Wielu lokalnych włodarzy nie ma pojęcia, że odpowiada za naruszenia w przetwarzaniu danych osobowych w podległych im instytucjach. A tymczasem prawnicy mówią wprost: to wielkie zagrożenie dla samorządowców.
O tym, że trzeba przestrzegać RODO, przeważająca większość urzędników doskonale wie. Ale brakuje świadomości, że JST odpowiada za naruszenia podlegającej jej jednostki organizacyjnej, nieposiadającej osobowości prawnej. Tymczasem prawie każda ma pod sobą co najmniej kilka jednostek pomocniczych. – Większość gmin nie zdaje sobie w ogóle sprawy, że od strony cywilnej w istocie odpowiadają także za ich działania – mówi dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”. Tym samym to właśnie samorząd może ponieść koszty za działania podległego mu ośrodka pomocy społecznej, szkoły, przedszkola czy biblioteki. Z naszej kwerendy wynika, że włodarze o swych obowiązkach nie mają pojęcia. Większość myśli, że skoro dane osobowe przetwarza np. OPS, to odpowiada za nie kierownik tego ośrodka. A to nieprawda.

Naruszenia już są

Kłopot bynajmniej nie jest teoretyczny. Pokazał to głośny proces byłej kierowniczki jednego z ośrodków pomocy społecznej, o którym jako pierwszy napisał DGP. Usłyszała ona wyrok roku i ośmiu miesięcy pozbawienia wolności za nielegalne wykorzystywanie pozyskanych danych osobowych w celu złożenia wniosków o pożyczkę (wyrok Sądu Apelacyjnego we Wrocławiu z 23 stycznia 2019 r., sygn. akt II AKa 405/18). Sprawa ta każe postawić pytanie o odpowiedzialność cywilną. Innymi słowy: kto odpowiada za naruszenie RODO przez urzędniczkę OPS – sama urzędniczka, gmina czy może Skarb Państwa?
– Ośrodek pomocy społecznej, wykonując zadania własne gminy, działa w ramach jej osobowości prawnej. Implikuje to brak zdolności sądowej OPS-u, a więc to gmina będzie oznaczona jako pozwany w postępowaniu cywilnym – nie ma wątpliwości adwokat Justyna Wyrzykowska, partner zarządzający w Kancelarii Wyrzykowscy Sp. z o.o., prowadzącej stronę Rodowsamorzadach.pl. Wskazuje ona dodatkowo na art. 49 ust. 1 ustawy o samorządzie gminnym, z którego można wysnuć, że gmina ponosi odpowiedzialność za zobowiązania swojej jednostki organizacyjnej nieposiadającej osobowości prawnej. I sytuacji bynajmniej nie zmienia to, że zgodnie z art. 82 ust. 2 RODO odpowiedzialność co do zasady spoczywa na administratorze. Ważniejsze tu jest, że to jednostka samorządu terytorialnego ponosi ciężar finansowy zgodnie z zasadą działania podległej jednostki na jej rzecz.
Odpowiedzialność gminy nie wyklucza jednak konsekwencji dla kierownika jednostki podległej. Skutkiem zapłacenia odszkodowania przez gminę może bowiem być naruszenie dyscypliny finansów publicznych przez szefa OPS-u.
– Wedle art. 31 ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych możliwymi karami są m.in. nagana, kara pieniężna bądź nawet zakaz pełnienia funkcji związanych z dysponowaniem środkami publicznymi – wyjaśnia mec. Justyna Wyrzykowska.

Nierozwiązany kłopot

Doktor Marlena Sakowska-Baryła mówi wprost: sytuacja pod względem prawnym jest skomplikowana i wręcz groźna dla gmin. I tłumaczy, że w polskich warunkach mamy do czynienia z nietypową sytuacją. Posługując się przykładem skazanej kierowniczki OPS: przetwarzała ona dane osobowe w imieniu publicznej jednostki organizacyjnej. Ta jednak sama z siebie nie posiada osobowości prawnej. A zatem, chcąc pozwać OPS za naruszenie rozporządzenia unijnego, należałoby pozwać gminę. – Przy czym samo skazanie kierowniczki nie przekłada się bezpośrednio na odpowiedzialność administratora. Wiążąca dla sądu byłaby dopiero decyzja prezesa Urzędu Ochrony Danych Osobowych – zaznacza ekspertka.
Jej zdaniem warto, by sprawie przyjrzał się ustawodawca. Ewentualnie przydałaby się rzetelna kampania informacyjna, dotycząca zakresu pojęcia „administrator”, a także na temat zasad odpowiedzialności za naruszenia prawa ochrony danych osobowych. – Może być bowiem tak, że naruszeń pojawi się więcej, a ludzie zaczną pozywać gminy. Wówczas pojawi się problem, bo jednostki samorządu terytorialnego nie mają obecnie wyodrębnionych pieniędzy na taki cel, jak wypłata odszkodowań – mówi mec. Sakowska-Baryła. Jak dodaje, w takiej sytuacji JST musiałyby dokonywać przesunięć budżeto wych. Gdyby radni nie chcieli tego zrobić, to w grę wchodziłoby nawet postępowanie egzekucyjne względem gminy – uważa prawniczka.

