C-687/21
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że samo przypadkowe przekazanie danych osobowych nieuprawnionej osobie trzeciej nie oznacza automatycznie, że wdrożone środki bezpieczeństwa były niewystarczające, a obawa przed przyszłym nadużyciem danych może stanowić szkodę niemajątkową.
Sprawa dotyczyła wykładni RODO w kontekście przypadkowego przekazania danych osobowych klienta przez pracownika sklepu MediaMarktSaturn. Sąd odsyłający pytał, czy samo takie zdarzenie świadczy o naruszeniu RODO i czy obawa przed przyszłym nadużyciem danych może stanowić szkodę niemajątkową. Trybunał orzekł, że samo przekazanie danych nie przesądza o niewystarczalności środków bezpieczeństwa, a ciężar dowodu spoczywa na administratorze. Potwierdził również, że obawa przed przyszłym nadużyciem danych może być uznana za szkodę niemajątkową, ale wymaga wykazania.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni przepisów RODO, w szczególności art. 82 dotyczącego prawa do odszkodowania za szkodę majątkową lub niemajątkową. Sprawa wywodziła się ze skargi klienta (BL) przeciwko MediaMarktSaturn Hagen-Iserlohn GmbH, który omyłkowo przekazał jego dane osobowe (imię, nazwisko, adres, dochody, dane bankowe) nieupoważnionej stronie trzeciej w formie wydrukowanych dokumentów. Klient domagał się odszkodowania za szkodę niemajątkową, twierdząc, że naraził się na ryzyko utraty kontroli nad danymi. Sąd odsyłający pytał m.in. o ważność art. 82 RODO, konieczność wykazania szkody, czy samo przekazanie danych stanowi naruszenie RODO, a także czy obawa przed przyszłym nadużyciem danych może być uznana za szkodę niemajątkową. Trybunał uznał pierwsze pytanie dotyczące ważności art. 82 za niedopuszczalne z powodu braku uzasadnienia. W odniesieniu do pytań dotyczących naruszenia RODO, Trybunał orzekł, że samo przypadkowe przekazanie danych osobowych nieupoważnionej stronie trzeciej nie wystarcza do uznania, że wdrożone przez administratora środki techniczne i organizacyjne były nieodpowiednie. Ciężar udowodnienia odpowiedniego charakteru tych środków spoczywa na administratorze. Trybunał potwierdził, że prawo do odszkodowania na podstawie art. 82 RODO ma charakter kompensacyjny, a nie represyjny. Orzekł również, że dla uzyskania odszkodowania konieczne jest wykazanie nie tylko naruszenia RODO, ale także poniesionej szkody (majątkowej lub niemajątkowej) oraz związku przyczynowego. Wreszcie, Trybunał stwierdził, że obawa przed potencjalnym nadużyciem danych osobowych przez strony trzecie, wynikająca z nieuprawnionego ujawnienia, może stanowić szkodę niemajątkową w rozumieniu art. 82 RODO, pod warunkiem jednak, że osoba dochodząca odszkodowania wykaże istnienie takiej szkody, a nie tylko hipotetyczne ryzyko.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (5)
Odpowiedź sądu
Nie, samo przypadkowe przekazanie danych nie wystarcza do uznania, że środki bezpieczeństwa były nieodpowiednie. Ciężar dowodu spoczywa na administratorze, który musi wykazać odpowiedni charakter wdrożonych środków.
Uzasadnienie
Artykuły 24 i 32 RODO wymagają oceny odpowiedniości środków w sposób konkretny, uwzględniając różne kryteria. Administrator musi być w stanie wykazać zgodność środków z RODO. Ciężar dowodu spoczywa na administratorze, co potwierdza zasadę rozliczalności.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
udzielono odpowiedzi na pytanie
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| BL | osoba_fizyczna | skarżący |
| MediaMarktSaturn Hagen-Iserlohn GmbH | spolka | pozwany |
| Irlandia | panstwo_czlonkowskie | interwenient |
| Parlament Europejski | instytucja_ue | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (16)
Główne
RODO art. 2 § 1
Ogólne rozporządzenie o ochronie danych
Określa materialny zakres stosowania RODO.
RODO art. 4 § 7
Ogólne rozporządzenie o ochronie danych
Definicja administratora danych.
RODO art. 4 § 10
Ogólne rozporządzenie o ochronie danych
Definicja strony trzeciej.
RODO art. 4 § 12
Ogólne rozporządzenie o ochronie danych
Definicja naruszenia ochrony danych osobowych.
RODO art. 5 § 1
Ogólne rozporządzenie o ochronie danych
Zasady dotyczące przetwarzania danych osobowych, w tym integralność i poufność.
RODO art. 5 § 2
Ogólne rozporządzenie o ochronie danych
Zasada rozliczalności administratora.
RODO art. 6 § 1
Ogólne rozporządzenie o ochronie danych
Warunki zgodności przetwarzania z prawem.
RODO art. 24 § 1
Ogólne rozporządzenie o ochronie danych
Obowiązek administratora wdrożenia odpowiednich środków technicznych i organizacyjnych.
RODO art. 32 § 1
Ogólne rozporządzenie o ochronie danych
Obowiązki administratora i podmiotu przetwarzającego w zakresie bezpieczeństwa przetwarzania.
RODO art. 82 § 1
Ogólne rozporządzenie o ochronie danych
Prawo do odszkodowania za szkodę majątkową lub niemajątkową.
Pomocnicze
RODO art. 24 § 2
Ogólne rozporządzenie o ochronie danych
Wdrożenie polityk ochrony danych.
RODO art. 32 § 2
Ogólne rozporządzenie o ochronie danych
Ocena odpowiedniości stopnia bezpieczeństwa.
RODO art. 82 § 2
Ogólne rozporządzenie o ochronie danych
Odpowiedzialność administratora za szkody spowodowane przetwarzaniem naruszającym RODO.
RODO art. 82 § 3
Ogólne rozporządzenie o ochronie danych
Zwolnienie administratora z odpowiedzialności w przypadku braku winy.
RODO art. 83 § 1
Ogólne rozporządzenie o ochronie danych
Ogólne warunki nakładania administracyjnych kar pieniężnych.
RODO art. 84 § 1
Ogólne rozporządzenie o ochronie danych
Sankcje za naruszenia RODO.
Argumenty
Skuteczne argumenty
Samo przypadkowe przekazanie danych nie świadczy o niewystarczalności środków bezpieczeństwa. Ciężar dowodu odpowiedniości środków bezpieczeństwa spoczywa na administratorze. Prawo do odszkodowania ma charakter kompensacyjny. Konieczne jest wykazanie szkody i związku przyczynowego. Obawa przed przyszłym nadużyciem danych może stanowić szkodę niemajątkową.
Odrzucone argumenty
Art. 82 RODO jest bezskuteczny z powodu braku precyzji. Samo naruszenie RODO wystarcza do przyznania odszkodowania. Waga naruszenia powinna wpływać na wysokość odszkodowania.
Godne uwagi sformułowania
środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu art. 24 i 32 prawo do odszkodowania [...] pełni funkcję kompensacyjną, [...] nie zaś funkcję represyjną osoba dochodząca odszkodowania [...] jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej szkodę „szkodę niemajątkową” [...] może stanowić sam fakt, iż osoba, której dane dotyczą, obawia się, że [...] dojdzie w przyszłości do rozpowszechnienia, lub nawet do nadużycia jej danych
Skład orzekający
K. Jürimäe
prezes izby
N. Piçarra
sędzia
M. Safjan
sędzia
N. Jääskinen
sprawozdawca
M. Gavalec
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia art. 82 RODO w zakresie prawa do odszkodowania za szkodę niemajątkową, wymogów dowodowych, funkcji odszkodowania oraz oceny środków bezpieczeństwa."
Ograniczenia: Orzeczenie dotyczy wykładni prawa UE, stosowanie w konkretnych przypadkach wymaga oceny przez sądy krajowe.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu ochrony danych osobowych i prawa do odszkodowania w przypadku naruszeń, co jest bardzo aktualne dla wielu osób i firm.
“Czy obawa o swoje dane wystarczy na odszkodowanie? TSUE wyjaśnia zasady RODO.”
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI