Obawy przed skutkami bezprawnego wykorzystania wyciekłych danych osobowych uzasadnia odszkodowanie — pod warunkiem, że odczuwanie tego lęku zostało udowodnione (TSUE)

A skoro w piątek było o tym, że chociaż odszkodowanie za kradzież tożsamości wymaga wykazania doznanej szkody (także szkody niemajątkowej), przy czym nie oznacza to obowiązku wykazania, że skradzione dane zostały wykorzystane w niecny sposób, dziś czas na kilka zdań o kolejnym czwartkowym orzeczeniu, w którym TSUE wyraził pogląd, iż obawa przed skutkami wykorzystania danych osobowych po ich utracie także może uzasadnić przyznanie odszkodowania — pod warunkiem, że zainteresowany okoliczność tę udowodni.


Mużakow
Ponieważ to kolejna sprawa, która przyszła z Niemiec, czas na jeszcze jedno ujęcie pięknego zamku w Mużakowie (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok Trybunału Sprawiedliwości UE z 20 czerwca 2024 r. (C-590/22)
1) Zgodnie z art. 82 ust. 1 RODO naruszenie przepisów RODO samo w sobie nie wystarcza dla uzasadnienia prawa do odszkodowania. Osoba, której dane dotyczą, powinna również wykazać istnienie szkody spowodowanej tym naruszeniem, przy czym nie jest konieczne, aby szkoda ta osiągnęła określony stopień wagi.
2) Dla uzasadnienia prawa do odszkodowania wystarcza wyrażona przez osobę obawa, że jej dane osobowe w wyniku naruszenia tego rozporządzenia zostały ujawnione stronie trzeciej, również jeśli nie można przy tym wykazać, że rzeczywiście miało to miejsce, pod warunkiem że obawa ta wraz z jej negatywnymi skutkami zostanie należycie udowodniona.
3) Do celów ustalenia wysokości należnego na podstawie art. 82 ust. 1 RODO odszkodowania za szkodę, po pierwsze, nie należy stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 RODO, a po drugie, nie należy przypisywać temu prawu do odszkodowania funkcji odstraszającej.
4) Do celów ustalenia wysokości należnego na podstawie art. 82 ust. 1 RODO odszkodowania za szkodę nie należy uwzględniać jednocześnie popełnionych naruszeń przepisów krajowych dotyczących ochrony danych osobowych, których celem nie jest jednak sprecyzowanie przepisów tego rozporządzenia.

Sprawa zaczęła się od omyłkowej wysyłki deklaracji podatkowej, przez doradcę podatkowego, na błędny adres klienta (ściśle: na dawny adres, który w tzw. międzyczasie został zmieniony — przy czym po tej zmianie przesyłki były przesyłane na nowy, prawidłowy adres). Nowi lokatorzy mieszkania korespondencję odebrali i otworzyli, a widząc, że dokumenty nie są do nich przeznaczone, wsadzili je z powrotem do koperty i podali mieszkającej w pobliżu rodzinie adresata…
…finalnie przesyłka trafiła do właściwych rąk, jednak wówczas się okazało, że jest w niej tylko kopia deklaracji podatkowej — a ponieważ zdaniem klientów oznaczało to, że oryginał zaginął, zażądali od doradcy podatkowego 15 tys. euro odszkodowania za ujawnienie danych osobowych osobie nieuprawnionej.

Spór trafił do sądu, który powziął tradycyjne już wątpliwości dotyczące możliwości domagania się odszkodowania za naruszenie RODO, a także prawa do dochodzenia odszkodowania (zadośćuczynienia) w przypadku samej obawy przed bezprawnym wykorzystaniem danych osobowych, bez jakiegokolwiek urzeczywistnienia się tego skutku.

art. 82 ust. 1 RODO
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Orzekając w trybie prejudycjalnym Trybunał Sprawiedliwości UE stwierdził, że:

  • samo w sobie naruszenie RODO nie jest wystarczające do zasądzenia odszkodowania — strona dochodząca roszczeń musi bowiem wykazać istnienie konkretnej poniesionej szkody wynikającej z naruszenia (por. „Nie ma czegoś takiego jak „odszkodowanie za naruszenie RODO””);
  • szkodą taką może być także szkoda niemajątkowa (krzywda) wywołana utratą kontroli nad swymi danymi osobowymi, w tym obawa przed nieistniejącymi skutkami bezprawnego wykorzystania danych osobowych, acz pod warunkiem, że zainteresowana osoba udowodni, że odczuła negatywne skutki owej obawy — ale „samo powołanie się na obawę, bez wykazania negatywnego skutku”, nie pozwala przyznać odszkodowania;
  • wysokości wynikającego z art. 82 ust. 1 RODO nie można odnosić do kar za naruszenie RODO: nakładana w trybie administracyjnym kara ma wszakże cel represyjny i odstraszający, zaś odszkodowanie ma cel wyłącznie kompensacyjny, toteż zawsze musi odnosić się do wartości szkody — jednak zasady ustalania wysokości tego odszkodowania zawsze będą wynikały z prawa krajowego (por. „Jest naruszenie RODO, nie ma szkody? To nie ma też odszkodowania!”);
  • na wysokość odszkodowania nie ma także wpływu ewentualne naruszenie przepisów krajowych (w tym przypadku o tajemnicy podatkowej, korespondencji, etc.) — o ile celem tych przepisów nie jest doprecyzowanie obowiązków administratora wynikających z RODO.

Zamiast komentarza: wydaje się, że swoim orzecznictwem TSUE dość jednoznacznie rozwiał nadzieje i marzenia tych, którzy liczyli na sowite przysporzenia tylko przez to, że doszło do jakiegoś naruszenia RODO — a choćby i (ogólnie bezbolesnego) wycieku ich danych.

Q.E.D.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

11 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
11
0
komentarze są tam :-)x