C-741/21
Podsumowanie
TSUE orzekł, że samo naruszenie RODO nie jest wystarczające do uzyskania odszkodowania za szkodę niemajątkową, a administrator danych nie jest zwolniony z odpowiedzialności, jeśli szkoda wynika z błędu pracownika.
Sprawa dotyczyła wykładni art. 82 RODO w kontekście prawa do odszkodowania za szkodę niemajątkową. TSUE wyjaśnił, że samo naruszenie przepisów RODO nie jest wystarczające do przyznania odszkodowania – konieczne jest wykazanie poniesionej szkody, nawet jeśli jest ona niewielka. Ponadto, administrator danych nie może uchylić się od odpowiedzialności, powołując się jedynie na błąd pracownika, a kryteria ustalania kar administracyjnych z art. 83 RODO nie mają zastosowania do ustalania wysokości odszkodowania.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni art. 82 ust. 1 i 3 rozporządzenia RODO w związku z art. 29 i 83 tego rozporządzenia. Sprawa wywodziła się ze sporu między osobą fizyczną (GP) a spółką juris GmbH, dotyczącym odszkodowania za szkodę niemajątkową, którą GP miał ponieść w wyniku przetwarzania jego danych osobowych do celów marketingu bezpośredniego, mimo zgłoszonych sprzeciwów. Landgericht Saarbrücken zadał cztery pytania prejudycjalne dotyczące pojęcia szkody niemajątkowej, odpowiedzialności administratora za błędy pracowników, stosowania kryteriów z art. 83 RODO do ustalania odszkodowania oraz sposobu ustalania odszkodowania w przypadku wielokrotnych naruszeń. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w swoim wyroku z dnia 11 kwietnia 2024 r. udzielił następujących odpowiedzi: 1. **Szkoda niemajątkowa:** Samo naruszenie przepisów RODO, które przyznają prawa osobie, której dane dotyczą, nie jest wystarczające do uznania za „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 RODO. Konieczne jest wykazanie, że naruszenie to faktycznie wyrządziło szkodę, nawet jeśli jest ona niewielka. Utrata kontroli nad danymi osobowymi może stanowić szkodę niemajątkową, ale wymaga udowodnienia jej wystąpienia. 2. **Odpowiedzialność administratora za błędy pracownika:** Administrator danych nie może zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO, powołując się jedynie na to, że szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia (np. pracownika). Administrator jest odpowiedzialny za zapewnienie, że jego pracownicy przestrzegają poleceń i przepisów RODO. Aby skorzystać ze zwolnienia, administrator musiałby udowodnić brak związku przyczynowego między ewentualnym naruszeniem jego obowiązków a szkodą. 3. **Ustalanie wysokości odszkodowania:** Kryteria ustalania wysokości administracyjnych kar pieniężnych, określone w art. 83 RODO, nie mają zastosowania do ustalania wysokości odszkodowania na podstawie art. 82 RODO. Prawo do odszkodowania ma charakter kompensacyjny, a nie represyjny. W przypadku wielokrotnych naruszeń, odszkodowanie powinno być ustalane na podstawie konkretnie poniesionej szkody, a nie poprzez sumowanie indywidualnych naruszeń czy stosowanie kryteriów kar. Wyrok ten ma istotne znaczenie praktyczne dla oceny roszczeń odszkodowawczych w związku z naruszeniami RODO, precyzując warunki przyznania odszkodowania i zakres odpowiedzialności administratorów.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (3)
Odpowiedź sądu
Nie, samo naruszenie przepisów RODO nie jest wystarczające. Konieczne jest wykazanie, że naruszenie wyrządziło szkodę, nawet jeśli jest ona niewielka. Utrata kontroli nad danymi może stanowić szkodę niemajątkową, ale wymaga udowodnienia jej wystąpienia.
Uzasadnienie
TSUE powołuje się na wcześniejsze orzecznictwo, zgodnie z którym prawo do odszkodowania wymaga kumulatywnego spełnienia przesłanek: naruszenia RODO, poniesienia szkody (majątkowej lub niemajątkowej) oraz związku przyczynowego między nimi. Samo naruszenie przepisu przyznającego prawa nie jest równoznaczne ze szkodą.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
udzielono odpowiedzi na pytanie
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| GP | osoba_fizyczna | skarżący |
| juris GmbH | spolka | pozwany |
| Irlandia | panstwo_czlonkowskie | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (10)
Główne
RODO art. 82 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo do odszkodowania za szkodę majątkową lub niemajątkową w wyniku naruszenia RODO. Wymaga wykazania szkody i związku przyczynowego z naruszeniem. Samo naruszenie nie jest wystarczające.
RODO art. 82 § 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Zwolnienie administratora z odpowiedzialności, jeśli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Samo powołanie się na błąd pracownika nie wystarcza.
Pomocnicze
RODO art. 29
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja osoby działającej z upoważnienia administratora lub podmiotu przetwarzającego.
RODO art. 83
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Ogólne warunki nakładania administracyjnych kar pieniężnych. Kryteria te nie mają zastosowania do ustalania wysokości odszkodowania na podstawie art. 82.
RODO art. 21 § 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo do sprzeciwu wobec przetwarzania danych do celów marketingu bezpośredniego.
RODO art. 79 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo do skutecznego środka ochrony prawnej przed sądem.
RODO art. 32 § 4
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Obowiązek administratora zapewnienia, że osoby działające z jego upoważnienia przetwarzają dane zgodnie z poleceniami.
RODO art. 4 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja danych osobowych.
RODO art. 4 § 7
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja administratora.
RODO art. 4 § 12
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Definicja naruszenia ochrony danych osobowych.
Argumenty
Skuteczne argumenty
Samo naruszenie RODO nie jest szkodą niemajątkową. Administrator nie jest zwolniony z odpowiedzialności, jeśli szkoda wynika z błędu pracownika. Kryteria z art. 83 RODO nie mają zastosowania do ustalania odszkodowania z art. 82 RODO. Odszkodowanie ma charakter kompensacyjny, a nie represyjny.
Odrzucone argumenty
Samo naruszenie RODO powinno być traktowane jako szkoda niemajątkowa. Administrator powinien być zwolniony z odpowiedzialności, jeśli szkoda wynika z błędu pracownika. Kryteria z art. 83 RODO powinny być stosowane do ustalania wysokości odszkodowania. Wielokrotność naruszeń powinna być uwzględniana przy ustalaniu łącznego odszkodowania.
Godne uwagi sformułowania
samo naruszenie tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania istnienie „szkody”, majątkowej lub niemajątkowej, lub „szkody”, która została „poniesiona”, stanowi jedną z przesłanek prawa do odszkodowania nie można uchylić się od odpowiedzialności na podstawie art. 82 ust. 3 RODO, powołując się jedynie na niedbalstwo lub uchybienie osoby działającej z jego upoważnienia prawo do odszkodowania przewidziane w art. 82 RODO pełni funkcję nie represyjną, lecz kompensacyjną nie należy stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 tego rozporządzenia
Skład orzekający
K. Jürimäe
prezes izby
N. Piçarra
sędzia
N. Jääskinen
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalanie przesłanek prawa do odszkodowania za naruszenie RODO, zakres odpowiedzialności administratora za błędy pracowników, stosowanie kryteriów z art. 83 RODO do odszkodowań."
Ograniczenia: Orzeczenie dotyczy wykładni prawa UE, które jest bezpośrednio stosowane, ale szczegółowe ustalanie wysokości odszkodowania pozostaje w gestii sądów krajowych, zgodnie z ich prawem proceduralnym.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnie stosowanego RODO i prawa do odszkodowania, co jest kluczowe dla wielu osób i firm. Wyjaśnia ważne kwestie dotyczące szkody niemajątkowej i odpowiedzialności administratorów.
“Czy samo naruszenie RODO wystarczy, by dostać odszkodowanie? TSUE wyjaśnia!”
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI