Według wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 14 grudnia 2023 r. (sygn. akt C – 340/21), same obawy związane z kradzieżą danych osobowych mogą być podstawą do żądania rekompensaty od administratora.
Sprawa dotyczyła wycieku danych podatników z systemu bułgarskiej krajowej agencji przychodów skarbowych (NAP) w 2019 roku. Hakerzy opublikowali te dane w internecie, dotyczyło to 6 milionów podatników, z których kilkuset wytoczyło NAP powództwa, domagając się odszkodowania za szkody niemajątkowe. W jednym z przypadków kobieta żądała 1000 lewów (około 2,2 tys. zł). Sąd, rozpatrując sprawę, miał wątpliwości co do interpretacji przepisów RODO i skierował pytanie prejudycjalne do TSUE.
W pierwszym pytaniu sąd zastanawiał się, czy sama kradzież danych przez cyberprzestępców świadczy o niewłaściwym zabezpieczeniu danych. TSUE odpowiedział przecząco, podkreślając, że administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo odpowiadające ryzyku. Nawet w przypadku przełamania zabezpieczeń, to niekoniecznie oznacza, że były one niewłaściwe. Jednak TSUE stwierdził, że administrator musi ograniczyć ryzyko wycieku danych, choć nie jest wymagane całkowite wyeliminowanie zagrożenia.
Druga część wyroku jest mniej korzystna dla administratorów, ponieważ stwierdza, że sama obawa przed wykorzystaniem skradzionych danych może być uznana za szkodę niemajątkową, wymagającą naprawienia. To oznacza, że osoba dotknięta wyciekiem danych może żądać zadośćuczynienia nawet jeśli dane nie zostały jeszcze wykorzystane. TSUE opowiada się za szerokim rozumieniem szkody niemajątkowej, wskazując, że art. 82 ust. 1 RODO nie wyklucza sytuacji, w której osoba obawiająca się nadużycia swoich danych osobowych domaga się odszkodowania.
