Odpowiedzialność IOD

Wyobraźmy sobie, że spółka publiczna zatrudnia IOD w formie niepracowniczej (na um. o świadczenie usług). IOD wypełnia zadania określone w art. 39 rodo z takim efektem, że w wyniku kontroli organ nadzorczy nakłada na administratora 3 mln zł administracyjnej kary pieniężnej. IOD miał zapewniony odpowiedni status zgodnie z art. 38 rodo, i wypełniał zadania według swojej najlepszej wiedzy, jednak w ocenie organu nadzorczego doszło do poważnej niezgodności przetwarzania danych z rodo, zarówno w sferze dokumentacyjnej, organizacyjnej jak i cyberbezpieczeństwa, co groziło naruszeniem ochrony danych (incydentem), a przy tym sytuacja finansowa administratora, notowanego na giełdzie, uzasadnia wysoką karę pieniężną, ponieważ niższej nawet by nie zauważył, więc nie odegrałaby funkcji dyscyplinującej. Decyzja została utrzymana w sądzie administracyjnym, również w NSA. Majątek osobisty IOD wynosi ok 200 tyś zł, u administratora zarobił w ciągu kilku miesięcy 20 tyś zł. Dodatkowo kilka osób, których dane dotyczą, wezwało administratora do zapłaty po kilka tyś zł, z powodu krzywdy doznanej w związku z przetwarzaniem danych (argumentowały, że informacje medialne, jakoby u administratora który przetwarza ich dane stwierdzono niezgodność z rodo, wywołały ich silny niepokój, dyskomfort psychiczny groził rozstrojem zdrowia, również fizycznego). Te kwoty administrator niezwłocznie uregulował, nawet nie zastanawiając się specjalnie, czy można by się obronić przed roszczeniem. Równocześnie osoby te wezwały do zapłaty również IOD, podnosząc że wobec nich odpowiada z deliktu, bo jakkolwiek nie łączył ich uprzedni stosunek zobowiązaniowy, to naruszył przepisy prawa powszechnego i w wyniku tego naruszenia powstała szkoda niematerialna (krzywda). Tym osobom IOD odpisał, że nie płaci, bo uważa że dobrze doradzał administratorowi odnośnie danych (nie naruszył rodo, ani innych powszechnie obowiązujących przepisów). W umowie o świadczenie usług administrator i IOD napisali, że jeśli w wyniku postępowania administracyjnego dotyczącego ochrony danych na administratora zostanie nałożona kara pieniężna, to IOD zwróci równowartość tej kary, jeśli ado stosował się do jego zaleceń. IOD nie był zachwycony tym postanowieniem umownym, ale bardzo zależało mu na pracy, więc podpisał przygotowany dokument, przy wykorzystaniu podpisu zaufanego (ePUAP). Teraz administrator, kierowany odruchem serca (bo w umowie ma zagwarantowaną całość), żąda od IOD tylko połowy równowartości uiszczonej kary pieniężnej (1,5 mln zł).

Podobny (no miejmy nadzieję, że nie aż taki:) do opisanego wyżej stan faktyczny, może mieć miejsce w rzeczywistości. Powstaje więc pytanie za co i wobec kogo, a także do jakiej wysokości może odpowiadać IOD. Poniżej moja propozycja rozwiązania tego problemu.

Rodo nie nakłada na IOD odpowiedzialności za wypełnianie zadań o których mowa w art. 39 rodo, ani administracyjnej (art. 83 rodo) ani cywilnej (art. 82 rodo), ponieważ tymi obarczony jest wyłącznie administrator i podmiot przetwarzający. Z kolei aby ponieść odpowiedzialność karną (art. 107 uodo), musiałby najpierw uzyskać status administratora/procesora (zacząć zachowywać się jak administrator wobec danych do których ma dostęp w związku z pełnioną funkcją), bowiem w przeciwnym wypadku uodo, w której uregulowano odpowiedzialność karną, nie miałaby do niego zastosowania (motyw 18 rodo w zw. z art. 1 uodo).

Natomiast rozważenia wymaga odpowiedzialność IOD na podstawie prawa cywilnego, wykraczającego poza rodo.

Odpowiedzialność za wyrządzoną szkodę warunkuje wykazanie przez powoda: zdarzenia powodującego szkodę, wysokości szkody, przesłanek zależnych od obowiązującej zasady odpowiedzialności (winy, ryzyka, gwarancyjnej, słuszności) i adekwatnego związku przyczynowego.

Co do szkody w postaci obowiązku uiszczenia kary administracyjnej przez administratora

Wysokość szkody (pomijając kwestie utraconych korzyści) nie budzi wątpliwości, jest określona precyzyjnie w decyzji i utrzymujących ją wyrokach – o kwotę uiszczonej kary, zmniejszyły się aktywa administratora, wbrew jego woli. Odpowiedzialność kontraktowa, co do zasady opiera się na winie (art. 472 k.c. w zw. z art. 355 k.c.), strony w umowie mogą zaostrzyć albo złagodzić zasady i rozmiar odpowiedzialności (art. 473 k.c., art. 361 k.c.). Dłużnik (tu IOD zobowiązany do świadczenia niepieniężnego) odpowiada za staranne działanie, nie zaś za efekt w postaci rozstrzygnięcia organu nadzorczego czy sądu, czyli m.in. za to jakie poglądy prawne staną się podstawą decyzji administracyjnej nakładającej na administratora karę pieniężną – na efekt ten składa się zbyt wiele okoliczności niezależnych od IOD. Między działalnością IOD a wysokością szkody administratora nie ma ponadto adekwatnego związku przyczynowego. Badanie adekwatnego związku przyczynowego, który należy odróżnić od związku przyczynowego (o którym świadczy już to, że zdarzenie następcze nie nastąpiłoby bez zdarzenia uprzedniego), przebiega dwuetapowo, a ilustruje go podręcznikowy przykład następującego stanu faktycznego: krawiec pozostając w zwłoce nie oddaje na czas ubrania klientowi, przez to klient nie wsiada w pociąg, na który miał już kupiony bilet. Kolejny pociąg, w który wsiadł, uległ wypadkowi, a klient doznał uszczerbku na zdrowiu. Między zdarzeniami istnieje związek przyczynowy, ponieważ gdyby krawiec się nie spóźnił z robotą, klient wsiadłby w pociąg o którym wiadomo, że dojechał bez szwanku (test warunku koniecznego). Jednak nie jest to związek adekwatny, bo wypadek pociągu nie jest normalnym następstwem zwłoki krawca. W pierwszym etapie należy ustalić czy istnieje związek przyczynowy, ale decydujący jest drugi etap, w którym na podstawie doświadczenia życiowego i ew. wiadomości specjalnych, dochodzi do odsiania skutków, które nie pozostają w adekwatnym związku z przyczyną (są zbyt odległe mówiąc obrazowo). W przykładzie tym, pojawiła się dodatkowa przyczyna, w postaci błędu motorniczego, czy awarii sprzętu, która pozostaje w adekwatnym związku ze skutkiem w postaci szkody, a jednocześnie przerywa normalną kolej rzeczy zapoczątkowaną zwłoką krawca (pierwotną przyczyną). Powyższy przykład jako że podręcznikowy, jest dość czytelny – w praktyce mogą się pojawiać dużo trudniejsze do oceny sytuacje.

W przypadku IOD, taką dodatkową przyczyną, która przerywa normalną kolej rzeczy, jest regulacja dotycząca odpowiedzialności administratora. Regulacja ta uzależnia odpowiedzialność administracyjną od licznych przesłanek dotyczących administratora nie zaś IOD, i dlatego wywołany przez nią skutek, nie stanowi normalnego następstwa zachowania IOD. Przede wszystkim administrator nie dostałby kary finansowej w takiej wysokości, gdyby jego sytuacja majątkowa była zbliżona do sytuacji IOD. Gdyby administrator był osobą fizyczną, to zgodnie z motywem 148 rodo, mógłby dostać upomnienie zamiast administracyjnej kary pieniężnej – prawodawca europejski dba o to by nie doszło do nieproporcjonalnego obciążenia osoby fizycznej.

Odpowiedzialność IOD musi być oceniona odrębnie w postępowaniu cywilnym. Sąd cywilny jest związany ustaleniami faktycznymi i ich oceną prawną w postępowaniu administracyjnym i sądowoadministracyjnym (sąd administracyjny właściwie nie kontynuuje ustaleń faktycznych, nie uzupełnia postępowania dowodowego, ponieważ nie jest kolejną instancją), w zakresie naruszenia przepisów uodo (art. 97 uodo), ale nie co do cywilnoprawnych skutków tego naruszenia, które zresztą nie są przedmiotem tych postępowań. W postępowaniu cywilnym, główny nacisk musiałby być położony na ocenę w jakim stopniu działanie IOD miało wpływ na wadliwy stan ochrony danych u administratora, przykładowo, czy IOD w ramach doradztwa informował administratora o różnych możliwych scenariuszach działania, z uwzględnieniem mniej i bardziej restrykcyjnym stanowisk organów nadzorczych, sądów i przedstawicieli doktryny – wskazując który jest bardziej ryzykowny.

Jeśliby sąd cywilny ustalił, że IOD spełnił swoje świadczenie niestarannie czego skutkiem jest niezgodność administratora z rodo, to pozostaje kwestia jak ustalić szkodę pozostającą w adekwatnym związku przyczynowym, skoro nie jest nią kwota stanowiąca równowartość administracyjnej kary pieniężnej. Wymagało by jeszcze namysłu i rozstrzygnięcia, czy nie ma adekwatnego związku przyczynowego między działaniem IOD a wysokością administracyjnej kary pieniężnej (to według mnie na pewno), czy w ogóle kara pieniężna nie pozostaje w adekwatnym związku, bez względu na swoją wysokość – za tym drugim stanowiskiem przemawia okoliczność, że kara pieniężna powinna w sposób bezwzględny być powiązana ze stanem majątkowym administratora, nie może bowiem prowadzić do likwidacji przedsiębiorcy, chociaż musi być odczuwalna, żeby spełniała swoją rolę. Czyli główną przyczyną szkody (kary) jest okoliczność całkowicie niezależna od zachowania IOD i na tyle dominująca, że konsumuje przyczynę współistniejącą, jaką jest wadliwe działanie IOD. Zakładając jednak mniej korzystnie dla IOD, że nie ma adekwatnego związku tylko między wysokością kary, sąd może tu zastosować art. 322 k.p.c. i zasądzić odszkodowanie uwzględniając wszelkie okoliczności sprawy, stosując a fortiori art. 440 k.c., który literalnie odnosi się do relacji między osobami fizycznymi lub przez analogię art. 119 k.p., niezależnie od tego możliwa byłaby obrona na podstawie art. 5 k.c.

W opisanym stanie faktycznym strony postanowiły jednak w umowie, że IOD w wypadku nałożenia administracyjnej kary pieniężnej, zwróci równowartość administratorowi. Szczęśliwie dla IOD system prawa chroni podmioty prawa, pomimo ich niefrasobliwości, i dlatego postanowienia umowne podlegają kontroli na podstawie art. 58 k.c. Postanowienie przyjęte przez strony oznacza, że IOD podjął się wobec administratora działalności ubezpieczeniowej, ponieważ poza adekwatnym związkiem przyczynowym ze swoim zachowaniem (ze świadczeniem, które spełniał na rzecz administratora), zobowiązał się do likwidacji szkody, w razie zmaterializowania się ryzyka – czyli przyjął odpowiedzialność za szkodę, której nie jest sprawcą. Działalność ubezpieczeniowa jest działalnością regulowaną, którą można prowadzić w formie spółki akcyjnej, przy odpowiednio dużych możliwościach finansowych (minimalny kapitał zakładowy), a nie w formie jednoosobowej działalności gospodarczej czy freelancera. Z powyższych względów jest to postanowienie oczywiście nieważne. Strony stosunku prawnego mogą modyfikować zasady odpowiedzialności, ale ta modyfikacja nie może skutkować wykreowaniem umowy ubezpieczenia, jeśli strona odpowiedzialna nie ma cech ubezpieczyciela. Czyli strona niebędąca ubezpieczycielem nie może się skutecznie zobowiązać do naprawienia szkody, która jest całkowicie zdeterminowana przez okoliczność niezależną od niewykonania czy nienależytego wykonania jej świadczenia, zatem coś więcej niż przypadek, który w związku z niewykonaniem świadczenia doprowadził do szkody (tzw. casus mixtus).

Co do krzywdy wyrządzonej osobom, których dane dotyczą

Odpowiedzialność cywilną wobec osób, których dane dotyczą, za zdarzenie prawne objęte hipotezą art. 82 rodo, czyli za przetwarzanie danych przez podmiot mający status administratora lub procesora, można ponieść wyłącznie na podstawie art. 82 rodo, jako przepisu szczególnego, stworzonego specjalnie dla potrzeb prawa ochrony danych osobowych i uwzględniającego specyfikę przetwarzania danych osobowych – oczywiście w zakresie nieuregulowanym trzeba sięgać do k.c. – czyli mówiąc inaczej art. 82 rodo nie może być pominięty, jeśli oceniany stan faktycznym (zdarzenie prawne) podlega jego hipotezie. Odpowiedzialność taką może ponieść jedynie podmiot mający status administratora bądź procesora, nawet jeśli w przetwarzaniu realizującym cele tych podmiotów uczestniczą inne osoby, takie jak IOD, czy inni działający na rzecz administratora w ramach jego infrastruktury, niezależnie od stosunku prawnego stanowiącego podstawę tej współpracy (zatrudnienie pracownicze czy niepracownicze). Reguła systemowa lex specialis… chroni przed możliwością samodzielnego zastosowania kodeksu cywilnego, co prowadziłoby do absurdalnych rezultatów, bo z deliktu (art. 415 k.c.) mogłoby IOD pozwać np. milion osób, które doznały szkody materialnej bądź niematerialnej w związku z wadliwie skonstruowanym systemem ochrony danych u administratora. W konsekwencji nie ma też odpowiedzialności solidarnej administratora z IOD.

Solidarna odpowiedzialność administratora z IOD mogła by się zdarzyć w przypadku gdyby IOD zaczął przetwarzać dane, których administratorem jest podmiot, u którego piastuje funkcję, dla swoich celów osobistych (cel osobisty w praktyce wyklucza przetwarzanie danych dużej ilości osób). IOD nie odpowiadałby wtedy z art. 82 rodo, bo rodo nie ma zastosowania do przetwarzania w celach osobistych, ale odpowiadałby z art. 415 i n. k.c. Administrator w zależności od tego czy można by mu przypisać winę za czyn własny, albo odpowiadałby z art. 82 rodo, albo z art. 430 k.c. na zasadzie ryzyka za winę IOD (za czyn cudzy) – razem na podstawie art. 441 k.c. odpowiadaliby solidarnie wobec osoby, której dane dotyczą. Warto zauważyć, że w polskim tłumaczeniu rodo zwrot: „3. A controller or processor shall be exempt from liability under paragraph 2 if it proves that it is not in any way responsible for the event giving rise to the damage.”, przetłumaczono: „3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.” – czytając więc polską wersję, można dojść do wniosku, że ado/procesor odpowiadają, na zasadzie winy, tymczasem wersja oryginalna, nie określa zasady odpowiedzialności, co oznacza że w tym zakresie zastosowanie znajdzie k.c., który przewiduje rozmaite zasady, i dlatego ado może odpowiadać na podstawie art. 430 k.c., na zasadzie ryzyka za działanie osób, którymi się posługuje. Gdyby IOD zaczął przetwarzać dane dla własnych celów profesjonalnych, sam zostałby administratorem i odpowiadałby tak jak na administratora przystało (w takiej sytuacji jeśli wykorzystałby dane dużej ilości osób, mógłby wobec nich ponieść wysoką odpowiedzialność, ze względu na ilość tych osób, nawet jeśli krzywda/szkoda poszczególnych osób nie byłaby wyceniona wysoko – w takim wypadku praktyczną granicą byłby stan jego majątku – gdyby zastosowania nie znalazł art. 440 k.c., pozwalający miarkować wysokość odpowiedzialności, w taki sposób, aby nie unicestwić dłużnika, w tym wypadku będącego osobą fizyczną, jednak i tym razem odpowiedzialności nie wymknie się administrator, który razem z IOD (który stał się kolejnym administratorem) będzie odpowiadał na zasadzie ryzyka, za to że nie upilnował IOD – w konsekwencji razem z nim solidarnie.).

Wobec administratora IOD może odpowiadać tak umownie jak i z deliktu. Przy czym również w tym wypadku, przesłanka adekwatnego związku przyczynowego powoduje, że odpowiedzialność jest stosowna do pożytków jakie przynosi działalność związana z ryzykiem. IOD nie odpowiada bowiem za szkodę, której przyczyną jest ilość osób, których dane administrator przetwarza. Jeśli administrator wypłaci symboliczne 100 zł zadośćuczynienia, na rzecz miliona osób, to dominującą przyczyną szkody w postaci 100 mln zł, będzie ilość klientów administratora, a nie wadliwe działanie IOD. Ponadto jeśli sytuacja IOD jest zbliżona do sytuacji pracownika, to należy ustalić, że relacja ado-IOD jest stosunkiem pracy (art. 22 par. 1(1) k.p.) albo przez analogię stosować regulację dotyczącą odpowiedzialności z k.p.

W omawianym fikcyjnym przypadku administrator spełnił świadczenie odszkodowawcze wobec osób, które zwróciły się z roszczeniami, nie badając czy roszczenia te są zasadne. Roszczenia dotyczą stanu ochrony danych oddziaływującego na wszystkie osoby, których dane przetwarza administrator, czyli nie będzie adekwatnego związku przyczynowego miedzy działaniem IOD a szkodą administratora. Ewentualnie tak jak przy administracyjnej karze pieniężnej, będzie problem z ustaleniem wysokości szkody pozostającej w adekwatnym związku przyczynowym. Niezależnie od powyższego zasadność samego roszczenia (przesłanki) musi wykazać administrator, w szczególności, że dług w ogóle istniał, czyli że roszczenia tych osób były zasadne, co w opisywanym wypadku wydaje się zadaniem niewykonalnym, ponieważ istnienie i rozmiar krzywdy, musi być ustalony zgodnie z obiektywnymi miernikami przez odwołanie do przeciętnych reakcji, a wydaje się, że osoby które zgłosiły roszczenie cechuje ponadprzeciętna wrażliwość. Czyli również w tym wypadku, brak jest adekwatnego związku przyczynowego, między stwierdzoną niezgodnością z rodo, a krzywdą tych osób. Krzywda pozostaje w adekwatnym związku z ponadprzeciętną wrażliwością lub deficytem wiedzy osób, co stanowi okoliczność za którą nie odpowiada administrator. Prędzej ado będzie mógł żądać od tych osób zwrotu nienależnego świadczenia (art. 410 par. 2 k.c.). Pochopna zapłata, oprócz tego że jest dwustronną czynnością prawną rozporządzającą, może być kwalifikowana jako tzw. niewłaściwe uznanie roszczenia, oświadczenie wiedzy, które przerywa bieg przedawnienia, ale nie pozbawia zarzutów merytorycznych, np. nieziszczenia się przesłanek roszczenia deliktowego. Takie roszczenie o zwrot też może okazać się nieskuteczne, jeśli osoby nie będą już wzbogacone, bo wydały pieniądze (art. 409 k.c.), a przecież nie będzie można im zarzucić, że powinny były się liczyć z obowiązkiem zwrotu, bo one subiektywnie były przekonane, że zadośćuczynienie im się należy.

Podsumowanie

Resumując, odpowiedzialność cywilną wobec osób, których dane dotyczą, a także administracyjną ponosi administrator. IOD odpowiada wobec administratora, za niedołożenie należytej staranności przy wykonywaniu obowiązków, w granicach adekwatnego związku przyczynowego, w żadnym wypadku nie odpowiada za administracyjną karę pieniężną nałożoną na administratora, nawet gdyby lekkomyślnie czy przez niedbalstwo, umownie przyjął na siebie taką odpowiedzialność. Oczywiście nie powinien godzić się na taką odpowiedzialność, bo nie ma pewności jakie stanowisko, w kwestii nieważności takiego postanowienia umownego, zajmie konkretny sąd w ewentualnym postępowaniu, powinien wyraźnie ją ograniczyć do wysokości np. trzykrotności miesięcznego wynagrodzenia (analogicznie jak w k.p.). Strony przed zawarciem umowy, powinny rozumieć, że IOD pełni funkcję doradcy, nie zaś ubezpieczyciela.

Administrator powinien więc, zgodnie z obowiązkami nakładanymi przez rodo, starannie wybierać IOD i zapewniać mu warunki do utrzymania i poszerzania kompetencji (literatura, szkolenia, pomoc służb informatycznych, prawnika), nie może natomiast liczyć na to, że w drodze czynności prawnej (umowy) będzie mógł skutecznie dokonać transferu ryzyka, na podmiot (IOD) którego działalność nie licuje z rozmiarami tego ryzyka – ryzyko jest bowiem dostosowane (na podstawie przesłanek art. 83 rodo) do administratora, który zbiera pożytki z przetwarzania danych, a nie do IOD.

IOD może się ubezpieczyć od odpowiedzialności cywilnej, ale należy pamiętać, że ubezpieczyciel odpowiada tylko w granicach odpowiedzialności ubezpieczonego (art. 822 par. 1 k.c.), jeśli więc IOD nie będzie można przypisać odpowiedzialności to i ubezpieczyciel nie będzie odpowiedzialny, dlatego z punktu widzenia administratora większą doniosłość praktyczną ma ubezpieczenie samego administratora, przy czym jeśli zdarzeniem ubezpieczeniowym będzie postępowanie administracyjne łącznie z administracyjną karą pieniężną, to należy się spodziewać wysokiej składki ubezpieczeniowej. Dodatkowo trzeba też zauważyć, że wdrożenie rodo i tak będzie konieczne, bo przecież ubezpieczyciel nie będzie chronił podmiotu całkowicie niezgodnego z rodo.