Soudní dvůr EU rozhodne: Kdy vzniká nárok na náhradu nemajetkové újmy vzniklé porušením GDPR?
25. 10. 2021
Co se dá dělat, když vznikne újma způsobená porušením obecného nařízení o ochraně osobních údajů (GDPR)? Rakouský Nejvyšší soud využil příležitosti a předložil Soudnímu dvoru Evropské unie (SDEU) k objasnění jeden z aktuálně nejdiskutovanějších problémů soudních sporů týkajících se GDPR: Kdy má člověk nárok na náhradu nemajetkové újmy v případě porušení GDPR? Tato otázka není v současnosti například v německé judikatuře k článku 82 GDPR řešena jednotně, a proto by měla být z důvodu právní jistoty urychleně vyjasněna. Mimochodem obdobnou otázku přikázal k SDEU poslat i německý Spolkový ústavní soud, který řešil případ nevyžádaného marketingového e-mailu a újmy, která je s obdržením takového e-mailu spojená.
Na začátku byl skandál s ochranou osobních údajů u rakouské poštovní služby.
Není tomu tak dávno, co vyšlo najevo, že Rakouská pošta zpracovávala a prodávala informace o politické příslušnosti všech obyvatel Rakouska, za což obdržela pokutu 18 milionů eur. Jednomu z dotčených lidí tehdy přisoudila „vysokou afinitu“ k FPÖ, extrémně pravicové politické straně. To mu údajně způsobilo psychickou újmu, a proto poštu zažaloval. Požaduje od ní náhradu nemajetkové újmy ve výši 1 000 EUR.
Poté, co Zemský soud ve Vídni a Vrchní zemský soud ve Vídni zamítly žalobu na náhradu škody pro absenci dostatečně podstatné újmy, musel rozhodnout rakouský Nejvyšší soud. Ten ve svém rozhodnutí nejprve analyzoval stav diskuse v judikatuře a právní literatuře – s přihlédnutím k pramenům z Německa. Následně předložil (SDEU) tyto otázky:
- Vyžaduje přiznání náhrady újmy podle čl. 82 odst. 1 GDPR, aby žalobci vznikla újma, nebo postačuje samotné porušení ustanovení GDPR?
- Existují podle práva EU pro stanovení náhrady újmy další požadavky kromě zásad efektivity a rovnosti?
- Je s právem EU slučitelný postoj, podle něhož je podmínkou pro přiznání náhrady nemajetkové újmy existence následku nebo účinku porušení GDPR, který přesahuje pouhou nepříjemnost?
Na první z předložených otázek je snadné odpovědět vzhledem k jasnému znění čl. 82 odst. 1 GDPR („Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“). K nároku na odškodnění tedy zřejmě nestačí samotné porušení. Takový nárok vzniká pouze v případě, že porušením byla způsobena i újma, ať už majetková, nebo nemajetková.
Zajímavější bude odpověď na druhou a třetí otázku, tedy za jakých okolností subjekt údajů vůbec utrpí nemajetkovou újmu, která „zaslouží“ kompenzaci v souladu s GDPR. Stačí údajné, pouze individuálně vnímané nepohodlí, ztráta kontroly nad svými údaji, nebo je vyžadována objektivně pochopitelná újma určité závažnosti? Pokud by byla laťka pro náhradu nemajetkové újmy nastavena příliš nízko, můžeme očekávat vlnu soudních sporů jako při aféře Dieselgate po každém větším úniku dat nebo jiném porušení GDPR?
Rozhodnutí SDEU lze považovat za zájem na jednotném uplatňování práva EU.
Rakouský soud ve svém rozhodnutí dovozuje, že zákonodárce EU pravděpodobně nezamýšlel vytvoření nároku na kompenzace zanedbatelných dopadů na psychiku jednotlivce. Podle něj by takový výklad prakticky vedl ke vzniku tzv. punitive damages, tj. sankčním náhradám, které jsou právu EU obecně cizí. Konečné rozhodnutí ohledně aplikace evropských předpisů nicméně bude na SDEU. Nechme se překvapit, jak tato záležitost dopadne.
Edit. 16. 11. 2021
Britský nejvyšší soud 10. listopadu zablokoval hromadnou žalobu proti společnosti Google. Účastníci žaloby požadovali odškodné 3,2 miliardy liber (94,3 miliardy Kč) za údajně nezákonné sledování osobních údajů z milionů iPhonů, k němuž mělo dojít před zhruba deseti lety. Stěžovatel však dle soudu neprokázal vznik škody, kterou by jednotlivým osobám způsobilo shromažďování údajů.
Celý případ inicioval Richard Lloyd s cílem zahrnout do britského režimu hromadných žalob nárok na odškodnění za zneužití údajů, a to i v případě, kdy nedošlo k žádné zjevné finanční ztrátě nebo újmě. Lloyd tvrdí, že Google v letech 2011 a 2012 získal osobní data více než pěti milionů uživatelů iPhonů bez jejich vědomí. Společnost prý obešla výchozí nastavení ochrany osobních údajů v prohlížeči Safari, sledovala historii prohlížení a získané informace využila ke komerčním účelům.
Mohlo by vás také zajímat:
Rakouský úřad pro ochranu osobních údajů požaduje transparentnost bodování zájemců o úvěr
Německo bere ochranu osobních údajů velmi vážně – možná až příliš?
