Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał niedawno wyrok, który istotnie ogranicza odpowiedzialność administratorów danych za naruszenie Ogólnego Rozporządzenia o Ochronie Danych (RODO). Wyrok ten stanowi, że sam fakt utraty kontroli nad danymi osobowymi nie musi prowadzić do wypłaty odszkodowania, pod warunkiem, że żadna osoba trzecia nie miała dostępu do tych informacji.
Zgodnie z interpretacją TSUE, odszkodowanie nie jest wymagane, jeśli obawy osoby, której dane zostały skompromitowane, dotyczące potencjalnego bezprawnego wykorzystania tych danych, są jedynie teoretyczne. Innymi słowy, jeśli nie ma dowodów na to, że ktoś miał możliwość zapoznania się z danymi, nie ma podstaw do wypłaty odszkodowania.
Adwokat dr Paweł Litwiński z kancelarii Barta i Litwiński wyjaśnia, że ten wyrok ma praktyczne znaczenie i zmienia dotychczasowe podejście do sytuacji naruszenia poufności danych. Na przykład, jeśli dokumenty zawierające dane osobowe zostały wysłane niewłaściwej osobie, często praktykowane jest uzyskanie od tej osoby oświadczenia o niewglądaniu w dane i ich usunięciu. Dotychczas takie działanie było traktowane jako mało istotne. Wyrok TSUE nie zmienia tego w kontekście naruszenia jako takiego, ale wprowadza znaczącą zmianę w kwestii jego konsekwencji: jeśli udowodnimy, że mimo naruszenia nikt nie zapoznał się z danymi, odszkodowanie nie jest wymagane.