4 najciekawsze orzeczenia unijne dot. ochrony danych osobowych

Na przełomie kwietnia i maja 2023 na poziomie unijnym wydano kilka ciekawych orzeczeń z obszaru ochrony danych osobowych. Które z nich są najciekawsze z perspektywy biznesu? W poniższym artykule wzięliśmy pod lupę cztery z nich oraz wskazaliśmy sprawy, które w naszej ocenie warto monitorować w najbliższej przyszłości.

1. Dane osobowe pseudonimizowane a anonimowe

Wyrok Sądu UE z 26 kwietnia 2023 r. sprawa T‑557/20

Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) wykorzystała  elektroniczny formularz dla zainteresowanych stron do wyrażenia swoich opinii i udostępniła otrzymane odpowiedzi firmie konsultingowej. Wcześniej zastąpiła imię i nazwisko każdego respondenta kodem alfanumerycznym. Tylko SRB mogła więc powiązać komentarze z danymi osobowymi otrzymanymi w fazie rejestracji. 

Po wielu skargach Europejski Inspektor Ochrony Danych zdecydował, że SRB udostępniła pseudonimizowane dane osobowe firmie konsultingowej, nie informując o tym osób, których to dotyczyło. Zdaniem SRB przekazywanie tych informacji nie było konieczne, ponieważ dane były zanonimizowane i z perspektywy odbiorcy nie mogły być uznane za dane osobowe

Co na to Sąd UE?

Zdaniem Sądu należy wziąć pod uwagę perspektywę odbiorcy danych osobowych. Jeśli nie posiada on dodatkowych informacji umożliwiających ponowną identyfikację osób, których dane dotyczą i nie ma dostępnych środków prawnych, aby uzyskać do nich dostęp, można je uznać za dane zanonimizowane – niebędące danymi osobowymi.

Fakt, że podmiot przekazujący dane posiada środki umożliwiające ponowną identyfikację osób  jest nieistotny i nie oznacza, że są one automatycznie również danymi osobowymi dla odbiorcy.

Sąd orzekł również, że chociaż osobiste poglądy lub opinie mogą stanowić dane osobowe, nie można domniemywać, że tak jest zawsze. Konieczna jest tutaj indywidualna ocena, czy ze względu na treść, cel lub skutek, dana opinia lub pogląd mogą być powiązane z konkretną osobą.

Od wyroku Sądu przysługuje odwołanie do TSUE – będziemy oczywiście monitorować tę sprawę.

2. Przekroczenie określonego „progu” szkody nie jest konieczne do dochodzenia odszkodowania za naruszenie danych osobowych

Wyrok TSUE z 4 maja 2023 r., sprawa C‑300/21

Österreichische Post, to austriacki odpowiednik Poczty Polskiej i główny operator usług pocztowych i logistycznych w tym kraju. Prowadzi też sprzedaż adresów swoich klientów reklamodawcom, a od 2017 r. gromadzi również informacje na temat preferencji politycznych Austriaków. Za pomocą algorytmu uwzględniającego różne kryteria społeczne i demograficzne określa „adresy grup docelowych”, aby wygenerowane w ten sposób dane sprzedać na potrzeby reklamowe.

Jeden z obywateli Austrii wniósł sprawę do sądu, żądając zapłaty 1 000 euro rekompensaty, ponieważ powiązano jego preferencje polityczne ze skrajnie prawicową partią. Co istotne, żądanie nie zostało oparte na szkodzie majątkowej, ponieważ takiej powód nie wskazywał, ale na krzywdzie, która objawiła się tymczasowym wzburzeniem, utratą zaufania, a także poczuciem kompromitacji.

Austriacki Sąd Najwyższy przekazał sprawę do rozstrzygnięcia TSUE, proponując, aby Trybunał wprowadził “próg” dla szkód niematerialnych, od których możliwe będzie dochodzenie odszkodowania za naruszenie danych osobowych.

Co na to europejski Trybunał?

TSUE stwierdził, że do zaktualizowania prawa do dochodzenia odszkodowania, muszą być łącznie spełnione warunki:

  1. musi dojść do naruszenia przepisów RODO,
  2. w wyniku naruszenia musi dojść do powstania szkody majątkowej lub niemajątkowej,
  3. musi zachodzić związek przyczynowy między szkodą a naruszeniem.

Tym samym zdaniem TSUE naruszenie RODO samo w sobie nie rodzi prawa do odszkodowania. Muszą być zawsze spełnione wszystkie 3 warunki wskazane wyżej.

TSUE stwierdził również, że nie można formułować dodatkowego wymogu przekroczenia określonego „progu” wartości szkód niematerialnych, który uzależniałby prawo do dochodzenia odszkodowania przed sądem. Taki wymóg nie wynika z przepisów i byłby sprzeczny z wypracowanym w tej sprawie dorobkiem unijnym.

