iSecure logo
Blog

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Agnieszka Rapcewicz
RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Kategorie

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej niedawno przez austriacki organ ochrony danych osobowych na austriacką pocztę (Österreichische Post AG, dalej „ÖPAG”) na podstawie RODO. Na jednym pozwie więc raczej się nie skończy. Kara to aż 18 milionów euro, a naruszenie dotyczyło ok. 2 milionów klientów.

Na czym polegało naruszenie?

ÖPAG miała dopuścić się wykorzystywania i przechowywania danych dotyczących sympatii politycznych swoich 2 milionów klientów. Jak wynika z informacji udostępnionych w mediach, ukarany podmiot miał stosować profilowanie, aby ocenić, jak preferencje polityczne poszczególnych osób odpowiadały partiom politycznym obecnym na austriackiej scenie politycznej. Dodatkowo, jak ustalił austriacki organ ochrony danych osobowych, spółka miała przetwarzać na potrzeby marketingu bezpośredniego także dane dotyczące częstotliwości paczek i częstotliwości relokacji.

Osoby fizyczne, których danych dotyczyło opisane wyżej przetwarzanie, miały nie być w żaden sposób informowane o tym fakcie, ani nie wyrażały zgody na takie działania. W niektórych przypadkach dane przetwarzane przez ÖPAG miały być sprzedawane również podmiotom trzecim. Powyższe okoliczności wyszły na jaw w związku z tym, że wielu klientów wystąpiło do ÖPAG z wnioskiem o dostęp do swoich danych osobowych.

Żądanie powoda i wyrok

Osoba, która wystąpiła z żądaniem zapłaty zadośćuczynienia przez ÖPAG podnosiła, że czuła się zaniepokojona profilowaniem dokonywanym przez spółkę bez wiedzy i zgody powoda. Sąd pierwszej instancji uznał, że już samo poczucie zakłócenia przez niezgodne z prawem przetwarzanie danych dotyczących sympatii politycznych osoby fizycznej już samo w sobie stanowi szkodę niemajątkową. W związku z tym zasądził zadośćuczynienie w wysokości 800 euro, nie uzasadniając jednak, co wpłynęło na wysokość zadośćuczynienia.

Sąd przy okazji wskazał, że nie każda domniemana niedogodność lub niewielkie naruszenie powoduje powstanie roszczenia o zadośćuczynienie. Jednak w tej sprawie, biorąc pod uwagę,  że dane dotyczące preferencji politycznych to dane szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, w tej konkretnej sprawie minimalny próg niedogodności dla osoby fizycznej został przekroczony i należało zasądzić zadośćuczynienie.

Obie strony zaskarżyły wyrok, więc sprawa z pewnością będzie miała ciąg dalszy. Orzeczenie budzi jednak pewne kontrowersje. Należy wskazać, że RODO nie określa żadnych zasad dotyczących przyznawania zadośćuczynienia za krzywdę doznaną wskutek nielegalnego przetwarzania danych osobowych. Zastosowanie w tych sprawach mają więc ogólne przepisy prawa cywilnego w zakresie dochodzenia odszkodowania. Jak się wydaje, nie można co do zasady uznać, że samo niezgodne z prawem przetwarzanie danych osobowych i pewna niedogodność po stronie podmiotu danych mogą stanowić wystarczające podstawy do przyznania zadośćuczynienia. Powód powinien wykazać dokładnie, na czym polega jego krzywda. Biorąc jednak pod uwagę treść wydanego wyroku, z pewnością – przynajmniej w Austrii – można spodziewać się w najbliższym czasie sporej ilości pozwów o zadośćuczynienie.

Podobne wpisy:

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo
Olga Skotnicka

Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera […]

Zmiany w ustawie od 7 marca 2011r.
Piotr Miśkiewicz

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki