Termin „odpowiedzialność” należy kojarzyć z konsekwencjami (skutkami) określonego działania lub zaniechania, natomiast osobną kwestią są zasady na jakich ustalenie tej odpowiedzialności będzie przebiegało, zasady te należy kojarzyć z przyczynami, ze względu na które przypisujemy odpowiedzialność. Wyróżnia się cztery podstawowe zasady odpowiedzialności:
- Uwagi ogólne
- Odpowiedzialność publicznoprawna
- Odpowiedzialność prywatnoprawna
Uwagi ogólne
Zasady odpowiedzialności
- zasadę winy,
- zasadę ryzyka,
- zasadę słuszności oraz
- zasadę gwarancyjno-repartycyjną (ubezpieczeniową).
Odpowiedzialność prywatnoprawna i publicznoprawna
Odpowiedzialność należy również ocenić z punku widzenia podmiotu bezpośrednio zainteresowanego w pociągnięciu do odpowiedzialności tego, który tę odpowiedzialność ponosi. I tak, jeśli działanie lub zaniechanie dotyczy relacji między równorzędnymi podmiotami prawa cywilnego i wypełnia hipotezy norm tego prawa, to odpowiedzialność powstała z tego tytułu jest odpowiedzialnością prywatnoprawną, chociaż w dochodzenie tej odpowiedzialności zaangażowane są podmioty publiczno-prawne (sąd, komornik). Jeśli natomiast działanie lub zaniechanie podmiotu podlega ocenie z punktu widzenia norm publicznoprawnych (prawo karne, administracyjne) to odpowiedzialność powstała z tego tytułu jest odpowiedzialnością publicznoprawą. Główna różnica polega na tym, że dochodzenie odpowiedzialności prywatnoprawnej musi być zainicjowane przez podmiot prawa prywatnego, natomiast odpowiedzialność karna i administracyjna zasadniczo inicjowana jest z urzędu przez organy powołane do urzeczywistnienia tej odpowiedzialności. Oczywiście odmienne są też cele odpowiedzialności (z jednej strony rekompensata, z drugiej prewencja) i co za tym idzie rodzaje sankcji.
Brak zasad ogólnych odpowiedzialności w prawie administracyjnym
W prawie prywatnym występują wszystkie cztery zasady odpowiedzialności, o których mowa wyżej, natomiast na gruncie prawa publicznego, w tym w szczególności karnego obowiązuje zasada winy, nie do pomyślenia jest bowiem, żeby podmiot ponosił odpowiedzialność karną bez osobistej zarzucalności jego zachowania. Prawo administracyjne nie zajmuje się zagadnieniem winy, należy więc korzystać z dorobku prawa cywilnego oraz karnego w tym względzie. W zależności od materii prawa administracyjnego (publicznego) ustawodawca posługuje się terminem „wina” w sensie bliższym prawu karnemu a innym razem w sensie bliższym prawu cywilnemu, które jest w mniejszym stopniu skłonne badać właściwości i warunki osobiste osoby odpowiedzialnej, czy też jej sytuację motywacyjną. Przykładowo w postępowaniach o przywrócenie terminu winę należy rozumieć w sensie prawa cywilnego. W prawie administracyjnym nie ma ogólnych zasad odpowiedzialności, tak jak nie ma części ogólnej prawa administracyjnego, dlatego należy badać oddzielnie każdą normę prawa administracyjnego materialnego, w celu ustalenia czy odpowiedzialność za niezastosowanie tej normy opiera się na zasadzie winy czy też nie, czy wina jest przesłanką sankcji administracyjnej.
Na gruncie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L Nr 119 z 2016 r., s.1, dalej: rodo) podmioty, które występują w roli administratora i procesora, mogą ponieść zarówno odpowiedzialność prywatnoprawną jak i publicznoprawną.
