Sama utrata kontroli nad danymi osobowymi nie oznacza konieczności wypłaty odszkodowania, jeśli żadna osoba postronna nie miała dostępu do tych danych – uznał unijny trybunał.

Najnowszy wyrok Trybunału Sprawiedliwości Unii Europejskiej ogranicza w sposób znaczący odpowiedzialność administratora w przypadku utraty kontroli nad danymi osobowymi. Zgodnie z nim sama obawa osoby, której dane trafiły w niepowołane ręce, przed ich bezprawnym wykorzystaniem nie stanowi podstawy do odszkodowania, jeśli nikt z tymi danymi nie mógł się zapoznać.

– Powszechnie znana praktyka polegająca na tym, że po naruszeniu poufności danych, np. przez wysłanie dokumentów niewłaściwej osobie, odbiera się od tej osoby oświadczenie o tym, że nie zapoznała się z tymi danymi i że je usunęła, ma więc praktyczne znaczenie. Dotychczas tego typu działania traktowano jako mało istotne, przynajmniej z punktu widzenia samego naruszenia – bo naruszenie ma charakter obiektywny i nie ma znaczenia, co i kto oświadczył. Najnowszy wyrok tego nie zmienia w kontekście samego naruszenia, ale zmienia w kontekście jego skutków – jeżeli wykażemy, że co prawda do naruszenia doszło, ale z danymi nikt się nie zapoznał, to o odszkodowaniu nie ma mowy – tłumaczy dr Paweł Litwiński, adwokat z kancelarii Barta i Litwiński.

Hipotetyczne ryzyko

Pytania prejudycjalne zadał niemiecki sąd, przed którym odszkodowania domaga się klient sieci sklepów RTV Saturn. Kupił on na raty urządzenie elektryczne, podpisując w sklepie umowę pożyczki. Omyłkowo towar wraz z dokumentami odebrał klient, który wepchnął się do kolejki. Pomyłka została szybko zauważona. Już pół godziny później sprzęt i dokumenty trafiły do właściwej osoby. Sprzedawca w ramach rekompensaty zadeklarował bezpłatne dostarczenie produktu. Konsument nie poczuł się tym jednak usatysfakcjonowany i wniósł pozew do sądu, w którym domaga się odszkodowania w związku z naruszeniem przepisów RODO. W siedmiu szczegółowych pytaniach niemiecki sąd próbuje pomóc w określeniu ram ewentualnej odpowiedzialności.

Osoba trzecia omyłkowo wyrzuciła cudze rzeczy do śmieci. Czy można ją pozwać?
Osoba trzecia omyłkowo wyrzuciła cudze rzeczy do śmieci. Czy można ją pozwać?

Zobacz również

– TSUE po raz kolejny zajmował się problematyką odszkodowań na podstawie art. 82 RODO. Wcześniejsze orzecznictwo z grudnia 2023 r. wiele osób interpretowało w taki sposób, że już sama obawa przed wykorzystaniem danych osobowych daje podstawę do uzyskania odszkodowania. W swoim najnowszym wyroku trybunał potwierdza, że osoba, której dane dotyczą, może, w wyniku tymczasowej utraty kontroli nad danymi osobowymi, ponieść szkodę niematerialną, ale musi przedstawić na to dowody. Samo naruszenie RODO nie jest natomiast wystarczające do uzasadnienia roszczenia – zauważa Tomasz Borys, specjalista ds. ochrony danych osobowych.

– Dodatkowo trybunał uznał, że w przypadku gdy żadna osoba trzecia nie zapoznała się z danymi osobowymi, czyli gdy ryzyko niewłaściwego wykorzystania danych przez nieuprawnioną osobę trzecią jest jedynie hipotetyczne, to nie może to prowadzić do odszkodowania – dodaje.

Pomyłka pracownika

We wspomnianym wcześniejszym wyroku TSUE opowiedział się za szerokim rozumieniem szkody niemajątkowej.

„Art. 82 ust. 1 RODO nie wyklucza, że pojęcie szkody niemajątkowej zawarte w tym przepisie obejmuje sytuację (…), w której osoba, której dane dotyczą, powołuje się, w celu uzyskania odszkodowania, na swoją obawę, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane przez osoby trzecie w sposób stanowiący nadużycie” – można przeczytać w uzasadnieniu orzeczenia z 14 grudnia 2023 r. w sprawie C 340/21.

W najnowszym wyroku trybunał podtrzymał tę interpretację, jednocześnie jednak zawężając ramy odpowiedzialności administratora w tej konkretnej sytuacji. Uznał bowiem, że jeśli osoba nieuprawniona nie mogła się zapoznać z danymi osobowymi, nad którymi administrator utracił kontrolę, to sama obawa o ich bezprawne wykorzystanie nie może być podstawą roszczenia odszkodowawczego.

– Bliższy jest mi pogląd, że na gruncie art. 82 RODO trzeba wykazać nie tylko naruszenie przepisów RODO, lecz także poniesienie w wyniku naruszenia szkody majątkowej lub niemajątkowej. Należy bowiem dążyć do jak najbardziej weryfikowalnych kryteriów ustalenia negatywnych konsekwencji uchybienia przepisom przez administratora, a sama obawa do takich nie należy – komentuje Grzegorz Sibiga, prof. INP PAN, partner w kancelarii Traple Konarski Podrecki i Wspólnicy.

Kolejna zmiana "warzywniaka". Czy na pewno ku stabilizacji rynku?
Kolejna zmiana "warzywniaka". Czy na pewno ku stabilizacji rynku?

Zobacz również

– Nie jestem zaskoczony różnym podejściem w tych dwóch wyrokach, ponieważ mamy do czynienia z niejednoznaczną i trudną materią do ustalenia jednolitego kierunku wykładni, tak jak zresztą w całym obszarze dóbr osobistych. Może to nie być ostatni zwrot w orzecznictwie, ponieważ przesłanka szkody niemajątkowej będzie odnoszona do różnych sytuacji przetwarzania danych osobowych i w zależności od nich ustalana – dodaje.

Wyrok zawiera jeszcze jedną ważną wskazówkę. Zdaniem TSUE nieumyślne naruszenie RODO przez pracownika nie oznacza automatycznie, że środki techniczne i organizacyjne podjęte przez administratora w celu ochrony danych były nieodpowiednie.

– Skoro ujawnienie przez pomyłkę nie wystarcza do tego, żeby przyjąć, że naruszono zasady zabezpieczenia danych, to nie mamy do czynienia z bezprawnością, a więc odszkodowanie się nie należy – podkreśla dr Paweł Litwiński.

– Dlatego też wyrok ten oceniam jako ważny, bo może postawić tamę dużej części roszczeń związanych właśnie z pomyłkami po stronie administratorów danych – dodaje adwokat.©℗

ikona lupy />
Co mówi przepis / Dziennik Gazeta Prawna - wydanie cyfrowe

orzecznictwo

Podstawa prawna

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 25 stycznia 2024 r. w sprawie C-687/21 www.serwisy.gazetaprawna.pl/orzeczenia