Odpowiedzialności administratora danych na podstawie art. 82 RODO na zasadzie winy

Z łącznej analizy art. 82 ust. 1–3 RODO, kontekstu, w jaki wpisuje się ten artykuł, oraz celów realizowanych przez prawodawcę Unii poprzez to rozporządzenie wynika, że wspomniany artykuł przewiduje system odpowiedzialności na zasadzie winy, w którym ciężar dowodu spoczywa nie na osobie, która poniosła szkodę, lecz na administratorze (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C-667/21).

Nie byłoby zgodne z celem polegającym na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych przyjęcie wykładni, zgodnie z którą osoby, których dane dotyczą i które poniosły szkodę z powodu naruszenia przepisów RODO, powinny, w ramach powództwa odszkodowawczego opartego na art. 82 tego rozporządzenia, ponosić ciężar wykazania nie tylko istnienia tego naruszenia i wynikającej stąd szkody dla nich, lecz także istnienia winy umyślnej lub niedbalstwa ze strony administratora danych, a nawet stopnia tej winy – podczas gdy we wspomnianym art. 82 nie sformułowano takich wymogów (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C-667/21).

Powstanie odpowiedzialności administratora danych na podstawie wspomnianego art. 82 RODO jest zatem uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że administrator ten udowodni, iż nie można mu w żaden sposób przypisać okoliczności, która spowodowała szkodę.

Wyrok TSUE z dnia 4 października 2024 r., C-200/23

Standard: 83930 (pełna treść orzeczenia)

Powstanie odpowiedzialności administratora danych, na podstawie art. 82 RODO, jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

Art. 82 nie wymaga wzięcia pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie tego przepisu (wyroki: z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C-667/21; z dnia 25 stycznia 2024 r., MediaMarktSaturn, C-687/21).

Wyłącznie kompensacyjna funkcja prawa do odszkodowania przewidzianego w art. 82 ust. 1 RODO wyklucza uwzględnienie ewentualnie umyślnego charakteru naruszenia tego rozporządzenia, którego miałby dopuścić się administrator przy ustalaniu kwoty odszkodowania za szkodę niemajątkową na podstawie tego przepisu. Kwotę tę należy jednak ustalić w taki sposób, aby w pełni zrekompensować konkretną szkodę poniesioną w wyniku naruszenia wspomnianego rozporządzenia (zob. analogicznie wyroki: z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C-667/21; z dnia 25 stycznia 2024 r., MediaMarktSaturn, C-687/21).

W świetle powyższych rozważań, art. 82 ust. 1 RODO należy interpretować w ten sposób, że nie wymaga on, aby do celów odszkodowania na podstawie tego przepisu uwzględniano wagę i ewentualny umyślny charakter naruszenia tego rozporządzenia przez administratora danych.

Wyrok TSUE z dnia 20 czerwca 2024 r., C-182/22

Standard: 83885 (pełna treść orzeczenia)