Odpowiedzialność administratora danych za uchybienia osoby działającej z jego upoważnienia i przez osoby trzecie w rozumieniu art. 4 pkt 10 (art. 29 i art. 82 ust. 3 RODO)

Aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO, nie jest wystarczające powołanie się na to, że rozpatrywana szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia.

Z art. 29 tego rozporządzenia wynika, że osoby działające z upoważnienia administratora, takie jak jego pracownicy, którzy mają dostęp do danych osobowych, mogą co do zasady przetwarzać te dane wyłącznie na polecenie tego administratora i zgodnie z tymi poleceniami (zob. podobnie wyrok z dnia 22 czerwca 2023 r., Pankki S, C-687/21).

Art. 32 ust. 4 RODO, dotyczący bezpieczeństwa przetwarzania danych osobowych, przewiduje, że administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Pracownik administratora jest zaś osobą fizyczną działającą z upoważnienia tego administratora. Tak więc zadaniem administratora jest upewnienie się, że jego polecenia są prawidłowo wykonywane przez jego pracowników. W związku z tym administrator nie może uchylić się od odpowiedzialności na podstawie art. 82 ust. 3 RODO, powołując się jedynie na niedbalstwo lub uchybienie osoby działającej z jego upoważnienia.

Okoliczności zwolnienia przewidzianego w art. 82 ust. 3 RODO muszą być ściśle ograniczone do tych okoliczności, w których administrator danych jest w stanie wykazać brak możliwości przypisania szkody właśnie jemu (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21). W związku z tym w przypadku naruszenia danych osobowych popełnionego przez osobę działającą z jego upoważnienia wspomniany administrator może skorzystać z tego zwolnienia tylko wtedy, gdy udowodni, że nie istnieje żaden związek przyczynowy między ewentualnym naruszeniem obowiązku ochrony danych, ciążącym na nim na mocy art. 5, 24 i 32 tego rozporządzenia, a szkodą poniesioną przez osobę, której dane dotyczą (zob. analogicznie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21).

W związku z tym, aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO, nie wystarczy, by wykazał on, że wydał polecenia osobom działającym z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia i że jedna ze wspomnianych osób uchybiła ciążącemu na nim obowiązkowi stosowania się do tych poleceń, w związku z czym przyczyniła się ona do powstania rozpatrywanej szkody.

Gdyby przyjąć, że administrator może uwolnić się od odpowiedzialności, ograniczając się do powołania się na uchybienie osoby działającej z jego upoważnienia, zaszkodziłoby to skuteczności prawa do odszkodowania ustanowionego w art. 82 ust. 1 RODO, jak wskazał w istocie sąd odsyłający, i nie byłoby to zgodne z celem tego rozporządzenia polegającym na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych.

Wyrok SN z dnia 11 kwietnia 2024 r., C-741/21

Standard: 83901 (pełna treść orzeczenia)