A személyes adatokhoz való hozzáférés iránti kérelem visszaélésszerűnek minősíthető és elutasítható, ha azt kizárólag azzal a céllal nyújtották be, hogy azt követően majd kártérítést követeljenek a GDPR állítólagos megsértése miatt – szögezi le az Európai Unió Bírósága C-526/24. számú Brillen Rottler ügyben hozott ítéletében.
Egy Ausztriában lakó személy feliratkozott a németországi Arnsbergben működő családi optikai vállalkozás, a Brillen Rottler hírlevelére, a vállalkozás internetes oldalán található regisztrációs űrlapon megadva személyes adatait.
Tizenhárom nappal később hozzáférés iránti kérelemmel fordult a Brillen Rottler-hez az általános adatvédelmi rendelet (GDPR) alapján.⌈1⌉ E rendelet szerint⌈2⌉ az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a kapcsolódó információkhoz hozzáférést kapjon.
A Brillen Rottler elutasította a kérelmet, mivel azt visszaélésszerűnek ítélte. Véleménye szerint különböző híradásokból, blogokból és ügyvédi folyóiratokból kitűnik, hogy e személy rendszeresen feliratkozik különböző vállalkozások hírleveleire, majd ezt követően hozzáférés iránti kérelmeket, aztán pedig kártérítési kereseteket nyújt be. E személy viszont úgy vélte, hogy az általa benyújtott hozzáférés iránti kérelem jogszerű volt, és legalább 1000 euró kártérítést követelt a Brillen Rottler-től az amiatt elszenvedett nem vagyoni kára megtérítéseként, hogy elutasították a hozzáférési kérelmét.
A Brillen Rottler és ezen egyén közötti, a fent említett kérelmek jogszerűségére vonatkozó jogvitában eljáró arnsbergi helyi bíróság azzal a kérdéssel fordult az Európai Unió Bíróságához, hogy az érintett által a személyes adatokhoz való hozzáférés iránt benyújtott első kérelem „túlzónak” tekinthető-e, és hogy e személy jogosult-e az ezen adatokhoz való hozzáférés jogának megsértéséből eredő kár megtérítésére.
A Bíróság válasza szerint bizonyos körülmények esetén akár már az első hozzáférési kérelem is lehet „túlzónak” tekinthető a GDPR értelmében⌈3⌉, és így visszaélésszerűnek minősülhet.
Visszaélésszerűnek akkor minősül a hozzáférési kérelem, ha az adatkezelő bizonyítja, hogy annak ellenére, hogy a GDPR-ban a hozzáférés iránti kérelem benyújtására előírt feltételek formálisan teljesültek, a kérelem nem az adatok kezelésének megismerése és jogszerűségének⌈4⌉ ellenőrzése céljából került benyújtásra, hanem azzal a „visszaélésnek minősíthető” szándékkal, hogy mesterségesen megteremtsék a GDPR szerinti kártérítés megszerzéséhez szükséges feltételeket.⌈5⌉
Az a tény, hogy a nyilvánosan hozzáférhető információk szerint az érintett számos kérelmet nyújtott már be különböző adatkezelőkhöz a személyes adataihoz való hozzáférés iránt, majd ezeket követően kártérítési kérelmeket nyújtott be, figyelembe vehető az ilyen visszaélésszerű szándék fennállásának megállapítása érdekében.
Ezenfelül, a GDPR⌈6⌉ megsértéséből – ideértve a személyes adataihoz való hozzáférés jogának megsértését is – eredően vagyoni vagy nem vagyoni kárt elszenvedett személy kártérítésre jogosult az adatkezelőtől. A Bíróság ugyanakkor pontosítja, hogy az ilyen kártérítés megítéléséhez az érintettnek bizonyítania kell többek között, hogy ténylegesen ilyen kár érte. Egyébként pedig
az érintett nem kaphat kártérítést⌈7⌉ a GDPR alapján, ha saját magatartása képezte a kár meghatározó okát.
Az arnsbergi helyi bíróságnak a Bíróság válaszait figyelembe véve kell döntést hoznia az előtte folyó perben.
Az előzetes döntéshozatali eljárás lehetővé teszi a tagállami bíróságok számára, hogy az előttük folyamatban lévő jogvita keretében az uniós jog értelmezésére vagy valamely uniós jogi aktus érvényességére vonatkozó kérdést terjesszenek a Bíróság elé. A Bíróság nem dönti el a tagállami bíróság előtti jogvitát. A nemzetibíróság feladata, hogy az ügyet a Bíróság határozata alapján elbírálja. E határozat a tartalmilag hasonló kérdésben eljáró más nemzeti bíróságokat is köti.
⌈1⌉ A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, a továbbiakban: GDPR).
⌈2⌉ 15. cikk.
⌈3⌉ Ha a személyes adatokhoz való hozzáférés iránti kérelmek túlzóak, az adatkezelő a GDPR 12. cikke (5) bekezdésének megfelelően vagy ésszerű díjat számíthat fel, figyelembe véve a kérelmek teljesítésével járó adminisztratív költségeket, vagy megtagadhatja a kérelmek teljesítését.
⌈4⌉ E tekintetben figyelembe kell venni az ügy valamennyi körülményét, többek között azt, hogy az érintett anélkül szolgáltatott személyes adatokat, hogy arra bárki kötelezte volna, ezen adatok szolgáltatásának célját, az e között és a hozzáférés iránti kérelem között eltelt időt, valamint e személy magatartását.
⌈5⌉ Annak érdekében, hogy adott esetben gyakorolhassa a helyesbítéshez, a törléshez, az adatkezelés korlátozásához és a tiltakozáshoz való jogát, valamint elszenvedett kár esetén a jogorvoslathoz való jogát.
⌈6⌉ Lásd a GDPR 82. cikkét.
⌈7⌉ A Bíróság továbbá pontosítja, hogy az érintett által elszenvedett nem vagyoni kár magában foglalja a személyes adatai feletti ellenőrzés elvesztését vagy az azzal kapcsolatos bizonytalanságát, hogy az adatait kezelték-e.