iSecure logo
Blog

Ważny wyrok TSUE – Naruszenie RODO nie daje automatycznie prawa do odszkodowania

Prawo do odszkodowania w wyniku naruszenia przepisów Rozporządzenia zostało sformułowane w art. 82 RODO. Artykuł składa się z sześciu ustępów, które wskazują na generalne zasady dochodzenia odszkodowania i odpowiedzialności pomiędzy administratorem a podmiotem przetwarzającym.

Kluczowe przy dzisiejszym wpisie będzie art. 82 ust. 1 RODO, który stanowi: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.” Sam przepis sformułowany został dość ogólnie. Jak sam wskazuje – podmiotem – wobec którego osoba fizyczna może wysunąć roszczenie jest administrator lub podmiot przetwarzający. Zakres odpowiedzialności jest ściśle powiązany z zakresem obowiązków nałożonych na administratora i podmiot przetwarzający. Na administratorze danych ciąży więcej obowiązków, gdyż to on decyduje o celu i sposobie przetwarzania danych, co prowadzi do większej odpowiedzialności za szkody wynikające z naruszenia przepisów Rozporządzenia.

Wyrok Trybunału Sprawiedliwości UE w sprawie C-300/21 z dnia 4 maja 2023 r.

Austriacki dostawca usług kurierskich i pocztowych (Österreichische Post AG) zbierał informacje dotyczące przynależności podmiotów danych do partii politycznych. Za pomocą specjalnego algorytmu, administrator był w stanie określić czy konkretna osoba związana jest z jedną z austriackim partii politycznych. W szerszej perspektywie takie działanie miało służyć prowadzeniu reklamy wyborczej do konkretnej grupy politycznej. Na podstawie jednego z badań, austriacka Poczta ustaliła, że dana osoba jest związana z konkretną partią polityczną. Podmiot danych nie wyraził zgody na przetwarzanie jego danych osobowych w takim zakresie i dla takich celów. Jednocześnie, osoba ta poczuła się mocno dotknięta przetwarzaniem informacji o jej przynależności partyjnej. Następnie podmiot danych zdecydował się zgłosić do austriackiego sądu roszczenie o odszkodowanie w kwocie 1000 euro za szkodę niemajątkową spowodowaną przetwarzaniem danych osobowych przez Österreichische Post AG. Jako szkodę niemajątkową, podmiot danych wskazał: „silne poczucie zdenerwowania”, „brak komfortu psychicznego”.

Sądy zarówno pierwszej, jak i drugiej instancji w Austrii oddaliły powództwo podmiotu danych. Wskazywały, że odszkodowanie za szkodę niemajątkową w wyniku naruszenia przepisów RODO nie przysługuje w każdym przypadku. Ponadto, zaistniała szkoda musi mieć określoną „wagą i doniosłość”. Trudno wskazać, że odpowiednią wagę ma szkoda niemajątkowa polegająca na silnym poczuciu zdenerwowania. Podmiot danych skierował sprawę do austriackiego Sądu Najwyższego, który zdecydował zadać TSUE pytania prejudycjalne dotyczące wystąpienia prawa do odszkodowania za poniesioną szkodę na gruncie przepisów Rozporządzenia.

W pierwszej kolejności TSUE, zwrócił uwagę, aby możliwe było otrzymanie zadośćuczynienia na gruncie RODO muszą wystąpić łącznie trzy przesłanki: naruszenie przepisów RODO, wystąpienie szkody majątkowej lub niemajątkowej wynikającej z tego naruszenia oraz związek przyczynowy między szkodą a naruszeniem. TSUE podkreśliło, że art. 82 ust. 1 RODO należy odczytywać w ten sposób, że naruszenie przepisów RODO nie daje automatycznie prawa do odszkodowania. W jaki sposób ocenić czy dana szkoda ma wystarczająca wagę do zadośćuczynienia? Zdaniem TSUE w tym przypadku RODO nie zawiera przepisów, które interpretują „powagę” szkody, i sądy krajowe muszą interpretować pojęcie szkody stosując za każdym razem przepisy i orzecznictwo krajowe.

Wyrok TSUE potwierdza, że pomiędzy szkodą a naruszeniem przepisów RODO musi istnieć tzw. „związek przyczynowo-skutkowy”. Oznacza to, że musi wystąpić jednocześnie naruszenie przepisów RODO i to naruszenie przyczynić się musi do wystąpienia szkody niemajątkowej lub majątkowej u podmiotu danych. Wprost – nie każde naruszenie przepisów RODO, może spowodować szkodę u osoby fizycznej. Za każdym razem, konieczne będzie ocenianej tej zależności indywidualnie. Prawo do odszkodowania na gruncie RODO nie jest więc prawem bezwzględnym. Jak podkreślono w komunikacie prasowym dotyczącym wyroku TSUE: „powództwo odszkodowawcze odróżnia się od innych środków odwoławczych przewidzianych w RODO, w szczególności tych, które pozwalają nakładać administracyjne kary pieniężne, w odniesieniu do których to środków wykazanie wyrządzenia indywidualnej szkody nie jest konieczne”.

Pobierz wpis w wersji pdf

Podobne wpisy:

Wewnętrzny inspektor ochrony danych a konflikt interesów w organizacji

Zgodnie z RODO obowiązkiem niektórych administratorów i przetwarzających będzie powołanie inspektora ochrony danych (IOD). Taki obowiązek będzie miał miejsce w przypadku wszystkich organów i podmiotów publicznych, jak również w stosunku do podmiotów, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych […]

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej […]

Przetwarzanie danych służbowych

SZKOLENIA PRACOWNIKÓW – UDOSTĘPNIAMY CZY POWIERZAMY DANE?

Temat szkoleń pracowników dotyka każdego pracodawcę – z jednej strony zobowiązani są oni do zapewniania szkoleń, o których wprost mówią przepisy prawa (szkolenia BHP), z drugiej zaś duże grono pracodawców, w ramach chęci zapewnienia pracownikom ciekawych form benefitów pracowniczych, organizuje różnego rodzaju dodatkowe kursy i szkolenia dla zainteresowanych osób (np. kursy językowe, branżowe, szkolenia podnoszące […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki