A GDPR puszta megsértése nem ad alapot kártérítéshez való jogra. Ugyanakkor a kártérítéshez való jog meglétéhez nem követelmény, hogy az elszenvedett kár elérjen egy bizonyos súlyossági küszöböt – szögezi le az Európai Unió Bírósága C-300/21. számú Österreichische Post (Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár) ügyben hozott ítéletében.

2017-től kezdődően az Österreichische Post adatokat gyűjtött az osztrák lakosság politikai kötődéseire vonatkozóan. Egy algoritmus segítségével, különféle társadalmi és demográfiai jellemzők alapján meghatározta a „célcsoportok címét”. Az így gyűjtött adatok alapján az Österreichische Post egy adott állampolgár tekintetében azt állapította meg, hogy egy bizonyos osztrák politikai párthoz nagy fokú kötődést mutat. Ezen adatokat azonban nem továbbították harmadik feleknek.

Az érintett állampolgár, aki nem járult hozzá a személyes adatainak a kezeléséhez, előadja, hogy mindez – amiatt, hogy a kérdéses párthoz való különös kötődést állapítottak meg rá vonatkozóan – erős felháborodást keltett benne, bizalomvesztést eredményezett és megalázottságérzést váltott ki belőle. Az általa állítólagosan elszenvedett nem vagyoni kár megtérítése címén 1000 euró összegű kártérítést követel az osztrák bíróságok előtt indult eljárásban.

Az osztrák legfelsőbb bíróságnak kétségei vannak azon kártérítéshez való jog terjedelmét illetően, amelyet az általános adatvédelmi rendelet (GDPR) az e rendelet megsértéséből eredő vagyoni és nem vagyoni károk esetén ír elő. E bíróság azt kérdezi a Bíróságtól, hogy a GDPR puszta megsértése elegendő-e ahhoz, hogy ilyen jogot keletkeztessen, és hogy a kártérítés nem csak akkor lehetséges-e, ha az elszenvedett kár meghalad egy bizonyos súlyossági küszöböt. Azt is szeretné megtudni, hogy melyek az uniós jog által előírt követelmények a károk összegének meghatározását illetően.

Ítéletében a Bíróság először is megállapítja, hogy a GDPR által előírt kártérítéshez való jog egyértelműen három együttes feltételhez van kötve: a GDPR megsértéséhez, az e jogsértésből eredő vagyoni vagy nem vagyoni kárhoz, valamint a kár és a jogsértés közötti okozati kapcsolathoz. Ennélfogva,

a GDPR rendelkezéseinek bármely megsértése önmagában nem nyitja meg a kártérítéshez való jogot.

Az ettől eltérő értelmezés ellentétes lenne a GDPR világos megfogalmazású szövegével. Ezenfelül, a GDPR kártérítési jogra vonatkozó preambulumbekezdései értelmében, a rendelet megsértése nem feltétlenül jár együtt károkozással, és nem feltétlenül alapoz meg kártérítéshez való jogot, mivel a szóban forgó jogsértés és az elszenvedett kár között okozati kapcsolatnak kell fennállnia. Ily módon a kártérítési kereset elkülönül a GDPR-ban szereplő más jogorvoslati lehetőségektől, különösen azoktól, amelyek közigazgatási bírságok kiszabását teszik lehetővé, és amelyeknél a konkrét kár meglétét nem kell bizonyítani.

Másodszor, a Bíróság megállapítja, hogy

a kártérítéshez való jog nem csak a bizonyos súlyossági küszöböt elérő nem vagyoni károkra terjed ki.

A GDPR nem említ ilyen követelményt, és az ilyen korlátozás ellentétes lenne a „kár” fogalmának az uniós jogalkotó által elfogadott széles értelmezésével. Ráadásul, a nem vagyoni károk megtérítésének egy bizonyos súlyossági küszöbnek való alárendelése azzal a kockázattal járna, hogy sértené a GDPR által bevezetett rendszer koherenciáját. A fokozatok meghatározása ugyanis, amelytől a kártérítés megítélése vagy megtagadása függene, az eljáró bíróságok értékelésétől függően változó lehet.

Végül harmadszor, ami

a károk összegének meghatározását illeti, a Bíróság megjegyzi, hogy a GDPR nem tartalmaz ilyen tárgyú rendelkezéseket.

Így tehát az egyes tagállamok jogrendjének feladata meghatározni az azon keresetekre vonatkozó részletes szabályokat, amelyek a jogalanyokat a GDPR alapján e tekintetben megillető jogok biztosítására irányulnak, különösen azon szempontokat, amelyek lehetővé teszik az ennek keretében járó kártérítés mértékének – az egyenértékűség és a hatékony érvényesülés elveinek tiszteletben tartásával történő – megállapítását. E tekintetben a Bíróság hangsúlyozza a GDPR által előírt kártérítéshez való jog kompenzációs szerepét, és emlékeztet arra, hogy ezen eszköz az elszenvedett kárt illetően teljes és tényleges kártérítés biztosítására irányul.