Podstawą odpowiedzialności odszkodowawczej jest art. 82 ust. 1 rozporządzenia 2016/679. Zgodnie z jego treścią każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
W art. 82 tego aktu prawnego mowa jest o odpowiedzialności deliktowej, gdyż odnosi się on do szkody materialnej bądź niematerialnej, która powstała wskutek naruszenia przepisów ww. rozporządzenia, a więc przepisów prawa stanowionego, względem osoby, której dane dotyczą. Prawodawca unijny wskazał jako przesłankę odpowiedzialności szkodę majątkową i niemajątkową. Podstawą dochodzenia owej odpowiedzialności jest uszczerbek w dobrach lub interesach prawnie chronionych, zarówno majątkowych (np. strata finansowa, którą osoba poniosła wskutek niezgodnego z prawem przetwarzania danych), jak i niemajątkowych (np. krzywda, jakiej osoba doznała wskutek bezprawnego ujawnienia danych o stanie jej zdrowia; naruszenie sfery prywatności, dobrego imienia).
Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa TSUE – w sposób w pełni odzwierciedlający cele rozporządzenia 2016/679. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii Europejskiej lub prawa państwa członkowskiego. Przetwarzanie dokonywane w sposób naruszający rozporządzenie 2016/679 obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie.
Osoba, której dane osobowe są przetwarzane niezgodnie z prawem, może żądać również ochrony prawnej w związku z naruszeniem jej dóbr osobistych (art. 23 i 24 k.c.). W takim przypadku może dochodzić swoich praw na drodze postępowania sądowego.
TSUE w orzeczeniu z dnia 14 grudnia 2023 r. (wyrok w sprawie C-340/21 VB v. Natsionalna agentsia za prihodite, ECLI:EU:C:2023:986. odpowiedział na pytanie prejudycjalne dotyczące interpretacji przepisów rozporządzenia 2016/679), w tym art. 82 ust. 1, i przedstawił pogląd, że obawa przed ewentualnym wykorzystaniem danych osobowych przez osoby trzecie w sposób stanowiący nadużycie, jaką żywi osoba, której owe dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić szkodę niemajątkową w rozumieniu tego przepisu. TSUE uznał, że już same obawy wynikające z wycieku danych umożliwiają dochodzenie odszkodowania. Zaznaczył jednocześnie, że jeżeli osoba domagająca się odszkodowania powołuje się na tej podstawie na obawę, że w przyszłości dojdzie do wykorzystania w sposób stanowiący nadużycie jej danych osobowych ze względu na istnienie takiego naruszenia, sąd krajowy rozpatrujący sprawę powinien zbadać, czy obawę tę należy uznać za uzasadnioną w rozpatrywanych szczególnych okolicznościach i w odniesieniu do osoby, której dane dotyczą.
Na podstawie art. 82 ust. 3 rozporządzenia 2016/679 administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Odpowiedzialność odszkodowawcza została oparta na zasadzie winy. Pojęcie winy obejmuje zarówno winę umyślną (zamiar bezpośredni lub zamiar ewentualny), jak i winę nieumyślną (lekkomyślność lub niedbalstwo). Art. 82 ust. 3 przesądza o domniemaniu winy. Administrator i podmiot przetwarzający mogą się uwolnić od odpowiedzialności, jeśli udowodnią, że nie ponoszą winy.
Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody. Jeżeli administratorzy lub podmioty przetwarzające uczestniczą w tym samym przetwarzaniu, każdy administrator lub podmiot przetwarzający powinien odpowiadać prawnie za całość szkody. Jeżeli jednak zostaną włączeni do jednego postępowania sądowego zgodnie z prawem państwa członkowskiego, odszkodowaniem można obarczyć każdego z administratorów i każdy z podmiotów przetwarzających stosownie do ich winy za szkodę wynikłą z przetwarzania, o ile osobie, której dane dotyczą, zapewnione zostanie pełne i skuteczne odszkodowanie za poniesioną szkodę. Każdy administrator lub podmiot przetwarzający, który wypłacił pełne odszkodowanie, może następnie dochodzić roszczeń regresowych wobec innych administratorów lub podmiotów przetwarzających, uczestniczących w tym samym przetwarzaniu.
Nieco inaczej ze względu na zakres i podstawy przetwarzania danych osobowych odpowiada tzw. inny podmiot przetwarzający. Zgodnie z treścią art. 28 ust. 4 rozporządzenia 2016/679, jeżeli na potrzeby wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu UE lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
Art. 82 ust. 4 rozporządzenia 2016/679 stanowi, że jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator, jak i podmiot przetwarzający i odpowiadają oni za szkodę spowodowaną przetwarzaniem, ponoszą odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania. Ponadto na podstawie art. 82 ust. 5 przywołanego rozporządzenia administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.
Maciej Sobiech
dyrektor Oddziału Wielkopolskiego
doradca podatkowy nr 09809
radca prawny nr wpisu 1845