Hälyttävää: Yhteisöjen tuomioistuin voi rajoittaa huomattavasti eurooppalaisten yksityisyydensuojaa koskevien oikeuksien täytäntöönpanoa
Euroopan unionin tuomioistuimen (EUT) julkisasiamies on antanut julkisuudessa tuskin huomattuaan lausuntonsa, jonka tarkoituksena on rajoittaa yhtä viimeisistä mahdollisista keinoista, joilla käyttäjät voivat valvoa tietosuoja-asetuksen mukaisia yksityisyyden suojaa koskevia oikeuksiaan. Pääjohtajan mukaan eurooppalaiset tuskin saisivat korvauksia GDPR:n rikkomisesta - vaikka GDPR:ssä nimenomaisesti säädetään vaatimuksesta aineettomasta vahingosta. EUT antaa lopullisen tuomion lähikuukausina.
- AG:n lausunto asiassa C-300/21
- Itävallan vetoomus EUT:lle aineettomista vahingonkorvauksista (saksaksi)
- Itävallan lopullinen tuomio muista tämän asian vaatimuksista (saksaksi)
Muita lähteitä:
- Max Schremsin yksityiskohtainen analyysi AG:n lausunnosta
- "Grump GDPR" -podcast Max Schremsin kanssa tästä lausunnosta (transistor.fm)
Asian tausta. Itävallan postilaitos laski laittomasti miljoonien itävaltalaisten poliittisen suuntautumisen GDPR:n vastaisesti. Oikeistopopulistiseen Vapauspuolueeseen aiheettomasti liitetty wieniläinen kantaja haastoi Postin vahingonkorvausvaatimuksiin ja vaati 1 000 euroa massiivisesta suuttumuksesta, luottamuksen menetyksestä ja paljastumisen tunteesta. Yleisessä tietosuoja-asetuksessa mainitaan nimenomaisesti vaatimus aineettomasta vahingosta. Itävallan korkein oikeus (OGH) esitti kuitenkin kolme kysymystä EU:n tuomioistuimelle, jossa kysyttiin, sallitaanko yleisen tietosuoja-asetuksen 82 artiklassa vahingonkorvaus ilman aineellista vahingonkorvausta vai voivatko Itävallan tuomioistuimet vaatia ylimääräisen "kynnyksen" myöntääkseen aineettoman vahingonkorvauksen.
Ei vahingonkorvauksia useimmista GDPR:n rikkomuksista? Itävallan korkein oikeus kysyi lähinnä, voiko se rajoittaa aineettomien vahingonkorvausten myöntämistä, jos kantajan viha ei ylitä GDPR-oikeuksien loukkaamisesta aiheutuvaa vihaa. Koska tämä määritelmä sisältäisi kaikenlaisen realistisen suuttumuksen, joka voi johtua tietosuoja-asetuksen rikkomisesta, se heikentäisi suurelta osin lainsäätäjän aikomusta myöntää aineettomia vahingonkorvauksia tietosuojaa koskevan oikeuden loukkauksista.
Max Schrems: "Tämä tapaus on erittäin huolestuttava. Jos Itävallan korkeimman oikeuden ja julkisasiamiehen näkemys voittaa, useimmat käyttäjät eivät enää koskaan saa korvausta tietosuoja-asetuksen rikkomuksista. Puhuin viime päivinä monien asiantuntijoiden kanssa, ja huoli on levinnyt laajalti."
Muut vaihtoehdot eivät ole tehokkaita. Julkisasiamiehen ratkaisuehdotuksessa viitataan toistuvasti muihin vaihtoehtoihin kuin vahingonkorvauksiin, kuten pelkkiin ilmoituksiin, nimellisiin vahingonkorvauksiin (yleensä 1 euro) tai kieltokanteisiin. Vaikka kuka tahansa kantaja epäilemättä on oikeus esittää tällaisia vaatimuksia, niillä ei yleensä voida korjata aiempia rikkomuksia tai palauttaa laittomasti jaettuja tietoja. Kantajien olisi investoitava suuria summia rahaa saadakseen pelkän paperin, jossa todetaan, että he olivat oikeassa. Rekisterinpitäjät saisivat GDPR:n rikkomisesta saadut voitot ilman realistisia seurauksia.
Max Schrems: "Siviilikanteen nostaminen maksaa tuhansia ja usein kymmeniä tuhansia euroja. Kukaanei nostaisi kannetta vain saadakseen paperin, jossa sanotaan, että hän oli oikeassa."
Tietosuojavaltuutetun lausunnossa kehotetaan myös tietosuojaviranomaisia tekemään työnsä. Todellisuudessa monet tietosuojaviranomaiset ovat edelleen sitä mieltä, että niillä ei ole velvollisuutta valvoa käyttäjien oikeuksia. Jotkin tietosuojaviranomaiset katsovat, että käyttäjät eivät ole edes osapuolena niiden käsiteltävänä olevassa menettelyssä. Julkisen hallinnon lausunnossa väitetään, että siviilioikeudenkäyntien lisääntyminen "veisi" tietosuojaviranomaisilta valitukset, vaikka monet niistä eivät edes käsittele nykyistä määrää valituksia.
Max Schrems: "Jotkin tämän lausunnon kohdat ovat erittäin kyynisiä kaikille alalla työskenteleville. Yleisessä tietosuoja-asetuksessa on valtava täytäntöönpanovaje. Samaan aikaan vaikuttaa siltä, että lausunnossa esitetään monia perusteluja täytäntöönpanon rajoittamiseksi. Tämä on erittäin ongelmallinen lähestymistapa yhteisöjen tuomioistuimen sisällä."
Pirstaleiset "vahingonkorvaukset" EU:ssa? Valiokunnan lausunto näyttää myös antavan 30 EU:n ja ETA:n jäsenvaltiolle mahdollisuuden laatia omia "kynnysarvojaan" tai muita kansallisia lakeja, jotka voivat rajoittaa tietosuoja-asetuksen mukaista selvästi tarkoitettua aineettomien vahinkojen täysimääräistä korvaamista. Tämä johtaisi massiiviseen pirstaloitumiseen, sillä jotkin jäsenvaltiot sallisivat täyden korvauksen ja toiset jäsenvaltiot voisivat ottaa käyttöön yhä korkeampia raja-arvoja.
Ei edes selkeyttä viitatussa tapauksessa. Vaikka pankkivaltuutetun lausunnossa esitetyt näkemykset hyväksyttäisiinkin, taustalla olevaan tapaukseen ei ole selkeää vastausta. Alaviitteessä 86 itsekin myönnetään, että "esittämällä nämä näkökohdat en ennakoi, kuuluuko [kantajan] tilanne tässä tapauksessa jompaankumpaan ryhmään" - eli on edelleen epäselvää, pitäisikö Itävallan tapauksessa kantajan saada korvausta vai ei.
Lausunto ei ole oikeudellisesti tiukka. AG:n lausunnon johtopäätöksiin liittyvien kysymysten lisäksi siinä on myös vakavia oikeudellisia puutteita. Lausunnossa väitetään osittain, että vahingonkorvaussäännöt yhdenmukaistettaisiin EU:ssa, mutta sitten väitetään, että jäsenvaltiot voivat poiketa lainsäädännöstä. Samoin sellaiset käsitteet kuin "määräysvallan menettäminen" tai henkilötietojen vapaa liikkuvuus EU:ssa näyttävät olevan AG:n lausunnossa ymmärretty jyrkästi väärin. noyb on laatinut AG:n lausunnosta 10-sivuisen oikeudellisen yhteenvedon, jossa tuodaan esiin monia näistä lausunnossa olevista melko teknisistä virheistä.
Max Schrems: "Toivomme kovasti, että tuomarit eivät noudata tätä lausuntoa. Se ei ratkaise tuomioistuimen käsiteltävänä olevia kysymyksiä, eikä se ole oikeudellisesti järkevä, mutta sen avulla voidaan sulkea yksi viimeisistä poluista yleisen tietosuoja-asetuksen täytäntöönpanolle."
GDPR-oikeuksia vastaan kohdistuvat kasvavat oikeustoimet. Vaikka EUT on tähän mennessä suhtautunut tietosuoja-asetukseen hyvin neutraalisti ja teknisesti, käy yhä ilmeisemmäksi, että jotkin kansalliset tuomioistuimet esittävät EUT:lle lukemattomia kysymyksiä, joilla pyritään rajoittamaan tietosuoja-asetusta. Tällä hetkellä EU:n tuomioistuimelle on esitetty noin 40 asiaa, jotka koskevat pääasiassa kysymyksiä, jotka mahdollistaisivat yleisen tietosuoja-asetuksen mukaisten oikeuksien rajoittamisen, tai muita kuin sellaisia kysymyksiä, joista päätetään selkeästi yleisen tietosuoja-asetuksen nojalla.
Max Schrems: "Näemme huolestuttavan suuntauksen, jonka mukaan tuomioistuimet rajoittavat vähitellen tietosuoja-asetuksen mukaisia oikeuksia ja lisäävät yhä uusia esteitä. Vaikka 96 prosenttia Euroopan parlamentin jäsenistä ja kaikki EU:n jäsenvaltiot tukivat vahvoja yksityisyydensuojia, niiden noudattamista ei juurikaan valvota kentällä. Vaikuttaa siltä, että teollisuus on saanut jotkut tuomarit vakuuttuneiksi siitä, että tietosuoja-asetusta on rajoitettava. Yhä useammassa tuomiossa yritetään asteittain kumota tietosuoja-asetus rajoittamalla kantajia ja viranomaisia. Tämä on suuntaus erityisesti saksankielisissä maissa ja Alankomaissa. Jotkut tuomioistuimet näyttävät toivovan, että EU:n tuomioistuin rajoittaa yleistä tietosuoja-asetusta. Monet tuomiot näyttävät siltä, että tuomarit haluavat tehdä oikein, kun he lisäävät näitä esteitä, vaikka tosiasiassa he poikkeavat selkeästä demokraattisesta päätöksestä."
EUT:n lopullinen päätös tässä asiassa annetaan lähikuukausina.