Prawo do odszkodowania w wyniku naruszenia przepisów Rozporządzenia zostało sformułowane w art. 82 RODO. Artykuł składa się z sześciu ustępów, które wskazują na generalne zasady dochodzenia odszkodowania i odpowiedzialności pomiędzy administratorem a podmiotem przetwarzającym.
Kluczowe przy dzisiejszym wpisie będzie art. 82 ust. 1 RODO, który stanowi: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.” Sam przepis sformułowany został dość ogólnie. Jak sam wskazuje – podmiotem – wobec którego osoba fizyczna może wysunąć roszczenie jest administrator lub podmiot przetwarzający. Zakres odpowiedzialności jest ściśle powiązany z zakresem obowiązków nałożonych na administratora i podmiot przetwarzający. Na administratorze danych ciąży więcej obowiązków, gdyż to on decyduje o celu i sposobie przetwarzania danych, co prowadzi do większej odpowiedzialności za szkody wynikające z naruszenia przepisów Rozporządzenia.
Wyrok Trybunału Sprawiedliwości UE w sprawie C-300/21 z dnia 4 maja 2023 r.
Austriacki dostawca usług kurierskich i pocztowych (Österreichische Post AG) zbierał informacje dotyczące przynależności podmiotów danych do partii politycznych. Za pomocą specjalnego algorytmu, administrator był w stanie określić czy konkretna osoba związana jest z jedną z austriackim partii politycznych. W szerszej perspektywie takie działanie miało służyć prowadzeniu reklamy wyborczej do konkretnej grupy politycznej. Na podstawie jednego z badań, austriacka Poczta ustaliła, że dana osoba jest związana z konkretną partią polityczną. Podmiot danych nie wyraził zgody na przetwarzanie jego danych osobowych w takim zakresie i dla takich celów. Jednocześnie, osoba ta poczuła się mocno dotknięta przetwarzaniem informacji o jej przynależności partyjnej. Następnie podmiot danych zdecydował się zgłosić do austriackiego sądu roszczenie o odszkodowanie w kwocie 1000 euro za szkodę niemajątkową spowodowaną przetwarzaniem danych osobowych przez Österreichische Post AG. Jako szkodę niemajątkową, podmiot danych wskazał: „silne poczucie zdenerwowania”, „brak komfortu psychicznego”.
Sądy zarówno pierwszej, jak i drugiej instancji w Austrii oddaliły powództwo podmiotu danych. Wskazywały, że odszkodowanie za szkodę niemajątkową w wyniku naruszenia przepisów RODO nie przysługuje w każdym przypadku. Ponadto, zaistniała szkoda musi mieć określoną „wagą i doniosłość”. Trudno wskazać, że odpowiednią wagę ma szkoda niemajątkowa polegająca na silnym poczuciu zdenerwowania. Podmiot danych skierował sprawę do austriackiego Sądu Najwyższego, który zdecydował zadać TSUE pytania prejudycjalne dotyczące wystąpienia prawa do odszkodowania za poniesioną szkodę na gruncie przepisów Rozporządzenia.
W pierwszej kolejności TSUE, zwrócił uwagę, aby możliwe było otrzymanie zadośćuczynienia na gruncie RODO muszą wystąpić łącznie trzy przesłanki: naruszenie przepisów RODO, wystąpienie szkody majątkowej lub niemajątkowej wynikającej z tego naruszenia oraz związek przyczynowy między szkodą a naruszeniem. TSUE podkreśliło, że art. 82 ust. 1 RODO należy odczytywać w ten sposób, że naruszenie przepisów RODO nie daje automatycznie prawa do odszkodowania. W jaki sposób ocenić czy dana szkoda ma wystarczająca wagę do zadośćuczynienia? Zdaniem TSUE w tym przypadku RODO nie zawiera przepisów, które interpretują „powagę” szkody, i sądy krajowe muszą interpretować pojęcie szkody stosując za każdym razem przepisy i orzecznictwo krajowe.
Wyrok TSUE potwierdza, że pomiędzy szkodą a naruszeniem przepisów RODO musi istnieć tzw. „związek przyczynowo-skutkowy”. Oznacza to, że musi wystąpić jednocześnie naruszenie przepisów RODO i to naruszenie przyczynić się musi do wystąpienia szkody niemajątkowej lub majątkowej u podmiotu danych. Wprost – nie każde naruszenie przepisów RODO, może spowodować szkodę u osoby fizycznej. Za każdym razem, konieczne będzie ocenianej tej zależności indywidualnie. Prawo do odszkodowania na gruncie RODO nie jest więc prawem bezwzględnym. Jak podkreślono w komunikacie prasowym dotyczącym wyroku TSUE: „powództwo odszkodowawcze odróżnia się od innych środków odwoławczych przewidzianych w RODO, w szczególności tych, które pozwalają nakładać administracyjne kary pieniężne, w odniesieniu do których to środków wykazanie wyrządzenia indywidualnej szkody nie jest konieczne”.
