Nemčija: Objava podatkov s Facebooka
Vrhovno sodišče v Karlsruhe je odločilo, da v skladu s členom 82(1) GDPR izguba nadzora nad osebnimi podatki sama po sebi povzroči nematerialno škodo, ne glede na dejanski učinek.
Odločitev je bila objavljena18.11.2024
Posameznik, na katerega se nanašajo podatki, je bil eden izmed približno 533 milijonov uporabnikov Facebooka, katerih podatki so bili aprila 2021 objavljeni na internetu. Neznana oseba je uporabila možnost iskanja uporabniških računov prek telefonskih številk uporabnikov za brskanje po Facebooku z vnašanjem naključno ustvarjenih telefonskih številk. S tem načinom strganja so napadalci pridobili ID uporabnika, ime in priimek, delovno mesto in spol, ter podatke tako povezali z njegovo telefonsko številko.
Posameznik je trdil, da upravljavec ni sprejel ustreznih ukrepov, da bi preprečil uporabo orodja, ki je omogočalo iskanje uporabnikov prek njihove telefonske številke. Posameznik je proti upravljavcu vložil odškodninsko tožbo ter z ugotovitveno sodbo želel, da mu sodišče predhodno prizna pravico do odškodnine. Ta ugotovitvena sodba v zvezi z odškodnino je standard v nemškem pravu zaradi zakonskega zastaranja, ki bi sicer preprečilo, da bi oseba, ki zahteva odškodnino, po treh letih vložila kakršen koli zahtevek.
Potem ko je okrožno sodišče v Bonnu posamezniku odobrilo 250 € odškodnine za nematerialno škodo, se je upravljavec pritožil na višje deželno sodišče v Kölnu, ki je nato razveljavilo odločitev okrožnega sodišča in tožbo v celoti zavrnilo. Posameznik se je na odločitev pritožil pri nemškem vrhovnem sodišču.
Odločitev sodišča
V svoji prvi odločitvi v okviru novega postopka vodilnega odločevalca je vrhovno sodišče delno razveljavilo odločitev višjega sodišča v Kölnu. Odločilo je, da obrazložitev neobstoja pravice posameznika do nematerialne škode ni zadostna. Namesto tega je vrhovno sodišče razsodilo, da v skladu z ustrezno sodno prakso Sodišča EU lahko celo enkratna in začasna izguba nadzora nad osebnimi podatki zaradi kršitev GDPR predstavlja nepremoženjsko škodo v skladu s členom 82(1) GDPR. Posamezniku ni potrebno izkazati niti konkretne zlorabe osebnih podatkov niti drugih negativnih posledic zanj.
Poleg tega je vrhovno sodišče presodilo, da zavrnitev ugotovitvene sodbe za prihodnje odškodnine ni bila upravičena, ker je imel posameznik zadosten interes za takšno sodbo, zaradi dejstva, da očitno lahko posameznik utrpi škodo v prihodnosti.
Vrhovno sodišče je delno (kjer je razveljavilo sodbo višjega sodišča) tožbo vrnilo višjemu sodišču v Kölnu in ga obvestilo, da upravljavčeva standardna nastavitev »vse« za možnost iskanja na platformi verjetno ni v skladu z načelom minimizacije podatkov. Vrhovno sodišče je dodalo, da je potrebno ponovno oceniti vprašanje, ali je za tovrstno obdelavo obstajala veljavna privolitev posameznika. Sodišče je tudi pojasnilo smernice glede ustrezne višine odškodnine v skladu s členom 287 nemškega civilnopravnega reda (ZPO) in izpostavilo, da ne obstajajo pravni pomisleki glede nematerialne škode v višini približno 100 EUR za enkratno izgubo nadzora nad podatki.
Objava sodišča je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
