Wprowadzenie odszkodowań za naruszenia dotyczące RODO było jedną z innowacji przewidzianych w reformie przepisów o ochronie danych. Zgodnie z art. 82, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Uprawnienie tego typu istniało już wcześniej w porządkach prawnych niektórych państw członkowskich i uznawane było za ogólną zasadę prawa, nie tylko unijnego – zgodnie z paremią ubi ius, ibi remedium (gdzie prawo, tam remedium). Przybierało jednak różne formy – np. w Polsce w zakresie szkody niematerialnej niezbędnym było skorzystanie z mechanizmu ochrony dóbr osobistych. Art. 82 wprowadził bezpośrednie prawo do odszkodowania.
Czytaj też: TSUE: Poczta ma podać, komu przekazała dane osobowe >>
Algorytm na rzecz kampanii
Rozstrzygnięta 4 maja 2023 przez TSUE sprawa C-300/21 UI p. Österreichische Post AG dotyczyła wykorzystywania przez Österreichische Post AG (spółkę pełniąca funkcję operatora pocztowego w Austrii) informacji o preferencjach politycznych ludności. Dane były generowane za pomocą algorytmu, badającego szereg aspektów społecznych i demograficznych, a następnie udostępniane firmom prywatnym w celu prowadzenia kampanii reklamowych.
Na podstawie tak zbieranych danych, Österreichische Post wygenerowała dane dotyczące jednego z obywateli i powiązała je z określonymi partiami politycznymi. Informacja ta nie została udostępniona osobom trzecim, ale osoba pokrzywdzona stwierdziła, że rezultat takiego przetwarzania (na które nie wyraziła zgody) wywołała u niego „wielkie wzburzenie, utratę zaufania, a także poczucie kompromitacji”.
Czytaj więcej: Naruszenie RODO to za mało do uzyskania odszkodowania. Omówienie wyroku TS z dnia 4 maja 2023 r., C-300/21 (Österreichische Post) >>
Trzy wątpliwości do rozstrzygnięcia przez TSUE
W związku z powyższym osoba ta wszczęła postępowanie przed kolejnymi sądami austriackimi, domagając się zarówno zaniechania przetwarzania, jak i zadośćuczynienia za wpływ, jaki przetwarzanie tych danych wywarło. O ile kwestia słuszności żądania zaprzestania przetwarzania danych nie podlega dyskusji, to żądanie odszkodowania budzi wątpliwości wobec charakteru szkody. Ostatecznie do TSUE trafiło pytanie prejudycjalne, dotyczące trzech kwestii:
- Czy zasądzenie odszkodowania na podstawie art. 82 RODO wymaga, oprócz naruszenia przepisów RODO, aby powód poniósł szkodę, czy też samo naruszenie przepisów RODO jest wystarczające do zasądzenia odszkodowania?
Tutaj TSUE zwrócił uwagę, że na potrzeby zasadzenia odszkodowania za naruszenie RODO kumulatywnie muszą być spełnione trzy przesłanki:
- istnienie naruszenia RODO,
- powstała szkoda majątkowa i niemajątkowa,
- zachodzi związek przyczynowy pomiędzy naruszeniem a szkodą.
Tym samym sam fakt istnienia naruszenia RODO nie jest wystarczający do zasądzenia odszkodowania, o którym mowa w art. 82.
- Czy dla ustalenia wysokości odszkodowania poza zasadami skuteczności i równoważności istnieją inne wymogi w prawie Unii?
Tutaj TSUE uznał, że skoro RODO nie przewiduje żadnych wymogów dotyczących zasądzania odszkodowania, należy tego dokonać w zgodzie z prawem państwa członkowskiego, o ile jest to zgodne z zasadami prawa Unii, w tym z granicami wskazanymi w odpowiedzi na pytanie trzecie – zapewnić musi przy tym „pełne i skuteczne odszkodowanie za poniesione szkody”. Nie obejmuje natomiast żadnych odszkodowań o charakterze karnym.
- Czy zgodny z prawem Unii jest pogląd, że warunkiem stwierdzenia poniesienia szkody niemajątkowej jest to, iż powstała ona w konsekwencji lub w następstwie naruszenia prawa o przynajmniej pewnej wadze, które wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa?
W tym zakresie w opinii TSUE pojęcie szkody powinno być rozumiane szeroko, w sposób, który odzwierciedla cele RODO. Zgodnie z motywem 146 zdanie trzecie RODO „pojęcie szkody należy interpretować szeroko. Jego graniczenie wyłącznie do szkód o określonej wadze zaprzeczałoby szerokiej koncepcji tego pojęcia, preferowanej przez prawodawcę Unii. Naprawie podlega przy tym nie tylko szkoda majątkowa. Nie ma zatem automatycznego uprawnienia do odszkodowania z tytułu samego naruszenia RODO. Nie ma jednak także żadnego progu powagi szkody niematerialnej, od której należy się zadośćuczynienie. Natomiast co do zasady jest ono należne w każdej sytuacji, w której doszło do naruszenia i doprowadziło ono do powstania szkody, w tym wzburzenia, po stronie osoby której dane dotyczą. TSUE odrzuca zatem stanowisko, zgodnie z którym szkoda minimalna nie podlega naprawieniu.
Natomiast osoba, która domaga się odszkodowania, musi wykazać, że rzeczywiście szkoda (niematerialna) u niej powstała – zgodnie z ogólnymi zasadami prawa Unii, w tym zakresie to na niej spoczywa ciężar dowodu. Natomiast jeżeli szkoda już powstała i zostanie udowodniona, to zgodnie z art. 82 ust. 3 to na administratorze bądź podmiocie przetwarzającym (który szkodę wyrządził) jest obowiązek udowodnienia, że nie ponosi winy za jej powstanie.
Czytaj też: Szkoda wynikająca z naruszenia przepisów RODO. Wybrane problemy >>
Obawa o nadużycie jako powód odszkodowania?
Należy przypomnieć fakt, że TSUE nie rozstrzygnął, że w sprawie obywatela Austrii odszkodowanie było należne – a jedynie odnosił się do kwestii ogólnych zasad jej wyznaczenia, odpowiadając na pytanie prejudycjalne sądu.
Charakter i natura szkody niematerialnej związanej z naruszeniem RODO są aktualnie badane przez TSUE w kolejnej sprawie C‑340/21. Jedno z pytań prejudycjalnych w niej skierowanych dotyczy tego, czy sama obawa, zmartwienie i strach przed ewentualnym przyszłym nadużyciem danych osobowych – bez zaistnienia takiego nadużycia lub wyrządzenia innej szkody – może być uznana za szkody niematerialne. TSUE nie wydał jeszcze decyzji w tej sprawie, ale opinia Rzecznika Generalnego z dnia 27 kwietnia b.r. wskazuje, że taka obawa musi być w określony sposób skonkretyzowana i wiązać się z rzeczywistymi i pewnymi, chociażby niewielkimi, trudnościami dla czyjejś sfery fizycznej lub psychicznej lub dla życia rodzinnego. Trybunał nie musi koniecznie zastosować się do takiej opinii, ale wydaje się to zgodne z linią orzecznicza państw UE. Przykładowo, w niedawnej decyzji Sądu Okręgowego Monachium (sprawa 4 O 13063/22) wskazano, że nie można mówić o szkodzie w sytuacji, w której nie powstały żadne niedogodności po stronie osób – organizacja dochodziła zadośćuczynienia w imieniu członków, wykorzystując roboty sieciowe do znalezienia naruszenia na stronach internetowych.
Odszkodowania RODO w Polsce
Jak dotąd odszkodowanie z tytułu naruszenia RODO w Polsce nie było instrumentem często stosowanym. Mieliśmy do czynienia z kilkoma decyzjami, a wyznaczone odszkodowania były stosunkowo niskie. Tak np. w roku 2022 zasądził odszkodowanie (zadośćuczynienie) w wysokości 1000 zł w ramach naprawienia szkód niemajątkowych – w postaci obawy związanej z ujawnieniem danych nieuprawnionemu odbiorcy, zaś w wyroku z 2021 roku w wysokości 1500 zł (w tym przypadku ujawniono nadmierny zakres danych). Decyzje sądów polskich nie odbiegają przy tym od standardu europejskiego – np. w Holandii zadośćuczynienie związane z ujawnieniem danych o stanie zdrowia oszacowano na 500 Euro (sprawa RvS - 201901006/1/A2). W porównaniu zatem z potencjalnymi karami za naruszenie RODO, kwoty te były stosunkowo niskie.
Nie oznacza to jednak, że kwestie możliwości żądania odszkodowania można całkowicie pominąć z punktu widzenia ryzyka przedsiębiorstwa. Obok samego naruszenia, na wysokość zadośćuczynienia wpływ może mieć czas jego trwania. Na przykład Sąd Pracy w Oldenburgu (Niemcy) orzekł zadośćuczynienie w wysokości 10 000 euro – w tym przypadku szkoda powstała w związku z niewykonywaniem żądania dostępu do danych przez 20 miesięcy, w sytuacji, w której dane te były potrzebne w związku z postępowaniem sądowym - po 500 euro za każdy miesiąc zwłoki. Ponadto uprawnienie do wystąpienia o zadośćuczynienie może powstać oddzielnie po stronie każdej osoby, która szkodę poniosła. W przypadku zatem większych naruszeń, jak wycieku danych setek czy tysięcy osób, potencjalny łączny zakres roszczeń mógłby nawet przewyższyć karę administracyjną. Potencjalny zakres takich roszczeń nie jest przy tym ograniczony rozmiarami przedsiębiorstwa.
Autor opinii: Krzysztof Kaźmierczak, Data Protection Specialist RK RODO
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
