Niedawny wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-340/21 dotyczył kwestii warunków odszkodowania za szkodę niemajątkową, na którą powołuje się osoba, której dane osobowe znajdujące się w posiadaniu organu publicznego zostały opublikowane w Internecie w następstwie ataku cyberprzestępców.
Kontekst sprawy
Bułgarska krajowa agencja skarbowo-podatkowa (NAP) jest instytucją podlegającą ministrowi finansów, odpowiedzialną głównie za identyfikację, zabezpieczanie i odzyskiwanie publicznych wierzytelności. Pełni w tym zakresie rolę administratora danych osobowych. W lipcu 2019 roku media doniosły o włamaniu do systemu informatycznego NAP, w wyniku którego dane osobowe milionów osób zostały opublikowane w Internecie. W rezultacie cyberataku mogącego prowadzić do potencjalnego bezprawnego wykorzystania danych, złożono liczne pozwy przeciwko NAP, domagając się odszkodowania za szkody niemajątkowe. W związku z tym, bułgarski najwyższy sąd administracyjny zwrócił się do TSUE z pytaniem prejudycjalnym dotyczącym warunków przyznawania odszkodowania za szkodę niemajątkową na podstawie RODO.
TSUE: czy dowiemy się, kto w organizacji przeglądał nasze dane?
Rozstrzygnięcie
TSUE wskazał, że jeśli dane osobowe zostaną nieuprawnione ujawnione lub dostęp do nich będzie nieautoryzowany, to taka sytuacja nie pozwala jeszcze sądom wyciągać wniosku, że środki ochrony stosowane przez administratora danych były niewystarczające. Sądy muszą indywidualnie ocenić, czy przyjęte środki były odpowiednie, z uwzględnieniem ich konkretnego charakteru. Administrator w takim przypadku jest zobowiązany udowodnić, że były one wystarczające.
TSUE podkreślił, że jeżeli nieuprawnione ujawnienie danych osobowych lub nieautoryzowany dostęp do nich zostały dokonane przez „osoby trzecie”, takie jak cyberprzestępcy, administrator może być zobowiązany do wypłaty odszkodowania poszkodowanym, chyba że zdoła wykazać, że nie ponosi żadnej winy za powstałą szkodę. Ponadto TSUE wskazał, że obawa przed potencjalnym nadużyciem danych osobowych przez osoby trzecie w kontekście naruszenia RODO może samodzielnie być uznana za „szkodę niemajątkową”. Jeśli spełnione są wspomniane przesłanki, to taka osoba może otrzymać odszkodowanie.
Wiemy więcej w kwestii odszkodowań
Wyrok TSUE powinien rozwiać wiele wątpliwości związanych z problematyką odszkodowań za naruszenie ochrony danych osobowych. Należy jednak pamiętać, że nie za każde naruszenie otrzymamy odszkodowanie. Taka decyzja będzie ostatecznie leżała po stronie sądu i zależała od okoliczności sprawy, a w szczególności od środków bezpieczeństwa przyjętych i wdrożonych przez administratora danych.
Źródło: