Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

RODO - odpowiedzialność cywilnoprawna podmiotu przetwarzającego

RODO - odpowiedzialność cywilnoprawna podmiotu przetwarzającego
RODO - odpowiedzialność cywilnoprawna podmiotu przetwarzającego
RODO - odpowiedzialność cywilnoprawna. Administrator danych osobowych powierzając do przetwarzania dane osobowe podmiotowi trzeciemu nie zwalnia się z odpowiedzialności za ewentualne naruszenie ich bezpieczeństwa. Samo zawarcie obligatoryjnej umowy powierzenia, nie rozwiązuje problemu odpowiedzialności za szkodę wyrządzoną przez naruszenie ochrony danych osobowych.

RODO – obowiązki i odpowiedzialność

Przepisy zawarte w RODO, tj. Ogólnym rozporządzeniu o ochronie danych osobowych nakładają liczne obowiązki w zakresie przetwarzania danych osobowych nie tylko na administratora danych osobowych, ale również na podmioty przetwarzające, czyli podmioty przetwarzające dane osobowe w imieniu administratora. W przypadku ich niewypełnienia lub naruszenia bezpieczeństwa przetwarzanych danych osobowych to głównie administrator musi liczyć się z odpowiedzialnością - administracyjną, ale również cywilnoprawną. W zakresie odpowiedzialności cywilnoprawnej, co do zasady administrator wraz z podmiotem przetwarzającym ponoszą ją solidarnie, jednakże to odpowiedzialność administratora ma szerszy charakter.

Szkoda majątkowa i niemajątkowa

W przypadku naruszenia ochrony danych osobowych może dojść do poniesienia przez osobę, której dane dotyczą, szkody majątkowej lub niemajątkowej. Wobec tego mowa jest tu o uszczerbku interesów nie tylko majątkowych czy finansowych, ale m.in. również o naruszeniu dobrego imienia czy też sfery prywatności. Co więcej, należy pamiętać również, że szkoda majątkowa to nie tylko faktycznie poniesione straty, ale również utracone korzyści. W przedmiotowej sytuacji taka osoba może uzyskać odszkodowanie lub zadośćuczynienie od administratora danych osobowych lub podmiotu przetwarzającego odszkodowania, jednakże musi ona wykazać i udowodnić rzeczywistą szkodę. Solidarna odpowiedzialność administratora i podmiotu przetwarzającego ma za zadanie zapewnić osobie, której dane dotyczą uzyskanie stosownego odszkodowania lub zadośćuczynienia. W przypadku, gdy administrator lub podmiot przetwarzający zapłacili odszkodowanie za całą wyrządzoną szkodę, mają oni prawo żądać od pozostałych podmiotów biorących udział w danym procesie przetwarzania danych tzw. regresu, tj. przysługuje im roszczenie zwrotu części kwoty odszkodowania, za które ponosi odpowiedzialność.

Przesłanki odpowiedzialności odszkodowawczej

Aby móc stwierdzić, iż doszło do naruszenia prywatności i zastosowania odpowiedzialności odszkodowawczej, musi wystąpić przynajmniej jedna z poniższych przesłanek:

1/ poniesienie przez osobę, której dane dotyczą, szkody majątkowej lub niemajątkowej,

2/ naruszenie przez administratora lub podmiot przetwarzający przepisów RODO,

3/ zaistnienie związku przyczynowego między naruszeniem a szkodą,

4/ wina po stronie administratora lub podmiotu przetwarzającego.

Jednakże, rozporządzenie RODO zawiera także okoliczność, która wyłącza obowiązek naprawienia zaistniałej szkody przez administratora lub podmiot przetwarzający. Przesłanką tą jest brak winy po stronie tych podmiotów w zdarzeniu będącym przyczyną powstania szkody. Odpowiedzialność odszkodowawcza administratora danych osobowych i podmiotu przetwarzającego jest oparta na zasadzie winy, która obejmuje zarówno winę umyślną, jak i nieumyślną. Zwolnienie z tejże odpowiedzialności wynikające z wykazania braku winy jest możliwe poprzez dochowanie należytej staranności w wyborze i ukształtowaniu relacji umownej z profesjonalnym podmiotem, któremu powierzono wykonanie określonych czynności w procesie przetwarzania danych osobowych. Reasumując, odpowiedzialność podmiotu przetwarzającego nie powstanie w następujących sytuacjach, gdy:

1/ przepisy RODO nie nakładały na niego bezpośrednio obowiązków, których niewykonanie lub nienależyte wykonanie spowodowało szkodę,

2/ podmiot przetwarzający działał zgodnie z instrukcjami administratora (zgodnymi z prawem),

3/ podmiot przetwarzający działał poza lub wbrew instrukcjom administratora, które były niezgodne z prawem.

Zawarcie umowy to nie wszystko

Samo zawarcie umowy powierzenia w celu sformalizowania ról w procesie przetwarzania danych nie jest wystarczające. Analizując powyższe punkty, jednoznacznie należy wskazać znaczenie i istotę określenia wzajemnych zasad współpracy i obowiązków stron w treści umowy oraz precyzyjność poleceń lub instrukcji administratora co do przetwarzania danych wraz z odpowiednim ich udokumentowaniem.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 27 października 2020 r. sygn. II SA/Wa 310/20 jednoznacznie stwierdził, iż „W sytuacji gdy podmiot przetwarzający dane osobowe naruszy ogólne rozporządzenie o ochronie danych prze określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania. Podejmowanie decyzji o celach i sposobach przetwarzania danych należy do sfery uprawnień administratora danych. Jeżeli w tę sferę bezprawnie ingeruje podmiot przetwarzający, wchodząc w zakres zastrzeżony administratorowi, to art. 28 ust. 10 ww. rozporządzenia nakazuje uznać podmiot przetwarzający za administratora w odniesieniu do tego przetwarzania. Oznacza to, że podmiot przetwarzający odpowiada w tym zakresie za naruszenie przepisów rozporządzenia tak jak administrator”.

Lakoniczność lub brak uszczegółowienia postanowień umownych określających obowiązki danej strony może skutkować np. niemożliwością domagania się regresu od drugiej strony umowy. Co więcej, rozporządzenie RODO zobowiązuje administratora danych osobowych do korzystania jedynie z takich podmiotów przetwarzających, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzanie danych osobowych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Wobec tego, administrator powinien poczynić wszystkie możliwe środki umożliwiające mu weryfikację i wybór podmiotu przetwarzającego.

Węższy zakres odpowiedzialności podmiotu przetwarzającego

Zakres odpowiedzialności podmiotu przetwarzającego jest węższy niż administratora, ponieważ obejmuje tylko szkody wynikające z niedopełnienia przez niego zobowiązań wynikających z przepisów RODO lub naruszenia postanowień umowy powierzenia danych łączących go z administratorem. Dlatego bardzo ważna jest treść tejże umowy, w szczególności postanowień odnoszących się do zakresu obowiązków stron oraz braku ograniczenia odpowiedzialności podmiotu przetwarzającego w przypadku naruszenia bezpieczeństwa przetwarzania danych osobowych. Umowa powierzenia danych osobowych powinna być skonstruowana w sposób maksymalnie precyzyjny, bez możliwości do różnych interpretacji jej postanowień, stąd pomoc prawnika może być nieodzowna. Poprzez szczegółowe i skrupulatne określenie obowiązków podmiotu przetwarzającego, administrator danych osobowych będzie miał dużo większy nadzór nad powierzonymi danymi i jednocześnie zwiększy jakość ochrony danych osobowych swoich pracowników, klientów czy kontrahentów.

Podsumowanie

Jak zostało wskazane powyżej, nie wystarczy sam fakt zawarcia umowy powierzenia danych pomiędzy administratorem a podmiotem przetwarzającym. Jest to pierwszy, fundamentalny krok do uregulowania zasad współpracy, jednakże nie ostatni. Kluczem są kompleksowe i jednocześnie szczegółowe postanowienia tejże umowy, do których skonstruowania najlepiej zatrudnić radcę prawnego specjalizującego się w prawie ochrony danych osobowych i bezpieczeństwa informacji.

