„Trolling RODO” to nadmierne żądanie dostępu do informacji (TSUE)

przez

Każdy ma prawo dostępu do informacji o przetwarzaniu jego danych osobowych, to oczywista oczywistość. Jak jednak traktować sytuację, w której ktoś najpierw zapisuje się na wysyłkę mejlingu, następnie żąda informacji o przetwarzaniu swych danych, aby następnie wysuwać żądło roszczeń cywilnoprawnych? Jeśli robi to na tyle masowo, że jest z tego znany? Czy taki „trolling RODO” można traktować jako nadmierność żądań per se?

Leibsch Spree
Jaz na Szprewie w Leibsch, bo nie mam nic lepszego do ukazania w kontekście „Brillen” (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok TSUE z 19 marca 2026 r. w/s Brillen Rottler GmbH & Co. KG (C-526/24)
1) Pierwszy wniosek o udzielenie dostępu do danych osobowych złożony przez osobę, której dane dotyczą, do administratora na podstawie art. 15 RODO można uznać za „nadmierny” w rozumieniu art. 12 ust. 5 RODO, jeżeli ów administrator wykaże z uwzględnieniem wszystkich istotnych okoliczności sprawy, że mimo formalnego spełnienia przesłanek przewidzianych w tych przepisach wniosek ten został złożony przez osobę, której dane dotyczą, nie w celu zapoznania się z przetwarzaniem tych danych i sprawdzenia jego zgodności z prawem, po to, by następnie móc uzyskać ochronę praw, które osoba ta wywodzi ze wspomnianego rozporządzenia, lecz z zamiarem nadużycia, takim jak zamiar sztucznego stworzenia warunków wymaganych do uzyskania korzyści wynikającej z tego rozporządzenia. Okoliczność, że zgodnie z publicznie dostępnymi informacjami osoba, której dane dotyczą, wystąpiła z kilkoma wnioskami o udzielenie dostępu do swoich danych osobowych, a następnie wystąpiła z roszczeniami odszkodowawczymi do różnych administratorów, może zostać uwzględniona w celu ustalenia istnienia takiego zamiaru nadużycia.
2) Art. 82 ust. 1 RODO przyznaje osobie, której dane dotyczą, prawo do odszkodowania za szkodę wynikającą z naruszenia prawa dostępu przewidzianego w art. 15 ust. 1 RODO.
3) Szkoda niemajątkowa doznana przez osobę, której dane dotyczą, obejmuje utratę kontroli nad jej danymi osobowymi lub jej niepewność co do tego, czy jej dane były przetwarzane, o ile zostanie wykazane w szczególności, że osoba ta rzeczywiście poniosła taką szkodę, a jej zachowanie nie stanowiło decydującej przyczyny tej szkody.

opis stanu faktycznego:

  • sprawa zaczęła się od wypełnienia formularza internetowego i zaprenumerowania w ten sposób mejlingów niemieckiej firmy optycznej Brillen Rottler;
  • niecałe dwa tygodnie później użytkownik wystosował do administratora wniosek o udzielenie mu dostępu do przetwarzanych danych osobowych;
  • firma odmówiła spełnienia żądania, uznając wniosek za nadmierny;
  • a ponieważ osobnik podtrzymał żądanie — dokładając do tego żądanie zapłaty odszkodowania w kwocie 1000 euro…
  • …firma wystąpiła do sądu z powództwem o ustalenie, że użytkownikowi nic się nie należy;
  • w uzasadnieniu pozwu podkreślono, iż z dostępnych w internetach informacji wynika, że w istocie chodzi o swoisty „trolling RODO”: mężczyzna rejestruje się gdzie popadnie, aby następnie wysuwać roszczenia odszkodowawcze;
  • stanowisko zainteresowanego było proste: RODO każdemu daje prawo dostępu do informacji o przetwarzaniu jego danych osobowych — odmowa była bezprawna, więc żądanie zapłaty odszkodowania jest zasadne;

art. 12 ust. 5 RODO
Informacje podawane na mocy art. 13 i 14 oraz komunikacja i działania podejmowane na mocy art. 15-22 i 34 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:
a) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
b) odmówić podjęcia działań w związku z żądaniem.
Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

art. 15 ust. 1 RODO
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: […]

art. 82 ust. 1 RODO
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

  • jeśli komuś się wydaje, że sprawa prosta, to spieszę donieść, że w trybie prejudycjalnym do TSUE zwrócił się sąd pierwszej instancji, a zadał — chyba po to, żeby ułatwić myślenie o „nadmierności” żądania — aż osiem pytań;

wyrok TSUE:

  • każdemu przysługuje prawo do uzyskania od administratora potwierdzenia, czy jego dane są przetwarzane, a także prawo do dostępu do tych danych i określonych informacji (m.in. o celach przetwarzania, źródle i odbiorcach danych, a także o zautomatyzowanym przetwarzaniu);
  • zasadniczo prawo do informacji jest bezpłatne, wyjątkiem od tej reguły jest sytuacja, kiedy żądania są ewidentnie nieuzasadnione lub nadmierne: w takim przypadku można pobrać od zainteresowanego opłatę w wysokości kosztów udzielenia informacji lub odmówić spełnienia żądania (por. „Lekarz ma obowiązek bezpłatnie wydać pacjentowi kopię dokumentacji medycznej — nawet jeśli ten potrzebuje jej do oszacowania roszczeń związanych z błędem medycznym”);
  • jak rozumieć pojęcie „nadmierności żądań”? tutaj TSUE zwrócił uwagę, że podpowiedzią jest samo brzmienie przepisu: „ustawiczność”, czyli powtarzalność to jedna z cech, która pozwala uznać żądanie za nadmierne; poza tym definicji brak, więc należy sięgnąć po znaczenie słownikowe — a więc żądanie nadmierne to takie, które wykracza poza zwykły, rozsądny, jak też pożądany lub dozwolony zakres;
  • ergo niezależnie od tego czy nadmierność oceniać jakościowo czy ilościowo, nie można wykluczyć, iż już pierwszy wniosek o dostęp do informacji o przetwarzaniu danych osobowych będzie żądaniem nadmiernym;
  • pogląd ten wpisuje się w kontekst regulacji, wszakże chodzi o przejrzystość informacji o przetwarzaniu (od siebie dodam, że można więc przyjąć, iż administrator, który prawidłowo wykonuje swoje „podstawowe” obowiązki informacyjne — obowiązki te wypełnia);
  • w ogólności natomiast można powiedzieć, iż istotą jest zakaz nadużycia prawa: nie można korzystać ze swoich uprawnień w sposób oszukańczy lub wykraczający poza ich ramy (por. „Czy 77 skarg na naruszenie RODO w ciągu 18 miesięcy to „nadmierne żądanie”, a więc urząd może odmówić ich rozpatrzenia?”);
  • jeśli ktoś ma wątpliwości: prawo do ochrony danych osobowych nie ma charakteru absolutnego, a jego wykonywanie powinno być wyważone względem innych praw podstawowych, zaś mechanizmy równowagi są zapisane w samym RODO;
  • patrząc na stan faktyczny: mężczyzna kilkanaście dni wcześniej zapisał się do wysyłki biuletynu, podał przy tym określone dane osobowe — więc wiedział, co robi, komu przekazuje swoje dane, na co się zgadza, etc.,etc.;
  • a przecież żadne z praw, w tym także RODO, nie może być postrzegane jako mechanizm pozwalający uzyskać jakąś korzyść poprzez sztuczne stworzenie sytuacji uzasadniającej np. wypłatę odszkodowania — więc jako nadmierne żądanie można oceniać sytuację, w której ktoś natychmiast po dobrowolnym wypełnieniu formularza swymi danymi składa wniosek o udzielenie mu informacji o przetwarzaniu danych osobowych;
  • ba, dodatkową przesłanką może być publiczna znajomość modus operandi: skoro wszystko wskazuje na to, że chodzi o „trolling RODO” — sytuację, w której zainteresowany najsamprzód się zapisuje, po czym rości sobie jakieś pretensje z tytułu rzekomych uchybień — to takie żądanie można potraktować jako nadmierne;
  • czy jednak zainteresowany, który nie otrzymał informacji wymaganych na podstawie RODO, może domagać się odszkodowania? w ocenie TSUE odszkodowanie z art. 82 RODO może obejmować także wyrządzenie szkody lub krzywdy wskutek naruszenia prawa do informacji i dostępu do danych — pamiętając, że zawsze pod warunkiem doznania i wykazania szkody lub krzywdy (por. „Nie ma czegoś takiego jak „odszkodowanie za naruszenie RODO””);
  • taka szkoda lub krzywda może wynikać z utraty kontroli nad własnymi danymi lub niepewności co do ich przetwarzania…
  • …ale znów: procesy dotyczą okoliczności faktycznych, a nie prawa, więc jeśli w toku postępowania wyjdzie na jaw prawidłowość, którą można ocenić jako „trolling RODO” — że ktoś się najpierw masowo zapisuje, po czym masowo żąda, aby następnie masowo domagać się odszkodowania — to związek przyczynowy między zdarzeniem a rzekomą szkodą może być rozerwany.

Rzecz jasna wszystkie te okoliczności powinien zbadać sąd, przed którym toczy się sprawa — rolą TSUE jest tylko wyjaśnienie i interpretacja prawa unijnego.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

9 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
9
0
komentarze są tam :-)x