Odpowiedzialność administratora danych oraz podmiotu przetwarzającego na podstawie rodo

Uwagi ogólne

Termin „odpowiedzialność” należy kojarzyć z konsekwencjami (skutkami) określonego działania lub zaniechania, natomiast osobną kwestią są zasady na jakich ustalenie tej odpowiedzialności będzie przebiegało, zasady te należy kojarzyć z przyczynami, ze względu na które przypisujemy odpowiedzialność. Wyróżnia się cztery podstawowe zasady odpowiedzialności: zasadę winy, zasadę ryzyka, zasadę słuszności oraz zasadę gwarancyjno-repartycyjną (ubezpieczeniową). Odpowiedzialność należy również ocenić z punku widzenia podmiotu bezpośrednio zainteresowanego w pociągnięciu do odpowiedzialności tego, który tę odpowiedzialność ponosi. I tak, jeśli działanie lub zaniechanie dotyczy relacji między równorzędnymi podmiotami prawa cywilnego i wypełnia hipotezy norm tego prawa, to odpowiedzialność powstała z tego tytułu jest odpowiedzialnością prywatnoprawną, chociaż w dochodzenie tej odpowiedzialności zaangażowane są podmioty publiczno-prawne (sąd, komornik). Jeśli natomiast działanie lub zaniechanie podmiotu podlega ocenie z punktu widzenia norm publicznoprawnych (prawo karne, administracyjne) to odpowiedzialność powstała z tego tytułu jest odpowiedzialnością publicznoprawą. Główna różnica polega na tym, że dochodzenie odpowiedzialności prywatnoprawnej musi być zainicjowane przez podmiot prawa prywatnego, natomiast odpowiedzialność karna i administracyjna zasadniczo inicjowana jest z urzędu przez organy powołane do urzeczywistnienia tej odpowiedzialności. Oczywiście odmienne są też cele odpowiedzialności (z jednej strony rekompensata, z drugiej prewencja) i co za tym idzie rodzaje sankcji.

W prawie prywatnym występują wszystkie cztery zasady odpowiedzialności, o których mowa wyżej, natomiast na gruncie prawa publicznego, w tym w szczególności karnego obowiązuje zasada winy, nie do pomyślenia jest bowiem, żeby podmiot ponosił odpowiedzialność karną bez osobistej zarzucalności jego zachowania. Prawo administracyjne nie zajmuje się zagadnieniem winy, należy więc korzystać z dorobku prawa cywilnego oraz karnego w tym względzie. W zależności od materii prawa administracyjnego (publicznego) ustawodawca posługuje się terminem „wina” w sensie bliższym prawu karnemu a innym razem w sensie bliższym prawu cywilnemu, które jest w mniejszym stopniu skłonne badać właściwości i warunki osobiste osoby odpowiedzialnej, czy też jej sytuację motywacyjną. Przykładowo w postępowaniach o przywrócenie terminu winę należy rozumieć w sensie prawa cywilnego. W prawie administracyjnym nie ma ogólnych zasad odpowiedzialności, tak jak nie ma części ogólnej prawa administracyjnego, dlatego należy badać oddzielnie każdą normę prawa administracyjnego materialnego, w celu ustalenia czy odpowiedzialność za niezastosowanie tej normy opiera się na zasadzie winy czy też nie, czy wina jest przesłanką sankcji administracyjnej.

Na gruncie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L Nr 119 z 2016 r., s.1, dalej: rodo) podmioty, które występują w roli administratora i procesora, mogą ponieść zarówno odpowiedzialność prywatnoprawną jak i publicznoprawną.

Odpowiedzialność publicznoprawna

Odpowiedzialność publicznoprawną (administracyjną) statuuje art. 83 rodo. Jest to odpowiedzialność, którą z urzędu realizuje organ nadzorczy, za naruszenie przez podmiot obowiązany określonych przepisów. Odpowiedzialność ta jest oparta na zasadzie winy, zgodnie z art. 83 ust. 2 rodo organ nadzorczy podejmuje decyzję czy wymierzyć administracyjną karę pieniężną, uwzględniając liczne okoliczności indywidualizujące konkretny stan faktyczny, również okoliczności dotyczące stosunku sprawcy naruszenia do czynu (umyślność albo jej brak), te same okoliczności mają być również brane pod uwagę przy ustalaniu wymiaru kary. Odpowiedzialność ta jest indywidualna, tzn. w ramach odpowiedzialności publicznoprawnej nie skonstruowano w rodo odpowiedzialności za czyn cudzy, tak jak to było w uodo, gdzie na podstawie art. 31 ust. 4 administrator odpowiadał za nieprzestrzeganie przepisów ustawy przez procesora, nota bene z przepisu tego nie wynikało, czy ta odpowiedzialność jest ograniczona tylko do odpowiedzialności wobec organu nadzorczego, za decydującą wskazówkę nie można było poczytywać faktu, że przepis ten znajdował się w ustawie zawierającej głównie regulację publicznoprawną, ponieważ ustawy jako kompleksowe akty prawne regulujące daną sferę stosunków społecznych, zwykle mają charakter mieszany, ani też okoliczności że chodziło o przestrzeganie przepisów tej ustawy, ponieważ uchybienie przepisom publicznoprawnym również rodzi odpowiedzialność prywatnoprawną (deliktową, art. 415 i n. k.c.). Rozporządzenie kieruje swoje normy zarówno do administratora jak i do procesora i każdy z nich odpowiada za własne naruszenie tych norm, chyba że nie jest winny, bo np. w konkretnych okolicznościach nie można było od niego wymagać aby dał posłuch normie. Do administratora rodo kieruje normę, zgodnie z którą powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Za naruszenie tego przepisu rodo przewiduje w art. 83 ust. 4 niższą z samoistnych administracyjnych kar pieniężnych. Nie oznacza to jednak, że administrator odpowiada za naruszenia norm adresowanych do podmiotu przetwarzającego, które na ten podmiot nakładają obowiązek określonego działania lub zaniechania. Natomiast naruszenie takie może świadczyć o tym, że podmiot ten nie zapewniał wystarczających gwarancji, o których mowa w art. 28 rodo, a administrator dopuścił się niedbalstwa przy wyborze procesora. W takiej sytuacji ustalenie tych okoliczności wymaga dalszego badania.

Zgodnie z art. 83 ust. 2 rodo:

2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a)           charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b)           umyślny lub nieumyślny charakter naruszenia;

c)            działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d)           stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e)            wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu          przetwarzającego;

f)            stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g)           kategorie danych osobowych, których dotyczyło naruszenie;

h)           sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i)             jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały    wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j)             stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k)            wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Ustawodawca europejski w art. 83 ust. 2 rodo wymienia podobne wskaźniki służące do oceny stopnia winy przekładającego się na wymiar kary, jak polski ustawodawca w kodeksie cywilnym i karnym, przy czym katalog ten pozostawia otwartym. Widać wiec, że organ nadzorczy ma sporo okoliczności do rozważenia zanim zdecyduje się na postać i rozmiar sankcji.

Odpowiedzialność prywatnoprawna

Osobną kwestią jest odpowiedzialność prywatnoprawna podmiotów zaangażowanych w przetwarzanie danych osobowych. Te kwestie reguluje art. 82 rodo. Odpowiedzialność cywilną można podzielić na dwa jej rodzaje w zależności od tego, jakie zdarzenie prawne jest źródłem tej odpowiedzialności. Jeśli dojdzie do pierwotnego naruszenie przepisów bezwzględnie wiążących należących do całego systemu prawa stanowionego (zarówno prywatne jak i publiczne), to mamy do czynienia z tzw. bezprawnością bezwzględną, która rodzi odpowiedzialność deliktową – art. 415 i n. k.c. Jeśli natomiast dojdzie do naruszenia zobowiązania już istniejącego między stronami (stosunku zobowiązaniowego wykreowanego przez jakiekolwiek zdarzenie prawne: umowa, delikt), to mamy do czynienia z tzw. bezprawnością względną, która rodzi odpowiedzialność kontraktową – art. 471 i n. k.c. (termin odpowiedzialność kontraktowa jest więc mylący, ponieważ przepisy art. 471 i n. mają zastosowanie do wykonania oraz niewykonania zobowiązania, które powstało nie tylko w wyniku kontraktu, ale również w wyniku naruszenie powszechnego obowiązku; przykładowo pobicie skutkujące powstaniem zobowiązania do naprawienia szkody, następnie dłużnik (napastnik) nie wykonuje zobowiązania albo wykonuje je nienależycie). W art. 82 rodo mowa jest o odpowiedzialności deliktowej, bowiem chodzi tam o szkodę materialną bądź niematerialną, która powstała z naruszenie przepisów rozporządzenia, a więc przepisów prawa stanowionego, w dodatku wobec osoby, której dane dotyczą, niezależnie od tego czy jednocześnie dochodzi do naruszenia zobowiązań umownych wobec tej osoby. Art. 82 ust. 3 przesądza także o zasadzie odpowiedzialności wobec osoby, której dane dotyczą, jest to odpowiedzialność na zasadzie winy, przy czym odwrotnie niż jest to zasadniczo, tutaj istnieje domniemanie winy, a uwolnić od odpowiedzialności można się obalając wniosek domniemania. Art. 82 ust. 2 zd. 1 stanowi, że administrator uczestniczący w przetwarzaniu odpowiada za szkody wywołane przetwarzaniem naruszającym rodo. Przez zwrot „uczestniczący w przetwarzaniu” należy rozumieć już samo powierzenie przetwarzania danych, tzn. administrator, który wybrał procesora i powierzył mu dane, zawsze ma status uczestniczącego w przetwarzaniu. Inną formą uczestnictwa w przetwarzaniu może być współadministrowanie, czyli współdecydowanie o celach i sposobach przetwarzania. Odmienne rozumienie zwrotu „uczestniczenia w przetwarzaniu”, w szczególności jako konieczność osobistego, fizycznego zaangażowania w proces, nie jest możliwe, gdyż jeśli zwrot ten odnieść do relacji administrator – procesor, to właśnie istota powierzenia polega na tym, że to administrator przetwarza dane osobowe przez przedstawiciela, czyli rękami procesora – stąd uczestnictwo w przetwarzaniu administratora i procesora polega na tym, że jeden uczestnik decyduje, a drugi wykonuje. Zdanie drugie tego przepisu stanowi, że procesor ponosi odpowiedzialność jeśli nie dopełnił obowiązków, które rodo nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Przy tym, jak już było powiedziane obydwa te podmioty odpowiadają wobec osoby, której dane dotyczą, na zasadzie winy i mogą się od odpowiedzialności uwolnić, jeśli udowodnią, że winy nie można im przypisać. Rodo nie określa na czym polega wina podmiotów uczestniczących w przetwarzaniu, nie jest to akt prawny, który dawał by podstawy do tworzenia nauki o winie. W takim razie należy sięgnąć do aktu prawnego, który stanowi regulację uzupełniającą, to jest do Kodeksu cywilnego. Częścią prawa cywilnego jest nauka o winie, chociaż w uboższym zakresie niż się tym zagadnieniem zajmuje nauka prawa karnego, stąd przyjdzie sięgnąć również do prawa karnego. Na gruncie odpowiedzialności kontraktowej zasadniczą postać winy dłużnika, zgodnie z art. 472 w zw. z art. 355 k.c., stanowi niezachowanie należytej staranności, czyli staranności ogólnie wymaganej w stosunkach danego rodzaju, przy czym w przypadku wykonywania działalności gospodarczej przy określaniu stopnia wymaganej staranności należy uwzględnić zawodowy charakter tej działalności.

Art. 82 ust. 3 stanowi, że administrator może uwolnić się od odpowiedzialności wynikającej z ust. 2 (za uczestnictwo w przetwarzaniu), jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. W sytuacji gdy zdarzeniem, które doprowadziło do powstania szkody jest wybór procesora (na tym też polega uczestnictwo administratora w przetwarzaniu zgodnie z ust. 2, zakładamy, że polecenie administratora jest zgodne z prawem ), który przetwarzając dane osobowe w imieniu administratora, naruszając przepisy doprowadził do powstania szkody, administrator może uwolnić się od tej odpowiedzialności wykazując, że nie ponosi winy w wyborze. Pojęcie winy w wyborze jest znane prawu cywilnemu, instytucja ta uregulowana jest w art. 429 k.c. Przepis ten stanowi:

Art. 429. Kto powierza wykonanie czynności drugiemu, ten jest odpowiedzialny za szkodę wyrządzoną przez sprawcę przy wykonywaniu powierzonej mu czynności, chyba że nie ponosi winy w wyborze albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności.

