„ W przedstawionej opinii rzecznik generalny Giov anni Pitruzzella stwierdził, że na administratorze spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rzeczonym rozporządzeniem. Odpowiedni charakter tych środków należy określić z uwzględnieniem natury, zakresu stosowania, kontekstu i celów przetwarzania oraz prawdopodobieństwa i wagi ryzyka naruszenia praw i wolności osób fizycznych, na podstawie oceny każdego przypadku z osobna.

W pierwszej kolejności rzecznik generalny uznał, że wystąpienie „naruszenia danych osobowych” nie jest wystarczające samo w sobie do stwierdzenia, że wdrożone przez administratora środki techniczne i organizacyjne nie były „odpowiednie” dla zapewnienia ochrony danych. Dokonując wyboru środków, administrator musi wziąć pod uwagę szereg czynników, w tym „stan wiedzy technicznej”, który pozwala na ograniczenie poziomu technologicznego wdrażanych środków do tego, co jest racjonalnie możliwe w chwili przyjęcia środków, a także koszty wdrożenia. Wybór administratora podlega ewentualnej sądowej kontroli zgodności. Ocena odpowiedniego charakteru środków musi opierać się na równowadze między interesami osoby, której dane dotyczą a interesami finansowymi i możliwościami technologicznymi administratora, z poszanowaniem ogólnej zasady proporcjonalności.
 

W drugiej kolejności rzecznik generalny sprecyzował, że oceniając, czy środki techniczne i organizacyjne są odpowiednie, sąd krajowy musi przeprowadzić kontrolę, która obejmuje konkretną analizę zarówno treści tych środków, jak i sposobu ich wdrożenia oraz praktycznych skutków. Kontrola sądowa powinna zatem uwzględniać wszystkie czynniki zawarte w rozporządzeniu. Wśród owych czynników przyjęcie kodeksów postępowania lub systemów certyfikacji może stanowić przydatny element oceny w celu wywiązania się z ciężaru dowodu i związanej z tym kontroli sądowej.

To na administratorze spoczywa ciężar udowodnienia, że rzeczywiście przyjął środki przewidziane w kodeksie postępowania, podczas gdy certyfikacja stanowi sama w sobie dowód zgodności z rozporządzeniem dokonanych operacji przetwarzania. Ze względu na to, że środki muszą być w razie potrzeby poddawane przeglądom i uaktualniane, sąd powinien również wziąć pod uwagę tę okoliczność.

W trzeciej kolejności rzecznik generalny wyjaśnił, że ciężar dowodu w odniesieniu do odpowiedniego charakteru środków spoczywa na administratorze. Zgodnie z zasadą autonomii proceduralnej do wewnętrznego porządku prawnego każdego państwa członkowskiego należy określenie dopuszczalnych metod dowodowych i ich mocy dowodowej, w tym środków dowodowych.

W czwartej kolejności, okoliczność, że naruszenia rozporządzenia dopuściła się osoba trzecia nie stanowi sama w sobie podstawy zwolnienia administratora z odpowiedzialności. Aby administrator mógł zostać zwolniony z odpowiedzialności, musi on udowodnić za pomocą wysokiego standardu dowodu, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Niezgodne z prawem przetwarzania danych osobowych może w istocie przemawiać za uznaniem zaostrzonego charakteru odpowiedzialności z tytułu domniemanej winy. Wynika z tego możliwość przedstawienia przez administratora dowodu zwalniającego z odpowiedzialności.

Wreszcie, zdaniem rzecznika generalnego, szkoda polegająca na obawie przed potencjalnym nieuczciwym wykorzystaniem w przyszłości danych osobowych, której istnienie wykazała osoba, której dane dotyczą, może stanowić szkodę niemajątkową uprawniającą do odszkodowania. Osoba, której dane dotyczą, winna wykazać, iż poniosła rzeczywistą i pewną szkodę emocjonalną, a nie zwykłą trudność lub niedogodność.”

Poniższe stanowisko przedstawione zostało w komunikacie prasowym w dniu 27 kwietnia 2023 r. dotyczącym wydanej tego samego dnia opinii rzecznika generalnego (AG) Giovanniego Pitruzzelli w sprawie 340/21 VB przeciwko Natsionalna agentsia za prihodite. W szczególności TSUE wyjaśnił, że opinia została wydana w związku z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym złożonym przez Naczelny Sąd Administracyjny Bułgarii, dotyczącym interpretacji ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) ("GDPR"), w odniesieniu do warunków przyznania zadośćuczynienia za krzywdę osobie, której dane osobowe, będące w posiadaniu agencji publicznej, zostały opublikowane w Internecie w następstwie ataku hakerskiego.

Niniejsza opinia rzecznika TSUE ważna jest z punktu widzenia sporu na linii PUODO i Morele.net. Ostatnie stanowisko PUODO w tej sprawie przedstawia na swojej stronie internetowej, odnosząc się do orzeczenia NSA. link

Źródło: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-04/cp230067pl.pdf

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl