W dzisiejszej publikacji skupimy się na zagadnieniu związanym z obawą wycieku danych osobowych a
kwestią zadośćuczynienia przez pryzmat ważnego wyroku Trybunału Sprawiedliwości Unii Europejskiej z
dnia 14 listopada 2023 r, sygn. akt: C 340/21 – dalej „wyrok TSUE” oraz regulacji zawartych w przepisach
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
– dalej „RODO”.
RODO wyciek danych – które przepisy regulują przedmiotową kwestię?
Tytułem wstępu należy wskazać, że zgodnie z art. 24 RODO – uwzględniając charakter, zakres, kontekst i
cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne,
aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki
te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do
czynności przetwarzania, środki, o których mowa powyżej, obejmują wdrożenie przez administratora
odpowiednich polityk ochrony danych. Stosowanie zatwierdzonych kodeksów postępowania, o których
mowa w art. 40 RODO, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO, może
być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim
obowiązków. Są to zatem podstawowe obowiązki administratora, które wprost wynikają z przepisów
unijnych.
Wyciek danych i zadośćuczynienie – dlaczego wystarczy tylko sama obawa? Ważny wyrok TSUE
Za wyrokiem TSUE należy powtórzyć, że „Art. 82 ust. 1 ogólnego rozporządzenia o ochronie danych
(2016/679) należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez
osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w
następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w
rozumieniu tego przepisu.”.
Prywatność danych RODO – jak należy interpretować środki techniczne i organizacyjne określane jako „odpowiednie”?
„Art. 24 i 32 ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób,
że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez „osoby
trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż
wdrożone przez danego administratora środki techniczne i organizacyjne nie były „odpowiednie” w
rozumieniu tych art. 24 i 32.” (…) „Art. 32 ogólnego rozporządzenia o ochronie danych (2016/679) należy
interpretować w ten sposób, że oceny, czy środki techniczne i organizacyjne wdrożone przez
administratora na podstawie tego artykułu mają odpowiedni charakter, sądy krajowe powinny dokonywać
w sposób konkretny, w szczególności uwzględniając ryzyko związane z danym przetwarzaniem oraz
ustalając, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka.” – tak wyrok TSUE.
Ochrona danych osobowych – aspekt, który wymaga szczególnego uwzględnienia
Nieprzerwanie od dnia obowiązywania przepisów RODO, na każdym kroku powtarzane są informacje
odnośnie ważkości i istotności szerokiej ochrony danych osobowych. Należy za każdym razem weryfikować
poziom technicznych i organizacyjnych zabezpieczeń w danej organizacji przez pryzmat ochrony danych
osobowych. W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym
rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla
przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny
zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność oraz uwzględniać stan wiedzy technicznej
oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.
Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z
przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie,
utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych
przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić
do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych – jak czytamy w uzasadnieniu do
wyroku TSUE.