iSecure logo
Blog

Ważny wyrok TSUE – Naruszenie RODO nie daje automatycznie prawa do odszkodowania

Prawo do odszkodowania w wyniku naruszenia przepisów Rozporządzenia zostało sformułowane w art. 82 RODO. Artykuł składa się z sześciu ustępów, które wskazują na generalne zasady dochodzenia odszkodowania i odpowiedzialności pomiędzy administratorem a podmiotem przetwarzającym.

Kluczowe przy dzisiejszym wpisie będzie art. 82 ust. 1 RODO, który stanowi: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.” Sam przepis sformułowany został dość ogólnie. Jak sam wskazuje – podmiotem – wobec którego osoba fizyczna może wysunąć roszczenie jest administrator lub podmiot przetwarzający. Zakres odpowiedzialności jest ściśle powiązany z zakresem obowiązków nałożonych na administratora i podmiot przetwarzający. Na administratorze danych ciąży więcej obowiązków, gdyż to on decyduje o celu i sposobie przetwarzania danych, co prowadzi do większej odpowiedzialności za szkody wynikające z naruszenia przepisów Rozporządzenia.

Wyrok Trybunału Sprawiedliwości UE w sprawie C-300/21 z dnia 4 maja 2023 r.

Austriacki dostawca usług kurierskich i pocztowych (Österreichische Post AG) zbierał informacje dotyczące przynależności podmiotów danych do partii politycznych. Za pomocą specjalnego algorytmu, administrator był w stanie określić czy konkretna osoba związana jest z jedną z austriackim partii politycznych. W szerszej perspektywie takie działanie miało służyć prowadzeniu reklamy wyborczej do konkretnej grupy politycznej. Na podstawie jednego z badań, austriacka Poczta ustaliła, że dana osoba jest związana z konkretną partią polityczną. Podmiot danych nie wyraził zgody na przetwarzanie jego danych osobowych w takim zakresie i dla takich celów. Jednocześnie, osoba ta poczuła się mocno dotknięta przetwarzaniem informacji o jej przynależności partyjnej. Następnie podmiot danych zdecydował się zgłosić do austriackiego sądu roszczenie o odszkodowanie w kwocie 1000 euro za szkodę niemajątkową spowodowaną przetwarzaniem danych osobowych przez Österreichische Post AG. Jako szkodę niemajątkową, podmiot danych wskazał: „silne poczucie zdenerwowania”, „brak komfortu psychicznego”.

Sądy zarówno pierwszej, jak i drugiej instancji w Austrii oddaliły powództwo podmiotu danych. Wskazywały, że odszkodowanie za szkodę niemajątkową w wyniku naruszenia przepisów RODO nie przysługuje w każdym przypadku. Ponadto, zaistniała szkoda musi mieć określoną „wagą i doniosłość”. Trudno wskazać, że odpowiednią wagę ma szkoda niemajątkowa polegająca na silnym poczuciu zdenerwowania. Podmiot danych skierował sprawę do austriackiego Sądu Najwyższego, który zdecydował zadać TSUE pytania prejudycjalne dotyczące wystąpienia prawa do odszkodowania za poniesioną szkodę na gruncie przepisów Rozporządzenia.

W pierwszej kolejności TSUE, zwrócił uwagę, aby możliwe było otrzymanie zadośćuczynienia na gruncie RODO muszą wystąpić łącznie trzy przesłanki: naruszenie przepisów RODO, wystąpienie szkody majątkowej lub niemajątkowej wynikającej z tego naruszenia oraz związek przyczynowy między szkodą a naruszeniem. TSUE podkreśliło, że art. 82 ust. 1 RODO należy odczytywać w ten sposób, że naruszenie przepisów RODO nie daje automatycznie prawa do odszkodowania. W jaki sposób ocenić czy dana szkoda ma wystarczająca wagę do zadośćuczynienia? Zdaniem TSUE w tym przypadku RODO nie zawiera przepisów, które interpretują „powagę” szkody, i sądy krajowe muszą interpretować pojęcie szkody stosując za każdym razem przepisy i orzecznictwo krajowe.

Wyrok TSUE potwierdza, że pomiędzy szkodą a naruszeniem przepisów RODO musi istnieć tzw. „związek przyczynowo-skutkowy”. Oznacza to, że musi wystąpić jednocześnie naruszenie przepisów RODO i to naruszenie przyczynić się musi do wystąpienia szkody niemajątkowej lub majątkowej u podmiotu danych. Wprost – nie każde naruszenie przepisów RODO, może spowodować szkodę u osoby fizycznej. Za każdym razem, konieczne będzie ocenianej tej zależności indywidualnie. Prawo do odszkodowania na gruncie RODO nie jest więc prawem bezwzględnym. Jak podkreślono w komunikacie prasowym dotyczącym wyroku TSUE: „powództwo odszkodowawcze odróżnia się od innych środków odwoławczych przewidzianych w RODO, w szczególności tych, które pozwalają nakładać administracyjne kary pieniężne, w odniesieniu do których to środków wykazanie wyrządzenia indywidualnej szkody nie jest konieczne”.

Pobierz wpis w wersji pdf

Podobne wpisy:

Mobilesec - darmowa konferencja poświęcona bezpieczeństwu urządzeń i aplikacji mobilnych

Nieświadomość pracownika szkodzi

Wdrażanie RODO, czy ściślej rzecz biorąc – przestrzeganie wykonywania przepisów w konkretnej firmie, zależy od wielu elementów. Jednym z kluczowych jest zachowanie i świadomość personelu. Dlaczego? Dlatego, że w praktyce błąd po stronie człowieka, choćby niezawiniony, to nadal jeden z najczęstszych powodów braku zgodności z RODO. Szkolenia bez efektu Certyfikat po ukończeniu szkolenia. Podpis na […]

Polityka prywatności na stronie www – o czym należy pamiętać?

Polityka prywatności to taki dokument, który ma na celu przekazanie użytkownikom końcowym odwiedzającym stronę www kilka podstawowych informacji. Dobrze przygotowana polityka prywatności ma na celu również ochronę administratora. Ma ona za zadanie wyjaśnić, jakie dane, w tym dane osobowe zbierane są od odwiedzających stronę, dlaczego są zbierane i w jakich celach. Wielokrotnie można znaleźć w […]

Prawo dostępu do danych, a wyrok (C-487/21)

Prawo do uzyskania kopii danych, znane również jako prawo do dostępu, jest jednym z podstawowych praw przewidzianych przez RODO (Rozporządzenie Ogólne o Ochronie Danych) – unijne rozporządzenie dotyczące prywatności i ochrony danych osobowych obywateli Unii Europejskiej. RODO wprowadza zasady, których należy przestrzegać podczas przetwarzania danych osobowych, a także udziela praw jednostkom, których dane dotyczą. Prawo […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki