Rekompensata za kradzież danych, nawet gdy nie przejęto tożsamości

Można domagać się odszkodowania za samą kradzież danych nawet wtedy, gdy nie zostały one wykorzystane przez sprawcę. Trzeba jednak dowieść szkody.

Trybunał Sprawiedliwości Unii Europejskiej rozpoznaje kolejne wnioski prejudycjalne dotyczące odszkodowań związanych z naruszeniem przepisów o ochronie danych osobowych.

– Takie naruszenia mogą się wiązać nie tylko z nałożeniem grzywny przez organ ochrony danych. Odpowiednia ochrona danych osobowych jest też zabezpieczona przepisami o odpowiedzialności cywilnoprawnej ujętymi w art. 82 RODO. W zakres tego przepisu wchodzą postępowania zarówno o odszkodowania za wyrządzoną szkodę majątkową, jak i o zadośćuczynienie za krzywdę. Bardzo szerokie ujęcie tego przepisu prowadzi do wielu sporów i rozbieżności w orzecznictwie. Trudno się więc dziwić, że do TSUE są kierowane różne pytania dotyczące stosowania tego przepisu – zauważa Tomasz Borys, specjalista ds. ochrony danych osobowych.

Najnowsza opinia rzecznika generalnego nie wprowadza większych zmian w dotychczasowej wykładni, bardziej doprecyzowuje znaczenie terminu „kradzież tożsamości”. Przy czym w kontekście prawa do odszkodowania okazuje się on i tak nie mieć większego znaczenia.

„Przyznanie odszkodowania nie wymaga, aby sprawca przybrał tożsamość osoby, której dane dotyczą, ale też samo w sobie posiadanie danych identyfikujących osobę, której dane dotyczą, nie stanowi kradzieży tożsamości” – konkluduje w swej opinii Anthony Michael Collins.

Wykradzione dane

Sprawa dotyczy kradzieży danych dwóch obywateli Niemiec. Założyli oni rachunki inwestycyjne za pomocą aplikacji firmy Scalable Capital, podając szereg danych łącznie z kopią cyfrową swych dowodów tożsamości. Właśnie te dane wykradziono przez nieznanych sprawców. Na tej podstawie poszkodowani domagają się odszkodowania. Sąd w Monachium nie ma wątpliwości, że dane te są stosunkowo wrażliwe, ale ze względu na wysokość żądanych kwot poprosił TSUE o odpowiedź na szereg pytań dotyczących zasad zasądzania odszkodowań w takich przypadkach.

– Istotne wydaje się pytanie piąte, w którym sąd zmierza do ustalenia, czy sama kradzież danych osobowych osoby, której dane dotyczą, przez nieznanego sprawcę stanowi kradzież tożsamości dającą podstawę do roszczenia odszkodowawczego, czy też sprawca musi rzeczywiście przyjąć tożsamość danej osoby lub podjąć starania w tym celu, aby domniemywać kradzież tożsamości – komentuje uwagę Tomasz Borys.

Zdaniem pozwanej spółki Scalable Capital kradzież tożsamości ma miejsce, gdy sprawca w niewłaściwy sposób wykorzystuje dane osobowe konkretnej osoby w celu podszycia się pod tożsamość tej osoby. Kradzież określonych danych może prowadzić do kradzieży tożsamości lub ją ułatwić, ale sama w sobie nie stanowi kradzieży tożsamości. Z tego miałoby wynikać, że bez kradzieży tożsamości (czyli wykorzystania skradzionych danych do podszycia się pod daną osobę) nie można się domagać odszkodowania, bo opierałoby się ono na „abstrakcyjnej możliwości wystąpienia szkody w przyszłości”.

Indywidualna ocena

W analizie tego problemu Anthony Michael Collins przyznaje, że wiele przepisów unijnych (nie tylko RODO) odwołuje się do „kradzieży tożsamości” czy też „oszustw dotyczących tożsamości”, które jednak nigdzie nie zostały zdefiniowane.

– Rzecznik generalny próbuje porządkować kwestie terminologiczne, wyjaśniając, że „samo w sobie posiadanie danych identyfikujących osobę, której dane dotyczą, nie stanowi kradzieży tożsamości”, przy czym jednocześnie zaznacza, że dla przyznania odszkodowania (zadośćuczynienia) nie jest wymagane, żeby do tej kradzieży tożsamości (rozumianej jako przybranie cudzej tożsamości) doszło – zwraca uwagę dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński.

– Z opinii wynika, że kradzież danych osobowych, nawet jeśli nie stanowi kradzieży tożsamości ani oszustwa, może wyrządzić krzywdę i skutkować roszczeniem odszkodowawczym na podstawie art. 82 ust. 1 RODO, jeżeli są spełnione trzy warunki: potwierdzono naruszenie RODO, poniesiono szkodę i istnieje związek przyczynowo-skutkowy między szkodą a naruszeniem – dodaje Tomasz Borys.

Ostatecznie więc z perspektywy roszczeń odszkodowawczych nie ma znaczenia, czy doszło do rzeczywistej kradzieży tożsamości. Wystarczy już sam fakt wykradzenia danych, pod warunkiem że wiąże się on ze szkodą majątkową lub niemajątkową. Udowodnienie szkody niemajątkowej może być łatwiejsze w przypadku, gdy dojdzie do kradzieży tożsamości – przyznaje rzecznik generalny, zaznaczając, że jest to możliwe również w innych sytuacjach.

– Nie da się w sposób zero-jedynkowy skodyfikować wszystkich sytuacji, w których odszkodowanie czy zadośćuczynienie będzie należne. Nie można przyjąć automatycznie, że każde naruszenie RODO oznacza prawo do odszkodowania, jak słusznie uznał TSUE w sprawie C-300/21. Każdą sytuację trzeba badać indywidualnie i indywidualnie oceniać, czy odszkodowanie jest należne – podsumowuje dr Paweł Litwiński. ©℗

orzecznictwo