Przetwarzanie danych przez pracowników administratora, którzy mają dostęp do danych osobowych

Z art. 29 tego rozporządzenia wynika, że osoby działające z upoważnienia administratora, takie jak jego pracownicy, którzy mają dostęp do danych osobowych, mogą co do zasady przetwarzać te dane wyłącznie na polecenie tego administratora i zgodnie z tymi poleceniami (zob. podobnie wyrok z dnia 22 czerwca 2023 r., Pankki S, C-687/21).

Art. 32 ust. 4 RODO, dotyczący bezpieczeństwa przetwarzania danych osobowych, przewiduje, że administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Pracownik administratora jest zaś osobą fizyczną działającą z upoważnienia tego administratora. Tak więc zadaniem administratora jest upewnienie się, że jego polecenia są prawidłowo wykonywane przez jego pracowników. W związku z tym administrator nie może uchylić się od odpowiedzialności na podstawie art. 82 ust. 3 RODO, powołując się jedynie na niedbalstwo lub uchybienie osoby działającej z jego upoważnienia.

Aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO, nie jest wystarczające powołanie się na to, że rozpatrywana szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia.

Wyrok SN z dnia 11 kwietnia 2024 r., C-741/21

Standard: 83902 (pełna treść orzeczenia)