Trybunał Sprawiedliwości Unii Europejskiej 25 stycznia 2024 r. wydał wyrok w sprawie o sygn. C 687/21 dotyczącej zadośćuczynienia za naruszenie przepisów RODO. W tym wyroku TSUE stwierdza, że sama obawa osoby, której dane osobowe zostały zagubione, że jej dane zostaną bezprawnie wykorzystane, sama w sobie nie może stanowić podstawy do odszkodowania, jeśli nie było możliwości, aby osoba trzecia zapoznała się z tymi danymi.
Kontekst sprawy
Skarżący udał się do sklepu RTV, gdzie nabył urządzenie gospodarstwa domowego, podpisując jednocześnie umowę sprzedaży i kredytu. Dane klienta zostały wprowadzone do systemu komputerowego spółki, w tym jego imię i nazwisko, adres, miejsce zamieszkania, nazwa pracodawcy, dochody, a także dane bankowe. Klient następnie zaniósł tę umowę pracownikom pracującym w punkcie odbioru towarów. W tym samym czasie inny klient, który prześlizgnął się obok skarżącego, przez pomyłkę odebrał zarówno zamówione przez niego urządzenie, jak i dotyczące go dokumenty i zabrał je ze sobą. Po szybkim wykryciu błędu, pracownikowi udało się odebrać dokumenty, a następnie zwrócić je skarżącemu, w ciągu pół godziny od ich pozyskania przez drugiego klienta.
Zaproponowane przez sklep odszkodowanie nie zadowoliło skarżącego, który wystąpił do sądu, żądając odszkodowania na podstawie wystąpienia szkód niematerialnych spowodowanych przez obawę wykorzystania przez osobę trzecią jego danych osobowych. Sprawa ostatecznie trafiła do TSUE poprzez pytanie prejudycjalne.
Odszkodowanie na podstawie art. 82 RODO
Trybunał ponownie więc zajął się problematyką odszkodowań na podstawię art. 82 RODO. W wyroku z 25 stycznia TSUE wskazuje, że osoba, której dane dotyczą, może ponieść szkodę niematerialną, w wyniku utraty kontroli administratora nad jej danymi osobowymi. Jednakże ta osoba musi jednocześnie udowodnić, że doszło faktycznie do wystąpienia szkody. Trybunał ponadto stwierdził, że jeśli osoba trzecia nie miała możliwości zapoznania się z utraconymi przez administratora danymi osobowymi, a więc ryzyko jest jedynie hipotetyczne, to w tej sytuacji odszkodowanie nie jest zasadne.
Jak stwierdził Trybunał:
„W przypadku udostępnienia dokumentu zawierającego dane osobowe nieuprawnionej osobie trzeciej, której udowodniono, że nie zapoznała się z tymi danymi, „szkoda niemajątkowa” w rozumieniu tego przepisu nie powstaje po prostu dlatego, że osoba, której dane dotyczą, obawia się, że po przekazaniu, które umożliwiło wykonanie jego kopii przed zwrotem dokumentu, w przyszłości nastąpi dalsze rozpowszechnianie, a nawet niewłaściwe wykorzystanie Twoich danych”.
Ta interpretacja zawęża interpretację art. 82 RODO przedstawioną przez Trybunał przy okazji wyroków sprawie C 340/21, gdzie wskazano:
„art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”
Trybunał zawęził więc tę interpretację, wskazując, że jeśli osoba trzecia nie zapoznała się danymi osobowymi skarżącego, to ryzyko wystąpienia negatywnych skutków jest czysto hipotetyczne.
TSUE: kiedy przysługuje odszkodowanie na naruszenie ochrony danych
Ponadto TSUE wskazał, że w kontekście powództwa o odszkodowanie opartego na art. 82, fakt, że pracownicy administratora omyłkowo przekazali nieupoważnionej osobie trzeciej dokument zawierający dane osobowe, nie jest samo w sobie wystarczające do uznania, że środki techniczne i organizacyjne wdrożone przez danego administratora nie były „odpowiednie” w rozumieniu tych art. 24 i 32. Wzmacnia to argumentacje, że odszkodowanie jest zasadne w przypadku, gdy osoba trzecia miała okazję zapoznać się z zagubionymi danymi. Jeśli przypadkowe ujawnienie nie jest wystarczające do stwierdzenia naruszenia zasad ochrony danych, to nie ma podstaw do uznania tego za nielegalne działanie, co oznacza, że nie zachodzi potrzeba przyznania odszkodowania.
Mniej spraw o odszkodowanie z RODO?
Powyższy wyrok pozwala sądzić, że administratorzy będą mogli skuteczniej bronić się przed pozwami o odszkodowanie z art. 82 RODO. TSUE zawęża bowiem możliwość jego uzyskania doprecyzowując okoliczności wystąpienia skutków dla osoby, której dane dotyczą.
Źródło:
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:62021CJ0687