GDPR Nariadenie

4. 8. 2023

Právo na náhradu škody za porušenie GDPR

Právo na náhradu škody za porušenie GDPR

Cieľom tohto príspevku je priniesť výber niektorých prípadov týkajúcich sa uplatnenia nárokov na náhradu škody v súvislosti s porušením ochrany osobných údajov. Podľa GDPR by mali dotknuté osoby za preukázanie vzniknutej škody obdržať úplnú a účinnú náhradu, avšak rozhodovacia prax príslušných súdov jednotlivých jurisdikcií je rôzna. Vzniká dotknutým osobám právo na náhradu škody za porušenie GDPR od prevádzkovateľa?

Rozhodovacia prax GDPR – Nemecko

V januári 2023 príslušný nemecký súd vo veci Hessisches LAG – 14 Sa 359/22 rozhodol, že porušením povinnosti prevádzkovateľa v súvislosti so žiadosťou dotknutej osoby o uplatnenie práva na prístup môže viesť k uplatneniu práva za škodu podľa čl. 82 GDPR, nakoľko sa týka spracúvania osobných údajov dotknutej osoby, aj keď samotné uplatnenie práva na prístup nie je možné považovať za spracúvanie. Okrem toho podľa právneho názoru príslušného súdu, na uplatnenie práva na náhradu škody – nemajetkovej ujmy –  sa nevyžaduje zohľadnenie určitého stupňa závažnosti danej ujmy.

Predmet sporu

Prevádzkovateľ – zamestnávateľ dotknutej osoby – ukončil s dotknutou osobou pracovný pomer, nakoľko dotknutá osoba deklarovala svoju práceneschopnosť na základe sfalšovaných dokumentov.  Dotknutá osoba si u prevádzkovateľa uplatnila právo na prístup k svojim osobným údajov podľa čl. 15 GDPR, pričom prevádzkovateľ dotknutej osobe požadované podklady a informácie neposkytol.

Dotknutá osoba podala žalobu z dôvodu neplatného skončenia pracovného pomeru a zároveň požadovala náhradu nemajetkovej ujmy podľa čl. 82 GDPR, a to z dôvodu nekonania vo veci žiadosti o prístup k osobným údajom.

Súd prvého stupňa žalobe dotknutej osobe vyhovel vrátane priznania náhrady škody vo výške 1000 € za porušenie čl. 15 GDPR. Prevádzkovateľ proti danému rozhodnutiu podal opravný prostriedok, následne aj dotknutá osoba namietala výšku priznanej náhrady škody. 

Rozhodnutie súdu

Krajský pracovný súd v Hesensku potvrdil, že prevádzkovateľ svojim nekonaním porušil povinnosti podľa čl. 15 GDPR, nakoľko dotknutej osobe neodpovedal na žiadosť o prístup k jej osobným údajom vrátane neposkytnutia prístupu k žiadaným údajom v lehote podľa čl. 12 ods. 3 GDPR.  Podľa názoru príslušného súdu, porušenie uvedenej povinnosti bola založená zodpovednosť za nemajetkovú ujmu, na uplatnenie ktorej sa nevyžaduje preukázanie určitého stupňa závažnosti.

Príslušný odvolací súd v ďalej inštancií zdôraznil, že náhrada škody má okrem kompenzačnej plniť aj preventívnu funkciu, a zároveň zvýšil celkovú sumu nároku na náhradu škodu na 2 000 €.

Rozhodovacia prax GDPR – Veľká Británia

V roku 2022 Vyšší súd v Londýne priznal vo veci Geoffrey Driver v Crown Prosecution Service žalobcovi nárok na náhradu škodu len vo výške 250 £ a to z dôvodu vzniku „miernej ujmy“ z dôvodu porušenia ochrany osobných údajov.

Predmet sporu

Žalobca je známy politik v grófstve Lancashire bol v roku 2014 podozrivý zo spáchania trestného činu korupcie. Jednalo sa o medializovaný prípad pod názvom Operácia Sheridan. V súvislosti s vyšetrovaním daného prípadu bol žalobca v roku 2016 vzatý do väzby a to z dôvodu možného ovplyvňovania priebehu vyšetrovania. Polícia grófstva Lancashire následne postúpila riešenie prípadu vyššej inštancií – prokuratúre za účelom posúdenia obvinenia zo spáchania niekoľkých trestných činov.

Následne v roku 2019 právny zástupca prokuratúry zaslal e-mail osobe, ktorá poskytla informácie o medializovanom prípade v nasl, znení: „spis o obvinení bol postúpený vyšetrovaciemu tímu na ďalšie posúdenie.“ Táto osoba následne zaslala uvedený e-mail s menovaním žalobcu (a so svojimi priloženými komentármi) ďalej bez toho, aby si uvedené príjemcovia tejto správy vôbec všimli.

Na základe uvedeného sa žalobca  pôvodne domáhal náhrady škody vo výške 2 000 £, ktorú podľa jeho tvrdenia utrpel na základe zaslania uvedeného e-mailu. Žalobca namietal porušenie predpisov na úseku ochrany osobných údajov (porušenie súkromia), čím podľa jeho vyjadrenia utrpel značný zásah do súkromia.

