkodowawczej

Artykuł 82 RODO określa zasady odpowiedzialności odszkodowawczej administratora lub podmiotu przetwarzającego za szkodę majątkową lub niemajątkową, którą poniesie osoba fizyczna w związku z naruszeniem przepisów RODO.
Ustęp 1 omawianego artykułu RODO, wskazuje, że szkoda, z którą wiąże się obowiązek odszkodowawczy może być zarówno majątkowa, jak i niemajątkowa. Przekładając powyższe na grunt polskich przepisów, będzie chodziło zarówno o postępowanie o odszkodowania za wyrządzoną szkodę majątkową – na mieniu, w postaci rzeczywistej straty lub utraconych korzyści, jak i o zadośćuczynienie za krzywdę (szkodę niemajątkową) – związaną z naruszeniem dóbr niemajątkowych. Szkoda rozumiana ma być szeroko, zgodnie z linią orzeczniczą Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia – taką wskazówkę interpretacyjną zawiera moty w 146 zawarty się w preambule do RODO, co oznacza, że szkoda nie jest tu objęta stosunkiem obligacyjnym pomiędzy osobą, której dane osobowe zostały naruszone a administratorem lub innym podmiotem przetwarzającym Odpowiedzialność taką należy traktować, jako odpowiedzialność deliktową. Nie jest, zatem istotne czy szkoda wynika ze stosunku obligacyjnego, umownego łączącego właściciela danych osobowych z administratorem lub innym podmiotem przetwarzającym, czy też wynika z innego zdarzenia. Pociąga to za sobą skutek w postaci możliwości stosowania przepisów Kodeksu Cywilnego w zakresie, w którym regulacja zawarta w przepisach RODO nie jest wyczerpująca (kompletna) przykładem – kwestia przedawnienia roszczeń odszkodowawczych, która nie jest opisana w RODO. Stosowanie przepisów o deliktach możliwe jest wyłącznie w zakresie nieuregulowanym w art. 82 RODO, tj. poza kwestią przesłanek odpowiedzialności, solidarnej odpowiedzialności administratora i procesora oraz roszczeń regresowych między tymi podmiotami – por. M. Gumularz, Wpływ, s. 32, 33 i 35.

Przesłanki i zakres odpowiedzialności administratora i podmiotu przetwarzającego

Zgodnie z art. 82 ust. 2 RODO odpowiedzialność odszkodowawczą związaną z naruszeniem przepisów RODO ponosi, co do zasady administrator. Podmiot przetwarzający może ponosić taką odpowiedzialność wyłącznie w sytuacji:

  • gdy nie dopełnił obowiązków nałożonych bezpośrednio na niego w przepisach RODO, lub
  • gdy działał poza lub wbrew zgodnym z prawem instrukcjom administratora.

Zgodnie z przytoczonym wcześniej motywem (146) preambuły do RODO „przetwarzanie dokonywane w sposób naruszający niniejsze rozporządzenia obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie”. Ale co ważniejsze na gruncie dochodzenia roszczeń odszkodowawczych: „Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy.”
Przesłanką odpowiedzialności z art. 82 RODO jest:

  • Poniesienie przez osobę, której dane dotyczą, szkody majątkowej lub niemajątkowej
  • Naruszenie przez administratora lub podmiot przetwarzający przepisów RODO (w tym aktów delegowanych, wykonawczych lub przepisów prawa krajowego przyjętych na mocy przepisów RODO),
  • Zaistnienie związku przyczynowego pomiędzy szkodą a naruszeniem,
  • Wina po stronie administratora lub procesora (a contrario art. 82 ust. 3 RODO).

Jak wskazuje się w literaturze (M. Gumularz, Wpływ, s. 34 i 35), przesłanki te są zbliżone do tych z art. 415 KC, z tym, że w ramach odpowiedzialności deliktowej w KC brak, co do zasady, domniemania winy.
Natomiast na gruncie regulacji art. 82 RODO to administrator lub podmiot przetwarzający, w celu uniknięcia odpowiedzialności odszkodowawczej, zmuszony będzie wykazać, że naruszenie a następnie szkoda nastąpiły bez jego winy.

I choć w art. 82 RODO nie znajdzie się odwołania do naruszenia dóbr osobistych, brak jest również określenia, jakiego rodzaju odszkodowania może domagać się poszkodowany, to jak słusznie wskazuje M. Gumularz (Wpływ, s. 34), chociaż art. 82 RODO nie odwołuje się do przesłanki naruszenia dobra osobistego, to jednak powstanie szkody niemajątkowej, o której mowa w tym przepisie, siłą rzeczy będzie konsekwencją naruszenia dobra osobistego. W praktyce trudno będzie wykazać, że doszło do powstania szkody niemajątkowej bez odwołania się i uzasadnienia, iż jest ona efektem ingerencji w dobra osobiste podmiotu danych. Takie stanowisko należy przyjąć w oparciu o aktualne rozwiązania Kodeksu Cywilnego. Pytaniem otwartym natomiast zostaje czy istotne zmiany w zakresie ochrony danych osobowych, jakie wprowadza RODO, w najbliższej przyszłości nie będą determinowały zmian w zakresie kodeksowych regulacji o ochronie dóbr osobistych.

Wielość podmiotowa

Osoba, której dobra osobiste zostały naruszone i poniosła w związku z tym szkodę może domagać się całości odszkodowania od wybranego przez siebie jednego podmiotu odpowiedzialnego jak również solidarnie od wszystkich bądź części z nich. Rozwiązanie takie wprowadza Art 82 ust. 3 RODO, który reguluje kwestię wielości podmiotów występujących po stronie administratora danych bądź podmiotu przetwarzającego, gdzie występuje więcej niż jeden administrator lub podmiot przetwarzający, jak również sytuacje, w których występuje zarówno administrator i podmiot przetwarzający.

Mowa, więc o sytuacjach, w których po stronie pozwanej będziemy mogli mieć do czynienia z:

  • więcej niż jednym administratorem (współadministratorem),
  • administratorem i podmiotem przetwarzającym (lub wieloma takimi podmiotami),
  • więcej niż jednym podmiotem przetwarzającym.

Skutkiem rozwiązania wprowadzonego przez RODO, to poszkodowany zyskuje lepszą ochronę swoich praw, ponieważ będzie mógł żądać całości odszkodowania od dowolnego, wskazanego przez siebie podmiotów albo od wszystkich łącznie

Wyłączenie odpowiedzialności

Artykuł 82 ust. 3 RODO reguluje okoliczności wyłączające odpowiedzialność odszkodowawczą administratorów oaz podmioty przetwarzające dane – ustanawia tzw. przesłanki egzoneracyjne. Jest to przede wszystkim wykazany przez administratora lub podmiot przetwarzający brak winy w powstałej szkodzie. W dalszej kolejności, uwzględniając treść powołanego już art. 82 ust. 2 RODO, należy stwierdzić, że odpowiedzialność odszkodowawcza administratorów danych oraz podmiotów przetwarzających dane osobowe, jeżeli:

  • przepisy RODO nie nakładały na podmiot przetwarzający bezpośrednio obowiązków, których niewykonanie lub nienależyte wykonanie spowodowało szkodę,
  • podmiot przetwarzający działał zgodnie z (zgodnymi z prawem) instrukcjami administratora,
  • podmiot przetwarzający działał poza lub wbrew instrukcjom administratora, ale były one niezgodne z prawem.

Powyższe, pozwala zrozumieć skąd ta, wspomniana we wstępie, wzmożona aktywność usługodawców, portali internetowych, podmiotów przetwarzających dane. Ma ona istotne znaczenie dla bezpośredniej odpowiedzialności podmiotu przetwarzającego będzie miało określenie zakresu jego obowiązków w umowie powierzenia lub instrukcjach administratora (art. 28 RODO) i należyte ich udokumentowanie.

Roszczenia regresowe

W sytuacji gdy w efekcie postępowania sądowego administrator lub podmiot przetwarzający został zobowiązany i uiścił odszkodowanie za całą wyrządzoną szkodę, a w to przetwarzanie były zaangażowane inne podmioty (administratorzy lub podmioty przetwarzające), może on żądać od takich podmiotów zwrotu części wypłaconego odszkodowania (art. 82 ust. 5 RODO). Roszczenie regresowe będzie jednak dotyczyło zwrotu części odszkodowania, za którą ponoszą one odpowiedzialność zgodnie z art. 82 ust. 2 RODO (o ile nie zachodzą przesłanki wyłączenia ich odpowiedzialności) – por. uwagi powyżej.

Właściwość sądu do dochodzenia odszkodowania

Zgodnie z art. 82 ust. 6 RODO postępowanie sądowe dotyczące odszkodowania powinno być wszczęte przed sądem właściwym na mocy prawa państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną, ewentualnie przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu. Ta druga możliwość (właściwość według miejsca zwykłego pobytu) nie dotyczy sytuacji dochodzenia roszczeń odszkodowawczych od administratorów lub podmiotów przetwarzających, będących organami publicznymi wykonującymi swoje uprawnienia publiczne – art. 82 ust. 6 RODO w zw. z art. 79 ust. 2 RODO – por. komentarz do art. 79 RODO.

Autor: Stanisław Stawińskiaplikant radcowski