Bartłomiej Niezabitowski, radca prawny

Chcesz dowiedzieć się więcej, sięgnij po naszą publikację
Umowy o pracę – zawieranie i rozwiązywanie
Umowy o pracę – zawieranie i rozwiązywanie
Tylko teraz
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Prawo
    1 sty 2000
    9 gru 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Podwyżki cen gazu zostaną zminimalizowane – prezydent podpisał ustawę
    Podwyżki cen gazu dla gospodarstw domowych zostaną zminimalizowane. Nowe przepisy mają na celu zapobiec skokowym podwyżkom cen gazu w 2022 r. W jaki sposób?
    Reforma prawa karnego w Kościele – zmiana sankcji karnych
    Reforma prawa karnego w Kościele katolickim weszła w życie w środę 8 grudnia 2021 r. Zmianie uległy m.in. przepisy dotyczące pedofilii w kościele. W jaki sposób? Jakie inne przepisy uległy modyfikacji, a jakie dodano?
    Dodatek osłonowy – rząd przyjął projekt ustawy
    Dodatek osłonowy, czyli element tarczy antyinflacyjnej, ma zrekompensować skutki dynamicznego wzrostu cen. Rząd pracuje nad przyjęciem regulacji prawnych.
    Przedświąteczne zakupy - kiedy, ile pieniędzy
    Przedświąteczne zakupy - kiedy Polacy ruszą do sklepów? Ile pieniędzy na nie przeznaczają? Na co zwracają uwagę, dokonując zakupu?
    Inflacja czy lockdown - czego bardziej boją się konsumenci?
    Inflacja czy kolejny lockdown - czego bardziej boją się polscy konsumenci? Jak długo kryzys będzie miał wpływ na nasze finanse? Jak zapewnić bezpieczeństwo finansowe?
    Nowe obostrzenia - grudzień, święta 2021
    Nowe obostrzenia na grudzień 2021 r. i styczeń 2022 r. ogłosił 7 grudnia Minister Zdrowia Adam Niedzielski. Jakie obostrzenia od 15 grudnia wprowadza się w Polsce? Jakie są limity na Święta Bożego Narodzenia?
    Sprzedaż produktów rolnych z własnego gospodarstwa ma być łatwiejsza – nowe regulacje prawne
    Sprzedaż produktów rolnych z własnego gospodarstwa została ułatwiona. Nowe regulacje określa Ustawa o ułatwieniach w prowadzeniu handlu przez rolników i ich domowników. Jakie nowe regulacje przewidział ustawodawcza?
    Rekrutacja zdalna - zmiana trendu [BADANIE]
    Ponad 50% Polaków ubiegających się o pracę brała już udział w rekrutacji online. Czy jest to istotny czynnik dla osób biorących udział w procesach rekrutacyjnych?
    Nieodpłatna pomoc prawna w 2022 r. – planowane zmiany
    Nieodpłatna pomoc prawna w 2022 r. ma być dostosowana do ostatnich zmian przepisów. Czego będą dotyczyły planowane zmiany?
    Ustawa o KZP niedopracowana [KOMENTARZ]
    W dniu 11 października 2021 roku weszła ustawa o kasach zapomogowo pożyczkowych. Ustawa była procedowana bardzo szybko i można powiedzieć, że jest mocno niedopracowana. W tym artykule omówię tylko kilka nieprzemyślanych nieprecyzyjnych rozwiązań.
    Stopień alarmowy ALFA-CRP. Co oznacza?
    Stopień ALFA-CRP został wprowadzony na obszarze całego kraju. Czego dotyczy i co oznacza? Do kiedy obowiązuje?
    Ugody frankowe mBanku - rozpoczęcie pilotażu
    W ramach ugody frankowej klienci mBanku będą mogli przeliczyć zaciągnięty w przeszłości kredyt frankowy na złotówki i odzyskać część wyliczonej różnicy. Jaką część i na jakich zasadach proponuje mBank?
    Święta i Sylwester poza domem – ceny
    Święta i Sylwester poza domem – ceny. Ktoś, kto dawno nie wyjeżdżał do hotelu może być w szoku. Stawki za dobę w polskich kurortach są często o 20-30% wyższe niż przed epidemią. Dotyczy to sylwestrowego weekendu, który jest szczególnie drogi – prawie o połowę droższy niż np. Wigilia.
    Zakupy przedświąteczne – jak dbać o bezpieczeństwo?
    Zakupy przedświąteczne mogą wykorzystać oszuści. Policja podpowiada na co uważać i jak zadbać o bezpieczeństwo.
    Całkowity zakaz aborcji - projekt odrzucony w pierwszym czytaniu
    Sejm odrzucił w pierwszym czytaniu obywatelski projekt ustawy całkowicie zakazującej aborcji. Jakie były założenia projektu?
    Rodzinny kapitał opiekuńczy od 2022 r.
    Rodzinny kapitał opiekuńczy od 1 stycznia 2022 r. będzie przysługiwał na drugie i każde kolejne dziecko w rodzinie w wieku od ukończenia 12. do 36. miesiąca życia.
    Zboczenie działania oraz błąd co do osoby przy dokonaniu zabójstwa
    Zapewne każdy karnista spotkał się z pojęciami: „Aberratio ictus vel iactus (z łac. „zboczenie działania” oraz „error in persona” (z łac. „błąd co do osoby”).
    Emerytury i renty z KRUS - kwoty przychodu od 1 grudnia 2021 r.
    Od 1 grudnia 2021 r. zmieniły się kwoty miesięcznego przychodu powodujące zmniejszenie lub zawieszenie świadczeń emerytalno-rentowych z KRUS.
    KE zamknęła postępowanie naruszeniowe przeciwko Polsce
    Komisja Europejska zamknęła postępowanie naruszeniowe przeciwko Polsce dotyczące regulacji emerytalnych dla sędziów Sądu Najwyższego.
    Wniosek o paszport – planowane zmiany
    Wniosek o paszport nie będzie składany w papierowej formie. To jedna z wielu zmian, jakie zakłada nowa ustawa o dokumentach paszportowych.
    Nowelizacja ustawy o cudzoziemcach szansą na reset urzędów wojewódzkich?
    W cieniu kontrowersyjnych zmian dotyczących nielegalnego przekraczania granicy rząd przygotowuje znaczne zmiany w udzielaniu zezwoleń na pobyt w Polsce. Na ujawnienie końcowego projektu musieliśmy czekać wiele miesięcy, a poprzednie zmiany przepisów migracyjnych miały charakter doraźny i dotyczyły głównie sytuacji na wschodniej granicy Polski.
    Jakie warunki należy spełnić, aby ogłosić upadłość konsumencką?
    Upadłość konsumencka to coraz częściej pojawiające się sformułowanie zarówno w mediach jak i pośród najbliższych. Wielu zadłużonych Polaków zadaje sobie pytanie, czy ich problemy finansowe są „wystarczające”, aby móc się oddłużyć, czy dłużnik musi spełniać jakieś warunki, a nawet niejednokrotnie sądzą, że to rozwiązanie nie jest odpowiednim do pozbycia się swoich problemów. Jak wygląda to w praktyce?
    Krajowy Rejestr Zadłużonych - nowe przepisy weszły w życie
    Weszły w życie przepisy o Krajowym Rejestrze Zadłużonych. Jakie dane znajdą się w nowym systemie?
    Ochrona sygnalistów – przepisy, zakres. Kto i jak będzie chroniony?
    Ochrona sygnalistów. Firmy czekają nadal na wejście w życie ustawy o ochronie osób zgłaszających naruszenia prawa, która stanowić ma implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Przepisy chroniące sygnalistów, zgodnie z wymaganiami dyrektywy, powinny zostać implementowane do polskiego porządku prawnego najpóźniej 17 grudnia 2021 r.
    Rosnącej inflacji obawia się większość konsumentów [RAPORT]
    Z raportu Intrum ”European Consumer Payment Report 2021” wynika, iż 8 na 10 konsumentów w Polsce obawia się rosnącej inflacji.