Aktualności

Atak hakerski a odpowiedzialność odszkodowawcza na gruncie RODO

Rozwój technologii kojarzy się nam z udogodnieniami, usprawnieniem pracy, ostatnio także ze sztuczną inteligencją. Niestety technologia to także zagrożenia. Coraz częściej hakerzy dopuszczają się cyberprzestępstw, wykradając, a nie rzadko także ujawniając dane osobowe. Ich ofiarą mogą być pojedyncze osoby, firmy, instytucje publiczne lub nawet całe państwa.
Trybunał Sprawiedliwości Unii Europejskiej (TSUE) dokonał w ostatnim czasie wykładni przepisów RODO na gruncie sprawy, która miała miejsce w Bułgarii, a która dotyczyła ujawnienia w Internecie danych osobowych wykradzionych z systemu informatycznego administratora na skutek cyberataku. Jedna z osób, której dane wyciekły skierowała przeciwko administratorowi sprawę do bułgarskiego sądu o odszkodowanie w związku z poniesioną przez nią szkodą niemajątkową. Szkoda polegała na obawie, że dane osobowe poszkodowanej, które zostały opublikowane w Internecie, mogłyby zostać w przyszłości wykorzystane w sposób przez nią niepożądany (szantaż, agresja, a nawet uprowadzenie). Sąd I instancji oddalił powództwo w tej sprawie wskazując, że cyberatak zwalnia administratora z odpowiedzialności za szkodę, a nadto sama szkoda nie jest w istocie rzeczywista. Wyrok ten jednak został zaskarżony, a dla administracyjnego sądu najwyższego rozpatrującego kasację sprawa nie była już tak oczywista i postanowił skierować do TSUE kilka pytań prejudycjalnych (C-340/21).

Czy cyberatak na systemy informatyczne administratora automatycznie oznacza, że jego systemy zabezpieczenia danych były niewystarczające?

Jedno z pytań sprowadzało się do ustalenia czy sam fakt, że dane osobowe z systemów administratora wyciekły na skutek działalności osób trzecich (cyberprzestępców), jest wystarczający, aby przyjąć, że zastosowane przez administratora środki techniczne i organizacyjne nie są odpowiednie?. Udzielając odpowiedzi przeczącej na to pytanie Trybunał przypomniał, iż w świetle art. 32 RODO administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i powadze zagrożenia, uwzględniając stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele danego przetwarzania.
Fakt wystąpienia ataku hakerskiego nie oznacza automatycznie, że środki bezpieczeństwa zastosowane przez administratora są niewystarczające.
Trybunał wskazał, że RODO przewiduje system zarządzania ryzykiem. Administrator ma obowiązek przyjęcia środków technicznych i organizacyjnych mających na celu uniknięcie ryzyka naruszenia danych, na ile to możliwe. Celem rozporządzenia nie jest bowiem całkowite wyeliminowanie ryzyka, a jedynie jego minimalizacja. Fakt wystąpienia cyberataku na systemy administratora nie jest równoznaczny ze stwierdzeniem, że środki przyjęte przez danego administratora nie były odpowiednie w rozumieniu przepisów RODO.
Celem RODO jest minimalizacja ryzyka naruszenia danych, a nie jego całkowite wyeliminowanie.

Jaka jest zatem rola administratora w procesie o odszkodowanie?

Co do zasady administrator jest odpowiedzialny za szkodę spowodowaną przetwarzaniem, które stanowi naruszenie RODO. Jednak zgodnie z art. 82 RODO jest on z tej odpowiedzialności zwolniony, jeżeli udowodni, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. TSUE jednoznacznie wskazał w uzasadnieniu analizowanego wyroku, że ciężar dowodu w zakresie wykazania, że dane osobowe są przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo w rozumieniu przepisów RODO, spoczywa na administratorze, choć jest on stroną pozwaną w procesie (w świetle polskiego prawa, co do zasady ciężar udowodnienia faktu spoczywa na osobie, która z faktu tego wywodzi skutki prawne, zatem zwykle to strona powodowa ma obowiązek udowodnienia swoich twierdzeń).
Jeżeli naruszenia ochrony danych osobowych dopuścili się cyberprzestępcy, za naruszenie to administrator nie ponosi więc winy, chyba że umożliwił on to naruszenie poprzez niedopełnienie obowiązku przewidzianego w RODO, a w szczególności obowiązku ochrony danych. Może się on zwolnić z odpowiedzialności wykazując, że zapewnił wystarczająco wysoki poziom ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych lub też wykazując brak istnienia związku przyczynowego między ewentualnym naruszeniem przez niego obowiązku ochrony danych a szkodą poniesioną przez osobę fizyczną.

Czy obawa przed ewentualnym wykorzystaniem wykradzionych danych osobowych jest szkodą niemajątkową uprawniającą do otrzymania odszkodowania?

Odpowiadając na to pytanie Trybunał przypomniał, iż z art. 82 ust. 1 RODO wynika, iż przesłankami odpowiedzialności odszkodowawczej oprócz istnienia naruszenia rozporządzenia oraz związku przyczynowego tego naruszenia ze szkodą, jest istnienie szkody, która została poniesiona. Ta poniesiona szkoda nie musi jednak osiągać szczególnego stopnia powagi. RODO nie wyklucza więc, że pojęcie "szkody niemajątkowej" obejmuje obawę osoby, której dane dotyczą, że jej dane osobowe mogłyby zostać w przyszłości wykorzystane przez osoby trzecie w sposób stanowiący nadużycie. Sąd krajowy powinien jednak zbadać, czy obawę tę należy uznać za uzasadnioną w okolicznościach danej sprawy i w odniesieniu do osoby, której dane dotyczą.

Omawiany wyrok niewątpliwie ma znaczenie również dla administratorów danych osobowych w naszym kraju. RODO ma charakter uniwersalny i obowiązuje na terenie całej Unii Europejskiej. W Polsce również dochodzi do cyberataków, co jakiś czas słyszymy o tym w mediach. Warto mieć zatem na uwadze, że w związku z wydaniem tego wyroku może wzrosną liczba spraw sądowych, w których osoby obawiające się wykorzystania ich danych osobowych na skutek takich zdarzeń będą dochodziły odszkodowania z tytułu zaistnienia takiej właśnie postaci szkody niemajątkowej.

Polecam również inne artykuły z tematyki RODO:
RODO