Można więc powiedzieć, że rodo częściowo jest zbieżne z uregulowaniem polskiego k.c., w art. 82 ust. 3 rodo właściwie chodzi o to, że administrator może się uwolnić od odpowiedzialności jeśli udowodni że nie ponosi winy w wyborze procesora. Na tym jednak podobieństwo się kończy, ponieważ art. 429 k.c. in fine, kiedy stanowi, że „albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności.”, wykracza znacznie poza uregulowanie rodo, wskazując na czym może polegać brak winy – wybór profesjonalisty. O ile na gruncie k.c. to uregulowanie jest w pełni zrozumiałe, dotyczy bowiem sytuacji kiedy zleceniodawca nie odpowiada za działalność zleceniobiorcy, ponieważ może racjonalnie przewidywać, że profesjonalista wykona zlecone zadanie prawidłowo, dlatego że jego doświadczenie usprawiedliwia takie przekonanie – wybierając profesjonalistę dokłada tym samym należytej staranności w wyborze – o tyle norma ta nie może znaleźć zastosowania do zagadnienia wyboru podmiotu gwarantującego przetwarzanie zgodne z rodo. Bycie profesjonalistą świadczy o tym, że osoba profesjonalna sprawnie i bezbłędnie wykonana zadanie wchodzące w zakres swojej profesjonalnej działalności, ale nie świadczy o tym, że osoba ta jest zgodna z rodo. Z tego powodu przepisu art. 429 k.c. in fine nie można zastosować jako uzupełnienie dla hipotezy z art. 82 ust. 3 rodo (wybór profesjonalisty nie stanowi o braku winy w wyborze procesora). O braku winy w wyborze stanowi jedynie dowód, że w chwili wyboru i dokonania zlecenia wraz z powierzeniem danych do przetwarzania, administrator miał pewność, że procesor jest zgodny z rodo, np. dlatego że dokonał jego sprawdzenia (art. 28 ust. 1 rodo) albo dlatego, że zgodność danego podmiotu z rodo, stanowi wiedzę powszechnie znaną (fakty notoryczne), tzn. taką którą na gruncie postępowania organ procesowy bierze pod rozwagę z urzędu, ponieważ nie wymaga dowodzenia. Wydaje się, że przyjęcie zgodności z rodo może być tez wynikiem domniemania faktycznego, ale przesłanką takiego domniemanie nie może być sam fakt, że odbiorca danych jest przedsiębiorcą (przesłanką domniemania może być przedstawienie dokumentacji rodo przez potencjalnego procesora, fakt że potencjalny procesor jest dużą, znaną spółką z branży informatycznej/internetowej). Nie wystarczy tu nawet odebranie oświadczeń i zapewnień od potencjalnego procesora, to może owszem mieć znaczenie dla wyniku procesu regresowego między tymi podmiotami, ale nie dla odpowiedzialności wobec poszkodowanej osoby, której dane dotyczą. Z kolei procesor odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Ze zdania tego wynika, że procesor nie odpowiada gdy działał w ramach instrukcji zgodnych z prawem. A z tego z kolei wynika, że jednak odpowiada, gdy działał w ramach instrukcji, ale niezgodnych z prawem. Oznacza to, że procesor powinien badać, czy polecenia administratora są zgodne z prawem.

Jeśli obydwa podmioty na podstawie powyższego są odpowiedzialne, to ich odpowiedzialność ma charakter solidarny, co oznacza, że poszkodowany może skutecznie skierować całe roszczenie do każdego z tych podmiotów niezależnie od tego jak ostatecznie ukształtuje się ich odpowiedzialność i rozliczenia na skutek procesu regresowego.

Art. 82 ust. 5 reguluje kwestię regresu, odsyłając do ust. 2 tego przepisu, który określa okoliczności, za które odpowiedzialność ponoszą administrator oraz procesor. Kategoryczne brzmienie przepisu może wywołać wrażenie, że w takim razie podmioty uczestniczące w przetwarzaniu nic nie mogą zmienić w rozmiarze swojej odpowiedzialności.

Należy jednak odpowiedzieć na pytanie czy art. 82 ust. 5 stanowi przepis względnie czy bezwzględnie wiążący. Na charakter przepisu niekiedy wprost wskazuje on sam, kiedy zawiera zwroty takie jak „o ile strony nie postanowią inaczej” czy też „zastrzeżenie przeciwne jest nieważne”. Jednak w większości przypadków określenie charakteru przepisu wymaga wykładni funkcjonalnej, w tym wypadku byłaby to odpowiedź na pytanie, czy treść przepisu zabezpiecza dobro wymagające bezwzględnej ochrony i w związku z tym usprawiedliwiona jest ingerencja w swobodę umów czyli w swobodę woli samej strony. Jeśli chodzi o swobodę woli strony co do określenia zasad jej odpowiedzialności, ustawodawca wypowiedział się w przepisie art. 473 k.c. statuując możliwość modyfikacji. Art. 473 k.c. znajduje się w części ogólnej prawa zobowiązań, co oznacza że przepis ten wchodzi w związek z każdym przepisem części szczególnej. Część ogólna zawiera zasady pryncypialne wyłączone przed nawias, jest to część wspólna dla danej kompleksowej regulacji i właściwie zakres jej zastosowania nie powinien kolidować z częścią szczególną, inaczej nie było by sensu wydzielać tych części. Mówiąc bardziej obrazowo, część ogólna jest po to, żeby przepisy w części szczególnej miały mniejszą objętość, żeby przepisu z części ogólnej nie wpisywać w kolejnym paragrafie przepisu części szczególnej, dzięki temu zabiegowi np. nie trzeba treści art. 5 k.c. wpisywać pod kolejną jednostką redakcyjną, przy każdym przepisie, który tworzy prawo podmiotowe. Stąd płynie wniosek, że zasady odpowiedzialności określone w przepisach szczególnych, mogą być zawsze modyfikowane w oparciu o przepis ogólny art. 473, chyba że w samym przepisie szczególnym byłoby zastrzeżenie wyłączające działanie art. 473 np. „postanowienie przeciwne jest nieważne”. W art. 82 ust. 5 rodo nie ma takiego zastrzeżenia, a jest to przepis prawa prywatnego (reguluje stosunki między równorzędnymi podmiotami), szczególny wobec regulacji art. 473 k.c., czyli uzupełniony przez tę regulację, co oznacza że ma zastosowanie w brzmieniu nadanym mu przez rodo, o ile strony nie postanowią inaczej. Art. 473 k.c. z każdego przepisu określającego zasady odpowiedzialności czyni przepis dyspozytywny. Fakt, że rodo jest aktem prawnym stojącym wyżej w hierarchii źródeł prawa niż k.c., nie stoi temu na przeszkodzie ponieważ na funkcję części ogólnej i szczególnej danej gałęzi prawa nie ma wpływu pozycja w hierarchii źródeł prawa. Art. 82 ust. 5 rodo wchodzi w skład części szczególnej prawa zobowiązań, która tworzy całość wraz z częścią ogólną, znajdującą się w k.c. Ponieważ w tytule VI księgi III k.c. nie ma podobnego uregulowania, należy art. 473 k.c. stosować odpowiednio do reżimu deliktowego. Dodatkowo za możliwością modyfikacji odpowiedzialności deliktowej przemawia wnioskowanie a contrario z art. 437, który wyłącza możliwość modyfikacji odpowiedzialności, ale tylko z dwóch artykułów poprzedzających. Właściwie te same uwagi należałoby poczynić na gruncie art. 376 w zw. z 441 k.c., gdyby rodo nie zawierało regulacji nt. odpowiedzialności regresowej. Powyższe oznacza, że strony mogą uregulować odpowiedzialność regresową stosownie do swojej woli, w granicach wyznaczonych przepisem art. 473 k.c., a treść art. 82 ust. 5 rodo znajdzie zastosowanie w braku samodzielnej regulacji.