TSUE: nieuprawnione ujawnienie danych nie wystarczy do zadośćuczynienia
TSUE kolejny raz wskazuje, że naruszenie ochrony danych osobowych samo w sobie nie udowadnia błędnego wdrożenia RODO.
W orzeczeniu ze stycznia 2024 r. TSUE odpowiedział, aż na siedem pytań pewnego Sądu Rejonowego w Hagen.
Do tego Sądu zgłosił się pewien obywatel, który w sklepie stacjonarnym kupił sprzęt AGD korzystając z rat. W tym celu podał podstawowe dane osobowe, które zostały wprowadzone do umowy ratalnej.
Pracownik tego sklepu wydał umowę i produkt innemu Obywatelowi.
Pracownik ten zorientował się o swoim błędzie i w ciągu 30 minut “odzyskał” i dokument i produkt.
https://judykatura.pl/szkolenia/
Szkolenie z RODO
- Praktyczna wiedza zbudowana na najistotniejszej teorii
- Elastyczny czas szkolenia – dwa dni po cztery godziny
- Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
- Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram
Jednak osoba, która kupiła ten produkt stwierdziła, że poniosła “szkody moralnej, którą, jak twierdzi, poniósł w wyniku błędu pracowników Saturn i wynikającego z tego ryzyka utraty kontroli nad jego danymi osobowymi”.
Sklep z AGD podnosił, że:
nie doszło do naruszenia RODO i że mogło ono mieć miejsce jedynie w przypadku przekroczenia pewnego progu dotkliwości, który w niniejszej sprawie nie został osiągnięty. Z drugiej strony spółka ta podnosi, że skarżąca w postępowaniu głównym nie poniosła żadnej szkody, ponieważ nie zauważono ani nawet nie zarzucono, że zaangażowana osoba trzecia w niewłaściwy sposób wykorzystała dane osobowe zainteresowanych.
https://judykatura.pl/szkolenia/
Zamiast wskazywać jakie pytania zadał Sąd Rejonowy przejdę od razu do stanowiska TSUE:
z brzmienia art. 24 i 32 RODO wynika zatem, że odpowiedni charakter środków zastosowanych przez administratora danych należy oceniać w sposób konkretny, biorąc pod uwagę różne kryteria, o których mowa w tych artykułach, oraz wymogi ochrony danych potrzebami ściśle związanymi z danym przetwarzaniem, a także z ryzykiem, jakie ono stwarza, tym bardziej, że wspomniany administrator musi być w stanie wykazać zgodność z niniejszym rozporządzeniem w sprawie wspomnianych środków, czego byłby pozbawiony, gdyby przyjęto niewzruszalne domniemanie (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentia za prihodite , C‑340/21, EU:C:2023:986, pkt 30–32).
TSUE: RODO ustanawia system zarządzania ryzykiem i w żaden sposób nie ma na celu jego wyeliminowania
w tym przypadku okoliczność, że pracownicy administratora omyłkowo przekazali nieuprawnionej osobie trzeciej dokument zawierający dane osobowe, może świadczyć o tym, że zastosowane przez administratora środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu wspomnianych art. 24 i 32. W szczególności okoliczność taka może wynikać z zaniedbania lub wady organizacyjnej administratora, która nie uwzględnia konkretnego sposobu zagrożeń związanych z przetwarzaniem danych.
tym samym sąd rozpoznający takie powództwo o naprawienie szkody na podstawie art. 82 RODO nie może brać pod uwagę jedynie okoliczności, że pracownicy administratora omyłkowo przekazali nieuprawnionej osobie trzeciej dokument zawierający dane osobowe, przy ustalaniu czy doszło do naruszenia obowiązku przewidzianego w niniejszym rozporządzeniu. W istocie sąd ten musi również wziąć pod uwagę wszystkie dowody dostarczone przez administratora w celu wykazania stosowności środków technicznych i organizacyjnych, które przyjął w celu wywiązania się ze swoich obowiązków wynikających z art. 24 i 32 wspomnianego rozporządzenia.
w konsekwencji na pytanie siódme należy odpowiedzieć, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że przewidziane w tym przepisie prawo do odszkodowania, w szczególności w przypadku szkody niemajątkowej, spełnia funkcję kompensacyjną , w tym, że rekompensata finansowa oparta na tym przepisie powinna umożliwiać pełne zrekompensowanie szkody rzeczywiście poniesionej w wyniku naruszenia tego rozporządzenia, a nie mieć funkcji represyjnej.
z powyższych względów na pytanie szóste należy odpowiedzieć, że art. 82 RODO należy interpretować w ten sposób, że artykuł ten nie wymaga uwzględnienia stopnia wagi naruszenia popełnionego przez administratora w celu naprawienia szkody na podstawie tego przepisu.
Szkolenie z RODO
- Praktyczna wiedza zbudowana na najistotniejszej teorii
- Elastyczny czas szkolenia – dwa dni po cztery godziny
- Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
- Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram
mając na uwadze powyższe względy, na pytanie drugie należy odpowiedzieć, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że na osobie dochodzącej odszkodowania na podstawie tego przepisu ciąży obowiązek wykazania nie tylko naruszenia przepisów niniejszego rozporządzenia, ale także, że naruszenie to spowodowało szkodę materialną lub moralną.
zatem na pytanie piąte należy odpowiedzieć, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że w przypadku przekazania dokumentu zawierającego dane osobowe nieuprawnionej osobie trzeciej, o której zostanie ustalone, że nie był ich świadomy, „szkoda moralna” w rozumieniu tego przepisu nie polega na tym, że dana osoba obawia się, że kontynuacja tej komunikacji umożliwiła wykonanie kopii wspomnianego dokumentu przed ich zwrotem, w przyszłości nastąpi ich rozpowszechnianie lub nawet nadużycie.