(av Federica De Stefani, advokat och chef för Aidr Regione Lombardia) Sanktionerna som beror på olaglig behandling av uppgifter kan vara av olika karaktär, eftersom kriminella, administrativa och civila sanktioner enligt den nuvarande lagstiftningen kan existera tillsammans, beroende på typ av överträdelse.
Generellt sett är vi vana att tänka att den europeiska dataskyddsförordningen endast föreskriver administrativa böter på miljoner (upp till 20 miljoner euro), men samma förordning föreskriver i konst. 82 också möjligheten för dem som lider skada till följd av olaglig behandling att begära den relativa ersättningen.
Lagen har nyligen tagits till rubrikerna för en dom av den österrikiska högre regionala domstolen som sanktionerade ersättningen för skadorna som orsakats av olaglig behandling av uppgifter och angav villkoren för att få ersättning för skadan.
Artikel. 82 i förordningen är det i själva verket klart när man uttryckligen tillhandahåller kompensation för materiell eller immateriell skada orsakad av olaglig databehandling genom att i den registeransvarige eller av databehandlaren ange vilka personer som är skyldiga att betala ersättning.
I grund och botten, om å ena sidan lagen uttryckligen erkänner tillåtelsen av icke-ekonomisk skada, å andra sidan, för att kompensationsskyldigheten ska uppstå, är det nödvändigt att det finns:
- olaglig behandling av data, dvs uppförande, aktiv eller underlåtenhet, vilket utgör ett brott mot reglerna i förordningen;
- skadan;
- den etiologiska kopplingen mellan uppförandet och skadan.
Förordningen föreskriver att skadan (materiell eller immateriell) är ersättningsbar om den orsakas av ett brott mot förordningen och ger den registeransvarige och databehandlaren möjligheten att undantas från ansvar om de visar att den skadliga händelsen inte på något sätt är hänförliga till dem.
Detta innebär att ansvaret som diskuteras inte är ett strikt ansvar utan endast finns i händelse av att det finns ett orsakssamband mellan överträdelsen av förordningen (hänförlig till ägaren eller förvaltaren) och den skadliga händelsen.
Med andra ord har ämnet möjlighet att bevisa att han korrekt har uppfyllt de skyldigheter som följer av förordningen och att han har vidtagit lämpliga åtgärder för dataskydd.
Detta är utan tvekan en mycket bred bestämmelse, så att säga, om vi anser att uttrycket "överträdelse av denna förordning" utan att specificera någon ytterligare aspekt, kräver att skäl 85 används för en illustrativ lista, och verkligen inte uttömmande, av de skäl som kan ligga till grund för en begäran om kompensation.
Skäl 85 anger faktiskt en rad aspekter som rör:
- förlust av kontroll över de berörda parternas personuppgifter;
- begränsning av deras rättigheter;
- diskriminering;
- identitetsstöld eller usurpation;
- ekonomiska förluster;
- obehörig dekryptering av pseudonymisering;
- skada på rykte;
- förlust av sekretess för personuppgifter skyddade av tystnadsplikt
Slutligen avslutas det med den generiska hypotesen om ”någon annan betydande ekonomisk eller social skada för den berörda fysiska personen”.
Avslutningsformeln är i linje med tillhandahållandet av konst. 82 som generellt indikerar ”varje överträdelse av denna förordning” och därmed lämnar god möjlighet att identifiera konkreta fall.
I ett mycket nyligen avgjord ingripande den österrikiska högregionen i Innsbruck (dom av 13.02.2020 - Az.: 1 R 182/19 b) ingrep i frågan om ersättning för skada till följd av brott mot GDPR och specificerade att ersättning för skada härrörande från olaglig behandling av data är inte i repsa, men det är upp till den som gör anspråk på ersättning att visa skador som härrör från olagligheten i behandlingen och egenskaperna hos den skada som uppkommit.
I rättegång räcker det därför inte med att bekräfta att du har lidit skada helt enkelt genom att ha lidit olaglig behandling av dina uppgifter, men det är nödvändigt att bevisa en etiologisk koppling mellan de två.
Det kommer därför att vara nödvändigt att formulera din begäran genom att förklara skadan och ange de olika särdragen. Skadan måste därför vara kvalificerad och specificerad, även med hänvisning till de typer av risker som anges i skälen 75 och 85 i förordningen, som i alla fall endast ger illustrativa indikationer. Skadorna måste därför specificeras och inte anges generiskt med en "generisk kategori". Den berörda parten måste också lämna bevis för att han faktiskt har lidit den påstådda skadan. I det här fallet är det inte tillräckligt att åberopa en generisk kategori och hävda att den relativa skadan har lidits, men konkreta bevis för den påstådda skadan måste tillhandahållas och skadeomfanget måste också visas. Det sistnämnda kan i själva verket inte för kompensationsändamål betraktas som ett enkelt problem eller en irritation som härrör från den olagliga behandlingen. Med andra ord måste skadan ha en konsekvent, så att säga, betydande för att anses vara relevant för kompensationsändamål.
Till allt detta läggs dessutom den etiologiska länken.
Den påstådda skadan måste vara den direkta orsaken till dataintrånget, vilket uttryckligen föreskrivs i art. 82 i förordningen.
Sammanfattningsvis är det därför möjligt att få kompensation för den skada som lidits till följd av överträdelsen av personuppgifterna, även om det, som sett, är föremål för ganska specifika bevisbegränsningar.
En särskild reflektion förtjänar det faktum att det inte är fråga om ett strikt ansvar som automatiskt ger upphov till kompensation för skada.
GDPR är en mycket speciell lagstiftning som med stöd av redovisningsprincipen lämnar ägarens breda marginal för val av åtgärder som ska vidtas för efterlevnad.
Detta innebär möjligheten att ha lösningar som är adekvata för en viss verklighet, men som om de tillämpas på olika verkligheter kanske inte garanterar skyddet av personuppgifter.
En preliminär utvärdering av de åtgärder som ägaren vidtagit innan ersättningskrav görs kommer inom en snar framtid vara nödvändig för att utvärdera det möjliga resultatet av ett rättsfall.