Stan faktyczny
Sprawa dotyczyła sporu pomiędzy niemieckim przedsiębiorstwem optycznym Brillen Rottler GmbH & Co. KG a osobą fizyczną (dalej: TC). W marcu 2023 r. TC, mieszkający w Austrii, zaprenumerował newsletter przedsiębiorstwa, podając dane osobowe przez formularz na stronie i wyrażając zgodę na ich przetwarzanie. Kilka dni później wystąpił z wnioskiem o dostęp do danych na podstawie art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO).
Brillen Rottler odrzuciła wniosek w terminie miesiąca, uznając go za nadmierny w rozumieniu art. 12 ust. 5 RODO, i wezwała do jego cofnięcia. Po podtrzymaniu żądania i zgłoszeniu roszczenia odszkodowawczego na podstawie art. 82 RODO w kwocie 1000 euro spółka wniosła powództwo o ustalenie braku prawa do odszkodowania.
Przedsiębiorstwo wskazywało, że z relacji, artykułów blogowych i biuletynów adwokackich wynika, iż TC systematycznie kierował do różnych administratorów wnioski o dostęp, a następnie dochodził odszkodowań za rzekome naruszenia RODO. Według spółki schemat działania polegał na zapisaniu się do newslettera, złożeniu wniosku o dostęp i wystąpieniu z roszczeniem.
TC twierdził natomiast, że działał zgodnie z prawem i wykonywał uprawnienie z art. 15 RODO. Zarzucał przedsiębiorstwu bezprawne ograniczenie jego praw i domagał się co najmniej 1000 euro zadośćuczynienia za odmowę udzielenia dostępu do danych.
Stan prawny i pytania prejudycjalne
Sąd powziął wątpliwości co do kilku kwestii i w konsekwencji wystąpił do TSUE z pytaniami prejudycjalnymi. Zapytał, czy pierwszy wniosek o dostęp może zostać uznany za „nadmierne żądanie” w rozumieniu art. 12 ust. 5 RODO, a więc za przejaw nadużycia prawa. Po drugie, chciał ustalić, czy administrator może oprzeć się na publicznie dostępnych informacjach wskazujących, że dana osoba kierowała podobne wnioski i roszczenia wobec innych administratorów. Po trzecie, sąd zapytał o relację pomiędzy naruszeniem prawa dostępu a odpowiedzialnością odszkodowawczą z art. 82 ust. 1 RODO, w tym o to, czy szkoda może wynikać z samego naruszenia prawa dostępu. Wreszcie zwrócił się o wyjaśnienie, czy utrata kontroli nad danymi albo niepewność co do tego, czy dane były przetwarzane, mogą stanowić szkodę niemajątkową.
Rozważania Trybunału w zakresie art. 12 ust. 5 RODO
Trybunał wskazał, że pojęcie „nadmiernego” żądania nie zostało zdefiniowane w RODO, dlatego jego wykładnia musi uwzględniać brzmienie przepisu, kontekst oraz cele rozporządzenia. Podkreślił, że „nadmierny” ma zarówno wymiar ilościowy, jak i jakościowy, co oznacza, że także pierwszy wniosek o dostęp może zostać uznany za nadmierny.
TSUE zaznaczył, że powtarzalność żądań jest jedynie przykładem, a nie warunkiem zastosowania art. 12 ust. 5 RODO. Jednocześnie przypomniał, że przepis ten stanowi wyjątek od zasady ułatwiania wykonywania praw i powinien być interpretowany zawężająco, choć dopuszcza przeciwdziałanie nadużyciom w świetle ogólnej zasady zakazu nadużycia prawa w prawie Unii.
Trybunał podkreślił, że celem art. 15 RODO jest umożliwienie osobie zapoznania się z przetwarzaniem jej danych i weryfikacji jego zgodności z prawem, a samo formalne spełnienie warunków wniosku nie przesądza o jego zgodności z tym celem.
Odwołując się do koncepcji nadużycia prawa, TSUE wskazał, że konieczne jest wykazanie zarówno elementu obiektywnego (brak realizacji celu regulacji), jak i subiektywnego (zamiar uzyskania korzyści poprzez sztuczne stworzenie warunków). Ocena ta powinna uwzględniać wszystkie okoliczności sprawy.
Trybunał zaznaczył, że możliwość uznania pierwszego wniosku za nadmierny ma charakter wyjątkowy i wymaga wykazania przez administratora, że wniosek został złożony nie w celu realizacji prawa dostępu, lecz w celu nadużycia prawa, polegającego na sztucznym stworzeniu warunków do uzyskania korzyści wynikającej z RODO, w szczególności odszkodowania.
Wśród ważnych okoliczności TSUE wskazał m.in. sposób i cel przekazania danych, krótki odstęp czasu między ich podaniem a wnioskiem oraz zachowanie osoby, w tym ewentualne powtarzalne działania wobec innych administratorów, o ile zostaną potwierdzone dodatkowymi elementami.