Odpowiedzialność publicznoprawna
Zasada winy, brak odpowiedzialności za czyn cudzy
Odpowiedzialność publicznoprawną (administracyjną) statuuje art. 83 rodo. Jest to odpowiedzialność, którą z urzędu realizuje organ nadzorczy, za naruszenie przez podmiot obowiązany określonych przepisów. Odpowiedzialność ta jest oparta na zasadzie winy, zgodnie z art. 83 ust. 2 rodo organ nadzorczy podejmuje decyzję czy wymierzyć administracyjną karę pieniężną, uwzględniając liczne okoliczności indywidualizujące konkretny stan faktyczny, również okoliczności dotyczące stosunku sprawcy naruszenia do czynu (umyślność albo jej brak), te same okoliczności mają być również brane pod uwagę przy ustalaniu wymiaru kary. Odpowiedzialność ta jest indywidualna, tzn. w ramach odpowiedzialności publicznoprawnej nie skonstruowano w rodo odpowiedzialności za czyn cudzy, tak jak to było w uodo, gdzie na podstawie art. 31 ust. 4 administrator odpowiadał za nieprzestrzeganie przepisów ustawy przez procesora, nota bene z przepisu tego nie wynikało, czy ta odpowiedzialność jest ograniczona tylko do odpowiedzialności wobec organu nadzorczego, za decydującą wskazówkę nie można było poczytywać faktu, że przepis ten znajdował się w ustawie zawierającej głównie regulację publicznoprawną, ponieważ ustawy jako kompleksowe akty prawne regulujące daną sferę stosunków społecznych, zwykle mają charakter mieszany, ani też okoliczności że chodziło o przestrzeganie przepisów tej ustawy, ponieważ uchybienie przepisom publicznoprawnym również rodzi odpowiedzialność prywatnoprawną (deliktową, art. 415 i n. k.c.).
Rozporządzenie kieruje swoje normy zarówno do administratora jak i do procesora i każdy z nich odpowiada za własne naruszenie tych norm, chyba że nie jest winny, bo np. w konkretnych okolicznościach nie można było od niego wymagać aby dał posłuch normie. Do administratora rodo kieruje normę, zgodnie z którą powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Za naruszenie tego przepisu rodo przewiduje w art. 83 ust. 4 niższą z samoistnych administracyjnych kar pieniężnych. Nie oznacza to jednak, że administrator odpowiada za naruszenia norm adresowanych do podmiotu przetwarzającego, które na ten podmiot nakładają obowiązek określonego działania lub zaniechania. Natomiast naruszenie takie może świadczyć o tym, że podmiot ten nie zapewniał wystarczających gwarancji, o których mowa w art. 28 rodo, a administrator dopuścił się niedbalstwa przy wyborze procesora. W takiej sytuacji ustalenie tych okoliczności wymaga dalszego badania.
Dyrektywy wymiaru kary
Zgodnie z art. 83 ust. 2 rodo:
2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Ustawodawca europejski w art. 83 ust. 2 rodo wymienia podobne wskaźniki służące do oceny stopnia winy przekładającego się na wymiar kary, jak polski ustawodawca w kodeksie cywilnym i karnym (art. 53, art. 115 par. 2 k.k.), przy czym katalog ten pozostawia otwartym. Widać wiec, że organ nadzorczy ma sporo okoliczności do rozważenia zanim zdecyduje się na postać i rozmiar sankcji.
Odpowiedzialność prywatnoprawna
Osobną kwestią jest odpowiedzialność prywatnoprawna podmiotów zaangażowanych w przetwarzanie danych osobowych. Te kwestie reguluje art. 82 rodo. Odpowiedzialność cywilną można podzielić na dwa jej rodzaje w zależności od tego, jakie zdarzenie prawne jest źródłem tej odpowiedzialności.
Odpowiedzialność deliktowa a kontraktowa
Jeśli dojdzie do pierwotnego naruszenia przepisów bezwzględnie wiążących należących do całego systemu prawa stanowionego (zarówno prywatne jak i publiczne), to mamy do czynienia z tzw. bezprawnością bezwzględną, która rodzi odpowiedzialność deliktową – art. 415 i n. k.c. Jeśli natomiast dojdzie do naruszenia zobowiązania już istniejącego między stronami (stosunku zobowiązaniowego wykreowanego przez jakiekolwiek zdarzenie prawne: umowa, delikt), to mamy do czynienia z tzw. bezprawnością względną, która rodzi odpowiedzialność kontraktową – art. 471 i n. k.c. (termin odpowiedzialność kontraktowa jest więc mylący, ponieważ przepisy art. 471 i n. mają zastosowanie do wykonania oraz niewykonania zobowiązania, które powstało nie tylko w wyniku kontraktu, ale również w wyniku naruszenie powszechnego obowiązku; przykładowo pobicie skutkujące powstaniem zobowiązania do naprawienia szkody, następnie dłużnik (napastnik) nie wykonuje zobowiązania albo wykonuje je nienależycie).
Ex delicto
W art. 82 rodo mowa jest o odpowiedzialności deliktowej, bowiem chodzi tam o szkodę materialną bądź niematerialną, która powstała z naruszenie przepisów rozporządzenia, a więc przepisów prawa stanowionego, w dodatku wobec osoby, której dane dotyczą, niezależnie od tego czy jednocześnie dochodzi do naruszenia zobowiązań umownych wobec tej osoby. Art. 82 ust. 3 przesądza (w polskiej wersji rodo) także o zasadzie odpowiedzialności wobec osoby, której dane dotyczą, jest to odpowiedzialność na zasadzie winy, przy czym odwrotnie niż jest to zasadniczo, tutaj istnieje domniemanie winy, a uwolnić od odpowiedzialności można się obalając wniosek domniemania.
Administrator
Art. 82 ust. 2 zd. 1 stanowi, że administrator uczestniczący w przetwarzaniu odpowiada za szkody wywołane przetwarzaniem naruszającym rodo. Przez zwrot „uczestniczący w przetwarzaniu” można rozumieć albo samo powierzenie przetwarzania danych, albo również działanie przez procesora, tzn. administrator, który wybrał procesora i powierzył mu dane ma status uczestniczącego w przetwarzaniu, przez cały okres powierzenia. Wydaje się, że „uczestnictwo” należy rozumieć w ten sposób, że stanowi ono wypełnianie obowiązków rodo, które kierowane są do administratora, natomiast nie obejmuje ono obowiązków obciążających wyłącznie procesora.
Procesor
Zdanie drugie tego przepisu stanowi, że procesor ponosi odpowiedzialność jeśli nie dopełnił obowiązków, które rodo nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Przy tym, jak już było powiedziane obydwa te podmioty odpowiadają wobec osoby, której dane dotyczą, na zasadzie winy (wersja angielska nie przesądza zasady odpowiedzialności) i mogą się od odpowiedzialności uwolnić, jeśli udowodnią, że winy nie można im przypisać.
Wina
Rodo nie określa na czym polega wina podmiotów uczestniczących w przetwarzaniu, nie jest to akt prawny, który dawał by podstawy do tworzenia nauki o winie. W takim razie należy sięgnąć do aktu prawnego, który stanowi regulację uzupełniającą, to jest do Kodeksu cywilnego. Częścią prawa cywilnego jest nauka o winie, chociaż w uboższym zakresie niż się tym zagadnieniem zajmuje nauka prawa karnego, stąd przyjdzie sięgnąć również do prawa karnego. Na gruncie odpowiedzialności kontraktowej zasadniczą postać winy dłużnika, zgodnie z art. 472 w zw. z art. 355 k.c., stanowi niezachowanie należytej staranności, czyli staranności ogólnie wymaganej w stosunkach danego rodzaju, przy czym w przypadku wykonywania działalności gospodarczej przy określaniu stopnia wymaganej staranności należy uwzględnić zawodowy charakter tej działalności.
Okoliczności uchylające odpowiedzialność administratora lub procesora
Art. 82 ust. 3 stanowi, że administrator lub procesor może uwolnić się od odpowiedzialności wynikającej z ust. 2 (za uczestnictwo w przetwarzaniu), jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. W sytuacji gdy zdarzeniem, które doprowadziło do powstania szkody jest wybór procesora (na tym też polega uczestnictwo administratora w przetwarzaniu zgodnie z ust. 2, zakładamy, że polecenie administratora jest zgodne z prawem ), który przetwarzając dane osobowe w imieniu administratora, naruszając przepisy doprowadził do powstania szkody, administrator może uwolnić się od tej odpowiedzialności wykazując, że nie ponosi winy w wyborze. Pojęcie winy w wyborze jest znane prawu cywilnemu, instytucja ta uregulowana jest w art. 429 k.c. Przepis ten stanowi:
Art. 429. Kto powierza wykonanie czynności drugiemu, ten jest odpowiedzialny za szkodę wyrządzoną przez sprawcę przy wykonywaniu powierzonej mu czynności, chyba że nie ponosi winy w wyborze albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności.
Można więc powiedzieć, że rodo częściowo jest zbieżne z uregulowaniem polskiego k.c., w art. 82 ust. 3 rodo właściwie chodzi o to, że administrator może się uwolnić od odpowiedzialności jeśli udowodni że nie ponosi winy w wyborze procesora. Na tym jednak podobieństwo się kończy, ponieważ art. 429 k.c. in fine, kiedy stanowi, że „albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności.”, wykracza znacznie poza uregulowanie rodo, wskazując na czym może polegać brak winy – wybór profesjonalisty. O ile na gruncie k.c. to uregulowanie jest w pełni zrozumiałe, dotyczy bowiem sytuacji kiedy zleceniodawca nie odpowiada za działalność zleceniobiorcy, ponieważ może racjonalnie przewidywać, że profesjonalista wykona zlecone zadanie prawidłowo, dlatego że jego doświadczenie usprawiedliwia takie przekonanie – wybierając profesjonalistę dokłada tym samym należytej staranności w wyborze – o tyle norma ta nie może znaleźć zastosowania do zagadnienia wyboru podmiotu gwarantującego przetwarzanie zgodne z rodo.
Profesjonalizm nie świadczy o zgodności z rodo
Bycie profesjonalistą świadczy o tym, że osoba profesjonalna sprawnie i bezbłędnie wykonana zadanie wchodzące w zakres swojej profesjonalnej działalności, ale nie świadczy o tym, że osoba ta jest zgodna z rodo. Z tego powodu przepisu art. 429 k.c. in fine nie można zastosować jako uzupełnienie dla hipotezy z art. 82 ust. 3 rodo (wybór profesjonalisty nie stanowi o braku winy w wyborze procesora). O braku winy w wyborze stanowi jedynie dowód, że w chwili wyboru i dokonania zlecenia wraz z powierzeniem danych do przetwarzania, administrator miał pewność, że procesor jest zgodny z rodo, np. dlatego że dokonał jego sprawdzenia (art. 28 ust. 1 rodo) albo dlatego, że zgodność danego podmiotu z rodo, stanowi wiedzę powszechnie znaną (fakty notoryczne), tzn. taką którą na gruncie postępowania organ procesowy bierze pod rozwagę z urzędu, ponieważ nie wymaga dowodzenia. Wydaje się, że przyjęcie zgodności z rodo może być tez wynikiem domniemania faktycznego, ale przesłanką takiego domniemanie nie może być sam fakt, że odbiorca danych jest przedsiębiorcą (przesłanką domniemania może być przedstawienie dokumentacji rodo przez potencjalnego procesora, fakt że potencjalny procesor jest dużą, znaną spółką z branży informatycznej/internetowej). Nie wiadomo czy wystarczy tu nawet odebranie oświadczeń i zapewnień od potencjalnego procesora, to może owszem mieć znaczenie dla wyniku procesu regresowego między tymi podmiotami, ale niekoniecznie dla odpowiedzialności wobec poszkodowanej osoby, której dane dotyczą.
Procesor powinien badać zgodność z prawem polecenia ado
Z kolei procesor odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Ze zdania tego wynika, że procesor nie odpowiada gdy działał w ramach instrukcji zgodnych z prawem. A z tego z kolei wynika, że jednak odpowiada, gdy działał w ramach instrukcji, ale niezgodnych z prawem. Oznacza to, że procesor powinien badać, czy polecenia administratora są zgodne z prawem.
Art. 430 i 474 k.c.
Dyskusyjne jest, czy do administratora mogą mieć zastosowanie ww. przepisy, w kontekście odpowiedzialności za czyn cudzy procesora. Art. 430 k.c. dotyczy wyrządzenia szkody każdemu (ex delicto), art. 474 k.c. wierzycielowi (ex contractu). Dla administratora osoba, której dane dotyczą jest wierzycielem jeśli podstawą przetwarzania jest art. 6 ust. 1 lit. b rodo. Jednak obydwa te przepisy kreują odpowiedzialność na zasadzie ryzyka, zaś art. 82 ust. 3 rodo ogranicza zasady odpowiedzialności do winy. Art. 430 k.c. nie miałby zastosowania też z tego powodu, że procesor nie jest podporządkowany organizacyjnie administratorowi, gdyby był działałby na upoważnieniu a nie na um powierzenia, chyba żeby podporządkowanie rozumieć bardzo szeroko. Z drugiej strony zasada winy w art. 82 rodo jest wyrażona w wersji polskiej rodo, nie zaś w wersji oryginalnej, także sprawa jest dyskusyjna. Wydaje się jednak, że w polskim tłumaczeniu jest błąd, bo jeśli faktycznie odpowiedzialność ado miałaby być ograniczona do zas winy, to by znaczyło że rodo obniża stopień ochrony osoby, której dane dotyczą, w stosunku do tego co wynika z k.c., gdzie przedsiębiorca odpowiada na zasadzie ryzyka za swojego pracownika i osoby, którymi się posługuje przy prowadzeniu działalności.
