Ali je lahko nezakonito razširjanje osebnih podatkov, ki jih sicer obdeluje (tudi hrani) javna agencija, in do katerega je prišlo zaradi hekerskega napada, dovolj za odškodnino za nematerialno škodo nastalo posamezniku, na katerega se osebni podatki nanašajo, samo zato, ker se posameznik boji morebitne prihodnje zlorabe njegovih podatkov?
___________________
Še vedno čakamo na odločitev Sodišča Evropske Unije o zgornjem vprašanju, kot tudi o z njim povezanih vprašanjih kriterijev za odškodninsko odgovornost upravljavca osebnih podatkov, porazdelitvi dokaznih bremen in obsegu sodnega nadzora. Med tem pa je svoje mnenje v zadevi podal generalni pravobranilec sodišča.
Naj spomnim na dejansko stanje zadeve.
Bolgarski mediji so 15. julija 2019 pisali o tem, da je prišlo do nepooblaščenega dostopa do informacijskega sistem Nacionalne agencije za prihodke Bolgarije (v nadaljnjem besedilu: NAP), kot posledica napada pa so bile na spletu objavljene različne informacije v zvezi z davki in socialno varnostjo. Številni posamezniki, tudi V.B., so zoper NAP sprožil postopek za povračilo nematerialne škode, ki da so jo utrpeli zaradi skrbi in strahu, da bi bili v posledici razkritja njihovi osebni podatki v prihodnosti zlorabljeni. Po mnenju V.B. je NAP kršil nacionalne predpise na področju varstva osebnih podatkov, svojo obveznost, da kot upravljavec osebne podatke obdeluje na način, da zagotavlja pri njihovi obdelavi tudi ustrezno varnost.
Sodišče prve stopnje je tožbo zavrnilo, ker je presodilo, da odgovornosti za razkritje osebnih podatkov ni mogoče pripisati NAP. Poudarilo je, da je dokazno breme o neustreznosti izvedenih ukrepov za varnost podatkov na V.B. (ki je zahtevek postavil), in da nematerialna škoda ni predmet odškodnine v takšni zadevi.
V pritožbenem postopku, je Vrhovno sodišče v postopek predhodnega odločanja posredovalo številna vprašanja v zvezi z razlago Splošne uredbe o varstvu podatkov z namenom opredelitve pogojev za priznanje odškodnine za nepremoženjsko škodo posamezniku, čigar osebni podatki, ki jih sicer obdeluje (tudi hrani) NAP, so bili zaradi hekerskega napada objavljen na internetu.
1) Ali je treba člena 24 in 32 Splošne uredbe o varstvu podatkov razlagati tako, da nepooblaščeno razkritje ali dostop do osebnih podatkov v smislu 12. točke 4. člena Uredbe s strani oseb, ki so niso zaposleni pri upravljavcu oziroma ne delujejo pod njegovim nadzorom, zadostuje za domnevo, da izvedeni tehnični in organizacijski ukrepi za varnost podatkov niso bili ustrezni?
2) Če je odgovor na prvo vprašanje nikalen, kakšen naj bo predmet in obseg sodnega nadzora zakonitosti pri preverjanju, ali so tehnični in organizacijski ukrepi, ki jih za varnost podatkov izvaja upravljavec, ustrezni - v skladu z 32. členom Splošne uredbe o varstvu podatkov?
3) Če je odgovor na prvo vprašanje nikalen, ali je treba načelo odgovornosti iz člena 5(2) in člena 24 Splošne uredbe o varstvu podatkov v povezavi z njeno uvodno izjavo 74 razlagati tako, da v pravnem postopku v skladu s členom 82(1) Splošne uredbe o varstvu podatkov, upravljavec nosi breme dokazovanja, da so izvedeni tehnični in organizacijski ukrepi za varnost osebnih podatkov ustrezni - v skladu s členom 32 Splošne uredbe? Ali se lahko pridobitev izvedenskega poročila šteje za potrebno in zadostno dokazno sredstvo za ugotovitev, ali so bili tehnični in organizacijski ukrepi, ki jih je za varnost osebnih podatkov izvajal upravljavec, ustrezni v primeru kot je obravnavani, kjer je nepooblaščen dostop do in razkritje osebnih podatkov posledica 'hekerskega napada'?
4) Ali je treba člen 82(3) Splošne uredbe o varstvu podatkov razlagati tako, da nepooblaščeno razkritje osebnih podatkov ali dostop do njih v smislu 12. točke 4. člena Splošne uredbe o varstvu podatkov s pomočjo, tako kot v obravnavanem primeru, 'hekerskega napada', s strani oseb, ki niso zaposlene pri upravljavcu oziroma niso delale pod njegovim nadzorom, predstavlja dogodek, za katerega upravljavec v nobenem primeru ni odgovoren?
5) Ali je treba člen 82(1) in (2) Splošne uredbe o varstvu podatkov brati v povezavi z uvodnima izjavama 85 in 146 Splošne uredbe o varstvu podatkov in ga razlagati tako, da v primeru, ki vključuje kršitev varstva osebnih podatkov v obliki nepooblaščenega dostopa do osebnih podatkov in njihovega razširjanja s pomočjo „hekerskega napada“, skrbi, strahovi in tesnoba posameznika, na katerega se nanašajo osebni podatki, v zvezi z morebitno zlorabo osebnih podatkov v prihodnosti, sami po sebi spadajo v koncept nepremoženjske škode, ki jo je treba razlagati široko, in ima posameznik pravico do odškodnine za škodo, tudi če do zlorabe v prihodnosti ni prišlo, in če posameznik ni utrpel nobene nadaljnje škode?
Generalni pravobranilec sodišča Giovanni Pitruzzella v svojem mnenju z dne 27.4.2023 uvodoma navaja, da je upravljavec po Splošni uredbi o varstvu podatkov dolžan izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti pri obdelavi osebnih podatkov. Ali so taki ukrepi „ustrezni / primerni“, je treba ugotoviti ob upoštevanju narave, obsega, konteksta in namena obdelave ter verjetnosti in resnosti tveganj za pravice in svoboščine posameznikov, kar vse se presojajo od primera do primera.
Generalni pravobranilec ob vsebinski opredelitvi do vprašanj za predhodno odločanje nadalje navaja:
1) Zgolj okoliščina „kršitve varstva osebnih podatkov“ ne zadostuje za sklep, da tehnični in organizacijski ukrepi, ki jih je za varnost osebnih podatkov izvajal upravljavec, niso bili „ustrezni / primerni“ za zagotavljanje varstva podatkov. Pri izbiri ukrepov mora upravljavec namreč upoštevati več dejavnikov, vključno s „stanjem tehnike“, ki zamejuje tehnološko raven ukrepov, ki jih je treba izvajati na tisto, kar je razumno mogoče v času izvajanja, upoštevaje tudi stroške ukrepov. Ocena upravljavca je predmet morebitne sodne presoje njegove skladnosti z zahtevami Splošne uredbe o varstvu podatkov. Ocena ustreznosti ukrepov za varnost podatkov na strani upravljavca mora temeljiti na tehtanju med interesi posameznika, na katerega se nanašajo osebni podatki, in gospodarskimi interesi ter tehnološkimi zmogljivostmi upravljavca - ob upoštevanju splošnega načela sorazmernosti.
2) Pri preverjanju, ali so ukrepi za varnost osebnih podatkov ustrezni / primerni mora nacionalno sodišče opraviti pregled, ki obsega analizo vsebine teh ukrepov, način njihove uporabe in njihove praktične učinke. Sodni nadzor mora torej upoštevati vse dejavnike določene v Splošni uredbi o varstvu podatkov. Med njimi je tudi sprejetje kodeksov ravnanja ali certificiranje sistema, ki lahko predstavljajo relevantno merilo presoje za namene razrešitve dokaznega bremena, pri čemer je upravljavec dolžan dokazati, da je dejansko izvajal predvidene ukrepe v kodeksu ravnanja, certificiranje pa je samo po sebi dokaz, da se obdelava izvaja skladno z Uredbo.
3) Dokazno breme ustreznosti / primernosti ukrepov za varnost osebnih podatkov je na upravljavcu. V skladu z načelom procesne avtonomije lahko nacionalni pravni red določi dopustne dokazne metode in njihovo dokazno vrednost.
4) Dejstvo, da je kršitev dejansko zagrešila tretja oseba, samo po sebi ne predstavlja razloga za upravljavčevo oprostitev odgovornosti. Za oprostitev odgovornosti mora upravljavec z visokim dokaznim standardom dokazati, da na noben način ni odgovoren za dogodek, ki je povzročil kršitev varstva osebnih podatkov. Upravljavec nosi visoko stopnjo odgovornosti, ima pa možnost, da v svojo korist predloži razbremenilne dokaze.
5) Škoda zaradi strahu pred morebitno zlorabo osebnih podatkov v prihodnosti, lahko predstavlja nepremoženjsko škodo, ki ima za posledico pravico do odškodnine, če gre za dejanske in gotove duševne bolečine in ne gre le težave in nevšečnosti.
Mnenje generalnega pravobranilca za Sodišče ni zavezujoče, je pa njegov pravni pogled praviloma s strani sodišča dobro sprejet in mu sodišče pogosto sledi.
Ob izdaji sodbe bomo videli, koliko bo sodišče podanim predlogom sledilo v konkretnem primeru. Sodba pa bo vsekakor pomemben prispevek k razvoju prava varstva osebnih podatkov na področju odškodnin. Z vidika slovenskega pravnega reda bo torej pomembno, ali je protipravnost ravnanja upravljavca podana (že) zgolj zaradi dejstva kršitve varstva osebnih podatkov, ali pa se bo protipravnost ravnanja ob dejstvu kršitve domnevala, upravljavcu pa bo dana možnost, da predloži dokaze, s katerimi se odgovornosti razbremeni (kot izhaja iz predloga generalnega pravobranilca) – tako da dokaže, da so bili ukrepi za varnost podatkov, ki jih je izvajal ustrezni / primerni upoštevaje interese posameznika, na katerega se nanašajo osebni podatki, in gospodarske interese ter tehnološke zmogljivosti upravljavca - ob upoštevanju splošnega načela sorazmernosti Prav tako bo pomembno razumevanje pravno priznane nepremoženjske škode. Ali bo za obstoj duševnih bolečin zadoščala zgolj negotovost posameznika, z njo povezan strah in skrb o tem, do kakšnih zlorab njegovih osebnih podatkov bi lahko zaradi dejstva kršitve varstva osebnih podatkov prišlo v prihodnosti? Kako bo posameznik sodišče prepričal, da je dejansko utrpel škodo, četudi do zlorab (še) ni prišlo (morda tudi nikoli ne bo)?
Do naslednjič torej...
Odvetnica mag. Rosana Lemut Strle
Comments