iSecure logo
Blog

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Kategorie

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej niedawno przez austriacki organ ochrony danych osobowych na austriacką pocztę (Österreichische Post AG, dalej „ÖPAG”) na podstawie RODO. Na jednym pozwie więc raczej się nie skończy. Kara to aż 18 milionów euro, a naruszenie dotyczyło ok. 2 milionów klientów.

Na czym polegało naruszenie?

ÖPAG miała dopuścić się wykorzystywania i przechowywania danych dotyczących sympatii politycznych swoich 2 milionów klientów. Jak wynika z informacji udostępnionych w mediach, ukarany podmiot miał stosować profilowanie, aby ocenić, jak preferencje polityczne poszczególnych osób odpowiadały partiom politycznym obecnym na austriackiej scenie politycznej. Dodatkowo, jak ustalił austriacki organ ochrony danych osobowych, spółka miała przetwarzać na potrzeby marketingu bezpośredniego także dane dotyczące częstotliwości paczek i częstotliwości relokacji.

Osoby fizyczne, których danych dotyczyło opisane wyżej przetwarzanie, miały nie być w żaden sposób informowane o tym fakcie, ani nie wyrażały zgody na takie działania. W niektórych przypadkach dane przetwarzane przez ÖPAG miały być sprzedawane również podmiotom trzecim. Powyższe okoliczności wyszły na jaw w związku z tym, że wielu klientów wystąpiło do ÖPAG z wnioskiem o dostęp do swoich danych osobowych.

Żądanie powoda i wyrok

Osoba, która wystąpiła z żądaniem zapłaty zadośćuczynienia przez ÖPAG podnosiła, że czuła się zaniepokojona profilowaniem dokonywanym przez spółkę bez wiedzy i zgody powoda. Sąd pierwszej instancji uznał, że już samo poczucie zakłócenia przez niezgodne z prawem przetwarzanie danych dotyczących sympatii politycznych osoby fizycznej już samo w sobie stanowi szkodę niemajątkową. W związku z tym zasądził zadośćuczynienie w wysokości 800 euro, nie uzasadniając jednak, co wpłynęło na wysokość zadośćuczynienia.

Sąd przy okazji wskazał, że nie każda domniemana niedogodność lub niewielkie naruszenie powoduje powstanie roszczenia o zadośćuczynienie. Jednak w tej sprawie, biorąc pod uwagę,  że dane dotyczące preferencji politycznych to dane szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, w tej konkretnej sprawie minimalny próg niedogodności dla osoby fizycznej został przekroczony i należało zasądzić zadośćuczynienie.

Obie strony zaskarżyły wyrok, więc sprawa z pewnością będzie miała ciąg dalszy. Orzeczenie budzi jednak pewne kontrowersje. Należy wskazać, że RODO nie określa żadnych zasad dotyczących przyznawania zadośćuczynienia za krzywdę doznaną wskutek nielegalnego przetwarzania danych osobowych. Zastosowanie w tych sprawach mają więc ogólne przepisy prawa cywilnego w zakresie dochodzenia odszkodowania. Jak się wydaje, nie można co do zasady uznać, że samo niezgodne z prawem przetwarzanie danych osobowych i pewna niedogodność po stronie podmiotu danych mogą stanowić wystarczające podstawy do przyznania zadośćuczynienia. Powód powinien wykazać dokładnie, na czym polega jego krzywda. Biorąc jednak pod uwagę treść wydanego wyroku, z pewnością – przynajmniej w Austrii – można spodziewać się w najbliższym czasie sporej ilości pozwów o zadośćuczynienie.

Podobne wpisy:

Zmiany w ustawie od 7 marca 2011r.

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz Co się zmienia? W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu […]

Czy przesłanie zapytania o zgodę na marketing stanowi już działanie o charakterze marketingowym?

Pozyskiwanie zgód na działanie o charakterze marketingowym jest jednym z większych wyzwań każdego Działu Marketingu. W celu rozwoju i promocji swoich usług, każda firma (administrator danych) chciałaby, aby jej klient/użytkownik otrzymywał regularne powiadomienia o świadczonych przez organizacje usługach. Dlatego też z perspektywy doradców prawnych trudno jest wytłumaczyć marketingowcom szereg obostrzeń prawnych, związanych ze zbieraniem ważnej […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki