Administrator naruszający zasady przetwarzania danych osobowych, w szczególności stosujący niewłaściwe metody ich zabezpieczenia, może ponosić odpowiedzialność za skutki ich ujawnienia, to oczywista oczywistość. Czy jednak fakt, że wyciek danych osobowych miał miejsce, jest sam w sobie wystarczającym dowodem, że wdrożone środki zabezpieczenia były nieprawidłowe? Czy to osoba, która dochodzi odszkodowania powinna udowodnić, że administrator nie wywiązał się ze swych obowiązków — czy to raczej administrator musi wykazać, że przestrzega RODO, a więc także stosuje zabezpieczenia adekwatne do ryzyka? I, wcale nie na marginesie: czy odpowiedzialność za wyciek danych osobowych wyłącza fakt, że włamu dokonały osoby trzecie, za które administrator nie odpowiada?
wyrok Trybunału Sprawiedliwości UE z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21)
1) Art. 24 i 32 rozporządzenia 679/2016 o ochronie danych osobowych należy interpretować w ten sposób, że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż wdrożone przez danego administratora środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu tych art. 24 i 32.
2) Art. 32 RODO należy interpretować w ten sposób, że oceny, czy środki techniczne i organizacyjne wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, sądy krajowe powinny dokonywać w sposób konkretny, w szczególności uwzględniając ryzyko związane z danym przetwarzaniem oraz ustalając, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka.
3) Zasadę rozliczalności administratora wyrażoną w art. 5 ust. 2 RODO i skonkretyzowaną w jego art. 24 należy interpretować w ten sposób, że w ramach powództwa o odszkodowanie opartego na art. 82 tego rozporządzenia na danym administratorze spoczywa ciężar udowodnienia, że środki bezpieczeństwa, które wdrożył na podstawie art. 32 tego rozporządzenia, mają odpowiedni charakter.
4) Art. 32 RODO i zasadę skuteczności prawa Unii należy interpretować w ten sposób, że na potrzeby oceny, czy środki bezpieczeństwa wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, opinia biegłego sądowego nie może systematycznie stanowić niezbędnego i wystarczającego środka dowodowego.
5) Art. 82 ust. 3 RODO należy interpretować w ten sposób, że administrator nie jest na podstawie art. 82 ust. 1 i 2 RODO zwolniony z obowiązku naprawienia poniesionej przez daną osobę szkody z tego tylko powodu, iż szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 RODO, przy czym ów administrator musi udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
6) Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu.
Sprawa zaczęła się od hakerskiego ataku na bazę bułgarskiej skarbówki (ściśle: rządowej instytucji powołanej do egzekwowania należności publicznoprawnych) i wycieku danych osobowych, które następnie zostały opublikowane w internecie.
Jedna z zainteresowanych osób zdecydowała się wystąpić z powództwem o zapłatę zadośćuczynienia za krzywdę wynikającą z naruszenia obowiązków w zakresie zabezpieczenia danych — a dokładnie za skutki w postaci obawy o przyszłe konsekwencje wycieku (w tym za ryzyko szantażu, agresji, a może nawet porwania).
Zdaniem urzędu żądania te były o tyle bezzasadne, że strona powodowa nawet nie wie jakie dane zostały ujawnione i nie wykazała związku przyczynowego między rzekomą krzywdą a wyciekiem — zarazem nie doszło do nieprawidłowości w zabezpieczeniu bazy, zaś za ujawnieniem stoją nieznani sprawcy, którzy dokonali włamu.
Sąd podzielił te zarzuty i oddalił całość roszczeń, zaś spór, via Върховен административен съд, trafił do TSUE.
z rozporządzenia 679/2016 o ochronie danych osobowych
art. 24 ust. 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. (…)
art. 32 ust. 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)
art. 82 ust. 1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. (…)
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
W wydanym wczoraj wyroku — o długiej sentencji, lecz relatywnie niedługim uzasadnieniu — Trybunał Sprawiedliwości UE stwierdził, że:
- każdy administrator ma obowiązek wdrożenia właściwych rozwiązań w celu zabezpieczenia przetwarzanych danych osobowych; przyjęte środki powinny być odpowiednie do ryzyka naruszenia (wszakże RODO „ustanawia system zarządzania ryzykiem i w żaden sposób nie ma na celu wyeliminowania ryzyka naruszeń danych osobowych”) — jednak sam w sobie fakt, że wyciek miał miejsce nie wystarczy jako dowód, że wdrożone środki nie były odpowiednie (por. „Dlaczego NSA uchylił nałożoną na Morele.net karę za wyciek danych?”);
- sęk w tym, że RODO nie tworzy w tym zakresie „niewzruszalnego domniemania” — na administratorze spoczywa ciężar dowodu, iż prawidłowo zagrożenia oszacował i zastosował niezbędne środki techniczne i organizacyjne, jednak brak winy w spowodowaniu zdarzenia skutkującego szkodą całkowicie zwalnia go od jakiejkolwiek odpowiedzialności odszkodowawczej;
- ocena, czy wdrożenie zabezpieczeń było prawidłowe powinna zależeć od konkretnej sytuacji: po zweryfikowaniu ryzyka naruszeń i ewentualnych konsekwencji, które administrator powinien przełożyć na przyjęte środki;
- stąd też zasada rozliczalności odnosi się także do zastosowanych środków ochrony danych: administrator musi umieć wykazać, że przestrzega przepisów rozporządzenia, co obejmuje także przedstawienie dowodów, że wdrożone rozwiązania były adekwatne do ryzyk — wykładania, iż dowód nieprawidłowego oszacowania ryzyka spoczywa na osobie dotkniętej wyciekiem, jest sprzeczna z RODO;
- ciekawie w kontekście stanowiska polskiego PUODO brzmi stanowisko TSUE, iż opinia biegłego nie może być traktowana ani jako wystarczający, ani jako niezbędny środek dowodowy na okoliczność prawidłowości wdrożonych środków zabezpieczenia danych; RODO biegłymi się w ogóle nie zajmuje, zatem kwestia ta zależy wyłącznie od procedury krajowej, jednakże „systematyczne” korzystanie z opinii biegłych może być zbędne, jeśli sąd dysponuje innymi dowodami — ale jeśli jest to konieczne, biegłego należy powołać (por. „O niezależności PUODO rzekomo zagrożonej koniecznością powołania biegłego w postępowaniu”);
- tak czy inaczej administrator nie uniknie odpowiedzialności za wyciek danych osobowych tylko z tego powodu, że spowodowali go cyberprzestępcy, którzy także ujawnili dane — odpowiada on wszakże za szkody spowodowane przetwarzaniem z naruszeniem zasad RODO, do których należy także wymóg wdrożenia należytych środków bezpieczeństwa — zaś z odpowiedzialności zwalnia wyłącznie brak winy za zdarzenie skutkujące szkodą (art. 82 ust. 3 RODO), w tym poprzez przedstawienie dowodu, iż nie istnieje jakikolwiek związek przyczynowy między naruszeniem obowiązku ochrony danych a szkodą;
- przy czym szkodą niemajątkową (krzywdą) w rozumieniu RODO może być także obawa przed nielegalnym wykorzystaniem upublicznionych danych osobowych; warunkiem odpowiedzialności administratora za wyciek jest „poniesienie” przez osobę szkody (por. „Jest naruszenie RODO, nie ma szkody? To nie ma też odszkodowania!”), zatem nie istnieją jakiekolwiek przeszkody, by kwalifikować w ten sposób skutki obaw wynikających z przyszłych konsekwencji zdarzenia — aczkolwiek w tym zakresie ciężar dowodu obciąża zainteresowanego.