C-340/21
Podsumowanie
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni przepisów RODO w sprawie odpowiedzialności administratora danych za naruszenie ochrony danych osobowych. Sprawa wywodzi się ze sporu o odszkodowanie za szkodę niemajątkową, którą osoba fizyczna miała ponieść w wyniku ujawnienia jej danych osobowych po cyberataku na bułgarską agencję przychodów (NAP). Sąd odsyłający postawił przed Trybunałem pięć pytań prejudycjalnych dotyczących interpretacji art. 24, 32 i 82 RODO. Kluczowe kwestie obejmowały: czy samo ujawnienie danych przez osoby trzecie oznacza niewłaściwe środki bezpieczeństwa, jaki jest zakres kontroli sądowej nad oceną tych środków, czy ciężar dowodu w zakresie odpowiedniości środków spoczywa na administratorze, czy atak hakerski zwalnia administratora z odpowiedzialności oraz czy obawa przed przyszłym nadużyciem danych stanowi szkodę niemajątkową. Trybunał Sprawiedliwości UE orzekł, że samo naruszenie ochrony danych przez osoby trzecie nie jest wystarczające do uznania środków bezpieczeństwa za nieodpowiednie. Ocena tych środków powinna być dokonywana przez sądy krajowe w sposób konkretny, uwzględniając ryzyko. Ciężar udowodnienia odpowiedniości środków spoczywa na administratorze. Atak hakerski nie zwalnia automatycznie administratora z odpowiedzialności – musi on udowodnić brak swojej winy. Ponadto, Trybunał stwierdził, że obawa przed przyszłym nadużyciem danych osobowych, nawet jeśli nadużycie nie nastąpiło, może stanowić szkodę niemajątkową w rozumieniu RODO, pod warunkiem, że obawa ta jest uzasadniona w konkretnych okolicznościach.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaWykładnia przepisów RODO dotyczących odpowiedzialności administratora za naruszenie ochrony danych, w tym oceny środków bezpieczeństwa, ciężaru dowodu oraz definicji szkody niemajątkowej.
Orzeczenie dotyczy wykładni prawa UE, stosowanie w konkretnych przypadkach wymaga analizy stanu faktycznego.
Zagadnienia prawne (6)
Czy samo ujawnienie danych osobowych lub nieuprawniony dostęp do nich przez osoby trzecie wystarcza do uznania, że środki techniczne i organizacyjne wdrożone przez administratora nie były odpowiednie w rozumieniu art. 24 i 32 RODO?Ratio decidendi
Odpowiedź sądu
Nie, samo ujawnienie danych lub nieuprawniony dostęp przez osoby trzecie nie wystarcza do uznania środków za nieodpowiednie. Administrator musi mieć możliwość wykazania, że podjął odpowiednie kroki.
Uzasadnienie
RODO ustanawia system zarządzania ryzykiem, a nie eliminacji ryzyka. Ocena odpowiedniości środków musi być konkretna i uwzględniać ryzyko związane z przetwarzaniem.
Jaki jest zakres sądowej kontroli nad oceną odpowiedniości środków technicznych i organizacyjnych przez administratora?Ratio decidendi
Odpowiedź sądu
Sądy krajowe powinny dokonywać oceny środków w sposób konkretny, badając ich charakter, istotę i wdrożenie w świetle ryzyka związanego z przetwarzaniem, a nie ograniczać się do oceny zamiarów administratora.
Uzasadnienie
Ocena musi być szczegółowa i uwzględniać wszystkie kryteria z art. 32 RODO, aby zapewnić skuteczność ochrony danych i prawo do skutecznego środka prawnego.
Czy w postępowaniu o odszkodowanie na podstawie art. 82 RODO, ciężar udowodnienia odpowiedniości wdrożonych środków bezpieczeństwa spoczywa na administratorze danych?Ratio decidendi
Odpowiedź sądu
Tak, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), ciężar udowodnienia, że wdrożone środki bezpieczeństwa są odpowiednie, spoczywa na administratorze.
Uzasadnienie
Zasada rozliczalności wymaga od administratora wykazania zgodności z RODO. Przeniesienie tego ciężaru na osobę, której dane dotyczą, pozbawiłoby prawo do odszkodowania jego skuteczności.
Czy opinia biegłego sądowego jest niezbędnym i wystarczającym środkiem dowodowym do oceny odpowiedniości środków bezpieczeństwa?Ratio decidendi
Odpowiedź sądu
Nie, opinia biegłego sądowego nie może systematycznie stanowić niezbędnego i wystarczającego środka dowodowego. Sądy krajowe muszą dokonać obiektywnej oceny, a nie polegać wyłącznie na opinii biegłego.
Uzasadnienie
Zasada skuteczności prawa UE wymaga, aby sądy dokonywały obiektywnej oceny, a nie automatycznie opierały się na opinii biegłego, co mogłoby naruszyć zasadę skuteczności.
Czy administrator jest zwolniony z odpowiedzialności za szkodę, jeśli wynika ona z naruszenia przez osoby trzecie (np. atak hakerski)?Ratio decidendi
Odpowiedź sądu
Nie, administrator nie jest zwolniony z odpowiedzialności tylko z tego powodu, że szkoda wynika z działań osób trzecich. Musi udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do szkody.
Uzasadnienie
Zwolnienie z odpowiedzialności jest możliwe tylko w ściśle ograniczonych okolicznościach, gdy administrator udowodni brak swojej winy. Atak hakerski nie zwalnia automatycznie z odpowiedzialności, jeśli administrator zaniedbał obowiązki ochrony danych.
Czy obawa przed przyszłym nadużyciem danych osobowych, wynikająca z naruszenia RODO, może sama w sobie stanowić szkodę niemajątkową?Ratio decidendi
Odpowiedź sądu
Tak, obawa przed ewentualnym przyszłym wykorzystaniem danych w sposób stanowiący nadużycie może sama w sobie stanowić szkodę niemajątkową w rozumieniu art. 82 ust. 1 RODO.
Uzasadnienie
Pojęcie szkody należy interpretować szeroko. Obawa taka, jeśli jest uzasadniona w konkretnych okolicznościach, mieści się w szerokiej koncepcji szkody niemajątkowej, zgodnej z celami RODO.
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| VB | osoba_fizyczna | skarżący |
| Natsionalna agentsia za prihodite | organ_krajowy | pozwany |
| Rząd bułgarski | organ_krajowy | interwenient |
| Rząd czeski | organ_krajowy | interwenient |
| Irlandia | panstwo_czlonkowskie | interwenient |
| Rząd włoski | organ_krajowy | interwenient |
| Rząd portugalski | organ_krajowy | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (11)
Główne
RODO art. 5 § 1
Ogólne rozporządzenie o ochronie danych
Zasady dotyczące przetwarzania danych osobowych (zgodność z prawem, rzetelność, przejrzystość, integralność i poufność).
RODO art. 5 § 2
Ogólne rozporządzenie o ochronie danych
Zasada rozliczalności - administrator jest odpowiedzialny i musi wykazać przestrzeganie zasad.
RODO art. 24 § 1
Ogólne rozporządzenie o ochronie danych
Obowiązki administratora - wdrożenie odpowiednich środków technicznych i organizacyjnych, uwzględniając ryzyko.
RODO art. 32 § 1
Ogólne rozporządzenie o ochronie danych
Bezpieczeństwo przetwarzania - administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne odpowiadające ryzyku.
RODO art. 32 § 2
Ogólne rozporządzenie o ochronie danych
Ocena bezpieczeństwa - uwzględnia ryzyko, w tym przypadkowe lub niezgodne z prawem zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub dostęp.
RODO art. 82 § 1
Ogólne rozporządzenie o ochronie danych
Prawo do odszkodowania za szkodę majątkową lub niemajątkową.
RODO art. 82 § 2
Ogólne rozporządzenie o ochronie danych
Odpowiedzialność administratora za szkody spowodowane przetwarzaniem naruszającym RODO.
RODO art. 82 § 3
Ogólne rozporządzenie o ochronie danych
Zwolnienie z odpowiedzialności administratora, jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie.
Pomocnicze
RODO art. 4
Ogólne rozporządzenie o ochronie danych
Definicje: dane osobowe, przetwarzanie, administrator, strona trzecia, naruszenie ochrony danych.
RODO art. 79 § 1
Ogólne rozporządzenie o ochronie danych
Prawo do skutecznego środka ochrony prawnej przed sądem.
TFUE art. 267
Traktat o funkcjonowaniu Unii Europejskiej
Podstawa prawna wniosku o wydanie orzeczenia w trybie prejudycjalnym.
Argumenty
Skuteczne argumenty
Samo naruszenie ochrony danych przez osoby trzecie nie zwalnia administratora z odpowiedzialności. • Obawa przed przyszłym nadużyciem danych stanowi szkodę niemajątkową. • Ciężar dowodu odpowiedniości środków bezpieczeństwa spoczywa na administratorze. • Ocena środków bezpieczeństwa powinna być konkretna i uwzględniać ryzyko.
Odrzucone argumenty
Administrator jest zwolniony z odpowiedzialności, jeśli naruszenie nastąpiło z winy osób trzecich (np. atak hakerski). • Obawa przed nadużyciem danych nie stanowi szkody niemajątkowej, jeśli nadużycie nie nastąpiło. • Opinia biegłego jest wystarczającym dowodem na odpowiedniość środków.
Godne uwagi sformułowania
Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. • Administrator musi być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. • Administrator nie jest zwolniony z obowiązku naprawienia poniesionej przez daną osobę szkody z tego tylko powodu, iż szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez „osoby trzecie” [...], gdyż ów administrator musi przy tym udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
Skład orzekający
K. Jürimäe
prezes_izby
N. Piçarra
sędzia
M. Safjan
sędzia
N. Jääskinen
sprawozdawca
M. Gavalec
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia przepisów RODO dotyczących odpowiedzialności administratora za naruszenie ochrony danych, w tym oceny środków bezpieczeństwa, ciężaru dowodu oraz definicji szkody niemajątkowej."
Ograniczenia: Orzeczenie dotyczy wykładni prawa UE, stosowanie w konkretnych przypadkach wymaga analizy stanu faktycznego.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnego problemu naruszeń ochrony danych i prawa do odszkodowania, co jest bardzo aktualne dla szerokiego grona odbiorców.
“Cyberatak na agencję rządową: czy obawa przed utratą danych wystarczy do odszkodowania? TSUE wyjaśnia!”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny