TSUE: RODO ustanawia system zarządzania ryzykiem i w żaden sposób nie ma na celu jego wyeliminowania

Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo istotne orzeczenie odnoszące się do trzech głównych wątków. 

W tej sprawie media Bułgarskie ujawniły w lipcu 2019 r., że miał miejsce nieuprawniony dostęp do systemu informatycznego NAP oraz że w następstwie tego cyberataku w Internecie opublikowano dane osobowe zawarte w tym systemie.

Zdarzenia te miały wpływ na ponad 6 mln osób fizycznych, będących obywatelami bułgarskimi lub zagranicznymi. Kilkaset z nich, w tym skarżąca w postępowaniu głównym, wytoczyło przeciwko NAP powództwa o odszkodowanie za szkodę niemajątkową wynikającą z ujawnienia ich danych osobowych.

W tym kontekście skarżąca w postępowaniu głównym wniosła do Administrativen sad Sofia-grad (sądu administracyjnego w Sofii, Bułgaria) powództwo o zasądzenie od NAP kwoty 1000 BGN (lewów (około 510 EUR) tytułem odszkodowania na podstawie art. 82 RODO i przepisów prawa bułgarskiego. Na poparcie tego żądania podniosła ona, że poniosła szkodę niemajątkową wynikającą z naruszenia danych osobowych w rozumieniu art. 4 pkt 12 RODO, a w szczególności z naruszenia bezpieczeństwa, które zostało spowodowane uchybieniem przez NAP obowiązkom ciążącym na nim w szczególności na mocy art. 5 ust. 1 lit. f) oraz art. 24 i 32 tego rozporządzenia. Poniesiona przez nią szkoda niemajątkowa polega jej zdaniem na obawie, iż jej dane osobowe, które zostały opublikowane bez jej zgody, mogłyby zostać w przyszłości wykorzystane w sposób stanowiący nadużycie lub że ona sama mogłaby zostać poddana szantażowi, agresji, a nawet zostać uprowadzona.

Orzeczeniem z dnia 27 listopada 2020 r. Administrativen sad Sofia-grad (sąd administracyjny w Sofii) oddalił powództwo skarżącej w postępowaniu głównym. Sąd ten uznał, po pierwsze, że nieuprawniony dostęp do bazy danych NAP wynikał z ataku hakerskiego ze strony osób trzecich, a po drugie, że skarżąca w postępowaniu głównym nie udowodniła bezczynności NAP w zakresie przyjęcia środków bezpieczeństwa. Ponadto uznał on, że skarżąca nie poniosła szkody niemajątkowej uprawniającej do odszkodowania.

Skarżąca w postępowaniu głównym wniosła skargę kasacyjną od tego orzeczenia do Varhoven administrativen sad (najwyższego sądu administracyjnego, Bułgaria), który jest sądem odsyłającym w niniejszej sprawie. Na poparcie swojej skargi kasacyjnej podnosi ona, że sąd pierwszej instancji naruszył prawo przy rozłożeniu ciężaru dowodu dotyczącego środków bezpieczeństwa podjętych przez NAP oraz że organ ten nie wykazał braku bezczynności w tym względzie. Ponadto skarżąca w postępowaniu głównym twierdzi, że obawa przed ewentualnym wykorzystaniem jej danych osobowych w przyszłości w sposób stanowiący nadużycie stanowi rzeczywistą, a nie hipotetyczną szkodę niemajątkową. W odpowiedzi NAP kwestionuje każdy z tych argumentów.

Sąd odsyłający rozważa przede wszystkim, czy samo stwierdzenie naruszenia ochrony danych osobowych pozwalałoby samo w sobie na wyciągnięcie wniosku, że środki wdrożone przez administratora tych danych nie były „odpowiednie” w rozumieniu art. 24 i 32 RODO.

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Wyszukiwarka Plus 360 dni
2899
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram
Wyszukiwarka 360 dni
2365
 PLN z VAT
  • Baza Orzeczeń Sądów i Trybunałów
  • Eksperckie tezy wybranych orzeczeń
  • Decyzje Prezesa UODO
  • Decyzje Europejskich Organów Nadzorczych
  • Wytyczne i Opinie EDPB oraz EDPS
  • Źródło argumentów w postępowaniu administracyjnym
Wybieram

Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


    Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

    TSUE wskazał, że:

    Z brzmienia art. 24 i 32 RODO wynika zatem, że przepisy te ograniczają się do nałożenia na administratora obowiązku przyjęcia środków technicznych i organizacyjnych mających na celu uniknięcie, na ile to możliwe, wszelkiego naruszenia ochrony danych osobowych. Okoliczność, czy takie środki mają odpowiedni charakter, należy oceniać w sposób konkretny, badając, czy środki te zostały wdrożone przez tego administratora z uwzględnieniem różnych kryteriów wskazanych w tych artykułach oraz potrzeb ochrony danych konkretnie związanych z danym przetwarzaniem, a także ryzyka wynikającego z tego przetwarzania.

    W związku z tym art. 24 i 32 RODO nie można rozumieć w ten sposób, że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez osobę trzecią wystarczają do stwierdzenia, że środki przyjęte przez danego administratora nie były odpowiednie w rozumieniu tych przepisów, nie umożliwiając nawet temu administratorowi przedstawienia dowodu przeciwnego.

    Taka wykładnia nasuwa się tym bardziej, że art. 24 RODO wyraźnie przewiduje, iż administrator musi być w stanie wykazać zgodność wdrożonych przez niego środków z tym rozporządzeniem, której to możliwości zostałby pozbawiony w przypadku przyjęcia niewzruszalnego domniemania.

    Na pierwsze pytanie prejudycjalne TSUE wskazuje, że należy udzielić odpowiedzi, iż:

    art. 24 i 32 RODO należy interpretować w ten sposób, że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż wdrożone przez danego administratora środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu tych art. 24 i 32.

    Aktualności Plus 360 dni
    599
     PLN z VAT
    • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
    • Fachowe i czytelne podsumowanie omawianego orzeczenia
    • Dostęp do wszystkich aktualności na stronie
    • Jako pierwszy masz dostęp do ważnych argumentów
    Wybieram
    Aktualności Plus 30 dni
    Przez 30 dni masz dostęp do najnowszych aktualności z RODO
    49.99
     PLN z VAT
    • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
    • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
    • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
    • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
    Wybieram
    Wyszukiwarka Plus 360 dni
    2899
     PLN z VAT
    • Dostęp do Wyszukiwarka 360 Dni
    • Dostęp do Aktualności Plus 360 Dni
    • 3 konsultacje RODO w ramach subskrypcji
    Wybieram

    Według Trybunału prawdą jest, że administrator ma pewien zakres uznania przy określaniu odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, jak wymaga tego art. 32 ust. 1 RODO. Niemniej jednak sąd krajowy powinien mieć możliwość skontrolowania złożonej oceny dokonanej przez administratora i w ten sposób upewnienia się, że przyjęte przez niego środki są w stanie zagwarantować taki stopień bezpieczeństwa.

    Taka wykładnia może ponadto zapewnić, z jednej strony, skuteczność ochrony danych osobowych, na którą zwrócono uwagę w motywach 11 i 74 tego rozporządzenia, a z drugiej strony, prawo do skutecznego środka ochrony prawnej przed sądem względem administratora, chronione przez art. 79 ust. 1 wspomnianego rozporządzenia w związku z motywem 4 tego rozporządzenia.

    W związku z tym TSUE wskazuje, że:

    w związku z tym, aby zweryfikować, czy środki techniczne i organizacyjne wdrożone na podstawie art. 32 RODO mają odpowiedni charakter, sąd krajowy nie powinien ograniczać się do ustalenia, w jaki sposób dany administrator danych zamierzał wypełnić obowiązki ciążące na nim na mocy tego artykułu, lecz powinien zbadać te środki co do istoty w świetle wszystkich kryteriów wymienionych w tym artykule, a także okoliczności danej sprawy i dowodów, którymi sąd ten dysponuje w tym względzie.

    takie badanie wymaga przeprowadzenia konkretnej analizy zarówno charakteru, jak i treści środków wdrożonych przez administratora, sposobu, w jaki środki te zostały zastosowane, oraz ich praktycznego wpływu na poziom bezpieczeństwa, jaki administrator ten był zobowiązany zapewnić, biorąc pod uwagę ryzyko związane z tym przetwarzaniem.

    w konsekwencji na pytanie drugie trzeba odpowiedzieć, że art. 32 RODO należy interpretować w ten sposób, iż oceny, czy środki techniczne i organizacyjne wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, sądy krajowe powinny dokonywać w sposób konkretny, w szczególności uwzględniając ryzyko związane z danym przetwarzaniem oraz ustalając, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka.

    Aktualności Plus 360 dni
    599
     PLN z VAT
    • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
    • Fachowe i czytelne podsumowanie omawianego orzeczenia
    • Dostęp do wszystkich aktualności na stronie
    • Jako pierwszy masz dostęp do ważnych argumentów
    Wybieram
    Aktualności Plus 30 dni
    Przez 30 dni masz dostęp do najnowszych aktualności z RODO
    49.99
     PLN z VAT
    • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
    • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
    • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
    • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
    Wybieram
    Wyszukiwarka Plus 360 dni
    2899
     PLN z VAT
    • Dostęp do Wyszukiwarka 360 Dni
    • Dostęp do Aktualności Plus 360 Dni
    • 3 konsultacje RODO w ramach subskrypcji
    Wybieram

    Co istotne TSUE odniósł się do obowiązku administratora:

    z brzmienia art. 5 ust. 2, art. 24 ust. 1 i art. 32 ust. 1 RODO jednoznacznie wynika, że ciężar udowodnienia, iż dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych w rozumieniu art. 5 ust. 1 lit. f) i art. 32 tego rozporządzenia, spoczywa na danym administratorze;

    art. 32 RODO i zasadę skuteczności prawa Unii należy interpretować w ten sposób, iż na potrzeby oceny, czy środki bezpieczeństwa wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, opinia biegłego sądowego nie może systematycznie stanowić niezbędnego i wystarczającego środka dowodowego.

    Nadto Trybunał wskazał, że art. 82 ust. 3 RODO należy interpretować: 

    w ten sposób, iż administrator nie jest na podstawie art. 82 ust. 1 i 2 tego rozporządzenia zwolniony z obowiązku naprawienia poniesionej przez daną osobę szkody z tego tylko powodu, iż szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia, przy czym ów administrator musi udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody;

    Aktualności Plus 360 dni
    599
     PLN z VAT
    • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
    • Fachowe i czytelne podsumowanie omawianego orzeczenia
    • Dostęp do wszystkich aktualności na stronie
    • Jako pierwszy masz dostęp do ważnych argumentów
    Wybieram
    Wyszukiwarka Plus 360 dni
    2899
     PLN z VAT
    • Dostęp do Wyszukiwarka 360 Dni
    • Dostęp do Aktualności Plus 360 Dni
    • 3 konsultacje RODO w ramach subskrypcji
    Wybieram
    Wyszukiwarka 360 dni
    2365
     PLN z VAT
    • Baza Orzeczeń Sądów i Trybunałów
    • Eksperckie tezy wybranych orzeczeń
    • Decyzje Prezesa UODO
    • Decyzje Europejskich Organów Nadzorczych
    • Wytyczne i Opinie EDPB oraz EDPS
    • Źródło argumentów w postępowaniu administracyjnym
    Wybieram

    Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

    Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


      Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

      Nadto art. 82 ust. 1 RODO:

      nie wyklucza, że pojęcie „szkody niemajątkowej” zawarte w tym przepisie obejmuje sytuację taką jak przedstawiona przez sąd odsyłający, w której osoba, której dane dotyczą, powołuje się, w celu uzyskania odszkodowania na podstawie tego przepisu, na swoją obawę, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane przez osoby trzecie w sposób stanowiący nadużycie ze względu na naruszenie tego rozporządzenia, do którego doszło.

      osoba, której dotyczy naruszenie RODO, które miało wobec niej negatywne konsekwencje, ma obowiązek wykazania, że konsekwencje te stanowią szkodę niemajątkową w rozumieniu art. 82 tego rozporządzenia [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 50].

      Zapisz się do newslettera
      X

      Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności