Odpowiedzialność administratora danych za cyberatak na bazę danych

Odpowiedzialność administratora danych za cyberatak na bazę danych

Jeżeli naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO dopuścili się cyberprzestępcy, a zatem „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia, za naruszenie to administrator nie ponosi winy,

chyba że umożliwił on wspomniane naruszenie poprzez niedopełnienie obowiązku przewidzianego w RODO, a w szczególności obowiązku ochrony danych ciążącego na nim na mocy art. 5 ust. 1 lit. f) oraz art. 24 i 32 tego rozporządzenia. W przypadku naruszenia ochrony danych osobowych przez osobę trzecią administrator może zwolnić się z odpowiedzialności na podstawie art. 82 ust. 3 RODO poprzez udowodnienie, że nie istnieje żaden związek przyczynowy między ewentualnym naruszeniem przez niego obowiązku ochrony danych a szkodą poniesioną przez osobę fizyczną.

Artykuł 82 ust. 3 rozporządzenia 2016/679 należy interpretować w ten sposób, że: administrator nie jest na podstawie art. 82 ust. 1 i 2 tego rozporządzenia zwolniony z obowiązku naprawienia poniesionej przez daną osobę szkody z tego tylko powodu, iż szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia, gdyż ów administrator musi przy tym udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

Z art. 4 pkt 10 RODO wynika, iż „osobami trzecimi” są w szczególności osoby inne niż te, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. Definicja ta obejmuje osoby, które nie są pracownikami administratora i nie przetwarzają danych pod jego kontrolą.

Z art. 82 ust. 3 oraz motywu 146 RODO wynika, że dany administrator powinien co do zasady naprawić szkodę spowodowaną naruszeniem tego rozporządzenia w związku z tym przetwarzaniem. Może on zostać zwolniony z odpowiedzialności tylko wtedy, gdy udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Tak więc, jak wynika z wyraźnego dodania określenia „w żadnym razie” w toku procedury ustawodawczej, okoliczności, w których administrator może ubiegać się o zwolnienie z odpowiedzialności cywilnej, jaką ponosi na podstawie art. 82 RODO, powinny być ściśle ograniczone do okoliczności, w których administrator ten jest w stanie wykazać, że nie ponosi winy za szkodę.

Wyrok TSUE z dnia 14 grudnia 2023 r., C-340/21

Standard: 83928 

powrót do listy

Serwis wykorzystuje pliki cookies. Korzystając z serwisu akceptujesz politykę prywatności i cookies.