(autor Federica De Stefani, pravnica i šefica Aidr-a za regiju Lombardija) Sankcije koje proizilaze iz nezakonite obrade podataka mogu biti različite prirode, budući da, prema važećem zakonodavstvu, krivične, administrativne i građanske sankcije mogu koegzistirati jedna s drugom, ovisno o vrsta kršenja.
Generalno, navikli smo da mislimo da Evropska uredba o zaštiti podataka predviđa samo administrativne kazne u milionima (do 20 miliona evra), ali ista Uredba predviđa, u čl. 82 takođe pruža mogućnost da svako ko pretrpi štetu nastalu nedozvoljenim postupanjem zatraži odgovarajuću nadoknadu.
Zakon je nedavno dospeo na naslovne strane presudom austrijskog Višeg regionalnog suda kojom je utvrđena naknada za štetu nastalu nezakonitom obradom podataka i precizirani uslovi za dobijanje naknade štete.
Umjetnost. 82 Uredbe, u stvari, jasno predviđa naknadu materijalne ili nematerijalne štete prouzrokovane nedozvoljenom obradom podataka navođenjem subjekata odgovornih za naknadu kao kontrolora ili obrađivača podataka.
U suštini, ako s jedne strane zakon izričito priznaje dopuštenost nematerijalne štete, s druge strane, za nastanak obaveze naknade, potrebno je da:
- nedozvoljena obrada podataka, odnosno ponašanje, aktivno ili propustljivo, što predstavlja kršenje pravila Uredbe;
- šteta;
- etiološka veza između ponašanja i štete.
Uredba predviđa da je šteta (materijalna ili nematerijalna) nadoknadiva ako je nastala kršenjem propisa i predviđa mogućnost da vlasnik i obrađivač podataka budu oslobođeni odgovornosti ako pokažu da se štetni događaj ni na koji način ne može pripisati njima.
To znači da odgovornost o kojoj se raspravlja nije objektivna odgovornost, već postoji isključivo u hipotezi u kojoj postoji uzročna veza između povrede Uredbe (koja se može pripisati vlasniku ili menadžeru) i štetnog događaja.
Drugim riječima, subjekt ima mogućnost da pruži dokaz da je ispravno ispunio obaveze koje proizilaze iz Uredbe i da je poduzeo odgovarajuće mjere za zaštitu podataka.
Ovo je, bez ikakve sumnje, vrlo široka regulatorna odredba, da tako kažemo, ako uzmemo u obzir da fraza "kršenje ove uredbe" bez preciziranja bilo kojeg daljnjeg aspekta zahtijeva korištenje uvodne izjave 85 za primjer popisa, a svakako nije iscrpan o razlozima koji bi mogli biti osnov zahtjeva za naknadu štete.
Uslovna izjava 85, zapravo, ukazuje na niz aspekata koji se tiču:
- gubitak kontrole nad ličnim podacima zainteresovanih strana;
- ograničenje njihovih prava;
- diskriminacija;
- krađa ili uzurpacija identiteta;
- finansijski gubici;
- neovlašteno dešifriranje pseudonimizacije;
- narušavanje ugleda;
- gubitak povjerljivosti ličnih podataka zaštićenih poslovnom tajnom
Konačno, zaključuje se generičkom hipotezom „bilo koje druge značajne ekonomske ili socijalne štete za dotičnu fizičku osobu“.
Završna formula je u skladu sa odredbama čl. 82 koji generički ukazuje na "svako kršenje ovog propisa" ostavljajući tako široku mogućnost identifikacije konkretnih slučajeva.
U vrlo nedavnoj presudi, austrijski Viši regionalni sud u Innsbrucku (presuda od 13.02.2020. – Az.: 1 R 182/19 b) intervenisao je po pitanju naknade štete koja je nastala zbog kršenja GDPR-a i precizirao da je naknada za šteta nastala nedozvoljenom obradom podataka nije in re ipsa, ali je na osobi koja podnosi zahtjev za naknadu štete da dokaže štetu nastalu nezakonitom obradom i karakteristike pretrpljene štete.
U parnici, dakle, nije dovoljno tvrditi da ste pretrpjeli štetu samo zato što su vaši podaci nezakonito obrađeni, već je potrebno dokazati etiološku vezu između njih.
Stoga će biti potrebno da artikulišete svoj zahtjev tako što ćete objasniti pretrpljenu štetu, navodeći njene različite specifičnosti. Šteta se stoga mora kvalificirati i specificirati, također pozivajući se na vrste rizika naznačene u uvodnim izjavama 75. i 85. Uredbe koje, u svakom slučaju, daju samo ilustrativne indikacije. Oštećenje stoga mora biti detaljno opisano, a ne generički naznačeno korištenjem "generičke kategorije". Zainteresovana strana također mora dostaviti dokaz da je stvarno pretrpjela traženu štetu. Čak ni u ovom slučaju nije dovoljno pozvati se na generičku kategoriju i tvrditi da je pretrpjela odgovarajuću štetu, već se moraju obezbijediti konkretni dokazi o navodnoj šteti, a također se mora pokazati i obim štete. Potonje se, u stvari, ne može, u svrhu kompenzacije, smatrati jednostavnom zabrinutošću ili pukom smetnjom koja proizlazi iz nezakonitog postupanja. Drugim riječima, šteta mora imati značajnu konzistentnost da bi se smatrala relevantnom za svrhe naknade.
Dodajte svemu ovome etiološku povezanost.
Šteta na koju se pritužuje mora biti direktan uzrok povrede podataka, kako je izričito predviđeno čl. 82 Uredbe.
U zaključku, ostvarivanje naknade za štetu koja je pretrpljena kao rezultat povrede nečijih ličnih podataka je moguće, čak i ako podliježe, kao što se vidi, prilično specifičnim dokaznim ograničenjima.
Posebnu pažnju zaslužuje činjenica da se ne radi o objektivnoj odgovornosti koja automatski dovodi do naknade štete.
GDPR je vrlo specifičan propis koji, na osnovu principa odgovornosti, ostavlja vlasniku široku slobodu izbora u mjerama koje treba usvojiti radi usklađivanja.
Ovo se pretvara u mogućnost da postoje rješenja koja su adekvatna za određenu stvarnost, ali koja ako se primjene na različite realnosti možda ne garantuju zaštitu ličnih podataka.
Preliminarno ocjenjivanje mjera koje je vlasnik usvojio prije podnošenja zahtjeva za odštetu bit će, u bliskoj budućnosti, od suštinskog značaja za procjenu mogućeg ishoda pravnog slučaja.