Riasztó: A Bíróság súlyosan korlátozhatja az európaiak magánélethez fűződő jogainak érvényesítését

Riasztó: A Bíróság súlyosan korlátozhatja az európaiak magánélethez fűződő jogainak érvényesítését

A nagyközönség által alig észrevehetően az Európai Unió Bíróságának (EUB) főtanácsnoka (AG) olyan véleményt adott ki, amelynek célja, hogy korlátozza a felhasználók egyik utolsó lehetséges lehetőségét a GDPR szerinti adatvédelmi jogaik érvényesítésére. A főtanácsnok szerint az európaiak aligha kapnának kártérítést a GDPR megsértése miatt - noha a GDPR kifejezetten rendelkezik a nem vagyoni kártérítés iránti igényről. A végleges ítéletet az EUB a következő hónapokban hozza meg.

• AG véleménye a C-300/21 ügyben
• Az EUB-hez benyújtott osztrák hivatkozás a nem vagyoni kártérítésről (németül)
• Az ügy egyéb követeléseiről szóló osztrák jogerős ítélet (németül)

További források:

• Max Schrems részletes elemzése az AG véleményéről
• "Grump GDPR" podcast Max Schrems-szel a véleményről (a transistor.fm-en)

Az ügy háttere. Az Osztrák Posta a GDPR-t megsértve jogellenesen kiszámította több millió osztrák politikai beállítottságát. Egy bécsi felperes, akit jogtalanul a jobboldali populista Szabadságpárttal hoztak kapcsolatba, kártérítésre perelte a Postát, 1.000 eurót követelve a masszív düh, a bizalomvesztés és a kiszolgáltatottság érzése miatt. A GDPR kifejezetten megnevezi a nem vagyoni kártérítésre vonatkozó igényt. Ennek ellenére az osztrák legfelsőbb bíróság (OGH) három kérdést terjesztett az EUB elé, amelyben azt kérdezte, hogy a GDPR 82. cikke lehetővé tesz-e kártérítést anyagi kár nélkül, vagy az osztrák bíróságok további "küszöbértéket" követelhetnek meg a nem vagyoni kártérítés megítéléséhez.

A GDPR legtöbb megsértése esetén nincs kártérítés? Az osztrák legfelsőbb bíróság elsősorban azt kérdezte, hogy korlátozhatja-e a nem vagyoni kártérítés megítélését, ha a felperes haragja nem haladja meg a GDPR-jogok megsértésével járó haragot. Mivel ez a meghatározás a GDPR megsértéséből fakadó minden reális haragot magában foglalna, nagymértékben aláásná a jogalkotó azon szándékát, hogy az adatvédelemhez való jog megsértése esetén nem vagyoni kártérítést ítéljen meg.

Max Schrems: "Ez az ügy mélyen aggasztó. Ha az osztrák legfelsőbb bíróság és a főtanácsnok álláspontja érvényesül, a legtöbb felhasználó soha többé nem fog kártérítést kapni a GDPR megsértéséért. Az elmúlt napokban számos szakértővel beszéltem, és széles körben hallani aggodalmakat."

Más lehetőségek nem hatékonyak. Az AG indítványa többször rámutat a kártérítésen kívüli egyéb lehetőségekre, például a puszta nyilatkozatra, a névleges kártérítésre (általában 1 euró) vagy a jogsértés megszüntetésére irányuló intézkedésekre. Bár bármely felperes kétségtelenül joga van ilyen kereseteket benyújtani, ezek általában nem képesek orvosolni a múltbeli jogsértéseket vagy visszahívni a jogellenesen megosztott adatokat. A felpereseknek nagy összegeket kellene befektetniük ahhoz, hogy csupán egy darab papírt kapjanak arról, hogy igazuk volt. Az adatkezelők elsétálnának a GDPR megsértéséből származó nyereséggel, és nem lennének reális következményei.

Max Schrems:"Egy polgári per indítása több ezer, gyakran tízezer euróba kerül. Senki sem indítana keresetet pusztán azért, hogy kapjon egy darab papírt arról, hogy igaza van."

Az AG véleménye az adatvédelmi hatóságokra (DPA) is rámutat, hogy tegyék a dolgukat. A valóságban sok adatvédelmi hatóság még mindig azon az állásponton van, hogy nem kötelességük a felhasználók jogainak érvényesítése. Egyes adatvédelmi hatóságok úgy vélik, hogy a felhasználók még csak nem is felek az előttük folyó eljárásban. A tanácsadói vélemény azzal érvel, hogy a több polgári peres ügy "megfosztaná" az adatvédelmi hatóságokat a panaszoktól, holott sokan még a jelenlegi panaszok számát sem dolgozzák fel.

Max Schrems: "A vélemény egyes részei mélységesen cinikusak a területen dolgozók számára. A GDPR-ban hatalmas végrehajtási hiányosságok vannak. Ugyanakkor úgy tűnik, mintha a vélemény számos érvet figyelembe venne a végrehajtás korlátozása érdekében. Ez egy nagyon problematikus megközelítés a Bíróságon belülről."

Széttöredezett "kártérítések" az EU-ban? Úgy tűnik, hogy az AG véleménye azt is lehetővé teszi a 30 uniós és EGT-tagállam számára, hogy saját "küszöbértékeket" vagy egyéb nemzeti jogszabályokat alkossanak, amelyek korlátozhatják a GDPR szerinti nem vagyoni károk egyértelműen szándékolt teljes kártérítését. Ez hatalmas széttagoltsághoz vezetne, mivel egyes tagállamok teljes kártérítést engedélyeznének, míg mások egyre magasabb és magasabb határértékeket vezetnének be.

Még csak nem is egyértelmű a hivatkozott esetben. Még ha el is fogadjuk a tanácsadó testület véleményében foglalt nézeteket, akkor sincs egyértelmű válasz az alapul szolgáló ügyre. A 86. lábjegyzet maga is elismeri, hogy "e megfontolások ismertetésével nem ítélem meg, hogy ebben az esetben [a felperes] helyzete az egyik vagy a másik kategóriába tartozik-e" - vagyis továbbra sem világos, hogy az osztrák ügyben a felperesnek kártérítést kell-e kapnia vagy sem.

A vélemény nem jogilag szigorú. Az AG véleményének következtetéseivel kapcsolatos kérdések mellett súlyos jogi hiányosságai is vannak. A vélemény részben azzal érvel, hogy a kártérítésre vonatkozó szabályokat harmonizálnák az EU-ban, csak azért, hogy aztán azzal érveljenek, hogy a tagállamok eltérhetnek a jogtól. Hasonlóképpen, az olyan fogalmak, mint az "ellenőrzés elvesztése" vagy a személyes adatok szabad áramlása az EU-ban, úgy tűnik, drasztikusan félreértésre kerültek az AG véleményében. Anoyb készített egy 10 oldalas jogi összefoglalót az AG véleményéről, kiemelve a vélemény számos ilyen, meglehetősen technikai hibáját.

Max Schrems: "Nagyon reméljük, hogy a bírák nem fogják követni ezt a véleményt. Nem oldja meg a Bíróság előtt álló kérdéseket, és jogilag sem megalapozott, de a GDPR érvényesítésének egyik utolsó útját lezárhatja."

Növekvő bírósági fellépés a GDPR-jogok ellen. Míg az EUB eddig nagyon semleges és technikai megközelítést alkalmazott a GDPR-ral kapcsolatban, egyre nyilvánvalóbbá válik, hogy egyes nemzeti bíróságok számtalan olyan kérdést utalnak az EUB elé, amelyek a GDPR korlátozását célozzák. Jelenleg mintegy 40 esetben fordulnak az EUB-hoz, túlnyomórészt olyan kérdésekkel, amelyek lehetővé tennék a GDPR szerinti jogok korlátozását, vagy olyan nem kérdésekkel, amelyekről egyértelműen a GDPR alapján döntenek.

Max Schrems: "Aggasztó tendenciát látunk abban, hogy a bíróságok apránként korlátozzák a GDPR szerinti jogokat, és egyre több akadályba ütköznek. Miközben az Európai Parlament 96%-a és az összes uniós tagállam az erős adatvédelmi védelem mellett állt ki, a gyakorlatban alig látjuk a végrehajtást. Úgy tűnik, hogy néhány bírót meggyőzött az iparág arról, hogy a GDPR-t korlátozni kell. Egyre több olyan ítéletet látunk, amely a felperesek és hatóságok korlátozásával fokozatosan megpróbálja visszavonni a GDPR-t. Ez különösen a német nyelvű országokban és Hollandiában tapasztalható tendencia. Úgy tűnik, egyes bíróságok abban reménykednek, hogy az EUB korlátozni fogja a GDPR-t. Sok ítélet úgy olvasható, mintha a bírák helyesen akarnak cselekedni, amikor ezeket az útlezárásokat hozzáadják, miközben valójában eltérnek egy egyértelmű demokratikus döntéstől."

Az EUB végleges döntése ebben az ügyben a következő hónapokban fog megszületni.