תביעות לפיצוי נזק בגין הפרה של תקנות הגנת המידע הכללית (DSGVO) קיימות רק כאשר נגרם בפועל נזק. כך פסק בית הדין האירופי לצדק (EuGH) בהחלטתו מיום 4 במאי 2023 (Az. C-300/21).
חברות מנהלות כמויות גדולות של נתונים אישיים רגישים. דבר זה מציב דרישות גבוהות להגנת המידע, והפרות של תקנות הגנת המידע הכללית (DSGVO) עלולות להוביל לקנסות כבדים ולתביעות פיצויים, מסבירה פירמת עורכי הדין המסחרית MTR Legal Rechtsanwalt, המייעצת ללקוחותיה גם בתחום דיני ה-IT והגנת המידע.
בית הדין האירופי לצדק קבע כעת, שתביעות לפיצוי נזק בשל הפרות של ה-DSGVO יפורטו רק כאשר נגרם בפועל נזק. עם זאת, השופטים בלוקסמבורג לא הציבו רף גבוה מדי להתרחשות נזק. שיעור מהותי של הנזק אינו תנאי הכרחי.
בפני בית הדין האירופי לצדק עמדה תביעה מאוסטריה. במקרה זה, תבע גבר את הדואר האוסטרי לפיצוי על נזק לא ממוני. הסיבה הייתה שהדואר, בעזרת אלגוריתם ומאפיינים חברתיים ודמוגרפיים בסיסיים, אסף מידע על העדפות מפלגתיות. נתונים אלה לא פורסמו, אך נועדו לצורכי פרסומות בחירות של מפלגות. עבור האיש נוצרה מכך זיקה למפלגה מסוימת, ולא אהב זאת. הוא הגיש תביעה לפיצוי לא ממוני על פי סעיף 82 ל-DSGVO.
בית המשפט העליון האוסטרי הפנה את המקרה לבית הדין האירופי לצדק, אשר קבע כי הפרה בלבד של ה-DSGVO אינה מזכה בפיצוי אוטומטי. הזכאות לפיצויים תלויה בשלושה תנאים: ראשית, חייבת להיות הפרה של ה-DSGVO. בנוסף, צריך שייגרם נזק – חומרי או לא ממוני – ושההפרה תהיה הסיבה לכך. לפיכך, לא כל הפרה של ה-DSGVO מזכה באופן אוטומטי בנזקין.
אולם, פיצוי בגין נזק לא ממוני אינו מותנה ברף חומרה מסוים. לא קיימים 'מקרים פעוטים'. ה-DSGVO אינו קובע קריטריונים לחישוב הנזק, והדבר מסור בידי מדינות האיחוד האירופי. עליהן לדאוג כי יובטח פיצוי מלא ויעיל בגין הנזק שנגרם, כך קובע בית הדין האירופי לצדק.
בטיפול בנתונים אישיים נדרשת לאחר פסק הדין של האיחוד האירופי רמת זהירות גבוהה. עורכי דין מנוסים בדיני IT מייעצים במשרד MTR Legal Rechtsanwalt בנושאי הגנת המידע.
