RODO: Kto odpowie za naruszenie danych osobowych?

11 Października 2017, 10:34

Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych (RODO) oznacza wprowadzenie szeregu zmian. Dotyczą one nie tylko warunków wyrażenia zgody na przetwarzanie danych, czy profilowanie. Jedną z kluczowych różnic jest obowiązek zgłoszenia naruszenia danych osobowych przez wszystkich administratorów do organu nadzorczego.  W tym kontekście  kwestia odpowiedzialności ma charakter fundamentalny, a jej konsekwencją mogą być wysokie kary finansowe. 

Sankcje

W zależności od rodzaju naruszenia – trzeba się liczyć z karą finansową nałożoną przez organ nadzorujący tj. Urząd Ochrony Danych Osobowych (obecnie GIODO), odpowiedzialnością dyscyplinarną, odszkodowawczą, a nawet karną. Przewidziane również w RODO jest udzielenie upomnienia przez organ nadzorczy. Odpowiedzialności karnej podlegają konkretne osoby fizyczne, którym ta odpowiedzialność może zostać przypisana, według zasad przewidzianych w prawie karnym materialnym i procesowym. Odpowiedzialności odszkodowawczej mogą dochodzić osoby, których prawa zostały naruszone w wyniku przetwarzania ich danych osobowych. Może ona być dochodzona przed Sądem Cywilnym niezależnie od toczącego się postępowania przed organem nadzorczym. Osoba ta może sama dochodzić odszkodowania przed sądem bądź ma prawo zlecić to podmiotowi, organizacji lub zrzeszeniu - które nie mają charakteru zarobkowego, mają statutowo na celu interes publiczny i działają w dziedzinie ochrony danych osobowych. Może również zlecić im wniesienie skargi w swoim imieniu do organu nadzorczego. Organ nadzorujący w wyniku przeprowadzonej kontroli, wydaje protokół pokontrolny gdzie na podstawie ustalonych faktów może złożyć zawiadomienie o popełnieniu przestępstwa do odpowiednich organów, jak również może skierować sprawę do postępowania dyscyplinarnego.

Kto odpowiada?

W związku z charakterem wykonywanej pracy, opierającej się w znaczącym stopniu na przetwarzaniu i dostępie do danych osobowych - osobami najbardziej narażonymi na poniesienie odpowiedzialności karnej są m.in. administratorzy danych, podmiot przetwarzający dane, inspektorzy ochrony danych osobowych (administratorzy bezpieczeństwa informacji), pracownicy tj. np. pracownicy działów sprzedaży, czy też działów HR.

Wina i solidarna odpowiedzialność

Każdy administrator uczestniczący w przetwarzaniu, odpowiada za szkody spowodowane przetwarzaniem danych. Procesor odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, czy działał poza lub wbrew instrukcjom administratora. Oczywiście administrator lub procesor mogą zostać zwolnieni z odpowiedzialności w sytuacji, gdy dowiodą, że nie ponoszą winy za naruszenie ochrony danych. Niemniej jednak należy mieć na względzie, że RODO nakazuje rozszerzającą interpretację winy. Równocześnie jeśli w procesie przetwarzania uczestniczy więcej niż jeden administrator lub podmiot przetwarzający odpowiedzialność za szkodę może mieć charakter solidarny. Wówczas podmioty mogą mieć do siebie roszczenia regresowe, oznacza to prawo podmiotu, który zapłacił cała karę grzywny do dochodzenia od pozostałych podmiotów zawrotu jej adekwatnej części.

Który sąd?

W przypadku wszczęcia postępowania sądowego może mieć ono miejsce przed sądem właściwym na mocy prawa państwa członkowskiego, w którym administrator lub procesor posiadają jednostkę organizacyjną lub przed sądem właściwym na mocy prawa państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, o ile administrator lub procesor nie jest organem publicznym państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych.

Szkoda czyli…

W przepisach RODO nie znajdziemy definicji szkody. W kompetencji każdego z państw pozostaje zdefiniowanie własnej wykładni. To w konsekwencji może spowodować różnice w stosowaniu rozporządzenia, które w założeniu miało ujednolicać zasady ochrony danych osobowych osób fizycznych. Prace nad wdrożeniem RODO do polskiego systemu prawa trwają – warto je śledzić na bieżąco i korzystać z profesjonalnych szkoleń.

Wojtek Piekarski

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

3 komentarze

rodo-s nie chroni niczego a abuzuje klienta Środa, 14 Listopada 2018, 22:09
Z tym , że firmy uważają , że klient musi wyrazić zgodę na wszystko i wszędzie i że wtedy nie odpowiadają za nic . Podtykają zgody zawsze i wszędzie i na wszystko i jeszcze podpinają to czego nie było w formularzu pierwotnym . Jest zatem dla chronionego obywatela gorzej i nic nie jest chronione a zwłaszcza dane obywatela nie są absolutnie chronione ! RODO abuzuje klienta
Grzesiek80 Środa, 27 Grudnia 2017, 14:50
Warto dodać, jak wysokie to mogą być kary: w skrajnych przypadkach nawet milionów euro lub 4% rocznego obrotu firmy. Jak widać, nie warto się ociągać ze zmianami. Jak ktoś szuka jakiegoś poradnika o RODO, to polecam ten https://poznajrodo.pl/e-book/ Sporo wyjaśnień i pomocnych informacji
wymuszanie kwitów in blanco za podpisem ! Środa, 14 Listopada 2018, 22:10
kary dla klientów chyba w postaci zmuszania do podpisu w ciemno kwitów