(Federica De Stefani, právnik a manažér organizácie Aidr Regione Lombardia) Sankcie, ktoré vyplývajú z nezákonného zaobchádzania s údajmi, môžu mať rôznu povahu, pretože podľa súčasných právnych predpisov môžu medzi nimi existovať trestné, správne a občianske sankcie v závislosti od druh porušenia.
Všeobecne sme zvyknutí si myslieť, že európske nariadenie o ochrane údajov ustanovuje iba administratívne sankcie pre milionárov (až do 20 miliónov EUR), ale to isté nariadenie v čl. 82 tiež možnosť, aby tí, ktorí utrpeli škodu v dôsledku nezákonného zaobchádzania, požiadali o súvisiacu kompenzáciu.
Pravidlo sa nedávno dostalo k titulom trestu rakúskeho najvyššieho regionálneho súdu, ktorý sankcionoval náhradu škody spôsobenej nedovoleným zaobchádzaním s údajmi a určil podmienky na získanie náhrady škody.
Článok. 82 nariadenia, v skutočnosti je zrejmé, že výslovne stanovuje náhradu za majetkovú alebo nehmotnú škodu spôsobenú nezákonným spracovaním údajov uvedením subjektov, ktoré sú povinné zaplatiť náhradu v správcovi údajov alebo správcovi údajov.
Ak v zásade zákon na jednej strane výslovne uznáva prípustnosť nemajetkovej ujmy na druhej strane, aby vznikla povinnosť kompenzácie, je potrebné, aby existovali:
- nezákonné spracovanie údajov, to znamená aktívne alebo opomenuté konanie, ktoré integruje porušenie pravidiel nariadenia;
- Škoda;
- etiologická súvislosť medzi správaním a poškodením.
Nariadenie ustanovuje, že škoda (materiálna alebo nehmotná) je nahraditeľná, ak je spôsobená porušením nariadenia, a poskytuje prevádzkovateľovi údajov a spracovateľom údajov možnosť oslobodenia od zodpovednosti, ak preukážu, že škodná udalosť v žiadnom prípade možno im pripísať.
To znamená, že diskutovaná zodpovednosť nie je objektívnou zodpovednosťou, ale existuje iba v prípade, že existuje príčinná súvislosť medzi porušením nariadenia (pripísateľná majiteľovi alebo správcovi) a škodlivou udalosťou.
Inými slovami, subjekt má možnosť poskytnúť dôkaz o tom, že správne splnil povinnosti vyplývajúce z nariadenia a že prijal vhodné opatrenia na ochranu údajov.
Toto je nepochybne veľmi široké regulačné ustanovenie, ak sa vezmeme do úvahy, že výraz „porušenie tohto nariadenia“ bez bližšieho určenia ďalšieho aspektu si vyžaduje použitie príkladu 85 v odôvodnení a určite nie je vyčerpávajúci, z dôvodov, ktoré by mohli byť základom žiadosti o kompenzáciu.
Odôvodnenie 85 v skutočnosti uvádza rad aspektov týkajúcich sa:
- strata kontroly nad osobnými údajmi zainteresovaných strán;
- obmedzenie ich práv;
- diskriminácii;
- krádež identity alebo uzurpácia;
- finančné straty;
- neoprávnené dešifrovanie pseudonymizácie;
- poškodenie dobrého mena;
- strata dôvernosti osobných údajov chránených služobným tajomstvom
Nakoniec uzatvára všeobecnú hypotézu „akékoľvek iné významné hospodárske alebo sociálne poškodenie dotknutej fyzickej osoby“.
Záverečný vzorec je v súlade s ustanovením čl. 82, ktoré vo všeobecnosti označujú „akékoľvek porušenie tohto nariadenia“, čo ponecháva širokú možnosť identifikácie konkrétnych prípadov.
Vo veľmi nedávnom rozhodnutí zasiahol rakúsky vyšší krajský súd v Innsbrucku (rozsudok z 13.02.2020 - Az.: 1 R 182/19 b) vo veci náhrady škody vyplývajúcej z porušenia GDPR a spresnil túto náhradu škody pochádzajúce z nezákonného spracovania údajov nie sú v plnom rozsahu, ale je na subjekte, ktorý žiada o náhradu škody, aby preukázal škodu vyplývajúcu z nezákonnosti spracovania a charakteristiku utrpenej škody.
V súdnom spore teda nestačí tvrdiť, že utrpel škodu len z dôvodu nezákonného zaobchádzania s údajmi, ale je potrebné preukázať etiologické spojenie medzi nimi.
Preto bude potrebné vyjadriť vašu žiadosť vysvetlením spôsobenej škody a uviesť rôzne zvláštnosti. Škoda musí byť preto kvalifikovaná a špecifikovaná a musí sa tiež odkazovať na druhy rizík uvedené v odôvodneniach 75 a 85 nariadenia, ktoré v každom prípade poskytujú iba indikatívne indikácie. Škoda musí byť preto podrobne opísaná a nesmie byť všeobecne označená použitím „generickej kategórie“. Zainteresovaná strana musí tiež poskytnúť dôkaz o tom, že skutočne utrpí nahlásenú škodu. Opäť nie je postačujúce odvolávať sa na druhovú kategóriu a tvrdiť, že utrpela súvisiacu ujmu, ale musí sa poskytnúť konkrétny dôkaz ohlásenej škode a musí sa preukázať aj rozsah škody. Posledne menované sa v skutočnosti nemôže na účely odškodnenia považovať za jednoduchý problém alebo za obyčajné nepríjemnosti vyplývajúce z nezákonného zaobchádzania. Inými slovami, škoda musí mať zmysel, aby mohla byť považovaná za relevantnú na účely náhrady škody.
K tomu všetkému sa navyše pridá etiologická súvislosť.
Nahlasovaná škoda musí byť priamou príčinou porušenia údajov, ako je výslovne uvedené v čl. 82 nariadenia.
Na záver možno teda konštatovať, že získanie náhrady za škodu spôsobenú porušením osobných údajov nie je možné, aj keď, ako vidíme, podliehať skôr konkrétnym obmedzeniam v oblasti dôkazov.
Osobitná úvaha si zaslúži skutočnosť, že nejde o objektívnu zodpovednosť, ktorá by automaticky spôsobila vznik škody.
GDPR je veľmi osobitné nariadenie, ktoré na základe zásady zodpovednosti ponecháva vlastníkovi dostatočný výber, pokiaľ ide o opatrenia, ktoré sa majú prijať na dosiahnutie súladu.
To sa premieta do možnosti mať riešenia, ktoré sú primerané určitej realite, ale ktoré, ak sa použijú na rôzne skutočnosti, nemusia zaručiť ochranu osobných údajov.
Predbežné hodnotenie opatrení, ktoré majiteľ prijal pred uplatnením nárokov na náhradu škody, bude v blízkej budúcnosti nevyhnutné na posúdenie možného výsledku súdneho konania.