Odpowiedzialność administratora danych osobowych

Data: 17-05-2023 r.

Administrator danych osobowych będzie odpowiadał za domniemaną winę, jeśli do danych osobowych miały dostęp osoby trzecie, a dostęp ten był niezgodny z prawem. Może to prowadzić do konieczności naprawienia przez niego szkody niemajątkowej. Może jednak zwolnić się z tej odpowiedzialności.

Jeśli osoby trzecie miały niezgodny z prawem dostęp do danych osobowych, administrator tych danych odpowiada za domniemaną winę. Jeśli powstała szkoda niemajątkowa - może być w związku z tym zobowiązany do jej naprawienia. Zwolnienie od tej odpowiedzialności jest możliwe, jeśli administrator udowodni, że w żaden sposób nie odpowiada za zdarzenie, które doprowadziło do powstania szkody.

Zobacz także: RODO w małych i średnich przedsiębiorstwach – poradnik EROD

Trzeba jednak pamiętać, że szkodą niemajątkową, która uprawnia do odszkodowania może być także obawa wykorzystania danych osobowych w przyszłości, jeśli wiąże się to z rzeczywistą i pewną szkodą emocjonalną, a nie jest jedynie pewną trudnością czy niedogodnością.

Zobacz także: Odszkodowanie za naruszenie przepisów RODO

Opiniowana przez rzecznika generalnego sprawa dotyczyła nieuprawnionego dostępu do systemu informatycznego bułgarskiej narodowej agencji przychodów skarbowych. Dane zawierające informacje podatkowe i ubezpieczeniowe miliona osób zostały opublikowane w internecie. Wiele z tych osób wniosło powództwo o odszkodowanie za szkodę, którą określili jako niepokój i obawy, że ich dane mogę zostać w przyszłości wykorzystane w nieodpowiedni sposób.

Zobacz także: Odpowiedzialność inspektora ochrony danych za szkodę - na jakich zasadach

Sprawa trafiła do sądu II instancji, który miał wątpliwości dotyczące stosowania przepisów rozporządzenia RODO, w odniesieniu do możliwości przyznania odszkodowania, jeśli dane osobowe administrowane przez agencję publiczną, zostały opublikowane w wyniku ataku hakerskiego.

Rzecznik nie miała wątpliwości, że to administrator ma obowiązek wdrożenia takich środków technicznych i organizacyjnych, by dane osobowe były przetwarzane zgodnie z przepisami rozporządzenia RODO. Przy czym musi uwzględnić wiele czynników, takich jak zakres przetwarzanych danych, stan wiedzy technicznej itp. Sąd krajowy będzie musiał zweryfikować, czy zastosowane środki techniczne były odpowiednie, odnosząc się do wszystkich czynników zawartych w rozporządzeniu.

Ważne: To na administratorze spoczywa ciężar udowodnienia, że rzeczywiście przyjął środki przewidziane w kodeksie postępowania, podczas gdy certyfikacja stanowi sama w sobie dowód zgodności z rozporządzeniem dokonanych operacji przetwarzania. Musi także udowodnić, że zastosowane przez niego środki były odpowiednie.

Zobacz także: Usuwanie danych osobowych z dokumentów – w praktyce

Źródło:

Komunikat prasowy nr 67/23 z 27 kwietnia 2023 r. dotyczący opinii rzecznika generalnego w sprawie C-34/21 opublikowany na oficjalnej stronie internetowej Trybunału Sprawiedliwości Unii Europejskiej - portal curia.europa.eu

Oprac. red.

Tagi: dane osobowe, ochrona danych osobowych, RODO, administrator danych osobowych, odszkodowanie