Każda osoba, która poniosła szkodę w wyniku naruszenia rozporządzenia GDPR, ma prawo uzyskać odszkodowanie od administratora lub procesora.

Prawo do odszkodowania obejmuje, zarówno szkodę majątkową, jak i niemajątkową.

Przetwarzanie dokonywane w sposób naruszający rozporządzenie GDPR obejmuje także:

1) przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy tego rozporządzenia; oraz

reklama

2) prawo państwa członkowskiego doprecyzowujące te rozporządzenie.

Zdarzenie wywołujące szkodę

Każdy administrator uczestniczący w przetwarzaniu, odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie GDPR.

Zatem, zdarzeniem wywołującym szkodę, musi być przetwarzanie naruszające rozporządzenie GDPR.

Procesor odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy:

1) nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na procesorów; lub

2) działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

reklama

Zatem, zdarzeniem wywołującym szkodę, musi być niedopełnienie obowiązków lub niezgodne z instrukcjami administratora działanie.

Zasada winy jako podstawa odpowiedzialności administratora i procesora

Administrator lub procesor zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Rozporządzenie GDPR nakazuje interpretować winę szeroko, tak by w pełni odzwierciedlić jego cele. Zaleca by, dokonując tej wykładnik, uwzględniać orzecznictwo Trybunału Sprawiedliwości.

Solidarna odpowiedzialność odszodowawcza podmiotów uczestniczących w tym samym przetwarzaniu

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający, ponoszą oni odpowiedzialność solidarną za całą szkodę.

Konieczność odrębnego rozważenia sytuacji każdego z podmiotów

Solidarną odpowiedzialność za szkodę ponoszą jednak tylko te podmioty, które za nią odpowiadają, na podstawie powyższych przesłanek (miał miejsce czyn będący podstawą jego odpowiedzialności i ponosi za niego winę).

Odrębne rozważenie sytuacji każdego z podmiotów, jest szczególnie istotne przy okazji rozpatrywania solidarnej odpowiedzialności administratorów i procesorów, gdyż jej przesłanki są dla nich różne.

Roszczenia regresowe

Ponoszące solidarną odpowiedzialność podmioty, mają do siebie roszczenia regresowe. Administrator lub procesor, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych odpowiedzialnych podmiotów, zwrotu odpowiedniej części odszkodowania.

Część odszkodowania za którą odpowiada ADO lub procesor, równa jest części szkody, za którą ponosi odpowiedzialność, w związku ze zdarzeniem, które ją wywołało.

reklama

Właściwość sądu

Postępowanie sądowe dotyczące odszkodowania jest wszczynane:

1) przed sądem właściwym na mocy prawa państwa członkowskiego, w którym administrator lub procesor posiadają jednostkę organizacyjną; lub

2) przed sądem właściwym na mocy prawa państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, o ile administrator lub procesor nie jest organem publicznym państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych.

Definicja szkody

Prawo unijne nie definiuje pojęcia szkody. Niejasnym pozostaje wobec tego, czy jako szkodę należy rozumieć również m.in. utracone korzyści. Każde z państw będzie stosowało swoje zasady wykładni, utrwalone w swoim orzecznictwie i przepisach. Może to prowadzić do niejednolitości w sposobie stosowania rozporządzenia.