Odpowiedzialność administratora danych osobowych za szkodę niemajątkową

14 grudnia zapadł ważny wyrok Trybunału UE dotyczący ochrony danych osobowych. Odpowiada on na pytanie, czy w przypadku ataku hakerskiego administrator danych może ponieść odpowiedzialność za szkodę niemajątkową osoby, której dane osobowe zostały udostępnione. Omówienie orzeczenia znaleźć można w LEX Prawo Europejskie.

Stan faktyczny

Sprawa C-340/21 (Natsionalna agentsia za prihodite) dotyczy ujawnienia danych osobowych, do których doszło w wyniku ataku hakerskiego do systemu informatycznego należącego do agencji publicznej w Bułgarii. Ujawnione dane dotyczyły różnych informacji podatkowych i ubezpieczeniowych milionów osób, zarówno obywateli bułgarskich, jak i cudzoziemców. W związku z udostępnieniem danych w internecie wiele osób poczuło się pokrzywdzonych i wniosło powództwa przeciwko tej agencji o zasądzenie odszkodowania za szkody niemajątkowe.

Ujawnienie danych osobowych jako podstawa odszkodowania za szkodę niemajątkową i inne kwestie do rozstrzygnięcia przez TSUE

Sprawa trafiła w Bułgarii do sądów administracyjnych. Ponieważ krajowy najwyższy sąd administracyjny powziął wątpliwości co do wykładni rozporządzenia RODO, skierował on pytania prejudycjalne do unijnego Trybunału. W wyroku Trybunał miał za zadanie odnieść się do następujących kwestii:

• po pierwsze, czy niezgodne z prawem ujawnienie danych osobowych będących w posiadaniu agencji publicznej, które zostało spowodowane atakiem hakerskim, może stanowić podstawę odszkodowania za szkodę niemajątkową na rzecz osoby, której dane dotyczą, tylko z tego powodu, że obawia się ona ewentualnego nieuczciwego wykorzystania jej danych w przyszłości;
• po drugie, jakie są kryteria przypisania odpowiedzialności administratorowi za szkodę niemajątkową;
• po trzecie, jak wygląda rozkład ciężar dowodu w postępowaniu oraz
• po czwarte, jaki jest zakres kontroli sądu?

Wyrok: obawa o skutki wycieku danych osobowych może być szkodą niemajątkową

W wyroku Trybunał unijny uznał przede wszystkim, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Jednocześnie uzyskanie odszkodowania nie jest uzależnione od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień powagi. Nie można bowiem wykluczyć, że pojęcie "szkody niemajątkowej" może obejmować sytuację, w której osoba, której dane dotyczą, powołuje się na swoją obawę, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane przez osoby trzecie w sposób stanowiący nadużycie ze względu na naruszenie tego rozporządzenia, do którego doszło.

Trybunał podkreślił również, że pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele tego rozporządzenia. Tymczasem wykładnia pojęcia "szkody niemajątkowej", która nie obejmowałaby sytuacji, w których osoba, której dotyczy naruszenie wspomnianego rozporządzenia, powołuje się na obawę, jaką żywi, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane w sposób stanowiący nadużycie, nie odpowiadałaby szerokiej koncepcji tego pojęcia zamierzonej przez prawodawcę Unii.

Więcej na temat wyroku zob.:

• Tomasz Partyk, Przy wycieku danych sama obawa może być szkodą. Omówienie wyroku TS z dnia 14 grudnia 2023 r., C-340/21 (Natsionalna agentsia za prihodite)

Tagi:
• LEX Prawo Europejskie