opinia eksperta

Administrator nie zawsze odpowie za swoje działania

Agnieszka Świątek-Druś rzecznik prasowy Urzędu Ochrony Danych Osobowych
Rozporządzenie RODO wyraźnie przesądza (art. 79), że każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może (niezależnie od skorzystania z innych środków ochrony) dochodzić swoich praw przed sądem powszechnym. Ajeśli uważa, że poniósł szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania (art. 82 RODO). Te zasady obowiązują wkażdym państwie członkowskim UE. Niemniej wzwiązku zróżnicami wprzepisach prawa krajowego to, przeciwko jakiemu konkretnie podmiotowi wnieść pozew, należy rozpatrywać również zuwzględnieniem tych przepisów szczególnych.
I tak, zgodnie zart. 100 ustawy oochronie danych osobowych „do postępowania wsprawie o roszczenie ztytułu naruszenia przepisów o ochronie danych osobowych, wzakresie nieuregulowanym niniejszą ustawą stosuje się przepisy Kodeksu postępowania cywilnego”. Oznacza to konieczność uwzględnienia specyfiki postępowania cywilnego, aw szczególności regulacji dotyczących zdolności sądowej. Przesądzają one, że zdolność sądową (możliwość uczestnictwa wpostępowaniu cywilnym jako strona) mają osoby fizyczne iprawne (art. 64 par. 1 k.p.c.) oraz podmioty niebędące osobami prawnymi, amające zgodnie zustawą zdolność prawną (art. 64 par. 11 k.p.c.).
W świetle powołanych przepisów nie powinno być trudności co do prawidłowego oznaczenia strony pozwanej wprzypadku, gdy administrator bądź podmiot przetwarzający, któremu zarzucamy naruszenie przepisów RODO, ma status osoby fizycznej lub osoby prawnej (np. gminy, spółki akcyjnej, spółki zo.o. itp.) Wątpliwości mogą się pojawić, gdy mamy do czynienia zpodmiotami, które wprawdzie mają status administratora (albo podmiotu przetwarzającego), ale nie są osobami prawnymi. Wtedy istotne znaczenie dla prawidłowych ustaleń wtym zakresie mogą mieć regulacje szczególne dotyczące funkcjonowania takich podmiotów. Przepisy te mogą przesądzić ozdolności sądowej takich podmiotów albo wskazać, kto ponosi odpowiedzialność za ich działanie, gdy nie mają one zdolności sądowej. Przykładowo, jeżeli wwyniku nieprawidłowego przetwarzania danych przez szkołę ponieśliśmy szkodę (majątkową lub niemajątkową), ewentualne powództwo kierujemy przeciwko organom prowadzącym szkołę lub placówkę, odpowiadającym za jej działalność, tj. odpowiedniej jednostce samorządu terytorialnego, osobie fizycznej lub osobie prawnej. Wynika to zfaktu, że żaden przepis prawny nie przyznaje szkole zdolności prawnej. Natomiast regulacje dotyczące oświaty wyraźnie przesądzają, że za działanie szkoły odpowiedzialność ponosi organ założycielski.
Wskazany Ośrodek Pomocy Społecznej (OPS) nie posiada zdolności sądowej. Jest on jednostką organizacyjną gminy, co określa art. 110 ustawy opomocy społecznej. Dlatego ewentualne powództwo ztytułu naruszenia przez OPS ochrony danych należałoby skierować przeciwko podmiotowi odpowiedzialnemu za jego działanie, czyli gminie.
Należy podkreślić, że nieprawidłowe oznaczenie strony pozwanej może skutkować odrzuceniem pozwu zpowodu braku jej zdolności sądowej (art. 199 par. 1 pkt 3 ipar. 2 k.p.c.). Dlatego mając wperspektywie wytoczenie powództwa ztytułu naruszenia praw przysługujących na mocy RODO, warto wnikliwie przeanalizować przepisy dotyczące zdolności sądowej, zwłaszcza zaś przepisy sektorowe regulujące funkcjonowanie danego administratora lub podmiotu przetwarzającego.