Wyrok Trybunału Sprawiedliwości Unii Europejskiej (C-655/23 Quirin Privatbank AG) może wpłynąć na interpretację art. 82 RODO – wskazuje Prezes UODO. Choć polskie przepisy nie wymagają nowelizacji, orzeczenie TSUE ma znaczenie dla rozumienia pojęcia szkody niemajątkowej i zakresu odpowiedzialności administratorów danych.
Wyrok TSUE w sprawie Quirin Privatbank AG może zmienić interpretację art. 82 RODO dotyczącą szkody niemajątkowej i odpowiedzialności administratora. Prezes UODO podkreśla, że choć nie ma potrzeby nowelizacji polskiego prawa, orzeczenie wpłynie na praktykę stosowania przepisów o odszkodowaniach za naruszenia danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi skierowanej do Kancelarii Prezesa Rady Ministrów, odniósł się do skutków wyroku Trybunału Sprawiedliwości UE z 4 września 2025 r. w sprawie C655/23 Quirin Privatbank AG. Wskazał, że choć wyrok nie wymaga zmian w polskim prawie, ma istotne znaczenie dla interpretacji art. 82 RODO, który dotyczy odpowiedzialności i odszkodowania za naruszenia ochrony danych osobowych.
TSUE uznał, że RODO nie gwarantuje prawa do sądowego środka prewencyjnego, który zobowiązywałby administratora danych do zaniechania przyszłego, niezgodnego z prawem przetwarzania danych. Państwa członkowskie mogą jednak przewidywać takie rozwiązania w prawie krajowym.
Prezes UODO przypomniał, że pojęcie „szkody niemajątkowej” z art. 82 ust. 1 RODO obejmuje negatywne uczucia i konsekwencje, jakich doświadcza osoba, której dane zostały bezprawnie ujawnione. Jednak – by ubiegać się o odszkodowanie – osoba ta musi wykazać istnienie takich uczuć oraz skutków.
Jednocześnie stopień winy administratora nie ma wpływu na wysokość należnego odszkodowania. Przepis ten ma charakter kompensacyjny, a nie prewencyjny – inaczej niż ewentualny nakaz sądowy nakazujący zaprzestanie naruszeń.
Przepis art. 82 ust. 1 RODO zawiera pojęcie „szkody niemajątkowej”, która obejmuje negatywne uczucia, jakich doznaje osoba, której dane dotyczą, w następstwie nieuprawnionego przekazania jej danych osobowych, ale osoba ta musi wykazać, że doświadcza takich uczuć oraz ich konsekwencji. Z art. 82 ust. 1 wynika też, że stopień winy administratora pozostaje bez wpływu na określenie wysokości odszkodowania za szkodę niemajątkową, należnego na podstawie tego artykułu. Jednocześnie artykuł ten wyklucza możliwość, aby uzyskany przez osobę, której dane dotyczą, nakaz wobec administratora mógł ograniczać zakres odszkodowania należnego za szkodę niemajątkową lub tym bardziej mógł zastąpić takie odszkodowanie. Prezes Urzędu podkreśla, że taki nakaz realizuje funkcje prewencyjną, tymczasem przepis art. 82 ust. 1 realizuje funkcję odszkodowawczą.
Prezes UODO zwrócił uwagę, że art. 82 RODO nie wyklucza możliwości dochodzenia przez osoby fizyczne środków prewencyjnych w krajowych porządkach prawnych. Unijny prawodawca nie ogranicza państw członkowskich w zakresie wprowadzania powództw o zaniechanie przetwarzania danych w przyszłości.
Stanowisko Prezesa UODO podkreśla, że interpretacja art. 82 RODO będzie ewoluować wraz z orzecznictwem TSUE. Administratorzy powinni zatem monitorować dalsze decyzje i aktualizować swoje procedury ochrony danych w świetle nowej wykładni.
Przeczytaj także:
Kiedy administrator zapłaci odszkodowanie za naruszenie RODO
UODO, DOL.0623.31.2023
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
