Przesłanki roszczenia odszkodowawczego z RODO

05.08.2021

W marcu 2021 r. Sąd drugiej instancji w Stuttgarcie oddalił apelację od wyroku Sądu Okręgowego, który oddalił powództwo związane z naruszeniem ochrony danych osobowych. 

Sprawa ta zaczęła się w sierpniu 2019 r., gdy w wyniku ataku hackerskiego dane osobowe powoda zostały “podsłuchane” przez osoby trzecie oraz opublikowane w internecie. Zaatakowana firma dopiero w październiku 2020 r. dysponowała pełnym zakresem wiedzy dotyczącej przedmiotowego ataku, w tym ilością osób, których dotyczyło naruszenie ochrony danych.  

Wyższy Sąd Okręgowy w Stuttgarcie wskazał w swoim wyroku, iż Sąd pierwszej instancji prawidłowo ocenił zebrany materiał dowodowy, gdyż:

pozwany nie naruszył ciążących na nim obowiązków ochrony danych osobowych w sposób zawiniony (art 82 ust. 3 RODO), gdyż sumiennie wybrał podmiot przetwarzający, który brał udział w przetwarzaniu danych osobowych (podmiot ten dysponował wdrożoną normą ISO 27001:2017 jak i standardem PCI-DSS;

wybrany podmiot przetwarzający był umownie zobowiązany do spełnienia wszystkich wymogów RODO, a pozwany (administrator) regularnie sprawdzał deklarowaną zgodność z RODO;

roszczenie z art. 82 RODO zakłada, że naruszenie przepisów RODO musi wyrządził szkodę osobie, której dane dotyczą;

norma wskazana w art. 82 RODO nie czyni wyjątku od wymogu wykazania związku przyczynowego między naruszeniem, a szkodą, ale zakłada, że szkoda musi być spowodowana naruszeniem RODO;

odpowiedzialność wskazana w art. 82 RODO nie skutkuje odwróceniem ciężaru dowodowego w procesie odszkodowawczym.