Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Odpowiedzialność podmiotu przetwarzającego

07-11-2018 Autor: Wiesława Kuberska

Procesor może ponosić odpowiedzialność za bezprawne zachowania przy okazji albo w związku z przetwarzaniem danych osobowych na zasadach ogólnych wobec osób trzecich. Tradycyjnie odpowiedzialność ta zostanie omówiona na płaszczyźnie prawa cywilnego, administracyjnego i karnego.

 

Publikacja zmierza do określenia podstaw i zasad odpowiedzialności podmiotu przetwarzającego, zarówno wobec ADO, wynikającej z zawartej umowy o świadczenie usług przetwarzania danych osobowych, jak i wobec osób, których dane dotyczą.

Odpowiedzialność cywilna umowna procesora wobec ADO

1. Podstawa odpowiedzialności

Zawarcie umowy pomiędzy procesorem i administratorem kreuje umowną odpowiedzialność cywilną podmiotu przetwarzającego wobec jego kontrahenta na gruncie prawa krajowego. Odpowiedzialność ta nie jest ograniczona w żaden sposób poprzez zawarcie umowy z wykorzystaniem w całości lub w części standardowych klauzul umownych. A zatem ostatecznie o zakresie umownej odpowiedzialności cywilnej procesora wobec kontrahenta umowy decydować będzie zakres jego odpowiedzialności wynikający z kontraktu, zgodnie z zasadniczą regułą, jaką jest zasada swobody zawierania umów.

 

Strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego – zgodnie z art. 3531 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (tekst jedn. DzU z 2018 r., poz. 1025 ze zm.; dalej: kc). W tym wypadku postanowienia umowy przede wszystkim muszą mieć odniesienie do celów i założeń rodo.

2. Zakres odpowiedzialności

Zgodnie z art. 354 kc dłużnik powinien wykonać zobowiązanie zgodnie z jego treścią i w sposób odpowiadający jego celowi społeczno-gospodarczemu oraz zasadom współżycia społecznego, a jeżeli istnieją w tym zakresie ustalone zwyczaje – także w sposób odpowiadający tym zwyczajom. W taki sam sposób powinien współdziałać przy wykonaniu zobowiązania wierzyciel. Ponadto dłużnik jest zobowiązany do staranności ogólnie wymaganej w stosunkach danego rodzaju (należyta staranność), a należytą staranność dłużnika w zakresie prowadzonej przez niego działalności gospodarczej określa się przy uwzględnieniu zawodowego charakteru tej działalności (art. 355 § 1 i 2 kc).

Zgodnie z art. 471 kc dłużnik zobowiązany jest do naprawienia szkody wynikłej z niewykonania lub nienależytego wykonania zobowiązania, chyba że niewykonanie lub nienależyte wykonanie jest następstwem okoliczności, za które dłużnik nie ponosi odpowiedzialności. Jeżeli ze szczególnego przepisu ustawy albo z czynności prawnej nie wynika nic innego, dłużnik odpowiedzialny jest za niezachowanie należytej staranności (art. 472 kc). W przypadku procesora wykonującego swoje obowiązki w ramach prowadzonej działalności gospodarczej należy przyjąć istnienie obowiązku podwyższonej staranności w wykonywaniu zobowiązania. Taki obowiązek dodatkowo wynika wprost z treści art. 28 ust. 1 rodo.

Z niewykonaniem umowy mamy do czynienia wówczas, gdy jej przedmiot nie został zrealizowany, nie osiągnięto celu przyświecającego danemu stosunkowi umownemu i objęte umową świadczenie nie zostało spełnione. W przypadku podmiotu przetwarzającego niewykonanie umowy może polegać na niepodjęciu w ogóle obowiązków przetwarzania danych osobowych, mimo zawarcia umowy o przetwarzanie danych.

Przy nienależytym wykonaniu zobowiązania świadczenie jest wprawdzie spełnione, lecz nie jest ono prawidłowe, gdyż odbiega w większym lub mniejszym stopniu od świadczenia wymaganego. O nienależytym spełnieniu świadczenia można mówić w aspekcie zachowania terminu, miejsca i sposobu czy też jakości w szerokim rozumieniu tego słowa. Przykładem nienależytego wykonania umowy o przetwarzanie będzie – mimo takiej decyzji ADO zgodnej z obowiązującym prawem – brak zwrócenia przez procesora wszelkich danych osobowych lub nieusunięcie wszelkich ich istniejących kopii.

3. Przesłanki odpowiedzialności

Następstwem niewykonania lub nienależytego wykonania zobowiązania może być powstanie szkody. Szkoda w rozumieniu art. 471 kc w związku z art. 361 § 2 kc obejmuje zarówno rzeczywistą stratę, jak i utracone korzyści. Strata wyraża się w rzeczywistej zmianie stanu majątkowego poszkodowanego i polega albo na zmniejszeniu się jego aktywów, albo na zwiększeniu pasywów. Utrata korzyści polega zaś na niepowiększeniu się czynnych pozycji w majątku poszkodowanego, które pojawiłyby się w tym majątku, gdyby nie zdarzenie wyrządzające szkodę.

Szkodą związaną z niewykonaniem lub nienależytym wykonaniem umowy z procesorem może być dla przykładu zapłata kolejnego wynagrodzenia innemu podmiotowi przetwarzającemu, który podjął się wykonania tych samych usług, mimo wcześniejszego zawarcia umowy z danym przedsiębiorcą prowadzącym działalność gospodarczą w zakresie przetwarzania danych osobowych i wypłacenia mu wynagrodzenia za wykonywanie tej usługi przed jej wykonaniem. 

 

[...]

 

Autorka jest sędzią Sądu Apelacyjnego w Łodzi, wykładowcą Krajowej Szkoły Sądownictwa i Prokuratury w Krakowie.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.