W wyroku z 30.11.2021 r. (sygn. akt 4 U 1158/21) Wyższy Sąd Okręgowy w Dreźnie nakazał spółce i jej dyrektorowi zarządzającemu jako dłużnikom solidarnym zapłatę odszkodowania na podstawie GDPR. Sąd uznał również dyrektora zarządzającego za podmiot odpowiedzialny w rozumieniu GDPR. Tym samym akcjonariusz ponosi osobistą odpowiedzialność obok spółki.
Gdyby sądy kontynuowały tę decyzję, miałoby to poważne konsekwencje dla praktyki.
Fakty
Powód złożył wniosek o członkostwo w stowarzyszeniu. W imieniu stowarzyszenia stowarzyszenie (ściślej: jego dyrektor zarządzający) podjęło działania mające na celu sprawdzenie przeszłości kryminalnej powoda. W tym celu zleciło prywatnemu detektywowi, który następnie przedstawił wyniki istotne z punktu widzenia prawa karnego. W końcu dyrektor zarządzający poinformował zarząd, który w związku z tym odmówił powodowi członkostwa.
Powód postrzegał to jako naruszenie ochrony danych i pozwał nie tylko stowarzyszenie, ale także spółkę ze wspomnianym dyrektorem zarządzającym o odszkodowanie w wysokości 5 000 EUR zgodnie z art. 82 RODO.
Decyzja sądu
W swoim orzeczeniu Wyższy Sąd Krajowy w Dreźnie musiał wyjaśnić kilka kwestii związanych z prawem ochrony danych. Najbardziej poruszające dla praktyki jest pytanie, czy dyrektor zarządzający, który wynajął prywatnego detektywa i przekazał wyniki, ponosi osobistą odpowiedzialność oprócz spółki.
W kontekście tego pytania należało wyjaśnić, czy sam dyrektor zarządzający był administratorem danych i czy jego działania stanowiły niezgodne z prawem przetwarzanie. dane osobowe reprezentowane. Pojawiło się również pytanie, czy szpiegowanie danych może stanowić podstawę roszczenia o odszkodowanie na podstawie art. 82 RODO.
Dyrektor zarządzający jako osoba odpowiedzialna w rozumieniu art. 4 nr 7 DSGVO
Sąd po pierwsze stwierdził, że odpowiedzialność w rozumieniu RODO "jest zawsze potwierdzana, jeżeli osoba fizyczna lub prawna osoba prawna może i decyduje, samodzielnie lub wspólnie z innymi, o celach i środkach przetwarzania danych osobowych". Jeśli pracownik działa zgodnie z instrukcjami, jego odpowiedzialność zasadniczo nie ma zastosowania. Z drugiej strony, dyrektor zarządzający, który sam podejmuje te decyzje, podlega terminowi "administrator danych" w rozumieniu RODO.
Krytyka polega tu na tym, że sąd jedynie powiela definicje z GDPR, nie zajmując się nimi bardziej szczegółowo. W szczególności należało odnieść się do orzecznictwa ETS w zakresie interpretacji pojęcia "administrator danych". Blankietowe zakwalifikowanie dyrektora zarządzającego jako administratora bez odniesienia się do jego pola działania i zależności od zgromadzenia wspólników jest mało przekonujące.
Szpiegowanie jako przetwarzanie danych osobowych w rozumieniu art. 4 nr 1, 2 DSGVO
Z pytaniem o Przetwarzanie danych osobowych Sąd nie zastanawia się nad tym długo. Informacje istotne z kryminalnego punktu widzenia to dane osobowe w rozumieniu art. 4 ust. 1 RODO. Zlecenie prywatnemu detektywowi szpiegowania powoda i późniejsze przekazanie uzyskanych danych Zarządowi również stanowi przetwarzanie w rozumieniu art. 4 ust. 2 RODO. W szczególności odnosi się to do gromadzenia, rejestrowania, ujawniania poprzez przekazywanie i odzyskiwanie.
Niezgodność przetwarzania z prawem
Powód nie wyraził zgody na przetwarzanie danych. Przetwarzanie jest zatem bezprawne, chyba że zachodzi podstawa prawna uzasadniająca.
W tym zakresie sąd stwierdza, że nie istnieje również uzasadniony interes w rozumieniu art. 6 I lit. f DSGVO. Ważąc interesy powoda i pozwanego, szpiegowanie powoda nie było w pierwszej kolejności konieczne. Mniej inwazyjną alternatywą byłoby zwrócenie się do powoda o przedłożenie zaświadczenia o niekaralności wystawionego przez policję.
Ponadto sąd stwierdził, że szpiegowanie przez prywatnego detektywa "narusza również art. 10 RODO, który zakazuje przetwarzania danych osobowych. dane osobowe na temat wyroków skazujących i przestępstw lub powiązanych środków bezpieczeństwa dozwolonych wyłącznie pod nadzorem urzędowym". Pogląd ten został skrytykowany, ponieważ generalnie zabraniałby on pracodawcom żądania od pracowników zaświadczeń o niekaralności.
Odszkodowania zgodnie z art. 82 DSGVO
Sąd uznał, że wyszpiegowanie danych w niniejszej sprawie przekracza próg de minimis i tym samym może skutkować powstaniem roszczenia odszkodowawczego. Ponadto wyszpiegowane dane stały się znane większemu kręgowi osób, co w znacznym stopniu narusza interesy powoda.
Biorąc pod uwagę "charakter, wagę, czas trwania przestępstwa, stopień winy, środki podjęte w celu złagodzenia szkód wyrządzonych zainteresowanym osobom, poprzednie odpowiednie przestępstwa i kategorie zainteresowanych osób". danych osobowych", sąd ustalił kwotę odszkodowania w wysokości ustalono na 5.000 euro. Konkretne określenie szkody niematerialne Sąd nie wdaje się jednak w dalsze szczegóły.
Wniosek
Nawet jeśli decyzja Wyższego Sądu Krajowego w Dreźnie w tej sprawie jest z pewnością możliwa do zakwestionowania, istnieje ryzyko, że inne sądy podążą za tym poglądem i pociągną do osobistej odpowiedzialności poszczególnych dyrektorów zarządzających. Dyrektorzy zarządzający byliby wówczas narażeni na znaczne ryzyko odpowiedzialności. narażone. Zwiększa się to, gdy muszą podejmować decyzje prowadzące do przetwarzania danych.
Pozwól, aby nasz zespół ekspertów pokazał Ci, jak przetwarzanie danych w Twojej firmie może odbywać się zgodnie z przepisami o ochronie danych!
Polski 
Deutsch 
English 
Español 
Français