Obowiązek administratora danych wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem

Okoliczność, że pracownicy administratora przekazali w wyniku błędu nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, może świadczyć o tym, że środki techniczne i organizacyjne wdrożone przez danego administratora nie były „odpowiednie” w rozumieniu wspomnianych art. 24 i 32. W szczególności taka okoliczność może wynikać z niedbalstwa lub niedostatków w organizacji administratora, który nie uwzględnia w sposób konkretny ryzyka związanego z przetwarzaniem odnośnych danych.

Artykuł 24 RODO przewiduje, że na administratorze danych osobowych ciąży ogólny obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić, by przetwarzanie to odbywało się zgodnie z tym rozporządzeniem, i być w stanie to wykazać (wyrok z dnia 14 grudnia 2023 r., C-340/21).

Artykuł 32 RODO określa natomiast obowiązki administratora i ewentualnego podmiotu przetwarzającego w zakresie bezpieczeństwa tego przetwarzania. I tak ust. 1 tego artykułu stanowi, że powinni oni wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z tym przetwarzaniem, uwzględniając stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele danego przetwarzania. Podobnie ust. 2 tego artykułu stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21).

Z brzmienia art. 24 i 32 RODO wynika zatem, że odpowiedni charakter środków wdrożonych przez administratora należy oceniać w sposób konkretny, biorąc pod uwagę różne kryteria, o których mowa w tych artykułach, oraz potrzeby ochrony danych specyficznie związane z danym przetwarzaniem, a także wynikające z niego ryzyko, tym bardziej że wspomniany administrator musi być w stanie wykazać zgodność tych środków z tym rozporządzeniem, której to możliwości zostałby pozbawiony, gdyby dopuścić domniemanie niewzruszalne (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21).

Tę literalną wykładnię potwierdza lektura rzeczonych art. 24 i 32 w związku z art. 5 ust. 2 i art. 82 wspomnianego rozporządzenia w świetle jego motywów 74, 76 i 83, z których wynika w szczególności, że administrator jest zobowiązany do zminimalizowania ryzyka naruszenia danych osobowych, a nie do zapobieżenia ich naruszeniu (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21).

Wyrok TSUE z dnia 25 stycznia 2024 r., C-687/21

Standard: 83910 (pełna treść orzeczenia)

 Artykuły 24 i 32 RODO należy interpretować w ten sposób, że:

nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż wdrożone przez danego administratora środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu tych art. 24 i 32.

Artykuł 32 RODO

należy interpretować w ten sposób, że:

oceny, czy środki techniczne i organizacyjne wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, sądy krajowe powinny dokonywać w sposób konkretny, w szczególności uwzględniając ryzyko związane z danym przetwarzaniem oraz ustalając, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka.

3) Zasadę rozliczalności administratora wyrażoną w art. 5 ust. 2 RODO i skonkretyzowaną w jego art. 24

należy interpretować w ten sposób, że:

w ramach powództwa o odszkodowanie opartego na art. 82 tego rozporządzenia na danym administratorze spoczywa ciężar udowodnienia, że środki bezpieczeństwa, które wdrożył na podstawie art. 32 tego rozporządzenia, mają odpowiedni charakter.

Artykuł 32 rozporządzenia RODO i zasadę skuteczności prawa Unii

należy interpretować w ten sposób, że:

na potrzeby oceny, czy środki bezpieczeństwa wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, opinia biegłego sądowego nie może systematycznie stanowić niezbędnego i wystarczającego środka dowodowego.

Wyrok TSUE z dnia 14 grudnia 2023 r., C-340/21

Standard: 83924 (pełna treść orzeczenia)