W wyroku z 20 czerwca 2024 r. Trybunał Sprawiedliwości Unii Europejskiej odpowiedział na pytanie, czy obawa przed konsekwencjami wykorzystania danych osobowych po ich utracie może również uzasadniać przyznanie odszkodowania.
Kontekst sprawy
Skarżący w postępowaniu przed TSUE byli klientami kancelarii doradztwa podatkowego. Powiadomili oni kancelarię o zmianie adresu pocztowego, co zostało zarejestrowane w jej informatycznym systemie przetwarzania danych. Nowy adres skarżących został następnie użyty przez kancelarię do wysyłki pism. Kancelaria omyłkowo wysłała deklaracje podatkowe skarżących na ich stary adres, gdzie przesyłka została otworzona przez nowych lokatorów. Gdy zorientowali się, że dokumenty nie są przeznaczone dla nich, włożyli je z powrotem do koperty i przekazali rodzinie adresata mieszkającej w pobliżu. W końcu przesyłka dotarła do właściwych rąk, jednak okazało się, że zawierała tylko kopię deklaracji podatkowej. Klienci uznali, że oryginał zaginął, i zażądali od kancelarii 15 tys. euro odszkodowania za ujawnienie ich danych osobowych osobie nieuprawnionej.
Sprawa ostatecznie trafiła w trybie pytania prejudycjalnego do TSUE.
TSUE: Organ nadzorczy może nakazać usunięcie danych osobowych – nawet bez wniosku!
Stanowisko TSUE
Po pierwsze TSUE potwierdził swoje wcześniejsze stanowisko (wyrażone m.in. w wyrokach sygn. C-300/21 oraz C‑741/21), że z brzmienia artykułu 82 ust. 1 RODO jednoznacznie wynika, że nie można uznać, że każde „naruszenie” przepisów RODO przyznaje samo w sobie to prawo do odszkodowania dla podmiotu danych. W związku z tym strona dochodząca roszczeń musi udowodnić istnienie konkretnej szkody poniesionej w wyniku naruszenia.
Następnie TSUE wskazał, że taka szkoda może obejmować również szkodę niemajątkową (krzywdę) spowodowaną utratą kontroli nad swoimi danymi osobowymi, w tym obawę przed potencjalnymi skutkami ich bezprawnego wykorzystania. Jednak osoba zainteresowana musi udowodnić, że faktycznie odczuła negatywne skutki tej obawy, samo powołanie się na obawę, bez wykazania negatywnych konsekwencji, nie uzasadnia przyznania odszkodowania. Nie trzeba przy tym udowadniać, że obawa podmiotu danych faktycznie się urzeczywistniła.
Na koniec TSUE stwierdził, że wysokość odszkodowania wynikającego z art. 82 ust. 1 RODO nie można porównywać z karami za naruszenie RODO, gdyż kary nakładane w trybie administracyjnym mają charakter represyjny i odstraszający, natomiast odszkodowanie ma cel wyłącznie kompensacyjny i musi odpowiadać wartości poniesionej szkody. Zasady ustalania wysokości odszkodowania są zawsze określane przez prawo krajowe. Na wysokość odszkodowania nie wpływa również ewentualne naruszenie przepisów krajowych, chyba że celem tych przepisów jest doprecyzowanie obowiązków administratora wynikających z RODO.
TSUE: za utratę kontroli nad danymi nie zawsze będzie odszkodowanie
Nie tak łatwo o odszkodowanie
Powyższy wyrok TSUE jest kolejnym, w którym Trybunał precyzuje jakie przesłanki muszą być spełnione, aby podmiot danych, którego prawa zostały naruszone otrzymał odszkodowanie. Orzecznictwo Trybunału ewidentnie wskazuje na wymóg wystąpienia konkretnych okoliczności i konieczność ich wykazania. Widać więc krystalizujące się warunki dobrego uargumentowania i równie dobrego udokumentowania ewentualnego powództwa.
