Bartosz Świdrak, Zygmunt Waga: Naruszenia RODO. Kosztowne skutki złej translacji

Trybunał Sprawiedliwości UE uściślił przesłanki dochodzenia roszczeń za złamanie zasad ochrony danych osobowych. Ale błędy w tłumaczeniu mogą utrudnić walkę o odszkodowanie.

Publikacja: 20.03.2024 02:00

Foto: Adobe Stock

Bartosz Świdrak

W jednym z ostatnich orzeczeń Trybunał Sprawiedliwości Unii Europejskiej odniósł się do najważniejszych aspektów dowodzenia naruszenia obowiązków z rozporządzenia o ochronie danych osobowych oraz powstania szkody niemajątkowej (wyrok z 25 stycznia 2024 r. w sprawie C-687/21). Dokonana wykładnia może istotnie wpłynąć na podejście polskich sądów do kwestii dowodowych w sprawach odszkodowawczych związanych z naruszeniem RODO. Niestety ze względu na wadliwości polskiego tłumaczenia najważniejsze wskazówki TSUE mogą być niewłaściwie interpretowane w praktyce sądowej.

Pomyłka z przekazaniem danych

Pytania, na które odpowiadał TSUE, były związane z następującą sytuacją faktyczną. Klient sieci MediaMarkt Saturn zakupił na kredyt sprzęt gospodarstwa domowego. W toku załatwiania formalności związanych z wydaniem rzeczy i zawarciem umowy kredytu inna osoba omyłkowo otrzymała zarówno urządzenie zamówione przez klienta, jak i jego dokumenty kredytowe. Te zawierały dane, w tym nazwisko i imię, adres, miejsce zamieszkania, nazwę pracodawcy, dochody oraz dane bankowe.

Czytaj więcej

Dane osobowe

Ważny wyrok TSUE ws. RODO. Chodzi o dane przetwarzane przez urzędy

Organ ochrony danych osobowych nie musi czekać na wniosek osoby, której dane są przetwarzane niezgodnie z prawem, by je skutecznie chronić - wynika z czwartkowego wyroku unijnego Trybunału Sprawiedliwości.

Błąd został wykryty szybko. Dokumenty zostały zwrócone właściwemu klientowi w ciągu pół godziny od przekazania ich nieuprawnionej osobie trzeciej. Ta nie zapoznała się z danymi osobowymi. Następnie klient zażądał od sieci MediaMarkt Saturn zapłaty odszkodowania na podstawie przepisów RODO. Powód miał doznać szkody niemajątkowej z powodu błędu popełnionego przez pracowników sklepu i wynikającego z tego ryzyka utraty kontroli nad swoimi danymi osobowymi.

Rozstrzygając przedstawione przez sąd niemiecki kwestie, TSUE doszedł do dwóch wniosków mogących mieć szczególny wpływ na odpowiedzialność podmiotów przetwarzających dane osobowe. Po pierwsze, sprecyzował swoją dotychczasową linię orzeczniczą. Wprawdzie pracownicy administratora omyłkowo przekazali nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, ale to nie wystarcza samo w sobie do uznania, że środki techniczne i organizacyjne wdrożone przez administratora nie były „odpowiednie”.

TSUE potwierdził tym, że chociaż omyłkowe przekazanie dokumentów może świadczyć o naruszeniu RODO, to możliwe jest również przeprowadzenie skutecznego przeciwdowodu przez administratora. Innymi słowy, samo wystąpienie incydentu nie świadczy jeszcze, że doszło do naruszenia przepisów.

Utrata kontroli i szkoda niemajątkowa

Wyrok zawiera także wskazówkę TSUE, jak należy rozumieć pojęcie szkody niemajątkowej w związku z naruszeniem RODO. To drugi istotny wniosek wynikający z omawianego orzeczenia. Powód, uzasadniając swoje prawo do odszkodowania przed sądem niemieckim, wskazywał przede wszystkim na obawę, że nawet w trakcie półgodzinnego posiadania dokumentów przez osobę nieuprawnioną mogło dojść do wykonania kopii dokumentów, a w przyszłości do nadużycia wspomnianych danych. Jak się wydaje, okoliczność ta miała stanowić jego szkodę niemajątkową.

TSUE potwierdził wynikający z dotychczasowego orzecznictwa pogląd, że utrata kontroli nad danymi osobowymi przez krótki okres może spowodować po stronie osoby, której dane dotyczą, „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 RODO, wywołującą prawo do odszkodowania. Co jednak istotne, TSUE wskazał, że obawa nadużycia danych przez nieupoważnioną osobę trzecią nie powinna mieć charakteru czysto hipotetycznego. Doprowadziło to do konkluzji, że szkoda niemajątkowa nie zachodzi, gdy żadna strona trzecia nie zapoznała się z danymi osobowymi.

Ponadto TSUE potwierdził i rozwinął niektóre poglądy wynikające z jego dotychczasowego orzecznictwa. Wskazał, że odszkodowanie z art. 82 RODO ma charakter kompensacyjny, a nie represyjny. Na zakres należnego świadczenia wpływa zakres doznanej szkody (majątkowej lub niemajątkowej, której wystąpienie poszkodowany musi udowodnić). Bez znaczenia dla wysokości odszkodowania jest więc waga naruszenia RODO, które spowodowało szkodę.

Trybunał potwierdził także, że przesłanką odpowiedzialności odszkodowawczej jest wystąpienie szkody (majątkowej lub niemajątkowej), naruszenia RODO oraz adekwatnego związku przyczynowego pomiędzy szkodą a naruszeniem.

Problem z tłumaczeniem

Co ciekawe, duże zamieszanie może wywołać polska wersja omawianego wyroku. Najważniejsze tezy zostały bowiem błędnie przetłumaczone.

Pierwsza nieścisłość dotyczy możliwości dowodzenia przez administratora, gdy jego pracownicy omyłkowo przekazali nieupoważnionej osobie trzeciej dokument zawierający dane osobowe (pkt 45 uzasadnienia oraz pkt 1 petitum wyroku). Polska wersja językowa wyroku błędnie wskazuje, że jest to sytuacja wystarczająca sama w sobie do uznania, że środki techniczne i organizacyjne wdrożone przez odnośnego administratora nie były „odpowiednie”.

Inne wersje językowe, np. angielska i niemiecka, wskazują jednak odmiennie, co jest zgodne z wcześniejszymi wywodami TSUE (przykładowo, w angielskiej wersji wskazano: „the fact that the employees of the controller provided to an unauthorised third party in error a document containing personal data is not sufficient, in itself, to consider that the technical and organisational measures implemented by the controller at issue were not 'appropriate'”).

Podobna sytuacja dotyczy tezy związanej ze szkodą niemajątkową (pkt 69 uzasadnienia i pkt 5 petitum wyroku). Wersje językowe angielska i niemiecka są całkowicie odmienne od wersji polskiej i zgodne z wcześniejszymi wywodami TSUE. Wskazują, że szkoda niematerialna nie powstaje, gdy wykazano, że osoba trzecia nie zapoznała się z danymi osobowymi w posiadanie których weszła w sposób nieuprawniony. Wydźwięk polskiego tłumaczenia jest jednak odwrotny.

Więcej komplikacji z odszkodowaniem

Wyrok C-687/21 może więc wpłynąć na postępowanie dowodowe przed sądami polskimi i dodatkowo utrudnić dochodzenie roszczeń odszkodowawczych z art. 82 RODO. Obok stosunkowo niewielkiej wysokości zasądzanych dotychczas w Polsce świadczeń może to być więc kolejny czynnik, który przyczyni się do zmniejszenia atrakcyjności tej formy ochrony.

Orzeczenie może więc poprawić sytuację administratorów danych broniących się przed roszczeniami osób fizycznych. Skoro samo wystąpienie incydentu nie jest wystarczające do stwierdzenia, że doszło do naruszenia RODO, to polskie sądy nie powinny ograniczać postępowania dowodowego do samego stwierdzenia wycieku danych. Konieczność kompleksowego wyjaśnienia kwestii związanych z wprowadzeniem odpowiednich środków bezpieczeństwa daje z kolei duże możliwości wykazania się pełnomocnikom.

Dodatkowo, może się okazać, że sądy zmienią swoje podejście do kwestii związanych z rozumieniem i wykazywaniem szkody niemajątkowej. Wyrok C-687/21 może wywołać większą niechęć sądów do przyznawania zadośćuczynienia jedynie na podstawie obaw strony o nadużycie jej danych osobowych, bez przedstawienia dalszych dowodów.

Z dotychczasowej polskiej praktyki orzeczniczej wynika, że sądy uwzględniały roszczenia odszkodowawcze, opierając się głównie na zeznaniach pokrzywdzonej strony. Przy założeniu, że szkodę ma udowodnić poszkodowany, a sąd przyjmuje koncepcję szkody niemajątkowej o charakterze niehipotetycznym, dowód w postaci zeznań może okazać się niewystarczający.

W takiej sytuacji dowodami, którymi osoba pokrzywdzona mogłaby się posłużyć, mogą być np. wiadomości świadczące o próbie użycia lub użyciu danych, raporty Biura Informacji Kredytowej lub nagłe otrzymanie komunikacji pochodzącej od innych podmiotów, którym nie przekazywano danych. Równie istotne mogą być dowody potwierdzające znaczny czas naruszenia. Długotrwałe utrzymywanie się braku kontroli nad danymi jest sytuacją skrajnie różną od półgodzinnej utraty kontroli, jak w omawianej sprawie.

Nie można także wykluczyć, że błędne tłumaczenie wyroku C-687/21 na język polski przyczyni się do powstania rozbieżności w orzecznictwie sądów polskich. Sądy, powołując się na ten sam wyrok TSUE, będą mogły konstruować dwie skrajnie odmienne tezy.

Bartosz Świdrak jest adwokatem, senior associate w kancelarii Taylor Wessing

Zygmunt Waga jest radcą prawnym, associate w kancelarii Taylor Wessing

Unia Europejska (UE) Publicystyka Organizacje Trybunał Sprawiedliwości Unii Europejskiej (TSUE) Dane Osobowe Ubezpieczenia i Odszkodowania Rzecz o prawie RODO

Pozostało 93% artykułu

Rzecz o prawie

Ewa Szadkowska: Ta okropna radcowska cisza

Dla radców publiczne krytykowanie władz samorządu to wciąż „kalanie gniazda”.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Rzecz o prawie

Maciej Gutowski, Piotr Kardas: Neosędziowski węzeł gordyjski

Celem przywracania praworządności w wymiarze sprawiedliwości nie jest spełnienie oczekiwań środowiska prawniczego, że przeszłość zostanie „rozliczona”, ale stworzenie instytucjonalnych gwarancji obywatelskiego prawa do sądu.

Rzecz o prawie

Jacek Dubois: Wstyd mi

Demokracja nie jest wtedy, gdy coś nazywamy demokracją, tylko wtedy, kiedy ona naprawdę funkcjonuje.

Rzecz o prawie

Robert Damski: Komorniku, radź sobie sam

Państwo komornikom nie pomaga, za to chętnie komplikuje wiele kwestii.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Rzecz o prawie

Mikołaj Małecki: Zabójstwo drogowe gorsze od ludobójstwa?

Poselska propozycja nowelizacji kodeksu karnego nie ma nic wspólnego z racjonalną legislacją i prowadzi do absurdalnych konsekwencji związanych z wymiarem kary.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Lewica proponowała odebranie włoskiemu kandydatowi, którym jest Raffaele Fitto, tytuł wiceprzewodnic

Polityka

Anna Słojewska: Europejski nurt skręca w prawo

Po raz pierwszy od 25 lat Parlament Europejski nie odrzucił żadnego z kandydatów na komisarzy. To wcale jednak nie jest oznaką zgody między partiami europejskiego głównego nurtu.

Europoseł Arkadiusz Mularczyk napisał do prezydenta-elekta USA Donalda Trumpa

Polityka

List Mularczyka do Trumpa. Polityk PiS napisał m.in. o reparacjach od Niemiec

Europoseł PiS Arkadiusz Mularczyk poinformował, że wysłał do prezydenta-elekta Stanów Zjednoczonych Donalda Trumpa list, w którym wspomniał między innymi o kwestii reparacji za szkody wyrządzone Polsce przez Niemcy w czasie II wojny światowej.

Były koordynator służb specjalnych Mariusz Kamiński (P) i były szef ABW Piotr Pogonowski (L)

Polityka

Zatrzymanie byłego szefa ABW nie tak szybko. Sądowa batalia trwa

Piotr Pogonowski, były szef Agencji Bezpieczeństwa Wewnętrznego, uporczywie nie stawia się na wezwania sejmowej komisji. Szkopuł w tym, że jeden sąd wydał dwa odmienne postanowienia w sprawie jego stawiennictwa.

Dane osobowe

PUODO o KROPiK: rejestr zwierząt niebezpieczny dla ludzi

Sam cel utworzenia Krajowego Rejestru Oznakowanych Psów i Kotów jest słuszny, ale przetwarzanie danych o nawet 12 milionach właścicieli psów i kotów, powinno odbywać się z ograniczeniem ryzyka dla tych danych - twierdzi Prezes Urzędu Ochrony Danych Osobowych, który został pominięty w procesie opiniowania projektu.

Szynowy

Maszyniści domagają się większego bezpieczeństwa na kolei

Poprawa bezpieczeństwa na przejazdach to powszechny postulat kolejarzy i zmotoryzowanych. Ale jednym z największych wyzwań dla zarządcy kolejowej infrastruktury jest wdrożenie systemów sterowania ruchem kolejowym.

Opinie Prawne

Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa

W kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. To przykład tzw. goldplatingu – mówi prof. Tomasz Siemiątkowski, adwokat.

Kadry i Płace

Czy szef może zmusić pracownika do zaszczepienia się?

Obowiązkiem pracodawców jest ochrona życia i zdrowia pracowników. Czy w zakresie tego obowiązku firma może wymagać szczepienia, pytać o nie albo zwolnić za jego brak?