RODO: odpowiedzialność cywilnoprawna i administracyjna
Odpowiedzialność administracyjna
Wśród doniesień medialnych na temat RODO najczęściej komentowaną sankcją, jaką przewiduje unijne rozporządzenie, są administracyjne kary pieniężne. Dzieje się tak nie bez powodu. Zgodnie z art. 83 RODO kary te mogą sięgać, w zależności od rodzaju zawinienia, 10 mln EUR lub 20 mln EUR. W praktyce najczęściej w grę będzie wchodziła wyższa stawka kary obejmująca do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub kara do kwoty 20 mln EUR. Wynika to z faktu, iż wyższa kara przewidziana jest m.in. za naruszenie podstawowych zasad przetwarzania danych osobowych czy naruszenie podstawowych obowiązków względem osób, których dane dotyczą, takich jak obowiązek informacyjny czy obowiązek korelujący z prawem do bycia zapomnianym.
Szersze niż dotychczas będą także uprawnienia organu nadzorczego. Organ nadzorczy będzie mógł m.in. nakazać administratorowi spełnienie żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO, będzie mógł także wprowadzić czasowe lub całkowite ograniczenie przetwarzania danych, w tym w postaci zakazu przetwarzania danych, czy też nakazać administratorowi zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych. Podkreślić należy, iż wszelkie nakazy i zakazy kierowane w drodze decyzji przez organy nadzorcze mogą być stosowane nie tylko zamiast administracyjnych kar pieniężnych, ale także obok nich.
Odpowiedzialność cywilnoprawna
Novum wprowadzonym przez RODO jest stworzenie podstawy do roszczeń odszkodowawczych dla osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia RODO. Roszczenia te mogą być kierowane do administratora danych osobowych.
Zgodnie z art. 82 ust. 2 RODO „każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym (…) rozporządzenie”. Przesłanki ekskulpacji zostały określone bardzo restrykcyjnie. Otóż administrator zostanie zwolniony z odpowiedzialności odszkodowawczej, jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Co to oznacza? Po pierwsze zasadniczy ciężar dowodu spoczywa tu na administratorze danych – to on ma udowodnić, iż nie ponosi winy za powstanie szkody. Po drugie ma wykazać, iż w żaden sposób nie ponosi winy, czyli nie ma nic, co mogłoby chociaż częściowo wskazywać na uchybienia administratora w zakresie realizacji obowiązków wynikających z RODO.
Administrator jest zatem w dość niekorzystnej sytuacji prawnej. Zwłaszcza że zgodnie z preambułą do unijnego rozporządzenia pojęcie szkody należy traktować szeroko, w sposób w pełni odzwierciedlający cele RODO. A jeżeli w danej sytuacji jest kilku administratorów danych i w związku z przetwarzaniem przez nich danych dojdzie do wyrządzenia szkody innej osobie, ponoszą oni solidarną odpowiedzialność za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
Warto podkreślić, iż art. 82 RODO nie wyłącza innych podstaw prawnych do dochodzenia roszczeń z tytułu naruszenia ochrony danych osobowych. Taką podstawą pozostaje w określonych sytuacjach np. roszczenie o ochronę dóbr osobistych. Analizowana norma prawna ustanowiona w RODO stanowi zatem nowe narzędzie mające ułatwiać dochodzenie roszczeń odszkodowawczych.
W projekcie nowej ustawy o ochronie danych osobowych znalazły się również przepisy dotyczące odpowiedzialności cywilnej – otóż każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać zaniechania tego działania, a także może żądać, aby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.
W świetle projektu nowej ustawy o ochronie danych osobowych w sprawach roszczeń cywilnoprawnych osób, których dane dotyczą, orzekały będą w pierwszej instancji sądy okręgowe.
Podsumowanie
Cywilnoprawna odpowiedzialność odszkodowawcza jest niezależna od sankcji administracyjnych lub karnych za naruszenie przepisów o ochronie danych osobowych. W skrajnych przypadkach w razie naruszenia przepisów RODO przedsiębiorca może się spodziewać nie tylko decyzji administracyjnej organu nadzorczego domagającej się określonego zachowania oraz wymierzenia administracyjnej kary pieniężnej, ale także pozwu ze strony osoby, która poniosła szkodę wskutek naruszenia ochrony jej danych osobowych. Najpewniej w polskiej ustawie o ochronie danych osobowych znajdzie się także sankcja karna z tytułu nielegalnego przetwarzania danych osobowych wrażliwych.