Wielu lokalnych włodarzy nie ma pojęcia, że odpowiada za naruszenia w przetwarzaniu danych osobowych w podległych im instytucjach. A tymczasem prawnicy mówią wprost: to wielkie zagrożenie dla samorządowców.
O tym, że trzeba przestrzegać RODO, przeważająca większość urzędników doskonale wie. Ale brakuje świadomości, że JST odpowiada za naruszenia podlegającej jej jednostki organizacyjnej, nieposiadającej osobowości prawnej. Tymczasem prawie każda ma pod sobą co najmniej kilka jednostek pomocniczych. – Większość gmin nie zdaje sobie w ogóle sprawy, że od strony cywilnej w istocie odpowiadają także za ich działania – mówi dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”. Tym samym to właśnie samorząd może ponieść koszty za działania podległego mu ośrodka pomocy społecznej, szkoły, przedszkola czy biblioteki. Z naszej kwerendy wynika, że włodarze o swych obowiązkach nie mają pojęcia. Większość myśli, że skoro dane osobowe przetwarza np. OPS, to odpowiada za nie kierownik tego ośrodka. A to nieprawda.

Naruszenia już są

Kłopot bynajmniej nie jest teoretyczny. Pokazał to głośny proces byłej kierowniczki jednego z ośrodków pomocy społecznej, o którym jako pierwszy napisał DGP. Usłyszała ona wyrok roku i ośmiu miesięcy pozbawienia wolności za nielegalne wykorzystywanie pozyskanych danych osobowych w celu złożenia wniosków o pożyczkę (wyrok Sądu Apelacyjnego we Wrocławiu z 23 stycznia 2019 r., sygn. akt II AKa 405/18). Sprawa ta każe postawić pytanie o odpowiedzialność cywilną. Innymi słowy: kto odpowiada za naruszenie RODO przez urzędniczkę OPS – sama urzędniczka, gmina czy może Skarb Państwa?
– Ośrodek pomocy społecznej, wykonując zadania własne gminy, działa w ramach jej osobowości prawnej. Implikuje to brak zdolności sądowej OPS-u, a więc to gmina będzie oznaczona jako pozwany w postępowaniu cywilnym – nie ma wątpliwości adwokat Justyna Wyrzykowska, partner zarządzający w Kancelarii Wyrzykowscy Sp. z o.o., prowadzącej stronę Rodowsamorzadach.pl. Wskazuje ona dodatkowo na art. 49 ust. 1 ustawy o samorządzie gminnym, z którego można wysnuć, że gmina ponosi odpowiedzialność za zobowiązania swojej jednostki organizacyjnej nieposiadającej osobowości prawnej. I sytuacji bynajmniej nie zmienia to, że zgodnie z art. 82 ust. 2 RODO odpowiedzialność co do zasady spoczywa na administratorze. Ważniejsze tu jest, że to jednostka samorządu terytorialnego ponosi ciężar finansowy zgodnie z zasadą działania podległej jednostki na jej rzecz.
Odpowiedzialność gminy nie wyklucza jednak konsekwencji dla kierownika jednostki podległej. Skutkiem zapłacenia odszkodowania przez gminę może bowiem być naruszenie dyscypliny finansów publicznych przez szefa OPS-u.
– Wedle art. 31 ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych możliwymi karami są m.in. nagana, kara pieniężna bądź nawet zakaz pełnienia funkcji związanych z dysponowaniem środkami publicznymi – wyjaśnia mec. Justyna Wyrzykowska.

Nierozwiązany kłopot

Doktor Marlena Sakowska-Baryła mówi wprost: sytuacja pod względem prawnym jest skomplikowana i wręcz groźna dla gmin. I tłumaczy, że w polskich warunkach mamy do czynienia z nietypową sytuacją. Posługując się przykładem skazanej kierowniczki OPS: przetwarzała ona dane osobowe w imieniu publicznej jednostki organizacyjnej. Ta jednak sama z siebie nie posiada osobowości prawnej. A zatem, chcąc pozwać OPS za naruszenie rozporządzenia unijnego, należałoby pozwać gminę. – Przy czym samo skazanie kierowniczki nie przekłada się bezpośrednio na odpowiedzialność administratora. Wiążąca dla sądu byłaby dopiero decyzja prezesa Urzędu Ochrony Danych Osobowych – zaznacza ekspertka.
Jej zdaniem warto, by sprawie przyjrzał się ustawodawca. Ewentualnie przydałaby się rzetelna kampania informacyjna, dotycząca zakresu pojęcia „administrator”, a także na temat zasad odpowiedzialności za naruszenia prawa ochrony danych osobowych. – Może być bowiem tak, że naruszeń pojawi się więcej, a ludzie zaczną pozywać gminy. Wówczas pojawi się problem, bo jednostki samorządu terytorialnego nie mają obecnie wyodrębnionych pieniędzy na taki cel, jak wypłata odszkodowań – mówi mec. Sakowska-Baryła. Jak dodaje, w takiej sytuacji JST musiałyby dokonywać przesunięć budżeto wych. Gdyby radni nie chcieli tego zrobić, to w grę wchodziłoby nawet postępowanie egzekucyjne względem gminy – uważa prawniczka.

opinia eksperta

Administrator nie zawsze odpowie za swoje działania

Agnieszka Świątek-Druś rzecznik prasowy Urzędu Ochrony Danych Osobowych
Rozporządzenie RODO wyraźnie przesądza (art. 79), że każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może (niezależnie od skorzystania z innych środków ochrony) dochodzić swoich praw przed sądem powszechnym. A jeśli uważa, że poniósł szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania (art. 82 RODO). Te zasady obowiązują w każdym państwie członkowskim UE. Niemniej w związku z różnicami w przepisach prawa krajowego to, przeciwko jakiemu konkretnie podmiotowi wnieść pozew, należy rozpatrywać również z uwzględnieniem tych przepisów szczególnych.
I tak, zgodnie z art. 100 ustawy o ochronie danych osobowych „do postępowania w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, w zakresie nieuregulowanym niniejszą ustawą stosuje się przepisy Kodeksu postępowania cywilnego”. Oznacza to konieczność uwzględnienia specyfiki postępowania cywilnego, a w szczególności regulacji dotyczących zdolności sądowej. Przesądzają one, że zdolność sądową (możliwość uczestnictwa w postępowaniu cywilnym jako strona) mają osoby fizyczne i prawne (art. 64 par. 1 k.p.c.) oraz podmioty niebędące osobami prawnymi, a mające zgodnie z ustawą zdolność prawną (art. 64 par. 11 k.p.c.).
W świetle powołanych przepisów nie powinno być trudności co do prawidłowego oznaczenia strony pozwanej w przypadku, gdy administrator bądź podmiot przetwarzający, któremu zarzucamy naruszenie przepisów RODO, ma status osoby fizycznej lub osoby prawnej (np. gminy, spółki akcyjnej, spółki z o.o. itp.) Wątpliwości mogą się pojawić, gdy mamy do czynienia z podmiotami, które wprawdzie mają status administratora (albo podmiotu przetwarzającego), ale nie są osobami prawnymi. Wtedy istotne znaczenie dla prawidłowych ustaleń w tym zakresie mogą mieć regulacje szczególne dotyczące funkcjonowania takich podmiotów. Przepisy te mogą przesądzić o zdolności sądowej takich podmiotów albo wskazać, kto ponosi odpowiedzialność za ich działanie, gdy nie mają one zdolności sądowej. Przykładowo, jeżeli w wyniku nieprawidłowego przetwarzania danych przez szkołę ponieśliśmy szkodę (majątkową lub niemajątkową), ewentualne powództwo kierujemy przeciwko organom prowadzącym szkołę lub placówkę, odpowiadającym za jej działalność, tj. odpowiedniej jednostce samorządu terytorialnego, osobie fizycznej lub osobie prawnej. Wynika to z faktu, że żaden przepis prawny nie przyznaje szkole zdolności prawnej. Natomiast regulacje dotyczące oświaty wyraźnie przesądzają, że za działanie szkoły odpowiedzialność ponosi organ założycielski.
Wskazany Ośrodek Pomocy Społecznej (OPS) nie posiada zdolności sądowej. Jest on jednostką organizacyjną gminy, co określa art. 110 ustawy o pomocy społecznej. Dlatego ewentualne powództwo z tytułu naruszenia przez OPS ochrony danych należałoby skierować przeciwko podmiotowi odpowiedzialnemu za jego działanie, czyli gminie.
Należy podkreślić, że nieprawidłowe oznaczenie strony pozwanej może skutkować odrzuceniem pozwu z powodu braku jej zdolności sądowej (art. 199 par. 1 pkt 3 i par. 2 k.p.c.). Dlatego mając w perspektywie wytoczenie powództwa z tytułu naruszenia praw przysługujących na mocy RODO, warto wnikliwie przeanalizować przepisy dotyczące zdolności sądowej, zwłaszcza zaś przepisy sektorowe regulujące funkcjonowanie danego administratora lub podmiotu przetwarzającego.