iSecure logo
Blog

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Kategorie

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej niedawno przez austriacki organ ochrony danych osobowych na austriacką pocztę (Österreichische Post AG, dalej „ÖPAG”) na podstawie RODO. Na jednym pozwie więc raczej się nie skończy. Kara to aż 18 milionów euro, a naruszenie dotyczyło ok. 2 milionów klientów.

Na czym polegało naruszenie?

ÖPAG miała dopuścić się wykorzystywania i przechowywania danych dotyczących sympatii politycznych swoich 2 milionów klientów. Jak wynika z informacji udostępnionych w mediach, ukarany podmiot miał stosować profilowanie, aby ocenić, jak preferencje polityczne poszczególnych osób odpowiadały partiom politycznym obecnym na austriackiej scenie politycznej. Dodatkowo, jak ustalił austriacki organ ochrony danych osobowych, spółka miała przetwarzać na potrzeby marketingu bezpośredniego także dane dotyczące częstotliwości paczek i częstotliwości relokacji.

Osoby fizyczne, których danych dotyczyło opisane wyżej przetwarzanie, miały nie być w żaden sposób informowane o tym fakcie, ani nie wyrażały zgody na takie działania. W niektórych przypadkach dane przetwarzane przez ÖPAG miały być sprzedawane również podmiotom trzecim. Powyższe okoliczności wyszły na jaw w związku z tym, że wielu klientów wystąpiło do ÖPAG z wnioskiem o dostęp do swoich danych osobowych.

Żądanie powoda i wyrok

Osoba, która wystąpiła z żądaniem zapłaty zadośćuczynienia przez ÖPAG podnosiła, że czuła się zaniepokojona profilowaniem dokonywanym przez spółkę bez wiedzy i zgody powoda. Sąd pierwszej instancji uznał, że już samo poczucie zakłócenia przez niezgodne z prawem przetwarzanie danych dotyczących sympatii politycznych osoby fizycznej już samo w sobie stanowi szkodę niemajątkową. W związku z tym zasądził zadośćuczynienie w wysokości 800 euro, nie uzasadniając jednak, co wpłynęło na wysokość zadośćuczynienia.

Sąd przy okazji wskazał, że nie każda domniemana niedogodność lub niewielkie naruszenie powoduje powstanie roszczenia o zadośćuczynienie. Jednak w tej sprawie, biorąc pod uwagę,  że dane dotyczące preferencji politycznych to dane szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, w tej konkretnej sprawie minimalny próg niedogodności dla osoby fizycznej został przekroczony i należało zasądzić zadośćuczynienie.

Obie strony zaskarżyły wyrok, więc sprawa z pewnością będzie miała ciąg dalszy. Orzeczenie budzi jednak pewne kontrowersje. Należy wskazać, że RODO nie określa żadnych zasad dotyczących przyznawania zadośćuczynienia za krzywdę doznaną wskutek nielegalnego przetwarzania danych osobowych. Zastosowanie w tych sprawach mają więc ogólne przepisy prawa cywilnego w zakresie dochodzenia odszkodowania. Jak się wydaje, nie można co do zasady uznać, że samo niezgodne z prawem przetwarzanie danych osobowych i pewna niedogodność po stronie podmiotu danych mogą stanowić wystarczające podstawy do przyznania zadośćuczynienia. Powód powinien wykazać dokładnie, na czym polega jego krzywda. Biorąc jednak pod uwagę treść wydanego wyroku, z pewnością – przynajmniej w Austrii – można spodziewać się w najbliższym czasie sporej ilości pozwów o zadośćuczynienie.

Podobne wpisy:

RODO na Weselu

RODO na Weselu

Od czasu obowiązywania RODO w polskiej rzeczywistości upłynęło już trochę czasu . Wprowadziło ono nie mało zamieszania do naszego mało skomplikowanego życia
i codziennego funkcjonowania. RODO odcisnęło piętno na każdym aspekcie naszej egzystencji. Jego skutki odczuwalne są wszędzie tam, gdzie jest to możliwe. Idąc do przychodni nie jesteśmy już pacjentem ale numerem w poczekalni, który zyskuje „twarz” i osobowość dopiero z momentem spotkania z lekarzem w gabinecie.

Udostępnienie danych osobowych do organów publicznych – czy pracodawca może to zrobić?

Jednym z wielu wyzwań, z którym mierzą się pracodawcy, zapewniając pełną zgodność organizacji z przepisami ogólnego rozporządzenie o ochronie danych osobowych (RODO), jest konieczność udostępniania danych osobowych pracowników do organów publicznych tj. Policja, Prokuratura, Sąd, Urzędy. Przy dużej organizacji zatrudniającej po kilkadziesiąt, a nawet kilkaset pracowników takie sytuacje występują dość regularnie. Czy pracodawca może udostępnić […]

Rekrutacje ukryte a zgodność z RODO

Wielu pracodawców, decydując się na zaimplementowanie procesu rekrutacji zgodnie z przepisami o ochronie danych osobowych, zastanawia się, czy właściwe jest ukrycie swojej tożsamości podczas pozyskiwania kandydatów do pracy. Takie działanie podyktowane jest często wewnętrznymi potrzebami pracodawcy. Dlatego też pracodawcy poddają ocenie dopuszczenie możliwości zorganizowania procesu rekrutacyjnego bez ujawniania szczegółowych informacji o konkretnym podmiocie. W ogłoszeniach […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki