Czy wynikająca z RODO odpowiedzialność za kradzież tożsamości zależy od konsekwencji doznanych przez pokrzywdzonego? Czy jednak zasady odpowiedzialności odszkodowawczej są jasne — administrator odpowiada za wyrządzoną szkodę, niezależnie od jej rodzaju i ew. wartości uszczerbku — więc skutki przywłaszczenia tożsamości nie są warunkiem dochodzenia roszczeń odszkodowawczych?
wyrok Trybunału Sprawiedliwości UE w/s Scalable Capital GmbH z 20 czerwca 2024 r. (C-182/22)
1) [Zgodnie z art. 82 ust. 1 RODO] prawo do odszkodowania pełni wyłącznie funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełną kompensację poniesionej szkody.
2) Art. 82 ust. 1 RODO nie wymaga, aby do celów odszkodowania na podstawie tego przepisu uwzględniano wagę i ewentualny umyślny charakter naruszenia tego rozporządzenia przez administratora danych.
3) Przy ustalaniu kwoty odszkodowania należnego z tytułu prawa do odszkodowania za szkodę niemajątkową należy uznać, iż taka szkoda spowodowana naruszeniem ochrony danych osobowych nie jest ze swej natury mniej istotna niż uszczerbek na zdrowiu.
4) W razie wystąpienia szkody sąd krajowy może, w sytuacji gdy nie jest ona poważna, skompensować szkodę przyznając osobie, której dane dotyczą minimalne odszkodowanie, pod warunkiem, że takie odszkodowanie w pełni kompensuje poniesioną szkodę.
5) Pojęcie „kradzieży tożsamości” wymaga, by tożsamość osoby, której dotyczy kradzież danych osobowych, została rzeczywiście przywłaszczona przez osobę trzecią, aby można było uznać, że kradzież ta miała miejsce i że powstaje prawo do odszkodowania za szkodę niemajątkową. Jednakże odszkodowanie za szkodę niemajątkową spowodowaną kradzieżą danych osobowych na podstawie tego przepisu nie może być ograniczone do przypadków, w których wykazano, że taka kradzież danych doprowadziła następnie do kradzieży tożsamości lub oszustwa dotyczącego tożsamości.
Sprawa zaczęła się od dokonanej przez nieznanych sprawców kradzieży danych kilkudziesięciu tysięcy użytkowników aplikacji służącej do obrotu aktywami finansowymi, której usługodawcą była spółka Scalable Capital GmBH.
Dwóch spośród pokrzywdzonych klientów, wychodząc z założenia, że do kradzieży tożsamości doszło wskutek zaniedbań usługodawcy, wytoczyli powództwo przeciwko usługodawcy, domagając się należnego odszkodowania.
W toku procesu strona pozwana podkreślała, że RODO nie przewiduje możliwości dochodzenia roszczeń ze względu na abstrakcyjną utratę kontroli nad danymi osobowymi, skoro więc skradzione informacje nie zostały w żaden sposób wykorzystane — bo nikt się nie podszył pod użytkownika — a poniesienia szkody nie można domniemywać. Skoro odszkodowanie musi mieć cel kompensacyjny, wykluczone jest przyznanie zadośćuczynienia za zadośćuczynienia za krzywdę niemajątkową w postaci samej w sobie kradzieży tożsamości.
motyw 75 rozporządzenia 679/2016 o ochronie danych osobowych
Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; (…)
motyw 85 RODO
Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne (…)
Spór w trybie prejudycjalnym trafił do Trybunału Sprawiedliwości UE, który w swym wyroku stwierdził, iż:
- w orzecznictwie TSUE utrwalił się pogląd, że odszkodowanie za szkodę spowodowaną naruszeniem RODO ma charakter kompensacyjny, zatem może go dochodzić osoba, która szkody wskutek pogwałcenia zasad ochrony danych osobowych doznała szkody rzeczywistej i potrafi ją wykazać (por. „Nie ma czegoś takiego jak „odszkodowanie za naruszenie RODO””);
- RODO nie określa sposobu oszacowania wysokości odszkodowania, toteż ustalając te kwotę należy stosować przepisy krajowe, w tym w zakresie ustalania rozmiarów szkody, pamiętając jednak o domniemaniu winy administratora (art. 82 ust. 3 RODO) — nie ma przy tym znaczenia ani stopień winy, ani ew. umyślność naruszenia — oraz obowiązku pełnej kompensacji poniesionej szkody;
- nie sposób przy tym przyjąć, by uszczerbek fizyczny (np. uszkodzenie ciała) był hierarchicznie ważniejszy lub mniej ważny, niż szkoda majątkowa lub krzywda — więc szkoda spowodowana naruszeniem ochrony danych osobowych zasługuje na równie poważne traktowanie, jak uszczerbek na zdrowiu;
- skoro odszkodowanie ma charakter kompensacyjny, to jego wysokość musi odpowiadać poniesionej szkodzie — nie można zatem mówić o odszkodowaniu „symbolicznym”, jeśli jest ono adekwatne do uszczerbku (por. „Jest naruszenie RODO, nie ma szkody? To nie ma też odszkodowania!”);
- choć kradzież tożsamości (przywłaszczenie, oszustwo dotyczące tożsamości) nie są w RODO zdefiniowane, została wymieniona jako jeden z możliwych skutków naruszenia zasad ochrony danych osobowych (
bajdełej ciekawe, że TSUE pojęcia tego doszukał się także w motywie 75 — czyżby były aż takie różnice w tłumaczeniach rozporządzenia?[edit: mój błąd, bo polegałem na oprogramowaniu Lex, gdzie jest błąd…]), można powiedzieć, iż jego źródłem jest przywłaszczenie tożsamości przez osobę trzecią, a to wskutek kradzieży danych osobowych; - jednakowoż odpowiedzialność administratora za kradzież tożsamości nie może być ograniczona do przypadków, w których kradzież danych wywarła określone skutki, ponieważ szkodą niemajątkową (krzywdą) może bowiem wywoływać sam fakt dopuszczenia do wycieku danych — o ile oczywiście poszkodowany potrafi wykazać wszelkie przesłanki odpowiedzialności odszkodowawczej.
Tłumacząc z prawniczego na ludzki:
- nie ma czegoś takiego jak odszkodowanie za naruszenie RODO — jest za szkodę spowodowaną naruszeniem RODO;
- szkodą w rozumieniu RODO jest także szkoda niemajątkowa (krzywda), a odszkodowaniem jest także zadośćuczynienie;
- skutkiem takiego naruszenia może być kradzież tożsamości człowieka;
- kradzież tożsamości nie jest wtedy, kiedy złodziej wykorzysta wycieknięte dane osobowe w jakimś celu — jest nią już sam wyciek;
- ale nadal: skoro odszkodowanie wymaga wykazania szkody, to pokrzywdzony kradzieżą danych musi wykazać nie tylko samą kradzież, ale także wynikającą z tego szkodę (krzywdę)
- ergo: jeśli wykaże, że wskutek kradzieży tożsamości doznał krzywdy — niekoniecznie pokrzywdzenia oszustwem na jego szkodę — to może dochodzić owego zadośćuczynienia.
Q.E.D.