TSUE: nie każde naruszenie RODO pozwala ubiegać się o odszkodowanie

TSUE: nie każde naruszenie RODO pozwala ubiegać się o odszkodowanie

W związku z naruszeniem danych osobowych przez austriacką spółkę, tamtejszy Sąd Najwyższy zwrócił się z pytaniami prejudycjalnymi do Trybunału Sprawiedliwości UE dotyczącymi zasad określenia odszkodowania za naruszenia przepisów RODO. W wydanym orzeczeniu TSUE wskazał m.in., że w celu uzyskania odszkodowania za naruszenie konieczne jest wykazanie szkody majątkowej lub niemajątkowej powstałej na skutek działania niezgodnego z przepisami RODO.

W wyroku z 4 maja 2023 r. Trybunał Sprawiedliwości Unii Europejskiej uznał, że w celu uzyskania odszkodowania za naruszenie przepisów Rozporządzenia UE 2016/679 o ochronie osób fizycznych w zakresie przetwarzania danych osobowych (RODO) konieczne jest wystąpienie szkody spowodowanej takim naruszeniem. TSUE potwierdził tym samym, że samo naruszenie jest niewystarczające do uzyskania odszkodowania, a brak szkody wyklucza możliwość ubiegania się o takie odszkodowanie.

Sprawa, w której wypowiedział się Trybunał, dotyczyła spółki prawa austriackiego, która gromadziła informacje na temat preferencji politycznych obywateli tego kraju. Za pomocą algorytmu, uwzględniającego różne kryteria społeczne i demograficzne, określiła „adresy grup docelowych”. Wygenerowane w ten sposób dane sprzedała różnym organizacjom w celu umożliwienia im dokonywania ukierunkowanych przesyłek reklamowych.

Jeden z obywateli poczuł się niezadowolony z faktu przypisania mu sympatii do określonej partii politycznej. Wskazał, że nigdy nie udzielał spółce zgody na przetwarzanie swoich danych osobowych, a jej działanie miało wywołać u niego oburzenie oraz poczucie kompromitacji. W związku z tym wystąpił z żądaniem zaniechania przetwarzania ww. danych osobowych oraz zasądzenia od spółki na jego rzecz kwoty 1000 euro tytułem odszkodowania za poniesioną szkodę niemajątkową.

O co zapytał Sąd?

Austriackie sądy obu instancji oddaliły jednak powództwo w zakresie żądania odszkodowawczego, dlatego sprawa trafiła do Sądu Najwyższego, który postanowił zawiesić postępowanie i zwrócić się do TSUE z poniższymi pytaniami prejudycjalnymi.

  1. „Czy zasądzenie odszkodowania na podstawie art. 82 […] RODO wymaga, oprócz naruszenia przepisów RODO, aby powód poniósł szkodę, czy też samo naruszenie przepisów RODO jest wystarczające do zasądzenia odszkodowania?
  2. Czy dla ustalenia wysokości odszkodowania poza zasadami skuteczności i równoważności istnieją inne wymogi w prawie Unii?
  3. Czy zgodny z prawem Unii jest pogląd, że warunkiem stwierdzenia poniesienia szkody niemajątkowej jest to, iż powstała ona w konsekwencji lub w następstwie naruszenia prawa o przynajmniej pewnej wadze, które wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa?”.

Nie każde naruszenie to szkoda

Zgodnie ze stanowiskiem TSUE możliwość żądania odszkodowania za naruszenie przepisów RODO uwarunkowana jest spełnieniem – w sposób kumulatywny – trzech przesłanek: po pierwsze – musi dojść do przetwarzania danych osobowych z naruszeniem przepisów RODO, po drugie – osoba, której dane dotyczą, musi ponieść szkodę, a – po trzecie – między szkodą a niezgodnym z prawem naruszeniem musi istnieć związek przyczynowy.

Wyrok TSUE dotyczy zasad odpowiedzialności w relacji między osobą, której dane zostały naruszone, a podmiotem przetwarzającym te dane, który dopuścił się naruszenia. W takim układzie, w celu uzyskania odszkodowania za naruszenie, konieczne będzie wykazanie szkody majątkowej lub niemajątkowej powstałej na skutek działania niezgodnego z przepisami RODO.

Zgodnie z powyższym stanowiskiem nie każde naruszenie przepisów RODO będzie więc skutkowało powstaniem szkody, a w konsekwencji – nie za każde naruszenie regulacji wynikających z tego Rozporządzenia będzie należne odszkodowanie.

Na marginesie TSUE wskazał również, że inaczej sytuacja wygląda w przypadku nakładania kar administracyjnych, które odpowiednie organy mogą wymierzyć za samo naruszenie przepisów RODO. W takich przypadkach przesłanka istnienia szkody majątkowej lub niemajątkowej nie jest konieczna do nałożenia kary – wystarczające będzie bowiem samo naruszenie.

Próg wagi szkodzi spójności

Odnośnie pytania drugiego, dotyczącego istnienia innych wymogów w prawie unijnym – poza zasadami skuteczności i równoważności – dla ustalenia wysokości odszkodowania, Trybunał wskazał, że Rozporządzenie nie zawiera przepisu określającego zasady dotyczące szacowania wysokości odszkodowania, należnego na podstawie art. 82 RODO. W celu ustalenia wysokości odszkodowania należnego z tego tytułu sądy krajowe powinny więc stosować wewnętrzne przepisy dotyczące zakresu odszkodowania pieniężnego, pod warunkiem przestrzegania zasad równoważności i skuteczności prawa Unii.

W ostatnim pytaniu austriacki Sąd Najwyższy zwrócił się z prośbą o wyjaśnienie, czy przepisy krajowe (lub praktyka sądowa) mogą uzależniać możliwość uzyskania odszkodowania od tego, czy szkoda niemajątkowa osiągnęła określoną wagę. TSUE podkreślił, że: „z motywu 10 RODO wynika, że jego przepisy zmierzają w szczególności do zapewnienia wysokiego i spójnego stopnia ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii i, w tym celu, zapewnienia spójnego i jednolitego stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem takich danych w całej Unii.”

Zdaniem Trybunału uzależnienie odszkodowania od określonego progu wagi mogłoby działać przeciwko spójności przepisów, ponieważ próg wagi byłby zróżnicowany i zależał od oceny sądu rozpatrującego sprawę. Nie zwalnia to jednak osoby, w stosunku do której naruszono przepisy RODO i która poniosła w związku z tym szkodę majątkową lub niemajątkową, od obowiązku jej wykazania.

Szkoda a kary administracyjne

Należy pamiętać, że omawiany wyrok TSUE dotyczy zasad odpowiedzialności w relacji między osobą, której dane zostały naruszone, a podmiotem przetwarzającym te dane, który dopuścił się naruszenia. W takim układzie, w celu uzyskania odszkodowania za naruszenie, konieczne będzie wykazanie szkody majątkowej lub niemajątkowej powstałej na skutek działania niezgodnego z przepisami RODO.

Należy jednak zaznaczyć, że niezależnie od powyższej zasady, przepisy RODO określają również zasady nakładania kar administracyjnych na podmioty dopuszczające się naruszeń, a w ich przypadku zasada konieczności wykazywania szkody nie obowiązuje.

AM_strona_taxens

Autor: Agnieszka Mazur, aplikant adwokacki