Vyberte stránku

Náhrada bagatelní nemajetkové újmy dle GDPR

30. 8. 2020

Zakládá každé porušení GDPR nárok na náhradu újmy? Má správce či zpracovatel povinnost kompenzovat jakoukoliv újmu? V tomto článku představím kategorii bagatelních zásahů a zdůvodním, že zanedbatelná nemajetková újma způsobená porušením GDPR není způsobilá k náhradě.

GDPR stanoví, že kdokoliv, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele její náhradu. GDPR dále výslovně uvádí, že subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly. Zakládá tedy každé porušení GDPR nárok na náhradu újmy? Má správce či zpracovatel povinnost kompenzovat jakoukoliv újmu? V tomto článku představím kategorii bagatelních zásahů a na základě konkrétních rozhodnutí soudů jiných členských států EU zdůvodním, že zanedbatelná nemajetková újma způsobená porušením GDPR není způsobilá k náhradě.

 

Ne každé porušení GDPR zakládá nárok na náhradu újmy

Jedním z předpokladů vzniku nároku na náhradu újmy dle čl. 82 GDPR je porušení tohoto nařízení správcem či zpracovatelem. K porušení GDPR může dojít mnoha způsoby (např. zpracováním osobních údajů bez náležitého právního titulu, zpracováním osobních údajů pro jiný než deklarovaný účel či nedodržením příslušného standardu ochrany osobních údajů).

Ne každé porušení GDPR způsobí subjektu údajů škodu či nemajetkovou újmu. Mnoho deliktů může mít čistě formální povahu bez jakéhokoliv dopadu na práva a svobody subjektů údajů (např. balík povinností týkající se vedení vnitřní dokumentace mezi něž patří povinnost vést záznamy o činnostech zpracování dle čl. 30 GDPR).

Na druhou stranu mnoho porušení GDPR způsobuje zásah do práva člověka na informační sebeurčení, tj. do práva rozhodnout se „zda, popř. v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům.“[1] Člověk, jehož osobní údaje byly obsaženy v klientské databázi na ztraceném notebooku, totiž může důvodně pociťovat zásah do svého práva na informační sebeurčení a z toho plynoucí nemajetkovou újmu (stres ze ztráty soukromí, obavy ze zneužití údajů apod.).

Neohlášení ztráty notebooku s klientskou databází je opomenutí, kterým správce porušil GDPR, za což mu hrozí pokuta. Nicméně samotný fakt, že správce porušil GDPR ještě neznamená, že subjektům údajů, jejichž osobní údaje byly v databázi obsaženy, vznikla škoda či nehmotná újma.

 

Náhrada škody způsobené porušením GDPR

U škody je situace poměrně jednoduchá. Její náhradu může subjekt údajů požadovat, pokud v důsledku porušení GDPR povinným subjektem došlo ke zmenšení jeho majetku (skuteční škoda) či k nezvýšení jeho majetku, ač se to dalo důvodně očekávat s ohledem na pravidelný běh věcí (ušlý zisk). Tradiční komplikací je prokázání příčinné souvislosti mezi protiprávním jednáním a ušlým ziskem. Toto však není žádné specifikum GDPR. Pokud tedy ztráta notebooku s databází nevedla ke zmenšení majetku či k jeho nerozmnožení, nelze o vzniku škody uvažovat.

 

Náhrada nemajetkové újmy způsobené porušením GDPR

U nemajetkové újmy je situace komplikovanější. Jak bylo uvedeno výše, ne každý zásah do soukromí člověka a jeho práva na informační sebeurčení dává vzniknout nároku na náhradu nemajetkové újmy. I pokud nějaká újma vznikla, ještě to automaticky neznamená nárok na její kompenzaci. Zásahy, které způsobují pouze zanedbatelnou újmu, německé soudy označují jako bagatelní zásahy (tzv. „Bagatellverstöße“). Tyto zásahy nezakládají právo na náhradu nemajetkové újmy.[2]

