19 grudnia, 2023

Wyrok TSUE w sprawie kryteriów oceny odpowiedniości stosowanych przez administratora środków ochrony danych osobowych w przypadku złamania zabezpieczeń przez hackerów i uzyskania nieuprawnionego dostępu do danych osobowych oraz przesłanek dochodzenia przez podmiot danych odszkodowania.

14 grudnia 2023 r. zapadł ważny wyrok Trybunału Sprawiedliwości UE w sprawie C-340/21 dotyczący ochrony danych osobowych, w którym Trybunał wypowiada się m.in. na temat kryteriów odpowiedzialności administratora za wyciek danych oraz odszkodowania za szkodę niemajątkową.

Stan faktyczny

Bułgarskie media ujawniły, że doszło do ataku hackerskiego systemu informatycznego należącego do agencji publicznej w Bułgarii, wskutek czego ujawniono dane podatkowe i ubezpieczeniowe milionów osób – zarówno obywateli Bułgarii, jak i cudzoziemców. W związku z wyciekiem danych, wiele osób wniosło powództwo przeciwko agencji o zasądzenie na ich rzecz odszkodowania za szkody niemajątkowe. Skarżący podnosili, że ponieśli krzywdę wyrażają się w niepokoju i obawie, że ich dane osobowe mogą zostać wykorzystane w sposób nieuczciwy w przyszłości.

Pytania do Trybunału

Sprawa trafiła do bułagarskiego najwyższego sądu administracyjnego, który zwrócił się z pytaniami prejudycjalnymi do Trybunału:

  1. Czy samo zrealizowanie nieuprawnionego ujawnienia lub dostępu do danych osobowych przez osoby, które nie są urzędnikami w administracji administratora danych osobowych i nie są pod jego kontrolą oznacza, że zastosowane przez administratora danych osobowych środki techniczne i organizacyjne są nieodpowiednie?
  2. Jaki powinien być przedmiot i zakres sądowej kontroli zgodności z prawem przy weryfikacji, czy zastosowane przez administratora danych osobowych środki techniczne i organizacyjne, są odpowiednie?
  3. Czy w sprawie o odszkodowanie to na administratorze danych osobowych ciąży ciężar dowodu odnośnie do okoliczności, że zastosowane środki techniczne i organizacyjne ochrony danych są odpowiednie? Czy zarządzenie sporządzenia opinii przez biegłego sądowego można uznać za niezbędny i wystarczający środek dowodowy dla celów ustalenia, czy zastosowane przez administratora danych osobowych środki techniczne i organizacyjne są odpowiednie w sytuacji takiej jak rozpatrywana, w której nieuprawniony dostęp i ujawnianie danych osobowych jest rezultatem ataku hackerskiego?
  4. Czy nieuprawnione ujawnienie danych wskutek ataku hackerskiego jest zdarzeniem, w odniesieniu do którego administrator danych osobowych w żaden sposób nie ponosi winy, i jest podstawą zwolnienia z odpowiedzialności?
  5. Czy w sytuacji, w której naruszono bezpieczeństwo danych osobowych wskutek ataku hackerskiego same w sobie przeżyte przez podmiot danych osobowych obawy, zmartwienia i strach przed ewentualnym przyszłym nadużyciem danych osobowych – bez zaistnienia takiego nadużycia lub wyrządzenia innej szkody podmiotowi danych – są objęte szerokim rozumieniem pojęcia szkód niematerialnych i stanowi [to] podstawę do zasądzenia odszkodowania?

Stanowisko Trybunału

Odpowiadając kolejno na przedstawione pytania Trybunał stwierdził, że:

  1. Nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do tych danych przez „osoby trzecie” nie są wystarczające do uznania, że środki techniczne i organizacyjne wdrożone przez administratora danych nie były „odpowiednie”.
  2. Odpowiedniość środków technicznych i organizacyjnych wdrożonych przez administratora na podstawie tego artykułu powinna być oceniana przez sądy krajowe w sposób konkretny, z uwzględnieniem ryzyka związanego z danym przetwarzaniem i przy ocenie, czy charakter, treść i wdrożenie tych środków są odpowiednie do tego ryzyka.
  3. W ramach powództwa o odszkodowanie opartego na art. 82 RODO na danym administratorze danych spoczywa ciężar udowodnienia odpowiedniości środków bezpieczeństwa, które wdrożył. Nadto, w celu oceny adekwatności tych środków, opinia biegłego sądowego nie może stanowić wystarczającego środka dowodowego.
  4. Administrator danych nie może zostać zwolniony z obowiązku naprawienia szkody poniesionej przez osobę fizyczną, tylko dlatego, że szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez „osoby trzecie”; administrator musi udowodnić, że nie jest w żaden sposób odpowiedzialny za zdarzenie, które spowodowało daną szkodę.
  5. Brzmienie art. 82 ust. 1 RODO nie stoi na przeszkodzie temu, by pojęcie „krzywdy” zawarte w tym przepisie obejmowało sytuację taką jak ta, o której wspomina sąd odsyłający, w której osoba, której dane dotyczą, powołuje się, w celu uzyskania odszkodowania na podstawie tego przepisu, na obawę, że jej dane osobowe będą w przyszłości przedmiotem niewłaściwego wykorzystania przez osoby trzecie w wyniku naruszenia tego rozporządzenia, które miało miejsce. Obawa przed potencjalnym niewłaściwym wykorzystaniem danych osobowych przez osoby trzecie, której dane dotyczą w wyniku naruszenia tego rozporządzenia, może sama w sobie stanowić „krzywdę” w rozumieniu tego przepisu.

W powyższym Wyroku warto przede wszystkim zwrócić uwagę na kwestię odszkodowania za „krzywdę”, która zgodnie ze stanowiskiem Trybunału może nawet przejawiać w samej obawie przed wykorzystaniem danych w przyszłości. Tak szerokie rozumienie krzywdy w praktyce może przyczynić się do większej ilości pozwów o odszkodowanie z tytułu naruszenia ochrony danych osobowych.  

Wyrok Trybunału potwierdza również,  jak istotną rolą jest wprowadzenie odpowiednich środków technicznych i organizacyjnych chroniących danej osobowe. Co ważne, to na administratorze leży ciężar udowodnienia, że zastosował odpowiednie środki. Trybunał w tym zakresie potwierdza wcześniejsze orzecznictwo.