Esetek/Blog

GDPR: a kártérítés szabályozása

A hatályos Info. törvény szerint az adatkezelő két esetben köteles megtéríteni az érintettnek okozott kárt:

  • az adatok jogellenes kezelése és
  • az adatbiztonsági követelmények megsértése esetén

A kár megfizetéséért minden helyzetben az adatkezelő a felelős, akkor is, ha a kárt az adatfeldolgozó okozza.

Az okozott kár megtérítése alól akkor van lehetőség a mentesülésre, ha az adatkezelő bizonyítja, hogy „az adatkezelés körén kívül eső elháríthatatlan ok idézte elő”

A bírósági gyakorlatban a kártérítés iránti igény általában akkor alaptalan, ha az érintettet ért esetleges kár, és az adatkezelő magatartása között hiányzik az okozati összefüggés.

A GDPR máshogy közelít a kérdéshez, aminek gyakorlati jelentősége is lesz: minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, kártérítésre jogosult (a rendelettel összhangban elfogadott, az e rendeletben lévő szabályokat részletező tagállami jogot sértő adatkezelés is ide tartozik).

A kártérítés kötelezettje főszabály szerint az adatkezelő, de a rendelet bevezeti az adatfeldolgozó felelősségét akkor, ha

  • nem tartotta be a rendeletben előírt adatfeldolgozókat terhelő kötelezettségeket vagy
  • az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

Ha az adatkezelésben, adatfeldolgozásban egyszerre több személy vesz részt, akkor valamennyi adatkezelő, adatfeldolgozó egyetemleges felelősséggel tartozik a kár teljes mértékéért.

A mentesülés szabályai a következőképpen alakulnak: Az adatkezelőnek (vagy adatfeldolgozónak) azt kell bizonyítani, hogy a kárt előidéző eseményért őt SEMMILYEN MÓDON NEM TERHELI felelősség.

Tehát például, amennyiben egy cégtől a személyes adatok nyilvánosságra kerülnek, az érintettek kártérítést érvényesíthetnek a céggel szemben. Itt az releváns, hogy a cég milyen biztonsági eszközökkel védi az érintettek adatait. Annak bizonyítása, hogy megfelelő informatikai adatbiztonsági eszközöket tart fent az adatok védelme érdekében, az adatkezelőt terheli (az adatkezelés módjáról ugyanakkor tájékoztatni kell az érintetteket – akik bizonyos típusú adatkezelések ellen tiltakozhatnak).