GDPR alapján érvényesíthető kártérítési igények
Az Európai Bíróság döntése jelentősen pontosítja a GDPR alapján érvényesíthető kártérítési igények kereteit, és új szintre emeli az immateriális károk jogi elismerését. Az ügy középpontjában egy álláskereső állt, aki a Quirin-Privatbanknál pályázott, és akinek adatai egy figyelmetlen alkalmazotti hiba következtében illetéktelen kezekbe kerültek. A bank egyik munkatársa a karrierplatform üzenetküldőjén keresztül olyan bizalmas tartalmú üzenetet továbbított a pályázóval kapcsolatban, amely nem volt számára szánt, hanem egy harmadik félhez jutott el. Az üzenet érzékeny információkat tartalmazott a fizetési tárgyalásokról, különösen a pályázó bérigényének elutasításáról és az új ajánlatról. A harmadik fél történetesen ismerte a pályázót, és az információkat felhasználva közvetlenül őt kereste meg, ami komoly személyes és szakmai feszültséget okozott.
A panaszos emiatt attól tartott, hogy ezek az adatok a szakmai környezetben továbbterjedhetnek, és számára hátrányos következményekkel járhatnak, például rontva az esélyeit a munkaerőpiacon. Emellett megalázónak élte meg a tárgyalási eredmények kiszivárgását, és súlyos aggodalmakat fogalmazott meg a jövőbeli adatkezelés felett érzett kontroll elvesztése miatt. A Bundesgerichtshof előzetes döntéshozatali kérdést intézett az Európai Bírósághoz, hogy tisztázza: elegendő-e az ilyen jellegű pszichés teher a kártérítés megítéléséhez akkor is, ha tényleges anyagi veszteség nem történt.
A luxembourgi bírák egyértelmű állásfoglalása szerint a GDPR keretében az immateriális kár fogalma kiterjed a szorongásra, a félelemre, a dühre vagy a kontrollvesztés érzésére is. Ez azt jelenti, hogy a panaszosnak joga van kártérítéshez és sérelemdíjhoz akkor is, ha nem tudja számszerűsíteni a kárt, elegendő, ha igazolhatóan negatív érzéseket váltott ki belőle a jogsértés. A bíróság azt is kimondta, hogy a kártérítés mértékénél nem lehet figyelembe venni a jogsértést elkövető szervezet felelősségének súlyosságát: tehát már a gondatlanság is elegendő alap. Továbbá a sérelemdíjat nem lehet azzal csökkenteni, hogy a panaszos egyébként elérte a jogsértő magatartás bírósági megtiltását.
Az ítélet egy másik fontos pontja, hogy a GDPR alapján uniós szinten nem létezik kifejezett alanyi jog a jövőbeli adatvédelmi jogsértések bírósági megtiltására, bár a tagállamok – így Németország is – saját jogrendszerükben biztosíthatnak ilyen lehetőséget. Ezzel a döntéssel a Bíróság új irányt szabott, hiszen korábban, például a Google elleni ítéletekben még elismerte az uniós szintű tiltás lehetőségét.
A döntés azt eredményezi, hogy a jövőben a pusztán pszichés megterhelést okozó adatvédelmi jogsértések is nagyobb számban válhatnak per tárgyává. A károsultaknak immár elegendő bizonyítaniuk, hogy az eset számukra aggodalmat, dühöt vagy félelmet váltott ki, és ennek nyomán kártérítési igényt érvényesíthetnek. Ez jelentősen megkönnyíti az érintettek jogérvényesítését, és egyben növeli az adatkezelők felelősségét is, mivel az immateriális kárigények száma várhatóan megemelkedik az EU tagállamaiban.