Odpowiedzialność odszkodowawcza za naruszenie prawa dostępu
W odniesieniu do art. 82 ust. 1 RODO Trybunał uznał, że przepis ten przyznaje prawo do odszkodowania także za szkodę wynikającą z naruszenia prawa dostępu z art. 15 ust. 1 RODO. Podkreślono, że odnosi się on do szkody poniesionej „w wyniku naruszenia” rozporządzenia i nie ogranicza się wyłącznie do przypadków samego przetwarzania danych. Odmienne podejście prowadziłoby do wyłączenia z ochrony naruszeń praw z rozdziału III RODO, w tym prawa dostępu.
Trybunał powiązał tę wykładnię z motywem 141 RODO, wskazując, że prawa wynikające z rozporządzenia, w tym prawo dostępu, powinny korzystać ze skutecznej ochrony sądowej. W konsekwencji art. 82 ust. 1 RODO ma zastosowanie także do szkód wynikających z naruszenia tego uprawnienia.
Jednocześnie TSUE przypomniał, że samo naruszenie RODO nie rodzi automatycznie prawa do odszkodowania, bowiem konieczne jest wykazanie naruszenia, szkody oraz związku przyczynowego między nimi.
Utrata kontroli nad danymi i niepewność jako szkoda niemajątkowa
Trybunał, odnosząc się do pytania, czy szkoda niemajątkowa może polegać na utracie kontroli nad danymi osobowymi lub niepewności co do ich przetwarzania, odwołał się do dotychczasowego orzecznictwa oraz motywu 85 RODO i potwierdził, że oba te stany mogą stanowić szkodę niemajątkową w rozumieniu art. 82 ust. 1 RODO.
Jednocześnie wskazał, że osoba dochodząca odszkodowania musi wykazać, iż rzeczywiście poniosła taką szkodę oraz że stanowi ona uszczerbek odrębny od samego naruszenia RODO. Samo twierdzenie o obawie wywołanej utratą kontroli nad danymi nie jest wystarczające, a w przypadku powoływania się na ryzyko przyszłego nadużycia danych sąd powinien ocenić, czy obawa ta jest uzasadniona w konkretnych okolicznościach.
Trybunał podkreślił również, że związek przyczynowy może zostać przerwany, jeżeli to zachowanie samej osoby stanowiło decydującą przyczynę szkody, w szczególności gdy dane zostały przekazane w celu sztucznego stworzenia podstaw do dochodzenia roszczeń z art. 82 ust. 1 RODO.
Teza rozstrzygnięcia
W sentencji wyroku Trybunał orzekł, że pierwszy wniosek o dostęp do danych osobowych może zostać uznany za „nadmierny” w rozumieniu art. 12 ust. 5 RODO, jeżeli administrator wykaże, z uwzględnieniem wszystkich istotnych okoliczności sprawy, że wniosek ten został złożony nie po to, by zapoznać się z przetwarzaniem danych i sprawdzić jego zgodność z prawem, lecz z zamiarem nadużycia. Ponadto, stwierdził, że art. 82 ust. 1 RODO przyznaje prawo do odszkodowania za szkodę wynikającą z naruszenia prawa dostępu przewidzianego w art. 15 ust. 1 RODO. Trybunał, uznał także, że szkoda niemajątkowa może obejmować utratę kontroli nad danymi osobowymi lub niepewność co do tego, czy dane były przetwarzane, o ile szkoda ta została rzeczywiście poniesiona, a zachowanie samej osoby nie stanowiło decydującej przyczyny jej powstania.
Wyrok w sprawie Brillen Rottler porządkuje dwie kwestie. Po pierwsze, Trybunał nie podważył znaczenia prawa dostępu z art. 15 RODO jako podstawowego narzędzia kontroli przetwarzania. Po drugie, dopuścił możliwość obrony administratora przed instrumentalnym korzystaniem z tego prawa, przy spełnieniu wysokich wymagań dowodowych.
W praktyce oznacza to, że administrator nie może automatycznie utożsamiać niewygodnego lub szybkiego wniosku z nadużyciem. Wyrok nie daje podstaw do rutynowego odrzucania żądań z art. 15 RODO, lecz wymaga wykazania, że rzeczywistym celem wniosku nie była realizacja prawa dostępu.
Rozstrzygnięcie ma znaczenie także w sporach dotyczących roszczeń z art. 82 RODO. Wynika z niego, że naruszenie prawa dostępu może stanowić podstawę odpowiedzialności, ale nie zwalnia z obowiązku wykazania szkody i związku przyczynowego.
W efekcie administrator może wyjątkowo odmówić realizacji pierwszego wniosku, jeżeli wykaże nadużycie z uwzględnieniem wszystkich istotnych okoliczności sprawy, natomiast osoba, której odmówiono dostępu, może dochodzić odszkodowania tylko wtedy, gdy rzeczywiście poniosła szkodę i nie spowodowała jej własnym działaniem.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
