MANUELA CAMPOSA SÁNCHEZA‑BORDONY
przedstawiona w dniu 25 maja 2023 r. ( 1 )
Sprawa C‑667/21
ZQ
przeciwko
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesarbeitsgericht (federalny sąd pracy, Niemcy)]
Odesłanie prejudycjalne – Ochrona danych osobowych – Dane osobowe dotyczące zdrowia – Ocena zdolności pracownika do pracy – Usługa badania lekarskiego w kasie chorych – Przetwarzanie danych osobowych dotyczących zdrowia pracowników – Prawo do odszkodowania – Wpływ stopnia winy
|
1. |
Niniejsze odesłanie prejudycjalne dotyczy wykładni rozporządzenia (UE) 2016/679 ( 2 ) w odniesieniu do: a) przetwarzania danych osobowych dotyczących zdrowia; oraz b) odszkodowania za szkody poniesione w wyniku (domniemanego) naruszenia samego RODO. |
|
2. |
Chociaż Trybunał orzekał już w przedmiocie przepisów RODO ( 3 ), które dotyczą tych kwestii, kwestie poruszone w niniejszym odesłaniu prejudycjalnym są nowe, z wyjątkiem pytania czwartego ( 4 ). |
I. Ramy prawne
A. Prawo Unii. RODO
|
3. |
Istotne dla niniejszego sporu są motywy 4, 10, 35, 51–54 i 146 preambuły RODO. |
|
4. |
Zgodnie z art. 9 („Przetwarzanie szczególnych kategorii danych osobowych”): „1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. 2. Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: […]
[…]
[…] 3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe, lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe. 4. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia”. |
|
5. |
Artykuł 82 („Prawo do odszkodowania i odpowiedzialność”) stanowi: „1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. […] 3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. […]”. |
B. Prawo krajowe. Sozialgesetzbuch Fünftes Buch ( 5 )
|
6. |
Zgodnie z § 278 ust. 1 zdanie pierwsze Socialgesetzbuch Fünftes Buch w każdym kraju związkowym tworzy się służbę medyczną ( 6 ) kasy chorych ( 7 ) jako spółkę prawa publicznego. Jednym z jej zadań wynikających z ustawy jest sporządzanie ekspertyz w celu rozwiania wątpliwości dotyczących niezdolności ubezpieczonych do pracy. |
|
7. |
Zgodnie z § 275 ust. 1 zdanie pierwsze pkt 3 lit. b) KV są zobowiązane, w określonych przypadkach, zwrócić się do odpowiedniej MDK o sporządzenie ekspertyzy w celu rozwiania wątpliwości dotyczących niezdolności do pracy w przypadku niezdolności ubezpieczonego do pracy poświadczonej zaświadczeniem lekarskim. |
II. Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne
|
8. |
ZQ był zatrudniony przez MDK Nadrenii Północnej‑Westfalii (Niemcy) od 1991 r. jako administrator systemu w dziale informatycznym i pracownik helpdesku. |
|
9. |
MDK sporządza ekspertyzy dotyczące niezdolności do pracy osób ubezpieczonych w KV. Mogą one obejmować ekspertyzy dotyczące zdrowia samych pracowników MDK. |
|
10. |
Przetwarzanie danych odbywa się między innymi zgodnie z następującymi zasadami określonymi w wewnętrznej instrukcji służby ( 8 ):
|
|
11. |
Po archiwizacji pracownicy działu informatycznego komórki organizacyjnej „Przypadki szczególne” mogą uzyskać dostęp, z zastrzeżeniem ustawowego obowiązku zachowania tajemnicy, do ekspertyz, które zostały sporządzone na podstawie zlecenia dotyczącego pracowników MDK. |
|
12. |
ZQ był niezdolny do pracy z powodu choroby nieprzerwanie od dnia 22 listopada 2017 r. |
|
13. |
Od dnia 24 maja 2018 r. ( 10 ) ZQ pobierał zasiłek chorobowy wypłacany przez KV, w której jest ubezpieczony. W dniu 6 czerwca 2018 r. KV zleciła MDK sporządzenie ekspertyzy w celu rozwiania wątpliwości dotyczących niezdolności ZQ do pracy. |
|
14. |
MDK przyjęła zlecenie, które powierzyła komórce „Przypadki szczególne”. W dniu 22 czerwca 2018 r. lekarka należąca do tej komórki i zatrudniona przez MDK sporządziła ekspertyzę zawierającą diagnozę ZQ. W celu sporządzenia tej ekspertyzy lekarka przeprowadziła rozmowy telefoniczne z lekarzem prowadzącym ZQ, od którego uzyskała odpowiednie informacje. |
|
15. |
Ekspertyza została zarchiwizowana elektronicznie przez MDK. |
|
16. |
ZQ dowiedział się o połączeniu telefonicznym wykonanym przez lekarkę MDK od jego lekarza prowadzącego. |
|
17. |
W dniu 1 sierpnia 2018 r. ZQ skontaktował się z koleżanką z działu informatycznego MDK, którą zapytał, czy dotycząca go ekspertyza została zarchiwizowana. Po wyszukaniu ekspertyzy w archiwum koleżanka ta odpowiedziała twierdząco. Na prośbę ZQ koleżanka wykonała zdjęcia ekspertyzy i przesłała je ZQ. |
|
18. |
W dniu 15 sierpnia 2018 r. ZQ zażądał bezskutecznie od MDK zapłaty odszkodowania w wysokości 20000 EUR na podstawie art. 82 RODO. |
|
19. |
W dniu 17 października 2018 r. ZQ wniósł powództwo do Arbeitsgericht Düsseldorf (sądu pracy w Düsseldorfie, Niemcy). W postępowaniu tym wniósł on również o zasądzenie odszkodowania odpowiadającego kwocie utraconych wynagrodzeń ( 11 ). |
|
20. |
W czasie trwania postępowania sądowego MDK rozwiązała stosunek pracy z ZQ. |
|
21. |
Żądania ZQ zostały oddalone zarówno w postępowaniu w pierwszej instancji, jak i w postępowaniu apelacyjnym ( 12 ). |
|
22. |
ZQ wniósł skargę rewizyjną do Bundesarbeitsgericht (federalnego sądu pracy, Niemcy), który kieruje następujące pytania prejudycjalne do Trybunału:
|
III. Postępowanie przed Trybunałem
|
23. |
Wniosek o wydanie orzeczenia w trybie prejudycjalnym wpłynął do Trybunału w dniu 8 listopada 2021 r. |
|
24. |
Uwagi na piśmie zostały przedstawione przez ZQ, MDK, Irlandię i rząd włoski oraz Komisję Europejską. |
|
25. |
Nie uznano za konieczne przeprowadzenia rozprawy. |
|
26. |
Na wniosek Trybunału niniejsza opinia nie będzie dotyczyć czwartego pytania prejudycjalnego ( 13 ). |
IV. Analiza
A. W przedmiocie pierwszego pytania prejudycjalnego
|
27. |
Sąd odsyłający zmierza do ustalenia, czy art. 9 ust. 2 lit. h) RODO zakazuje MDK przetwarzania danych dotyczących zdrowia jednego z jej pracowników, jeżeli takie dane są niezbędne w celu oceny zdolności tego pracownika do pracy. Kwestionuje on zatem zgodność przetwarzania z prawem ze względu na podmiot dokonujący tego przetwarzania ( 14 ). |
|
28. |
Artykuł 9 RODO ma zastosowanie do szczególnych kategorii danych, takich jak dane dotyczące zdrowia danej osoby. Ustanowiono w nim ogólny zakaz przetwarzania danych „wrażliwych” (ust. 1) i wymieniono wyczerpująco warunki, w których ogólny zakaz nie ma zastosowania (ust. 2). |
|
29. |
W szczególności art. 9 ust. 2 lit. h) RODO zawiera wyjątek (od ogólnego zakazu) dotyczący przetwarzania danych osobowych „do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia”. |
|
30. |
W mojej ocenie przepis ten obejmuje swoim zakresem działanie MDK będące przedmiotem sporu ( 15 ). Nie ma znaczenia, że administrator jest jednocześnie pracodawcą osoby, której dane dotyczą, w zakresie, w jakim MDK nie działa jako taki pracodawca, lecz jako służba medyczna KV, w której osoba, której dane dotyczą, była ubezpieczona ( 16 ). |
|
31. |
Nie znajduję podstaw, by interpretować art. 9 ust. 2 lit. h) RODO w ten sposób, że zakazuje on służbie medycznej przetwarzania danych dotyczących zdrowia jej pracowników w celu określonym w tej literze. Zwykłe kryteria wykładni prowadzą raczej do rozwiązania przeciwnego (brak takiego zakazu). |
|
32. |
Z językowego punktu widzenia art. 9 ust. 2 lit. h) RODO nie przewiduje żadnego wyłączenia w tym względzie ani nie formułuje jako warunku przetwarzania, aby administrator był „neutralną osobą trzecią” ( 17 ). |
|
33. |
Prace przygotowawcze i ewolucja przepisu również nie wskazują na taki zakaz, o jakim mowa w pierwszym pytaniu prejudycjalnym, ani na zamiar jego włączenia ( 18 ). |
|
34. |
Celem przepisów RODO dotyczących przetwarzania danych dotyczących zdrowia jest, jak orzekł Trybunał ( 19 ), zapewnienie zwiększonej ochrony osobom, których dane dotyczą, ze względu na szczególną wrażliwość takich danych dla odnośnych praw podstawowych. Celowi temu służy ogólny zakaz przewidziany w art. 9 ust. 1 RODO, który nie ma jednak charakteru bezwzględnego ( 20 ). |
|
35. |
W tej dziedzinie, podobnie jak w innych dziedzinach dotyczących przetwarzania danych osobowych, wybór prawodawcy, po ustanowieniu ogólnego zakazu, polegał na:
|
|
36. |
Tymczasem in abstracto nic nie stałoby na przeszkodzie temu, aby szczególne środki ostrożności, o których wspomniałem powyżej, obejmowały zakaz przetwarzania przez MDK danych dotyczących zdrowia jej pracowników. Nie wydaje mi się jednak, aby ta możliwość (której nie przewidział prawodawca europejski) była niezbędna dla zachowania celu, o którym mowa powyżej. |
|
37. |
Uważam zatem, że zakaz, którego dotyczy pytanie sądu odsyłającego, nie jest nieuniknioną konsekwencją wykładni celowościowej art. 9 ust. 2 lit. h) RODO. |
|
38. |
Nie uważam także, aby wykładnia systemowa tego przepisu prowadziła do innego rozwiązania, ponieważ:
|
|
39. |
Podsumowując, proponuję udzielić odpowiedzi przeczącej (a mianowicie że sporny zakaz nie istnieje w RODO) na pierwsze pytanie prejudycjalne, co pozwala na przeanalizowanie następnego pytania prejudycjalnego. |
B. W przedmiocie drugiego pytania prejudycjalnego
|
40. |
Gdyby (jak sugeruję) odpowiedź na pierwsze pytanie prejudycjalne była przecząca, sąd odsyłający zwraca się z pytaniem, czy „w przypadku takim jak w niniejszej sprawie istnieją inne, a jeżeli tak – jakie wymogi dotyczące ochrony danych, których należy przestrzegać, oprócz tych określonych w art. 9 ust. 3 RODO”. |
|
41. |
Ogólnie rzecz ujmując, odpowiedź nie powinna stwarzać większych problemów ( 26 ). Trybunał wskazał, że każda operacja przetwarzania danych osobowych musi być zgodna z wyrażonymi w art. 5 RODO zasadami oraz z jednym z kryteriów legalności wymienionych w art. 6 RODO ( 27 ). |
|
42. |
Zdaniem sądu odsyłającego przestrzeganie obowiązku zachowania tajemnicy (art. 9 ust. 3 RODO) nie byłoby wystarczające w celu ochrony danych w okolicznościach takich jak rozpatrywane w niniejszej sprawie. Sąd odsyłający proponuje inne środki uzupełniające, które jego zdaniem byłyby jedynymi odpowiednimi do tego celu ( 28 ). |
|
43. |
Uważam, że art. 9 ust. 3 RODO jako taki nie może stanowić podstawy tych dodatkowych środków. Jego wyraźne brzmienie (które jedynie precyzuje przepis zawarty już w dyrektywie 95/46 ( 29 )) nie stanowi podstawy dla propozycji takich jak ta przedstawiona przez sąd odsyłający. |
|
44. |
Propozycje te mogłyby natomiast wchodzić w zakres art. 9 ust. 4 RODO. Na mocy tego przepisu państwa członkowskie są uprawnione do wprowadzania „dalsz[ych] warunk[ów], w tym ogranicze[ń] w odniesieniu do przetwarzania danych […] dotyczących zdrowia” ( 30 ). Z postanowienia odsyłającego nie wynika jednak, by miało to miejsce w Niemczech. |
|
45. |
Niezależnie od powyższego, a także biorąc pod uwagę powody, które przedstawiłem powyżej, przetwarzanie danych osobowych dotyczących zdrowia musi podlegać między innymi zasadzie określonej w art. 5 ust. 1 lit. f) RODO i wynikającym z niej obowiązkom, które zostały wyszczególnione w rozdziale IV RODO. |
|
46. |
Administrator ( 31 ) musi również podjąć odpowiednie środki techniczne i organizacyjne w celu zapewnienia zgodności konkretnej operacji przetwarzania z RODO. Tak stanowi ogólnie art. 24 ust. 1 RODO. |
|
47. |
W szczególności art. 32 ust. 1 RODO zobowiązuje administratora do wdrożenia „odpowiedni[ch] środk[ów] techniczn[ych] i organizacyjn[ych], aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”, na które narażone są dane osobowe, których to dotyczy. |
|
48. |
W zastosowaniu tych przepisów w niniejszej sprawie status MDK jako pracodawcy w stosunku do ZQ nakłada na MDK wyższy niż zwykle obowiązek staranności w przetwarzaniu danych dotyczących zdrowia ZQ, ponieważ ryzyko jest również wyższe ( 32 ). |
|
49. |
MDK jest świadoma tego faktu. Gdy MDK sporządza na zlecenie KV, w której ubezpieczony jest jej pracownik, ekspertyzy mające na celu rozwianie wątpliwości co do (nie)zdolności do pracy tego pracownika, stosuje ona zestaw doraźnych środków technicznych i organizacyjnych przewidzianych w celu dostosowania przetwarzania danych osobowych dotyczących zdrowia do RODO ( 33 ). |
|
50. |
Ocena tych środków należy do sądu odsyłającego, który po dokonaniu oceny może orzec, że podjęte środki nie były wystarczające. Nie upoważnia to jednak do tego, aby wywnioskować z art. 9 RODO obowiązek oddalenia z urzędu przez MDK każdego wniosku KV o sporządzenie ekspertyzy lekarskiej (dotyczącej jej pracowników) ( 34 ). |
C. W przedmiocie trzeciego pytania prejudycjalnego
|
51. |
Zakładając, że odpowiedź na pierwsze pytanie prejudycjalne jest przecząca, w trzecim pytaniu prejudycjalnym sąd odsyłający zmierza do ustalenia, czy wyjątek od zakazu przetwarzania danych dotyczących zdrowia „zależy ponadto od spełnienia co najmniej jednego z warunków określonych w art. 6 ust. 1 RODO”. |
|
52. |
W celu udzielenia odpowiedzi na to pytanie należy przeanalizować związek między art. 9 ust. 2 i art. 6 RODO, dotyczącym zgodności przetwarzania z prawem. Konieczność przestrzegania tego ostatniego artykułu w każdej operacji przetwarzania danych została wyrażona w wyrokach Trybunału, które przytoczyłem powyżej ( 35 ). |
|
53. |
W szczególności w wyroku wydanym w sprawie C‑439/19 ( 36 ) dokonano wykładni art. 10 RODO, dotyczącego innej kategorii wrażliwych danych osobowych (dotyczących wyroków skazujących i naruszeń prawa) ( 37 ), i orzeczono, że art. 6 RODO stosuje się kumulatywnie z art. 10 RODO. |
|
54. |
Czy to samo założenie można zastosować do danych osobowych, o których mowa w art. 9 RODO? |
|
55. |
Struktura art. 9 i 10 RODO jest odmienna. Artykuł 10 zawiera wyraźne odesłanie do art. 6 ust. 1 samego RODO, które nie znajduje się w art. 9. |
|
56. |
Treść art. 9 ust. 2 i art. 10 RODO również nie jest porównywalna: art. 10 wskazuje jedynie podmiotowe ograniczenie przetwarzania, natomiast art. 9 ust. 2 określa cele (lub okoliczności), które je uzasadniają, podobnie jak art. 6 ust. 1. |
|
57. |
Analogia między art. 6 ust. 1 i art. 9 ust. 2 RODO jest bowiem taka, że prima facie mogłoby się wydawać, iż okoliczności wymienione w art. 9 ust. 2 RODO stanowią uszczegółowienie warunków wymienionych w art. 6 ust. 1 RODO: precyzują je i jednocześnie sprawiają, że są surowsze. |
|
58. |
Historia i ewolucja art. 9 RODO stawia jednak pod znakiem zapytania, czy związek między art. 9 a art. 6 RODO można wyjaśnić poprzez stosunek „lex specialis” i „lex generalis”. |
|
59. |
Bezsporne jest, że taka wykładnia została rzeczywiście poparta przez delegacje niektórych państw członkowskich ( 38 ). Dokumenty odnoszące się do negocjacji dotyczących art. 9 nie wskazują jednak różnic zdań co do odesłania do art. 6 ( 39 ), lecz co do jego zakresu (tylko do ust. 1 tego artykułu, czy także do innych ustępów?) ( 40 ). Wreszcie usunięto w art. 9 odesłanie do art. 6 ( 41 ) i postanowiono utrzymać w preambule ustęp podobny do obecnego motywu 51 RODO ( 42 ). |
|
60. |
Koncepcję kumulacji lub komplementarności między tymi dwoma przepisami podziela Europejska Rada Ochrony Danych ( 43 ) i opowiadała się za nią tak zwana Grupa Robocza art. 29 ( 44 ) w odniesieniu do art. 8 dyrektywy 95/46 ( 45 ). Nie jest to natomiast stanowisko niekwestionowane w doktrynie ani na innych istotnych forach ( 46 ). |
|
61. |
Rozważając poszczególne podpunkty art. 9 ust. 2 RODO, skłaniam się ku temu, że związek między tym przepisem a art. 6 nie pozwala w rzeczywistości na jednolitą odpowiedź. W istocie:
|
|
62. |
Uważam zatem, że aby przetwarzanie danych wrażliwych, na które zezwala art. 9 ust. 2 lit. h) RODO, było zgodne z prawem, należy ustalić, który z warunków wyszczególnionych w art. 6 ust. 1 uzasadnia je w każdym przypadku. |
|
63. |
Sąd odsyłający nie kwestionuje, że tak jest: przeciwnie, wychodząc z tego założenia, skupia się raczej na odrzuceniu stanowiska, zgodnie z którym przetwarzanie dokonane przez MDK jest uzasadnione w świetle art. 6 ( 48 ). |
|
64. |
Na pierwszy rzut oka nie wydaje mi się, aby istniała kolejność między podstawami prawnymi przewidzianymi w tym przepisie. Bardziej szczegółowa analiza mogłaby wskazywać na potrzebę wprowadzenia niuansów ( 49 ). Uważam jednak, że taka analiza wykraczałaby poza to, co jest konieczne do udzielenia odpowiedzi na niniejsze odesłanie prejudycjalne ( 50 ). |
|
65. |
Podsumowując: w odpowiedzi na trzecie pytanie prejudycjalne należałoby wskazać sądowi odsyłającemu, że wyjątek od zakazu przetwarzania danych dotyczących zdrowia wymaga spełnienia co najmniej jednego z warunków określonych w art. 6 ust. 1 RODO. |
D. W przedmiocie piątego pytania prejudycjalnego
|
66. |
Sąd odsyłający zmierza do ustalenia, czy „przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu na podstawie art. 82 ust. 1 RODO znaczenie ma stopień winy administratora lub podmiotu przetwarzającego”, a w szczególności czy „można wziąć pod uwagę nieistniejącą lub niewielką winę administratora lub podmiotu przetwarzającego na jego korzyść”. |
|
67. |
Pytanie to zakłada, że doszło do naruszenia RODO ( 51 ), którego dopuścił się podmiot występujący jako administrator danych, i dotyczy tego, czy stopień winy administratora danych ma znaczenie dla ustalenia wysokości odszkodowania za szkodę wynikającą z tego naruszenia. Zdaniem sądu odsyłającego nie jest pewne, czy brak winy lub niewielką winę administratora można uznać za dowód na jego obronę. |
|
68. |
Zgodnie z jego brzmieniem pytanie skupia się na ustaleniu wysokości odszkodowania. Wyjaśnienia, które mu towarzyszą, wywołały jednak pewną niejasność, ponieważ nie było jasne, czy odnosiły się one do winy jako przesłanki przypisania odpowiedzialności, czy też jako czynnika stopniowania kwoty odszkodowania. |
|
69. |
Sąd odsyłający, do którego Trybunał zwrócił się o wyjaśnienie tej niejasności, wskazał, że pytanie dotyczy tych dwóch aspektów, nie przedstawiając dalszych szczegółów co do ich związku z postępowaniem głównym. |
|
70. |
W świetle tej odpowiedzi zamierzam odpowiedzieć na kwestie podniesione przez sąd odsyłający po ustosunkowaniu się (również) do podniesionych przez MDK kwestii dotyczących ewentualnego przyczynienia się osoby, której dane dotyczą, do spowodowania szkody ( 52 ). Mój wywód zostanie podzielony na trzy etapy:
|
1. Podstawa odpowiedzialności cywilnej w art. 82 RODO
|
71. |
Sąd odsyłający jest zdania, że art. 82 ust. 1 RODO nie uzależnia odpowiedzialności cywilnej (podmiotu przetwarzającego ( 54 )) od istnienia lub udowodnienia umyślności lub niedbalstwa. Sąd odsyłający dodaje, że ust. 3 tego artykułu nie przemawia za innym rozwiązaniem. |
|
72. |
Przyznaję, że nie jest jasne, jaki model odpowiedzialności cywilnej przyjęto w RODO, oraz że a priori możliwe są różne interpretacje ( 55 ). Jedną z nich jest rozumienie sądu odsyłającego: moim zdaniem słuszne. |
|
73. |
Dokonywanie wykładni art. 82 ust. 1 RODO w ten sposób, że ustanawia on system odpowiedzialności cywilnej niezależnej od winy administratora, jest moim zdaniem zgodne z jego brzmieniem, znajduje bezpośrednie poparcie w pracach przygotowawczych, a przede wszystkim wspiera cel tego przepisu. Jest to dopuszczalne w świetle innych ustępów owego przepisu, jak również całego systemu. |
a) Argument oparty na wykładni literalnej
|
74. |
Stanowisko, które zajmuje sąd odsyłający, jest zgodne z brzmieniem art. 82 ust. 1 RODO. Z punktu widzenia brzmienia prawo do uzyskania odszkodowania od administratora jest po prostu związane ze szkodami poniesionymi w wyniku naruszenia samego RODO. |
|
75. |
Pozostałe ustępy art. 82 nie wskazują na inną odpowiedź ( 56 ). W szczególności nie posunąłbym się do wnioskowania o przesłance winy w oparciu o zwrot „ponosi odpowiedzialności” (hiszp. „imputable”), który jest zawarty w art. 82 ust. 3. Termin ten pojawia się tylko w niektórych wersjach językowych RODO; natomiast w innych użyto zwrotu „odpowiedzialny”. W wersji niemieckiej ani art. 82, ani preambuła nie zawierają technicznego terminu właściwego dla przypisania winy („Verschulden”) ( 57 ). |
|
76. |
Porównanie różnych przepisów RODO pokazuje, że użyta terminologia nie zawsze jest jednoznaczna, w związku z czym należy zachować ostrożność przy wyciąganiu wniosków z jej brzmienia. Na przykład w wersji angielskiej słowo „responsible” jest używane w wielu znaczeniach ( 58 ). |
|
77. |
Brak odniesień do zamiaru lub winy administratora w art. 82 RODO kontrastuje z zawartymi w art. 83 wzmiankami dotyczącymi administracyjnych kar pieniężnych: „[d]ecydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku” należytą uwagę na umyślność lub niedbalstwo w naruszeniu RODO ( 59 ). |
|
78. |
O ile rozbieżność między tekstami osłabia wagę wykładni językowej, o tyle potwierdza ona co najmniej koncepcję, zgodnie z którą w art. 82 RODO nie zostały wymienione ani zamiar, ani wina, oraz że brak ten jest świadomy, nie wynika z niedopatrzenia prawodawcy. |
b) Prace przygotowawcze
|
79. |
Dyskusja na temat ostatecznie przyjętej w RODO podstawy przypisania odpowiedzialności jest przesłonięta kontekstem, w jakim toczyła się ona w Radzie, zgodnie z założeniem o wielości podmiotów przetwarzających dane. |
|
80. |
Dyskusja ta została pomieszana z rozważaniami proceduralnymi, bez uwzględnienia aparatu pojęciowego, który pozwoliłby na rozróżnienie między funkcją winy jako podstawy przypisania odpowiedzialności z jednej strony a funkcją braku winy dla celów zwolnienia z tej samej odpowiedzialności z punktu widzenia związku przyczynowego z drugiej strony. |
|
81. |
Uważam jednak, że prace przygotowawcze potwierdzają takie rozumienie art. 82 ust. 1 RODO, w którym odpowiedzialność cywilna nie zależy od winy administratora. |
|
82. |
Wniosek Komisji był zgodny z dyrektywą 95/46 i nie wspomniano w nim niedbalstwa. W dokumentach Rady wskazano, że przewidziana odpowiedzialność określana jest jako „strict liability” ( 60 ). |
|
83. |
Poprawka zaproponowana w Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Parlamentu mogła nadać art. 82 (wówczas art. 77) ust. 1 treść, w której odpowiedzialność związana jest z umyślnością lub niedbalstwem ( 61 ). Nie została ona przyjęta ( 62 ). |
|
84. |
W Radzie dyskusja na temat art. 77 i kryterium przypisania odpowiedzialności była związana z przypisaniem i podziałem odpowiedzialności, w przypadku gdy w tej samej operacji przetwarzania uczestniczy kilka osób. W tym kontekście prezydencja zaproponowała wybór między dwoma wariantami ( 63 ):
|
|
85. |
Tekst kompromisowy, przedstawiony przez prezydencję w celu jego przyjęcia jako ogólnych wytycznych ( 71 ), jest zgodny z pierwszym wariantem, choć wzmacnia wyjątkowy charakter zwolnienia z odpowiedzialności i trudność jego udowodnienia poprzez sformułowanie art. 77 ust. 3: „[…] if it [(administrator/podmiot przetwarzający)] proves that it is not in any way responsible […]” ( 72 ). Sformułowanie to i ostatecznie przyjęty artykuł odpowiadają sobie wzajemnie. |
|
86. |
Podsumowując: analiza procedury legislacyjnej, która doprowadziła do ostatecznego tekstu RODO, przemawia za tym, aby odpowiedzialność, o której mowa w art. 82 ust. 1 RODO, nie była związana z winą administratora. |
c) Cel
|
87. |
W RODO ustanowiono system mający na celu zapewnienie wysokiego poziomu ochrony osób fizycznych, usuwając jednocześnie przeszkody w przepływie danych osobowych ( 73 ). W systemie tym art. 82 realizuje cel odszkodowawczy, bez uszczerbku dla faktu, że służy on również dodatkowo odstraszaniu od zachowań niezgodnych z jego przepisami lub zapobieganiu takim zachowaniom ( 74 ). |
|
88. |
Zapewnienie odszkodowania jest celem samym w sobie: wynika to ze znaczenia, jakie przypisuje mu prawodawca i o którym świadczy sama lektura tekstu. W świetle RODO otrzymanie odszkodowania w przypadku wystąpienia szkody jest prawem osoby, której dane dotyczą; pojęcie szkody należy interpretować szeroko, a odszkodowanie musi być pełne i skuteczne. |
|
89. |
Odszkodowanie łączy się z dążeniem do zwiększenia zaufania obywateli do środowiska cyfrowego, co stanowi cel o charakterze ogólnym określony w motywie 7 RODO. Zapewnienie osoby, której dane dotyczą, że co do zasady nie będzie ona musiała po prostu ponosić szkód wynikających z niezgodnego z prawem przetwarzania jej danych, służy wspieraniu takiego zaufania: jej majątek jest bezpieczny, a pod względem proceduralnym jej roszczenie jest prostsze. |
|
90. |
Okoliczność, że art. 82 ust. 1 RODO nie łączy obowiązku wypłaty odszkodowania z naruszeniem obowiązku zachowania staranności, jest zgodna z tym podejściem. Decyzją prawodawcy obowiązek taki jest przypisany do osoby, która zajmuje w danym stosunku określoną pozycję strażnika lub gwaranta, i to właśnie ze względu na sam ten fakt. |
|
91. |
Można by zatem uznać, że w świetle RODO istotna jest sytuacja poszkodowanego, który ponosi szkodę wynikającą z naruszenia, w przypadku gdy żaden przepis nie nakłada na niego obowiązku poniesienia tej szkody. |
|
92. |
Dla poszkodowanego nie ma znaczenia, czy sprawca szkody ponosi winę w spowodowaniu szkody, czy też nie: decydujące znaczenie ma fakt, że administrator wyrządził mu szkodę, majątkową lub niemajątkową, wynikającą z popełnionego przez administratora naruszenia RODO. |
|
93. |
Opisane cele łatwiej jest osiągnąć w modelu, który zmierza do tego, aby udowodniona szkoda:
|
|
94. |
W kontekście dostosowania do rewolucji cyfrowej ( 75 ) rozwiązanie to wydaje mi się spójne. Szybki rozwój technologiczny wymaga, aby w najczęstszych czynnościach przetwarzania danych wykonywanych w Internecie brak umyślności lub niedbalstwa nie uniemożliwiał naprawienia szkód, które w przeciwnym razie pozostałyby bez pokrycia. |
d) Systematyka
|
95. |
Proponowana przeze mnie wykładnia jest bardziej zgodna z systematyką RODO. W art. 82 RODO potwierdza to ust. 3: zwolnienie z odpowiedzialności jest możliwe, jeżeli „administrator […] udowodn[i], że w żaden sposób nie ponos[i] winy za zdarzenie, które doprowadziło do powstania szkody”. |
|
96. |
W sformułowaniu tym wyróżnia się wyrażenie „w żaden sposób”, które prowadzi do wniosku, że model ten nie jest oparty na winie (ani nawet na najlżejszym stopniu winy) z odwróceniem ciężaru dowodu. |
|
97. |
Uznanie, że odszkodowanie nie zależy od winy administratora, nadaje art. 82 odrębne znaczenie w rozdziale VIII i ostatecznie w RODO w całości. |
|
98. |
Prawodawca europejski zakłada, że przetwarzanie danych osobowych może być źródłem ryzyka. Zobowiązuje on podmioty przetwarzające do oceny tego ryzyka oraz do podjęcia i aktualizacji środków pozwalających na zapobieganie zidentyfikowanemu przez nie ryzyku i jego minimalizowanie ( 76 ). |
|
99. |
Stwierdzono, że model odpowiedzialności cywilnej oparty na winie promuje staranność, a tym samym ochronę przed ryzykiem, podczas gdy model alternatywny, w którym nie uwzględnia się sposobu, w jaki podmiot się zachował, zniechęcałby ten podmiot do zachowania ostrożności (ponieważ w przypadku wystąpienia szkody będzie on musiał w każdym razie wypłacić odszkodowanie). |
|
100. |
Jestem zdania, że taki rezultat ( 77 ) jest dopuszczalny w RODO. Artykuł 82 wpisuje się w złożoną strukturę normatywną wraz z instrumentami prawa publicznego i prywatnego w celu ochrony danych osobowych. W ramach tej struktury niedbalstwo (i umyślność) mają znaczenie dla celów kar administracyjnych. Nie widzę potrzeby, aby były one istotne również dla celów odpowiedzialności cywilnej ( 78 ), co naruszałoby cele art. 82, a ponadto umniejszałoby praktyczną atrakcyjność przewidzianego w nim środka zaradczego. |
2. Wpływ interwencji osoby, której dane dotyczą
|
101. |
Wątpliwości dotyczące konieczności wystąpienia winy administratora wiążą się w niniejszej sprawie z konsekwencjami, jakie mogą wyniknąć z interwencji osoby, której dane dotyczą ( 79 ). |
|
102. |
W celu lepszego zrozumienia dalszych uwag należy wyjaśnić, że okoliczności niniejszego sporu zostały rozpatrzone w dwóch scenariuszach:
|
|
103. |
W każdym wypadku uważam, że – jak wydaje się utrzymywać sąd odsyłający ( 82 ) – w celu określenia (ewentualnego) wpływu zachowania osoby, której dane dotyczą, na popełnienie czynu stanowiącego naruszenie, który spowodował szkodę, należy powołać się na art. 82 ust. 3. |
|
104. |
W przepisie tym nie wymieniono nawet tytułem przykładu konkretnych podstaw zwolnienia z odpowiedzialności. Nie wskazano ich również w motywie 146 ( 83 ). |
|
105. |
RODO wydaje się odbiegać w tym względzie od dyrektywy 95/46, której art. 23 ust. 2 zawierał przepis podobny ( 84 ) do obecnego art. 82 ust. 3 RODO: w motywie 55 dyrektywy 95/46 zaproponowano jako przykłady podstaw zwolnienia z odpowiedzialności odpowiedzialność osoby, której dane dotyczą, lub siłę wyższą ( 85 ), które to przykłady podstaw nie są zawarte w RODO. |
|
106. |
O ile się nie mylę, z prac przygotowawczych nad RODO nie wynika, że dyskutowano na temat tych dwóch przykładów, które zostały przedstawione we wniosku Komisji ( 86 ) i które Parlament podtrzymał ( 87 ). |
|
107. |
Ich skreślenie oraz pojawienie się sformułowania „w żaden sposób” nastąpiły w ramach wspomnianej już dyskusji na temat sposobu uregulowania odpowiedzialności wobec przetwarzania z udziałem wielu administratorów lub podmiotów przetwarzających ( 88 ). |
|
108. |
Z dostępnej dokumentacji ( 89 ) wynika, że w ostatecznym brzmieniu administrator korzysta ze zwolnienia z odpowiedzialności, jeżeli udowodni, że nie jest w ogóle odpowiedzialny („responsible”) za szkodę („0 % responsibility”). To samo dotyczy podmiotu przetwarzającego ( 90 ). |
|
109. |
W związku z powyższym nie uważam, że wyłączenie działania osoby, której dane dotyczą, z podstaw zwolnienia z odpowiedzialności jest konsekwencją (lub celem) zniknięcia wspomnianych dwóch przykładów z preambuły, jednocześnie z dodaniem wyrażenia „w żaden sposób” w tejże preambule i w art. 82 ust. 3 RODO ( 91 ). |
|
110. |
Wydaje się raczej, że działanie osoby, której dane dotyczą, nadal może spowodować, w zależności od przypadku, przerwanie niezbędnego związku między „zdarzeniem” (wyrażenia tego użyto w art. 82 ust. 3 RODO) a okolicznością, że administrator jest sprawcą szkody. Podkreślenie ograniczonego charakteru klauzuli korekcyjnej nie stoi na przeszkodzie temu, by konkretne zachowanie osoby, której dane dotyczą, mogło samo w sobie spowodować powstanie szkody i w konsekwencji doprowadzić do zwolnienia administratora z odpowiedzialności. |
|
111. |
Wykładnia systemowa przemawia za uwzględnieniem w ramach odpowiedzialności za szkody okoliczności, że osoba, której dane dotyczą, przyczyniła się do powstania szkody. W systematyce RODO jednostki uczestniczą w ochronie swoich danych, gdyż przyznano im instrumenty, które same w sobie są prawami. |
|
112. |
Z celowościowego punktu widzenia uważam, że RODO zmierza do zapewnienia wysokiego poziomu ochrony, ale nie do tego stopnia, aby zobowiązać administratora do odszkodowania również za szkody wynikające ze zdarzeń lub działań, które można przypisać osobie, której dane dotyczą ( 92 ). |
3. Ustalenie wysokości odszkodowania. Wpływ stopnia winy osoby odpowiedzialnej za szkodę
|
113. |
Sąd odsyłający potwierdził, że piąte pytanie prejudycjalne dotyczy wyjaśnienia kwestii, czy stopień winy administratora wpływa na ustalenie wysokości odszkodowania, a dokładniej – czy brak winy lub niewielka wina administratora mogą zostać uwzględnione na jego korzyść. |
|
114. |
Artykuł 82 RODO jest z pewnością niezbyt szczegółowy lub wręcz milczy na temat kluczowych aspektów odszkodowania, które miałyby wpływ na ustalenie jego wysokości. Nie dostarcza on wskazówek dla organu mającego dokonać wykładni dotyczących elementów składowych odszkodowania ( 93 ), kryteriów oceny (ustalenia ilości) tych elementów ( 94 ) lub czynników, które mogłyby mieć wpływ na kwotę odszkodowania ( 95 ). |
|
115. |
Mimo to uważam, że RODO przyznaje osobie, której dane dotyczą, prawo do odszkodowania, którego wysokość ustala się w zależności od rzeczywiście poniesionych szkód. Po ustaleniu kwoty, która obiektywnie rekompensuje te szkody, nie powinna ona ulegać zmianie w zależności od większego lub mniejszego niedbalstwa administratora. |
|
116. |
Na poparcie mojego stanowiska odsyłam mutatis mutandis do tego, co wskazałem w odniesieniu do przypisania odpowiedzialności administratorowi, niezależnie od jego winy, w systematyce art. 82 RODO. Z perspektywy poszkodowanego, którego aktywa (materialne i niematerialne) muszą pozostać nienaruszone po powstaniu szkody, naprawienie szkody musi nastąpić bez powiązania jej z winą administratora, niezależnie od stopnia tej winy ( 96 ). |
|
117. |
Uważam, że do tego samego rozwiązania można dojść, zauważając, że art. 82 RODO (do którego prace przygotowawcze nie dostarczają żadnych wskazówek umożliwiających zajęcie takiego czy innego stanowiska) ( 97 ) różni się od innych instrumentów prawa Unii, w których rozróżnia się wyraźnie, czy udział w naruszeniu był „świadomy”, czy też nie, przy ustalaniu kwoty odszkodowania z tytułu odpowiedzialności cywilnej ( 98 ). |
|
118. |
Moim zdaniem ocenę tę potwierdzają dwa kolejne argumenty:
|
V. Wnioski
|
119. |
W świetle powyższych rozważań proponuję udzielić Bundesarbeitsgericht (federalnemu sądowi pracy, Niemcy) następującej odpowiedzi: Artykuł 9 ust. 2 lit. h), art. 9 ust. 3 oraz art. 82 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) należy interpretować w ten sposób, że: Nie zakazują one służbie medycznej kasy chorych przetwarzania danych dotyczących zdrowia jej pracownika, w przypadku gdy dane te są niezbędne w celu dokonania oceny zdolności tego pracownika do pracy. Dopuszczają wyjątek od zakazu przetwarzania danych osobowych dotyczących zdrowia, gdy takie przetwarzanie jest niezbędne do celów oceny zdolności pracownika do pracy, podlega zasadom określonym w art. 5 oraz jednej z przesłanek zgodności z prawem przewidzianych w art. 6 rozporządzenia 2016/679. Stopień winy administratora lub podmiotu przetwarzającego nie ma znaczenia dla ustalenia odpowiedzialności jednego lub drugiego ani dla ustalenia kwoty szkód niemajątkowych podlegających naprawieniu na podstawie art. 82 ust. 1 rozporządzenia 2016/679. Przyczynienie się osoby, której dane dotyczą, do zdarzenia, z którego wynika obowiązek odszkodowania, może prowadzić, w zależności od przypadku, do zwolnienia z odpowiedzialności administratora lub podmiotu przetwarzającego, przewidzianego w art. 82 ust. 3 rozporządzenia 2016/679. |
( 1 ) Język oryginału: hiszpański.
( 2 ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; zwane dalej „RODO”).
( 3 ) A także w odniesieniu do art. 8 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), który bezpośrednio poprzedzał art. 9 RODO.
( 4 ) Pytanie czwarte jest zasadniczo identyczne z pytaniem pierwszym w sprawie C‑300/21, Österreichische Post (Szkoda niemajątkowa wynikająca z przetwarzania danych osobowych), w której przedstawiłem opinię w dniu 6 października 2022 r. (EU:C:2022:756) (zwaną dalej „opinią w sprawie C‑300/21”), zaś Trybunał Sprawiedliwości orzekł wyrokiem z dnia 4 maja 2023 r. (EU:C:2023:370).
( 5 ) Kodeks socjalny księga piąta.
( 6 ) Medizinischer Dienst der Krankenversicherung (zwaną dalej „MDK”).
( 7 ) Krankenversicherung (zwanej dalej „KV”).
( 8 ) „Memorandum w sprawie ochrony danych socjalnych pracowników [MDK] i ich rodzin”, którego streszczenie zawarto w postanowieniu odsyłającym, pkt 6 i nast.
( 9 ) W komputerowym systemie przetwarzania danych, z którego MDK korzysta wewnętrznie, została utworzona wirtualna komórka organizacyjna nazwana „Przypadki szczególne”, do której dostęp mają wyłącznie pracownicy tej komórki.
( 10 ) Po upływie (ustawowo określonego) okresu, w którym wynagrodzenie jest wypłacane przez MDK.
( 11 ) Zdaniem ZQ, gdyby nie doszło do naruszenia dotyczącego jego danych osobowych, mógłby on ponownie podjąć pracę od grudnia 2018 r.
( 12 ) Odpowiednio ArbG Düsseldorf, wyrok z dnia 22.02.2019 r. – 4 Ca 6116/18; LAG Düsseldorf (12. Kammer), wyrok z dnia 11.03.2020 r. – 12 Sa 186/19.
( 13 ) Jeśli chodzi o treść tego pytania prejudycjalnego, odsyłam do wyroku z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa wynikająca z przetwarzania danych osobowych) (C‑300/21, EU:C:2023:370).
( 14 ) Poniższe uwagi pozostają bez uszczerbku dla odpowiedzi na trzecie pytanie prejudycjalne.
( 15 ) Uważam, że lepszym rozwiązaniem jest zastosowanie tego przepisu, a nie art. 9 ust. 2 lit. b) RODO. Nie wydaje się, że to przetwarzanie było niezbędne (ani w odniesieniu do MDK jako pracodawcy, ani w odniesieniu do ZQ jako pracownika) w celu wykonania obowiązków lub korzystania z praw w ramach stosunku pracy.
( 16 ) Przetwarzanie danych wrażliwych jako pracodawca (to znaczy w celach związanych ze stosunkiem pracy) byłoby zgodne z prawem tylko wtedy, gdyby spełniało przesłanki określone w RODO dla przetwarzania danych w celu innym niż ten, w którym dane te zostały zgromadzone.
( 17 ) Punkt 22 postanowienia odsyłającego. RODO wymaga natomiast posiadania innych cech, które przewidziano w art. 9 ust. 3 RODO: zob. w przedmiocie jego zakresu pkt 40 poniżej i nast.
( 18 ) Odpowiednikiem art. 9 RODO był art. 8 dyrektywy 95/46. We wniosku Komisji [wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) COM(2012) 11 final z dnia 25 stycznia 2012 r.; zwany dalej „wnioskiem Komisji”] przetwarzanie danych osobowych dotyczących zdrowia było uregulowane w art. 81, który przewidywał uzasadnienia i wskazywał, że powinno się ono odbywać zgodnie z prawem Unii lub prawem państw członkowskich. Zgodnie z tym wnioskiem zapewnienie niezbędnych zabezpieczeń w celu ochrony uzasadnionych praw osoby, której dane dotyczą, należało do państw członkowskich. Treść art. 81 została włączona do art. 9 ust. 2 lit. h) i art. 9 ust. 4, co znalazło odzwierciedlenie w dokumencie nr 14270/14 prezydencji Rady skierowanym do Grupy Roboczej ds. Ochrony Danych z dnia 16 października 2014 r.
( 19 ) Wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych) (C‑136/17, EU:C:2019:773, pkt 44): „[…] szczególn[e] wymog[i] […] w odniesieniu do przetwarzania szczególnych kategorii danych […] [mają na] cel[u] […] zapewnieni[e] zwiększonej ochrony w zakresie takiego przetwarzania, które, ze względu na szczególną wrażliwość takich danych, może stanowić, jak wynika również z motywu 33 […] dyrektywy [95/46] i motywu 51 tego rozporządzenia, szczególnie poważną ingerencję w podstawowe prawa do poszanowania życia prywatnego i ochrony danych osobowych, które są zagwarantowane w art. 7 i 8 karty”.
( 20 ) Prawo podstawowe do ochrony danych osobowych nie ma automatycznie pierwszeństwa przed jakimkolwiek innym prawem, nawet gdy w grę wchodzą szczególne kategorie, o których mowa w art. 9 ust. 1 RODO: wyrok z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych) (C‑136/17, EU:C:2019:773, pkt 66–68).
( 21 ) Artykuł 9 ust. 3 RODO.
( 22 ) Artykuł 88 RODO uprawnia państwa członkowskie do wprowadzenia „bardziej szczegółow[ych] przepis[ów] mając[ych] zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem”. W przedmiocie wykładni tego przepisu odsyłam do wyroku z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).
( 23 ) Wydaje się, że sąd odsyłający tak rozumie ten przepis. Ze swej strony odsyłam do przypisu 15 powyżej.
( 24 ) Zgadzam się z Komisją, która utrzymuje, że „[art. 9] ust. 2 [RODO] nie przewiduje szczególnej hierarchii lub ewentualnego stosunku zależności między wyjątkami, które współistnieją na równych warunkach” (pkt 13 jej uwag na piśmie).
( 25 ) Nie jest wymagane, jak miało to miejsce w przypadku dyrektywy 95/46, aby przetwarzanie było dokonywane „przez pracownika służby zdrowia […] podlegające[go] obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy” (podkreśelnie moje). Wymagane jest jednak, aby przetwarzanie było dokonywane przez osoby zobowiązane do zachowania tajemnicy.
( 26 ) W odniesieniu do danych, które są „szczególnie wrażliwe w świetle podstawowych praw i wolności”, w motywie 51 RODO stwierdza się, że „[o]prócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem”.
( 27 ) Wyrok z dnia 16 stycznia 2019 r., Deutsche Post (C‑496/17, EU:C:2019:26, pkt 57 i przytoczone tam orzecznictwo). W odniesieniu do danych wrażliwych wyroki: z dnia 24 września 2019 r., GC i in. (Usunięcie linków do danych wrażliwych) (C‑136/17, EU:C:2019:773, pkt 64); z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 96, 99, 100, 102).
( 28 ) Postanowienie odsyłające, pkt 25–27. Sąd odsyłający wskazuje na utworzenie dwóch niezależnych komórek zajmujących się „przypadkami szczególnymi” oraz odrębnych jednostek informatycznych, w przypadku gdy w grę wchodzą ekspertyzy dotyczące pracowników działów informatycznych (takich jak ZQ). Ostatecznym celem byłoby to, aby żaden pracownik MDK nie mógł faktycznie uzyskać dostępu do danych dotyczących zdrowia kolegi z pracy ani wiedzieć o istnieniu kontroli jego zdolności do pracy.
( 29 ) Artykuł 8 ust. 3. Jak już wyjaśniłem, krąg osób upoważnionych do dokonywania przetwarzania został w RODO rozszerzony.
( 30 ) Ustęp 4 został wprowadzony do art. 9 RODO w następstwie wniosku Niemiec: dokument nr 6834/15, prezydencja do Rady, z dnia 9 marca 2015 r.
( 31 ) Sąd odsyłający określa w ten sposób MDK (pkt 16 postanowienia odsyłającego). W dalszej części nie będę zatem odnosił się do podmiotu przetwarzającego, chyba że będzie to w danym kontekście właściwe. Co do zasady rozważania poczynione w odniesieniu do administratora można odnieść do podmiotu przetwarzającego.
( 32 ) Sąd odsyłający obawia się w szczególności, że gdyby doszło do naruszenia bezpieczeństwa, doprowadziłoby to do tego, że koledzy z pracy ZQ dowiedzieliby się o stanie zdrowia ZQ, co mogłoby doprowadzić do spekulacji dotyczących jego wydajności. Dodaje on, że informacje na temat samego istnienia ekspertyzy lekarskiej dotyczącej niezdolności do pracy są informacjami wrażliwymi, ponieważ mogą sugerować możliwość symulacji takiej niezdolności (pkt 26 postanowienia odsyłającego).
( 33 ) Zobacz pkt 10 powyżej.
( 34 ) Punkt 27 postanowienia odsyłającego.
( 35 ) Zobacz przypis 27 powyżej. Zobacz w przedmiocie związku między art. 6 i art. 9 RODO także sprawa C‑252/21, Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej). Opinia rzecznika generalnego A. Rantosa została przedstawiona w dniu 20 września 2022 r. (C‑252/21, EU:C:2022:704).
( 36 ) Wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (EU:C:2021:504, pkt 96, 99, 100, 102).
( 37 ) Odpowiednikiem art. 10 RODO był art. 8 dyrektywy 95/46. Artykuł 8 dyrektywy 95/46 obejmował wszystkie szczególne kategorie danych, choć odróżniał przetwarzanie danych dotyczących przestępstw, wyroków karnych lub środków bezpieczeństwa, których dotyczył ust. 5. Formalne wyodrębnienie, które wprowadzono w RODO, nie wynika ze zmiany przekonania, że dane osobowe dotyczące wyroków karnych lub naruszeń prawa są „wrażliwe”.
( 38 ) Dokument nr 17072/4/14 Rev 4, Rada do Komitetu Stałych Przedstawicieli, z dnia 4 marca 2015 r., przypis 60.
( 39 ) Dotyczącego, jak w wersji ostatecznej, zgodności przetwarzania z prawem.
( 40 ) Dokument nr 17072/4/14 Rev 4, Rada do Komitetu Stałych Przedstawicieli, z dnia 4 marca 2015 r., art. 9 ust. 2 [„Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with (…)]” i przypis 60.
( 41 ) Począwszy od dokumentu nr 6834/15, prezydencja do Rady, z dnia 9 marca 2015 r.
( 42 ) Z pewnością nie rozwiało to wątpliwości wszystkich delegacji. Zobacz na przykład dokument nr 7466/15, prezydencja do delegacji, z dnia 26 marca 2015 r., przypis 38.
( 43 ) Wytyczne 03/2020 w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID‑19, kwiecień 2020 r., pkt 15.
( 44 ) „Advice paper on special categories of data”, Ares(2011)444105 – 20/04/2011, s. 5.
( 45 ) Jest to również publicznie wyrażona przez Komisję opinia: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, (spotkanie, które odbyło się w dniu 10 października 2016 r.), s. 2; Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, (spotkanie, które odbyło się w dniu 20 lutego 2018 r.), s. 2.
( 46 ) Stanowisko na rzecz kumulacji lub komplementarności zajął np. T. Petri, „Artykuł 9”, w: S. Simitis, G. Hornun, I. Spiecker‑Döhmann, Datenschutzrecht, 2019, pkt 26, który przyznaje jednak, że nie jest to stanowisko jednomyślne. Przeciwne stanowisko zaproponowano w Podręczniku europejskiego prawa o ochronie danych Agencji Praw Podstawowych Unii Europejskiej, 2018, sekcja 4.1.1.
( 47 ) Odpowiednio: wyraźna zgoda osoby, której dane dotyczą; przetwarzanie niezbędne do ochrony żywotnych interesów osoby, która jest fizycznie lub prawnie niezdolna do wyrażenia zgody; przetwarzanie niezbędne ze względów związanych z interesem publicznym.
( 48 ) Postanowienie odsyłające, pkt 30, 31.
( 49 ) Na przykład czy zgoda osoby, której dane dotyczą, jako podstawa prawna towarzysząca uprawnieniu przewidzianemu w art. 9 ust. 2 lit. h), musi być wyraźną zgodą wymaganą na mocy samego artykułu, czy też wystarczy zgoda, o której mowa w art. 6 ust. 1 lit. a).
( 50 ) Odmienna kwestia o węższym zakresie dotyczy tego, czy w świetle rozważań sądu odsyłającego dotyczących art. 6 ust. 1 należałoby wyjaśnić znaczenie określonych w nim przesłanek, w szczególności tych, które odpowiadają lit. c) i e). W tym względzie odsyłam do orzecznictwa Trybunału: w odniesieniu do przepisów dyrektywy 95/46 – wyroki: z dnia 16 grudnia 2008 r., Huber (C‑524/06, EU:C:2008:724, pkt 62); z dnia 30 maja 2013 r., Worten (C‑342/12, EU:C:2013:355, pkt 37); w odniesieniu do RODO – wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 66 i nast.).
( 51 ) Sąd odsyłający skłania się ku stwierdzeniu naruszenia art. 9 i 6 RODO wynikającego z przetwarzania dokonanego przez MDK. W pkt 32 postanowienia odsyłającego sąd odsyłający stwierdza, że naruszenie samo w sobie prowadzi do powstania prawa do odszkodowania; w pkt 33 podkreśla on, że naruszenie przekłada się automatycznie na szkodę („naruszenie RODO już powoduje szkodę niemajątkową, która daje prawo do odszkodowania”). Z powodów, które przedstawiłem w mojej opinii w sprawie C‑300/21, nie podzielam tego poglądu.
( 52 ) Punkty 78–80 uwag MDK. Zdaniem MDK sama osoba, której dane dotyczą, wyrządziła sobie szkodę, nie żądając akt i nie korzystając z przysługującego jej wobec MDK prawa dostępu do tych akt, zgodnie z art. 15 RODO, lecz korzystając z usług kolegi z komórki, w której pracuje, czego skutkiem było przeglądanie spornych danych. Podobne stanowisko zajęto w wyroku wydanym w postępowaniu apelacyjnym – LAG Düsseldorf (12 izba), wyrok z dnia 11.03.2020 r. – 12 Sa 186/19, pkt 4.3.4.3.
( 53 ) Pracownik zatrudniony w tym samym dziale co osoba, której dane dotyczą, uzyskał dostęp do danych poza przypadkami, w odniesieniu do których posiada zezwolenie, to znaczy w celach niezwiązanych z wykonywaniem pracy przewidzianej w jego umowie.
( 54 ) W dalszej części będę używał terminu „podmiot przetwarzający” jako synonimu „administratora”.
( 55 ) Pomijając tych, którzy utrzymują, że jest to aspekt nieuregulowany, opinie są rozbieżne między zwolennikami systemu odpowiedzialności obiektywnej a zwolennikami odpowiedzialności na zasadzie winy z odwróceniem ciężaru dowodu. W rzeczywistości, podobnie jak w przypadku innych systemów odpowiedzialności (cywilnej) sektorowej, nie uważam, aby RODO pasowało w pełni do któregokolwiek z dwóch głównych paradygmatów teoretycznych, których granice również nie są zbyt dokładne. Zważywszy na brzmienie RODO, można je powiązać z oboma paradygmatami teoretycznymi, z niuansami, które ostatecznie spajają modele w jeden: z pierwszym z nich – ze względu na wysoki standard staranności, który należałoby udowodnić, aby uniknąć przypisania odpowiedzialności; z drugim z nich – ze względu na wprowadzenie ocen należytej staranności/niedbalstwa do podstaw zwolnienia z odpowiedzialności lub w przypadku stwierdzenia naruszenia, w zależności od charakteru danego przepisu.
( 56 ) W ust. 2, który można odczytywać jako odwrotność ust. 1, ponieważ przewiduje on odpowiedzialność po stronie zobowiązanych, również nie wymienia się żadnej przesłanki winy.
( 57 ) W wersji hiszpańskiej termin „imputable” pojawia się natomiast w art. 47 ust. 2 lit. f) RODO, który w odniesieniu do informacji, od których uzależnia przyjęcie wiążących reguł korporacyjnych, odnosi się do zwolnienia z odpowiedzialności w ramach grup przedsiębiorstw mających siedzibę w Unii i poza nią. W wersji niemieckiej użyto peryfrazy („dem betreffenden Mitglied nicht zur Last gelegt werden kann”).
( 58 ) Porównaj art. 82 ust. 3, art. 68 ust. 4 lub art. 75 ust. 6.
( 59 ) Artykuł 83 ust. 2 lit. b) i ust. 3. Wypowiedziałem się w przedmiocie jego wykładni w opinii w sprawie C‑807/21, Deutsche Wohnen (EU:C:2023:360).
( 60 ) Między innymi dokument nr 17831/13, prezydencja Rady do Grupy Roboczej ds. Ochrony Danych, z dnia 16 grudnia 2013 r., przypis 542.
( 61 ) Poprawka nr 2819 zaproponowana przez S. Ilcheva, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), dokument PE501.927v04‑00, Amendments (9): „Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence”. Podkreślenie moje.
( 62 ) Zobacz tekst towarzyszący rezolucji ustawodawczej z dnia 12 marca 2014 r. w sprawie wniosku Komisji (Dz.U. 2017, C 378, s. 399).
( 63 ) Dokument nr 9083/15, prezydencja do członków WSiSW Grupy Roboczej ds. Ochrony Danych, z dnia 27 maja 2015 r. Różnica między wariantami dotyczy art. 77 ust. 3–6. Ustęp 1, który ustanawia zasadę odpowiedzialności administratora i podmiotu przetwarzającego, oraz ust. 2, który określa zakres przedmiotowy odpowiedzialności obu tych podmiotów, ograniczając odpowiedzialność podmiotu przetwarzającego, były zbieżne.
( 64 ) Ibidem, pkt 5.
( 65 )
( 66 ) Lub, w przypadku podmiotu przetwarzającego, gdyby naruszył on polecenia administratora zgodne z RODO.
( 67 ) Z możliwością późniejszego roszczenia regresowego: art. 77 ust. 6 w pierwszym wariancie.
( 68 ) Dokument nr 9083/15, prezydencja do członków WSiSW Grupy Roboczej ds. Ochrony Danych, z dnia 27 maja 2015 r., pkt 7. Delegacja Zjednoczonego Królestwa otwarcie wyraziła się za odpowiedzialnością na zasadzie winy. W świetle jej argumentów pytanie w tym względzie zostało zadane pozostałym (dokument nr 7722/15, prezydencja do Grupy Roboczej ds. Ochrony Danych, z dnia 13 kwietnia 2015 r., pkt 10, 11). Ostatecznie zaproponowany wariant wydaje się być zgodny z kompromisem wskazanym przez delegację niemiecką (dokument nr 8150/1/15 Rev 1 z dnia 6 maja 2015 r.), w którym rozróżniono sferę relacji między administratorem/podmiotem przetwarzającym a osobą, której dane dotyczą, oraz sferę relacji tych pierwszych między sobą i opowiedziano się, w odniesieniu do sfery relacji tych pierwszych między sobą, za przypisaniem odpowiedzialności opartym na zamiarze lub winie: „liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation”. W odniesieniu do osoby, której dane dotyczą, brak niedbalstwa pozwalałby na zwolnienie z odpowiedzialności.
