Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

RODO: odpowiedzialność prawna za naruszenie zasad bezpieczeństwa danych osobowych

Dane osobowe 11.10.2017

Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane również ogólnym rozporządzeniem o ochronie danych (RODO), nakłada na podmioty przetwarzające dane osobowe wiele obowiązków, które mają służyć zapewnieniu bezpieczeństwa danych osób fizycznych, które są przetwarzane. Naruszenie przepisów RODO może prowadzić do odpowiedzialności administracyjnoprawnej - egzekwowanej przez właściwe organy nadzoru, a także cywilnoprawnej - dochodzonej w postępowaniu sądowym przez osobę, której dane dotyczą.

Obowiązki

Administrator danych osobowych oraz podmiot przetwarzający dane zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie odbywało się zgodnie z warunkami Rozporządzenia. Zastosowane środki powinny uwzględniać przede wszystkim charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Musi przy tym móc wykazać, że wywiązuje się z obowiązków zapewnienia bezpieczeństwa danych. Może to uczynić m.in. poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji. Co więcej, administrator oraz podmiot, przetwarzający musi zapewnić, by każda osoba, która z ich poważnienie ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Prawo do wniesienia skargi do organu nadzorczego

Zgodnie z Rozporządzeniem, bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej, w przypadku naruszenia ochrony danych osobowych, osoba której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego. Skargę może wnieść w Państwie Członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia.

W tym miejscu warto wyjaśnić, że zgodnie z definicją obowiązującą na gruncie RODO, naruszenie ochrony danych osobowych oznacza takie naruszenie zasad bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

Administracyjne kary pieniężne

Organ nadzorczy, w przypadku stwierdzenia naruszenia, może nałożyć administracyjną karę pieniężną. W zależności od okoliczności indywidualnego przypadku, może nałożyć karę obok lub zamiast środków naprawczych takich jak np. ostrzeżenie, upomnienie, nakazanie sprostowania lub usunięcia danych osobowych czy wprowadzenie zakazu przetwarzania.

Wysokość kar pieniężnych

Rozporządzenie wyróżnia dwa przedziały kar pieniężnych:

  • do 10 mln euro, a w przypadku przedsiębiorcy – alternatywnie do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa;
  • do 20 mln euro, a w przypadku przedsiębiorcy – alternatywnie do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa.

Organy nadzorcze w państwach członkowskich mają za zadanie zapewnić, by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, organ nadzorczy musi wziąć pod uwagę:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych;
  • wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  • zastosowanie się do wcześniej nałożonych środków naprawczych przez administratora lub podmiotu przetwarzającego, których sprawa dotyczy;
  • stosowanie zatwierdzonych na mocy Rozporządzenia kodeksów postępowania lub mechanizmów certyfikacji;
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Zbieg przepisów

W przypadku naruszenia w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.

Odpowiedzialność cywilnoprawna

Jeżeli w wyniku naruszenia, osoba której dotyczą przetwarzane dane osobowe poniosła szkodę majątkową lub niemajątkową, ma prawo dochodzić odszkodowania od administratora lub podmiotu przetwarzającego na drodze cywilnoprawnej. Wszczęcie postępowania sądowego przeciwko administratorowi lub podmiotowi przetwarzającemu dane będzie możliwe niezależnie od skarg złożonych do organu nadzoru.

Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym bezpieczeństwo ochrony danych. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na niego lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Uwolnienie się od odpowiedzialności

Wyżej wskazane podmioty mogą uwolnić się od odpowiedzialności, jeżeli wykażą że nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Odpowiedzialność solidarna

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden podmiot, ich odpowiedzialność ma charakter solidarny, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania. Oznacza to, że administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Właściwość sądu

Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa Państwa członkowskiego.

Inne sankcje

Państwa członkowskie mogą przyjąć przepisy określających inne sankcje za naruszenia Rozporządzenia np. karnoprawne, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym oraz muszą podjąć wszelkie środki niezbędne do ich wykonania. Sankcje te powinny być skuteczne, proporcjonalne i odstraszające. Do dnia 25 maja 2018 r., czyli daty od kiedy Rozporządzenie zacznie być stosowane, każde Państwo członkowskie musi zawiadomić Komisję o przyjętych przepisach w powyższym zakresie.