Kršitev GDPR in civilna odgovornost

Service.

GDPR ureja načela varstva osebnih podatkov fizičnih oseb in nalaga številne obveznosti subjektom, ki te podatke obdelujejo. Upravljavec osebnih podatkov ima med drugim obveznost njihove obdelave le v obsegu, ki je potreben za doseganje namena obdelave, in številne obveznosti obveščanja do posameznikov, na katere se nanašajo osebni podatki. Kršitev GDPR ima lahko negativne posledice za podjetnika.

Različne vrste odgovornosti

V skladu z določbami GDPR in poljskega zakona o varstvu podatkov lahko upravljavec podatkov trpi zaradi kršitve pravil o varstvu podatkov:

  • upravna odgovornost,

  • kazenska odgovornost,

  • civilna odgovornost.

Upravno odgovornost izvaja nadzorni organ, ki je na Poljskem predsednik Urada za varstvo osebnih podatkov. Glede na vrsto in okoliščine kršitve lahko predsednik Urada za varstvo osebnih podatkov upravljavcu podatkov izreče denarno kazen ali uporabi popravni ukrep (npr. v obliki opozorila, opomina, odredbe za določeno ravnanje, prepovedi posredovanja podatkov). obravnavati).

Subjekt, ki obdeluje osebne podatke, katerih obdelava je nesprejemljiva, ali subjekt, ki za opravljanje tovrstnih dejavnosti ni pooblaščen, je lahko kazensko odgovoren – za ta dejanja je zagrožena denarna kazen, omejitev ali celo zaporna kazen. Prav tako je prekršek onemogočanje ali oviranje inšpekcijskega nadzora, ki ga izvaja nadzorni organ.

Oškodovanec je upravičen do odškodnine

Določbe GDPR dajejo vsaki fizični osebi, katere blago je bilo kršeno, pravico do samostojnega odškodninskega zahtevka zaradi kršitve določb GDPR.

Podlaga za to zahtevo bo določba čl. 82 sek. 1 GDPR v zvezi z določbo čl. 92. Zakona o varstvu osebnih podatkov. člen 82 odd. 1 in 2 GDPR
1. Vsaka oseba, ki je utrpela premoženjsko ali nepremoženjsko škodo zaradi kršitve te uredbe, ima pravico od upravljavca ali obdelovalca zahtevati odškodnino za utrpelo škodo.
2. Vsak upravljavec, ki sodeluje pri obdelavi, je odgovoren za škodo, povzročeno z obdelavo v nasprotju s to uredbo. Obdelovalec odgovarja za škodo, povzročeno z obdelavo, le, če ni izpolnil obveznosti, ki jih ta uredba neposredno nalaga obdelovalcem, ali če je ravnal izven ali v nasprotju z zakonitimi navodili upravljavca. Zaradi razlogov, ki niso zajeti v določbah GDPR, se bodo uporabljale določbe poljskega civilnega zakonika. Premoženjska škoda je škoda na premoženju fizične osebe, ki se razume tako kot dejanska škoda kot tudi izgubljena morebitna korist. Nepremoženjska škoda pomeni škodo, škodo na nepremoženjskem premoženju fizične osebe (na primer pretrpel stres).

Fizična oseba je upravičena do odškodnine, če:

  • utrpela škoda (premoženjska ali nepremoženjska);

  • škoda je posledica kršitve pravil o varstvu osebnih podatkov;

  • obstaja vzročno-posledična povezava med škodo fizične osebe in ravnanjem (delovanjem ali opustitvijo) upravljavca podatkov;

  • kršitev določil GDPR s strani upravljavca je kriva;

