Από την C-300/21 Österreichische Post , την πρώτη απόφαση του ΔΕΚ για ηθική βλάβη βάσει του GDPR, το ΔΕΚ έχει εκδώσει πολλές άλλες αποφάσεις σχετικά με το θέμα ( C-340/21 Natsionalna agentsia za prihodite , C-667/21 Krankenversicherung Nordrhein , C-456/22 Gemeinde Ummendorf και C‑687/21 MediaMarktSaturn ). Φαίνεται ότι υπάρχει αξιοσημείωτη προσπάθεια από το Δικαστήριο να δημιουργήσει μια αξιόπιστη νομολογία για ηθική βλάβη. Πράγματι, όλες οι αποφάσεις ανατέθηκαν και αποφασίστηκαν από το τρίτο τμήμα δυνάμει του άρθρου 60 του Κανονισμού Διαδικασίας του Δικαστηρίου. Αυτή η ανάρτηση αναλύει τις μεταγενέστερες υποθέσεις μετά την Österreichische Post για να εμπλουτίσει την αντίληψη του Δικαστηρίου περί ηθικής βλάβης βάσει του άρθρου 82 του ΓΚΠΔ και να αναλύσει κατά πόσο μια συνεκτική προσέγγιση προκύπτει από τη νομολογία.
Απαιτήσεις
Βάσει του άρθρου 82 παράγραφος 2 του ΓΚΠΔ, το Δικαστήριο οριοθετεί τρία σωρευτικά στοιχεία για ηθική βλάβη ( Österreichische Post at 36, Natsionalna agentsia za prihodite 77, Gemeinde Ummendorf 14, Krankenversicherung Nordrhein 82 και MediaMarktSaturn at 36):
- Παραβίαση του GDPR
- Βλάβη
- Μια αιτιώδης συνάφεια μεταξύ της παράβασης και της ζημίας
Μόλις τεθούν σε εφαρμογή αυτά τα τρία στοιχεία, ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την ηθική βλάβη και πρέπει να αποζημιώσει τον ενάγοντα σύμφωνα με το άρθρο 82 παράγραφος 1 του ΓΚΠΔ.
(1) Παράβαση
Σύμφωνα με το άρθρο 82 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας πρέπει να αποζημιώσει για ζημία που προέκυψε ως συνέπεια παραβίασης του GDPR ( Österreichische Post at 31). Ωστόσο, η απλή παραβίαση δεν αρκεί για να παρέχει δικαίωμα αποζημίωσης ( MediaMarktSaturn 58, Österreichische Post 33 και 34). Αυτό συμβαίνει επειδή τα τρία στοιχεία είναι αθροιστικά (όπως φαίνεται παραπάνω).
Η παραβίαση του GDPR δεν μπορεί να προσδιοριστεί απλώς από το γεγονός ότι υπήρξε, για παράδειγμα, παραβίαση δεδομένων ( MediaMarktSaturn στο 45). Στο MediaMarktSaturn , η ακρόαση μιας αγωγής αποζημίωσης βάσει του άρθρου 82 πρέπει επίσης να λαμβάνει υπόψη όλα τα στοιχεία που παρέχει ο υπεύθυνος επεξεργασίας για να αποδείξει, για παράδειγμα, ότι τα τεχνικά και οργανωτικά μέτρα του ήταν επαρκή και, ως εκ τούτου, συμμορφώνονταν με τα άρθρα 24 και 32 GDPR ( MediaMarktSaturn στα 44).
Με άλλα λόγια, για να εξακριβώσει εάν σημειώθηκε « παραβίαση » στη συγκεκριμένη περίπτωση, το Δικαστήριο φαίνεται να εξετάζει όχι μόνο τις πραγματικές συνέπειες αυτής ( δηλ . εάν ο υπεύθυνος επεξεργασίας έχασε τον έλεγχο των προσωπικών δεδομένων μετά από παραβίαση). Καθορίζει επίσης εάν αυτό το συμβάν μπορεί να αποδοθεί στον υπεύθυνο επεξεργασίας από την άποψη της πρόθεσης ή της υπαιτιότητας (μήπως ο υπεύθυνος επεξεργασίας ήθελε αυτό το συμβάν ή ήταν αμέλεια όταν υιοθέτησε εύλογα αντίμετρα;). Φαίνεται ότι ένας υπεύθυνος επεξεργασίας μπορεί να χρησιμοποιήσει την έλλειψη πρόθεσης ή αμέλειας για να επιχειρηματολογήσει κατά της υποτιθέμενης παράβασής του. Για παράδειγμα, εάν σημειωθεί παραβίαση αλλά ο υπεύθυνος επεξεργασίας απέδειξε ότι δεν ήταν αμελής και διέθετε τα απαραίτητα τεχνικά και οργανωτικά μέτρα, τότε αναμφισβήτητα δεν υπάρχει παράβαση και η αξίωση αποζημίωσης θα τελείωνε εδώ.
(2) Ζημιά
Η αιτιολογική σκέψη 85 του GDPR παρέχει έναν μη δεσμευτικό κατάλογο με το τι θα μπορούσε να συνιστά υλική ή μη υλική ζημία σύμφωνα με τον GDPR. Απαριθμεί τα ακόλουθα: «απώλεια ελέγχου επί […] προσωπικών δεδομένων, περιορισμός […] δικαιωμάτων, διακρίσεις, κλοπή ταυτότητας ή απάτη, οικονομική ζημία, μη εξουσιοδοτημένη ανατροπή της ψευδωνυμοποίησης, βλάβη στη φήμη, απώλεια εμπιστευτικότητας προσωπικών δεδομένων που προστατεύονται από επαγγελματικό απόρρητο ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο».
Το πρώτο από αυτόν τον κατάλογο – απώλεια ελέγχου επί των προσωπικών δεδομένων – έχει διευκρινιστεί περαιτέρω και ορίζεται μάλλον ευρύτερα από το ΔΕΚ. Ο φόβος που προέρχεται από την απώλεια του ελέγχου των προσωπικών δεδομένων από παραβίαση του GDPR είναι αρκετός για να προκαλέσει ηθική βλάβη ( Natsionalna agentsia za prihodite at 80). Ο χρόνος που αισθάνεται ο ενάγων ο φόβος μπορεί να είναι σύντομος. Στο Gemeinde Ummendorf , λίγες ημέρες, οι οποίες δεν είχαν αξιοσημείωτες συνέπειες για τον ενάγοντα πέρα από τον ίδιο τον φόβο, ήταν αρκετές για ηθική βλάβη ( Gemeinde Ummendorf στο 22). Αυτό αποτελεί συνέχεια μιας προηγούμενης απόφασης, η οποία καταργώντας ένα όριο σοβαρότητας για ηθικές ζημίες, επιτρέπει σε όλες τις ηθικές ζημίες, ακόμη και αν είναι περιορισμένης έκτασης, να οδηγήσουν σε πιθανές αξιώσεις ( Österreichische Post στο 49). Ο ίδιος ο φόβος είναι επαρκής, καθώς δεν απαιτείται η ζημία να συνδέεται με πραγματική κακή χρήση των δεδομένων από τρίτους μέχρι τη στιγμή της αξίωσης ( Natsionalna agentsia za prihodite at 79). Ούτε χρειάζεται ο ενάγων να αποδείξει ότι υπήρξε κατάχρηση εις βάρος του ( Natsionalna agentsia za prihodite στα 82 και Gemeinde Ummendorf στα 22). Επομένως, αρκεί η παραβίαση του GDPR να συνδέεται με τον φόβο του ενάγοντα ότι τέτοια κατάχρηση μπορεί να συμβεί στο μέλλον.
Αυτή είναι μια ευρεία ανάγνωση της απώλειας ελέγχου. Όπως σημειώθηκε από την AG Pitruzzella, ο GDPR δεν αναφέρει ότι ο φόβος θα πρέπει να δημιουργήσει λόγο για αποζημίωση για ηθική βλάβη ( Γνωμοδότηση AG στην υπόθεση C‑340/21 , 78). Υπάρχει αναμφίβολα «μια λεπτή γραμμή μεταξύ της απλής αναστάτωσης (η οποία δεν είναι επιλέξιμη για αποζημίωση) και της πραγματικής ηθικής βλάβης (η οποία είναι επιλέξιμη για αποζημίωση)» ( Γνωμοδότηση AG στην υπόθεση C‑340/21 , 83). Το Δικαστήριο εν προκειμένω θα μπορούσε να είχε προχωρήσει σε οποιαδήποτε από τις δύο κατευθύνσεις, ειδικά σε μια υπόθεση σχετικά με τα πραγματικά περιστατικά όπως η Natsionalna agentsia za prihodite, όπου ο φόβος που υπέστη ο ενάγων για πιθανή κατάχρηση προσωπικών δεδομένων στο μέλλον δεν είχε τεκμηριωθεί κατάχρηση και ο ενάγων δεν είχε υποστεί περαιτέρω βλάβη ( Γνώμη AG στην υπόθεση C-340/21 , 77). Ωστόσο, επειδή ο ορισμός της ζημίας πρέπει να είναι «ευρύς» και να επιτρέπει την « πλήρη και αποτελεσματική» αποζημίωση σύμφωνα με την αιτιολογική σκέψη 146 του GDPR, η AG Pitruzzella δήλωσε ότι το Δικαστήριο πρέπει να θεωρήσει ότι ο ίδιος ο φόβος είναι επαρκής ( Γνωμοδότηση AG στο C- 340/21 στις 71 και 77). Το Δικαστήριο όχι μόνο ακολούθησε τη γνώμη της AG στη σκέψη 81 της απόφασης, αλλά έχει αναφερθεί με συνέπεια στο ευρύτερο σημείο της αιτιολογικής σκέψης 146 στις μεταγενέστερες αποφάσεις του για ηθική βλάβη ( Gemeinde Ummendorf στις 19 και 20 και MediaMarktSaturn στις 65).
Ωστόσο, το ΔΕΚ δεν προχώρησε στο να θεμελιώσει τεκμήριο ότι όλες οι παραβάσεις θα οδηγούσαν σε ζημία (βλ. γνωμοδότηση AG στην υπόθεση C‑340/21 στο 74). Ο ενάγων πρέπει ακόμη να δείξει τις συνέπειες από την παράβαση ( Österreichische Post στο 50 και MediaMarktSaturn στο 60). Έτσι, πρέπει να δείξουν ότι έχουν υποστεί πραγματική ζημιά, όσο ελάχιστη κι αν είναι ( Gemeinde Ummendorf στο 22). Το βάρος της απόδειξης φέρει επίσης ο ενάγων να δείξει αυτή τη ζημιά ( MediaMarkt στα 61 και 68 και Natsionalna agentsia za prihodite στα 84). Αυτό είναι λογικό δεδομένου ότι ο ενάγων είναι ο μόνος που έχει βιώσει τη ζημία (για παράδειγμα, φόβο) και είναι σε θέση να την αποδείξει.
Ίσως σε αυτή τη λογική οφείλεται το γεγονός ότι το ΔΕΚ (σχετικά με την έννοια της απώλειας ελέγχου) δήλωσε επίσης ότι ο φόβος πρέπει να είναι «βάσιμος» και ότι ο κίνδυνος δεν μπορεί να είναι υποθετικός ( MediaMarkt στα 67 και 68 και Natsionalna agentsia za prihodite στα 85). Ενώ εναπόκειται στα εθνικά δικαστήρια να καθορίσουν εάν πληρούνται αυτές οι απαιτήσεις ( MediaMarktSaturn στις 67 και 6), το ΔΕΚ ωστόσο έκρινε ότι η αποκάλυψη δεδομένων σε τρίτο μέρος, που δεν γνώριζε γι' αυτό, δεν θα οδηγούσε σε άυλη ζημιές ( MediaMarktSaturn στο 69). Σε αυτή την περίπτωση, ήταν σαφές ότι ο κίνδυνος ήταν αβάσιμος. το τρίτο μέρος δεν έλαβε ποτέ γνώση των προσωπικών δεδομένων κατά τη διάρκεια της παραβίασης και το έγγραφο που περιείχε τα δεδομένα επιστράφηκε εντός μισής ώρας. Έτσι, ο φόβος που συνδέεται με αυτόν τον λεγόμενο υποθετικό κίνδυνο αποδείχθηκε ανεπαρκής για ηθική βλάβη. Εάν ο ενάγων δεν μπορεί να αποδείξει ζημία όπως ορίζεται παραπάνω, τότε η επιτυχής αξίωση αποζημίωσης θα λήξει επίσης σε αυτό το σημείο.
(3) Αιτιωτικός σύνδεσμος
Πρέπει να υπάρχει αιτιώδης συνάφεια μεταξύ της παράβασης και της ζημίας ( Österreichische Post στο 32 και σύμφωνα με το άρθρο 82 παράγραφος 1 του ΓΚΠΔ). Το Δικαστήριο δεν έχει ακόμη αναπτύξει λεπτομερώς αυτό το κριτήριο, αλλά μπορεί να συναχθεί ότι ο ενάγων θα πρέπει να αποδείξει ότι υπάρχει κάποια μορφή εύλογης σχέσης μεταξύ της παράβασης και της ζημίας τους. Εάν δεν υπάρχει αιτιώδης συνάφεια, συνεπάγεται ότι δεν μπορεί να υπάρχει δικαίωμα αποζημίωσης βάσει του άρθρου 82 του ΓΚΠΔ.
Το γεγονός ότι η ζημία προκλήθηκε από τρίτο μέρος, όπως ορίζεται στο άρθρο 4 παράγραφος 10 του GDPR, και όχι από τον ίδιο τον υπεύθυνο επεξεργασίας, δεν αποτελεί περιοριστικό παράγοντα. Το άρθρο 4 παράγραφος 10 του ΓΚΠΔ ορίζει ότι τρίτα μέρη τελούν υπό την «άμεση εξουσία» του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα. Το Δικαστήριο στο Natsionalna agentsia za prihodite διαπίστωσε ότι οι χάκερ είναι τρίτα μέρη σύμφωνα με το άρθρο 4 παράγραφος 10 του GDPR ( στο 71). Έτσι, το άρθρο 4 παράγραφος 10 έχει ερμηνευθεί ευρέως υπό την έννοια ότι δεν απαιτεί από τρίτους να είναι υπάλληλοι του υπεύθυνου επεξεργασίας ή να υπόκεινται στον έλεγχό του ( στο 66). Ωστόσο, για να καταλογιστεί η πράξη τρίτου στον υπεύθυνο επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να έχει καταστήσει δυνατή την παραβίαση καταρχάς παραλείποντας να συμμορφωθεί με τις υποχρεώσεις του GDPR, για παράδειγμα, με την αποτυχία εφαρμογής των κατάλληλων τεχνικών και οργανωτικών μέτρων ( στο 71 ).
άμυνες
Η ευθύνη υπόκειται σε υπαιτιότητα του υπεύθυνου επεξεργασίας, το οποίο προϋποτίθεται, εκτός εάν αποδείξει ότι «δεν είναι σε καμία περίπτωση υπεύθυνος» για το γεγονός που προκάλεσε τη ζημία ( MediaMarkt στο 52, αιτιολογική σκέψη 146 GDPR και Natsionalna agentsia za prihodite στα 37 και 69). Οι περιστάσεις υπό τις οποίες ο υπεύθυνος επεξεργασίας μπορεί να ισχυριστεί ότι απαλλάσσεται από την αστική ευθύνη σύμφωνα με το άρθρο 82 του ΓΚΠΔ είναι «αυστηρά περιορισμένες» σε εκείνες στις οποίες ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι η ζημία δεν μπορεί να αποδοθεί σε αυτόν ( Natsionalna agentsia za prihodite at 70). Εναπόκειται ρητά στον υπεύθυνο επεξεργασίας να αντικρούσει αυτό το τεκμήριο σφάλματος ( Krankenversicherung Nordrhein στο 94 και επίσης Natsionalna agentsia za prihodite στο 69 και 70). Αυτή η κατανομή του βάρους απόδειξης στον υπεύθυνο επεξεργασίας διασφαλίζει ότι διατηρείται η αποτελεσματικότητα του δικαιώματος αποζημίωσης (άρθρο 82 ΓΚΠΔ) ( MediaMarktSaturn στο 42).
Παραμένουν ερωτήματα σχετικά με το είδος της άμυνας του άρθρου 82 παράγραφος 3 και πώς σχετίζεται ευρύτερα με την έννοια της ηθικής βλάβης. Για παράδειγμα, εάν προϋποτίθεται ευθύνη (η σχέση μεταξύ υπαιτιότητας του υπεύθυνου επεξεργασίας και ζημίας), σημαίνει αυτό ότι προϋποτίθεται και η αιτιώδης συνάφεια (μεταξύ της παράβασης και της ζημίας); Επομένως, το άρθρο 82 παράγραφος 3 του ΓΚΠΔ αποτελεί άμυνα κατά της αιτιώδους συνάφειας ή ξεχωριστή γενική άμυνα κατά της ευθύνης; Επιπλέον, αυτό το τεκμήριο υπαιτιότητας σημαίνει επίσης ότι η πρόθεση ή η αμέλεια πρέπει να γίνει μαχητό τεκμήριο όταν αποφασίζεται για παράβαση; Αυτά είναι ερωτήματα που αναπόφευκτα θα προκύψουν ενώπιον του ΔΕΚ στο μέλλον.
Αποζημίωση
Το άρθρο 82 παράγραφος 1 του ΓΚΠΔ έχει αντισταθμιστική αντί τιμωρητική λειτουργία ( MediaMarktSaturn στο 48). Η αποζημίωση περιορίζεται στη χρηματική αποζημίωση και θα πρέπει να αποζημιώνει πλήρως μόνο τη ζημία που υπέστη η παραβίαση του GDPR ( Krankenversicherung Nordrhein στο 84 έως 87, Österreichische Post στο 58 και MediaMarktSaturn στο 54). Λόγω αυτής της αντισταθμιστικής λειτουργίας, τα εθνικά δικαστήρια δεν πρέπει να εξετάζουν τη συμπεριφορά του υπεύθυνου επεξεργασίας κατά τον ποσοτικό υπολογισμό των ηθικών ζημιών. Η αποζημίωση δεν θα επηρεαστεί από τον βαθμό ευθύνης του υπεύθυνου επεξεργασίας και δεν έχει σημασία αν υπήρξε πρόθεση ή αμέλεια από την πλευρά του ελεγκτή ( Krankenversicherung Nordrhein στις 86, 87 και 102 και MediaMarktSaturn στο 48).
Η τελική αποζημίωση πρέπει να είναι «πλήρης και αποτελεσματική» (αιτιολογική σκέψη 146 του GDPR). Αυτό σημαίνει ότι οι εθνικοί κανόνες πρέπει να επιτρέπουν τη διεκδίκηση αποζημίωσης ( Österreichische Post at 56). Ωστόσο, εναπόκειται στα εθνικά δικαστήρια να καθορίσουν το ακριβές ποσό της χρηματικής αποζημίωσης σύμφωνα με το εθνικό τους δίκαιο ( Krankenversicherung Nordrhein at 83 and 101), εφόσον οι εσωτερικοί κανόνες του κράτους μέλους ακολουθούν τις αρχές της ισοδυναμίας και της αποτελεσματικότητας του δικαίου της ΕΕ ( MediaMarktSaturn στα 53).
Οι ζημίες βάσει του GDPR είναι εννοιολογικά αυτόνομες και επομένως δεν πρέπει να προκύπτουν «ειδικές εθνικές» ερμηνείες, εκτός από το ποσό της αποζημίωσης ( MediaMarkt στο 59). Γενικά, η απόκλιση ή η ενότητα των ζημιών του GDPR σε σύγκριση με τις αντιλήψεις περί αποζημιώσεων του εθνικού δικαίου θα απαιτήσει μια πιο λεπτομερή συζήτηση από ό,τι είναι δυνατόν σε αυτήν την ανάρτηση ιστολογίου.
Ένα συνεκτικό όραμα
Έχοντας αναλύσει εν συντομία τις παραπάνω περιπτώσεις, φαίνεται να υπάρχει μια συνεκτική επιχειρηματολογία πίσω από τις υποθέσεις ηθικής βλάβης βάσει του άρθρου 82 του ΓΚΠΔ. Οι αποφάσεις δεν αποκλίνουν ριζικά μεταξύ τους και οι έννοιες που αναπτύχθηκαν επαναχρησιμοποιούνται, διασταυρώνονται και βασίζονται. Καθώς καταφθάνουν περισσότερες προδικαστικές υποθέσεις και αναπτύσσονται περαιτέρω οι ηθικές αποζημιώσεις, το Δικαστήριο θα μπορούσε ακόμη και να αρχίσει να αποστέλλει ορισμένες ερωτήσεις στα εθνικά δικαστήρια δυνάμει του άρθρου 99 (Απάντηση με αιτιολογημένη διάταξη) του Κανονισμού Διαδικασίας του Δικαστηρίου. Εδώ το υποβληθέν ερώτημα είναι πανομοιότυπο με ένα ερώτημα επί του οποίου το δικαστήριο έχει ήδη αποφανθεί ή όπου η απάντηση σε ένα τέτοιο ερώτημα μπορεί να συναχθεί σαφώς από την υπάρχουσα νομολογία.
Ένα πρακτικό σημείο που πρέπει να αναφέρουμε είναι ότι ο ορισμός της ηθικής βλάβης είναι πιθανό να επηρεάσει επίσης τις συλλογικές αγωγές και τη συλλογική έννομη προστασία. Μια ευρεία ερμηνεία των ηθικών ζημιών θα μπορούσε να οδηγήσει σε παραβιάσεις δεδομένων να γίνουν υπερβολικά δαπανηρές για τους υπεύθυνους επεξεργασίας, σε σημείο που μπορεί να μην θέλουν πλέον να λειτουργούν στην Ευρώπη. Αντί να περιοριστεί η έννοια των ζημιών, μια λύση θα ήταν να αποφευχθεί η δημιουργία ενός αδύνατου ορίου για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να αποδείξουν ότι έχουν συμμορφωθεί με τα άρθρα του GDPR. Ίσως γι' αυτόν τον λόγο το Δικαστήριο έχει μέχρι στιγμής λογικό ως προς τα κατώτατα όρια του και αποφάσισε, για παράδειγμα, ότι η μη εξουσιοδοτημένη αποκάλυψη προσωπικών δεδομένων σε τρίτους δεν αρκεί από μόνη της για να θεωρήσει ότι τα άρθρα 24 και 32 του ΓΚΠΔ έχουν παραβιαστεί από την ελεγκτής ( MediaMarktSaturn στο 40).
Οι υλικές και μη υλικές ζημίες είναι έννοιες σαφώς καθορισμένες στο εθνικό δίκαιο, και έτσι θα προκύψουν αναπόφευκτα συγκρούσεις μεταξύ των εθνικών συστημάτων και του GDPR. Είναι σημαντικό το ΔΕΚ να διατηρήσει το συνεκτικό του όραμα για ηθική βλάβη για να δημιουργήσει μια ενιαία εφαρμογή του GDPR και, ως εκ τούτου, να προστατεύσει την αποτελεσματικότητα των άρθρων 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και του άρθρου 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.
English 
Greek