DPO On Demand

Objektivna odgovornost za kršitev varnosti obdelave

Obsežni civilni postopki postajajo vse pogostejši tudi na področju varstva osebnih podatkov. Sodba, ki je bila objavljena v zadevi Lloyd proti Google, je klasičen primer takšnega stanja.
Ko gre za skupinske tožbe zaradi kršitev osebnih podatkov podatkov, pa je najboljša ilustracija doslej skupinska tožba proti družbi Morrisons. Kršitev varnosti obdelave v družbi Morrisons je bila posledica naklepnega in nezakonitega posega nezadovoljnega nekdanjega delavca. Uporabil je svoj delovni dostop do baz podatkov družbe, da bi ukradel in objavil osebne podatke o skoraj 100.000 zaposlenih družbe Morrisons. Podatki so bili sestavljeni iz imen, naslovov, spola, datuma rojstva, telefonskih številk (domačih ali mobilnih telefonskih številk), številk zavarovanja, TRR ter podrobnosti o plačah. Britanski Informacijski pooblaščenec (ICO) je to dejanje preiskoval, vendar je odločil, da ne more izreči ustreznega (inšpekcijskega) ukrepa. Kljub temu je okoli 5.500 prizadetih delavcev vložilo skupinsko tožbo, sodišče pa je ugotovilo, da družba Morrisons ni bila neposredno odgovorna za kršitev, saj sama ni zlorabila nobenih osebnih podatkov, ukrepi družbe za varnost obdelave pa so bili primerni. Kljub temu je družba (objektivno) odgovorna za dejanja svojega delavca. Prav zaradi objektivne odgovornosti je družba vložila pritožbo. Pritožbeno sodišče ni sledilu ugovoru družbe, da je ta v svoje delovanje vpeljala vse varovalke, kot jih zahteva nacionalni zakon o varstvu osebnih podatkov in da tako ne more biti odgovorna za nezakonito dejanje svojega zaposlenega. Tako je sodišče potrdilo stališče prvostopenjskega sodišča, da je družba

Vsebina članka je dostopna članom DPO Kluba.