Dyrektywa NIS2 [1] to jedno z głośniejszych haseł w ostatnim czasie. To już (raczej) powszechnie znany fakt, iż konieczność implementacji dyrektywy NIS2 w ramach przepisów krajowych, wiąże się ze znaczącym rozszerzeniem kręgu podmiotów, które będą zobowiązane do wdrożenia obowiązków wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [2]. Na ustawę, dzięki której regulacje z dyrektywy NIS2 zostaną wprowadzone do naszego porządku prawnego, jeszcze musimy poczekać. Na stan obecny, na podstawie najświeższego projektu ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa [3], możemy wyłącznie przewidywać, jak będzie klarował się przyszły stan prawny. Jako, iż na finalny kształt przepisów musimy poczekać, uwagi wymaga […]
TSUE: samo naruszenie RODO nie wystarcza do uzyskania odszkodowania
16 maja 2023 | Lidia Mucha
Biorąc pod uwagę treść art. 82 ust. 1 RODO, oczywiste powinno być że przesłanką konieczną do uzyskania odszkodowania z tytułu naruszenia unijnego rozporządzenia o ochronie danych jest powstanie szkody, to jednak wydany niedawno wyrok Trybunału Sprawiedliwości Unii Europejskiej (dalej także: TSUE) w tym temacie ma znaczenie przełomowe[1]. Pojawiały się bowiem stanowiska poddające w wątpliwość konieczność wystąpienia szkody bądź marginalizujące jej znaczenie na drodze do uzyskania rekompensaty pieniężnej za naruszenie przepisów z zakresu ochrony danych. Wydany wyrok z całą pewnością kładzie kres, jakimkolwiek wątpliwościom, czy szkoda to jeden z podstawowych elementów od których zależy uzyskanie odszkodowania w związku z naruszeniem RODO.
Tło sprawy: co było przedmiotem sporu?
Wydany przez TSUE wyrok jest wynikiem sprawy dotyczącej odpowiedzialności austriackiego operatora pocztowego za przetwarzanie informacji o preferencjach politycznych mieszkańców kraju. Działanie takie zostało podjęte bez zgody osób mieszkających w Austrii, których dane zostały poddane pod działanie algorytmu w celu oceny ich przekonań politycznych, a następnie sprzedane przez tego operatora różnym organizacjom po to, aby umożliwić im przesyłanie ukierunkowanych treści reklamowych. Zdaniem osoby, której dane zostały wykorzystane, takie postępowanie stanowiło naruszenie RODO i w efekcie złożyła ona pozew o zapłatę zadośćuczynienia[2] z tego tytułu w wysokości 1000 euro, wskazując że poniosła ona szkodę polegającą na odczuciu wewnętrznego dyskomfortu. Sprawa ostatecznie trafiła przed austriacki sąd najwyższy (sądy niższej instancji konsekwentnie nie uwzględniały roszczenia o zapłatę zadośćuczynienia), który zwrócił się do TSUE z pytaniem, czy samo naruszenie RODO jest wystarczające do zasądzenia odszkodowania, czy konieczne jest poniesienie szkody.
Sedno sprawy: konieczne są trzy przesłanki
Lektura wydanego przez TSUE orzeczenia nie pozostawia wątpliwości – do uzyskania odszkodowania, konieczne jest łączne zaistnienie trzech przesłanek:
- naruszenie przepisów unijnego rozporządzenia o ochronie danych
- szkoda
- związek przyczynowy – powstała szkoda musi być następstwem naruszenia przepisów RODO.
Wydany przez TSUE wyrok koresponduje zatem w pełni z literalnym brzmieniem art. 82 ust. 1 RODO, z którego wynika, iż: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.”
Przykładowo, jeżeli w wyniku naruszenia przez bank przepisów RODO (np. braku zapewnienia odpowiednich zabezpieczeń), dojdzie do „wycieku” danych jego klienta, w wyniku czego pozyska je osoba nieupoważniona, która następnie zaciągnie kredyt posługując się danymi uzyskanymi w ten sposób, są podstawy do uzyskania odszkodowania przez klienta banku.
Warto także zaznaczyć, iż brak wystąpienia jednej z przesłanek uniemożliwia skuteczne dochodzenia odszkodowania. Na uwagę zasługują także inne, wynikające z orzeczenia TSUE wnioski, iż:
- to po stronie osoby wnoszącej o zapłatę odszkodowania leży obowiązek wykazania szkody,
- niezgodne z rozporządzeniem unijnym jest uzależnienie uzyskania zadośćuczynienia (czyli odszkodowania za szkodę niemajątkową) od wagi szkody. W mojej ocenie, należy rozumieć to w ten sposób, iż wystarczające jest zaistnienie szkody, a waga szkody może mieć ewentualny wpływ na wysokość zadośćuczynienia.
Ostudźmy jednak przedwczesną radość
Wydany wyrok z całą pewnością ma istotne znaczenie dla praktyki i jest ważnym krokiem w celu eliminacji niezasadnych powództw o odszkodowanie (zadośćuczynienie), opierających swoją argumentację wyłącznie na naruszeniu RODO. Niemniej, nie zapominajmy o celu, jakiemu służy RODO – tj. o istotności ochrony danych osobowych. Dopuszczenie do sytuacji, w której dochodzi na przykład do „wycieku” danych osobowych, nawet jeżeli nie spowoduje to powstania szkody po stronie osób których dane uległy nieuprawnionemu ujawnieniu, powoduje dotkliwe konsekwencje wizerunkowe dla przedsiębiorcy. Należy pamiętać także, że zupełnie inaczej kreują się zasady administracyjnej odpowiedzialności za naruszenie RODO – możliwość nałożenia administracyjnej kary pieniężnej jest uzależniona od samego naruszenia RODO (nie ma konieczności zaistnienia szkody z tytułu naruszenia unijnego rozporządzenia o ochronie danych).
[1] Wyrok z dnia 4 maja 2023r., sygn. C-300-21
[2] Zadośćuczynienie to rodzaj odszkodowania należnego w przypadku powstania szkody niemajątkowej (czyli cierpienia psychicznego lub fizycznego, a zatem: ból, strach, zmniejszenie czy utrata radości życia)
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.