Fizička osoba podnijela je tužbu regionalnom njemačkom sudu nakon što je zaprimila marketinške emailove unatoč tome što je povukla privolu za primanje istih, u kojem slučaju je voditelj obrade morao odmah prestati koristiti njenu email adresu i telefonski broj za te svrhe. Pri tom je zatražila naknadu štete za (materijalnu ili nematerijalnu) štetu prema članku 82. GDPR-a.

Zahtjev za naknadom materijalne štete odnosio se na troškove samog postupka pri sudu, a za nematerijalnu štetu s obzirom na nezakonitu obradu osobnih podataka i eventualne posljedice toga.

Voditelj obrade se u sudskom postupku očitovao da je šteta nastala zbog jednog njegovog zaposlenika koji nije slijedio upute poslodavca.

Njemački je sud zatražio preliminarno stajalište Europskog suda Case C‑741/21, koje donosimo na ovom linku:

https://curia.europa.eu/juris/document/document.jsf;jsessionid=B07975600D704E3C15DA2FDFE0EEE78B?text=2016%252F679&docid=284641&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=2428301#ctx1

i izdvajamo iz njega:

 

  • Obična povreda GDPR-a nije dovoljna za dodjelu prava na naknadu štete, s obzirom na to da je postojanje „štete”, materijalne ili nematerijalne, ili „pretrpljene štete” jedan od uvjeta prava na naknadu štete predviđenog u članku 82. stavku 1. GDPR-a, kao i postojanje povrede te uredbe i uzročne veze između te štete i te povrede, pri čemu su ta tri uvjeta kumulativna

 

  • Osoba koja zahtijeva naknadu nematerijalne štete na temelju te odredbe mora dokazati ne samo povredu odredbi te uredbe nego i da joj je ta povreda prouzročila takvu štetu

 

  • Valja istaknuti da se u uvodnoj izjavi 85. GDPR-a među štetama koje mogu nastati zbog povrede osobnih podataka izričito spominje „gubitak nadzora”. Osim toga, Sud je presudio da gubitak nadzora nad takvim podacima, čak i tijekom kratkog razdoblja, može predstavljati „nematerijalnu štetu” u smislu članka 82. stavka 1. GDPR-a koja daje pravo na naknadu, pod uvjetom da ispitanik dokaže da je stvarno pretrpio takvu štetu, koliko god malu

 

  • Članak 82. GDPR-a u stavku 2. određuje da je svaki voditelj obrade koji je uključen u obradu odgovoran za štetu prouzročenu obradom kojom se krši ta uredba, a u stavku 3. predviđa da je voditelj obrade oslobođen od odgovornosti na temelju tog stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu

 

  • Člankom 32. stavkom 4. GDPR-a, koji se odnosi na sigurnost obrade osobnih podataka, predviđa se da voditelj obrade poduzima mjere kako bi osigurao da svaki pojedinac koji djeluje pod njegovom odgovornošću, a koji ima pristup tim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade

 

  • Dakle, zaposlenik voditelja obrade doista je pojedinac koji djeluje pod vodstvom tog voditelja obrade. Tako je na navedenom voditelju da osigura da njegovi zaposlenici pravilno primjenjuju njegove upute. Prema tome, voditelj obrade ne može se osloboditi odgovornosti na temelju članka 82. stavka 3. GDPR-a samo pozivanjem na nemar ili propust osobe koja djeluje pod njegovim vodstvom.

 

  • Stoga, kako bi se voditelj obrade mogao osloboditi od odgovornosti na temelju članka 82. stavka 3. GDPR-a, nije dovoljno da dokaže da je dao upute osobama koje djeluju pod njegovim vodstvom, u smislu članka 29. te uredbe, i da je jedna od navedenih osoba povrijedila svoju obvezu da slijedi te upute, tako da je pridonijela nastanku predmetne štete

 

  • Uzimajući u obzir ne kaznenu, nego kompenzacijsku funkciju članka 82. GDPR-a, okolnost da je voditelj obrade počinio više povreda u pogledu istog ispitanika ne može biti relevantan kriterij za procjenu naknade štete koju treba dodijeliti tom ispitaniku na temelju tog članka 82. GDPR-a. Naime, samo se šteta koju je taj ispitanik konkretno pretrpio mora uzeti u obzir kako bi se odredio iznos novčane naknade koju treba platiti kao naknadu štete

 

Image by master1305 on Freepik

#gdprcroatia