Sprawiedliwość kontraktowa stanowi normę prawa cywilnego wynikającą z przepisu art. 3531 w zw. z art. 58 k.c. Podmioty prawa cywilnego chronione są przed własną swobodą umów, jeśli swoboda ta miała by prowadzić do rażącego pokrzywdzenia jednej ze stron i tym samym naruszenia powszechnie występującego poczucia sprawiedliwości. Takie postanowienie umowne jest z mocy prawa nieważne.
- Nieważność czynności prawnej
- Modyfikacja odpowiedzialności w um powierzenia
- TSUE – odpowiedzialność administracyjna na zasadzie winy
- Obowiązki procesora
- Konsekwencje błędnej interpretacji rodo
- Krajowa Szkoła Sądownictwa i Prokuratury
Nieważność czynności prawnej
Art. 353(1). [Zasada swobody umów]
Strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego.Art. 58. [Nieważność bezwzględna; Klauzula salwatoryjna]
§ 1. Czynność prawna sprzeczna z ustawą albo mająca na celu obejście ustawy jest nieważna, chyba że właściwy przepis przewiduje inny skutek, w szczególności ten, iż na miejsce nieważnych postanowień czynności prawnej wchodzą odpowiednie przepisy ustawy.
§ 2. Nieważna jest czynność prawna sprzeczna z zasadami współżycia społecznego.
§ 3. Jeżeli nieważnością jest dotknięta tylko część czynności prawnej, czynność pozostaje w mocy co do pozostałych części, chyba że z okoliczności wynika, iż bez postanowień dotkniętych nieważnością czynność nie zostałaby dokonana.
Modyfikacja odpowiedzialności w um powierzenia
Niejednokrotnie można spotkać w umowach powierzenia postanowienie wykraczające poza postanowienia narzucone przez art. 28 rodo, według którego zleceniobiorca zwróci zleceniodawcy kwotę wynikającą z administracyjnej kary pieniężnej nałożonej na administratora (zleceniodawcę) za naruszenie rodo mające miejsce u procesora. Postanowienie to wynika z błędnego przekonania, że administrator odpowiada za nadzór nad procesorem i w związku z tym jeśli procesor nie dopełni postanowień rodo, to za tę niezgodność odpowiada administrator. Przykładowo jeśli procesor zgubi niezaszyfrowaną pamięć usb z danymi osobowymi przetwarzanymi w ramach powierzonego procesu, wbrew własnej polityce bezpieczeństwa, którą przed powierzeniem ado skontrolował.
TSUE – odpowiedzialność administracyjna na zasadzie winy
W ostatnim czasie zostały wydane dwa wyroki TSUE:
w sprawie C 807/21, gdzie stwierdzono, że:
2) Artykuł 83 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator danych, będący jednocześnie osobą prawną i przedsiębiorstwem, dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu.
oraz w sprawie C 683/21 gdzie stwierdzono, że:
71 W odniesieniu do wspomnianych przesłanek należy zauważyć, że art. 83 ust. 2 RODO wymienia elementy, w świetle których organ nadzorczy nakłada administracyjną karę pieniężną na administratora. Wśród tych elementów w lit. b) tego przepisu figuruje „umyślny lub nieumyślny charakter naruszenia”. Natomiast żaden z elementów wymienionych we wspomnianym przepisie nie wskazuje na jakąkolwiek możliwość powstania odpowiedzialności administratora w braku zawinionego zachowania po jego stronie.
79 Jednakże prawodawca Unii nie uznał za konieczne, dążąc do zapewnienia tak wysokiego poziomu ochrony, by przewidzieć nakładanie administracyjnych kar pieniężnych nawet w przypadku braku winy.
4) Artykuł 83 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
po pierwsze, administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu, a
po drugie, taka kara pieniężna może zostać nałożona na administratora danych w związku z operacjami przetwarzania danych osobowych dokonywanymi przez podmiot przetwarzający w jego imieniu, z wyjątkiem sytuacji, gdy w ramach tych operacji podmiot przetwarzający dokonywał przetwarzania danych do swoich własnych celów lub przetwarzał te dane w sposób niezgodny z ramami lub sposobami przetwarzania określonymi przez administratora lub w taki sposób, że nie można racjonalnie uznać, że administrator ten wyraził na to zgodę.
Z powyższych orzeczeń wynika bezsprzecznie, że odpowiedzialność administracyjna na gruncie art. 83 rodo została ukształtowana na zasadzie winy, przy czym niekoniecznie umyślnej. W połączeniu z faktem, że rodo kieruje osobne obowiązki do administratora i do procesora, nie jest możliwe żeby ado odpowiadał za naruszenie odo, które powstało u procesora. Ado ma obowiązek w umowie głównej i w umowie powierzenia określić proces przetwarzania (polecenie) w sposób legalny (zgodny z rodo) i przed przekazaniem danych sprawdzić czy procesor jest zgodny z rodo, czyli czy ma wdrożone rodo. Ale za działanie niezgodne z rodo, czyli niezgodne z celami lub sposobami wyznaczonymi um główną i um powierzenia, administrator nie odpowiada, bo nie ma ani możliwości ani co za tym idzie obowiązku żeby procesora nadzorować (pilnować) czy działa zgodnie z prawem stanowionym i umownym między stronami:
z wyjątkiem sytuacji, gdy w ramach tych operacji podmiot przetwarzający (…) przetwarzał te dane w sposób niezgodny z ramami lub sposobami przetwarzania określonymi przez administratora lub w taki sposób, że nie można racjonalnie uznać, że administrator ten wyraził na to zgodę.
Istnieją rożne rodzaje odpowiedzialności, karna, cywilna, administracyjna, polityczna, dyscyplinarna. W ramach tych rodzajów odpowiedzialności mogą występować zasady odpowiedzialności: zas winy, ryzyka, gwarancyjna (ubezpieczeniowa). TSUE właśnie potwierdził, że na gruncie rodo odpowiedzialność administracyjna opiera się na zasadzie winy, czyli żeby powstała musi istnieć obowiązek możliwy do spełnienia, a jego niespełnienie musi wynikać z osobistej zarzucalności czynu (działania lub zaniechania). Ado ma obowiązek sprawdzić stronę umowy głównej, której ujawnia dane osobowe, a która nie ma podstawy legalizacyjnej do ich przetwarzania w art. 6 rodo.
Obowiązki procesora
A jakie obowiązki ma procesor, już po ujawnieniu? Po pierwsze te, które wynikają z art. 28 rodo, potwierdzone umową powierzenia. A poza tym jeszcze kilka innych rozsianych po całym akcie prawnym. Co do powierzenia głównie liczą się:
1. obowiązek zapewnienia bezpieczeństwa, z naruszenie tego obowiązku powstaje naruszenie odo
2. obowiązek przeprowadzenia dochodzenia czy zaobserwowany incydent stanowi naruszenie odo
3. obowiązek niezwłocznego zgłoszenia do administratora naruszenia odo
4. obowiązek pomagania w obsłudze naruszenia odo
5. obowiązek pomagania w spełnianiu praw podmiotów danych
6. obowiązek kontroli legalności polecenia administratora – art. 28 ust. 3 lit. h akapit 2 w zw. z art. 82 ust. 2 zd. 2 w zw. z art. 83 ust. 4 lit. a rodo.
Zas winy a zas ryzyka
Ado nie ma możliwości ani żeby zmusić ani żeby przypilnować procesora, żeby wykonał te obowiązki. W związku z tym, żeby za to odpowiadał, odpowiedzialność musiałaby być oparta na zasadzie ryzyka (za sam skutek), tak jak np. art. 430 kc czy 474 kc. W tych dwóch przepisach kc podmiot odpowiada za czyn cudzy (pracownika, podwykonawcy), mimo że nie ma możliwości w pełni albo w ogóle nadzorować zachowania tych osób, którymi posługuje się w realizacji swoich celów. Na gruncie prawa cywilnego ma to uzasadnienie ekonomiczne i gospodarcze, musi być zapewnione bezpieczeństwo obrotu, poszkodowany musi mieć zapewnione źródła do których będzie mógł sięgnąć w celu naprawienia szkody – dlatego odpowiedzialny jest ten, kto zlecił, obok (w przypadku podwykonawcy) lub zamiast (w przypadku pracownika) tego kto faktycznie szkodę wyrządził. Takie potrzeby i motywacje nie występują na gruncie rodo, w relacji państwo – organizacja (ado/proc), dlatego prawodawca europejski oparł tu odpowiedzialność administracyjną na zasadzie winy.
Nawet w przypadku odpowiedzialności na zasadzie ryzyka za własnego pracownika, pracodawca nie odpowiada za wszelkie jego czyny dokonane przy okazji świadczenia pracy. Odpowiada za jego działania w ramach obowiązków pracowniczych wyznaczonych przedmiotem działalności pracodawcy. Przykładowo jeśli pracownik jest skierowany do mieszkania klienta, żeby zrobić remont, pracodawca odpowiada za jego błędy, ale nie za to że pracownik ukradnie z mieszkania bezcenny argentyński kaktus. Podobnie na gruncie rodo, tym bardziej że ado odpowiada tu na zas winy, ado ma stworzyć stosowną do wyników analizy ryzyka i własnych możliwości finansowych architekturę bezpieczeństwa, ale nie odpowiada za pracownika, jeśli ten mimo to ukradnie dane i wykorzysta je do własnych celów osobistych czy gospodarczych.
Wina w nadzorze
Kodeks cywilny przewiduje też odpowiedzialność za nadzór na zasadzie winy, ale zobaczmy w jakich sytuacjach:
Art. 427. [Wina w nadzorze]
Kto z mocy ustawy lub umowy jest zobowiązany do nadzoru nad osobą, której z powodu wieku albo stanu psychicznego lub cielesnego winy poczytać nie można, ten obowiązany jest do naprawienia szkody wyrządzonej przez tę osobę, chyba że uczynił zadość obowiązkowi nadzoru albo że szkoda byłaby powstała także przy starannym wykonywaniu nadzoru. Przepis ten stosuje się również do osób wykonywających bez obowiązku ustawowego ani umownego stałą pieczę nad osobą, której z powodu wieku albo stanu psychicznego lub cielesnego winy poczytać nie można.
Z mocy umowy do nadzoru zobowiązane jest np. prywatne przedszkole nad przedszkolakami, z mocy ustawy rodzice (opiekunowie) nad dzieckiem. Chodzi o sytuację kiedy nadzór jest możliwy, w przedszkolu dzieci znajdują się w zasięgu wzroku nauczycielki, więc jest możliwość przypilnowania żeby np. jedno nie wyrządziło szkody (krzywdy) drugiemu. Stopień nadzoru nad dzieckiem przez jego rodzica powinien być dostosowany do jego wieku – odpowiada za taki nadzór jaki jest możliwy skoro zasadą odpowiedzialności jest wina a nie ryzyko. W każdym razie widać, że chodzi o odpowiedzialność za czyny osób, którym z powodu wieku albo stanu psychicznego lub cielesnego winy poczytać nie można, i z tego też powodu osoby te zwykle będą niewypłacalne – dlatego na zasadzie winy za nadzór nad nimi odpowiada kto inny.
Czy są jakieś racjonalne powody żeby prawodawca europejski ukonstytuował tego typu odpowiedzialność wobec państwa (administracyjną) jednego przedsiębiorcy (ado) za drugiego (proc)? Czy ado jest jak rodzic a procesor jak dziecko poniżej 13 roku życia, które z nim mieszka? Bo to są sytuacje które wymagają istnienia odpowiedzialności za winę w nadzorze. Pytanie chyba jest retoryczne:)
Oczywiście sam termin „nadzór” występuje w różnych aktach prawnych, nie jest zarezerwowany wyłącznie dla sytuacji opisanych w art. 427 kc, i w zależności od reżimu ustawy, celów ustawy to na czym nadzór polega, jak szczegółowo przebiega, może się różnić. W samym rodo mowa jest o organie nadzorczym, ale zwróćmy uwagę jaki jest przedmiot nadzoru, w tym wypadku: zgodnie z art. 51 ust. 1 rodo stosowanie rozporządzenia, czyli przedmiotem nadzoru jest gałąź prawa, a nie każdy z osobna przedsiębiorca w kraju, przedsiębiorcy i inne organizacje podlegają prawu ochrony danych.
Nadzór polega na sprawowaniu stałej pieczy. SJP nadzór określa jako „kontrola, opieka nad czymś”, zaś pieczę jako „ochrona kogoś lub czegoś, wstawiennictwo, troskliwość, dbanie, dbałość o kogoś albo o coś”.
Konsekwencje błędnej interpretacji rodo
Ale załóżmy, że organ nadzorczy błędnie uzna, że ado odpowiada za nadzór nad procesorem i następnie sądy administracyjnie błędnie wbrew TSUE podzielą stanowisko organu. Ado to spółka z wynikiem finansowym 100x większym niż procesor. Ado zatrudnia 300 pracowników procesor 3 pracowników. Za nieszyfrowanie pendriva procesor dostał 3 tyś kary a ado 300 tyś, ponieważ kara ma być odczuwalna ale nie rujnująca – dla procesora 3 znaczy tyle co dla ado 300. Następnie ado wnosi pozew, bo w umowie powierzenia mieli, że procesor zwróci mu karę za swoje naruszenie rodo, jeśli taka zostanie nałożona również na administratora za brak nadzoru.
Prawidłowo interpretowane prawo cywilne nie pozwala uwzględnić żądania pozwu (postanowienie umowne jest nieważne), ale prawidłowo interpretowane rodo nawet nie sprowokuje tak nieuzasadnionego roszczenia, bo za naruszenie rodo przez procesora ado nie dostanie administracyjnej kary pieniężnej.
Ponieważ jednak doświadczenie uczy, że organy stosujące prawo nie są wolne od błędnych rozstrzygnięć, strony umowy o świadczenie usług powinny raczej w umowie głównej albo w um powierzenia napisać, że:
„W przypadku jeśli którakolwiek ze stron w związku z wykonaniem Umowy, będzie zobowiązana do zapłacenia administracyjnej kary pieniężnej na gruncie rodo, obojętne czy za swoje naruszenie czy naruszenie drugiej strony, druga strona nie jest wobec niej odpowiedzialna cywilnie w tym zakresie.”
I to niezależnie od tego jak strony um głównej oceniają swoje role na gruncie rodo (ado-ado, czy ado-proc) bo zawsze organ albo dalej sądy mogą to oceniać inaczej.
Adekwatny związek przyczynowy
Natomiast jeśli strony nie zmodyfikują zasad odpowiedzialności, to moim zdaniem między szkodą wynikającą z kary u administratora, a naruszeniem odo u procesora, nie ma adekwatnego związku przyczynowego, który jest warunkiem powstania odpowiedzialności odszkodowawczej na zasadzie winy (na zasadzie ryzyka konstruowany jest związek normatywny zamiast przyczynowego). Dlatego, że przyczyną kary administratora jest wynik finansowy administratora a nie działanie (naruszenie) procesora, który za naruszenie też dostał karę ale stosowną (pozostającą w adekwatnym związku przyczynowym) do swojego wyniku finansowego. Wysokość kary administratora nie jest normalnym następstwem działania (zaniechania) procesora, związek przyczynowy jest przerwany przez dodatkową, dominującą przyczynę (nova causa interveniens). Ta dominująca przyczyna (okoliczność) jest w zbiegu z naruszeniem odo u procesora, czyli ma miejsce szczególny zbieg okoliczności.
Nadużycie prawa podmiotowego
Ewentualnie, ponieważ w doktrynie i orzecznictwie funkcjonują różne koncepcje adekwatnego związku przyczynowego, jeśli by przyjąć że adekwatny związek przyczynowy występuje, to roszczenie podlega oddaleniu na podstawie art. 5 kc, ponieważ porównanie stanu majątkowego poszkodowanego i sprawcy, wskazuje że wymagają tego zasady współżycia społecznego (podobna motywacja regulacji art. 428 kc, ponieważ stosowanie prawa zawsze musi być do pogodzenia z realiami ekonomicznymi i poczuciem sprawiedliwości).
Art. 5. [Nadużycie prawa podmiotowego] Nie można czynić ze swego prawa użytku, który by był sprzeczny ze społeczno-gospodarczym przeznaczeniem tego prawa lub z zasadami współżycia społecznego. Takie działanie lub zaniechanie uprawnionego nie jest uważane za wykonywanie prawa i nie korzysta z ochrony.
Krajowa Szkoła Sądownictwa i Prokuratury
Należy zauważyć, że odmiennie niż TSUE i błędnie zasadę odpowiedzialności administracyjnej ocenił WSA w wyr. z dnia 26.01.2022 r. sygn. II SA/Wa 1384/21, dot KSSiP, stwierdzając że jest to zas ryzyka:
Kolejno, z treści art. 84 ust. 1 pkt b rozporządzenia RODO wynika, że przewidziana w rozporządzeniu odpowiedzialność administracyjna w postaci kar pieniężnych jest odpowiedzialnością obiektywną (za sam skutek czyli naruszenie prawa), a więc niezależną od winy sprawcy (wina może mieć jedynie wpływ na wysokość kary). Z tych względów prawnych wyjaśnienia KSSiP, że nie mogły mieć istotnego znaczenia przy podjęciu decyzji o nałożeniu kary.
Doszło tu przy tym do omyłki pisarskiej, bo art. 84 nie ma punktów, natomiast istotny jest błąd merytoryczny: zasada winy wynika z art. 83 rodo gdzie wprost stwierdza się, że liczne okoliczności indywidualizujące wymienione pod lit. a – k ust. 2 (a uderzająco podobne do tych z art. 53 i art. 115 par. 2 k.k.) , w tym umyślność albo jej brak, mają być przez organ nadzorczy brane pod uwagę nie tylko przy ustalaniu wysokości kary, ale przede wszystkim „Decydując, czy nałożyć administracyjną karę pieniężną (…)”.