Trybunał Sprawiedliwości Unii Europejskiej rozstrzygnął, czy bezprawny dostęp do danych osobowych wskutek ataku hakerskiego prowadzi do odpowiedzialności administratora danych i do szkody niemajątkowej, za którą może zostać przyznane odszkodowanie.

Dnia 15 lipca 2019 r. bułgarskie media poinformowały o nieuprawnionym dostępie do systemu informacyjnego NAP, czyli bułgarskiej Narodowej Agencji Przychodów. To wyspecjalizowany organ państwowy funkcjonujący przy ministrze finansów, który zajmuje się przede wszystkim określaniem, zabezpieczaniem i egzekucją wierzytelności publicznych. Oczywiście w toku realizacji funkcji publicznych przetwarza dane osobowe i jednocześnie pełni rolę administratora tych danych w rozumieniu art. 4 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4.05.2016; dalej: rodo).

Tło sprawy

Na skutek ataku hakerskiego w internecie opublikowano informacje z bazy danych NAP obejmujące dane osobowe, podatkowe i ubezpieczeniowe. Liczba poszkodowanych to ponad 4 mln bułgarskich obywateli, a łącznie ponad 6 mln osób fizycznych – zarówno bułgarskich obywateli, jak i cudzoziemców. Gdy tylko sprawa ataku wyszła na jaw, setki osób wniosło powództwa przeciwko NAP o zasądzenie odszkodowania za szkody niemajątkowe. Jedną z tych osób była obywatelka Bułgarii, która 16 września 2019 r. wniosła powództwo przeciwko NAP do sądu administracyjnego dla miasta Sofii. Zażądała zasądzenia odszkodowania w wysokości ok. 500 euro, powołując się na art. 82 rodo.

Chociaż dochodzona przez powódkę kwota nie była wysoka, w toku postępowania sądowego postawiła ona NAP poważne zarzuty. Poszkodowana zarzuciła agencji, że nie zrealizowała ciążącego na niej obowiązku w postaci zabezpieczenia systemów informatycznych i nie zapewniła w skuteczny sposób bezpieczeństwa jej – jako obywatelki Bułgarii – danych osobowych. W związku z powyższym w ocenie poszkodowanej doszło do naruszenia bezpieczeństwa danych osobowych w rozumieniu art. 4 pkt 12 rodo i ich niezgodnego z prawem ujawnienia.

Obywatelka wskazała także, że w następstwie niewykonania obowiązków przez NAP poniosła szkody niemajątkowe w postaci zmartwień i obaw, że jej dane osobowe mogą być przedmiotem nadużycia w przyszłości. Warto w tym miejscu zaznaczyć, że poszkodowana nie wniosła do NAP o udzielenie informacji, jakie konkretnie dane osobowe zostały wykradzione w wyniku ataku. Jednocześnie nietrudno sobie wyobrazić, że informacje, którymi dysponuje organ finansowej administracji państwowej, mogłyby posłużyć hakerom chociażby do wyłudzenia kredytów na jej nazwisko, sprzedaży jej danych osobowych czy też kradzieży tożsamości. Biorąc pod uwagę to, jak wartościowe w dzisiejszych czasach są dane osobowe, negatywne odczucia poszkodowanej wydają się zrozumiałe.

NAP wskazała, że została zaatakowana przez osoby trzecie, które nie są jej urzędnikami – innymi słowy padła ofiarą ataku hakerskiego. Po wystąpieniu incydentu agencja natychmiast podjęła środki w celu ochrony praw i interesów osób, których potencjalnie mogły dosięgnąć skutki ataku. Zorganizowała spotkania m.in. z ekspertami służb bezpieczeństwa, publikowała na bieżąco w internecie potencjalne skutki ataku dla osób, których dane osobowe mogły zostać wykradzione. Co niezwykle istotne, na długo przed atakiem, z uwagi na realizację istotnych obowiązków publicznych, wdrożyła rozwiązania, które miały zapewnić wysoki poziom cyberbezpieczeństwa. W szczególności ustanowiła systemy zarządzania procesami i bezpieczeństwem informacji, zatwierdziła procedury zgodne z międzynarodowymi standardami jakości ISO 9000 i ISO 9001, jak również oświadczyła, że stosuje polityki, reguły, procedury, wskazówki i metodyki zarządzania bezpieczeństwem informacji. Z powyższych względów w ocenie NAP nie powinna ponosić odpowiedzialności za spowodowane przez osoby trzecie szkodliwe skutki ataku na jej systemy informatyczne. Sąd pierwszej instancji przyznał rację agencji i oddalił powództwo.

Bułgarski sąd zauważył, że wyciek danych osobowych nie oznacza, iż administrator nie spełnił swoich obowiązków w zakresie stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony bazy danych. Przyjęcie tego stanowiska wydaje się być uzasadnione, gdyż nie jest możliwe zastosowanie rozwiązań, które sprawią, że żadna osoba trzecia, w żaden sposób i za pomocą żadnych środków nie będzie mogła uzyskać dostępu do bazy danych administratora. Ponadto sąd stwierdził, że bazując na zgromadzonym materiale dowodowym, nie można zarzucić administratorowi danych bezczynności, zaś emocjonalny dyskomfort, którego doświadczyła powódka w związku z kradzieżą danych osobowych, nie jest równoznaczny z poniesieniem przez nią faktycznej szkody w rozumieniu ustawowym.

Poszkodowana zaskarżyła orzeczenie do najwyższego sądu administracyjnego w Bułgarii. Sąd drugiej instancji miał w związku z toczącym się sporem różne wątpliwości powstałe na gruncie rozporządzenia rodo. Co więcej, podobne postępowania sądowe przeciwko NAP składane równolegle przez inne poszkodowane osoby kończyły się wydawaniem sprzecznych orzeczeń. Powództwa były uwzględniane w całości lub w części, z zasądzeniem odszkodowania na rzecz poszkodowanych, a w innych sprawach – tak jak w omawianym przypadku – były oddalane jako bezpodstawne.

Pięć pytań do TSUE

W tych okolicznościach najwyższy sąd administracyjny uznał za konieczne skierowanie pytań prejudycjalnych do Trybunału Sprawiedliwości Unii Europejskiej (dalej: TSUE). Są to pytania prawne, które w konkretnej sprawie, niejasnej na tle stosowania prawa wspólnotowego, sąd krajowy zadaje sądowi wspólnotowemu. W tym przypadku wątpliwości dotyczyły oczywiście rodo – konkretnie warunków przyznania odszkodowania za szkodę niemajątkową osobie, której dane osobowe, będące w posiadaniu organu publicznego, zostały opublikowane w internecie w wyniku ataku hakerskiego.

Rozstrzygnięcie niniejszej sprawy przez TSUE jest istotne co najmniej z kilku względów. Po pierwsze, jest ono kluczowe dla wyniku sprawy Bułgarki poszkodowanej w wyniku ataku hakerskiego (jej pozew został w pierwszej instancji oddalony). Po drugie, wynik sprawy jest niezwykle ważny dla przeszło 6 mln osób, które zostały dotknięte atakiem cybernetycznym na NAP – jako że orzeczenie rzutuje na możliwość dochodzenia odszkodowania w analogicznych postępowaniach. Ostatecznie wynik sprawy jest punktem odniesienia dla wielu podobnych sytuacji. Kierunek wyznaczony przez TSUE pokazuje również, w jaki sposób należy oceniać, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne mające zapobiec naruszeniu danych osobowych, a także jaki jest zakres jego odpowiedzialności w takim wypadku. Trybunał wydał orzeczenie 14 grudnia 2023 r.

Sporne podstawy

Przed omówieniem rozstrzygnięcia TSUE warto przywołać przepisy rodo, które są kluczowe w kontekście tego sporu. Po pierwsze, TSUE musiał uwzględnić treść art. 5 ust. 1 lit. f oraz art. 5 ust. 2 rodo. Pierwszy z nich wskazuje, że dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Przepis ten wyraża zatem m.in. ciążący na administratorze obowiązek zachowania integralności i poufności w odniesieniu do danych osobowych. W ust. 2 przywołanej regulacji zawarto regułę rozliczalności, czyli obowiązku wykazywania przez administratora, że przestrzega zasad przetwarzania danych.

Następnymi regulacjami, nad którymi musiał się pochylić TSUE, są art. 24 i 32 rodo. Art. 24 ust. 1 nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami rodo. Adresatem obowiązków wynikających z tej regulacji jest wyłącznie administrator. Art. 24 ust. 1 rodo stanowi m.in. emanację jednej z podstawowych zasad przetwarzania danych – przywołanej zasady integralności i poufności. Środki powinny zostać wdrożone z uwzględnieniem: charakteru, zakresu, kontekstu i celów przetwarzania, jak również ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Środki techniczne i organizacyjne, o których mowa w art. 24 ust. 1 rodo, mogą obejmować wdrożenie przez administratora m.in. odpowiednich polityk ochrony danych.

Art. 32 ust. 1 rodo wskazuje przykładowe środki techniczne i organizacyjne, które mogą służyć zapewnieniu odpowiedniego stopnia bezpieczeństwa. Zasadniczo powinny one odpowiadać ryzyku naruszenia praw lub wolności osób fizycznych.

Ostatni przepis mający kluczowe znaczenie dla rozstrzygnięcia sprawy przed bułgarskim sądem to art. 82 rodo. Zgodnie z nim każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rodo, ma prawo uzyskać od administratora (lub podmiotu przetwarzającego) odszkodowanie. Co jednak niezwykle istotne w kontekście opisywanej sprawy, art. 82 ust. 3 rodo przewiduje możliwość wyłączenia odpowiedzialności administratora lub podmiotu przetwarzającego. Muszą oni jednak udowodnić, że w żaden sposób nie ponoszą winy za zaistniałe zdarzenie.

Rozstrzygnięcie TSUE

W zakresie pytań prejudycjalnych w pierwszej kolejności wypowiedział się rzecznik generalny TSUE. Jego zadaniem jest przedstawianie niezależnej i obiektywnej opinii prawnej w sprawie, która będzie rozpatrywana. W wielu przypadkach opinie wydane przez rzeczników generalnych są zbieżne z treścią orzeczeń TSUE. Co do zasady było tak również w niniejszej sprawie, gdyż zarówno rzecznik generalny TSUE, jak i samo TSUE w uzasadnieniu orzeczenia byli zgodni w kluczowych dla tej sprawy wnioskach.

Pierwsze z pytań prejudycjalnych zasadniczo miało na celu ustalenie, czy art. 24 i 32 rodo należy interpretować w ten sposób, że naruszenie danych osobowych jest wystarczające samo w sobie do stwierdzenia, iż wdrożone przez administratora środki techniczne i organizacyjne nie były odpowiednie, by zapewnić ochronę danych. Należy zwrócić uwagę, że administrator dokonując wyboru środków technicznych i organizacyjnych, musi wziąć pod uwagę szereg czynników wymienionych w przywołanych powyżej przepisach. Ma rzecz jasna pewną swobodę, jeśli chodzi o określenie najbardziej odpowiednich środków w świetle jego konkretnej sytuacji, tym bardziej że rodo nie daje jednoznacznych podpowiedzi, jakie środki powinny być stosowane, by zapewnić odpowiedni poziom ochrony. Wybór będzie zatem w praktyce podlegać kontroli dopiero na etapie ewentualnego postępowania prowadzonego przez sąd lub inne upoważnione organy państwa.

Bezsprzeczne jest jednak, że w odniesieniu do środków bezpieczeństwa nakłada się na administratora obowiązek uwzględnienia stanu wiedzy technicznej przy doborze rozwiązań. Oznacza to ograniczenie poziomu technologicznego wdrażanych środków do tego, co jest racjonalnie możliwe w chwili przyjęcia środków. Zastosowane rozwiązania powinny zatem odpowiadać temu, co jest możliwe przy obecnym stanie zaawansowania nauki, techniki oraz technologii. Co więcej, należy również brać pod uwagę koszty wdrożenia tych środków, co oznacza, że trzeba wyważyć interesy osób, których dane dotyczą, oraz możliwości finansowe i organizacyjne administratora danych osobowych.

Nie sposób także oczekiwać od administratorów wdrażania środków, które zapobiegałyby wszystkim atakom cybernetycznym. Rozwiązania mogą być odpowiednie w danym momencie, a mimo to obchodzone przez cyberprzestępców stosujących bardzo zaawansowane narzędzia, choć zastosowane w chwili wdrożenia środki odpowiadały najwyższym standardom. Oczywiście przyjęte rozwiązania powinny być regularnie aktualizowane, lecz nielogiczne byłoby założenie, że obowiązkiem administratora jest zapobieganie wszelkim naruszeniom danych osobowych, niezależnie od poziomu i jakości wdrożonych narzędzi technicznych.

Mając powyższe na uwadze, TSUE zawarł w wyroku wniosek, że naruszenie ochrony danych osobowych (w tym nieuprawnione ich ujawnienie lub nieuprawniony dostęp) nie powinno być samo w sobie wystarczające do stwierdzenia, iż wdrożone przez administratora środki techniczne i organizacyjne nie były odpowiednie.

Drugie z pytań do TSUE zmierzało zasadniczo do ustalenia, jaki powinien być zakres kontroli sądowej podczas badania, czy wdrożone przez administratora danych osobowych środki techniczne i organizacyjne są odpowiednie w rozumieniu rodo. TSUE odpowiadając na to pytanie, wskazał, że rozpatrujący sprawę sąd musi przeprowadzić kontrolę w odniesieniu do konkretnego przypadku, co pozwoli na analizę zarówno rodzaju tych środków, jak i sposobu ich wdrożenia. Sądy powinny zatem badać w tego rodzaju sprawach, czy konkretne środki były odpowiednie, aby w racjonalny sposób zapobiec ryzyku i zminimalizować negatywne skutki naruszenia. Rzecz jasna ocena ta będzie musiała być prowadzona przy uwzględnieniu wymogów, jakie stawiają administratorom danych osobowych art. 24 i 32 rodo.

Na trzecie pytanie TSUE udzielił zwięzłej odpowiedzi – w sprawach o odszkodowanie na podstawie art. 82 rodo to na administratorze danych osobowych spoczywa ciężar udowodnienia, że środki, które wdrożył, są odpowiednie w rozumieniu art. 24 i 32 rodo. Rozkład ciężaru dowodowego można w tym wypadku wywieść z wielu przepisów unijnego rozporządzenia, lecz w każdej tego typu sytuacji to administrator musi wykazać, że spełnił swoje wynikające z rodo obowiązki.

Co do czwartego pytania TSUE przyjął, że administrator może zostać zwolniony z odpowiedzialności za atak hakerski, jeśli wykaże, że naruszenie nastąpiło z przyczyny, za którą w żaden sposób nie ponosi winy, a sam fakt, iż zostało spowodowane przez osobę niepodlegającą jego kontroli, nie powinien zostać za taką przyczynę uznany. Innymi słowy niedopuszczalne jest przyjęcie automatyzmu, który prowadziłby do zwolnienia administratora z odpowiedzialności za każdy przypadek zewnętrznego ataku cybernetycznego na jego organizację. Przy takim założeniu administratorzy danych osobowych odpowiadaliby wyłącznie za wewnętrzne przypadki naruszenia danych osobowych, tj. te, których dokonały osoby pozostające pod kontrolą administratora.

W praktyce szkoda wynikająca z ataku hakerskiego może być de facto następstwem braku przyjęcia przez administratora racjonalnych i odpowiednich do rodzaju przetwarzanych danych środków technicznych i organizacyjnych. Administrator w celu zwolnienia się z odpowiedzialności za atak cybernetyczny powinien wykazać, że uczynił wszystko, co możliwe, aby odpowiednio zabezpieczyć dane osobowe, a następnie niezwłocznie przywrócić dostępność do danych osobowych. Musi więc udowodnić, że pomimo przyjęcia najbardziej odpowiednich środków bezpieczeństwa nie był w stanie zapobiec naruszeniu danych. Jeżeli, tak jak w analizowanym przypadku, naruszenia ochrony danych osobowych dopuścili się cyberprzestępcy, a zatem osoby trzecie, za naruszenie to administrator nie ponosi winy – chyba że umożliwił skuteczne przeprowadzenie takiego ataku, nie dopełniając obowiązków przewidzianych w rodo, a w szczególności obowiązków ochrony danych wynikających z art. 5, 24 i 32 rodo.

Wreszcie odpowiadając na ostatnie z przedstawionych pytań, należy zauważyć, że w gruncie rzeczy sprowadza się ono do zdefiniowania pojęcia szkody niematerialnej i oceny, czy same negatywne odczucia związane z udostępnieniem danych osobowych poszkodowanej osoby zasługują na przyznanie jej z tego tytułu odszkodowania. TSUE w pierwszej kolejności wskazał, że obawa przed wykorzystaniem przez osoby trzecie danych osobowych w nieuczciwy sposób może sama w sobie stanowić szkodę niemajątkową w rozumieniu rodo. Jednocześnie osoba dotknięta negatywnymi skutkami takiego zdarzenia powinna wykazać, że obawa przed nieuczciwym wykorzystaniem jej danych jest realna i tym samym wyrządziła jej rzeczywistą szkodę emocjonalną. Nie można mylić przypadków rzeczywistej krzywdy emocjonalnej ze zwykłymi niedogodnościami. Podsumowując, realna obawa przed potencjalnym nieuczciwym wykorzystaniem danych osobowych w przyszłości może być szkodą niemajątkową uprawniającą do odszkodowania pod warunkiem, że osoba, której dane dotyczą, wykaże, iż poniosła rzeczywistą i pewną szkodę emocjonalną, a nie jedynie hipotetyczną i zwykłą niedogodność.

Wnioski po wyroku

Orzeczenie wydane w tej sprawie ma istotne i praktyczne znaczenie dla administratorów danych osobowych. Wyrok z jednej strony potwierdza, że sam fakt zaistnienia incydentu nie jest dowodem na niewłaściwe zabezpieczenie systemu informatycznego i wadliwą ochronę danych. Z drugiej – pokazuje, że to na administratorze ciąży obowiązek wykazania, iż nie ponosi żadnej winy za zdarzenie, a ponadto powinien on zapewniać adekwatność stosowanych przez siebie zabezpieczeń, jak również regularnie badać, czy są one aktualne w odniesieniu do obecnych standardów.

Autorzy

Paweł Dymek

radca prawny w kancelarii Głowacki i Wspólnicy, specjalizuje się w zakresie prawa gospodarczego, prawa nowych technologii oraz ochrony danych osobowych

Katarzyna Giel

radca prawny, zajmuje się kompleksową obsługą podmiotów gospodarczych, wspiera przedsiębiorców w tematyce e-commerce