TSUE zajmie się stwierdzeniem, czy pierwszy wniosek o kopię danych może być nadmierny

Pytanie prejudycjalne niemieckiego sądu porusza bardzo ciekawe i praktyczne zagadnienie nadmierności wniosków kierowanych do administratorów danych. Na pewno są takie podmioty, które mogą podnieść wskazać przykłady takich aktywności podmiotów danych, która stwarza pewne wątpliwości prawne. 

Sprawa ewidentnie jest niemieckiego, bo pewien Obywateli wysłała wniosek o kopię danych faksem.  

W tej sprawie pozwany – 16.03.2023 r. – zarejestrował się do „newslettera” na stronie internetowej powódki, podając swoje dane osobowe w formularzu rejestracyjnym, potwierdzając zgodę na przetwarzanie danych poprzez zaznaczenie pola i wysyłając formularz.

W dniu 29 marca 2023 r. pozwany przesłał wniosek o udzielenie informacji zgodnie z art. 15 RODO. Powódka potwierdziła otrzymanie wniosku i zapowiedziała, że udzieli odpowiedzi w terminie jednego miesiąca.

Jednak pismem z dnia 26 kwietnia 2023 r. powódka odmówiła udzielenia informacji, ponieważ zakwalifikowała żądanie udzielenia informacji za nadużycie prawa w rozumieniu art. 12 ust. 5 zdanie drugie lit. b) RODO. Pozwany został wezwany do ostatecznego odstąpienia od roszczenia do dnia 3 maja 2023 r., w przeciwnym razie sprawa miała zostać przekazana adwokatowi.

Pozwany nie zastosował się do tego żądania i nadal dochodził roszczenia o udzielenie informacji oraz roszczenia o odszkodowanie na podstawie art. 82 RODO.

W piśmie z dnia 29 czerwca 2023 r. zażądał on odszkodowania w wysokości 1.000 EUR. Między stronami sporne jest, czy pozwany dochodzi roszczeń z tytułu ochrony danych w sposób stanowiący nadużycie prawa. Powódka twierdzi, że pozwany systematycznie i nadużywając prawo wykorzystuje wnioski o udzielenie informacji w zakresie ochrony danych w celu późniejszego dochodzenia odszkodowania.

Wynika to z licznych relacji w odpowiednich mediach internetowych, które dokumentują działania pozwanego w wielu przypadkach. Powódka opiera swoją opinię na różnych wpisach na blogach i relacjach adwokatów, którzy opisują podobne przypadki i określają działania pozwanego jako dokonywane w celach zarobkowych.

Stwierdza ponadto, że zachowanie pozwanego podważa ochronny cel RODO, ponieważ nie dotyczy ono ochrony jego danych osobowych, ale wyłącznie egzekwowania odszkodowania finansowego.

Kup taniej dostęp do Wyszukiwarki 360 dni!

Niemiecki Sąd zadał następujące pytania:

1. Czy wykładni art. 12 ust. 5 zdanie drugie ogólnego rozporządzenia o ochronie danych (zwanego dalej „RODO”) należy dokonywać w ten sposób, że przy składaniu przez osobę, której dane dotyczą, po raz pierwszy wniosku o udzielenie informacji do administratora nie można założyć nadmiernego charakteru tego wniosku?

2. Czy wykładni art. 12 ust. 5 zdanie drugie RODO należy dokonywać w ten sposób, że administrator może odrzucić wniosek o udzielenie informacji złożony przez osobę, której dane dotyczą, jeżeli osoba ta za pomocą wniosku o udzielenie informacji zamierza wywołać roszczenia odszkodowawcze wobec administratora?

3. Czy wykładni art. 12 ust. 5 zdanie drugie RODO należy dokonywać w ten sposób, że publicznie dostępne informacje o osobie, której dane dotyczą, na podstawie których można stwierdzić, że osoba ta w wielu przypadkach naruszenia ochrony danych dochodzi roszczeń odszkodowawczych wobec administratorów, mogą uzasadniać odmowę udzielenia informacji?

4. Czy wykładni art. 4 pkt 2 RODO należy dokonywać w ten sposób, że wniosek osoby, której dane dotyczą, o udzielenie informacji skierowany do administratora na podstawie art. 15 ust. 1 RODO i/lub odpowiedź na taki wniosek stanowi przetwarzanie w rozumieniu art. 4 pkt 2 RODO?

5. Czy wykładni art. 82 ust. 1 RODO w świetle motywu 146 zdanie pierwsze RODO należy dokonywać w ten sposób, że tylko za szkody, które osoba, której dane dotyczą, poniesie lub poniosła wskutek przetwarzania, powinno przysługiwać odszkodowanie? Czy oznacza to, że w przypadku roszczenia o odszkodowanie na podstawie art. 82 ust. 1 RODO – zakładając istnienie związku przyczynowego między naruszeniem a szkodą osoby, której dane dotyczą – musiało mieć miejsce przetwarzanie danych osobowych osoby, której dane dotyczą?

6. Jeśli odpowiedź na pytanie piąte będzie twierdząca, to: Czy oznacza to, że osoba, której dane dotyczą – zakładając istnienie związku przyczynowego między naruszeniem a szkodą – nie jest uprawniona do odszkodowania na podstawie art. 82 ust. 1 RODO, jeżeli miało miejsce naruszenie wyłącznie jej prawa do informacji na podstawie art. 15 ust. 1 RODO?

7. Czy wykładni art. 82 ust. 1 RODO należy dokonywać w ten sposób, że zarzut administratora dokonywania nadużycia prawa w związku z wnioskiem o udzielenie informacji osoby, której dane dotyczą, nie może w świetle prawa Unii polegać na tym, że osoba, której dane dotyczą, doprowadziła do przetwarzania swoich danych osobowych wyłącznie lub między innymi w celu dochodzenia roszczeń odszkodowawczych?

8. Jeżeli na pytania piąte i szóste udzielona zostanie odpowiedź przecząca: Czy sama utrata kontroli i/lub niepewność co do przetwarzania danych osobowych osoby, której dane dotyczą, związana z naruszeniem art. 15 ust. 1 RODO stanowi szkodę niematerialną dla osoby, której dane dotyczą, w rozumieniu art. 82 ust. 1 RODO, czy też wymagane jest dalsze (obiektywne lub subiektywne) ograniczenie i/lub (odczuwalne) pogorszenie sytuacji osoby, której dane dotyczą?

Kup taniej dostęp do Wyszukiwarki 360 dni!

Ocena zasadności powództwa zależy od odpowiedzi na zadane pytania, które nie zostały jeszcze wyjaśnione lub na które nie udzielono odpowiedzi ponad wszelką wątpliwość w orzecznictwie Trybunału.

Sąd uważa za niedopuszczalne odrzucenie wniosku o udzielenie informacji przez administratora wyłącznie z powodu zamiaru przygotowania przez osobę, której dane dotyczą, roszczeń odszkodowawczych.

Każda inna interpretacja byłaby równoznaczna z utratą prawa do uzyskania informacji. Osoba, której dane dotyczą, która w przeszłości z naruszeniem prawa zażądała udzielenia informacji o przetwarzaniu, musi jednak zachować tę możliwość w świetle ochrony zapewnianej przez RODO. Co więcej, należy szanować decyzję legislacyjną, w ramach której zapewnienie zgodności z prawem przetwarzania danych osobowych przez odpowiednich administratorów ma odbywać się w taki sposób, aby administratorzy musieli rozliczać się z przetwarzania wobec poszczególnych osób, których dane dotyczą, wyłącznie w granicach niewłaściwego wykorzystania.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności