Vjerojatno se i netko o čitatelja ovog posta, kao i njegov autor, susreo sa slučajem otvorene kuverte u kojoj su bili dokumenti ili dopisi s našim osobnim podacima.
U našem slučaju je uzrok tome bilo pogrešno dostavljena pošiljka u tuđi poštanski sandučić, čiji vlasnik je automatizmom otvorio kuvertu i shvatio da nije za njega.
Usporediv slučaj dogodio se u Njemačkoj, gdje je kuverta s poreznim rješenjem, uključujući ime i prezime, datum rođenja poreznog obveznika i njegove djece, poreznim brojevima, bankovnim podacima, profesiji i poslodavcima, podacima o pripadnosti određenoj crkvenoj zajednici i invaliditetu članova obitelji, isporučena pogreškom na drugu adresu na kojoj ju je netko otvorio. Stvarni primatelj kuverte je kasnije istu dobio otvorenu, ali bez prethodno navedene dokumentacije.
Razumno je stvarni primatelj kuverte po dobivanju otvorene kuverte, u kojoj su nedostajali dokumenti s nizom osobnih podataka, bio itekako zabrinut i ljut na sve uključene u proces dostave ovako osjetljivih podataka pa je sudskim putem zatražio naknadu nematerijalne štete pred lokalnim sudom, koji je ovaj slučaj proslijedio na Europski sud sa zahtjevom za prethodnom odlukom.
Presuda Europskog suda u predmetu C-590/22 je ovdje:
Izdvajamo iz presude:
- Pravo na naknadu nematerijalne štete koju je pretrpio ispitanik postoji ako se primjenjuju tri kumulativna uvjeta:
- Da se radi o kršenju GDPR-a
- Da je pojedincu nanesena materijalna ili nematerijalna šteta koja proizlazi iz kršenja GDPR-a
- Da postoji uzročna veza između dotičnog kršenja GDPR-a i pretrpljene štete kako bi se utvrdilo pravo na naknadu štete.
- To znači da samo kršenje GDPR-a ne znači i da postoji pravo na naknadu štete
- Stoga osoba koja zahtijeva naknadu nematerijalne štete mora dokazati ne samo povredu odredbi GDPR-a nego i da joj je ta povreda prouzročila takvu štetu
- Bojazan da će treća osoba zloupotrebljavati osobne podatke ispitanika koju on proživljava uslijed povrede te uredbe može sama po sebi predstavljati „nematerijalnu štetu” u smislu članka 82. stavka 1. GDPR-a
- Gubitak nadzora nad osobnim podacima, čak i tijekom kratkog razdoblja, može predstavljati „nematerijalnu štetu” u smislu članka 82. stavka 1. GDPR‑a, koja daje pravo na naknadu, pod uvjetom da navedena osoba dokaže da je stvarno pretrpjela takvu štetu
- Osoba koja smatra da su njezini osobni podaci bili obrađeni protivno relevantnim odredbama GDPR -a i traži naknadu na temelju članka 82. stavka 1. GDPR-a stoga mora dokazati da je stvarno pretrpjela materijalnu ili nematerijalnu štetu
- Stoga puka tvrdnja o bojazni, bez dokazane negativne posljedice, ne može dovesti do naknade štete
- S obzirom na prethodno navedeno, članak 82. stavak 1. GDPR-a treba tumačiti na način da je bojazan osobe da su njezini osobni podaci zbog povrede GDPR-a otkriveni trećim osobama, a da se pritom ne može utvrditi da je to stvarno bio slučaj, dovoljan temelj za pravo na naknadu štete, pod uvjetom da je ta bojazan, sa svojim negativnim posljedicama, propisno dokazana.
Više o slučaju otvorene kuverte:
https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91590/22_-_PS_(Adresse_erronnee)&mtc=today
Image from FreePik
#gdprcroatia
