Odpowiedzialność za naruszenia ochrony danych w przepisach unijnych

Autor: Wioleta Szczygielska
Data: 18-05-2015 r.

Trwają intensywne prace nad europejską reformą ochrony danych osobowych. Na początku maja odbyła się dyskusja polskich przedstawicieli na temat sposobu uregulowania odpowiedzialności cywilnej z tytułu naruszeń przepisów dotyczących ochrony danych osobowych w nowym rozporządzeniu unijnym.

Podstawą dyskusji był dokument Prezydencji przedstawiający dwa różne podejścia – domyślnej pełnej odpowiedzialności administratora oraz odpowiedzialności ograniczonej do tego administratora bądź podmiotu przetwarzającego, który faktycznie dokonał naruszenia, którego rezultatem jest szkoda (model liability follows fault).

Zdaniem Ministerstwa Administracji i Cyfryzacji unijne rozporządzenie powinno zakładać domyślną, pełną odpowiedzialność administratora danych osobowych. Resort twierdzi, że trzeba wskazać szczegółowe przypadki, w których odpowiedzialność poniesie podmiot, któremu powierzono przetwarzanie danych. Zgodnie z tą propozycją ADO będzie mógł wystąpienia z roszczeniem regresowym wobec podmiotu, któremu powierzył przetwarzanie danych osobowych. Odpowiedzialność administratora danych ma się opierać na zasadzie ryzyka, a podmiotu, któremu powierzono przetwarzanie – na zasadzie winy.

W Radzie omawiana jest natomiast propozycja modelu promowana przez Komisję Europejską. Polega ona na odpowiedzialności solidarnej. Zgodnie z nią podmiot danych może zwrócić się dowolnie do ADO bądź podmiotu przetwarzającego, który powinien podmiotowi danych wypłacić odszkodowanie, nawet jeśli w rzeczywistości nie ponosi on żadnej odpowiedzialności za naruszenie.

Przedstawiciele Konfederacji Lewiatan wskazali, że na gruncie standardowych klauzul umownych istnieje już mechanizm odpowiedzialności subsydiarnej, który zakłada, że w przypadku niemożności wyegzekwowania odszkodowania od administratora danych, można dochodzić odpowiedzialności od podmiotu, któremu powierzono takie przetwarzanie. Taki mechanizm odpowiedzialności subsydiarnej mógłby być alternatywą dla odpowiedzialności solidarnej administratora oraz podmiotu, któremu powierzono przetwarzanie.

Krzysztof Politowski przedstawiciel Naczelnej Dyrekcji Archiwów Państwowych zwrócił uwagę, że z perspektywy podmiotu danych istotna jest świadomość, kto odpowiada za przetwarzanie danych osobowych. Podmioty danych co do zasady wiedzą, kto jest administratorem ich danych osobowych. Nie zawsze muszą jednak wiedzieć, kto konkretnie dokonał naruszenia lub kto w ogóle jest procesorem. Przedstawił również pomysł wprowadzenia zakazu ograniczania odpowiedzialności procesora w umowie cywilnoprawnej. Przedstawiciele Polskiej Izby Ubezpieczeń zaznaczyli z kolei, że analogiczne przepisy są znane w prawie bankowym i są krytykowane ze względu na niską skuteczność stosowania – można je w prosty sposób obejść.

Piotr Drobek z GIODO stwierdził, że w praktyce sprawy dotyczące szkody powstałej w wyniku naruszenia przepisów o ochronie danych osobowych są w Polsce bardzo rzadkie. Z perspektywy organu nadzoru najbardziej istotna jest natomiast realna możliwość dochodzenia roszczeń przez podmiot danych. W tym kontekście odpowiedzialność solidarna jest rozwiązaniem najbardziej korzystnym dla podmiotu danych. Jednocześnie wskazał na potencjalne problemy praktyczne z występowaniem z roszczeniem wobec podmiotu przetwarzającego dane, np. w przypadku przetwarzania danych w chmurze obliczeniowej.

Uczestnicy zwrócili uwagę na trudność w wykazaniu szkody wynikłej z naruszenia przepisów o ochronie danych osobowych, co sprawia, że takich postępowań nie będzie wiele.

Patrycja Sass-Staniszewska z Izby Gospodarki Elektronicznej wskazała na kwestię użyteczności odpowiedzialności dla podmiotu, który powierza przetwarzanie. Stwierdziła, że nie można w pełni domniemywać o odpowiedzialności administratora danych osobowych i trzeba dopuścić odpowiedzialność procesorów.

Dyskutowano również o art. 76 projektu rozporządzenia. Dotyczy on m.in. możliwości wniesienia do organu nadzoru, w przypadku podejrzenia naruszenia ochrony danych osobowych, skargi przez organizację lub zrzeszenie, niezależnie od upoważnienia bądź wiedzy podmiotu danych. Istotnym pytaniem w tym kontekście jest, czy w takim wypadku organizacja, która wniosła do organu nadzoru skargę stanowi stronę postępowania. Krzysztof Politowski z Naczelnej Dyrekcji Archiwów Państwowych stwierdził też, że wystąpienie ze skargą do organu nadzoru bez wiedzy podmiotu danych może stanowić naruszenie przepisów o ochronie danych osobowych. Z kolei przedstawiciel Generalnego Inspektora wskazał, że w sprawach o charakterze generalnym, wszczynanych przez GIODO z urzędu, które dotyczą danych osobowych wielu podmiotów, podmioty te nie mają statusu strony postępowania.

Wioletta Szczygielska

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 37170 )
Array ( [docId] => 37170 )