W wydanym 14 grudnia 2023 roku wyroku (C‑340/21)  Trybunał Sprawiedliwości Unii Europejskiej uznał, że ciężar udowodnienia odpowiednich środków zapobiegawczych przeciwko atakom hakerów spoczywa po stronie administratora danych osobowych, a obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych może sama w sobie stanowić szkodę niemajątkową.

Sprawa, w której orzekał TSUE  dotyczyła ataku hakerów na bułgarską krajową agencję przychodów skarbowych, działającą przy ministrze finansów. Agencja była odpowiedzialna za identyfikację oraz zabezpieczanie i odzyskiwanie wierzytelności publicznych, i posiadała na swoich serwerach dane osobowe wierzycieli. Po włamaniu się do jej systemu w 2019 roku w Internecie  zostały udostępnione dane osobowe milionów osób, a po ujawnieniu informacji o włamaniu w mediach wiele z nich pozwało agencję w celu uzyskania odszkodowania za szkodę niemajątkową, jako powód wskazując obawy dotyczące możliwości wykorzystania danych w sposób stanowiący nadużycie.

Trybunał wskazał w wyroku, że każde takie zdarzenie sądy powinny szczegółowo analizować, czy wdrożone środki ochrony były odpowiednie, a ciężar udowodnienia że takie były, oraz że nie zostały popełnione żadne uchybienia względem zabezpieczenia danych osobowych przed cyberatakami spoczywa na administratorze.

W sytuacji, gdy nieuprawnione ujawnienie danych osobowych zostało dokonane na przykład przez  cyberprzestępców, czyli osoby trzecie, administrator może być zobowiązany do zapłaty odszkodowania osobom, które poniosły szkodę, i nawet sama obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych w sposób stanowiący nadużycie w związku z naruszeniem RODO może stanowić szkodę niemajątkową.

 

Potrzebujesz szkolenia, które pozwoli Ci opanować problematykę ochrony danych osobowych? Zapraszamy na RODO w kadrach i płacach w praktyce 16 kwietnia. Szkolenie oparte będzie na analizie dotychczasowych wypowiedzi UODO i resortu pracy oraz cyfryzacji, które uchronią działy HR przed popełnianiem błędów narażających organizację na kary związane z naruszeniami RODO.