Trybunał Sprawiedliwości Unii Europejskiej wkrótce odpowie na pytania istotne dla administratorów danych osobowych. Na kanwie sprawy zawisłej przed bułgarskim sądem administracyjnym TSUE będzie rozstrzygać, czy bezprawny dostęp do danych osobowych wskutek ataku hakerskiego prowadzi do odpowiedzialności administratora danych i w konsekwencji do wystąpienia szkody niemajątkowej, za którą może zostać przyznane odszkodowanie.

Dnia 15 lipca 2019 r. bułgarskie media poinformowały, że miał miejsce nieuprawniony dostęp do systemu informacyjnego NAP, czyli bułgarskiej Narodowej Agencji Przychodów. NAP jest wyspecjalizowanym organem państwowym przy ministrze finansów, który zajmuje się przede wszystkim określaniem, zabezpieczaniem i egzekucją wierzytelności publicznych. Oczywiście w toku realizacji funkcji publicznych przetwarza dane osobowe i jednocześnie pełni rolę administratora tych danych w rozumieniu art. 4 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: rodo).

Tło sprawy

Na skutek ataku hakerskiego w internecie opublikowano informacje z bazy danych NAP obejmujące dane osobowe, podatkowe i ubezpieczeniowe. Liczba poszkodowanych to ponad 4 mln bułgarskich obywateli, a łącznie ponad 6 mln osób fizycznych – zarówno bułgarskich obywateli, jak i cudzoziemców. Gdy sprawa ataku wyszła na jaw, setki osób wniosło powództwa przeciwko NAP o zasądzenie odszkodowania za szkody niemajątkowe. Jedną z nich była obywatelka Bułgarii, która 16 września 2019 r. wniosła powództwo przeciwko NAP do Sądu Administracyjnego dla miasta Sofii. Zażądała zasądzenia odszkodowania w wysokości ok. 500 euro, powołując się na art. 82 rodo.

Chociaż dochodzona przez powódkę kwota nie była wysoka, w toku postępowania sądowego postawiła ona NAP poważne zarzuty. Poszkodowana zarzuciła agencji, że nie zrealizowała ciążącego na niej obowiązku w postaci zabezpieczenia systemów informatycznych i nie zapewniła bezpieczeństwa danych osobowych jej jako obywatelki Bułgarii. W ocenie poszkodowanej doszło do naruszenia bezpieczeństwa danych osobowych w rozumieniu art. 4 pkt 12 rodo i niezgodnego z prawem ich ujawnienia.

Obywatelka wskazała także, że w następstwie niewykonania obowiązków przez NAP poniosła szkody niemajątkowe w postaci zmartwień i obaw, że jej dane osobowe mogą być przedmiotem nadużycia w przyszłości. Warto w tym miejscu zaznaczyć, że poszkodowana nie wniosła do NAP o udzielenie informacji, jakie konkretnie dane zostały wykradzione w wyniku ataku. Z drugiej strony nietrudno sobie wyobrazić, że dane osobowe, którymi dysponuje organ finansowej administracji państwowej, mogłyby posłużyć hakerom chociażby do wyłudzenia kredytów na jej nazwisko, sprzedaży jej danych osobowych czy też kradzieży tożsamości. Z perspektywy wartości, jaką w dzisiejszych czasach przedstawiają dane osobowe, zrozumiałe wydają się negatywne odczucia poszkodowanej.

NAP wskazała, że została zaatakowana przez osoby trzecie, które nie są jej urzędnikami – innymi słowy padła ofiarą ataku hakerskiego. Po zaistnieniu niedozwolonego dostępu agencja natychmiast podjęła środki w celu ochrony praw i interesów osób, których potencjalnie mogły dosięgnąć skutki ataku. Zorganizowała spotkania m.in. z ekspertami służb bezpieczeństwa, publikowała na bieżąco w internecie potencjalne skutki ataku dla osób, których dane mogły zostać wykradzione. Co niezwykle istotne, na długo przed atakiem, z uwagi na realizację istotnych obowiązków publicznych, wdrożyła rozwiązania, które miały zapewnić wysoki poziom cyberbezpieczeństwa. W szczególności ustanowiła systemy zarządzania procesami i bezpieczeństwem informacji, zatwierdziła procedury zgodne z międzynarodowymi standardami jakości ISO 9000 i ISO 9001, jak również oświadczyła, że stosuje polityki, reguły, procedury, wskazówki i metodyki zarządzania bezpieczeństwem informacji. Z powyższych względów w ocenie NAP nie powinna ona ponosić odpowiedzialności za spowodowane szkodliwe skutki ataku na swoje systemy informatyczne przez osoby trzecie. Sąd pierwszej instancji przyznał rację agencji i oddalił powództwo.

Bułgarski sąd zauważył, że wyciek danych osobowych nie oznacza, że administrator nie spełnił swoich obowiązków w zakresie stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia ochrony bazy danych. Przyjęcie tego stanowiska wydaje się uzasadnione, gdyż nie jest możliwe zastosowanie rozwiązań, które sprawią, że żadna osoba trzecia, w żaden sposób i za pomocą żadnych środków nie będzie mogła uzyskać dostępu do bazy danych administratora. Ponadto sąd stwierdził, że bazując na zgromadzonym materiale dowodowym, nie można zarzucić administratorowi danych bezczynności, zaś emocjonalny dyskomfort, którego doświadczyła powódka w związku z kradzieżą danych osobowych, nie jest równoznaczny z poniesieniem przez nią faktycznej szkody w rozumieniu ustawowym.

Poszkodowana zaskarżyła orzeczenie do Najwyższego Sądu Administracyjnego w Bułgarii. Sąd drugiej instancji miał w związku z toczącym się sporem różne wątpliwości powstałe na gruncie rozporządzenia rodo. Co więcej, podobne postępowania sądowe przeciwko NAP złożone równolegle przez inne osoby poszkodowane atakiem hakerskim zakończyły się wydaniem sprzecznych orzeczeń w Bułgarii. Powództwa były uwzględniane w całości lub w części, zasądzając odszkodowania na rzecz poszkodowanych, a w innych sprawach – tak jak w omawianym przypadku – były oddalane jako bezpodstawne.

Pięć pytań do TSUE

W tych okolicznościach Najwyższy Sąd Administracyjny uznał za konieczne skierowanie pytań prejudycjalnych do TSUE. Są to pytania prawne zadawane przez sąd krajowy w konkretnej sprawie sądowi wspólnotowemu w niejasnych kwestiach powstałych na tle stosowania prawa wspólnotowego – w tym przypadku wątpliwości dotyczą oczywiście rodo. Bułgarski sąd skierował do TSUE pytania dotyczące następujących kwestii:

1. Czy art. 24 i 32 rodo należy interpretować w ten sposób, że wystarczające jest zrealizowanie nieuprawnionego ujawnienia lub dostępu do danych osobowych przez osoby trzecie, które nie są pod kontrolą administratora danych, aby przyjąć, że zastosowane przez niego środki techniczne i organizacyjne nie są odpowiednie?
2. W jaki sposób sąd powinien oceniać, czy zastosowane przez administratora środki techniczne i organizacyjne, o których mowa w art. 32 rodo, są odpowiednie?
3. Na kim ciąży ciężar dowodu, że zastosowane środki techniczne i organizacyjne są odpowiednie – na administratorze czy na poszkodowanym?
4. Czy nieuprawnione ujawnienie lub dostęp do danych osobowych poprzez atak hakerski jest zdarzeniem, za które administrator w żaden sposób nie ponosi winy, i jest podstawą do zwolnienia go z odpowiedzialności?
5. Czy negatywne przeżycia osoby poszkodowanej (której dane dotyczą) na skutek ataku hakerskiego w postaci strachu przed ewentualnym przyszłym nadużyciem danych osobowych, lecz bez zaistnienia takiego nadużycia lub wyrządzenia innej szkody takiej osobie, stanowią podstawę do zasądzenia odszkodowania?

Przywołane pytania dotyczą zatem jednej kwestii: warunków przyznania odszkodowania za szkodę niemajątkową osobie, której dane osobowe, będące w posiadaniu organu publicznego, zostały opublikowane w internecie w wyniku ataku hakerskiego. TSUE będzie musiał udzielić odpowiedzi, które są istotne co najmniej z kilku względów. Po pierwsze, będą kluczowe dla wyniku sprawy Bułgarki poszkodowanej atakiem hakerskim (jej pozew został w pierwszej instancji oddalony). Po drugie, wynik sprawy będzie niezwykle ważny dla przeszło 6 mln osób, które zostały dotknięte atakiem cybernetycznym na NAP, gdyż orzeczenie będzie rzutować na możliwość dochodzenia odszkodowania w analogicznych postępowaniach. Ostatecznie wynik sprawy będzie stanowić punkt odniesienia dla wielu podobnych sytuacji. Na kanwie tej sprawy dowiemy się wkrótce, w jaki sposób należy oceniać, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne mające zapobiec naruszeniu danych osobowych, a także jaki jest zakres jego odpowiedzialności w takim wypadku.

Na ostateczną odpowiedź TSUE będziemy musieli jeszcze poczekać, lecz już dziś na kanwie przepisów rodo warto się zastanowić, jakich odpowiedzi można się spodziewać. Należy wziąć pod uwagę przede wszystkim wydaną w tej sprawie w kwietniu 2023 r. opinię rzecznika generalnego TSUE. Jego zadaniem jest przedstawianie niezależnej i obiektywnej opinii prawnej w sprawie, która będzie rozpatrywana. W wielu przypadkach opinie wydane przez rzeczników generalnych są zbieżne z treścią orzeczeń TSUE.

Sporne podstawy

Nim zastanowimy się, jakich odpowiedzi może udzielić TSUE, przywołamy przepisy rodo, które będą kluczowe w kontekście tego sporu. TSUE z pewnością będzie musiał uwzględnić treść art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rodo. Pierwszy z nich wskazuje, że dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Przepis ten wyraża zatem m.in. ciążący na administratorze obowiązek zachowania integralności i poufności w odniesieniu do danych osobowych. W ust. 2 przywołanej regulacji zawarto regułę rozliczalności, czyli obowiązku wykazywania przez administratora, że przestrzega zasad przetwarzania danych.

Następnymi regulacjami, nad którymi będzie musiał się pochylić TSUE, są art. 24 i 32 rodo. Art. 24 ust. 1 rodo nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami rodo. Adresatem obowiązków wynikających z tej regulacji jest wyłącznie administrator. Art. 24 ust. 1 rodo stanowi m.in. emanację jednej z podstawowych reguł przetwarzania danych – przywołanej zasady integralności i poufności. Środki powinny zostać wdrożone z uwzględnieniem: charakteru, zakresu, kontekstu i celów przetwarzania, jak również ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Środki techniczne i organizacyjne, o których mowa w art. 24 ust. 1 rodo, mogą obejmować wdrożenie przez administratora m.in. odpowiednich polityk ochrony danych.

Art. 32 ust. 1 rodo wskazuje przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu celu, jakim jest zapewnienie stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności:

• pseudonimizacja i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ostatni przepis mający kluczowe znaczenie dla rozstrzygnięcia sprawy przed bułgarskim sądem to art. 82 rodo, który określa zasady odpowiedzialności odszkodowawczej administratora (lub podmiotu przetwarzającego) za poniesioną przez osobę, której dane dotyczą, szkodę majątkową lub niemajątkową w związku z naruszeniem przepisów rodo. Zgodnie z tym przepisem każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rodo, ma prawo uzyskać od administratora (lub podmiotu przetwarzającego) odszkodowanie. Co jednak niezwykle istotne w kontekście opisywanej sprawy, art. 82 ust. 3 rodo przewiduje możliwość wyłączenia odpowiedzialności administratora. Przesłanką jej wyłączenia jest brak zawinienia po stronie administratora. Przepis wskazuje, że administrator musi udowodnić, że nie ponosi winy za zaistniałe zdarzenie.

Opinia rzecznika generalnego

Jak już wspomniano, w zakresie pytań prejudycjalnych wypowiedział się rzecznik generalny TSUE i można z dużą dozą prawdopodobieństwa przyjąć, że wydana przez niego opinia będzie zbieżna z orzeczeniem TSUE.

Pierwsze z pytań prejudycjalnych zmierza zasadniczo do ustalenia, czy art. 24 i 32 rodo należy interpretować w ten sposób, że wystąpienie naruszenia danych osobowych jest wystarczające samo w sobie do stwierdzenia, że wdrożone przez administratora środki techniczne i organizacyjne nie były odpowiednie w celu zapewnienia ochrony danych. Administrator dokonując wyboru środków technicznych i organizacyjnych, musi wziąć pod uwagę okoliczności wymienione w przywołanych powyżej artykułach. Ma pewną swobodę, jeśli chodzi o określenie najbardziej odpowiednich środków w świetle jego konkretnej sytuacji, tym bardziej że rodo nie daje jednoznacznych podpowiedzi, jakie środki powinny być stosowane w celu zapewnienia odpowiedniego poziomu ochrony. Wybór będzie zatem w praktyce podlegać kontroli dopiero na etapie ewentualnego postępowania sądowego lub innych upoważnionych organów państwa.

Bezsprzeczne jest jednak, że w odniesieniu do środków bezpieczeństwa nakłada się na administratora obowiązek uwzględnienia „stanu wiedzy technicznej” przy doborze rozwiązań. Oznacza to ograniczenie poziomu technologicznego wdrażanych środków do tego, co jest racjonalnie możliwe w chwili przyjęcia środków. Przyjęte rozwiązania powinny zatem odpowiadać temu, co oferuje obecny stan zaawansowania nauki, techniki oraz technologii. Należy także brać pod uwagę koszty wdrożenia tych środków, co oznacza, że niezbędne jest wyważenie interesów osób, których dane dotyczą oraz możliwości finansowych i organizacyjnych administratora danych osobowych.

Nie sposób także oczekiwać od administratorów wdrażania środków, które zapobiegałyby wszystkim atakom cybernetycznym. Rozwiązania mogą być odpowiednie w danym momencie, a mimo to obchodzone przez cyberprzestępców stosujących bardzo zaawansowane narzędzia, pomimo że zastosowane środki odpowiadały najwyższym standardom w chwili wdrożenia. Oczywiście przyjęte rozwiązania powinny podlegać regularnej aktualizacji, lecz nielogiczne byłoby przyjęcie, że obowiązkiem administratora jest zapobieganie wszelkim naruszeniom danych osobowych, niezależnie od poziomu i jakości wdrożonych narzędzi technicznych.

Wydaje się zatem, że wystąpienie naruszenia ochrony danych osobowych nie powinno być samo w sobie wystarczające do stwierdzenia, że wdrożone przez administratora środki techniczne i organizacyjne nie były odpowiednie.

Drugie z pytań do TSUE zmierza zasadniczo do ustalenia, jaki powinien być zakres kontroli sądowej podczas badania, czy wdrożone przez administratora danych osobowych środki techniczne i organizacyjne są odpowiednie w rozumieniu rodo. Wydaje się, że dany sąd rozpatrujący sprawę musi przeprowadzić kontrolę w odniesieniu do danego przypadku, pozwalającą na analizę zarówno rodzaju tych środków, jak i sposobu ich wdrożenia. Sądy powinny zatem badać, czy konkretne środki były odpowiednie, aby zapobiec w racjonalny sposób ryzyku i zminimalizować negatywne skutki naruszenia. Rzecz jasna ocena ta będzie musiała być prowadzona przy uwzględnieniu wymogów, jakie stawia administratorom danych osobowych art. 24 i 32 rodo.

Na trzecie pytanie można udzielić zwięzłej odpowiedzi – w sprawach o odszkodowanie na podstawie art. 82 rodo to na administratorze danych osobowych spoczywa ciężar udowodnienia, że środki, które wdrożył, są odpowiednie w rozumieniu art. 24 i 32 rodo. Rozkład ciężaru dowodowego można w tym wypadku wywieść z wielu przepisów unijnego rozporządzenia, lecz w każdym wypadku to obowiązkiem administratora jest wykazanie, że spełnił on ciążące na nim obowiązki.

Co do czwartego pytania należałoby przyjąć, że administrator może zostać zwolniony z odpowiedzialności za atak hakerski poprzez wykazanie, że naruszenie nastąpiło z przyczyny, za którą w żaden sposób nie ponosi on winy, a sam fakt, iż zostało spowodowane przez osobę niepodlegającą jego kontroli, nie powinien zostać za taką przyczynę uznany. Innymi słowy niedopuszczalne wydaje się przyjęcie automatyzmu, który prowadziłby do zwolnienia administratora z odpowiedzialności za każdy przypadek zewnętrznego ataku cybernetycznego na jego organizację. Gdyby przyjąć takie założenie, administratorzy danych odpowiadaliby wyłącznie za wewnętrzne przypadki naruszenia danych osobowych, tj. te, których dokonały osoby pozostające pod kontrolą administratora.

W praktyce szkoda wynikająca z ataku hakerskiego może być de facto następstwem braku przyjęcia przez administratora racjonalnych i odpowiednich do rodzaju przetwarzanych danych środków technicznych i organizacyjnych. Administrator w celu zwolnienia się z odpowiedzialności za atak cybernetyczny powinien wykazać, że uczynił wszystko, co możliwe, aby odpowiednio zabezpieczyć dane osobowe, a następnie niezwłocznie przywrócić dostępność do danych. Musi więc udowodnić, że pomimo przyjęcia najbardziej odpowiednich środków bezpieczeństwa nie był w stanie zapobiec naruszeniu danych.

Ostatnie z przedstawionych pytań w gruncie rzeczy sprowadza się do zdefiniowania pojęcia szkody niematerialnej i oceny, czy same negatywne odczucia związane z udostępnieniem danych osobowych poszkodowanej osoby zasługują na przyznanie jej z tego tytułu odszkodowania. Bazując również na polskim orzecznictwie, należy stwierdzić, że nie można mylić przypadków rzeczywistej krzywdy emocjonalnej ze zwykłymi niedogodnościami. Podsumowując, realna obawa przed potencjalnym nieuczciwym wykorzystaniem danych osobowych w przyszłości może stanowić szkodę niemajątkową uprawniającą do odszkodowania, pod warunkiem że osoba, której dane dotyczą, wykaże, że poniosła rzeczywistą i pewną szkodę emocjonalną, a nie jedynie hipotetyczną i zwykłą niedogodność.

Czekając na orzeczenie

Orzeczenie, które zapadnie w tej sprawie, będzie mieć istotne i praktyczne znaczenie dla administratorów danych osobowych. Opinia rzecznika generalnego z jednej strony potwierdza, że sam fakt zaistnienia incydentu nie jest dowodem na niewłaściwe zabezpieczenie systemu informatycznego i wadliwą ochronę danych. Z drugiej strony pokazuje, że to na administratorze ciąży obowiązek wykazania, że nie ponosi on żadnej winy za zdarzenie, a ponadto powinien on zapewniać adekwatność stosowanych przez siebie zabezpieczeń, jak również regularnie badać, czy są one aktualne w odniesieniu do obecnych standardów.

Autorzy

Paweł Dymek

radca prawny w kancelarii Głowacki i Wspólnicy. Specjalizuje się w zakresie prawa gospodarczego, prawa nowych technologii oraz ochrony danych osobowych.

Katarzyna Giel

radca prawny, zajmuje się kompleksową obsługą podmiotów gospodarczych. Wspiera przedsiębiorców w tematyce e-commerce.