Do wypłaty odszkodowania nie wystarczy samo naruszenie RODO. Zapadł wyrok TSUE

Samo naruszenie przepisów RODO nie jest wystarczającym powodem do zasądzania zadośćuczynienia – uznał Trybunał Sprawiedliwości Unii Europejskiej. Nie oznacza bowiem, że doszło do szkody, choćby i niemajątkowej.

To kolejny już wyrok, w którym luksemburski trybunał dochodzi do takich wniosków – z perspektywy konieczności wypłaty zadośćuczynienia czy też odszkodowania konieczne jest wykazanie realnej szkody, majątkowej lub niemajątkowej, a nie wyłącznie naruszenie samych regulacji wynikających z RODO. Znów jest to odpowiedź na pytania niemieckiego sądu, który rozstrzyga pozew dotyczący naruszenia ochrony danych osobowych. Sprawę wytoczył adwokat, który jest klientem firmy dostarczającej komercyjnej prawniczej bazy danych. Choć wycofał on wszystkie zgody marketingowe, to na skutek błędu prawnika wspomnianej spółki jeszcze dwukrotnie otrzymał dwa pisma reklamowe. Prawnik domaga się odszkodowania za straty materialne (koszty związane z zabezpieczeniem dowodów m.in. przez notariusza) i niemajątkowe. Uważa on, że skoro mimo jednoznacznego sprzeciwu pozwana firma wciąż przetwarzała jego dane do celów marketingowych, to należy mu się odszkodowanie bez potrzeby wykazywania skutków lub wagi naruszenia jego praw.

W pierwszym rzędzie TSUE odwołał się do wcześniejszego orzecznictwa i powtórzył za nim, że art. 82 ust. 1 RODO mówi o odszkodowaniu za szkodę, a samo naruszenie przepisów unijnego rozporządzenia takiej szkody nie musi oznaczać (wyrok z 25 stycznia 2024 r. w sprawie C 687/21).

„Prawdą jest, że z art. 79 ust. 1 RODO wynika, że każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu, jeżeli uzna ona, że «prawa przysługujące jej na mocy [tego] rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem rozporządzenia»” – przyznał TSUE.

„Jednakże przepis ten ogranicza się do przyznania prawa do środka prawnego osobie, która uważa się za pokrzywdzoną naruszeniem praw przyznanych jej w RODO, nie zwalniając tej osoby z ciążącego na niej na mocy art. 82 ust. 1 tego rozporządzenia obowiązku udowodnienia, że rzeczywiście poniosła szkodę majątkową lub niemajątkową” – zaznaczył natomiast w kolejnym punkcie uzasadnienia swego wyroku.

Jednocześnie trybunał zastrzegł, że przedsiębiorcy nie zwalnia z odpowiedzialności za ewentualną szkodę to, że powierzył obowiązki związane z ochroną danych swemu pracownikowi, a ten nie wywiązał się ze swych zadań. W przeciwnym razie RODO nie byłoby skuteczne.

Bardzo istotne są odpowiedzi udzielone na dwa ostatnie pytania zadane przez niemiecki sąd, odnoszą się one bowiem do szacowania wysokości ewentualnej szkody wynikającej z naruszenia ochrony danych osobowych. Zdaniem TSUE nie należy jej wiązać z wytycznymi, jakie RODO wskazuje przy określaniu wysokości kar administracyjnych nakładanych przez organy ochrony danych (w Polsce przez Urząd Ochrony Danych Osobowych).

O ile art. 82 (dotyczący odszkodowań) pełni funkcję kompensacyjną, o tyle art. 83 i 84 (dotyczący kar administracyjnych) pełnią funkcję represyjną.

„Z uwagi na różnice w brzmieniu i celach istniejące między art. 82 RODO (…) a art. 83 tego rozporządzenia (…) nie można uznać, że kryteria ustalania kwoty wymienione konkretnie w tym art. 83 mają zastosowanie mutatis mutandis w ramach tego art. 82, niezależnie od faktu, że środki prawne przewidziane w tych dwóch przepisach są komplementarne w celu zapewnienia przestrzegania tego rozporządzenia” – podkreślił TSUE.

Na wysokość ewentualnego odszkodowania nie powinno również wpływać to, że administrator danych dopuścił się kilku naruszeń w odniesieniu do tej samej osoby.

„W celu ustalenia kwoty odszkodowania pieniężnego należnego tytułem rekompensaty należy bowiem wziąć pod uwagę jedynie konkretnie poniesioną przez nią szkodę” – podsumował swój wywód TSUE.©℗

orzecznictwo