Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, w opinii przekazanej Kancelarii Premiera uznał, że orzeczenie to nie wymusza zmian w krajowych przepisach, ale może istotnie wpłynąć na sposób interpretowania art. 82 RODO – kluczowego dla odpowiedzialności administratorów danych i roszczeń odszkodowawczych obywateli.
Czego dotyczył wyrok TSUE?
Sprawa, rozpoznawana przez TSUE na wniosek sądu niemieckiego, dotyczyła osoby fizycznej, której dane zostały ujawnione przez Quirin Privatbank AG. Skarżący żądał dwóch rzeczy – po pierwsze, zakazu ponownego ujawnienia jego danych osobowych w przyszłości, a po drugie, odszkodowania za szkodę niemajątkową wynikłą z pierwotnego naruszenia. Trybunał uznał, że RODO nie przewiduje wprost możliwości żądania prewencyjnego nakazu zaniechania przyszłych naruszeń, jeśli nie chodzi o usunięcie danych. Jednocześnie podkreślił, że państwa członkowskie mogą wprowadzić taki środek do swojego prawa krajowego, jeśli uznają to za potrzebne.
Co to oznacza dla praktyki
W opinii Prezesa UODO, kluczowym skutkiem orzeczenia jest doprecyzowanie charakteru szkody niemajątkowej. W jego ocenie obejmuje ona przede wszystkim negatywne emocje i poczucie dyskomfortu osoby, której dane zostały ujawnione – ale tylko pod warunkiem, że potrafi ona wykazać faktyczne wystąpienie tych uczuć i ich następstw. Innymi słowy: sama świadomość naruszenia danych nie wystarczy, by skutecznie żądać odszkodowania.
Wróblewski zwraca uwagę, że zgodnie z art. 82 ust. 1 RODO, stopień winy administratora nie wpływa na wysokość odszkodowania. Odpowiedzialność ma charakter obiektywny – liczy się sam fakt naruszenia i jego skutki dla poszkodowanego. Co więcej, nakaz zaniechania (np. zakaz dalszego przetwarzania danych) nie może ograniczać ani zastępować prawa do odszkodowania. TSUE wyraźnie oddzielił więc funkcję prewencyjną (związaną z ochroną na przyszłość) od odszkodowawczej.
Możliwa zmiana wykładni art. 82 RODO
Choć formalnie wyrok nie wymusza nowelizacji krajowych przepisów, Prezes UODO ocenia, że praktyka orzecznicza polskich sądów może się zmienić. Do tej pory linia orzecznicza bywała rozbieżna – część sądów przyznawała symboliczne odszkodowania za samo naruszenie danych osobowych, inne wymagały dowodu rzeczywistej krzywdy. Po wyroku Quirin Privatbank można spodziewać się, że sądy będą częściej wymagały wykazania konkretnych przeżyć i konsekwencji psychicznych u osoby, której dane zostały ujawnione.
To istotne z punktu widzenia administratorów danych – banków, firm technologicznych czy instytucji publicznych – bo wyrok TSUE daje im pewien oddech: odpowiedzialność nie staje się automatyczna za każde naruszenie, jeśli poszkodowany nie potrafi udowodnić szkody niemajątkowej. Unia nie ogranicza krajom możliwości rozszerzania ochrony, ale też nie nakazuje automatyzmu w przyznawaniu rekompensaty. W praktyce oznacza to, że RODO wciąż ewoluuje w kierunku bardziej zniuansowanej, realistycznej wykładni.
