Wyrok TSUE ws. odszkodowań za ujawnienie danych nie wymaga zmian legislacyjnych

0
827

Polskie prawo nie wymaga zmian po wyroku TSUE dotyczącym zasad dochodzenia odszkodowania za szkodę po ujawnieniu danych osobowych. Wyrok ten będzie miał jednak wpływ na sposób interpretowania przepisów dotyczących ustalania zasad odpowiedzialności i prawa do odszkodowania za naruszenie przepisów RODO – stwierdził 18 maja prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski w odpowiedzi na wystąpienie ministra ds. Unii Europejskiej.

Ministerialne wystąpienie było konsekwencją wyroku Trybunału Sprawiedliwości Unii Europejskiej z 11 kwietnia 2024 r. w sprawie C-741/21 GP/juris GmbH. TSUE uznał w nim, że przy dochodzeniu odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO nie wystarczy samo naruszenie przepisu rozporządzenia. Musi również dojść do poniesienia szkody przez osobę, której dane dotyczą. Co ważne w tym kontekście, waga poniesionej szkody nie ma znaczenia.

Tym samym Trybunał podtrzymał wcześniejszą linię orzeczniczą, m.in. z wyroku z 21 grudnia 2023 r. w sprawie o sygn. C-667/21 Krankenversicherung Nordrhein oraz z wyrokiem z dnia 25 stycznia 2024 r. w sprawie C-687/21 MediaMarktSaturn. TSUE orzekł, że szkoda niemajątkowa może w szczególności polegać na utracie kontroli nad własnymi danymi, np. przetwarzanymi przez administratora, pomimo wniesionego sprzeciwu na podstawie art. 21 rozporządzenia 2016/679. Zdaniem Trybunału art. 82 ust. 2 i 3 rozporządzenia 2016/679 przewiduje system odpowiedzialności oparty na zasadzie winy, zgodnie z którym domniemywa się, że administrator uczestniczył w przetwarzaniu danych stanowiącym naruszenie, w związku z czym ciężar dowodu spoczywa nie na osobie, która poniosła szkodę, lecz na administratorze.

Prezes UODO uważa, że takie stanowisko TSUE pozostaje bez wpływu na przepisy prawa polskiego. W judykaturze utrwalony jest pogląd, że zasady ustalania odpowiedzialności za szkodę, zarówno majątkową, jak i niemajątkową, wyrządzoną naruszeniem przepisów RODO (rozporządzenia 2016/679) określają przepisy Kodeksu cywilnego, a sprawy z tego zakresu stanowią sprawy cywilne w rozumieniu art. 1 Kodeksu postępowania cywilnego i rozstrzygane są przez sądy. W szczególności zgodnie z przepisem art. 415 Kodeksu cywilnego, kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia. Warunkiem skutecznego dochodzenia odszkodowania jest wykazanie poniesienia szkody, przy czym przepisy nie ustanawiają wymogu, określonej wielkości poniesionej szkody.

W orzecznictwie sądów polskich nie budzi wątpliwości, że wysokość odszkodowania ustalana jest wyłącznie na podstawie przepisów prawa cywilnego, zgodnie z zasadą pełnej kompensacji, i nie są w tym zakresie odpowiednio stosowane przepisy rozporządzenia 2016/679 dotyczące kar pieniężnych.

Dlatego w ocenie organu nadzorczego powyższe orzeczenie Trybunału nie będzie wymagało wprowadzenia zmian w przepisach prawa polskiego, które jest z nim zgodne, niemniej będzie miało znaczenie dla sposobu interpretowania przepisów z zakresu ustalania odpowiedzialności odszkodowawczej za naruszenie przepisów o ochronie danych osobowych.

(AM, źródło: UODO)