Съдът на ЕС разглежда случая, в който администратор отказва достъп до данни, твърдейки, че искането е част от схема за получаване на обезщетения.

Фактическа обстановка

Спорът възниква между физическо лице и семейно оптично предприятие. Лицето се абонира за информационния бюлетин на предприятието, като предоставя личните си данни. Само 13 дни по-късно то изпраща искане за достъп до тези данни на основание Общия регламент относно защитата на данните (GDPR).

Предприятието, в ролята си на администратор на лични данни, отказва да предостави информацията. Администраторът твърди, че искането представлява злоупотреба с право, тъй като лицето системно подава подобни искания до различни компании с единствената цел да получи обезщетение за вреди. Впоследствие субектът на данни предявява и претенция за обезщетение в размер на 1000 евро за претърпени неимуществени вреди поради отказа.

Администраторът сезира германски съд, който от своя страна отправя преюдициално запитване до Съда на Европейския съюз (СЕС) с няколко ключови въпроса относно тълкуването на GDPR.

Правни изводи на Съда на ЕС

В своето решение Съдът дава важни разяснения по няколко основни въпроса, свързани с правото на достъп и правото на обезщетение по GDPR.

Може ли първо искане за достъп да бъде „прекомерно“?

Съдът приема, че дори първото искане за достъп до лични данни може да бъде счетено за „прекомерно“ по смисъла на чл. 12, параграф 5 от GDPR, което дава право на администратора да откаже да предприеме действия по него. Това обаче е изключение, което трябва да се тълкува стеснително и да се прилага при високи критерии.

За да се позове на злоупотреба с право, администраторът трябва да докаже наличието на два елемента:

• Обективен елемент: Въпреки формалното спазване на правилата, целта на правото на достъп (да се провери законосъобразността на обработването) не е постигната.
• Субективен елемент: Налице е намерение от страна на субекта на данни да получи облага (например обезщетение), като изкуствено създава условията за това.

С други думи, администраторът трябва да докаже, че искането не е подадено, за да се упражни контрол върху личните данни, а с намерение за злоупотреба. Съгласно решението, за установяване на такова намерение може да се вземе предвид и публично достъпна информация, че субектът на данни е подавал множество подобни искания и претенции за обезщетение до други администратори.

Право на обезщетение при отказ на достъп

Съдът на ЕС разглежда въпроса дали правото на обезщетение по чл. 82 от GDPR възниква само при незаконосъобразно обработване на данни, или и при други нарушения на регламента.

СЕС категорично постановява, че правото на обезщетение обхваща вреди, произтичащи от всяко нарушение на GDPR, а не само от незаконосъобразно обработване. Според Съда, ако правото на обезщетение се ограничи само до случаи на обработване, права като правото на достъп, на коригиране или на изтриване, биха били значително отслабени.

Следователно, нарушението на правото на достъп, предвидено в чл. 15 от GDPR, може да бъде основание за присъждане на обезщетение за претърпени вреди.

Какво представляват неимуществените вреди?

По последния ключов въпрос решението разяснява, че неимуществените вреди могат да включват загубата на контрол върху личните данни или несигурността на лицето дали данните му са били обработвани.

Въпреки това, Съдът подчертава, че наличието на вреда не се предполага автоматично от самото нарушение. Субектът на данни трябва да докаже, че действително е претърпял такава вреда, макар и минимална. Обикновена загриженост или опасения не са достатъчни – те трябва да са основателни с оглед на конкретните обстоятелства.

Най-важният извод тук е свързан с причинно-следствената връзка. Ако се установи, че субектът на данни е действал с намерение за злоупотреба и сам е предизвикал ситуацията (например, предоставил е данни с цел да създаде основание за иск), то неговото действие прекъсва връзката между нарушението на администратора и претърпяната вреда. В такъв случай, той не би имал право на обезщетение, тъй като сам е основната причина за вредата.