CJEU: Seznanitev z lastnimi osebnimi podatki
Sodišče Evropske unije je odločilo, da je lahko že prva zahteva posameznika po 15. členu GDPR lahko ocenjena kot pretirana in posledično zavrnjena s strani upravljavca.
Novica je bila objavljena 19. 3. 2026.
Primer se je začel v Nemčiji, ko se je posameznik prijavil na novičnik optike Brillen Rottle. Trinajst dni po prijavi je pri podjetju uveljavljal pravico dostopa do osebnih podatkov na podlagi 15. člena GDPR.
Podjetje je zahtevo zavrnilo. Menilo je, da gre za zlorabo pravice oziroma za pretirano zahtevo v smislu 12(5) GDPR. Posameznik je nato vztrajal pri zahtevi in hkrati uveljavljal še odškodnino za nepremoženjsko škodo v višini 1.000 EUR zaradi kršitve njegove pravice dostopa.
Odločitev sodišča
Sodišče EU je sledilo mnenju generalnega pravobranilca in najprej pojasnilo, da tudi prva zahteva za dostop ni avtomatično zaščitena pred presojo po 12(5) GDPR. Že prva zahteva je lahko ocenjena kot pretirana, vendar le izjemoma in ob restriktivni razlagi te določbe. Upravljavec mora v takem primeru dokazati, da je bila zahteva vložena z namenom zlorabe te pravice.
Za takšno presojo ni dovolj zgolj dejstvo, da je posameznik pravico do dostopa uveljavljal kmalu po posredovanju podatkov ali da je kasneje zahteval tudi odškodnino. Ključno je, ali je bil dejanski namen zahteve seznanitev z obdelavo osebnih podatkov in preverjanje njene zakonitosti ali pa je šlo predvsem za umetno ustvarjanje položaja, ki bi posamezniku omogočil kasnejše uveljavljanje koristi, na primer odškodnine.
Sodišče je posebej poudarilo, da se lahko pri dokazovanju namena posameznika upoštevajo tudi javno dostopne informacije o podobnem ravnanju istega posameznika pri drugih upravljavcih. Vendar takšne okoliščine same po sebi še ne zadoščajo. Vedno je potrebna celovita presoja vseh relevantnih dejstev konkretnega primera.
Drugi pomemben del sodbe se nanaša na 82. člen GDPR. Sodišče EU je potrdilo, da pravica do odškodnine ni omejena le na škodo, ki nastane kot posledica same obdelave osebnih podatkov. Odškodninski zahtevek je lahko utemeljen tudi takrat, ko škoda izvira iz kršitve pravice dostopa iz 15. člena GDPR. To pomeni, da lahko že nezakonita zavrnitev zahteve za dostop predstavlja podlago za odškodninsko odgovornost upravljavca, če so izpolnjeni tudi ostali pogoji iz 82. člena GDPR.
Sodišče je nadalje pojasnilo še vprašanje nepremoženjske škode. Takšna škoda lahko zajema tudi izgubo nadzora nad osebnimi podatki ali negotovost glede tega, ali so bili osebni podatki obdelovani. Vendar to ne pomeni, da je vsaka kršitev GDPR avtomatično tudi podlaga za odškodnino. Posameznik mora dejansko izkazati nastanek škode, poleg tega pa mora obstajati vzročna zveza med kršitvijo in zatrjevano škodo.
Končno odločitev v primeru bo sprejelo sodišče v Nemčiji.
Odločitev sodišča je dostopna tukaj.
Vir: CJEU
Naslovna fotografija: Unsplash