Relevantné časti z rozhodnutia súdu

  • uplatnenie nároku na náhradu škody sa riadilo podľa v tom čase platného a účinného zákona o ochrane osobných údajov z roku 1998 (nie GDPR),
  • napriek skutočnosti, že osoba žalobcu nebola v e-mailovej komunikácií priamo menovaná, stále bola nepriamo identifikovateľná (spojenie dotknutej osoby s medializovanou kauzou),
  • prokuratúra nezákonne spracúvala osobné údaje žalobcu, nakoľko právnym základom spracúvania osobných údajov a zaslanie e-mailovej správy  bolo realizované na právnom základe  oprávnený záujem (nesprávny právny základ),
  • súd konštatoval porušenie zákona o ochrane osobných údajov, avšak súd si neosvojil tvrdenia a predložené dôkazy ohľadom značného zásahu do jeho súkromia a priznal žalobcovi náhradu škody vo výške 250 £.

Rozhodovacia prax GDPR – Česká Republika

V roku 2019 podľa serveru fineport  príslušný súd žalobcovi priznal náhradu nemajetkovej ujmy vo výške 10 000 CZK z dôvodu zásahu do jeho práva na súkromie, ktorý súvisel s porušením ochrany osobných údajov týkajúci sa úniku osobných údajov v medializovanom prípade Mall.cz.

Predmet sporu

Jednalo sa o prípad z roku 2017, kedy z dôvodu kybernetického útoku došlo k úniku osobných údajov najmenej 735 956 dotknutých osôb v rozsahu meno, priezvisko, e-mailová adresa, heslo k užívateľskému účtu prípadne telefonický kontakt klientov spoločnosti prevádzkujúcej e-shop Mall.cz (ďalej len „prevádzkovateľ“) a tieto dáta boli po dobu takmer 1 mesiaca dostupné na serveri ulozto.cz.  

Český dozorný orgán vo svojom rozhodnutí z roku 2018 konštatoval porušenie povinnosti prijatia primeraných bezpečnostných opatrení, na základe čoho bola uložená pokuta vo výške 1,5 milión CZK.

Právo na náhradu škody za porušenie GDPR – Právna úprava

Právo na náhradu škody – Nariadenie GDPR 

Na účely čl. 82 GDPR má  každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia GDPR právo na náhradu škody. 

Zodpovednosť za škodu spôsobenú spracúvaním v rozpore s GDPR nesie prevádzkovateľ. V prípade sprostredkovateľa je táto zodpovednosť daná len v tom prípade, ak si sprostredkovateľ nesplnil povinnosť podľa GDPR alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade s legislatívnou na úseku ochrany osobných údajov.

Prevádzkovateľ alebo sprostredkovateľ môže byť zbavený zodpovednosti, ak nie je preukázaná žiadna zodpovednosť, ktorá spôsobila škodu. 

V prípade spracúvania, na ktorom sa zúčastnilo viacero prevádzkovateľov alebo sprostredkovateľov, podľa čl. 82 ods. 4 GDPR,  za celú škodu zodpovedá každý z nich, aby sa dotknutej osobe zabezpečila účinná náhrada.  

V prípade zaplatenia náhrady spôsobenej škody v plnej výške, má prevádzkovateľ alebo sprostredkovateľ právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu (regres).

Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi vo veci uplatnenia náhrady škody a podávajú na príslušné súdy v zmysle čl. 72 ods. 2 GDPR

Právo na náhradu škody – Občiansky zákonník 

Fyzická osoba má podľa § 13 Občianky zákonník (ďalej len „OZ“) právo najmä sa domáhať, aby sa upustilo od neoprávnených zásahov do práva na ochranu jej osobnosti, aby sa odstránili následky týchto zásahov a aby jej bolo dané primerané zadosťučinenie.

Pokiaľ by sa nezdalo postačujúce zadosťučinenie najmä preto, že bola v značnej miere znížená dôstojnosť fyzickej osoby alebo jej vážnosť v spoločnosti, má fyzická osoba tiež právo na náhradu nemajetkovej ujmy v peniazoch.

Výšku náhrady určí súd s prihliadnutím na závažnosť vzniknutej ujmy a na okolnosti, za ktorých k porušeniu práva došlo.

Podľa § 16 OZ, kto neoprávneným zásahom do práva na ochranu osobnosti spôsobí škodu, zodpovedá za ňu podľa ustanovení tohto zákona o zodpovednosti za škodu.

Právo na náhradu škody za porušenie GDPR – Záver

Napriek skutočnosti, že judikatúra iných jurisdikcií nie je pre Slovenskú Republiku záväzná, nižšie uvedené príklady z rozhodovacej praxe poskytujú základný prehľad uplatnených nárokov, podľa typov porušení ochrany osobných údajov. V súvislosti s inštitútom náhrady škody za porušenia GDPR treba však prihliadať na rozhodovaciu prax Súdneho dvora EÚ (napr. prípad vo veci C-300/21 z 04.05.2023 vo veci Österreichische Post AG).

gdpr-poradenstvo-securion

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.