Wyciek danych może być podstawą do żądania zadośćuczynienia od administratora

Już same obawy wynikające z wykradzenia danych osobowych mogą być podstawą do żądania zadośćuczynienia od administratora – uznał TSUE.

Najnowszy wyrok Trybunału Sprawiedliwości Unii Europejskiej ma dla przedsiębiorców słodko-gorzki smak. Z jednej strony, co jest dobrą wiadomością dla biznesu, potwierdza, że sam fakt wykradzenia danych przez cyberprzestępców nie może stanowić podstawy do nałożenia kary finansowej. Z drugiej – wnika z niego, że same obawy związane z przejęciem danych, bez realnych negatywnych konsekwencji, wystarczą, by żądać od administratora zadośćuczynienia. Przy dużych wyciekach potencjalne skutki finansowe mogą więc być dla firmy większe od kar nakładanych przez organy ochrony danych.

Odpowiednie zabezpieczenia

Sprawa dotyczy wykradzenia w 2019 r. danych podatników z systemu bułgarskiej krajowej agencji przychodów skarbowych (NAP). Dane te hakerzy następnie opublikowali w internecie. Łącznie chodziło o 6 mln podatników. Kilkuset z nich wytoczyło NAP powództwa, żądając rekompensaty za szkody niemajątkowe. W jednej z takich spraw kobieta domaga się zasądzenia 1000 lewów (ok. 2,2 tys. zł). Sąd rozpoznający tę sprawę nabrał wątpliwości, jak interpretować przepisy RODO, i skierował wniosek prejudycjalny do TSUE.

W pierwszym pytaniu sąd zastanawia się, czy sam fakt wykradzenia danych przez cyberprzestępców świadczy o tym, że dane były niewłaściwie zabezpieczone. TSUE odpowiedział na to pytanie przecząco. Zwrócił uwagę, że zgodnie z art. 24 i 32 RODO administrator jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku. Nawet jeśli środki te okażą się niewystarczające i hakerzy przełamią zabezpieczenia, to nie musi to oznaczać, że były one nieodpowiednie. Administrator musi ograniczyć ryzyka wykradzenia danych, ale nie można od niego wymagać całkowitego wyeliminowania tego zagrożenia.

– Niektórzy mogą patrzeć na to w ten sposób, że skoro doszło do wycieku, to znaczy, że administrator nie wykonał swoich obowiązków. Tymczasem jest zupełnie inaczej. TSUE bardzo trafnie zauważa, że RODO „ustanawia system zarządzania ryzykiem i w żaden sposób nie ma na celu wyeliminowania ryzyka naruszeń danych osobowych”. Administrator powinien zatem przeprowadzić i udokumentować ocenę ryzyka oraz wdrożyć środki wynikające z tej oceny. Jeśli te działania zrealizował rzetelnie, to nie będzie ponosił odpowiedzialności za naruszenie przepisów RODO, nawet jeśli dojdzie do incydentu – zauważa Sławomir Kowalski, adwokat z kancelarii GRC Legal.

– Zakwestionowanie prawidłowości oceny dokonanej przez administratora nie może polegać na ogólnym stwierdzeniu, że zastosowane środki nie były odpowiednie, bo doszło do wycieku. Sam fakt, że system zabezpieczeń zawiódł w danym przypadku, nie przesądza o jakichkolwiek nieprawidłowościach po stronie administratora – dodaje ekspert.

Choć TSUE wypowiada się w kontekście ewentualnego odszkodowania za naruszenie ochrony danych, to wyrok ma znaczenie także przy karach wymierzanych przez organy ochrony danych.

– Nawet jeżeli dane wyciekną, a więc zabezpieczenia okazały się nieskuteczne, automatycznie nie oznacza to, że naruszono zasady zabezpieczenia danych. To ogromnie ważne, co zresztą pokazała polska sprawa spółki Morele, która od początku twierdziła, że do naruszenia ochrony danych doszło, mimo że stosowała wymagane przez prawo środki zabezpieczenia danych. Oczywiście to administrator danych musi wykazać, że stosował odpowiednie środki zabezpieczenia – zwraca uwagę dr Paweł Litwiński, adwokat z kancelarii Barta i Litwiński.

Strach to też szkoda

Druga część wyroku jest zdecydowanie mniej korzystna dla administratorów. Wynika z niej bowiem, że już sama obawa przed wykorzystaniem wykradzionych danych może stanowić szkodę niemajątkową, która wymaga naprawienia. W praktyce będzie chodzić o wypłatę zadośćuczynienia. Teza ta jest zgodna z orzecznictwem polskich sądów, które wielokrotnie stwierdzały, że sam dyskomfort psychiczny wynikający z tego, że ktoś nieuprawniony ma dostęp do danych, wymaga rekompensaty. Nawet jeśli dane te nie zostały w żaden sposób wykorzystane. Nie we wszystkich krajach z tym się zgadzano.

– To podejście znacząco odbiega od zauważalnej tendencji w Niemczech, gdzie wielokrotnie już uznano, że sama utrata kontroli nad danymi i lęk przed negatywnymi skutkami nie są wystarczające do przyznania odszkodowania czy zadośćuczynienia – zauważa Tomasz Borys, specjalista ds. ochrony danych osobowych. Przykładowo sąd we Frankfurcie stwierdził wprost, że „RODO nie może być interpretowane w ten sposób, że prowadzi ono do roszczenia odszkodowawczego w przypadku indywidualnie odczuwanych niedogodności bez poważnego uszczerbku na wizerunku lub reputacji danej osoby” (sygn. 16 U 229/20).

TSUE opowiedział się za szerokim rozumieniem szkody niemajątkowej.

„Art. 82 ust. 1 RODO nie wyklucza, że pojęcie szkody niemajątkowej zawarte w tym przepisie obejmuje sytuację (…), w której osoba, której dane dotyczą, powołuje się, w celu uzyskania odszkodowania, na swoją obawę, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane przez osoby trzecie w sposób stanowiący nadużycie” – można przeczytać w uzasadnieniu wyroku.

– Z pewnością wyrok TSUE zwiększa ryzyko roszczeń odszkodowawczych ze strony osób, których dane dotyczą i sporów sądowych w następstwie cyberataków. Trzeba jednak zwrócić uwagę na pewne ograniczenia. Osoba, której dotyczy naruszenie RODO, jest zobowiązana do wykazania, że skutki te stanowią krzywdę. Sąd krajowy powinien też zbadać, czy obawa o niewłaściwe wykorzystanie danych może zostać uznana za uzasadnioną w konkretnych okolicznościach i w odniesieniu do osoby, której dane dotyczą – zaznacza Tomasz Borys.

Jednocześnie polskie sądy nieraz już uznawały, że psychicznego poczucia krzywdy czy też strachu nie trzeba specjalnie dowodzić i wystarczą same zeznania osoby dochodzącej roszczeń (np. wyrok Sądu Okręgowego Warszawa-Praga z 17 grudnia 2021 r., sygn. akt III C 1169/19).

– Obawa jest na tyle subiektywnym odczuciem, że w zasadzie samo naruszenie przepisów RODO daje podstawę do domagania się zadośćuczynienia – ocenia dr Paweł Litwiński.©℗

Jakie obowiązki ma administrator / Dziennik Gazeta Prawna - wydanie cyfrowe

orzecznictwo

Podstawa prawna

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 14 grudnia 2023 r. w sprawie C 340/21 www.serwisy.gazetaprawna.pl/orzeczenia

Pozostało 89% treści

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Wybierz pakiet odpowiedni dla siebie i korzystaj codziennie!

Jesteś subskrybentem?
Zaloguj się

Artykuł przeczytasz tylko z aktywną subskrypcją cyfrową

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Jesteś subskrybentem?
Zaloguj się

<span style="font-size:20px; color: #000000">Kup dostęp <br>już od <strong style="color: #FD0509">9,90 zł</strong> za pierwszy miesiąc</span>

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Nielimitowany dostęp do wszystkich treści, pełnego archiwum i e-poradników dla specjalistów:

na serwisie gazetaprawna.pl
w ramach wydania cyfrowego edgp.gazetaprawna.pl
w aplikacji DGP

Kup dostęp
już od 9,90 zł za pierwszy miesiąc

Ten artykuł jest dostępny tylko dla subskrybentów wersji cyfrowej DGP Premium.

Potrzebujesz więcej treści dla specjalistów? Szukasz kompleksowej informacji i wyjaśnień ekspertów dotyczących zmieniającego się prawa?
Wybierz wersję cyfrową DGP Premium z nielimitowanym dostępem do wszystkich treści (gazetaprawna.pl. edgp.gazetaprawna.pl, aplikacja DGP) i pełnym archiwum wydań.