( 69 ) Ibidem, pkt 6, który kończy się słowami: „In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages”.
( 70 ) Artykuł 77 ust. 4a w tym wariancie: „If a data subject is not able to bring a claim for compensation against the controller […]”.
( 71 ) Dokument nr 9565/15, prezydencja do Rady, z dnia 11 czerwca 2015 r.
( 72 ) Podkreślenie moje. Jednocześnie z tym uzupełnieniem skreślono przykłady podstaw zwolnienia z odpowiedzialności w motywie 118: zob. pkt 104 i nast. poniżej.
( 73 ) Motyw 10 RODO.
( 74 ) Odsyłam do mojej opinii w sprawie C‑300/21. Jak wskazałem w tej opinii, prawodawca zmierza do zachęcenia do egzekwowania na drodze prywatnoprawnej przepisów dotyczących ochrony danych osobowych. W ramach tego celu w rozdziale VIII RODO udostępniono instrumenty na rzecz osoby, której dane dotyczą. Odszkodowanie z tytułu odpowiedzialności cywilnej jest jednym z tych instrumentów, ale brakuje mu funkcji karnych.
( 75 ) Był to jeden z argumentów przemawiających za wyjściem poza dyrektywę 95/46 we wniosku Komisji.
( 76 ) Motywy 77 i nast. RODO.
( 77 ) Rezultat ten należy zniuansować: odpowiedzialność pełni funkcję prewencyjną w zakresie, w jakim wpływa na decyzję podmiotu dotyczącą poziomu czynności, którą ma on wykonać. Proponowana przeze mnie wykładnia pozwala na powiązanie art. 82 RODO z zasadami przetwarzania danych, takimi jak ograniczenie celu, minimalizacja danych i prawidłowość [art. 5 ust. 1 lit. b), c) i d) RODO].
( 78 ) Jeśli przyjąć, że niedbalstwo stanowi kryterium przypisania odpowiedzialności.
( 79 ) Zobacz przypis 52 powyżej.
( 80 ) Stanowisko sądu odsyłającego (zob. przypis 51 powyżej). Jego zdaniem udział osoby, której dane dotyczą, żądającej wglądu do jej danych, powinien być bez znaczenia dla celów przypisania odpowiedzialności. Udział ten mógłby natomiast mieć znaczenie dla ustalenia wysokości odszkodowania.
( 81 ) Stanowisko MDK i sądu apelacyjnego (zobacz przypis 52 powyżej). W rzeczywistości można by utrzymywać, że w scenariuszu tym brak jest elementu „szkody”: volenti non fit iniuria.
( 82 ) Punkt 40 postanowienia odsyłającego.
( 83 ) W odróżnieniu od innych dziedzin (na przykład dziedziny odpowiedzialności za wadliwy produkt) wykaz podstaw zwolnienia z odpowiedzialności nie ma w RODO formy wyczerpującego wyliczenia.
( 84 )
( 85 ) Administrator „może być zwolniony z odpowiedzialności w przypadku udowodnienia, że szkoda nie powstała z jego winy, szczególnie wówczas gdy stwierdzi wystąpienie winy po stronie osoby, której dane dotyczą, lub w przypadku siły wyższej”. Podkreślenie moje.
( 86 ) Motyw 118 wniosku Komisji.
( 87 ) Motyw 118 tekstu towarzyszącego rezolucji ustawodawczej Parlamentu z dnia 12 marca 2014 r. w sprawie wniosku Komisji.
( 88 ) Punkty 84 i nast. Przykłady pojawiają się w dokumentach dotyczących negocjacji w Radzie, ale już nie w tekście kompromisowym, dokument nr 9565/15 z dnia 11 czerwca 2015 r.
( 89 ) Odnoszę się w szczególności do dokumentu nr 9083/15, prezydencja do członków WSiSW Grupy Roboczej ds. Ochrony Danych, z dnia 27 maja 2015 r.
( 90 ) Z uwagi na kontekst (powtarzam – szczególną uwagę zwraca się na przypadek wielości podmiotów przetwarzających) słuszne jest wnioskowanie, że jedną z możliwości w tym względzie byłoby udowodnienie przez administratora, iż szkoda wynikła wyłącznie z działania podmiotu przetwarzającego, i odwrotnie w odniesieniu do podmiotu przetwarzającego.
( 91 ) Konsekwencją tą (lub celem) nie jest również siła wyższa, która była drugą podstawą wyraźnie wymienioną w motywie 55 dyrektywy 95/46 (zob. pkt 105 powyżej).
( 92 ) Nie wykluczam oczywiście przypadku udziału osób trzecich. W tym względzie zob. opinia rzecznika generalnego G. Pitruzzelli z dnia 27 kwietnia 2023 r.Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).
( 93 ) W celu rozwiania wątpliwości, które istniały w czasie obowiązywania dyrektywy 95/46, w RODO precyzuje się, że obejmuje ono szkody niemajątkowe. W motywie 146 odniesiono się do „szkody” (w wersji hiszpańskiej – „wszelkich szkód”) i podkreślono, że pojęcie „szkody” należy interpretować szeroko, opierając się na orzecznictwie Trybunału Sprawiedliwości. Dokładny zakres wskazania jest nadal dyskusyjny.
( 94 ) Artykuł 82 RODO nie wskazuje, czy w celu ustalenia wartości szkody należy w każdym przypadku zastosować skale, preferować kwoty ryczałtowe, czy też zastosować inne systemy obliczania.
( 95 ) Czynniki te mogłyby ewentualnie obejmować: a) ten zasugerowany przez sąd odsyłający; b) istnienie winy osoby, której dane dotyczą, na którą MDK powołuje się w pkt 80 swoich uwag; c) inne czynniki, takie jak wprowadzenie pułapów ilościowych odszkodowania, aby nie zniechęcać w nieuzasadniony sposób do operacji przetwarzania danych lub działalności gospodarczej, która od tych operacji zależy.
( 96 ) Punkty 87 i nast. powyżej.
( 97 ) Dyrektywa 95/46 nie przewidywała niczego w tym względzie. Nie znalazłem w pracach przygotowawczych do RODO żadnych wskazówek świadczących o tym, że dyskutowano na temat tej kwestii.
( 98 ) Rozporządzenie Rady (WE) nr 2100/94 z dnia 27 lipca 1994 r. w sprawie wspólnotowego systemu ochrony odmian roślin (Dz.U. 1994, L 227, s. 1), art. 94 ust. 2; lub dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz.U. 2004, L 157, s. 45), art. 13, motyw 26.
( 99 ) Artykuł 83 ust. 2 lit. b) i motyw 148 RODO. W tych ramach kryterium proporcjonalności jest brane pod uwagę nie tylko w odniesieniu do zdarzenia, lecz również w odniesieniu do tego, czy grzywna stanowi nieproporcjonalne obciążenie dla osoby fizycznej. Irlandia proponuje w pkt 54 swoich uwag zastosowanie tego kryterium do odpowiedzialności cywilnej. Również w tym przypadku brakuje argumentu dotyczącego tekstu, aby uznać owo kryterium za integralny element art. 82; nie przemawiają za tym także prace przygotowawcze ani cel przepisu lub jego funkcja w całości.
( 100 ) Skuteczne odszkodowanie musi być w stanie spełnić swoją funkcję ochrony prawa do ochrony danych.
( 101 ) Oba te rodzaje podmiotów ponoszą odpowiedzialność cywilną w rozumieniu przepisów art. 82 ust. 2 i 3 RODO. Odpowiadają one za całość szkody bez względu na stopień ich przyczynienia się do powstania szkody.
( 102 ) Nie wykluczam, że mogą zaistnieć inne okoliczności, które uzasadniałyby obniżenie kwoty: mam na myśli na przykład wyważenie w konkretnych przypadkach prawa do odszkodowania (a poprzez nie – prawa do ochrony danych) z innymi dobrami lub prawami tej samej rangi. W RODO przymiotnik pełne służy również zapewnieniu pokrycia określonego rodzaju szkód (szkód niemajątkowych), zapobieżeniu ograniczeniu odszkodowania do szkód rzeczywistych (musi ono obejmować inne pojęcia, na co Trybunał zwrócił uwagę w innych dziedzinach) oraz zapewnieniu, by wielość podmiotów uczestniczących w przetwarzaniu nie utrudniła dostępu do odszkodowania, lecz przeciwnie.