Istina je i činjenica....
Članak 82. GDPR-a ispitanicima daje pravo da traže naknadu materijalne i nematerijalne štete pretrpljene kao posljedica kršenja GDPR-a, međutim pogledajmo što to znači u praksi.
O ovoj temi pisali smo i ranije: Važna presuda Suda Europske unije - pravo na odštetu prema Općoj uredbi za zaštitu podataka (C-300/21) te Odbijen zahtjev za nematerijalnom štetom.
Sljedećih pet slučajeva značajno je utjecalo na tumačenje nematerijalne štete:
Slučaj C-300/2021 Österreichische Post istaknuo je tri kumulativna kriterija za naknadu koja se plaća za nematerijalnu štetu koju su pretrpjeli ispitanici: (1) kršenje GDPR-a, (2) pretrpljena šteta i (3) uzročna veza koja zahtijeva štetu koja je nastala kršenjem. Važno je naglasiti da je Sud Europske unije odbacio ideju da šteta mora doseći ili premašiti prag ozbiljnosti. Umjesto toga, CJEU je naglasio da svaka nematerijalna šteta, kada se dokaže, opravdava moguću naknadu.
U predmetu C-340/2021, CJEU je značajno proširio opseg "nematerijalne štete" prema GDPR-u, jer je smatrao da se strah od moguće buduće zlouporabe osobnih podataka može kvalificirati kao nadoknadiva šteta. Daljnje razrađujući slučaj Österreichische Post, CJEU je primijetio da tekst GDPR-a ne isključuje izričito strah od buduće zlouporabe osobnih podataka. Ipak, ispitanici koji traže takvu nematerijalnu štetu moraju potkrijepiti svoje tvrdnje dokazujući da je njihov strah utemeljen, na temelju specifičnosti slučaja i prirode podataka o kojima se radi.
U predmetu C-456/22 VX, AT protiv Gemeinde Ummendorf, CJEU je primijetio da je konceptu „nematerijalne štete” unutar članka 82. stavka 1. GDPR-a dana definicija koja je specifična za pravo EU-a i neovisna o nacionalnim zakonodavstvima članica. Time se po mišljenju suda osigurava dosljedna primjena GDPR-a u cijeloj EU i naglašava da nematerijalna šteta ne zahtijeva uvijek postizanje određene razine ozbiljnosti da bi bila nadoknadiva, jer bi takva praksa bila nekompatibilna s ciljem GDPR-a da se ispitancima pruži visoka razina zaštite u vezi s obradom osobnih podataka, jer bi to moglo narušiti jedinstvenost i učinkovitost ove zaštite. Unatoč odbijanju utvrđivanja nekog minimalnog praga, CJEU je ponovio da ispitanici koji traže nematerijalnu štetu ipak moraju dokazati da su pretrpjeli stvarnu štetu kao posljedicu kršenja GDPR-a.
U slučaju C-667/21 ZQ protiv Medizinischer Dienst, CJEU je pojasnio da članak 82. stavak 1. GDPR-a uspostavlja režim odgovornosti temeljen na krivnji. Dok odgovornost prema članku 82. stavku 1. GDPR-a zahtijeva kršenje GDPR-a, nastanak štete i uzročnu vezu između kršenja i štete, CJEU je naveo da, iako je odgovornost voditelja obrade podataka ili izvršitelja obrade uvjetovana ako postoji krivnja, težinu te krivnje ne treba nužno uzimati u obzir pri obračunu naknade štete. Međutim, CJEU je naglasio da pravo na naknadu prema članku 82. GDPR-a ima kompenzatornu, a ne kaznenu funkciju. Odštete dodijeljene prema ovoj odredbi stoga bi trebale u potpunosti pokriti stvarnu štetu pretrpljenu samo kršenjem GDPR-a.
