DOL.0623.2.2022 - Opinia Prezesa UODO dotycząca wyroku TSUE C-741/21

W odpowiedzi na korespondencję z dnia 12 kwietnia 2024 r. w sprawie wyroku Trybunału Sprawiedliwości Unii Europejskiej (dalej: TSUE) z dnia 11 kwietnia 2024 r. w sprawie C-741/21 juris GmbH Prezes Urzędu Ochrony Danych Osobowych jako organ nadzorczy stwierdza, że w jego ocenie powyższe orzeczenie nie będzie wymagało wprowadzenia zmian w przepisach prawa polskiego, natomiast będzie miało wpływ na sposób interpretowania przepisów dotyczących ustalania zasad odpowiedzialności i prawa do odszkodowania za naruszenie przepisów rozporządzenia 2016/679 1 .

W sentencji wyroku TSUE uznał, że:

1) Artykuł 82 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, że naruszenie przepisów tego rozporządzenia, które przyznają prawa osobie, której dane dotyczą, samo w sobie nie jest wystarczające, by stanowić "szkodę niemajątkową" w rozumieniu tego przepisu, niezależnie od stopnia wagi szkody poniesionej przez tę osobę.

2) Artykuł 82 rozporządzenia 2016/679 należy interpretować w ten sposób, że aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie ust. 3 tego artykułu, nie jest wystarczające powołanie się na to, że rozpatrywana szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia

w rozumieniu art. 29 tego rozporządzenia.

3) Artykuł 82 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, że w celu ustalenia wysokości odszkodowania z tytułu szkody należnego na podstawie tego przepisu nie należy, po pierwsze, stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 tego rozporządzenia, a po drugie, uwzględniać okoliczności, że na osobę dochodzącą odszkodowania wpływa kilka naruszeń tego rozporządzenia dotyczących tej samej operacji przetwarzania.

W omawianym wyroku TSUE podkreślił, że przy dochodzeniu odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 rozporządzenia 2016/679 nie wystarczy samo naruszenie przepisu rozporządzenia, ale musi również dojść do poniesienia szkody przez osobę, której dane dotyczą. Co ważne jednak w tym kontekście, nie jest brana pod uwagę waga poniesionej szkody. Taka interpretacja zgodna jest z wcześniejszymi wyrokami TSUE, m.in. z wyrokiem z dnia 21 grudnia 2023 r. w sprawie o sygn. C-667/21 Krankenversicherung Nordrhein oraz z wyrokiem z dnia 25 stycznia 2024 r. w sprawie C-687/21 MediaMarktSaturn. Trybunał orzekł, że szkoda niemajątkowa może w szczególności polegać na utracie kontroli nad własnymi danymi, np. przetwarzanymi przez administratora pomimo wniesionego sprzeciwu na podstawie art. 21 rozporządzenia 2016/679. Zdaniem Trybunału art. 82 ust. 2 i 3 rozporządzenia 2016/679 przewiduje system odpowiedzialności oparty na zasadzie winy, zgodnie z którym domniemywa się, że administrator uczestniczył w przetwarzaniu danych stanowiącym naruszenie, w związku z czym ciężar dowodu spoczywa nie osobie, która poniosła szkodę, lecz na administratorze.

Odnosząc się do kwestii zwolnienia administratora z odpowiedzialności za spowodowanie szkody (w rozumieniu przepisu art. 82 ust. 3 rozporządzenia 2016/679) z uwagi na wyłączną winę osoby działającej z jego upoważnienia, TSUE stwierdził, że zgodnie z art. 29 rozporządzenia 2016/679 osoby działające z upoważnienia administratora, które mają dostęp do danych osobowych, mogą przetwarzać te dane wyłącznie na polecenie administratora i zgodnie z tymi poleceniami. Ponadto, jak wynika z art. 32 ust. 4 rozporządzenia 2016/679, zadaniem administratora jest podjęcie działań w celu zapewnienia, aby każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na jego polecenie, chyba że samodzielnego przetwarzania wymaga od niej prawo Unii lub państwa członkowskiego. Pracownik jest osobą fizyczną działającą z upoważnienia administratora i cechuje się zależnością w stosunku do niego, mogąc działać wyłącznie na wskazanej przez administratora podstawie i w jej granicach. Dlatego też dla zwolnienia administratora z odpowiedzialności na podstawie art. 82 ust. 3 rozporządzenia 2016/679 nie wystarczy powołanie się na spowodowanie szkody przez osobę działającą z upoważnienia administratora.

Rozstrzygając o kryteriach ustalania wysokości odszkodowania, Trybunał zauważył, że przepisy art. 82 oraz art. 83 rozporządzenia 2016/679 realizują różne cele, w związku z tym art. 83 nie może być wykorzystywany do ustalania wysokości odszkodowania mutatis mutandis. Rozporządzenie 2016/679 nie zawiera regulacji dotyczących ustalania wysokości odszkodowania, co oznacza, że kraje członkowskie powinny w tym zakresie stosować się do właściwych przepisów wewnętrznych.

TSUE podkreślił także, że art. 82 rozporządzenia 2016/679 posiada funkcję kompensacyjną, a nie represyjną, przez co fakt kilkukrotnego naruszenia przepisów przez administratora w stosunku do tej samej osoby nie stanowi istotnego kryterium przy ustalaniu wysokości odszkodowania. Przy jej ustalaniu istotne znaczenie ma jedynie konkretna szkoda poniesiona przez osobę, której dane dotyczą, a okoliczność, że administrator dopuścił się kilku naruszeń w odniesieniu do tej samej osoby, której dane dotyczą, nie może stanowić istotnego kryterium przy ustalaniu odszkodowania, jakie należy przyznać tej osobie na podstawie tego art. 82 rozporządzenia 2016/679.

Prezes UODO uważa, że powyższe stanowisko TSUE pozostaje bez wpływu na przepisy prawa polskiego. W judykaturze utrwalony jest pogląd, że zasady ustalania odpowiedzialności za szkodę, zarówno majątkową, jak i niemajątkową, wyrządzoną naruszeniem przepisów rozporządzenia 2016/679 określają przepisy ustawy z dnia Kodeks cywilny 2 , a sprawy z tego zakresu stanowią sprawy cywilne w rozumieniu art. 1 ustawy z dnia Kodeks postępowania cywilnego 3 i rozstrzygane są przez sądy. W szczególności zgodnie z przepisem art. 415 Kodeksu cywilnego, kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia.

Warunkiem skutecznego dochodzenia odszkodowania jest wykazanie poniesienia szkody, przy czym przepisy nie ustanawiają wymogu, aby przekraczała ona określoną wielkość.

Kwestia odpowiedzialności za szkodę popełnioną przez osobę, którą zobowiązany do realizacji świadczenia posłużył się podlega regulacji przepisu art. 430 Kodeksu cywilnego, zgodnie z którym, kto na własny rachunek powierza wykonanie czynności osobie, która przy wykonywaniu tej czynności podlega jego kierownictwu i ma obowiązek stosować się do jego wskazówek, ten jest odpowiedzialny za szkodę wyrządzoną z winy tej osoby przy wykonywaniu powierzonej jej czynności. W powyższej sytuacji odpowiedzialność odszkodowawcza zwierzchnika za szkodę wyrządzoną przez podwładnego opiera się na zasadzie ryzyka i jedyną okolicznością egzoneracyjną jest tylko brak winy osoby, której powierzył wykonanie czynności 4 . W przypadku wyrządzenia szkody przez pracownika zastosowanie znajduje przepis szczególny art. 120 § 1 Kodeksu pracy 5 , zgodnie z którym w razie wyrządzenia przez pracownika przy wykonywaniu przez niego obowiązków pracowniczych szkody osobie trzeciej, zobowiązany do naprawienia szkody jest wyłącznie pracodawca.

W orzecznictwie sądów polskich nie budzi wątpliwości, że wysokość odszkodowania ustalana jest wyłącznie na podstawie przepisów prawa cywilnego, zgodnie z zasadą pełnej kompensacji, i nie są w tym zakresie odpowiednio stosowane przepisy rozporządzenia 2016/679 dotyczące kar pieniężnych.

W świetle powyższego w ocenie organu nadzorczego powyższe orzeczenie Trybunału nie będzie wymagało wprowadzenia zmian w przepisach prawa polskiego, które jest z nim zgodne, niemniej będzie miało znaczenie dla sposobu interpretowania przepisów z zakresu ustalania odpowiedzialności odszkodowawczej za naruszenie przepisów o ochronie danych osobowych.