W sprawach dotyczących cyberprzestępczości Europejski Trybunał Sprawiedliwości zdecydował, kiedy i na jakich warunkach przedsiębiorstwo ponosi odpowiedzialność odszkodowawczą za nieuprawnione opublikowanie danych osobowych w wyniku cyberataku.
Podstawa decyzji
5 lipca 2019 roku zgłoszono, że nastąpił nieautoryzowany dostęp do systemu informacyjnego Bułgarskiej Krajowej Agencji ds. Dochodów „NAP”. Następnie dane osobowe uzyskane z tego systemu zostały opublikowane w internecie przez hakerów. Ucierpiało na tym ponad 6 milionów osób. Setki z nich pozwały NAP o odszkodowanie za szkodę niematerialną, która miała powstać w skutek ujawnienia danych. Nie było jasne, czy i w jakich warunkach poszkodowanym należy się odszkodowanie i w związku z tym zwrócono się do Europejskiego Trybunału Sprawiedliwości o wydanie orzeczenia w trybie prejudycjalnym.
Zadano pytanie, czy stwierdzenie naruszenia ochrony danych osobowych pozwala na stwierdzenie, że środki podjęte przez administratora danych nie były „odpowiednie”, a także jakie zasady przeprowadzania dowodów dotyczą administratorów danych w odniesieniu do adekwatności zastosowanych środków bezpieczeństwa.
Dodatkowo zadano pytanie, czy sama obawa osoby, że jej dane osobowe mogą zostać bezprawnie wykorzystane w przyszłości, może stanowić „szkodę” w rozumieniu art. 82 ust. 1 RODO.
Adekwatność środków i obowiązek dowodów
Europejski Trybunał Sprawiedliwości odrzuca ogólne założenie, że środki bezpieczeństwa były nieodpowiednie albo niewystarczające, jeśli doszło do udanego niedozwolonego dostępu (na przykład tzw. cyberataku). Oznacza to, że sądy muszą podjąć ocenę środków bezpieczeństwa stosowanych przez administratora.
Ze względu na sformułowaną w RODO zasadę rozliczalności, to na administratorze spoczywa ciężar dowodu, że podjęte przez niego środki bezpieczeństwa były odpowiednie dla zapewnienia należytej ochrony danych. W konsekwencji administrator może zwolnić się z odpowiedzialności tylko wtedy, kiedy wykaże, że nie jest w żaden sposób odpowiedzialny za szkodę.
Kiedy powstaje odpowiedzialność odszkodowawcza?
Zasadniczo szkoda może powstać w wyniku obawy osoby, której dane dotyczą, że dane mogą być bezprawnie wykorzystane. Próg de minimis został odrzucony w przypadku roszczenia na podstawie art. 82 ust. 1 RODO. W związku z innym orzeczeniem Europejskiego Trybunału Sprawiedliwości („Österreichische Post”, C- 300/ 21) ponownie wskazano, że osoby, których dane dotyczą muszą udowodnić istnienie wyżej wymienionej szkody w rozumieniu art. 82 RODO.
Konsekwencje dla przedsiębiorstw i praktyki prawnej
Wyroki mogą prowadzić do bardziej rygorystycznej oceny naruszeń ochrony danych osobowych i wzmożonej liczby pozwów o szkody niematerialne. Mogą również zostać nałożone grzywny i upomnienia ze strony organizacji ochrony konsumentów. W związku z tym, powinno to stworzyć okazję dla przedsiębiorstw na wdrożenie i kontrolę odpowiednich środków bezpieczeństwa. Przede wszystkim należy zawsze zagwarantować odpowiedni poziom ochrony danych osobowych, a w razie potrzeby należy również udowodnić, że przedsiębiorstwo nie jest w żaden sposób odpowiedzialna za naruszenie.
Kancelaria Grau Rechtsanwälte PartGmbB doradza, przeprowadza audyty i wspiera przedsiębiorstwa, również jako zewnętrzny inspektor ochrony danych, w zakresie ochrony danych.
W przypadku dalszych pytań prosimy o kontakt z naszą kancelarią pod numerem +49 (0) 40 180 364 020 lub office@graulaw.eu.