Art. 430. [Szkoda wyrządzona przez podwładnego] Kto na własny rachunek powierza wykonanie czynności osobie, która przy wykonywaniu tej czynności podlega jego kierownictwu i ma obowiązek stosować się do jego wskazówek, ten jest odpowiedzialny za szkodę wyrządzoną z winy tej osoby przy wykonywaniu powierzonej jej czynności.
Art. 474. [Odpowiedzialność na zasadzie ryzyka za działania i zaniechania osób trzecich] Dłużnik odpowiedzialny jest jak za własne działanie lub zaniechanie za działania i zaniechania osób, z których pomocą zobowiązanie wykonywa, jak również osób, którym wykonanie zobowiązania powierza. Przepis powyższy stosuje się także w wypadku, gdy zobowiązanie wykonywa przedstawiciel ustawowy dłużnika.
Skądinąd w wyr. z dnia 17 grudnia 2021 roku, sygn. akt III C 1169/19, czytamy:
W przypadku ochrony dóbr osobistych zasadą jest domniemanie bezprawności ich naruszenia. W związku z tym, to na stronie pozwanej ciążył obowiązek udowodnienia, że nie miało ono charakteru bezprawnego. W niniejszej sprawie pozwana nie przedstawiała ani argumentów, ani dowodów wykazujących brak jej bezprawności i należało uznać, że okoliczność ta była bezsporne. Natomiast w celu przypisania spółce odpowiedzialności odszkodowawczej konieczne było również ustalenie, że jej działanie miało charakter zawiniony. W odpowiedzi na pozew wskazywano, że winy nie można było pozwanej przypisać, bowiem do ujawnienia danych doszło w wyniku „ludzkiego błędu”. Nie sposób było zgodzić się z taką argumentacją. Wina w tym przypadku była oczywista. Spółka ponosi odpowiedzialność za błędy popełnione przez osoby, które świadczą dla niej prace lub usługi. Pracownica pozwanej podjęła błędne działania, które skutkowały przekazaniem danych osobowych wielu klientów osobie nieuprawnionej do ich pozyskania. Błąd ludzki w tym przypadku nie oznaczał umyślnego działania, natomiast niewątpliwie był wynikiem niedbalstwa lub lekkomyślności. Nie mogło budzić wątpliwości, że pozwanej należało przypisać zawinione działanie, z tym, że była to wina nieumyślna.
Jak widać sąd przypisał odpowiedzialność spółce (ado) za działanie pracownicy. Jednak nietrafnie opierając tę odpowiedzialność na winie. Odpowiedzialność przedsiębiorcy za pracownika opiera się na zas ryzyka, bo przedsiębiorca nie może zwolnić się, przez wykazanie że nie ponosi winy w wyborze pracownika czy nadzorze nad nim. Natomiast warunkiem odpowiedzialności na zas ryzyka przedsiębiorcy jest odpowiedzialność na zas winy pracownika. Art. 82 dotyczy ado a nie jego pracowników, stąd tym bardziej należy sądzić, że przepis jest błędnie przetłumaczony.
Solidarność
Jeśli obydwa podmioty na podstawie powyższego są odpowiedzialne, to ich odpowiedzialność ma charakter solidarny, co oznacza, że poszkodowany może skutecznie skierować całe roszczenie do każdego z tych podmiotów niezależnie od tego jak ostatecznie ukształtuje się ich odpowiedzialność i rozliczenia na skutek procesu regresowego.
Regres
Art. 82 ust. 5 reguluje kwestię regresu, odsyłając do ust. 2 tego przepisu, który określa okoliczności, za które odpowiedzialność ponoszą administrator oraz procesor. Kategoryczne brzmienie przepisu może wywołać wrażenie, że w takim razie podmioty uczestniczące w przetwarzaniu nic nie mogą zmienić w rozmiarze swojej odpowiedzialności.
Względnie a bezwzględnie wiążący
Należy jednak odpowiedzieć na pytanie czy art. 82 ust. 5 stanowi przepis względnie czy bezwzględnie wiążący. Na charakter przepisu niekiedy wprost wskazuje on sam, kiedy zawiera zwroty takie jak „o ile strony nie postanowią inaczej” czy też „zastrzeżenie przeciwne jest nieważne”. Jednak w większości przypadków określenie charakteru przepisu wymaga wykładni funkcjonalnej, w tym wypadku byłaby to odpowiedź na pytanie, czy treść przepisu zabezpiecza dobro wymagające bezwzględnej ochrony i w związku z tym usprawiedliwiona jest ingerencja w swobodę umów czyli w swobodę woli samej strony. Jeśli chodzi o swobodę woli strony co do określenia zasad jej odpowiedzialności, ustawodawca wypowiedział się w przepisie art. 473 k.c. statuując możliwość modyfikacji. Art. 473 k.c. znajduje się w części ogólnej prawa zobowiązań, co oznacza że przepis ten wchodzi w związek z każdym przepisem części szczególnej. Część ogólna zawiera zasady pryncypialne wyłączone przed nawias, jest to część wspólna dla danej kompleksowej regulacji i właściwie zakres jej zastosowania nie powinien kolidować z częścią szczególną, inaczej nie było by sensu wydzielać tych części. Mówiąc bardziej obrazowo, część ogólna jest po to, żeby przepisy w części szczególnej miały mniejszą objętość, żeby przepisu z części ogólnej nie wpisywać w kolejnym paragrafie przepisu części szczególnej, dzięki temu zabiegowi np. nie trzeba treści art. 5 k.c. wpisywać pod kolejną jednostką redakcyjną, przy każdym przepisie, który tworzy prawo podmiotowe. Stąd płynie wniosek, że zasady odpowiedzialności określone w przepisach szczególnych, mogą być zawsze modyfikowane w oparciu o przepis ogólny art. 473, chyba że w samym przepisie szczególnym byłoby zastrzeżenie wyłączające działanie art. 473 np. „postanowienie przeciwne jest nieważne”.
W art. 82 ust. 5 rodo nie ma takiego zastrzeżenia, a jest to przepis prawa prywatnego (reguluje stosunki między równorzędnymi podmiotami), szczególny wobec regulacji art. 473 k.c., czyli uzupełniony przez tę regulację, co oznacza że ma zastosowanie w brzmieniu nadanym mu przez rodo, o ile strony nie postanowią inaczej. Art. 473 k.c. z każdego przepisu określającego zasady odpowiedzialności czyni przepis dyspozytywny. Fakt, że rodo jest aktem prawnym stojącym wyżej w hierarchii źródeł prawa niż k.c., nie stoi temu na przeszkodzie ponieważ na funkcję części ogólnej i szczególnej danej gałęzi prawa nie ma wpływu pozycja w hierarchii źródeł prawa. Art. 82 ust. 5 rodo wchodzi w skład części szczególnej prawa zobowiązań, która tworzy całość wraz z częścią ogólną, znajdującą się w k.c. Ponieważ w tytule VI księgi III k.c. nie ma podobnego uregulowania, należy art. 473 k.c. stosować odpowiednio do reżimu deliktowego. Dodatkowo za możliwością modyfikacji odpowiedzialności deliktowej przemawia wnioskowanie a contrario z art. 437, który wyłącza możliwość modyfikacji odpowiedzialności, ale tylko z dwóch artykułów poprzedzających. Właściwie te same uwagi należałoby poczynić na gruncie art. 376 w zw. z 441 k.c., gdyby rodo nie zawierało regulacji nt. odpowiedzialności regresowej.
Dyspozytywny charakter odpowiedzialności regresowej
Powyższe oznacza, że strony mogą uregulować odpowiedzialność regresową stosownie do swojej woli, w granicach wyznaczonych przepisem art. 473 k.c., a treść art. 82 ust. 5 rodo znajdzie zastosowanie w braku samodzielnej regulacji.