W ubiegłym tygodniu Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał istotne orzeczenie dotyczące odszkodowań za wycieki danych osobowych. Sprawa dotyczyła małżeństwa z Niemiec, które żądało odszkodowania od kancelarii doradztwa podatkowego. W wyniku błędu, korespondencja zawierająca ich dane osobowe trafiła pod stary adres, co spowodowało ryzyko ujawnienia tych danych. TSUE podkreślił, że sama obawa przed konsekwencjami wycieku danych może stanowić szkodę niemajątkową, jednak należy ją odpowiednio udowodnić.
Kontekst prawny: RODO a szkody niemajątkowe
RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) w art. 82 ust. 1 mówi o możliwości dochodzenia odszkodowania za naruszenie przepisów dotyczących ochrony danych osobowych. Niemiecki sąd skierował pytanie prejudycjalne do TSUE, aby uzyskać wyjaśnienia dotyczące interpretacji tego przepisu, w szczególności kwestii związanych z dowodzeniem szkody niemajątkowej.
Kluczowe wnioski z orzeczenia TSUE
TSUE przypomniał, że osoba dochodząca odszkodowania musi wykazać nie tylko naruszenie przepisów RODO, ale również to, że naruszenie to spowodowało szkodę niemajątkową. W uzasadnieniu wyroku, trybunał odwołał się do wcześniejszych orzeczeń w sprawach C 300/21 oraz C 741/21, które potwierdzają konieczność udowodnienia szkody.
Obawa jako podstawa szkody niemajątkowej
Jednym z kluczowych zagadnień poruszanych w orzeczeniu TSUE była kwestia, czy do zaistnienia szkody wystarczy obawa, że dane mogły zostać ujawnione osobie nieuprawnionej, czy też konieczne jest wykazanie, że dane faktycznie zostały ujawnione. TSUE stwierdził, że sama obawa przed potencjalnym nadużyciem danych osobowych może stanowić szkodę niemajątkową, pod warunkiem jej wykazania. Trybunał zaznaczył, że pojęcie „szkody niemajątkowej” powinno mieć autonomiczną i jednolitą definicję w ramach prawa Unii Europejskiej.
Wysokość odszkodowania
Ważnym aspektem orzeczenia TSUE była również kwestia ustalania wysokości odszkodowania. Niemiecki sąd zapytał, czy zasady dotyczące kar administracyjnych określone w RODO mogą służyć jako wskazówka przy ustalaniu odszkodowania. TSUE odpowiedział, że odszkodowanie nie powinno pełnić funkcji odstraszającej ani represyjnej. Wysokość odszkodowania powinna być ustalana na podstawie przepisów krajowych, z poszanowaniem zasad równoważności i skuteczności, ale nie powinna przewyższać wartości rzeczywistej szkody.
Podsumowanie
Najnowsze orzeczenie TSUE stanowi ważny krok w doprecyzowaniu zasad dotyczących odszkodowań za naruszenia ochrony danych osobowych. Trybunał potwierdził, że obawa przed wyciekiem danych może stanowić szkodę niemajątkową, jednak musi być ona odpowiednio udowodniona. Ponadto, wysokość odszkodowania nie powinna pełnić funkcji odstraszającej ani represyjnej, a jej ustalanie pozostaje w gestii państw członkowskich, z zastrzeżeniem poszanowania zasad równoważności i skuteczności.
Praktyczne implikacje dla przedsiębiorców i konsumentów
To orzeczenie ma istotne znaczenie zarówno dla przedsiębiorców, jak i konsumentów. Dla przedsiębiorców oznacza konieczność bardziej rygorystycznego podejścia do ochrony danych osobowych i świadomość, że nawet obawa klientów przed wyciekiem danych może prowadzić do roszczeń odszkodowawczych. Konsumentom natomiast daje to narzędzie do dochodzenia swoich praw w sytuacjach, gdy ich dane są niewłaściwie chronione.
Przyszłość ochrony danych osobowych w UE
Orzeczenie TSUE w sprawie niemieckiego małżeństwa wyznacza ważny precedens i może wpłynąć na przyszłe interpretacje przepisów RODO w innych krajach członkowskich UE. W miarę jak technologia i sposoby przetwarzania danych rozwijają się, zapewnienie adekwatnej ochrony danych osobowych staje się coraz bardziej kluczowe.
Zrozumienie i przestrzeganie przepisów RODO jest kluczowe dla wszystkich podmiotów przetwarzających dane osobowe. Orzeczenie TSUE stanowi ważne przypomnienie o konsekwencjach zaniedbań w tym zakresie oraz o prawach przysługujących osobom, których dane dotyczą.
Co wynika z orzecznictwa TSUE
Zgodnie z ukształtowaną linią orzeczniczą:
■ naruszenie RODO samo w sobie nie przesądza o konieczności wypłaty odszkodowania,
■ osoba domagająca się rekompensaty musi udowodnić szkodę majątkową lub niemajątkową,
■ sama obawa przed wykorzystaniem ujawnionych danych może stanowić taką szkodę, dane nie muszą zostać realnie użyte,
■ zasady wyznaczania kar finansowych nie powinny mieć wpływu na wysokość odszkodowania,
■ odszkodowanie nie ma spełniać funkcji odstraszającej.
Źródło: wyroki TSUE w sprawach: C 300/21, C 340/21, C 687/21, C 741/21
Masz pytania lub potrzebujesz pomocy – zapraszamy do kontaktu!
Informacje zawarte na stronie stanowią opis stanu prawnego na dzień publikacji i nie są poradą prawną w indywidualnej sprawie. Stan prawny od opublikowania może ulec zmianie. Kancelaria nie ponosi odpowiedzialności za wykorzystanie wpisu w celu rozwiązania problemów prawnych.