U predmetu C 741/21 GP protiv Juris GmbH, CJEU je ponovio nekoliko svojih ranijih razmatranja u vezi s nužnošću uzročne veze između kršenja GDPR-a i štete, kao i odbijanja bilo kakvog definiranja praga ozbiljnosti štete (prema EU-u ili nacionalni zakoni). Ono što je vrijedno pažnje u ovom slučaju je da je CJEU razradio pitanje štete i gubitka kontrole nad osobnim podacima kao rezultat povrede podataka, kao što je opisano u uvodnoj izjavi 85. GDPR-a. Prema Sudu Europske unije, ova vrsta štete predstavlja nematerijalnu štetu prema članku 82. stavku 1. GDPR-a, pod uvjetom da ispitanik može nedvojbeno i uvjerljivo dokazati da je do takvog gubitka kontrole zaista došlo i da je rezultat kršenja GDPR-a. Oba uvjeta moraju biti ispunjena. CJEU je naglasio i ponovio da je prema članku 82. GDPR-a voditelj obrade u načelu odgovoran za štetu uzrokovanu obradom koja krši GDPR, osim ako voditelj obrade može dokazati da nije odgovoran za događaj koji je prouzročio štetu. S tim u vezi, naveo je da samo dokazivanje da zaposlenik (ili osoba koja djeluje pod ovlaštenjem voditelja obrade) nije slijedio upute, što je dovelo do štete, nije dovoljno da se voditelj obrade oslobodi od odgovornosti.
Ovu temu treba promatrati i u svjetlu mišljenja nezavisnog odvjetnika u predmetu Predmet C‑340/21 u kojem se navodi sljedeće:
- činjenica da samo postoji‚ povreda osobnih podataka’ kako se definira GDPR-om sama po sebi nije dovoljna kako bi se zaključilo da tehničke i organizacijske mjere koje je poduzeo voditelj obrade nisu bile „odgovarajuće” kako bi se osigurala zaštita podataka,
- prilikom propitivanja jesu li tehničke i organizacijske mjere koje je proveo voditelj obrade odgovarajuće, nacionalni sud pred kojim je pokrenut postupak treba provesti nadzor koji obuhvaća konkretnu analizu kako sadržaja tih mjera tako i načina na koji se primjenjuju te njihovih učinaka u praksi,
- u okviru tužbe za naknadu štete u skladu s člankom 82. GDPR-a, na voditelju obrade je teret dokaza da su poduzete mjere u skladu s člankom 32. GDPR-a mjere koje je proveo i koje su odgovarajuće,
- u skladu s načelom autonomije sudova te nacionalnim pravnim sustavom svake države članice treba utvrditi prihvatljive metode dokazivanja i njihovu dokaznu vrijednost, uključujući istražne radnje koje nacionalni sudovi mogu ili moraju naložiti kako bi ocijenili je li voditelj obrade zaista proveo mjere koje su odgovarajuće u smislu GDPR-a,
- činjenica da je povredu GDPR-a koja je prouzročila štetu o kojoj je riječ počinila treća osoba sama po sebi ne predstavlja razlog da se voditelja obrade izuzme od odgovornosti te, kako bi ostvario pravo na izuzimanje od odgovornosti predviđeno tom odredbom, voditelj obrade treba dokazati da ni na koji način nije odgovoran za povredu,
- šteta koja se sastoji od bojazni zbog moguće buduće zlouporabe vlastitih osobnih podataka za koju je ispitanik dokazao da postoji može predstavljati nematerijalnu štetu koja daje pravo na naknadu štete, pod uvjetom da ispitanik dokaže da je on kao pojedinac pretrpio stvarnu i izvjesnu emocionalnu štetu, što je okolnost koju nacionalni sud pred kojim je pokrenut postupak treba provjeriti u svakom slučaju zasebno.
U Nizozemskoj su parnice za naknadu štete povezane s kršenjem GDPR-a uobičajene otkako je GDPR stupio na snagu. U kontekstu kršenja GDPR-a, nizozemski su sudovi bili proaktivni u integraciji pojma nematerijalne štete u svoj pravni okvir i bili su pod utjecajem sudske prakse Suda Europske unije.