Konkrétním příkladem zanedbatelné nemajetkové újmy může být újma způsobená neoprávněným užití profesní emailové adresy obsahující jméno a příjmení člověka k rozesílce obchodních sdělení. Toto nakládání s emailovou adresou nepochybně představuje porušení GDPR, zákona č. 480/2004 Sb. i zásah do soukromí a informačního sebeurčení daného člověka. Svou intenzitou však obvykle nebude dostačovat ke vzniku nemajetkové újmy, ale pouze k potížím či nepříjemným pocitům (odesilatele je nutné v emailovém klientu zablokovat, což může zejména v pondělí ráno zasáhnout duševní pohodu člověka[3]). Tyto drobné zásahy nemusí být odškodňovány. K závěru o tom, že neoprávněné zpracování emailové adresy za účelem rozesílky spamu sice porušuje GDPR, ale nezakládá právo na náhradu nemajetkové újmy dospěl Okresní soud v Diez ve svém rozhodnutí ze dne 7. 11. 2018.[4]

Dne 11. 6. 2019 zamítl Zemský soud v Drážďanech žalobu na náhradu nemajetkové újmy vůči společnosti Facebook spočívající v tom, že žalovaná smazala žalobci jeho příspěvek a na tři dny zablokovala jeho účet. Soud své rozhodnutí odůvodnil tak, že pouhá ztráta dat či blokace účtu ještě neznamenají újmu ve smyslu čl. 82 GDPR. Tvrzená nemajetková újma byla pouze bagatelní a ani odkaz na recitál 146 GDPR její náhradu neodůvodňuje.[5]

V souladu s principem bagatelních zásahů rozhodl i Vrchní zemský soud v Innsbrucku dne 13. 2. 2020 spor o náhradu nemajetkové újmy způsobené neoprávněným zpracováním citlivých osobních údajů o politických preferencích společností Österreichische Post AG. Soud uvedl, že subjekt údajů, který požaduje náhradu nemajetkové újmy musí tvrdit a prokazovat jaký konkrétní (významný) zásah do jeho emocionální sféry neoprávněné zpracování osobních údajů mělo. Dále soud velmi trefně uvádí, že pouhá ztráta kontroly (tj. zásah do práva na informační sebeurčení) nebo porušení právní normy (GDPR či zákona) jako takové nepředstavuje nemajetkovou újmu. Vznik nároku však může zakládat obava, že konkrétní únik dat může vést k zásahu do budoucí ekonomické situace subjektu údajů či jeho sociálního života.[6]

K mírně odlišnému závěru ohledně bagatelních zásahů oproti výše uvedeným rozhodnutím rakouských a německých soudů dospěl Okresní soud Severní Holandsko, který žalobci přiznal právo na náhradu nemajetkové újmy ve výši 250 EUR za nezákonné zpracování osobních údajů. Soud zdůraznil, že „Článek 82 GDPR stanoví, že kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou n, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Veškerá újma musí být nahrazena a pojem újma musí být – v souladu s cíli GDPR – vykládán široce (recitál 146 GDPR), což znamená, že pouhá skutečnost, že újmu nelze přesně kvantifikovat a že může být relativně malého rozsahu, nemůže představovat důvod pro zamítnutí jakéhokoli nároku na náhradu újmy.“[7]

Zcela odlišné stanovisko k bagatelním zásahům zaujal Odvolací soud Anglie a Walesu, který dne 17. 7. 2019 rozhodl, že žalobce má nárok na náhradu nemajetkové újmy způsobené ztrátou kontroly nad jeho osobními údaji, aniž by musel prokázat vznik škody či emoční újmy.[8] Je nutné poznamenat, že soud v tomto případě nerozhodoval podle čl. 82 GDPR, ale na základě čl. 13 zákona o ochraně osobních údajů Spojeného království z roku 1998, kterým byl implementován čl. 23 odst. 1 směrnice 95/46/ES.[9] Domnívám se však, že soud by ke shodnému závěru dospěl i dle čl. 82 GDPR, jelikož konstrukce odpovědnosti správce za újmu dle směrnice 95/46/ES a GDPR je v zásadě totožná.

 

Závěr

Porušení povinnosti dle GDPR ještě samo o sobě nezakládá nárok na náhradu škody či nemajetkové újmy. V souladu se závěry rakouských a německých soudů jsem přesvědčen, že ke vzniku nároku na náhradu nemajetkové újmy musí dotčený subjekt tvrdit a prokazovat konkrétní a významný (nikoliv pouze bagatelní) zásah do jeho emocionální sféry, který vznikl v příčinné souvislosti s porušením GDPR. Pouhá ztráta kontroly nad osobními údaji (tj. zásah do práva na informační sebeurčení) či porušení GDPR nárok na náhradu nemajetkové újmy nezakládá.

 

[1] Nález Ústavního soudu ze dne 22. března 2011, sp. zn. Pl. ÚS 24/10, bod 29.

[2] Viz např. rozhodnutí Zemského soudu v Drážďanech ze dne 11. 6. 2019, sp. zn. 4 U 760/19 dostupné online zde https://www.datenschutz.eu/urteile/Bei-bloßen-Bagatellverstoeßen-ohne-ernsthafte-Beeintraechtigung-fuer-das-Selbstbild-oder-Ansehen-einer-Person-besteht-kein-Schadensersatzanspruch-nach-Art-82-DSGVO-Dresden-Oberlandesgericht-20190611/

[3] S rozvojem technologií dochází ke vzniku nových způsobů zásahu do soukromí člověka, na druhou stranu přibývá i nástrojů k jeho ochraně. Technologický vývoj bychom měli vždy brát v úvahu, a to i při posuzování vzniku nemajetkové újmy. Stejně jako se vyvíjí obsah pojmů dobré mravy či veřejný pořádek, vyvíjí se i obsah práva na soukromí a z něj plynoucího práva na informační sebeurčení.

[4] Žalovaný v tomto případě doručil do emailové schránky žalobce nevyžádané obchodní sdělení, za což žalobce požadoval náhradu nemajetkové újmy ve výši 500 EUR. Soud rozhodl, že porušení GDPR samo o sobě nezakládá nárok na náhradu nemajetkové újmy a že újma způsobená bagatelním zásahem („Bagatellverstöße“) se nenahrazuje. Srov. rozhodnutí Okresního soudu v Diez ze dne 7. 11. 2018, sp. zn. 8 C 130/18, dostupné online zde: https://gdprhub.eu/index.php?title=AG_Diez_8_C_130/18_7.11.2018.

Shodně též rozhodnutí Okresního soudu v Bochumi ze dne 11. 3. 2019, sp. zn. 65 C 485/18, dostupné online zde: https://www.justiz.nrw.de/nrwe/lgs/bochum/ag_bochum/j2019/65_C_485_18_Beschluss_20190311.html.

[5] Viz rozhodnutí Zemského soudu v Drážďanech ze dne 11. 6. 2019, sp. zn. 4 U 760/19 dostupné online zde https://www.datenschutz.eu/urteile/Bei-bloßen-Bagatellverstoeßen-ohne-ernsthafte-Beeintraechtigung-fuer-das-Selbstbild-oder-Ansehen-einer-Person-besteht-kein-Schadensersatzanspruch-nach-Art-82-DSGVO-Dresden-Oberlandesgericht-20190611/

[6] Viz rozhodnutí Vrchního zemského soudu v Innsbrucku dne 13. 2. 2020, sp. zn. 1 R 182/19b, dostupné online zde: https://gdprhub.eu/index.php?title=OLG_Innsbruck_-_1_R_182/19b.

[7] Viz odstavec 4.106 rozhodnutí Okresního soudu Severní Holandsko ze dne 15. 1. 2020, sp. zn. C / 18 / 189406 / HA ZA 19-6, dostupné online zde: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBNNE:2020:247.

[8] Srov. rozhodnutí Odvolacího soudu Anglie a Walesu ze dne 17. 7. 2019, sp. zn. [2019] EWCA Civ 1599, dostupné online zde: https://www.bailii.org/ew/cases/EWCA/Civ/2019/1599.html.

[9] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.