28 marca, 2024

Czy sama utrata kontroli nad danymi osobowymi przez administratora może uzasadniać konieczność wypłaty odszkodowania?

Niedawno opublikowane orzeczenie TSUE1 zawiera istotne dla praktyki wskazówki dotyczące przesłanek dochodzenia odszkodowania przez podmiot danych w sytuacji, gdy administrator danych utracił kontrolę na danymi osobowymi.

O co chodziło w sprawie?

W sprawie, która trafiła do TSUE, rozpoznawanej przez jeden z niemieckich sądów, stan faktyczny przedstawiał się następująco.

Powód – osoba fizyczna – udał się do jednego ze sklepów branży artykułów gospodarstwa domowego, gdzie nabył towar i podpisał umowę sprzedaży oraz kredytu. Dokumenty te zawierały takie dane osobowe jak: imię, nazwisko, adres, miejsce zamieszkania, nazwa pracodawcy, dochody oraz dane bankowe. 

Podczas wydawania towaru i podpisanych przez powoda dokumentów, przed powoda niepostrzeżenie wsunął się inny klient i to on odebrał od pracownika sklepu zarówno towar jak i dokumenty. Na skutek szybkiego działania personelu sklepu odzyskano je w ciągu pół godziny i przekazano powodowi.

Sklep był gotowy zrekompensować powodowi tę sytuację poprzez nieodpłatne dostarczenie mu urządzenia do domu, ten jednak uznał to za niewystarczające i wniósł do niemieckiego sądu przeciwko sklepowi pozew o zapłatę odszkodowania. Swoje żądanie oparł m. in. o przepis art. 82 RODO, który stanowi, że każda osoba, która poniosła majątkową lub niemajątkową szkodę w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub procesora odszkodowanie za poniesioną szkodę.

Broniąc się przed tym roszczeniem, sklep podniósł, że w tym przypadku nie doszło do naruszenia RODO, a nadto, że powód nie poniósł żadnej szkody – nie podniósł  bowiem, żeby osoba trzecia nadużyła jego danych osobowych (ani tym bardziej tego nie udowodnił).

O co pytał TSUE sąd niemiecki?

Niemiecki sąd nabrał wątpliwości, czy ze wspomnianego wyżej przepisu art. 82 RODO wynika, że warunkiem przyznania odszkodowania jest, obok naruszenia RODO, także wystąpienie szkody przez osobę, która go żąda. Ponadto, sąd ma wątpliwości, czy sam fakt, że wydrukowane dokumenty zawierające dane osobowe zostały przekazane bez upoważnienia stronie trzeciej w wyniku błędu popełnionego przez pracowników administratora danych, pozwala stwierdzić naruszenie RODO. Sąd zastanawia się także, czy w sytuacji gdy osoba trzecia nie zapoznała się z danymi osobowymi przed zwróceniem dokumentów, szkodę niemajątkową można wykazać tylko na tej podstawie, że osoba, której te dane dotyczyły, odczuwa obawę przed ryzykiem, że dane te zostaną jednak przez tę trzecią osobę ujawnione komuś innemu lub zostaną w nieuprawniony sposób użyte. 

Stanowisko TSUE

Rozpoznając pytania prejudycjalne niemieckiego sądu, TSUE wskazał następująco.

Podkreślił, że samo naruszenie przepisów RODO nie stanowi przesłanki uzasadniającej zasądzenie odszkodowania, o którym stanowią przepisy tego rozporządzenia. I chociaż w wielu innych orzeczeniach TSUE sprzeciwia się takim przepisom lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za szkodę niemajątkową od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi, to jednak ta osoba ma obowiązek wykazać, że konsekwencje naruszenia RODO stanowią szkodę niemajątkową. A zatem wykazanie samego naruszenia RODO nie jest wystarczające.

Szkodę niemajątkową powinno rozumieć się szeroko i sama obawa przed potencjalnym nadużyciem danych osobowych przez podmiot trzeci, może sama w sobie stanowić tego rodzaju szkodę. TSUE nie wykluczył, że nawet krótkotrwała – jak w sprawie rozpoznawanej przez niemiecki sąd – utrata kontroli nad danymi, może prowadzić do powstania szkody niemajątkowej (brak pewności, czy osoba trzecia nie skopiowała danych lub nie zostaną one wykorzystane w przyszłości). Osoba, której dane dotyczą musi jednak powstanie szkody wykazać, a – w ocenie TSUE – czysto hipotetyczne ryzyko nadużycia przez nieupoważnioną osobę danych nie może stanowić podstawy przyznania odszkodowania.

Odnosząc się do pytań niemieckiego sądu, czy w analizowanej sprawie można mówić o naruszeniu RODO, a więc czy wdrożone przez administratora danych techniczne i organizacyjne środki ochrony danych nie były odpowiednie w rozumieniu RODO, TSUE przypomniał, że odpowiedni charakter środków wdrożonych przez administratora należy oceniać w sposób konkretny, biorąc pod uwagę różne kryteria oraz potrzeby ochrony danych specyficznie związane z danym przetwarzaniem, a także wynikające z niego ryzyko. TSUE podkreślił, że samo nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez osoby trzecie, nie jest wystarczające do przyjęcia, że wdrożone przez administratora środki nie były odpowiednie (w rozumieniu RODO). Jednak ciężar wykazania, że tak było spoczywa – jako efekt przewidzianej w RODO zasady rozliczalności – na administratorze.

W postępowaniu sądowym mającym za przedmiot odszkodowanie sąd nie może zatem ograniczyć się jedynie do ustalenia, że doszło do naruszenia RODO. Sąd musi ocenić także wszelkie dowody, które administrator przedstawi w celu wykazania, że wdrożone przez niego środki były odpowiednie. 

Znaczenie wyroku

Wyrok TSUE stanowi niewątpliwie cenną wskazówkę co do sposobu interpretacji dość ogólnie sformułowanych przepisów RODO i daje administratorom danych narzędzia do obrony przed roszczeniami odszkodowawczymi zgłaszanymi na podstawie przepisów RODO.

  1. Wyrok z dnia 25 stycznia 2024 r. C-687/21