iSecure logo
Blog

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Agnieszka Rapcewicz
RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Kategorie

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej niedawno przez austriacki organ ochrony danych osobowych na austriacką pocztę (Österreichische Post AG, dalej „ÖPAG”) na podstawie RODO. Na jednym pozwie więc raczej się nie skończy. Kara to aż 18 milionów euro, a naruszenie dotyczyło ok. 2 milionów klientów.

Na czym polegało naruszenie?

ÖPAG miała dopuścić się wykorzystywania i przechowywania danych dotyczących sympatii politycznych swoich 2 milionów klientów. Jak wynika z informacji udostępnionych w mediach, ukarany podmiot miał stosować profilowanie, aby ocenić, jak preferencje polityczne poszczególnych osób odpowiadały partiom politycznym obecnym na austriackiej scenie politycznej. Dodatkowo, jak ustalił austriacki organ ochrony danych osobowych, spółka miała przetwarzać na potrzeby marketingu bezpośredniego także dane dotyczące częstotliwości paczek i częstotliwości relokacji.

Osoby fizyczne, których danych dotyczyło opisane wyżej przetwarzanie, miały nie być w żaden sposób informowane o tym fakcie, ani nie wyrażały zgody na takie działania. W niektórych przypadkach dane przetwarzane przez ÖPAG miały być sprzedawane również podmiotom trzecim. Powyższe okoliczności wyszły na jaw w związku z tym, że wielu klientów wystąpiło do ÖPAG z wnioskiem o dostęp do swoich danych osobowych.

Żądanie powoda i wyrok

Osoba, która wystąpiła z żądaniem zapłaty zadośćuczynienia przez ÖPAG podnosiła, że czuła się zaniepokojona profilowaniem dokonywanym przez spółkę bez wiedzy i zgody powoda. Sąd pierwszej instancji uznał, że już samo poczucie zakłócenia przez niezgodne z prawem przetwarzanie danych dotyczących sympatii politycznych osoby fizycznej już samo w sobie stanowi szkodę niemajątkową. W związku z tym zasądził zadośćuczynienie w wysokości 800 euro, nie uzasadniając jednak, co wpłynęło na wysokość zadośćuczynienia.

Sąd przy okazji wskazał, że nie każda domniemana niedogodność lub niewielkie naruszenie powoduje powstanie roszczenia o zadośćuczynienie. Jednak w tej sprawie, biorąc pod uwagę,  że dane dotyczące preferencji politycznych to dane szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, w tej konkretnej sprawie minimalny próg niedogodności dla osoby fizycznej został przekroczony i należało zasądzić zadośćuczynienie.

Obie strony zaskarżyły wyrok, więc sprawa z pewnością będzie miała ciąg dalszy. Orzeczenie budzi jednak pewne kontrowersje. Należy wskazać, że RODO nie określa żadnych zasad dotyczących przyznawania zadośćuczynienia za krzywdę doznaną wskutek nielegalnego przetwarzania danych osobowych. Zastosowanie w tych sprawach mają więc ogólne przepisy prawa cywilnego w zakresie dochodzenia odszkodowania. Jak się wydaje, nie można co do zasady uznać, że samo niezgodne z prawem przetwarzanie danych osobowych i pewna niedogodność po stronie podmiotu danych mogą stanowić wystarczające podstawy do przyznania zadośćuczynienia. Powód powinien wykazać dokładnie, na czym polega jego krzywda. Biorąc jednak pod uwagę treść wydanego wyroku, z pewnością – przynajmniej w Austrii – można spodziewać się w najbliższym czasie sporej ilości pozwów o zadośćuczynienie.

Podobne wpisy:

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Maria Lothamer

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

W kolejnej części cyklu o zmianach wprowadzanych przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) przybliżamy jedne z najgorętszych zagadnień – kary finansowe i odpowiedzialność administratora danych osobowych.

RODO na Weselu
Michał Komarnicki

RODO na Weselu

Od czasu obowiązywania RODO w polskiej rzeczywistości upłynęło już trochę czasu . Wprowadziło ono nie mało zamieszania do naszego mało skomplikowanego życia
i codziennego funkcjonowania. RODO odcisnęło piętno na każdym aspekcie naszej egzystencji. Jego skutki odczuwalne są wszędzie tam, gdzie jest to możliwe. Idąc do przychodni nie jesteśmy już pacjentem ale numerem w poczekalni, który zyskuje „twarz” i osobowość dopiero z momentem spotkania z lekarzem w gabinecie.

Kurs ochrony danych osobowych przez e-mail
Olga Skotnicka

Czy znasz prawa osób, których dane przetwarzasz ?

Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]