Wyciek danych osobowych u kontrahenta. Kto ponosi odpowiedzialność i co należy wziąć pod uwagę?

Niniejszy artykuł dotyczy odpowiedzialności przedsiębiorstwa będącego kontrahentem, któremu powierzono przetwarzanie danych osobowych, z tytułu wycieku tych danych i ich publikacji w Internecie lub darknecie.

Czym są dane osobowe?

Art. 4 ust. 1 RODO definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Roszczenie o odszkodowanie

Osoba poszkodowana w wyniku wycieku danych, tj. niezgodnego z prawem przetwarzania danych, może dochodzić roszczeń odszkodowawczych zgodnie z art. 82 RODO. Szkoda istnieje już wtedy, gdy uprawniony może udowodnić, że incydent wywołał u niego strach i zaniepokojenie. Nie ma żadnego minimalnego dopuszczalnego limitu. Na przykład w dniu 4 października 2024 r. Sąd Krajowy w Lubece nakazał platformie muzycznej wypłatę odszkodowania na rzecz konsumenta (sygn. akt: 15 O 216/23).

Kto ponosi odpowiedzialność za wyciek danych?

Zgodnie z art. 4 ust. 7 i 8 RODO administrator to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Podmioty przetwarzające zaś to osoby fizyczne lub prawne, organy publiczne, agencje lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora.

Aby nie ponosić odpowiedzialności za przekazywanie danych osobowych (powierzenie przetwarzania danych), przedsiębiorca, zgodnie z art. 28 ust. 3 RODO, powinien zawrzeć z podmiotem przetwarzającym umowę lub inny instrument prawny. Zobowiązanie umowne ma na celu zapewnienie wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby dalsze przetwarzanie odbywało się zgodnie z RODO. W przypadku braku odpowiedniej umowy, przekazywanie danych jest zasadniczo niezgodne z prawem i stanowi naruszenie RODO.

Powyższe wynika z faktu, że nie zawsze wymagane jest, aby administrator danych był bezpośrednio zaangażowany w proces przetwarzania, w wyniku którego doszło do wyrządzenia szkody. Wystarczy natomiast, że umożliwił on niezgodne z prawem przetwarzanie danych. Tym samym, administrator, który niezgodnie z prawem przekazuje dane stronie trzeciej, może również ponosić odpowiedzialność na etapie dalszego przetwarzania tych danych przez podmiot trzeci, również w przypadkach, w których przetwarzanie odbywa się niezgodnie z jego instrukcjami.

Możliwość zwolnienia z odpowiedzialności

Możliwość uniknięcia odpowiedzialności zgodnie z art. 82 ust. 3 RODO wymaga, aby administrator był w stanie wykazać brak przyczynienia się do powstania szkody, w sytuacji, gdy był zaangażowany w proces przetwarzania danych. Przyczynienie się do powstania szkody poprzez nieuprawnione powierzenie przetwarzania danych podmiotowi przetwarzającemu, wyłącza możliwość zwolnienia administratora danych z odpowiedzialności.

Co musi zawierać umowa na podstawie art. 28 RODO?

Umowa powierzenia przetwarzania danych zgodnie z art. 28 RODO musi zawierać co najmniej następujące informacje:

  • Zobowiązanie prawne przetwarzającego wobec administratora,
  • Istotne elementy przetwarzania danych, takie jak:
    • przedmiot i czas trwania przetwarzania,
    • charakter i cel przetwarzania,
    • rodzaj danych osobowych,
    • kategorie osób, których dane dotyczą,
    • Prawa i obowiązki administratora.

Należy jednak zauważyć, że lista wymaganych informacji nie jest zupełna i musi być dostosowana do potrzeb i obowiązków danego przedsiębiorcy w każdym indywidualnym przypadku. Wynika to z faktu, że przedsiębiorstwa mogą stanąć w obliczu roszczeń odszkodowawczych i wysokich grzywien, jeśli naruszą przepisy przetwarzania danych osobowych.

W przypadku dalszych pytań prosimy o kontakt z naszą kancelarią pod numerem +49 (0) 40 180 364 020 lub office@graulaw.eu.

MASZ PYTANIA LUB POTRZEBUJESZ PORADY PRAWNEJ?

Jesteśmy do Twojej dyspozycji i chętnie udzielimy Ci porady prawnej.