Jogi elemzés: GDPR megsértése esetén nincs nem vagyoni kártérítés?

Jogi elemzés: GDPR megsértése esetén nincs nem vagyoni kártérítés (C-300/21)?

Szerző: Max Schrems | A jogi elemzés PDF-verziójának letöltése

2022. október 6-án Sánchez-Bordona főtanácsnok (AG) közzétette indítványát az EUB C-300/21. sz. ügyben (UI kontra Österreichische Post AG), amely az első az EUB előtt folyamatban lévő, a GDPR megsértése miatti kártérítéssel kapcsolatos számos előzetes döntéshozatali kérelem közül.

Releváns anyag:

• Az osztrák legfelsőbb bíróság előzetes döntéshozatal iránti kérelme (németül)
• Az osztrák Legfelsőbb Bíróság jogerős ítélete a többi kérelemről (németül)
• Submissia felperes által az EUB előtt benyújtott beadvány (németül)*
• Az AG véleménye a C-300/21. sz. ügyben

Háttéranyag:

• noyb Update "Riasztó: A Bíróság súlyosan korlátozhatja az európaiak magánélethez fűződő jogainak érvényesítését"
• "Grump GDPR" podcast Max Schrems-szel erről a véleményről (a transistor.fm-en)

(A) Tények: a felperest jogtalanul bélyegezték meg valószínűsíthetően jobboldali-populista személynek támogatója

Az osztrák posta (Österreichische Post AG) ci. összegyűjtötte több millió osztrák állampolgár személyes adatait (név, cím és születési dátum), és egy algoritmus segítségével (statisztikai adatok alapján) kiszámította a következő adatokat a a különböző politikai pártokhoz való affinitást, hogy ezt az eredményt választási hirdetésekhez értékesítse.

A felperes (egy osztrák ügyvéd) egy hozzáférési kérelem útján szerzett tudomásthogy állítólag nagy affinitása van a jobboldali Osztrák Szabadságpárt (FPÖ) iránt. Mivel a felperes had az adatait megadta a a levelezési feketelistára ("Robinsonliste"), a posta közölte, hogy a felperesszemélyes adatait nem adták el senkinek.

Nem a felperes volt az egyetlen, aki felháborítónak találta ezt a fajta politikai attribúciót. Számos hasonló ügyben taz osztrák adatvédelmi hatóságrity és a legfelsőbb bíróság a politikai hovatartozás feldolgozását jogi alapot igényel a GDPR 9. cikk. Mivel a Posta ragaszkodott ahhoz, hogy a 6. cikk (1) bekezdésének f) pontja szerinti jogos érdek alapján kezelhesse az adatokat, a hatóságnak és a bíróságoknak a és megítélték a jogsértés megszüntetésére irányuló jogorvoslatots. A felperes esetében taz osztrák legfelsőbb bíróság (OGH) megerősítette a tiltó határozatot. A felperes azonban, aki soha nem járult hozzá az adatkezeléshez, kártérítést is kért a Postától: Azt állította, hogy feldúlt, dühös és sértett volt e jogtalan politikai a politikai célzatú politikai hozzárendelés, és kijelentette, hogy ez sértő és szégyenletes, valamint rendkívül káros a jó hírnevére nézve, és 1 000 euró kártérítést kért e nem vagyoni károkért.

Az elsőfokú és a másodfokú bíróságítélőtábla elutasította a kártérítési igényt, azzal érvelve, hogy a a felpereskellemetlensége és kellemetlen érzései nem érték el a kártérítésre való jogosultsághoz szükséges bizonyos küszöböt. Az osztrák legfelsőbb bíróság (OGH) az ügyet az EUB elé utalta, miközben minden más követelés tekintetében a felperesnek adott igazat.

(B) Az előzetes döntéshozatalra előterjesztett kérdések: a kár szükségessége, a hatékonyság és a megfelelőség, valamint egy további küszöbérték

Az osztrák OGH három kérdést terjesztett az EUB elé:

1. Megfelel-e a az általános adatvédelmi rendelet 82. cikke szerinti kártérítés megítéléséhez az általános adatvédelmi rendelet rendelkezéseinek megsértésén túl az is szükséges, hogy a felperest kár érje, vagy az általános adatvédelmi rendelet rendelkezéseinek megsértése önmagában elegendő a kártérítés megítéléséhez?
2. A kártérítés megítélése a tényleges érvényesülés és az egyenértékűség elvén kívül további uniós jogi követelményektől függ-e?
3. Összeegyeztethető-e az uniós joggal az az álláspont, hogy a nem vagyoni kár megtérítésének megítélése feltételezi, hogy a jogsértésnek legalább bizonyos súlyú következménye van, amely túlmutat az e jogsértés által okozott sérelmeken?

(C) A főtanácsnok indítványa

1. Uniós jog vagy nemzeti jog?

Az általános adatvédelmi rendelet 82. cikkének elemzése előtt először is szükségesnek tűnik annak megállapítása, hogy ez a rendelkezés harmonizálja-e a kártérítés kérdését, vagy e kérdést, illetve annak részleteit a tagállami jogra bízza.

1.1 A GDPR 79. cikke szerinti jogorvoslatok

Míg a tanácsadó testület véleménye helyesen mutat rá, hogy a GDPR 79. cikke allow más formájú jogorvoslatokra (például a megállapítási jogorvoslatra, névleges kártérítés vagy a jogtalan nyereségre vonatkozó követelések) az alkalmazandó nemzeti jog alapján (92. sz. marginális), ezek a követelések szerkezetileg elkülönülnek a kártérítéstől, és egyértelműen nem szabályozza őket a GDPR 82. cikke.

Nemindazonáltal a tanácsadó csoport véleménye többször is rámutat bármely más végrehajtási lehetőségre, csak arra nem, amelyről az EUB-t megkérdezték - a GDPR 82. cikkére. Különösen egy olyan törvényes jogállamból származó olvasóként, amely nem számol számos ilyen megközelítéssel, az AG véleményében szereplő gondolatok nagyrészt nem létező vagy lehetetlen alternatívákra mutatnak rá. Például a névleges kártérítés Ausztriában nem ismert, és a lehetőség, hogy a jogorvoslati megállapítási jogorvoslat a általában eljárási szempontból korlátozottak, hogy a bíróságokat ne terheljék olyan perekkel, amelyeknek nincs érdemi célja.

Tehát ahelyett, hogy hipotetikus lehetőségekre, maradjunk annál, amivel a kérdést előterjesztő bíróság foglalkozott, és amit a felperes a mi ügyünkben követelt: a GDPR 82. cikke szerinti nem vagyoni kártérítés.

1.2 A GDPR 82. cikke (teljes mértékben) jogharmonizáló vagy sem?

Számomra az egyik központi kérdés ebben az előterjesztésben a jogharmonizáció kérdése. A GDPR 82. cikke nyitó záradék, amely csupán a kártérítésre vonatkozó nemzeti jog minimumkövetelményeit írja elő, de a részleteket a nemzeti jogalkotóra bízza, vagy teljes mértékben harmonizálta a jogot uniós szinten?

Úgy tűnik, hogy az AG véleménye nyíltan ellentétes álláspontot képvisel ebben az alapvető kérdésben.

Amikor aa hatékonyság és a megfelelőség (lásd alább) tárgyalásakor a AG Vélemény elutasítja a kérdés narratíváját, kiemelve, hogy az általános adatvédelmi rendelet 82. cikke harmonizálná a kérdést, így a nemzeti jog hatékonyságának és megfelelőségének kérdése nem merülne fel (84. és 85. bekezdés).

Ugyanakkor, (marginális számok.111. vagy 116. pont) egyértelműen kimondja, hogy a tagállamok rendelkezhetnének a követelésekre vonatkozó minimális küszöbértékkel, ami azt jelenti, hogy van helye a nemzeti korlátozásoknak.

Bármi legyen is a helyes álláspont, a tanácsadó csoport véleménye úgy tűnik, hogy e két lehetőség között váltogat - néha még bekezdésről bekezdésre is. Összességében úgy tűnik, hogy a tanácsadó bizottság véleménye inkább a következő koncepciót követi minimális harmonizáció koncepcióját követi.

Miközben egyértelműnek tűnik, hogy bizonyos kérdéseket (például az eljárási elemeket vagy a nemzeti elévülési időt) a tagállam szabályoz, az általános adatvédelmi rendelet 82. cikke nem utal arra, hogy és nincs olyan nyitó záradék a GDPR-ban, amely a nemzeti eltérés lehetőségeire utalna. Valójában a GDPR 82. cikkének (2)-(6) bekezdése meglehetősen részletes kártérítési rendszert is létrehoz, beleértve olyan szabályokat, amelyekről kritikák érték, hogy akár a meglévő nemzeti kártérítési joggal is ütköznek.

A meglehetősen részletes megfogalmazás mellett a kártérítés megítélésének eltérő kritériumai isa GDPR megsértése esetén a különböző tagállamokban a kártérítés különböző kritériumai aláásnák a GDPR mint rendelet szándékait, és teret adnának a forum shoppingnak (mivel a GDPR 79. cikke és a Brüsszel-II. rendelet számos lehetséges joghatósággal rendelkező polgári bíróságot tesz lehetővé).

Míg az EUB-nek a harmonizáció szintjét illetően végleges döntést kell hoznia, e cikk kedvéért feltételezem, hogy a GDPR 82. cikke teljes mértékben harmonizálta a kártérítésre vonatkozó szabályokat, és csak a peremkérdéseket (pl. az elévülést) hagyja a tagállamokra.

1.3 Az egyenértékűség és a tényleges érvényesülés elve, ha a GDPR 82. cikke nem teljes mértékben harmonizált (2. kérdés)

Ha azonban úgy véli, hogy a GDPR 82. cikke valójában nem teljes mértékben harmonizáló kártérítés, akkor nincs mód arra, hogy elkerüljük az egyenértékűség és a hatékonyság uniós jogi elveivel való foglalkozást. Ez különösen igaz akkor, ha az EUB nem ad részletes iránymutatást az értékelésre vonatkozó nem vagyoni kárról (ahogyan azt a tanácsadó testület véleménye javasolja a marginal no. 116 azáltal, hogy megállapítja, hogy ez "nehéz feladat a tagállamok bíróságaira hárul").

Ha a tagállamok a nem vagyoni károk egyik fajtájának érvényesítését (a nemzeti jog alapján) viszonylag könnyűvé teszik, egy másik (az uniós jog alapján történő) érvényesítését viszont gyakorlatilag lehetetlenné, akkor megsértik az egyenértékűség és a hatékonyság elvét.

Például Ausztriában wahol ez a hivatkozás eredetileg) az egyenértékűséggel és a hatékonysággal kapcsolatban gyorsan felmerülnének a következő kérdések iaz osztrák OGH bevezethet-e küszöbértékeket a nem vagyoni károkra vonatkozóan:

• Más nem vagyoni károk (például csonttörés vagy arculcsapás) esetén a felperesnek nem kell a tanúk padján sírnia, de a bíróságok olyan táblázatokat dolgoztak ki, amelyek egy átlagos ember szenvedésén alapulnak ("objektive Maßfigur"). Amellett, hogy egyszerűbbé teszik a pereskedést és kiszámíthatóbbá, ez biztosítja, hogy egy különösen drámai helyzetben lévő felperes ugyanolyan kártérítést kapjon, mint egy kemény áldozat. Más tagállamokból is hasonló megközelítésekről számoltak be. Az ilyen objektív megközelítést nem követve (ahogyan azt a tanácsadó bizottság véleménye javasolja) csökkentené a jogbiztonságot, és a GDPR-követelések érvényesítését nehezebbé tenné, mint a a nemzeti jog szerinti követelések érvényesítését, és ezáltal potenciálisan sérülne az egyenértékűség elve.
• Ugyanakkor a 1328a. § ABGB (osztrák polgári törvénykönyv) a magánélethez való jog "jelentős" megsértését írja elő a nem vagyoni kártérítéshez. Ez a küszöbérték csak a magánélet megsértése esetén ismert. Ha ezt a küszöbértéket a GDPR-követelésekre is alkalmaznák, akkor az kevésbé lenne hatékony, mint a nem vagyoni kártérítésre vonatkozó egyéb követelések.

Bár ez csak két apró példa egy tagállamra vonatkozóan, ha mind a 30 EU/EGT tagállamnak meg kell határoznia a küszöbértékeket és a részleteket, hogy miként lehet a kártérítésre való jogosultság értékelése és hogyan a GDPR 82. cikke szerinti kártérítés kiszámítása, úgy tűnik, hogy a hagyományos uniós jogi elvek, mint például a az egyenértékűség és a tényleges érvényesülés fontos szerepet játszanának abban, hogy az ítélkezési gyakorlat valamennyire következetes legyen. Ellenkező esetben a nemzeti jogszabályi és ítélkezési gyakorlat megkülönböztetést alkalmazhatna a GDPR-követelésekkel szemben, például egyéni (erősen) szubjektív tanúvallomások megkövetelésével, miközben objektív számítást alkalmaznának más nem vagyoni károk esetében.

Ezért meglepő, hogy a tanácsadó bizottság véleménye szerint "úgy tűnik, hogy az egyenértékűség elve itt nem játszik fontos szerepet" (marginális nem. 84), és még csak nem is javasol választ az osztrák OGH második kérdésére.

2. Kártérítés kár nélkül? (1. kérdés)

2.1 A nem-kérdés: kártérítés kár nélkül?

Még akkor is, ha a Osztrák OGH ezt az ügyet az EUB elé utalta, nem volt világos, hogy a kártérítés megítélésére vonatkozó kérdés mindenféle kártérítés nélküli kártérítésről szóló kérdés a referenciadokumentumba került. A felperes még azt is előadta, hogy ez a kérdés elfogadhatatlan, mivel világosan megfogalmazta, hogy milyen nem vagyoni kárt szeretne megtéríttetni, amikor a Posta jogtalanul tulajdonított ela őt a jobboldali FPÖ-nek.

Úgy tűnik, hogy ez a kérdés maga is része a kérdés bizonyos "átfogalmazásának" az osztrák OGH részéről - indikatihogy ebben az ügyben valójában nincs kártérítés. Azzal, hogy a kérdést előterjesztő bíróság a tényleges károk (mint a düh, a stressz, a fizikai nyomás vagy a kiszolgáltatottság érzése) helyett a kármentesség felé mozdítja el az ügyet, a követeléseket rendkívül ésszerűtlennek tünteti fel.

A valóságban az első kérdés nem kérdés, mivel az ügyben egyértelműen meghatározott negatív következmények vannak, amelyek a felperes szerint nem vagyoni kárnak minősülnek.

2.2 A vélemény a kérdést a "büntető jellegű kártérítés" felé eszkalálja

Az AG véleménye még egy hatalmas lépéssel továbbviszi az osztrák OGH kérdését, és a kérdést a "büntető kártérítés" iránti igény irányába alakítja át.

Míg a common law jogrendszerekben léteznek ilyen elképzelések, a kontinentális jogrendszerekben, így Ausztriában is elfogadhatatlannak tekintik őket. Következésképpen a felperes soha nem kérte, hogy a Postát kötelezzék arra, hogy büntető intézkedésként kártérítést fizessen neki. Nem ismerek olyan releváns érdekelt felet sem, aki büntető kártérítést követelne. Egyetlen jogtudós sem olvasta komolyan az általános adatvédelmi rendelet 82. cikkét ilyen módon - nem is beszélve olyan ítéletről, amely valaha is büntető kártérítést ítélt volna meg az EU-ban.

Ez nem nem akadályozza meg az AG véleményét abban, hogy a 30-55. bekezdésekből egy nemtörvényszerűséggel küzdjön, holott valójában két bekezdés is elegendő lett volna annak kimondására, hogy a GDPR 82. cikke nem ad alapot a büntető jellegű kártérítésre, és hogy a GDPR 83. és 84. cikke kizárólag a szankciókat szabályozza.

3. Kártérítési vélelem és "kontrollvesztés"?

Az 56-82. pontokban a tanácsadó testület véleménye érvelést fejt ki a kártérítés lehetséges vélelméről, és ezt a témát összekapcsolja az "ellenőrzés elvesztésének" fogalmával a következő pontokban marginális számok. és 85. pontjával.

Míg a marginális sz. a AG vélemény 56. pontja kiemeli, hogy az AG maga sem biztos abban, hogy teljesen megértette a felek érvelését, a következő szakasz a AG Véleményének további része nehezen követhetőnek tűnik, és két fogalmat - a bizonyítási teher és az "irányítás elvesztése" - kever össze minden látható ok nélkül.

3.1 Bizonyítási teher

Míg van egy élőly vita az adatkezelők és az érintettek közötti bizonyítási teherről, mivel például a GDPR 5. cikkének (2) bekezdése vagy 82. cikkének (3) bekezdése az adatkezelő bizonyos felelősségéről rendelkezik, úgy tűnik számomra, hogy a hivatkozott ügy tényállásához nem fér kétség. Egyértelmű, hogy a Posta a GDPR 9. cikkét megsértve politikai információkat generált, és az érintettet ennek következtében különböző negatív érzések érték.

3.2 Újradefiniált "kontrollvesztés" a keverékben?

Az AG véleménye újabb meglepő fordulatot vesz, amikor marginális sz. 56-82. pontok a "kontrollvesztés" fogalmával próbálnak foglalkozni ("Kontrollverlust"), ahogyan az a felperes beadványában szerepel.

A fogalom a GDPR (85) preambulumbekezdésén alapul, amely az adatvédelmi incidensekkel foglalkozik:

"Az adatvédelmi incidens, ha nem megfelelő módon kezelik, az adatvédelmiés kellő időben, a következőket eredményezheti fizikai, anyagi vagy nem vagyoni károkat okozhat természetes személyeknek, mint például a vagyon elvesztésea személyes adatok feletti személyes adataika..."

Eddig a jogi közösség a "loss of control" alatt azt az érzést értette, hogy a személyes adatok eltűntek, és az érintettnek az az érzése, hogy az adatok általában "kikerültek az ellenőrzés alól". Ez magában foglalhat olyan helyzeteket, mint például az adatbiztonság megsértése, amikor egy harmadik fél jogellenesen jutott hozzá vagy olyan esetek, amikor az adatkezelő jogellenesen használt fel vagy osztott meg személyes adatokat. Amint az a GDPR (85) preambulumbekezdéséből kitűnik, amely a GDPR 33. és 34. cikke szerinti adatsértésekkel foglalkozik, az ellenőrzés ilyen elvesztése függetlenül attól, hogy a GDPR 6. cikke (1) bekezdésének a)-f) pontjai szerinti jogalapot alkalmazzák. A weboldalon más szóval: az adatok elveszhetnek, függetlenül attól, hogy az adatkezelés eredetileg hozzájáruláson, jogi kötelezettségen vagy jogos érdeken alapult. Nincs kapcsolat a GDPR 6. cikk (1) bekezdésének a) pontja szerinti hozzájárulás és a GDPR 33. és 34. cikke szerinti ellenőrzés elvesztése között.

Mindazonáltal a tanácsadó testület véleménye összekapcsolja a fogalmat (tudomásom szerint először) az érintettek GDPR szerinti jogaival, megkísérelve megcáfolni a GDPR preambulumbekezdéseiben foglaltakat. Az AG véleménye alapvetően azzal érvel, hogy mivel a az adatkezelő az érintett hozzájárulása nélkül is kezelhet személyes adatokat (marginális sz. 64), a felperesnek definíció szerint nincs kontrollja a személyes adatai felett, és ezért nem veszítheti el azokat.

Az AG véleménye további szalmabábuk küzdelmébe bocsátkozik, amikor pl. kiemeli a marginális sz. 68. pontját, hogy nincs "automatikus egyenértékűség a személyes adatok olyan kezelése között, amelyhez az érintett hozzájárulása nem érkezett meg és a kártérítés között". Más bekezdések ugyanígy harcolnak az állítólagos szélsőséges álláspontok ellen, mint például, hogy az érintettek "a lehető legnagyobb ellenőrzés" (marginális sz. 74). Szinte úgy tűnik, mintha az AG úgy gondolná, hogy a kérdést előterjesztő bíróság vagy a felperes negligálná azt a tényt, hogy a GDPR 6. és 9. cikke különböző jogalapokkal rendelkezikes (marginális sz. 73. pont), és automatikus kártérítés mellett érvelne a nem konszenzuson alapuló adatkezelés miatt.

A beadvány és a felperes beadványának áttekintése után úgy tűnik, hogy az alapjául szolgáló ügyben vagy beadványokban nincs alapja ilyen érvelésnek. Ehelyett úgy tűnik, hogy az AG vagy alapvetően félreértette a hivatkozást és a beadványokat, vagy valóban egy (helytelen) laikus feltételezéssel küzd hogy a hozzájárulás az egyetlen jogalap a GDPR-ban.

3.3 Kapcsolat a személyes adatok szabad áramlásával az Unióban?

Marginális sz. 78 82 hangsúlyozzák, hogy a személyes adatok szabad áramlása a GDPR másik célja, a GDPR pedig a gazdasági növekedést hivatott elősegíteni. Bár ezek az észrevételek helytállóak, nem látom, hogy ennek mi köze van a GDPR 82. cikkében szereplő kár meghatározásához:

A személyes adatok szabad áramlása egyszerűen azt jelenti, hogy az EU/EGT-n belül nincsenek digitális határok, és a személyes adatok szabad áramlásának bármilyen nemzeti korlátozása tilos a GDPR 1. cikkének (3) bekezdése értelmében. Ennek azonban semmi köze az EUB előtt folyamatban lévő ügyhöz, amelyben egy helyi adatkezelő megsértette a GDPR 9. cikkét egy helyi érintett vonatkozásában, és felmerül a kérdés, hogy hogyan kell értelmezni a GDPR 82. cikkében szereplő "kár" szót.

3.4 56-82. bekezdés: a politika felemésztheti a jogi elemzést

Összességében az 56-82. széljegyzet sajnos úgy tűnik, hogy nagymértékben elszakadt a kérdésektől, a jogtól és a tényektől. Sem a bizonyítási teher kérdése nem merül fel a hivatkozásban, mivel a tényállást az elsőfokú bíróság megfelelően megállapította, sem az "ellenőrzés elvesztésének" nincs köze a hozzájáruláshoz mint jogalaphoz. A személyes adatok szabad áramlása vitathatatlan és teljesen irreleváns egy tisztán nemzeti ügyben.

Az AG véleményének ezen szakaszai alapján az olvasónak az a benyomása, hogy az AG-t úgy tűnik, jobban aggasztja, hogy a GDPR általában véve túl messzire megy, mint a GDPR 82. cikkének helyes értelmezése. Az ilyen szakaszok olyan képet festenek, amely magyarázatot adhat arra, hogy a vélemény más részei gyakran elszakadnak az ügy kérdéseitől és tényeitől, és úgy tűnik, hogy elsősorban a GDPR-nak a szövegből vagy a jogértelmezés általános formáiból adódó korlátozásokon túli korlátozásával foglalkoznak.

4. A nem vagyoni kár meghatározása (3. kérdés)

A mindennapi gyakorlatban a hivatkozás 3. kérdése a nem vagyoni kár "küszöbértékéről" tűnik a leglényegesebbnek.

4.1. A tanácsadói véleményben nincs pozitív meghatározás

Amennyire én látom, az AG vélemény nem definiálja, hogy mi lehet önmagában az adatvédelemhez való jog megsértése. Az AG vélemény következetesen kiemeli, hogy mi nem tartozik az általános adatvédelmi rendelet 82. cikkének hatálya alá (pl. büntetőjogi kártérítés, pusztán a jogsértés miatti felháborodás vagy az ellenőrzés elvesztése), de úgy tűnik, hogy nincs szó arról, hogy mi lehet nem vagyoni kár.

Ez egy nagyon gyakori probléma a GDPR 82. cikke körüli vitákban. Az ügyvédek ismerik a kiszámítható károkat. Vannak hagyományos nem vagyoni károk, mint például a testi épséghez való jog megsértése, de nem vagyoni kártérítés az alapvető jog megsértéséért? Ez újdonság.

4.2. Más jogok megsértése szükséges?

A jogászok gyakori ösztöne az, hogy feltételezik, hogy a GDPR 82. cikkének kiváltásához valamilyen hagyományos nem vagyoni kárnak kell fennállnia - például lelki kárnak vagy lelki egészségi problémának minősülő stressznek.

Ehhez azonban nem lenne szükség a GDPR 82. cikkének új rendelkezésére, amely a CFR 8. cikke szerinti kártérítést szabályozza, sem pedig arra, hogy az Európai Parlament a GDPR-tárgyalások során szándékosan hozzáadta a "nem vagyoni" kártérítést: A CFR 3. cikke és különböző nemzeti rendelkezések értelmében mindenkinek joga van a testi és lelki épségének tiszteletben tartásához. Ha a GDPR megsértése esetén csak a súlyos érzelmi megrázkódtatással vagy mentális betegséggel járó, tehát a személy mentális integritását sértő GDPR-szabálysértések jogosítanának nem vagyoni kártérítésre, akkor nem lenne szükség a GDPR 82. cikkére. Egy ilyen szűk látókörű megközelítés a GDPR 82. cikkét felesleges rendelkezéssé tenné, mivel ezek a jogok már védelmet élveznek.

Nincs olyan alap, amely alátámasztaná azt a nézetet, hogy a GDPR 82. cikke valóban csak a meglévő védelmet fogalmazza újra. Az az elképzelés, hogy az érintettnek az adatvédelemhez való jog megsértésén túlmenően valamilyen hagyományosan védett sérelmet is bizonyítania kellene, egyszerűen lekicsinyli az alapvető jog megsértését, aminek következtében az ilyen jog tipikus megsértése nem kapja meg az európai jogalkotó által előirányzott kártérítést.

4.3. Az adatvédelemhez való jog megsértése (CFR 8. cikk)

A személyes adatok védelméhez való jog a CFR 8. cikke szerinti alapvető jog. Védi a (gyakran homályos) érzést, hogy nem áll megfigyelés alatt, és a szabadságot. Akárcsak egy törött csontot, a szabadságot is nehéz euróban mérni, de a GDPR 82. cikke pontosan erről rendelkezik: a személyes adatok jogellenes kezelése által okozott kár megtérítéséről.

Ez rendkívül újszerű, mivel más alapvető jogok, például a gyülekezési jog, a szólásszabadság vagy a választójog jellemzően nem jár nem vagyoni kártérítéssel, ha az emberek tüntetési vagy választójogát jogellenesen megsértik. Érthető, hogy a GDPR 82. cikkének fogalma ezért sok, a GDPR-ral nem rendszeresen foglalkozó ügyvéd számára nagy lépés. Ki kell azonban emelni, hogy a médiajogban, a magánélethez való jog hagyományos védelmében és hasonlóképpen már most is nagyon hasonló érzéseket, sérelmeket és sérelmeket védünk. A jog ezen területeiről származó fogalmak itt is alkalmazhatók. Néhány példa:

• Bár nyilvánvalóan nehéz megmagyarázni, hogy pontosan mi a magánélethez való jog vagy az adatvédelem sérelme, a legtöbb ember egyetért abban, hogy inkább lopják el az 500 eurós okostelefonját, mint hogy az összes privát szöveges üzenetét közzétegyék az interneten (feltételezve, hogy mindenkinek van néhány bizalmas üzenete, ami árthat a barátságoknak vagy a karriernek).
• Ugyanígy sokan egyetértenek abban is, hogy legalább ennyire zavaró, ha egy nyilvános helyen "nácinak" nevezik őket, vagy ha egy olyan szélsőséges párt potenciális szavazóinak marketinglistájára kerülnek, amellyel alapvetően nem értenek egyet. Míg a "nácinak" való nevezés általában a becsületsértési törvényekbe ütközik, és nem vagyoni kártérítést von maga után, az AG vélemény azonban úgy tűnik, hogy korlátozottan érti a kártérítést, ha egy személyt jogellenesen tesznek fel egy hasonló történelmi gyökerekkel rendelkező jobboldali populista párt szavazóinak listájára. Tekintettel arra, hogy az Osztrák Posta listája még a tényszerű értékelés látszatát is keltette (magas affinitást tulajdonítva egy gyűrűs populista pártnak), kíváncsi vagyok, hogy sokan talán nem is ezt látják-e károsabbnak.
• Az érzelmi distressz gyakran még nagyobb lehet, ha még nincs egyértelmű következmény, de az állandó érzés, hogy lehet következmény. Az EUB a C-293/12 és C-594/12, 25. és 37. sz. széljegyzetekben már rávilágított erre, amikor megállapította, hogy a kommunikációs metaadatok megőrzése öncenzúrához és ezáltal a szólásszabadság korlátozásához vezethet. Az a tény, hogy az érzékeny adatok egyszerűen "eltűnnek", szintén szorongáshoz vezethet: mielőtt az előző példában említett személyes szöveges üzenetei online felkerülnének, könnyen lehet, hogy egyszerűen csak megosztásra kerülnek vagy elvesznek - anélkül, hogy tisztázható lenne, hogy megjelennek-e és hol. Ezt jelenti a GDPR (85) preambulumbekezdése az "ellenőrzés elvesztése" alatt.
• Hasonló módon a tévesen rossz hitelképességűként megjelölt emberek általában megalázónak találják, amikor még a legalapvetőbb mobiltelefon-szerződést is megtagadják tőlük. Egy szabadpiaci társadalomban egy (általában központi) feketelistán való szereplés elidegeníti az embereket a társadalmunkból. A legtöbb ember valószínűleg tisztességes összeget fizetne azért, hogy túljusson ezen a kínos helyzeten, ami még a "credit management" szolgáltatások elterjedéséhez is vezetett, például az Egyesült Államokban.

Ezek a példák talán képesek megmutatni, hogy bár a GDPR 82. cikke alapján a nem vagyoni kárnak van egy új és újszerű típusa, az érintettet érő tipikus károk hasonlóak azokhoz a károkhoz, amelyeket már régóta elfogadunk kártérítésre alkalmasnak - vagy olyan típusú kínos vagy kellemetlen károk, amelyekkel mindannyian azonosulni tudunk.

Minden ésszerű jogász elfogadja, hogy az ilyen kártérítéseknek arányosnak kell lenniük, és általában nem haladják meg a néhány száz eurót. Azonban emberek millióinak (gyakran hamis) politikai nézetekhez való hozzárendelése és ezen adatok évekig tartó értékesítése, mint a hivatkozott esetben, aligha tekinthető ártalmatlannak - különösen a Cambridge Analyticával kapcsolatos tapasztalatok után.

Az adatvédelemhez való jog sérelme nem jelenti azt sem, hogy "automatikus" kárról van szó (lásd a 29. sz. széljegyzetet), mivel előfordulhat, hogy az érintettet valójában nem zavarja egy jogellenes adatkezelés, sőt, akár üdvözölheti is azt. Számos technikai GDPR-szabálysértés is előfordulhat, hogy az érintettet nem is érinti. Például az adatvédelmi tisztviselő kinevezésének hiánya vagy a hiányos belső papírmunka általában nem sérti közvetlenül az érintett jogait. Ha azonban egy érintett érthető módon felháborodik a személyes adatok jogellenes kezelése vagy egy olyan adatvédelmi incidens miatt, amelyet el lehetett volna kerülni, akkor általában valamilyen formában sérelem éri az érintettet.

Az EUB-nek összetett szerepe van a GDPR megsértése esetén a nem vagyoni károk paramétereinek kidolgozásában, mindig szem előtt tartva, hogy azok összehasonlíthatók legyenek más vagyoni és nem vagyoni károkkal. Ehhez az EUB-nek több ítéletet kell hoznia. Ugyanakkor azt állítom, hogy azt az elvi döntést, hogy a CFR 8. cikke és a GDPR szerinti adatvédelemhez való alapvető jog a nem vagyoni károk megtérítésének lehetőségével jár együtt , a jogalkotó akkor hozta meg, amikor a GDPR 82. cikkének (1) bekezdésébe beillesztette a "vagyoni és nem vagyoni" elemet.

4.4. A GDPR 82. cikkének "küszöbérték" elemmel való kiegészítése?

A kérdést előterjesztő bíróság lényegében azt kéri az EUB-tól, hogy a GDPR 82. cikkét a nem vagyoni károk esetében egészítse ki egy további (íratlan) elemmel: egy "de minimis küszöbértékkel".

4.4.1. A GDPR 82. cikkének megfogalmazása

Míg az AG véleménye szó szerinti értelmezést alkalmaz az előterjesztés 1. kérdésére adott válaszában, a harmadik kérdéssel kapcsolatban hiányzik a jogértelmezésnek ez a szokásos formája.

A 82. cikk ugyanis nem tartalmaz olyan szót, amely ilyen további küszöbértéket alapozhatna meg. Egyértelmű, hogy a jogalkotó úgy döntött, hogy nem ad hozzá ilyen elemet. Ez az általános adatvédelmi rendelet két kulcsfontosságú tárgyalójának egyértelmű álláspontja is (lásd Jan Philipp Albrecht, Das neue Datenschutzrecht der EU, 121. oldal, Paul Nemitz in Ehmann/Selmayr, DSGVO (3. kiadás), Art. 82, Rn 13), akik mindketten kiemelik, hogy a "de minimis küszöbérték" német koncepcióját felülbírálták, amire a felperes beadványaiban is rámutatott (lásd a beadványok 4.1.3. pontját).

Amellett, hogy az általános adatvédelmi rendelet 82. cikkében nincs olyan megfogalmazás, amelyet küszöbértékként lehetne értelmezni, a vonatkozó (146) preambulumbekezdés egyértelműen kimondja, hogy "a kár fogalmát tágan kell értelmezni", és hogy "az érintetteknek teljes és hatékony kártérítésben kell részesülniük". A jogalkotó tehát egyértelműen a tág értelmezés és nem a szűkítő megfogalmazás irányába mutatott. A tanácsadó bizottság véleménye megemlíti ezeket a preambulumbekezdéseket, de nem követi az iránymutatásukat.

Egyes tudományos írásokban a (75) és (85) preambulumbekezdést idézik a küszöbérték mellett érvelve. Amint arra az AG vélemény helyesen rámutat a 98. és 99. széljegyzetben, ezek a preambulumbekezdések a GDPR más elemeire vonatkoznak, és nem adnak alapot a GDPR 82. cikkének korlátozására.

4.4.2. Küszöbértékek más uniós jogszabályokban

Míg a GDPR 82. cikke és a vonatkozó (146) preambulumbekezdés nem tartalmaz semmilyen utalást arra, hogy küszöbértéknek kellene lennie, hasonló jogszabályok rendelkeznek ilyen megfogalmazásról. Például a szervezett utazási csomagokról szóló (EU) 2015/230 irányelv (34) preambulumbekezdése csak "jelentős" problémák esetén ír elő nem vagyoni kártérítést. A bíróságok eddig még a nem működő légkondicionálót vagy a homok hiányát a strandon is "jelentős" nem vagyoni kárnak fogadták el. Nehéz belátni, hogy a GDPR legtöbb jelentős megsértése kevésbé lenne "lényeges", mint a nem működő légkondicionáló.

Ahelyett, hogy azt a következtetést vonná le, hogy más uniós jogszabályokban egyértelmű küszöbértékek vannak, és az ilyen megfogalmazás hiánya a GDPR-ben arra utalna, hogy ilyen küszöbértéket nem irányoztak elő, a tanácsadó testület véleménye a 261/2004/EK rendeletre mutat, amely átalányösszegű kártérítést ír elő a járatok késése esetén, és azt a következtetést vonja le, hogy a jogalkotó nem akart "automatikus kártérítést", mivel ilyen rendelkezések hiányoznak a GDPR-ből (lásd 60. sz. marginális).

Kétlem, hogy a (kérdéses) átalányösszegű törvényes kártérítésre való áttérés lenne az egyetlen módja annak, hogy az európai jogalkotó biztosítsa a kisebb vagy átlagos nem vagyoni károk tényleges érvényesítését, de úgy tűnik, hogy az AG véleménye a jövőben ilyen rendelkezéseket írna elő.

4.4.3. A "küszöbérték" forrása: Ausztria és Németország?

Az AG-vélemény 111. pontja az ilyen küszöbérték bevezetése mellett érvelve a 82. lábjegyzetben az olasz, német és osztrák ítélkezési gyakorlatra hivatkozik - nem pedig a GDPR-ra, az uniós ítélkezési gyakorlatra vagy más uniós elvekre.

Bár nem tudtam utánanézni az idézett olasz esetnek, legalább a német és az osztrák ítélet iróniája az, hogy ezek az esetek a GDPR előtti nemzeti jogi nézetekre támaszkodnak. Németországban volt egy "küszöbérték", amely a német alkotmányban foglalt magánélethez való jogon ("Allgemeines Persönlichkeitsrecht" vagy "APR") alapult. Ausztriában az ABGB 1328a §-ában van egy kifejezett küszöbérték a magánélethez való jog nemzeti jog szerinti megsértésére. A nemzeti bíróságok ezt a hagyományt követték, figyelmen kívül hagyva a GDPR 82. cikkének elsőbbségét.

A nemzeti bíróságok és az AG véleménye közötti kölcsönhatás tehát teljes kört teremt, amikor az osztrák és németországi bíróságok azt kérdezik, hogy az uniós jogot ugyanúgy kell-e értelmezni, ahogyan eddig a nemzeti jogot értelmezték, és az AG azt válaszolja, hogy az uniós jogban küszöbértéknek kell lennie, mert ezek a bíróságok korábban a nemzeti jogukban ilyen küszöbértéket alkalmaztak.

Ez a megközelítés ellentétesnek tűnik az uniós jog független értelmezésével.

A valóságban a helyzet még bonyolultabb, mivel még a német és az osztrák bíróságok sem képviselnek egységes álláspontot (lásd pl. Düsseldorfi Munkaügyi Bíróság, 9 Ca 6557/18 vagy az osztrák Legfelsőbb Bíróság 6 Ob 56/21k). Meglepő, hogy az AG véleménye nem tükrözi a nemzeti ítélkezési gyakorlatban fennálló ellentmondást, hanem úgy tesz, mintha a tagállamokban egységes hagyomány lenne.

4.4.4. A tagállamok bíróságai határozzák meg a "küszöbértéket"?

Még ha egy ilyen "de minimis küszöbértéknek" valóban lenne is jogi alapja, akkor is szükség lenne e küszöbérték meghatározására. Míg a marginális sz. 116. sz. tanácsadói vélemény elfogadja, hogy létezik egy vékony határvonal a "puszta felzaklatás" és a valódi nem vagyoni kár között, ennek meghatározása teljes mértékben a tagállami bíróságokra van bízva - minden olyan iránymutatás nélkül, amely a legcsekélyebb harmonizációt is lehetővé tenné.

Az AG véleménye még a hivatkozott ügy tényállásáról sem foglal egyértelműen állást, és arról, hogy ez az eset megfelel-e az állítólagos "de minimis küszöbértéknek". Legalábbis úgy tűnik, hogy a tények túlmutatnak az "egyszerű felzaklatáson", de a tanácsadói vélemény 86. lábjegyzetében kiemeli, hogy "e megfontolások ismert etésével [a tanácsadó] nem ítélkezik annak eldöntése felett, hogy ebben az esetben [a felperes] helyzete az egyik vagy a másik kategóriába tartozik-e". A legfőbb ügyész véleménye úgy tűnik, hogy a hivatkozott ügy túl közel van a "finom határvonalhoz" ahhoz, hogy döntést lehessen hozni - megmutatva, hogy a "de minimis küszöb" elem nem vezetne egyértelmű döntésekhez, hanem inkább még nagyobb jogbizonytalanságot szülne, mivel egy másik elemet vitatnának meg a bíróságok az Unió egész területén.

Ez a megközelítés lehetővé tenné, hogy a bírák az EU/EGT-szerte saját véleményt alkossanak az ilyen küszöbértékről és annak meghatározásáról, így az érintettek és az adatkezelők bizonytalanságban maradnának az általános adatvédelmi rendelet 82. cikke szerinti követelések helyes értelmezését illetően. A valóságban sok bírónak nagyon könnyű lesz egyszerűen elutasítani az ilyen ügyeket.

4.4.5. A kis értékű követeléseket általában nem hajtják végre

A 2. kérdés szerinti kárszámítási tényezők megfelelő meghatározása azt is jelentené, hogy a kisebb vagy átlagos jogsértések esetén meglehetősen alacsony kártérítési összegeket kapnának, ami eloszlatná azokat az aggodalmakat, hogy túl sok ügyet indítanak.

Például egy hozzáférési kérelem megválaszolásában bekövetkezett rövid késedelem apró kárnak minősülhet, ami néhány eurós kártérítést eredményezhet. Ugyanakkor a válaszok éveken át történő strukturált elmaradása, amikor a vonatkozó személyes adatokat gyakran törlik vagy felülírják, néhány száz eurós kártérítést eredményezhet, mivel úgy tűnik, hogy nincs lehetőség a ténybeli enyhítésre.

Az AG úgy tűnik, hogy a marginális sz. 114, hogy a kisebb jogsértéseket alig érvényesítik, amikor azt mondja, hogy az ilyen peres eljárások "nem hatékonyak", de ahelyett, hogy arra a következtetésre jutna, hogy a kis értékű követelések nem reálisak, úgy tűnik, hogy az AG ezt a tényt az ilyen jogok megadása ellen fordítja egyáltalán.

Ebben a tekintetben az AG véleménye annyiban is következetlennek tűnik, hogy a hatékony végrehajtás hiányát érvként hozza fel a kisebb, nem vagyoni kártérítések ellen, ugyanakkor alternatívaként még jelentéktelenebb követelésekre (pl. nyilatkozatok, névleges kártérítés és hasonlók) mutat rá.

Nincs "de minimis" szabály a vagyoni károkra vonatkozóan sem. A felperesek egyetlen ellopott euró miatt is indíthatnak keresetet. Az általános adatvédelmi rendelet 82. cikke nem tartalmaz olyan utalást, amely különbséget tenne a kisebb nem vagyoni és a kisebb vagyoni károk között.

Az AG véleményének megközelítése ellentétesnek tűnik a kis értékű követelések igazságszolgáltatáshoz való hozzáférésének javítására irányuló uniós jogi erőfeszítésekkel is, amikor az EU olyan jogszabályokat fogadott el az ilyen akadályok leküzdése érdekében, mint a kis értékű követelések európai eljárásáról szóló rendelet (861/2007/EK rendelet) vagy a képviselői keresetekről szóló irányelv (2020/1828/EU irányelv) közelmúltbeli elfogadása.

Mint minden más követelés esetében, a felperesek aligha pereskednek a csekély összegek vagy minimális jogsértések meg nem fizetése miatt, mivel a keresetindítás költségei és erőfeszítései egyszerűen nem éri meg (erről bővebben a 4.5. pontban). Ez azonban nem ok arra, hogy további anyagi jogi akadályokat találjanak ki a keresetindításhoz, a meglévő eljárási akadályokat általában már így is nehéz leküzdeni.

4.4.6. Összefoglaló a "küszöbről"

A tanácsadó csoport véleménye egyértelművé teszi, hogy a rendelkezés szövege és a vonatkozó preambulumbekezdés nem ír elő küszöbértéket, de a 108-115. sz. marginális számok még akkor is az ellenkező következtetésre jutnak, ha nem azonosítanak semmilyen megalapozott jogalapot a tagállami bíróságok számára arra, hogy a GDPR 82. cikkének (1) bekezdését " de minimis küszöbérték" elemmel egészítsék ki.

Az egyéb jogi bizonytalanságok mellett bármely jövőbeli felperesnek aggódnia kellene, hogy a GDPR-követelését a bíró elég "jelentősnek" tekinti-e ahhoz, hogy kártérítést ítéljen meg, mivel a tanácsadó testület véleménye még csak nem is foglal állást a hivatkozott ügyben.

Összességében úgy tűnik, hogy a német és az osztrák bíróságok sikerrel vezethetik vissza az adatvédelmi jogok régi német korlátait az EUB ítélkezési gyakorlatába, még akkor is, ha azokat az európai jogalkotónak felül kellett volna írnia.

4.5. Utalások a kártérítés alternatíváira

Az AG véleménye nagymértékben támaszkodik arra az elképzelésre, hogy az érintett számára számos más út áll rendelkezésre, amelyet a nem vagyoni kár megtérítése iránti igény helyett választani kell.

Általános észrevételként ki kell emelni, hogy az érintettnek általában joga van ahhoz, hogy az általa leghálásabbnak vagy legígéretesebbnek tartott jogi igény(eke)t válassza. Nincs "hierarchia" a 77. cikk szerinti panasz és a GDPR 79. cikke szerinti polgári peres eljárás között. Hasonlóképpen, a GDPR 79. cikke a polgári jogi igény bármely formáját lehetővé teszi. Az esettől függően indokolt lehet például a jövőbeni jogellenes adatkezelés elleni tiltó végzést és a múltbeli jogsértésekért kártérítést kérni. A felperesnek kell megválasztania, hogy szerinte melyik követelés orvosolja a helyzetet a legjobban.

Bár az AG véleménye számos alternatívát mutat fel, gyakran előfordulhat, hogy nem vagyoni kártérítést nem tudnak helyettesíteni. Például:

• Számos adatvédelmi hatóság (DPA) már kijelentette, hogy az érintetteknek nincs alanyi joguk arra, hogy az adatvédelmi hatóságokon keresztül érvényesítsék az adatvédelemhez való alapvető jogukat (például a francia CNIL vagy a svéd IMY). Más adatvédelmi hatóságok egyszerűen "lezárják" a legtöbb ügyet anélkül, hogy végrehajtási lépéseket tennének (mint például az ír adatvédelmi hatóság), vagy nem adnak ki ésszerű időn belül határozatot a GDPR-panaszokról (mint például az osztrák DSB, amely a törvényben előírt hat hónapos határidő helyett éveket vesz igénybe). Sok esetben az adatvédelmi hatóságok még azt is javasolták, hogy az érintettek forduljanak a polgári bíróságokhoz, ha a GDPR szerinti jogaik érvényesítését szeretnék elérni. Ezért elrugaszkodik a valóságtól, amikor a tanácsadói vélemény azt állítja, hogy a polgári jogi jogérvényesítés "megfoszthatja" az adatvédelmi hatóságokat a több panasztól és a releváns információtól (50. sz. margó). A valósághoz képest az ilyen kijelentések egyszerűen cinikusak.
• Amikor az AG vélemény azt javasolja, hogy a polgári bíróságok csak azért "ismerjék el" a jogsértéseket, hogy "erkölcsi elégtételt" nyújtsanak (89. sz. margó), az olvasó elgondolkodik azon, hogy vajon az "elismerés" ezen az áron vajon elégtételt nyújt-e, vagy inkább csak (pénzügyileg) másodszor is áldozattá teszi az érintetteket. Nem szabad elfelejteni, hogy a polgári peres eljárások jelentős költségkockázattal járnak. Még ha egy ilyen elismerés jogilag lehetséges is lenne (pl. Ausztriában a megállapítási jogorvoslat eljárási szempontból korlátozott), valószínűleg sok bíró feltenné magának a kérdést, hogy miért kellene egy rendkívül összetett GDPR-ügybe bocsátkoznia csak azért, hogy olyan ítéletet hozzon, amely "elismeri" a jogsértést.
• Hasonlóképpen, a végzések gyakran korlátozottan használhatók, különösen, ha múltbeli jogsértésekről van szó. Jelen esetben a Posta nem tudja "feloldani" a felperes politikai hovatartozását az elmúlt évekre vonatkozóan. Gyakran a személyes adatokat sem lehet visszahívni, ha azokat egyszer már közzétették vagy eladták, és az adatbiztonság megsértésének következményeit sem lehet egyszerűen visszacsinálni. Hasonlóképpen, ha egy adatkezelő nem tesz eleget a hozzáférési jognak a megadott határidőn belül, lehetetlennek tűnik visszamenőlegesen másolatot kapni olyan személyes adatokról, amelyek esetleg már nem is léteznek, miután egy polgári bíróság tárgyalta és eldöntötte az ügyet.
• Bár a jogtalan nyereség említése érdekes, a valóság az, hogy ez a nyereség gyakran nagyon nehezen kiszámítható, és alig ér meg bármilyen peres eljárást - sokkal kevesebb, mint a legminimálisabb nem vagyoni kár.
• Az is meglepett, hogy az AG hangsúlyozza, hogy a nem kormányzati szervezetek által a GDPR 80. cikke alapján történő képviselet lehetősége könnyebben elérhetővé teszi az általános érdekek védelmét az egyének számára, és ezt érvként használja a nem vagyoni kártérítés ellen (41. sz. marginális). Valójában a noyb az egyetlen olyan civil szervezet Európában, amely a GDPR 80. cikke szerinti GDPR szerinti peres eljárásokra szakosodott, és éves költségvetésünk a legjobb esetben is évi öt-tíz polgári peres eljárás megindítását tenné lehetővé - az egész Európai Gazdasági Térségre vonatkozóan.

Összefoglalva, az AG véleményében szereplő utalások és ötletek részben érdekesek, de nagyrészt nem jelentenek releváns alternatívát. A GDPR kifejezetten lehetővé teszi a párhuzamos végrehajtást az adatvédelmi megállapodásokon vagy a polgári bírósági rendszeren keresztül. Szégyen, hogy az adatvédelmi hatóságok és a polgári bíróságok rendszeresen egymásra mutogatnak, amikor az érintettek jogorvoslatért folyamodnak. A gyakorlatban nyilvánvaló, hogy a GDPR szerinti igényeket túl gyakran fogadják "nem az én asztalomon" válasszal. Nyilvánvalóan nem az a probléma, hogy túl sok hatékony eszközünk van a GDPR érvényesítésére, de jelenleg valójában nincs hatékony út.

Még ha az AG által említett végrehajtási alternatívák a gyakorlatban valóban zökkenőmentesen működnének is (ami nem így van), nyilvánvalóan nem helyettesíthetik a GDPR 82. cikke szerinti kártérítési igényt.

4.6. Az EU az amerikai elutasítási modellt követi?

Az adatvédelmi közösség minden tagja számára az AG véleményének megközelítése az amerikai bíróságokon jelenleg uralkodó megközelítésre emlékeztet. Mivel az amerikai bíróságok általában nem látnak "kárt" az adatvédelem megsértésében, a legtöbb ügyet már az elején elutasítják, még akkor is, ha a törvényt megsértették.

A bíróságok erősen ösztönözve vannak arra, hogy kövessék az ilyen esetjogot, és azt egyre tovább és tovább terjesszék, mivel ez lehetővé teszi a bírák számára, hogy kevés erőfeszítéssel elutasítsák a bonyolult és gyakran meglehetősen politikai jellegű ügyeket.Ez a dinamika ahhoz vezet, hogy az adatvédelmi törvények szinte nem is érvényesíthetők a polgári bíróságokon, mivel az amerikai bírák szemében még a legagresszívebb jogsértések sem okoznak "kárt".

4.7. A nem vagyoni károk értékelésének kritériumai

Az AG véleménye nem válaszolt arra a kérdésre sem, hogy milyen további uniós jogi követelmények vonatkoznak a kártérítés értékelésére. Ha az AG vélemény valóban foglalkozott volna a második kérdéssel, akkor a GDPR szerinti lehetséges objektív kritériumokat javasolt volna a kártérítés értékelésére, amelyeket a nemzeti bíróságok felhasználhatnának annak megállapítására, hogy az érintettet tényleges nem vagyoni kár érte-e, valamint a támogatható kártérítés összegének meghatározására. Véleményem szerint az ilyen kritériumok tartalmazhatnának:

• A jogsértéshez vezető jogellenes adatkezelés vagy egyéb magatartás fajtája (pl. nyomon követés, profilalkotás, harmadik felek részére történő továbbítás, harmadik országokba történő továbbítás, adatsértés, a GDPR III. fejezete szerinti figyelmen kívül hagyott kérelmek)
• Az adatkezelés célja (A cél az érintett érdekét is szolgálta? Az adatkezelés elsősorban kereskedelmi célú volt? Volt-e rosszhiszeműség?)
• A feldolgozott adatok kategóriája (A GDPR 9. vagy 10. cikke szerinti adatokkal kapcsolatos GDPR-szabálysértés általában nagyobb súllyal esik latba, mint a "nem érzékeny" adatokkal kapcsolatos jogsértés. A szóban forgó esetben a politikai hovatartozásnak tulajdonított adat a GDPR 9. cikke szerinti adatnak minősült, amit a főügyész nem vett figyelembe)
• A jogsértés terjedelme és ideje (A GDPR 12. cikkének (1) bekezdése szerinti határidő lejárta után két nappal az érintettet nem feltétlenül jogosítja fel kártérítésre az érintettet, a két hetes vagy hónapos késedelem viszont igen)

Az ilyen kritériumok segítenék a nemzeti bíróságokat abban, hogy ésszerű és harmonikus esetjogot alakítsanak ki. A valóságban ez (más jogágakhoz hasonlóan) néhány évbe és több esetjogba fog telni, hogy a kártérítés egységes rendszere felé haladjunk, akárcsak a kártérítés más területeken.

Fontos, hogy a viszonylag jelentéktelen nem vagyoni károk csak alacsony kártérítésre jogosítanának. Ezt fontos hangsúlyozni, mivel úgy tűnik, hogy félő, hogy a nem vagyoni károkért járó kártérítés megítélése ahhoz vezetne, hogy az érintettek a GDPR jelentéktelen megsértése miatt pert indítanának. A gyakorlati tapasztalatok azt mutatják, hogy ez a félelem teljesen alaptalan. A polgári peres eljárások magas költségei általában megakadályozzák az áldozatokat abban, hogy a súlyos eseteken kívül mással is bírósághoz forduljanak. A valóságban az emberek nem nyújtanak be 50 eurós kereseteket, függetlenül attól, hogy milyen jogterületről van szó.

4.8. Összefoglaló a nem vagyoni károkról

Összefoglalva, az AG véleménye nem ad választ a GDPR 82. cikkének értelmezésére. A vélemény kifejezetten nem is foglal véglegesen állást arról, hogy az EUB előtti ügyben a felperes jogosult-e nem vagyoni kártérítésre.

Az AG véleménye nem csak azt a lehetőséget szalasztja el, hogy a kérdést előterjesztő bíróság második kérdése alapján némi iránymutatást adjon a GDPR 82. cikkével kapcsolatban, hanem ehelyett még azt a gondolatot is elutasítja, hogy a hatékonyság és az egyenértékűség uniós elvei szerepet játszanának abban, ha a tagállamok a GDPR alapján tovább definiálhatják a nem vagyoni kártérítést.

Különösen problematikus, hogy a német "de minimis küszöbérték" fogalmát potenciálisan bevezetik a GDPR 82. cikke alapján, még akkor is, ha a törvény nem ír elő ilyen küszöbértéket.

(D) Személyes megjegyzés

Míg az EUB által a GDPR-ról hozott ítéletek eddig az elvek, érvek és értelmezési irányvonalak szigorú vonalát követték, a C-300/21. sz. ügyben hozott AG-vélemény nagymértékben eltérni látszik a GDPR tudományos vagy tisztán jogi értelmezésétől.

A GDPR 2018-as hatálybalépése óta számos olyan bírósági döntéssel találkozunk, amelyek megpróbálják "megszelídíteni" a GDPR-t. Úgy tűnik, hogy ez a tendencia aligha a tényleges szigorú végrehajtáson, a jogalkotó hibáin vagy túlzó rendelkezéseken alapul - hanem az iparág széles körű nyilvános felháborodásán és olyan kereskedelmi gyakorlatokon (például a szándékosan zavaró és frusztráló "cookie-bannerek"), amelyek a GDPR problémás megítélését generálták a nyilvánosságban. Az AG véleményének egyes szakaszait olvasva nehéz figyelmen kívül hagyni, hogy a GDPR "túl messzire megy" állandó ágazati üzenete sajnos hozzájárult a véleményben foglalt eredményhez.

Ezt a PR-erőfeszítést szembe kell állítani azzal a ténnyel, hogy az Európai Parlament 621 igen szavazattal, 22 tartózkodással és 10 nem szavazattal fogadta el a GDPR-t, az uniós adatvédelmi jogok e pillérét. Hasonlóképpen csak egy tagállam szavazott a GDPR ellen - Ausztria ugyanis alacsonyabb szintűnek találta a védelem szintjét, mint a korábbi nemzeti jog. Az egyik fő ígéret akkor a fokozott jogérvényesítés volt.

Most már csak remélni tudjuk, hogy az EUB bírái a C-300/21 ügyben hozott végleges ítéletükben arra összpontosítanak, amit a kérdést előterjesztő bíróság kérdezett, amiről az alapjául szolgáló ügy valójában szól, és amit a jogalkotó a GDPR 82. cikkében megfogalmazott. Ha csak a bevett jogi értelmezési formákat alkalmazzák következetesen, akkor olyan ítéletben reménykedhetünk, amely tisztázza a GDPR 82. cikkének alkalmazását, ahelyett, hogy megpróbálná újraírni azt.

* A beadványokat a felperes biztosította, mivel a noyb pro bono alapon támogatta a felperest az EUB beadványok során. Más felek beadványai az EUB eljárási szabályai szerint nem oszthatók meg.