Zgoraj navedeni pogoji morajo biti izpolnjeni kumulativno. Upravljavec podatkov ne odgovarja za škodo, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo. Dokazno breme okoliščin, ki utemeljujejo dodelitev odškodnine, nosi tožeča stranka, torej fizična oseba, ki zahteva, da se ji odškodnina dodeli. To v praksi pomeni, da bo moral tožnik med sojenjem izkazati dokaze, iz katerih je razvidno, da je prišlo do kršitve določb o varstvu osebnih podatkov, da je kršitev krivdno dejanje upravljavca podatkov, fizična oseba pa je utrpela posebno škodo. Odškodninsko odgovornost lahko nosi ne le upravljavec podatkov, temveč tudi subjekt, ki obdeluje osebne podatke v imenu upravljavca, če je ravnal v nasprotju z navodili upravljavca podatkov. Upravljavec se lahko zagovarja zoper tožnikov zahtevek, pri čemer navede, da ni odgovoren za dogodek, ki je povzročil škodo fizični osebi.

Primer 1.

Če upravljavec podatkov fizične osebe uporablja proti svoji volji, tvega odškodninsko odgovornost.

Če so bili podatki fizične osebe uporabljeni v skladu z zakonom (npr. v zvezi s potrebo po sklenitvi pogodbe) in je skrbnik sprejel številne ukrepe za zaščito podatkov pred nepooblaščeno uporabo, pa so bili podatki fizične osebe ukradene zaradi hekerskega napada, ki ga upravitelj objektivno ni mogel preprečiti, se lahko upravitelj pred zahtevo po plačilu brani brez krivde.

Če se v rezultatu postopka izkaže, da je upravljavec kršil pravila varstva, vendar so bili v postopek vključeni drugi subjekti (na primer drugi skrbniki ali obdelovalci podatkov), potem upravljavec, ki je plačal odškodnino za škodo povzročili lahko zahtevajo povračilo od drugih subjektov.del odškodnine v višini dela škode, za katero so odgovorni.

Začnite brezplačno 30-dnevno preizkusno obdobje brez obveznosti!

Kršitev določil GDPR - v postopku lahko sodeluje predsednik Urada za varstvo osebnih podatkov

Postopek o dodelitvi odškodnine za materialno ali nepremoženjsko škodo, ki jo utrpi fizična oseba, poteka po določbah Zakonika o pravdnem postopku, ob upoštevanju posebnih predpisov, ki jih določa Zakon o varstvu osebnih podatkov. Okrožno sodišče je pristojno za obravnavanje primerov zaradi kršitve določb o varstvu osebnih podatkov. Odškodninske zadeve bodo – ne glede na znesek spora – vedno v teku pred okrožnim sodiščem. Zakon ne določa posebnih predpisov glede krajevne pristojnosti sodišča, zato je treba šteti, da bo to sodišče splošne pristojnosti obdolženca, torej pristojno za njegov sedež.

Zakon o varstvu osebnih podatkov določa posebne pristojnosti predsednika Urada za varstvo osebnih podatkov:

  • obveznost obveščanja predsednika Urada za varstvo osebnih podatkov o vložitvi tožbe in o dokončnem zaključku zadeve;

  • obveznost prekinitve postopka, če je pred predsednikom urada sprožena zadeva o enaki kršitvi določb o varstvu osebnih podatkov;

  • Predsednik Urada za varstvo osebnih podatkov ima pravico vlagati tožbe v imenu fizične osebe;

  • Predsednik Urada za varstvo osebnih podatkov se lahko vključi v postopek, ki že poteka;

  • Predsednik Urada za varstvo osebnih podatkov ima pravico, da sodišču, ki obravnava zadevo, predstavi pomemben pogled na zadevo.

Ugotovitve v pravnomočni odločbi predsednika Urada za varstvo osebnih podatkov o kršitvi določb o varstvu osebnih podatkov ali v pravnomočni sodbi upravnega sodišča so zavezujoče za sodišče v postopku za odpravo škode, povzročene z kršitev določb GDPR glede kršitve teh določb. Če je tožnikov zahtevek že obravnaval predsednik Urada za varstvo osebnih podatkov (ali upravno sodišče v zvezi s pritožbenim postopkom), bo sodišče postopek, ki ga je začela s pobudo, ustavilo – vendar le, če je tožnikovemu zahtevku ugodeno. v upravnem postopku.