3. Prawo do uzyskania kopii danych osobowych może dotyczyć całych dokumentów lub ich fragmentów

Wyrok TSUE z 4 maja 2023 r., sprawa C-487/21

CRIF jest agencją doradztwa, która dostarcza informacji na temat wypłacalności osób trzecich. Jedna z osób, na podstawie art. 15 RODO, zażądała od spółki dostępu do swoich danych osobowych oraz dostarczenia kopii dokumentów – wiadomości elektronicznych i wyciągów z baz danych – zawierających między innymi jego dane „w standardowym formacie”. Spółka w odpowiedzi przekazała streszczenie wykazu danych osobowych podlegających przetwarzaniu. Zdaniem wnioskodawcy CRIF powinna była przekazać mu kopię wszystkich dokumentów zawierających jego dane osobowe i dlatego wniósł on skargę do sądu krajowego, który skierował pytanie prejudycjalne do TSUE.

Co na to TSUE?

Zdaniem Trybunału prawo do uzyskania “kopii” danych osobowych oznacza, że osoba, której dane dotyczą, musi otrzymać “wierną i zrozumiałą” reprodukcję wszystkich tych danych. TSUE podkreślił, że bardzo istotny jest kontekst, w którym dane są przetwarzane. Może to oznaczać w skrajnym przypadku powielanie fragmentów lub całych dokumentów albo fragmentów baz danych, jeśli jest to niezbędne, aby dana osoba mogła dochodzić swoich praw.

TSUE stwierdził też, że jeśli powyższe prawo koliduje z prawami i wolnościami innych osób, należy wykonać test równowagi między tymi prawami, przy czym wynikiem tego testu nie powinna być nieuzasadniona odmowa przekazania wszystkich informacji osobie, której dane dotyczą.

4. Nie każde naruszenie RODO spowoduje, że wszelkie powiązane z nim przetwarzanie danych osobowych będzie niezgodne z prawem

Wyrok TSUE z 4 maja 2023 r. sprawa C‑60/22

Orzeczenie zostało wydane w związku z przekazaniem elektronicznych akt osoby ubiegającej się o ochronę międzynarodową, między urzędem federalnym a sądem. Sąd powziął wątpliwości co do tego, czy prowadzenie akt elektronicznych sporządzonych przez urząd federalny i ich przekazanie za pośrednictwem skrzynki doręczeń elektronicznych w sprawach sądowych i administracyjnych jest zgodne z RODO. W szczególności, czy urząd federalny przetwarza dane osobowe zgodnie z art. 5 (zasada rozliczalności), 26 (współadministrowanie) i 30 (prowadzenie rejestru przetwarzania) RODO.

Sąd chciał również ustalić, czy konsekwencją ewentualnego naruszenia powyższych przepisów powinno być usunięcie danych osobowych, czy też ograniczenie przetwarzania.

Co na to TSUE?

TSUE orzekł, że nie każde naruszenie RODO spowoduje, że wszystkie związane z nim procesy przetwarzania danych osobowych będą niezgodne z prawem. W szczególności naruszenie wymogów dotyczących zawarcia umowy z współadministratorem lub prowadzenia rejestru czynności przetwarzania nie spowoduje, że przetwarzanie będzie niezgodne z prawem.

W praktyce oznacza to, że prawo podmiotu danych do żądania usunięcia danych osobowych lub ograniczenia przetwarzania nie aktualizuje się w wyniku takich naruszeń.

Ochrona danych osobowych – sprawy warte obserwowania

Poza opisanymi powyżej naszym zdaniem w nadchodzącym czasie warto przyglądać się jeszcze dwóm ciekawym sprawom, które trafiły do TSUE.

  • Sprawa C319/22 – gdzie TSUE pochyli się nad pytaniem prejudycjalnym dotyczącym tego, czy np. numer VIN (numer identyfikacyjny pojazdu) jest daną osobową oraz czy podmiot posiadający dostęp do numeru VIN dysponuje środkami, które w rozsądny sposób pozwalają mu wykorzystać go do zidentyfikowania właściciela pojazdu, do którego się odnosi.

Na ten moment można się już zapoznać opinią Rzecznika Generalnego w tej sprawie:  https://curia.europa.eu/juris/document/document.jsf?text=&docid=273316&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=13036596.

  • Sprawa C-340/21 – w ramach której TSUE odpowie na pytanie, czy bezprawny dostęp do danych osobowych przez osoby trzecie wskutek ataku hakerskiego prowadzi do odpowiedzialności administratora danych i w konsekwencji do wystąpienia szkody niemajątkowej, za które może zostać przyznane odszkodowanie.

Na ten moment można się już zapoznać opinią Rzecznika Generalnego w tej sprawie: https://curia.europa.eu/juris/showPdf.jsf?text=&docid=244924&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=13035528.

Na bieżąco monitorujemy sprawy z polskiego i europejskiego podwórka danych osobowych i dzielimy się z Państwem płynącymi z nich wnioskami. Po więcej informacji, również o obszarach w jakich nasz zespół może Państwa wesprzeć, zapraszamy na naszą stronę.

Autor: Przemysław Gruchała