iSecure logo
Blog

Ważny wyrok TSUE – Naruszenie RODO nie daje automatycznie prawa do odszkodowania

Prawo do odszkodowania w wyniku naruszenia przepisów Rozporządzenia zostało sformułowane w art. 82 RODO. Artykuł składa się z sześciu ustępów, które wskazują na generalne zasady dochodzenia odszkodowania i odpowiedzialności pomiędzy administratorem a podmiotem przetwarzającym.

Kluczowe przy dzisiejszym wpisie będzie art. 82 ust. 1 RODO, który stanowi: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.” Sam przepis sformułowany został dość ogólnie. Jak sam wskazuje – podmiotem – wobec którego osoba fizyczna może wysunąć roszczenie jest administrator lub podmiot przetwarzający. Zakres odpowiedzialności jest ściśle powiązany z zakresem obowiązków nałożonych na administratora i podmiot przetwarzający. Na administratorze danych ciąży więcej obowiązków, gdyż to on decyduje o celu i sposobie przetwarzania danych, co prowadzi do większej odpowiedzialności za szkody wynikające z naruszenia przepisów Rozporządzenia.

Wyrok Trybunału Sprawiedliwości UE w sprawie C-300/21 z dnia 4 maja 2023 r.

Austriacki dostawca usług kurierskich i pocztowych (Österreichische Post AG) zbierał informacje dotyczące przynależności podmiotów danych do partii politycznych. Za pomocą specjalnego algorytmu, administrator był w stanie określić czy konkretna osoba związana jest z jedną z austriackim partii politycznych. W szerszej perspektywie takie działanie miało służyć prowadzeniu reklamy wyborczej do konkretnej grupy politycznej. Na podstawie jednego z badań, austriacka Poczta ustaliła, że dana osoba jest związana z konkretną partią polityczną. Podmiot danych nie wyraził zgody na przetwarzanie jego danych osobowych w takim zakresie i dla takich celów. Jednocześnie, osoba ta poczuła się mocno dotknięta przetwarzaniem informacji o jej przynależności partyjnej. Następnie podmiot danych zdecydował się zgłosić do austriackiego sądu roszczenie o odszkodowanie w kwocie 1000 euro za szkodę niemajątkową spowodowaną przetwarzaniem danych osobowych przez Österreichische Post AG. Jako szkodę niemajątkową, podmiot danych wskazał: „silne poczucie zdenerwowania”, „brak komfortu psychicznego”.

Sądy zarówno pierwszej, jak i drugiej instancji w Austrii oddaliły powództwo podmiotu danych. Wskazywały, że odszkodowanie za szkodę niemajątkową w wyniku naruszenia przepisów RODO nie przysługuje w każdym przypadku. Ponadto, zaistniała szkoda musi mieć określoną „wagą i doniosłość”. Trudno wskazać, że odpowiednią wagę ma szkoda niemajątkowa polegająca na silnym poczuciu zdenerwowania. Podmiot danych skierował sprawę do austriackiego Sądu Najwyższego, który zdecydował zadać TSUE pytania prejudycjalne dotyczące wystąpienia prawa do odszkodowania za poniesioną szkodę na gruncie przepisów Rozporządzenia.

W pierwszej kolejności TSUE, zwrócił uwagę, aby możliwe było otrzymanie zadośćuczynienia na gruncie RODO muszą wystąpić łącznie trzy przesłanki: naruszenie przepisów RODO, wystąpienie szkody majątkowej lub niemajątkowej wynikającej z tego naruszenia oraz związek przyczynowy między szkodą a naruszeniem. TSUE podkreśliło, że art. 82 ust. 1 RODO należy odczytywać w ten sposób, że naruszenie przepisów RODO nie daje automatycznie prawa do odszkodowania. W jaki sposób ocenić czy dana szkoda ma wystarczająca wagę do zadośćuczynienia? Zdaniem TSUE w tym przypadku RODO nie zawiera przepisów, które interpretują „powagę” szkody, i sądy krajowe muszą interpretować pojęcie szkody stosując za każdym razem przepisy i orzecznictwo krajowe.

Wyrok TSUE potwierdza, że pomiędzy szkodą a naruszeniem przepisów RODO musi istnieć tzw. „związek przyczynowo-skutkowy”. Oznacza to, że musi wystąpić jednocześnie naruszenie przepisów RODO i to naruszenie przyczynić się musi do wystąpienia szkody niemajątkowej lub majątkowej u podmiotu danych. Wprost – nie każde naruszenie przepisów RODO, może spowodować szkodę u osoby fizycznej. Za każdym razem, konieczne będzie ocenianej tej zależności indywidualnie. Prawo do odszkodowania na gruncie RODO nie jest więc prawem bezwzględnym. Jak podkreślono w komunikacie prasowym dotyczącym wyroku TSUE: „powództwo odszkodowawcze odróżnia się od innych środków odwoławczych przewidzianych w RODO, w szczególności tych, które pozwalają nakładać administracyjne kary pieniężne, w odniesieniu do których to środków wykazanie wyrządzenia indywidualnej szkody nie jest konieczne”.

Pobierz wpis w wersji pdf

Podobne wpisy:

Mobilesec - darmowa konferencja poświęcona bezpieczeństwu urządzeń i aplikacji mobilnych

Nieświadomość pracownika szkodzi

Wdrażanie RODO, czy ściślej rzecz biorąc – przestrzeganie wykonywania przepisów w konkretnej firmie, zależy od wielu elementów. Jednym z kluczowych jest zachowanie i świadomość personelu. Dlaczego? Dlatego, że w praktyce błąd po stronie człowieka, choćby niezawiniony, to nadal jeden z najczęstszych powodów braku zgodności z RODO. Szkolenia bez efektu Certyfikat po ukończeniu szkolenia. Podpis na […]

Niezależny inspektor ochrony danych, czyli jaki?

Od ponad roku Urząd Ochrony Danych Osobowych (UODO) sporo mówi o niezależności inspektora ochrony danych (IOD). W kwietniu 2024 r. zorganizował nawet specjalne wydarzenie połączone z transmisją on-line, które w całości poświęcone było temu zagadnieniu. A jeszcze wcześniej byliśmy świadkami kilku kontroli, których wspólnym mianownikiem było tzw. 27 pytań, których celem było zweryfikowanie przez UODO […]

Powierzenie przetwarzania danych należy udokumentować – wnioski z kolejnej kary nałożonej przez UODO

UODO nałożył administracyjną karę pieniężną w kwocie 2,5 tys. zł na Sułkowicki Ośrodek Kultury. Powodem było powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji podmiotu przetwarzającego w zakresie oceny, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. W toku postępowania wyjaśniającego prowadzonego przez UODO ustalono, że […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki