Przesłanki prawa do odszkodowania przewidzianego w art. 82 ust. 1 RODO; wymóg zaistnienia szkody

Art. 82 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych), w porównaniu z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej, należy interpretować jako, że naruszenie przepisów tego rozporządzenia nie jest samo w sobie wystarczające, aby stanowić szkodę w rozumieniu art. 82 ust. 1.

Samo naruszenie rozporządzenia nr 2016/679 nie wystarczy, aby dać prawo do odszkodowania na podstawie art. 82 ust. 1, ponieważ istnienie materialnej lub niematerialnej „szkody”, która została „poniesiona „ stanowi jedną z przesłanek prawa do odszkodowania przewidzianego w tym przepisie. Musi nastąpić naruszenie przepisów tego rozporządzenia oraz związek przyczynowy pomiędzy tą szkodą a tą szkodą naruszenia, przy czym te trzy warunki kumulują się.

Osoba żądająca na podstawie art. 82 ust. 1 naprawienia szkody niematerialnej ma zatem obowiązek wykazać nie tylko, że doszło do naruszenia przepisów tego rozporządzenia, ale także, że naruszenie to wyrządziło zainteresowanemu taką szkodę (patrz np. z podobnej argumentacji wyrok z dnia 4 maja 2023 r., Österreichische Post, C-300/21, wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C-182/22 i C-189/22 oraz wyrok z dnia 20 czerwca 2024 r., PS (Nieprawidłowy adres), C-590/22).

Powyższe trzy przesłanki są konieczne i wystarczające, aby móc ubiegać się o odszkodowanie w rozumieniu art. 82 ust. 1 rozporządzenia o ochronie danych (wyrok z 14 grudnia 2023 r., Gemeinde Ummendorf, C-456/22). Uprawnienia tego nie można zatem uzależniać od wykazania dodatkowo, że osoba, której dane dotyczą, w rozumieniu art. 4 pkt 1 rozporządzenia, została poddana nieuzasadnionej ingerencji w interes prawny, który rozporządzenie ma chronić, jakim jest prawo takiej osoby do ochrony jej danych osobowych.

Nawet jeśli naruszony przepis rozporządzenia o ochronie danych przyznawałby osobom fizycznym prawa, takie naruszenie nie może samo w sobie stanowić „szkody niematerialnej” w rozumieniu tego rozporządzenia i ustanawiać prawa do odszkodowania na podstawie tego rozporządzenia, gdyż zgodnie z rozporządzeniem wymagane jest spełnienie również dwóch pozostałych warunków (zob. z podobnym uzasadnieniem wyrok z dnia 11 kwietnia 2024 r., juris, C-741/21).

Za taką wykładnią art. 82 ust. 1 rozporządzenia o ochronie danych przemawiają motywy 75, 85 i 146 tego rozporządzenia. Z tych powodów wynika, po pierwsze, że wystąpienie szkody w związku z niezgodnym z prawem przetwarzaniem danych osobowych jest jedynie potencjalną, a nie automatyczną konsekwencją takiego przetwarzania, po drugie, że naruszenie rozporządzenia o ochronie danych niekoniecznie pociąga za sobą szkody i po trzecie, że aby istniało prawo do odszkodowania, musi istnieć związek przyczynowy pomiędzy danym naruszeniem a szkodą poniesioną przez osobę, której dane dotyczą (zob. z podobnym uzasadnieniem wyrok z dnia z dnia 4 maja 2023 r., Österreichische Post, C-300/21).

Wyrok TSUE z dnia 4 października 2024 r., C-507/23

Standard: 83869 (pełna treść orzeczenia)

Naruszenie art. 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 samo w sobie nie wystarcza dla uzasadnienia prawa do odszkodowania na podstawie tego przepisu. Osoba, której dane dotyczą, powinna również wykazać istnienie szkody spowodowanej tym naruszeniem, przy czym nie jest konieczne, aby szkoda ta osiągnęła określony stopień wagi.

Istnienie „szkody”, majątkowej lub niemajątkowej, lub „szkody”, która została „poniesiona”, stanowi jedną z przesłanek prawa do odszkodowania przewidzianego w tym art. 82 ust. 1, podobnie jak istnienie naruszenia wspomnianego rozporządzenia i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post, C-300/21; z dnia 11 kwietnia 2024 r., juris, C-741/21).

 W związku z powyższym nie można uznać, że każde „naruszenie” przepisów RODO przyznaje samo w sobie to prawo do odszkodowania osobie, której dane dotyczą, zdefiniowanej w art. 4 pkt 1 tego rozporządzenia. Ponadto odrębna wzmianka w art. 82 ust. 1 RODO o „szkodzie” i „naruszeniu” byłaby zbędna, gdyby prawodawca Unii uznał, że naruszenie przepisów tego rozporządzenia może samo w sobie i w każdym wypadku wystarczyć dla uzasadnienia prawa do odszkodowania.

Art. 82 ust. 1 RODO sprzeciwia się przepisowi krajowemu lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za szkodę niemajątkową w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post, C‑300/21; z dnia 11 kwietnia 2024 r., juris, C‑741/21). Niemniej jednak osoba ta ma na podstawie art. 82 ust. 1 rozporządzenia obowiązek udowodnienia, że rzeczywiście poniosła szkodę majątkową lub niemajątkową (zob. podobnie wyrok z dnia 11 kwietnia 2024 r., juris, C-741/21).

Wyrok TSUE z dnia 20 czerwca 2024 r., C-590/22

Standard: 83875 (pełna treść orzeczenia)