Uspostavljanje temelja prije utjecaja prakse Suda Europske unije:
Predmeti pred okružnim sudovima u Amsterdamu i Noord-Nederlandu (ECLI:NL:RBAMS:2019:6490 i ECLI:NL:RBNNE:2020:247) ilustriraju liberalno tumačenje "štete" i prava na sveobuhvatnu naknadu.
U predmetu pred Okružnim sudom u Amsterdamu (ECLI:NL:RBAMS:2019:6490) spor je nastao kada je UWV (Agencija za osiguranje zaposlenika) poslala obavijest o dugotrajnoj bolesti tužiteljice njezinom novom poslodavcu bez njezina pristanka. Te su informacije smatrane osjetljivim osobnim podacima, a slanje pisma smatralo se kršenjem GDPR-a jer nije imalo dopuštenje tužiteljice i potencijalno je dovelo do ozbiljnih štetnih učinaka za nju. Sud je, slijedeći članak 82. GDPR-a i uvodnu izjavu 146. GDPR-a, smatrao da ispitanici imaju pravo na punu i učinkovitu naknadu za pretrpljenu štetu. Važno je da je u ovom slučaju sud uzeo članak 82. GDPR-a u vezi s člankom 6:106(1.b) Nizozemskog građanskog zakonika kako bi protumačio pojam nematerijalne štete. Utvrđeno je da je tužiteljica doista pretrpjela nematerijalnu štetu zbog neovlaštenog otkrivanja svog zdravstvenog stanja, što je dovelo do odštete od 250 eura, zajedno s kamatama.
U predmetu pred Okružnim sudom Noord-Nederland (ECLI:NL:RBNNE:2020:247), Okružni sud presudio je da nezakonito otkrivanje osobnih podataka jamči naknadu za nematerijalnu štetu. Sud je smatrao da je njegova odluka u skladu s člankom 82. GDPR-a i uvodnom izjavom 146. GDPR-a, koji zagovaraju široko tumačenje "štete" koja uključuje psihološki stres ili druge negativne učinke koji proizlaze iz povrede privatnosti. Slično kao u gornjem slučaju, sud je tumačio članak 82. GDPR-a u vezi s člankom 6:106(1.b) Nizozemskog građanskog zakonika. Nadalje, Sud je utvrdio da je ispitanik pogođen neovlaštenim otkrivanjem podataka pretrpio povredu svojih prava na privatnost. Međutim, također je uzeo u obzir ograničen opseg povrede (od jednog zaposlenika do treće strane) i nepostojanje šire distribucije ili specifičnih negativnih posljedica za tužitelja izravno povezanih s ovim incidentom. U procjeni primjerene naknade za pretrpljenu nematerijalnu štetu, sud je priznao poteškoće u preciznom kvantificiranju takve štete, ali je naglasio važnost priznanja nevolje i potencijalne reputacijske štete koju je pretrpjela oštećena strana. Slijedom toga, sud je utvrdio fiksni iznos od 250 eura kao pravednu i razumnu naknadu za nematerijalnu štetu, s obzirom na prirodu povrede privatnosti i njezin utjecaj na osobni i profesionalni život ispitanika.
Prilagodba naknadnim presudama CJEU-a:
Presude u novijim predmetima pred dva suda (ECLI:NL:RVS:2023:3130 i ECLI:NL:RBGEL:2023:5435) odražavaju usvajanje sudske prakse CJEU-a od strane nizozemskih sudova u vezi s nematerijalnom štetom, naglašavajući nužnost pune i učinkovite naknade bez postavljanja proizvoljnih pragova za ozbiljnost štete. U predmetu ECLI:NL:RVS:2023:3130, tužitelj je tvrdio da je općinsko vijeće nezakonito obradilo fotografije njegove imovine jer je njegov pristanak za korištenje fotografija bio ograničen na procjenu vrijednosti imovine iz 2012. prema nizozemskom Zakonu o vrednovanju imovine (WOZ ) i nije obuhvatio niti proširio na kasniju upotrebu. Potraživao je pravo na odštetu zbog ovog navodnog neovlaštenog korištenja fotografija, što je uključivalo i korištenje slika njegove nekretnine kao reference za procjenu vrijednosti druge imovine. Odjel za upravnu nadležnost Državnog vijeća (Raad van State) utvrdio je da odluka općinskog vijeća o korištenju fotografija nije na odgovarajući način procijenila je li obrada fotografija bila zakonita prema GDPR-u i zakonitost daljnje upotrebe fotografija nije dovoljno istražena. Ovakav propust doveo je do zaključka Državnog vijeća da je odluka Općinskog vijeća o zahtjevu za naknadu nematerijalne štete nedovoljno obrazložena. Stoga je Državno vijeće ukinulo odluku nižeg suda, žaliteljevu žalbu proglasilo opravdanom, a općinskom vijeću naložilo da preispita žalbeni zahtjev za naknadu nematerijalne štete. Konkretno, ova ponovna procjena trebala bi razmotriti je li bilo nezakonitog postupanja s osobnim podacima podnositelja žalbe i, ako jest, odlučiti o zahtjevu za naknadu na temelju primjenjivih pravnih standarda, izričito pozivajući se na one postavljene u odluci CJEU-a Österreichische Post.
Što se tiče predmeta pred Okružnim sudom u Gelderlandu (ECLI:NL:RBGEL:2023:5435), tužitelj (bivši student sveučilišta, koji je završio školovanje s određenim kašnjenjem zbog osobnih okolnosti) tražio je naknadu za emocionalni utjecaj i povreda njegove privatnosti zbog neovlaštenog pristupa i potencijalne zlouporabe njegovih osobnih podataka. Uz izričito pozivanje na definiciju nematerijalne štete Suda Europske unije u predmetu Österreichische Post, Okružni sud Gelderlanda naglasio je široko tumačenje "štete" prema GDPR-u i nužnost dokazivanja opipljivog utjecaja na osobni integritet ili privatnost ispitanika. Tužitelj je opisao svoju emocionalnu patnju, gubitak povjerenja i stalnu zabrinutost zbog zlouporabe njegovih medicinskih podataka, koji su podijeljeni sa sveučilištem uz jamstvo povjerljivosti i sigurnosti. Sud je tužitelju dodijelio 300 eura naknade za nematerijalnu štetu, priznajući značajne emocionalne implikacije i implikacije na privatnost povrede. U presudi je također istaknuto da je, iako je točna upotreba podataka koji su procurili od strane hakera nejasna, sam pristup i potencijalno širenje takvih osjetljivih informacija dovoljni da jamče naknadu nematerijalne štete.
Ove odluke ilustriraju način na koji se nizozemsko pravosuđe koristi sudskom praksom CJEU-a u usavršavanju nizozemskog pravnog okvira za procjenu i dodjelu naknade nematerijalne štete pretrpljene zbog kršenja GDPR-a. To u svakom slučaju pokazuje da ishod slučaja uvelike ovisi o okolnostima slučaja. Ova sudska praksa koja se razvija također ilustrira stalnu složenost kvantificiranja nematerijalne štete. Izazov koji se ističe u sudskoj praksi EU-a i Nizozemske je teret dokazivanja na podnositeljima zahtjeva da dokažu postojanje i opseg nematerijalne štete. Ovaj zahtjev osigurava da samo dobro potkrijepljeni zahtjevi dovedu do naknade štete, čime se sprječavaju potencijalne zlouporabe sustava. Međutim, to također stavlja značajan teret na ispitanike da kvantificiraju štetu koju je inherentno teško izmjeriti, kao što je strah ili gubitak privatnosti, posebno kada se šteta ipak može ostvariti u budućnosti. Očekuje se da tek predstoje novi sporovi u vezi s kršenjem GDPR-a koji će u stvarnosti stvarati moguće i drugačiju praksu od ove koja je navedena u ovom blogu.