Kártérítési igények a GDPR megsértése miatt csak akkor állnak fenn, ha valóban kár keletkezett. Ezt az Európai Unió Bírósága 2023. május 4-i ítéletében határozta meg (ügyirat: C-300/21).
A vállalatok nagy mennyiségű érzékeny személyes adatot kezelnek. Ez magas követelményeket támaszt az adatvédelem iránt, és a General Data Protection Regulation (GDPR) megsértése magas bírságokhoz és kártérítési követelésekhez vezethet, magyarázza a gazdasági ügyvédi iroda MTR Legal, amely ügyfeleit IT-jogban és adatvédelemben is tanácsadja.
Az Európai Bíróság most úgy döntött, hogy a GDPR megsértése miatti kártérítési igények csak akkor állnak fenn, ha valóban kár keletkezett. A luxemburgi bírák azonban nem állították túl magasra a kár bekövetkeztének mércéjét. A kár jelentősége nem feltétel.
Az Európai Bíróság előtt egy osztrák eset volt. Egy férfi nem vagyoni kártérítésért perelte az osztrák postát. Az ok az volt, hogy a posta egy algoritmus segítségével és társadalmi-demográfiai jellemzők alapján információkat gyűjtött a pártpreferenciákról. Ezeket az adatokat nem hozták nyilvánosságra, de a pártok kampánycéljaira szánták. A férfi számára ez egy bizonyos párthoz való vonzódást eredményezett. Ez nem tetszett a férfinak. Az 82. cikk GDPR szerint nem vagyoni kártérítést követelt.
Az osztrák legfelső bíróság az esetet az Európai Bíróság elé terjesztette, és az úgy döntött, hogy a puszta GDPR-sértés önmagában nem alapozza meg a kártérítési igényt. A kártérítési igény három feltételhez kötött: először is, a GDPR-t meg kell sérteni. Emellett anyagi vagy nem vagyoni kárnak kell keletkeznie, és a GDPR megsértése ennek okaként kell, hogy szolgáljon. Ennélfogva nem minden GDPR-sértés vezet automatikusan kártérítési igényekhez.
Azonban a nem vagyoni kártérítési igény nem áll fenn csak akkor, ha bizonyos jelentős érzékenység áll fenn. Bagatell ügyek nincsenek. A kár mérésének kritériumait a GDPR nem határozza meg, ez az EU-tagállamok feladata. Ezeknek azonban figyelembe kell venniük, hogy a szenvedett kár teljes és hatékony kártérítését meg kell valósítani, mondta az Európai Bíróság.
A személyes adatok kezelésében az uniós ítélet alapján magas fokú gondosság szükséges. Az IT-jogban jártas ügyvédek a MTR Legal ügyvédeknél tanácsot adnak adatvédelmi kérdésekben.
