Administrator danych osobowych ponosi odpowiedzialność odszkodowawczą za wyrządzenie szkody niemajątkowej (krzywdy) podmiotowi danych w wyniku naruszenia RODO. Potwierdza to w kolejnych wyrokach Trybunał Sprawiedliwości UE. Do orzeczeń odniósł się Prezes Urzędu Ochrony Danych Osobowych, wskazując, co jest konieczne do dochodzenia odszkodowania za naruszenie RODO.
Opracowanie: Michał Kowalski
Obydwa wyroki Trybunału Sprawiedliwości dotyczą odszkodowania za szkodę niemajątkową (krzywdę) spowodowaną naruszeniem RODO. Pierwszy z nich wydany został w dniu 11 kwietnia 2024 r. w sprawie C-741/21 GP/juris GmbH.
W wyroku tym przedstawiono tezę, zgodnie z którą każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (art. 82 ust. 1 RODO).
TSUE wskazał, że do dochodzenia tego odszkodowania nie wystarczy samo wykazanie, że naruszono przepisy RODO. Przesłanką odpowiedzialności odszkodowawczej jest tu poniesienie szkody przez podmiot danych. Przy czym bez znaczenia dla istnienia odpowiedzialności pozostaje tu wysokość poniesionej szkody.
Jako przykład takiej szkody niemajątkowej (krzywdy) TSUE podał utratę kontroli nad własnymi danymi osobowymi wskutek niezrealizowania przez administratora prawa sprzeciwu z art. 21 RODO.
Ważnym aspektem jest tu także domniemanie winy. Otóż zakłada się, że administrator uczestniczył w przetwarzaniu danych, które doprowadziło do wyrządzenia szkody osobie, której dane dotyczą. Tym samym to na administratorze spoczywa ciężar dowodu, że takiej szkody nie wyrządził.
Trybunał w najnowszym wyroku kontynuuje linię orzeczniczą potwierdzoną m.in. w wyrokach z 21 grudnia 2023 r. w sprawie o sygn. C-667/21 Krankenversicherung Nordrhein oraz z dnia 25 stycznia 2024 r. w sprawie C-687/21 MediaMarktSaturn.
Więcej na temat najnowszego orzeczenia TSUE przeczytasz w artykule: Odszkodowanie za naruszenie RODO – najnowszy wyrok TSUE
Do najnowszego orzeczenia TSUE odniósł się Prezes Urzędu Ochrony Danych Osobowych. W ocenie organu nadzorczego wydany wyrok, jako że wpisuje się w dotychczasową linię orzeczniczą, nie wymaga wprowadzania zmian w krajowych przepisach. Jest jednak istotny w kontekście interpretacji przepisów dotyczących zasad odpowiedzialności i prawa odszkodowania.
Prezes UODO wyjaśnił tu, że w zakresie dochodzenia odszkodowania za naruszenie RODO należy stosować przepisy Kodeksu cywilnego w zakresie odpowiedzialności deliktowej. Otóż zgodnie z art. 415 Kodeksu cywilnego, kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia.
Dochodzenie odszkodowania wymaga wykazania:
Organ nadzorczy odniósł się także do kolejnego wyroku TSUE z 20 czerwca 2024 r. w C-590/22 PS. Trybunał udzielił w nim odpowiedzi na 6 pytań prejudycjalnych. Pierwsze dwa z nich brzmiały następująco:
1. Czy dla powstania roszczenia o odszkodowanie na podstawie art. 82 ust. 1 RODO wystarczy, że został naruszony przepis tego rozporządzenia chroniący osobę występującą z roszczeniem, czy też jest konieczne, aby doszło do dalszego uszczerbku u osoby występującej z roszczeniem, wykraczającego poza naruszenie przepisów jako takie?”
2. Czy zgodnie z prawem Unii dla powstania roszczenia o odszkodowanie za szkodę niemajątkową na podstawie art. 82 ust. 1 rozporządzenia 2016/679 jest konieczne, aby uszczerbek miał określoną wagę?
Trybunał tak jak w przypadku pierwszego orzeczenia wskazał, że samo w sobie naruszenie RODO nie jest wystarczające i konieczne jest wykazanie istnienia szkody spowodowanej tym naruszeniem. Z drugiej strony szkoda ta nie musi osiągnąć minimalnego progu uszczerbku – taki próg bowiem nie obowiązuje.
Osoba poszkodowana ma na podstawie art. 82 ust. 1 RODO obowiązek udowodnienia, że rzeczywiście poniosła szkodę majątkową lub niemajątkową.
Kolejne pytanie prejudycjalne dotyczyło kwestii, czy do powstania roszczenia o odszkodowanie za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO wystarczy, że osoba występująca z roszczeniem obawia się, że w wyniku naruszeń rozporządzenia jej dane osobowe trafiły w obce ręce, przy czym nie można tego stwierdzić pozytywnie. Odpowiadając na to pytanie TSUE wskazał, że do uzasadnienia prawa do odszkodowania wystarczająca jest wyrażona przez osobę obawa, że jej dane osobowe w wyniku naruszenia RODO zostały ujawnione stronie trzeciej. Przy czym obawa ta wraz z jej negatywnymi skutkami musi zostać należycie udowodniona.
Uzasadniona i udowodniona obawa czy lęk przed ujawnieniem danych osobowych jest przejawem krzywdy (szkody niemajątkowej).
TSUE odpowiedział też na pytanie, czy jest zgodne z prawem UE, jeśli krajowy sąd, ustalając wysokość odszkodowania za szkodę niemajątkowe, stosuje odpowiednio kryteria dotyczące administracyjnych kar pieniężnych z art. 83 ust. 2 RODO i czy odszkodowanie może mieć skutek odstraszający. W tym przypadku odpowiedź była przecząca.
Odszkodowanie za szkodę spowodowaną naruszeniem RODO należy wyraźnie odróżnić od konstrukcji administracyjnych kar pieniężnych.
Trybunał wyjaśnił także, czy jest zgodne z prawem UE uwzględnianie przy ustalaniu wysokości odszkodowania jednocześnie popełnionych naruszeń przepisów krajowych, których celem jest ochrona danych osobowych, ale które nie są aktami delegowanymi lub wykonawczymi przyjętymi na mocy tego RODO ani prawem krajowym doprecyzowującym to rozporządzenie. W tym przypadku TSUE nie wykluczył wyższego odszkodowania w związku ze szkodą spowodowaną także naruszeniem przepisów krajowych.
· Uodo.gov.pl
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
