انتهاك البيانات الشخصية والتعويض عن الضرر

(بقلم فيديريكا دي ستيفاني ، محامية ومديرة منظمة Aidr Regione Lombardia) يمكن أن تكون العقوبات الناتجة عن معاملة غير قانونية للبيانات ذات طبيعة مختلفة ، حيث أنه ، وفقًا للتشريع الحالي ، يمكن أن تتعايش العقوبات الجنائية والإدارية والمدنية فيما بينها ، اعتمادًا على نوع الانتهاك.

بشكل عام ، اعتدنا على الاعتقاد بأن اللائحة الأوروبية لحماية البيانات تنص فقط على عقوبات إدارية المليونير (تصل إلى 20 مليون يورو) ، ولكن نفس اللائحة تنص ، في الفن. 82 أيضا إمكانية لمن يعانون من الضرر الناجم عن المعاملة غير القانونية لطلب التعويض ذات الصلة.

وقد عُرضت القاعدة مؤخراً على العناوين الرئيسية لحكم صادر عن المحكمة الإقليمية النمساوية العليا التي أقرت التعويض عن الضرر الناجم عن المعالجة غير المشروعة للبيانات وحددت شروط الحصول على تعويض عن الضرر.

مقالة - سلعة. 82 من اللائحة ، في الواقع ، من الواضح في النص صراحة على التعويض عن الضرر المادي أو غير المادي الناجم عن المعالجة غير القانونية للبيانات من خلال الإشارة إلى الموضوعات المطلوبة لدفع التعويض في وحدة تحكم البيانات أو من قبل وحدة تحكم البيانات.

من حيث الجوهر ، إذا كان القانون يعترف صراحة بمقبولية الضرر غير المالي ، من ناحية أخرى ، لظهور الالتزام بالتعويض ، فمن الضروري أن يكون هناك:

  • معالجة غير قانونية للبيانات ، أي سلوك نشط أو تقصير يدمج انتهاكًا لقواعد اللائحة ؛
  • الضرر؛
  • العلاقة المسببة بين السلوك والضرر.

تنص اللائحة على أن الضرر (المادي أو غير المادي) قابل للتعويض إذا كان ناتجًا عن انتهاك للوائح ويوفر لمراقب البيانات ومعالج البيانات إمكانية الإعفاء من المسؤولية إذا أثبتوا أن الحدث الضار ليس بأي حال من الأحوال المنسوبة إليهم.

وهذا يعني أن المسؤولية التي تتم مناقشتها ليست مسؤولية موضوعية ، ولكنها موجودة فقط في حالة وجود علاقة سببية بين انتهاك اللائحة (المنسوبة إلى المالك أو المدير) والحدث الضار.

وبعبارة أخرى ، فإن الموضوع لديه الفرصة لتقديم دليل على أنه قد أوفى بشكل صحيح بالالتزامات الناشئة عن اللائحة وأنه اتخذ التدابير المناسبة لحماية البيانات.

هذا ، بدون أي شك ، حكم تنظيمي واسع للغاية ، إذا جاز التعبير ، إذا اعتبرنا أن مصطلح "انتهاك لهذه اللائحة" دون تحديد أي جانب آخر ، يتطلب اللجوء إلى الحفل 85 للحصول على قائمة نموذجية ، و بالتأكيد ليست حصرية ، من الأسباب التي يمكن أن تكون الأساس لطلب التعويض.

في الواقع ، يشير الحيث 85 إلى سلسلة من الجوانب المتعلقة بما يلي:

  • فقدان السيطرة على البيانات الشخصية للأطراف المعنية ؛
  • تقييد حقوقهم ؛
  • تمييز؛
  • سرقة الهوية أو اغتصابها ؛
  • خسائر مالية
  • فك التشفير غير المصرح به لاسم مستعار ؛
  • ضرر السمعة
  • فقدان سرية البيانات الشخصية المحمية بالسرية المهنية

وأخيرًا ، تختتم بالفرضية العامة المتمثلة في "أي ضرر اقتصادي أو اجتماعي كبير آخر للشخص الطبيعي المعني".

تتوافق الصيغة الختامية مع توفير الفن. 82 التي تشير بشكل عام إلى "أي انتهاك لهذا النظام" وبالتالي ترك إمكانية واسعة لتحديد الحالات المحددة.

في حكم صدر مؤخرًا ، تدخلت المحكمة الإقليمية العليا النمساوية في إنسبروك (الحكم الصادر في 13.02.2020 - Az.: 1 R 182/19 b) في مسألة التعويض عن الضرر الناجم عن انتهاك اللائحة العامة لحماية البيانات (GDPR) وحددت ذلك التعويض عن الضرر المستمدة من المعالجة غير القانونية للبيانات ليست في قانون ipsa ، ولكن الأمر متروك للشخص الذي يطالب بالتعويض لإثبات الضرر الناجم عن عدم قانونية المعالجة وخصائص الضرر الذي حدث.

لذلك ، في التقاضي ، لا يكفي الادعاء بأنهم تعرضوا لضرر لمجرد أنهم خضعوا لمعاملة غير قانونية لبيانات المرء ، ولكن من الضروري تقديم دليل على وجود علاقة مسببة بين الاثنين.

لذلك سيكون من الضروري توضيح طلبك من خلال توضيح الضرر الذي حدث ، مع الإشارة إلى الخصائص المختلفة. لذلك يجب تحديد الضرر وتحديده ، مع الإشارة أيضًا إلى أنواع المخاطر الموضحة في الحفلات 75 و 85 من اللائحة والتي ، على أي حال ، لا تقدم سوى مؤشرات إرشادية. ولذلك يجب تفصيل الضرر وعدم الإشارة إليه بشكل عام باللجوء إلى "فئة عامة". يجب على الطرف المعني أيضًا تقديم دليل على أنه تعرض بالفعل للضرر المطالب به. مرة أخرى ، لا يكفي الاحتجاج بفئة عامة والمطالبة بالتعرض للإصابة ذات الصلة ، ولكن يجب تقديم دليل ملموس على الضرر المبلغ عنه ويجب أيضًا إثبات مدى الضرر. في الواقع ، لا يمكن اعتبار هذا الأخير ، لأغراض التعويض ، مصدر قلق بسيط أو مجرد إزعاج ناجم عن المعاملة غير القانونية. وبعبارة أخرى ، يجب أن يكون للضرر مغزى إذا جاز التعبير لكي يعتبر ذا صلة لأغراض التعويض.

يضاف إلى كل هذا ، علاوة على ذلك ، العلاقة المسببة.

يجب أن يكون الضرر المبلغ عنه سببًا مباشرًا لخرق البيانات ، كما هو منصوص عليه صراحة في المادة. 82 من اللائحة.

في الختام ، من الممكن الحصول على تعويض عن الضرر الذي لحق نتيجة لانتهاك البيانات الشخصية ، حتى لو كان عرضة ، كما رأينا ، لقيود إثبات محددة إلى حد ما.

يستحق الاعتبار الخاص حقيقة أنه ليس من مسؤولية موضوعية تتسبب تلقائيًا في حدوث أضرار.

اللائحة العامة لحماية البيانات (اللائحة العامة لحماية البيانات) هي عبارة عن لائحة خاصة للغاية ، بموجب مبدأ المساءلة ، تترك للمالك خيارًا كبيرًا فيما يتعلق بالإجراءات التي يجب اتخاذها للامتثال.

هذا يترجم إلى إمكانية وجود حلول مناسبة لواقع معين ، ولكن إذا تم تطبيقها على حقائق مختلفة قد لا تضمن حماية البيانات الشخصية.

سيكون التقييم الأولي للتدابير التي اتخذها المالك قبل تقديم مطالبات التعويض ، في المستقبل القريب ، لا غنى عنه لتقييم النتيجة المحتملة لقضية المحكمة.

انتهاك البيانات الشخصية والتعويض عن الضرر