Obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych może sama w sobie stanowić szkodę niemajątkową - orzekł w czwartek Trybunał Sprawiedliwości Unii Europejskiej w sprawie dotyczącej wycieku danych osobowych milionów obywateli Bułgarii.
- Wyrok TSUE ws. RODO: obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych może sama w sobie stanowić szkodę niemajątkową
- Pytania do TSUE
Wyrok TSUE ws. RODO: obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych może sama w sobie stanowić szkodę niemajątkową
Sprawa sięga 2019 r., kiedy bułgarskie media ujawniły, że doszło do włamania do systemu informatycznego tamtejszej agencji przychodów skarbowych (NAP) oraz że w następstwie tego cyberataku w internecie opublikowano dane osobowe dotyczące milionów osób. Wiele z nich pozwało NAP w celu uzyskania odszkodowania za szkodę niemajątkową z uwagi na ich obawy dotyczące potencjalnego wykorzystania ich danych w sposób stanowiący nadużycie.
Bułgarska krajowa agencja przychodów skarbowych (NAP) jest organem działającym przy ministrze finansów. Jest ona w szczególności odpowiedzialna za identyfikację, zabezpieczanie i odzyskiwanie wierzytelności publicznoprawnych. W tym zakresie jest administratorem danych osobowych.
Pytania do TSUE
Bułgarski najwyższy sąd administracyjny zwrócił się do Trybunału Sprawiedliwości z kilkoma pytaniami prejudycjalnymi dotyczącymi wykładni ogólnego rozporządzenia o ochronie danych (RODO) w kontekście wspomnianego cyberataku i jego konsekwencji.
W swoim wyroku Trybunał stwierdził, że "w przypadku nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych, z samej tej okoliczności sądy nie mogą wyprowadzać wniosku, że wdrożone przez administratora środki ochrony nie były odpowiednie; okoliczność, czy takie środki mają odpowiedni charakter, sądy muszą oceniać w sposób konkretny".
"W przypadku gdy nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych zostały dokonane przez +osoby trzecie+ (takie jak cyberprzestępcy), administrator może być zobowiązany do zapłaty odszkodowania osobom, które poniosły szkodę, chyba że uda mu się udowodnić, że w żaden sposób nie ponosi winy za tę szkodę" - dodał TSUE.
"Obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych w sposób stanowiący nadużycie w związku z naruszeniem RODO może sama w sobie stanowić +szkodę niemajątkową+" - podsumował w wyroku.
Z Brukseli Artur Ciechanowicz (PAP)
asc/ adj/