TSUE: RODO ustanawia system zarządzania ryzykiem i w żaden sposób nie ma na celu jego wyeliminowania

Trybunał Sprawiedliwości Unii Europejskiej wydał bardzo istotne orzeczenie odnoszące się do trzech głównych wątków. 

W tej sprawie media Bułgarskie ujawniły w lipcu 2019 r., że miał miejsce nieuprawniony dostęp do systemu informatycznego NAP oraz że w następstwie tego cyberataku w Internecie opublikowano dane osobowe zawarte w tym systemie.

Zdarzenia te miały wpływ na ponad 6 mln osób fizycznych, będących obywatelami bułgarskimi lub zagranicznymi. Kilkaset z nich, w tym skarżąca w postępowaniu głównym, wytoczyło przeciwko NAP powództwa o odszkodowanie za szkodę niemajątkową wynikającą z ujawnienia ich danych osobowych.

W tym kontekście skarżąca w postępowaniu głównym wniosła do Administrativen sad Sofia-grad (sądu administracyjnego w Sofii, Bułgaria) powództwo o zasądzenie od NAP kwoty 1000 BGN (lewów (około 510 EUR) tytułem odszkodowania na podstawie art. 82 RODO i przepisów prawa bułgarskiego. Na poparcie tego żądania podniosła ona, że poniosła szkodę niemajątkową wynikającą z naruszenia danych osobowych w rozumieniu art. 4 pkt 12 RODO, a w szczególności z naruszenia bezpieczeństwa, które zostało spowodowane uchybieniem przez NAP obowiązkom ciążącym na nim w szczególności na mocy art. 5 ust. 1 lit. f) oraz art. 24 i 32 tego rozporządzenia. Poniesiona przez nią szkoda niemajątkowa polega jej zdaniem na obawie, iż jej dane osobowe, które zostały opublikowane bez jej zgody, mogłyby zostać w przyszłości wykorzystane w sposób stanowiący nadużycie lub że ona sama mogłaby zostać poddana szantażowi, agresji, a nawet zostać uprowadzona.

Orzeczeniem z dnia 27 listopada 2020 r. Administrativen sad Sofia-grad (sąd administracyjny w Sofii) oddalił powództwo skarżącej w postępowaniu głównym. Sąd ten uznał, po pierwsze, że nieuprawniony dostęp do bazy danych NAP wynikał z ataku hakerskiego ze strony osób trzecich, a po drugie, że skarżąca w postępowaniu głównym nie udowodniła bezczynności NAP w zakresie przyjęcia środków bezpieczeństwa. Ponadto uznał on, że skarżąca nie poniosła szkody niemajątkowej uprawniającej do odszkodowania.

Skarżąca w postępowaniu głównym wniosła skargę kasacyjną od tego orzeczenia do Varhoven administrativen sad (najwyższego sądu administracyjnego, Bułgaria), który jest sądem odsyłającym w niniejszej sprawie. Na poparcie swojej skargi kasacyjnej podnosi ona, że sąd pierwszej instancji naruszył prawo przy rozłożeniu ciężaru dowodu dotyczącego środków bezpieczeństwa podjętych przez NAP oraz że organ ten nie wykazał braku bezczynności w tym względzie. Ponadto skarżąca w postępowaniu głównym twierdzi, że obawa przed ewentualnym wykorzystaniem jej danych osobowych w przyszłości w sposób stanowiący nadużycie stanowi rzeczywistą, a nie hipotetyczną szkodę niemajątkową. W odpowiedzi NAP kwestionuje każdy z tych argumentów.

Sąd odsyłający rozważa przede wszystkim, czy samo stwierdzenie naruszenia ochrony danych osobowych pozwalałoby samo w sobie na wyciągnięcie wniosku, że środki wdrożone przez administratora tych danych nie były „odpowiednie” w rozumieniu art. 24 i 32 RODO.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

TSUE wskazał, że:

Z brzmienia art. 24 i 32 RODO wynika zatem, że przepisy te ograniczają się do nałożenia na administratora obowiązku przyjęcia środków technicznych i organizacyjnych mających na celu uniknięcie, na ile to możliwe, wszelkiego naruszenia ochrony danych osobowych. Okoliczność, czy takie środki mają odpowiedni charakter, należy oceniać w sposób konkretny, badając, czy środki te zostały wdrożone przez tego administratora z uwzględnieniem różnych kryteriów wskazanych w tych artykułach oraz potrzeb ochrony danych konkretnie związanych z danym przetwarzaniem, a także ryzyka wynikającego z tego przetwarzania.

W związku z tym art. 24 i 32 RODO nie można rozumieć w ten sposób, że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez osobę trzecią wystarczają do stwierdzenia, że środki przyjęte przez danego administratora nie były odpowiednie w rozumieniu tych przepisów, nie umożliwiając nawet temu administratorowi przedstawienia dowodu przeciwnego.

Taka wykładnia nasuwa się tym bardziej, że art. 24 RODO wyraźnie przewiduje, iż administrator musi być w stanie wykazać zgodność wdrożonych przez niego środków z tym rozporządzeniem, której to możliwości zostałby pozbawiony w przypadku przyjęcia niewzruszalnego domniemania.

Na pierwsze pytanie prejudycjalne TSUE wskazuje, że należy udzielić odpowiedzi, iż:

art. 24 i 32 RODO należy interpretować w ten sposób, że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż wdrożone przez danego administratora środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu tych art. 24 i 32.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Według Trybunału prawdą jest, że administrator ma pewien zakres uznania przy określaniu odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, jak wymaga tego art. 32 ust. 1 RODO. Niemniej jednak sąd krajowy powinien mieć możliwość skontrolowania złożonej oceny dokonanej przez administratora i w ten sposób upewnienia się, że przyjęte przez niego środki są w stanie zagwarantować taki stopień bezpieczeństwa.

Taka wykładnia może ponadto zapewnić, z jednej strony, skuteczność ochrony danych osobowych, na którą zwrócono uwagę w motywach 11 i 74 tego rozporządzenia, a z drugiej strony, prawo do skutecznego środka ochrony prawnej przed sądem względem administratora, chronione przez art. 79 ust. 1 wspomnianego rozporządzenia w związku z motywem 4 tego rozporządzenia.

W związku z tym TSUE wskazuje, że:

w związku z tym, aby zweryfikować, czy środki techniczne i organizacyjne wdrożone na podstawie art. 32 RODO mają odpowiedni charakter, sąd krajowy nie powinien ograniczać się do ustalenia, w jaki sposób dany administrator danych zamierzał wypełnić obowiązki ciążące na nim na mocy tego artykułu, lecz powinien zbadać te środki co do istoty w świetle wszystkich kryteriów wymienionych w tym artykule, a także okoliczności danej sprawy i dowodów, którymi sąd ten dysponuje w tym względzie.

takie badanie wymaga przeprowadzenia konkretnej analizy zarówno charakteru, jak i treści środków wdrożonych przez administratora, sposobu, w jaki środki te zostały zastosowane, oraz ich praktycznego wpływu na poziom bezpieczeństwa, jaki administrator ten był zobowiązany zapewnić, biorąc pod uwagę ryzyko związane z tym przetwarzaniem.

w konsekwencji na pytanie drugie trzeba odpowiedzieć, że art. 32 RODO należy interpretować w ten sposób, iż oceny, czy środki techniczne i organizacyjne wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, sądy krajowe powinny dokonywać w sposób konkretny, w szczególności uwzględniając ryzyko związane z danym przetwarzaniem oraz ustalając, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Co istotne TSUE odniósł się do obowiązku administratora:

z brzmienia art. 5 ust. 2, art. 24 ust. 1 i art. 32 ust. 1 RODO jednoznacznie wynika, że ciężar udowodnienia, iż dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych w rozumieniu art. 5 ust. 1 lit. f) i art. 32 tego rozporządzenia, spoczywa na danym administratorze;

art. 32 RODO i zasadę skuteczności prawa Unii należy interpretować w ten sposób, iż na potrzeby oceny, czy środki bezpieczeństwa wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, opinia biegłego sądowego nie może systematycznie stanowić niezbędnego i wystarczającego środka dowodowego.

Nadto Trybunał wskazał, że art. 82 ust. 3 RODO należy interpretować: 

w ten sposób, iż administrator nie jest na podstawie art. 82 ust. 1 i 2 tego rozporządzenia zwolniony z obowiązku naprawienia poniesionej przez daną osobę szkody z tego tylko powodu, iż szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia, przy czym ów administrator musi udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody;

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Nadto art. 82 ust. 1 RODO:

nie wyklucza, że pojęcie „szkody niemajątkowej” zawarte w tym przepisie obejmuje sytuację taką jak przedstawiona przez sąd odsyłający, w której osoba, której dane dotyczą, powołuje się, w celu uzyskania odszkodowania na podstawie tego przepisu, na swoją obawę, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane przez osoby trzecie w sposób stanowiący nadużycie ze względu na naruszenie tego rozporządzenia, do którego doszło.

osoba, której dotyczy naruszenie RODO, które miało wobec niej negatywne konsekwencje, ma obowiązek wykazania, że konsekwencje te stanowią szkodę niemajątkową w rozumieniu art. 82 tego rozporządzenia [zob. podobnie wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 50].

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności