Alarmujące: Trybunał Sprawiedliwości może poważnie ograniczyć egzekwowanie prawa do prywatności Europejczyków
Mało zauważony przez opinię publiczną rzecznik generalny (AG) Trybunału Sprawiedliwości Unii Europejskiej (TSUE) wydał opinię, której celem jest ograniczenie jednej z ostatnich potencjalnych dróg egzekwowania przez użytkowników ich praw do prywatności wynikających z GDPR. Według AG, Europejczycy praktycznie nie otrzymaliby odszkodowań za naruszenia GDPR - mimo że GDPR wyraźnie przewiduje roszczenie o szkody niematerialne. Ostateczny wyrok zostanie wydany przez TSUE w ciągu najbliższych miesięcy.
- Opinia AG w sprawie C-300/21
- Austriacki wniosek do TSUE w sprawie zadośćuczynienia za krzywdę (w języku niemieckim)
- Austriacki wyrok końcowy dotyczący pozostałych roszczeń w tej sprawie (w języku niemieckim)
Dalsze materiały:
- Szczegółowa analiza opinii AG autorstwa Maxa Schremsa
- "Grump GDPR" Podcast z Maxem Schremsem na temat tej opinii (na transistor.fm)
Tło sprawy. Austriacka poczta nielegalnie obliczyła polityczne wychylenie milionów Austriaków, naruszając GDPR. Wiedeński powód, który został niesłusznie skojarzony z prawicowo-populistyczną Partią Wolności, pozwał pocztę o odszkodowanie, żądając 1 000 euro za masowy gniew, utratę zaufania i poczucie narażenia. GDPR wyraźnie nazywa roszczenie o szkody niematerialne. Niemniej jednak austriacki Sąd Najwyższy (OGH) skierował trzy pytania do TSUE, pytając, czy art. 82 GDPR pozwala na odszkodowanie bez szkody materialnej lub czy sądy austriackie mogą wymagać dodatkowego "progu", aby przyznać odszkodowanie niematerialne.
Brak odszkodowania za większość naruszeń GDPR? Austriacki Sąd Najwyższy pytał głównie o to, czy może ograniczyć przyznawanie odszkodowań niematerialnych, jeśli gniew powoda nie wykracza poza gniew towarzyszący naruszeniu praw GDPR. Ponieważ definicja ta obejmowałaby wszystkie realistyczne rodzaje gniewu, które mogą wynikać z naruszenia GDPR, w dużej mierze podważyłaby intencję ustawodawcy, aby przyznać zadośćuczynienie niematerialne za naruszenie prawa do ochrony danych.
Max Schrems: "Ta sprawa jest głęboko niepokojąca. Jeśli przeważy pogląd austriackiego Sądu Najwyższego i rzecznika generalnego, większość użytkowników już nigdy nie doczeka się odszkodowania za naruszenia GDPR. Rozmawiałem z wieloma ekspertami w ostatnich dniach i słychać szeroko zakrojone obawy."
Inne opcje nie są skuteczne. Opinia AG wielokrotnie wskazuje na inne opcje niż odszkodowania, takie jak zwykłe deklaracje, nominalne odszkodowania (zwykle 1 euro) lub nakazy. Chociaż każdy powód niewątpliwie ma prawo do wniesienia takich roszczeń, nie mogą one na ogół zaradzić naruszeniom z przeszłości lub odzyskać nielegalnie udostępnionych danych. Powodowie musieliby zainwestować wysokie kwoty pieniędzy, aby uzyskać jedynie kawałek papieru, na którym byłoby napisane, że mają rację. Administratorzy danych odeszliby z zyskami z naruszeń GDPR bez realnych konsekwencji.
Max Schrems: "Wniesienie sprawy cywilnej kosztuje tysiące, a często dziesięć tysięcy euro. Nikt niewniósłby pozwu, aby jedynie uzyskać kawałek papieru mówiący, że miał rację."
Opinia AG wskazuje również na organy ochrony danych (DPA), aby wykonywały swoją pracę. W rzeczywistości wiele organów ochrony danych nadal stoi na stanowisku, że nie mają one obowiązku egzekwowania praw użytkowników. Niektóre organy ochrony danych uważają, że użytkownicy nie są nawet stroną w toczącym się przed nimi postępowaniu. W opinii AG argumentuje się, że większa liczba spraw w sądach cywilnych "pozbawiłaby" organy ochrony danych skarg, podczas gdy w rzeczywistości wiele z nich nie rozpatruje nawet obecnej liczby skarg.
Max Schrems: "Niektóre fragmenty tej opinii są głęboko cyniczne dla każdego, kto pracuje w tej dziedzinie. Mamy do czynienia z ogromną luką w egzekwowaniu GDPR. Jednocześnie wydaje się, że w opinii uwzględniono wiele argumentów przemawiających za ograniczeniem egzekwowania przepisów. Jest to bardzo problematyczne podejście pochodzące z Trybunału Sprawiedliwości."
Fragmentaryczne "odszkodowania" w UE? Opinia AG wydaje się również zezwalać 30 państwom członkowskim UE i EOG na wymyślanie własnych "progów" lub innych przepisów krajowych, które mogą ograniczać wyraźnie zamierzone pełne odszkodowanie za szkody niematerialne na mocy GDPR. Doprowadziłoby to do ogromnej fragmentacji, ponieważ niektóre państwa członkowskie zezwoliłyby na pełne odszkodowanie, a inne mogłyby wprowadzać coraz wyższe limity.
W omawianej sprawie nie ma nawet jasności. Nawet jeśli przyjmie się poglądy zawarte w opinii AG, nie ma jasnej odpowiedzi w sprawie podstawowej. W samym przypisie 86 przyznaje się, że "przedstawiającte rozważania, nie przesądzam, czy w tym przypadku sytuacja [powoda] mieści się w jednej czy drugiej kategorii" - co oznacza, że nadal nie jest jasne, czy powód w sprawie austriackiej powinien otrzymać odszkodowanie, czy nie.
Opinia nie jest prawnie rygorystyczna. Oprócz pytań dotyczących wniosków zawartych w opinii AG, ma ona również poważne braki prawne. W opinii częściowo stwierdza się, że zasady dotyczące odszkodowań zostaną zharmonizowane w UE, tylko po to, aby następnie twierdzić, że państwa członkowskie mogą odstąpić od prawa. Podobnie, pojęcia takie jak "utrata kontroli" lub swobodny przepływ danych osobowych w UE wydają się być drastycznie niezrozumiałe w opinii AG. noyb przygotował 10-stronicowy przegląd prawny opinii AG, podkreślając wiele z tych raczej technicznych błędów w opinii.
Max Schrems: "Mamy wielką nadzieję, że sędziowie nie pójdą za tą opinią. Nie rozwiązuje ona kwestii przed Trybunałem, ani nie jest prawnie uzasadniona, ale może zostać wykorzystana do zamknięcia jednej z ostatnich ścieżek egzekwowania GDPR."
Rosnące działania sądowe przeciwko prawom GDPR. Podczas gdy TSUE do tej pory przyjmował bardzo neutralne i techniczne podejście do GDPR, coraz bardziej oczywiste staje się, że niektóre sądy krajowe kierują do TSUE niezliczone pytania, które mają na celu ograniczenie GDPR. Obecnie istnieje około 40 odwołań do TSUE, głównie z pytaniami, które pozwoliłyby na ograniczenie praw GDPR, lub z kwestiami niebędącymi kwestiami, które są wyraźnie rozstrzygane w ramach GDPR.
Max Schrems: "Widzimy niepokojący trend, że sądy kawałek po kawałku ograniczają prawa wynikające z GDPR i dodają coraz więcej blokad drogowych. Podczas gdy 96% Parlamentu Europejskiego i wszystkie państwa członkowskie UE stały za silną ochroną prywatności, prawie nie widzimy egzekwowania przepisów w terenie. Wydaje się, że niektórzy sędziowie zostali przekonani przez branżę, że GDPR musi być ograniczone. Widzimy coraz więcej orzeczeń, które próbują stopniowo cofać GDPR poprzez ograniczanie powodów i organów. Jest to szczególnie trend w krajach niemieckojęzycznych i w Holandii. Niektóre sądy zdają się mieć nadzieję, że TSUE ograniczy GDPR. Wiele wyroków czyta się tak, jakby sędziowie dodając te blokady drogowe chcieli postąpić słusznie, gdy w rzeczywistości odchodzą od wyraźnej decyzji demokratycznej."
Ostateczna decyzja TSUE w tej sprawie zostanie wydana w ciągu najbliższych miesięcy.