iSecure logo
Blog

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Agnieszka Rapcewicz
RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Kategorie

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej niedawno przez austriacki organ ochrony danych osobowych na austriacką pocztę (Österreichische Post AG, dalej „ÖPAG”) na podstawie RODO. Na jednym pozwie więc raczej się nie skończy. Kara to aż 18 milionów euro, a naruszenie dotyczyło ok. 2 milionów klientów.

Na czym polegało naruszenie?

ÖPAG miała dopuścić się wykorzystywania i przechowywania danych dotyczących sympatii politycznych swoich 2 milionów klientów. Jak wynika z informacji udostępnionych w mediach, ukarany podmiot miał stosować profilowanie, aby ocenić, jak preferencje polityczne poszczególnych osób odpowiadały partiom politycznym obecnym na austriackiej scenie politycznej. Dodatkowo, jak ustalił austriacki organ ochrony danych osobowych, spółka miała przetwarzać na potrzeby marketingu bezpośredniego także dane dotyczące częstotliwości paczek i częstotliwości relokacji.

Osoby fizyczne, których danych dotyczyło opisane wyżej przetwarzanie, miały nie być w żaden sposób informowane o tym fakcie, ani nie wyrażały zgody na takie działania. W niektórych przypadkach dane przetwarzane przez ÖPAG miały być sprzedawane również podmiotom trzecim. Powyższe okoliczności wyszły na jaw w związku z tym, że wielu klientów wystąpiło do ÖPAG z wnioskiem o dostęp do swoich danych osobowych.

Żądanie powoda i wyrok

Osoba, która wystąpiła z żądaniem zapłaty zadośćuczynienia przez ÖPAG podnosiła, że czuła się zaniepokojona profilowaniem dokonywanym przez spółkę bez wiedzy i zgody powoda. Sąd pierwszej instancji uznał, że już samo poczucie zakłócenia przez niezgodne z prawem przetwarzanie danych dotyczących sympatii politycznych osoby fizycznej już samo w sobie stanowi szkodę niemajątkową. W związku z tym zasądził zadośćuczynienie w wysokości 800 euro, nie uzasadniając jednak, co wpłynęło na wysokość zadośćuczynienia.

Sąd przy okazji wskazał, że nie każda domniemana niedogodność lub niewielkie naruszenie powoduje powstanie roszczenia o zadośćuczynienie. Jednak w tej sprawie, biorąc pod uwagę,  że dane dotyczące preferencji politycznych to dane szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, w tej konkretnej sprawie minimalny próg niedogodności dla osoby fizycznej został przekroczony i należało zasądzić zadośćuczynienie.

Obie strony zaskarżyły wyrok, więc sprawa z pewnością będzie miała ciąg dalszy. Orzeczenie budzi jednak pewne kontrowersje. Należy wskazać, że RODO nie określa żadnych zasad dotyczących przyznawania zadośćuczynienia za krzywdę doznaną wskutek nielegalnego przetwarzania danych osobowych. Zastosowanie w tych sprawach mają więc ogólne przepisy prawa cywilnego w zakresie dochodzenia odszkodowania. Jak się wydaje, nie można co do zasady uznać, że samo niezgodne z prawem przetwarzanie danych osobowych i pewna niedogodność po stronie podmiotu danych mogą stanowić wystarczające podstawy do przyznania zadośćuczynienia. Powód powinien wykazać dokładnie, na czym polega jego krzywda. Biorąc jednak pod uwagę treść wydanego wyroku, z pewnością – przynajmniej w Austrii – można spodziewać się w najbliższym czasie sporej ilości pozwów o zadośćuczynienie.

Podobne wpisy:

Kurs ochrony danych osobowych przez e-mail
Ewa Eluszkiewicz

Żądanie usunięcia danych osobowych

Wejście RODO w życie sprawiło, że upowszechniona została wiedza o prawach przysługujących osobom, których dane dotyczą. Z różnych przyczyn osoby takie kierują do administratorów swoje żądania, a to z kolei oznacza, że administrator danych musi się z nimi zmierzyć, pochylić nad ich zasadnością. Dzisiejszy wpis będzie traktował o jednym z takich praw, jakim jest prawo […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych
Aleksandra Eluszkiewicz

Zmiany w wykazie operacji wymagających DPIA

Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu 8 lipca 2019 r. […]

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).