ODSZKODOWANIE ZA NIEZGODNE Z PRAWEM PRZETWARZANIE DANYCH OSOBOWYCH

PODSTAWA PRAWNA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: „RODO” lub „Rozporządzenie”) w art. 82 ust. 1 stanowi, iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

SZKODA MAJĄTKOWA I NIEMAJĄTKOWA

RODO przewiduje prawo do dochodzenia odszkodowania zarówno za szkodę majątkową, jak i niemajątkową. Pierwsze z wymienionych pojęć to inaczej mówiąc strata finansowa, którą poniesiono wskutek przetwarzania danych z naruszeniem RODO. Chodzić tu może o uszczerbek w majątku spowodowany np. wyciekiem danych o numerach kart kredytowych, czy sytuacje, w których bezprawnie i bez upoważnienia zawarto – w konsekwencji przetwarzania danych osobowych z naruszeniem RODO – umowę oraz zaciągnięto na rzecz poszkodowanego zobowiązania finansowe, które ten musiał uregulować.

Szkoda niemajątkowa obejmuje natomiast krzywdę, doznaną wskutek niezgodnego z prawem przetwarzania danych osobowych. W tym pojęciu mieszczą się wszelkie niedogodności, których przyczynami były uchybienia związane z przetwarzaniem danych osobowych. Obejmować mogą m.in. sytuacje, w których osoby trzecie weszły w posiadanie informacji dotyczących zdrowia czy innych danych wrażliwych i upubliczniły je, bądź udostępniony został adres zamieszkania czy numer telefonu, co skutkowało naruszeniami prywatności.

Wskazówek dotyczących tego, jak rozumieć szkodę na gruncie RODO, dostarcza preambuła do tego aktu prawnego. Przyjęto w niej, iż pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele Rozporządzenia. W preambule wskazano również, iż osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody.

PODMIOTY, KTÓRE MOGĄ PONIEŚĆ ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZĄ

Jak wprost wynika z treści art. 82 ust. 2 RODO, odpowiedzialność odszkodowawcza spoczywa na administratorze lub podmiocie przetwarzającym dane osobowe (definicje tych pojęć znajdują się w art. 4 Rozporządzenia). Przywołany przepis stanowi, że każdy administrator uczestniczący w przetwarzaniu danych odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO. Podmiot przetwarzający natomiast, odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Warto mieć na uwadze, że przetwarzanie dokonywane w sposób naruszający RODO obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy Rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące Rozporządzenie.

Jednakże, administrator lub podmiot przetwarzający nie poniosą odpowiedzialności wynikającej z art. 82 ust. 2 RODO, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3 Rozporządzenia).

JURYSDYKCJA, CZYLI GDZIE POZYWAĆ?

Jak stanowi art. 79 ust. 2 RODO, postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu – chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.

Autor:

Kamil Bełżek | Adwokat
Tel. + 48 22 840 57 57 | k.belzek@mikulski.com.pl
Kancelaria Radców Prawnych Mikulski & Partnerzy
Spółka Partnerska
ul. Jana III Sobieskiego 104/44 | 00-764 Warszawa

O tym jak domagać się od administratora danych spełnienia obowiązku informacyjnego piszemy pod adresem: link

Jeśli powyższy materiał okazał się przydatny i chcecie Państwo wesprzeć Fundację prosimy o kliknięcie w link lub poniższy baner:
Darowizna dla Fundacji Promocji Bezpieczeństwa

dotpay_logo_napisPL

Dzięki Państwa wsparciu możemy pozostać niezależni i skutecznie promować bezpieczeństwo.

Dziękujemy!