A teraz czas na tekst, na który w zniecierpliwieniu czekały miliony: czy administrator, który naruszył przepisy o ochronie danych osobowych powinien wypłacić zainteresowanej osobie odszkodowanie za naruszenie RODO? Na przykład jeśli nadal przetwarzał dane w celach marketingowych, po wniesieniu sprzeciwu? Czy jednak odszkodowanie należy się za szkodę — a nie za samo naruszenie przepisów prawa? I, wcale nie na marginesie: jeśli błąd popełni pracownik — czy odpowiedzialność za ten błąd ponosi pracownik? Czy jednak pracodawca, który jest administratorem danych osobowych?
wyrok Trybunału Sprawiedliwości UE z 11 kwietnia 2024 r. w/s juris GmbH (C‑741/21)
1) [Art. 82 ust. 1 RODO oznacza, że] naruszenie przepisów [RODO], które przyznają prawa osobie, której dane dotyczą, samo w sobie nie jest wystarczające, by stanowić „szkodę niemajątkową” w rozumieniu tego przepisu, niezależnie od stopnia wagi szkody poniesionej przez tę osobę.
2) Aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO, nie jest wystarczające powołanie się na to, że rozpatrywana szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia.
3) W celu ustalenia wysokości odszkodowania z tytułu szkody należnego na podstawie tego przepisu nie należy, po pierwsze, stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 RODO, a po drugie, uwzględniać okoliczności, że na osobę dochodzącą odszkodowania wpływa kilka naruszeń tego rozporządzenia dotyczących tej samej operacji przetwarzania.
Sprawa dotyczyła niemieckiego adwokata, użytkownika prawniczej bazy danych juris, który początkowo wyraził zgodę na otrzymywanie informacji handlowych, a następnie zgodę ową cofnął i sprzeciwił się dalszemu wykorzystywaniu swych danych w celach marketingowych (z wyjątkiem niezbędnych do wysyłki newslettera).
Jednak jakiś czas później prawnik otrzymał kolejną przesyłkę reklamową, zatem wytoczył powództwo o odszkodowanie za naruszenie RODO, tj. za poniesioną szkodę majątkową (poniesione koszty wykazania naruszenia i doręczenia wezwania) oraz niemajątkową (skutki utraty kontroli nad swymi danymi).
W ocenie usługodawcy uchybienie było spowodowane błędem pracownika, który nie usunął danych w odpowiednim czasie (zaś tak czy inaczej „uwzględnianie sprzeciwów byłoby nadmiernie kosztowne”) — zarazem naruszenie zakazu przetwarzania danych w celach marketingowych po wniesieniu sprzeciwu (art. 21 ust. 3 RODO) nie może być traktowane jako szkoda w rozumieniu RODO.
art. 82 ust. 1-3 rozporządzenia 679/2016 o ochronie danych osobowych
1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Wątek trafił do TSUE, który w wydanym dziś wyroku orzekł, iż:
- samo naruszenie przepisów RODO nie uprawnia do żądania zapłaty odszkodowania — odszkodowania można dochodzić pod warunkiem poniesienia szkody (por. wyrok TSUE z 4 maja 2023 r. w/s Österreichische Post, C-300/21 oraz wyrok TSUE z 25 stycznia 2024 r. w/s MediaMarktSaturn, C‑687/21);
- stąd też obowiązkiem każdego, kto dochodzi roszczeń, jest przedstawienie dowodu: iż doszło do naruszenia prawa, którego skutkiem było wyrządzenie szkody majątkowej lub niemajątkowej;
- nie jest przy tym istotnie jak istotna jest to szkoda — nie ma dolnego limitu szkody, od którego uzależnione jest prawo do skorzystania z uprawnień — jednak tak czy inaczej samo w sobie złamanie RODO nie oznacza szkody, a więc nie uprawnia do żądania odszkodowania;
naruszenie przepisów RODO przyznających prawa osobie, której dane dotyczą, nie wystarcza samo w sobie do uzasadnienia materialnego prawa do odszkodowania
- szkodą taką może być „utrata kontroli nad własnymi danymi osobowymi” (motyw 85 RODO) — jednak także ta okoliczność (tj. zajście takiego zdarzenia) musi być przez osobę dochodzącą roszczeń wykazane;
- administrator nie może przy tym zwolnić się z odpowiedzialności za szkodę tylko na tej podstawie, że uchybienia dopuścił się pracownik (osoba działająca z upoważnienia administratora, art. 29 RODO);
- sęk w tym, że każdy administrator odpowiada za szkody spowodowane przetwarzaniem danych osobowych, a może się z tej odpowiedzialności zwolnić wyłącznie wówczas, gdy wykaże, iż nie ponosi winy za zdarzenie, które szkodę spowodowało (art. 82 ust. 3 RODO);
- RODO przewiduje bowiem odpowiedzialność administratora na zasadzie winy i z domniemaniem winy — zatem to na administratorze, który chce się od odpowiedzialności uwolnić, spoczywa odwrócony ciężar dowodu (to on musi wykazać, że nie ponosi winy za uchybienie i szkodę);
- wszystko to wszakże pamiętając, że to obowiązkiem administratora jest zapewnienie, iż każda osoba mająca dostęp do danych działała na podstawie jego wyraźnego upoważnienia (art. 32 ust. 4 RODO); dotyczy to także pracowników administratora — zaś obowiązkiem pracodawcy jest upewnienie się, że jego polecenia dotyczące przetwarzania danych osobowych są prawidłowo wykonywane;
- w konsekwencji pracodawca-administrator nie może uniknąć odpowiedzialności tylko powołując się na fakt, że wydał polecenia swym pracownikom i powołując się na niedbalstwo podwładnych;
- wcale nie na marginesie TSUE stwierdził, że odszkodowanie za szkodę wyrządzoną poprzez naruszenie RODO nie może być odnoszone do przepisów o karach administracyjnych; wszakże kary za złamanie RODO to coś innego, niż odszkodowanie za wyrządzoną w ten sposób szkodę — mają one charakter represyjny, podczas gdy odszkodowanie pełni funkcję kompensacyjną — przeto nie należy mieszać tych porządków walutowych;
- RODO w ogóle nie zawiera regulacji określającej sposób ustalania wysokości odszkodowania, zatem kwestia ta leży wyłącznie w gestii sądów krajowych, które powinny stosować prawo krajowe;
- pamiętając oczywiście o tym, że kwoty odszkodowania „nie można ustalić na poziomie przekraczającym całkowitą kompensatę tej szkody” — bo przecież odszkodowanie nie może być wyższe od szkody, albowiem w przeciwnym razie prowadziłoby to nieuzasadnionego wzbogacenia się poszkodowanego.
A teraz krótkie podsumowanie dla tych, dla których powyższe wywody to klasyczne tl;dr:
- nie ma czegoś takiego jak odszkodowanie za naruszenie RODO — odszkodowanie jest za realną szkodę, której doznanie trzeba udowodnić;
- pracodawca może ponosić odpowiedzialność za pracownika, który postąpił wbrew poleceniom w zakresie przetwarzania danych osobowych;
- odszkodowanie równe jest doznanej szkodzie — więc żądając samolotu, choć ukradli furmankę, trzeba umieć wykazać, że furmanka była warta tyle, co samolot.
Q.E.D.