Cieľom tohto príspevku je priniesť výber niektorých prípadov týkajúcich sa uplatnenia nárokov na náhradu škody v súvislosti s porušením ochrany osobných údajov. Podľa GDPR by mali dotknuté osoby za preukázanie vzniknutej škody obdržať úplnú a účinnú náhradu, avšak rozhodovacia prax príslušných súdov jednotlivých jurisdikcií je rôzna. Vzniká dotknutým osobám právo na náhradu škody za porušenie GDPR od prevádzkovateľa?
V januári 2023 príslušný nemecký súd vo veci Hessisches LAG – 14 Sa 359/22 rozhodol, že porušením povinnosti prevádzkovateľa v súvislosti so žiadosťou dotknutej osoby o uplatnenie práva na prístup môže viesť k uplatneniu práva za škodu podľa čl. 82 GDPR, nakoľko sa týka spracúvania osobných údajov dotknutej osoby, aj keď samotné uplatnenie práva na prístup nie je možné považovať za spracúvanie. Okrem toho podľa právneho názoru príslušného súdu, na uplatnenie práva na náhradu škody – nemajetkovej ujmy – sa nevyžaduje zohľadnenie určitého stupňa závažnosti danej ujmy.
Prevádzkovateľ – zamestnávateľ dotknutej osoby – ukončil s dotknutou osobou pracovný pomer, nakoľko dotknutá osoba deklarovala svoju práceneschopnosť na základe sfalšovaných dokumentov. Dotknutá osoba si u prevádzkovateľa uplatnila právo na prístup k svojim osobným údajov podľa čl. 15 GDPR, pričom prevádzkovateľ dotknutej osobe požadované podklady a informácie neposkytol.
Dotknutá osoba podala žalobu z dôvodu neplatného skončenia pracovného pomeru a zároveň požadovala náhradu nemajetkovej ujmy podľa čl. 82 GDPR, a to z dôvodu nekonania vo veci žiadosti o prístup k osobným údajom.
Súd prvého stupňa žalobe dotknutej osobe vyhovel vrátane priznania náhrady škody vo výške 1000 € za porušenie čl. 15 GDPR. Prevádzkovateľ proti danému rozhodnutiu podal opravný prostriedok, následne aj dotknutá osoba namietala výšku priznanej náhrady škody.
Krajský pracovný súd v Hesensku potvrdil, že prevádzkovateľ svojim nekonaním porušil povinnosti podľa čl. 15 GDPR, nakoľko dotknutej osobe neodpovedal na žiadosť o prístup k jej osobným údajom vrátane neposkytnutia prístupu k žiadaným údajom v lehote podľa čl. 12 ods. 3 GDPR. Podľa názoru príslušného súdu, porušenie uvedenej povinnosti bola založená zodpovednosť za nemajetkovú ujmu, na uplatnenie ktorej sa nevyžaduje preukázanie určitého stupňa závažnosti.
Príslušný odvolací súd v ďalej inštancií zdôraznil, že náhrada škody má okrem kompenzačnej plniť aj preventívnu funkciu, a zároveň zvýšil celkovú sumu nároku na náhradu škodu na 2 000 €.
V roku 2022 Vyšší súd v Londýne priznal vo veci Geoffrey Driver v Crown Prosecution Service žalobcovi nárok na náhradu škodu len vo výške 250 £ a to z dôvodu vzniku „miernej ujmy“ z dôvodu porušenia ochrany osobných údajov.
Žalobca je známy politik v grófstve Lancashire bol v roku 2014 podozrivý zo spáchania trestného činu korupcie. Jednalo sa o medializovaný prípad pod názvom Operácia Sheridan. V súvislosti s vyšetrovaním daného prípadu bol žalobca v roku 2016 vzatý do väzby a to z dôvodu možného ovplyvňovania priebehu vyšetrovania. Polícia grófstva Lancashire následne postúpila riešenie prípadu vyššej inštancií – prokuratúre za účelom posúdenia obvinenia zo spáchania niekoľkých trestných činov.
Následne v roku 2019 právny zástupca prokuratúry zaslal e-mail osobe, ktorá poskytla informácie o medializovanom prípade v nasl, znení: „spis o obvinení bol postúpený vyšetrovaciemu tímu na ďalšie posúdenie.“ Táto osoba následne zaslala uvedený e-mail s menovaním žalobcu (a so svojimi priloženými komentármi) ďalej bez toho, aby si uvedené príjemcovia tejto správy vôbec všimli.
Na základe uvedeného sa žalobca pôvodne domáhal náhrady škody vo výške 2 000 £, ktorú podľa jeho tvrdenia utrpel na základe zaslania uvedeného e-mailu. Žalobca namietal porušenie predpisov na úseku ochrany osobných údajov (porušenie súkromia), čím podľa jeho vyjadrenia utrpel značný zásah do súkromia.
V roku 2019 podľa serveru fineport príslušný súd žalobcovi priznal náhradu nemajetkovej ujmy vo výške 10 000 CZK z dôvodu zásahu do jeho práva na súkromie, ktorý súvisel s porušením ochrany osobných údajov týkajúci sa úniku osobných údajov v medializovanom prípade Mall.cz.
Jednalo sa o prípad z roku 2017, kedy z dôvodu kybernetického útoku došlo k úniku osobných údajov najmenej 735 956 dotknutých osôb v rozsahu meno, priezvisko, e-mailová adresa, heslo k užívateľskému účtu prípadne telefonický kontakt klientov spoločnosti prevádzkujúcej e-shop Mall.cz (ďalej len „prevádzkovateľ“) a tieto dáta boli po dobu takmer 1 mesiaca dostupné na serveri ulozto.cz.
Český dozorný orgán vo svojom rozhodnutí z roku 2018 konštatoval porušenie povinnosti prijatia primeraných bezpečnostných opatrení, na základe čoho bola uložená pokuta vo výške 1,5 milión CZK.
Na účely čl. 82 GDPR má každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia GDPR právo na náhradu škody.
Zodpovednosť za škodu spôsobenú spracúvaním v rozpore s GDPR nesie prevádzkovateľ. V prípade sprostredkovateľa je táto zodpovednosť daná len v tom prípade, ak si sprostredkovateľ nesplnil povinnosť podľa GDPR alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade s legislatívnou na úseku ochrany osobných údajov.
Prevádzkovateľ alebo sprostredkovateľ môže byť zbavený zodpovednosti, ak nie je preukázaná žiadna zodpovednosť, ktorá spôsobila škodu.
V prípade spracúvania, na ktorom sa zúčastnilo viacero prevádzkovateľov alebo sprostredkovateľov, podľa čl. 82 ods. 4 GDPR, za celú škodu zodpovedá každý z nich, aby sa dotknutej osobe zabezpečila účinná náhrada.
V prípade zaplatenia náhrady spôsobenej škody v plnej výške, má prevádzkovateľ alebo sprostredkovateľ právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu (regres).
Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi vo veci uplatnenia náhrady škody a podávajú na príslušné súdy v zmysle čl. 72 ods. 2 GDPR.
Fyzická osoba má podľa § 13 Občianky zákonník (ďalej len „OZ“) právo najmä sa domáhať, aby sa upustilo od neoprávnených zásahov do práva na ochranu jej osobnosti, aby sa odstránili následky týchto zásahov a aby jej bolo dané primerané zadosťučinenie.
Pokiaľ by sa nezdalo postačujúce zadosťučinenie najmä preto, že bola v značnej miere znížená dôstojnosť fyzickej osoby alebo jej vážnosť v spoločnosti, má fyzická osoba tiež právo na náhradu nemajetkovej ujmy v peniazoch.
Výšku náhrady určí súd s prihliadnutím na závažnosť vzniknutej ujmy a na okolnosti, za ktorých k porušeniu práva došlo.
Podľa § 16 OZ, kto neoprávneným zásahom do práva na ochranu osobnosti spôsobí škodu, zodpovedá za ňu podľa ustanovení tohto zákona o zodpovednosti za škodu.
Napriek skutočnosti, že judikatúra iných jurisdikcií nie je pre Slovenskú Republiku záväzná, nižšie uvedené príklady z rozhodovacej praxe poskytujú základný prehľad uplatnených nárokov, podľa typov porušení ochrany osobných údajov. V súvislosti s inštitútom náhrady škody za porušenia GDPR treba však prihliadať na rozhodovaciu prax Súdneho dvora EÚ (napr. prípad vo veci C-300/21 z 04.05.2023 vo veci Österreichische Post AG).
12. 8. 2022
GDPR Nariadenie, Videoškolenia11. 3. 2022
Cookies, VideoškoleniaLegislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viac
Pomáhame firmám plniť legislatívne povinnosti .
Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.
Created by Wink & Nod
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Späť na blog 
