S sprejetjem Splošne uredbe o varstvu podatkov, ki je pričela veljati 25. maja 2018, je evropski zakonodajalec poenotil prej razdrobljeno zakonodajo držav članic. Hkrati je Splošna uredba vpeljala formaliziran postopek ugotavljanja kršitev in stroge varovalne mehanizme v obliki visokih glob za kršitev njenih določb. Visoke globe s poudarkom na splošni prevenciji so postale izrazit prepoznavni atribut Splošne uredbe. Poleg visokih glob dodatno breme za kršitelje predstavlja možnost uveljavljanja odškodninskih zahtevkov za materialno in nematerialno škodo na podlagi 82. člena Splošne uredbe. Z vidika razvoja sodne prakse so zanimivi predvsem primeri uveljavljanja odškodnine za nematerialno škodo, zato želim s prispevkom predstaviti institut odškodninske odgovornosti v luči kršitev določb Splošne uredbe in nasloviti nekatera odprta vprašanja.
Pravni predpisi in odškodninska odgovornost na področju varstva osebnih podatkov
Splošna uredba o varstvu podatkov (Splošna uredba)1 je poleg poenotenja pravic posameznikov in usklajenega ukrepanja na področju varstva osebnih podatkov poenotila tudi določbe, ki se nanašajo na možnost uveljavljanja odškodnine za škodo, ki je nastala posameznikom zaradi kršitve določb Splošne uredbe. Pravna podlaga za uveljavljanje odškodnine je 82. člen, ki po svoji naravi predstavlja neposlovno odškodninsko obveznost. Citirana norma določa, da ima vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo zaradi kršitve Splošne uredbe, pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo. Do uveljavitve Splošne uredbe je pravno podlago za vzpostavitev odškodninske odgovornosti zaradi nezakonite obdelave osebnih podatkov predstavljal Obligacijski zakonik (OZ),2 pri čemer je že sama Ustava Republike Slovenije3 v 38. členu povzdignila pravico do varstva osebnih podatkov na raven ustavnopravno zavarovanih pravic.
Tudi iz 82. člena Splošne uredbe, enako, kot to določa prvi odstavek 131. člena OZ, izhajajo vse temeljne predpostavke neposlovne odškodninske odgovornosti, in sicer protipravnost ravnanja, škoda in vzročna zveza (prvi odstavek 82. člena) ter krivda (drugi in tretji odstavek 82. člena), pri čemer se obstoj krivde domneva, saj za dokazovanje krivde velja obrnjeno dokazno breme. Za obstoj odškodninske odgovornosti morajo biti podane vse predpostavke kumulativno.4 Dejstvo, da je določba 82. člena Splošne uredbe neposredno uporabljiva v vseh državah članicah, je precej nenavadna, saj je znotraj prava Evropske unije ureditev odškodnin največkrat urejena v direktivah in posledično predmet urejanja nacionalnih pravnih redov.5 Za uredbe, ki so del sekundarne zakonodaje Evropske unije, pa je znano, da se uporabljajo neposredno, pri čemer prevladajo nad nacionalno zakonodajo. Pred pričetkom uporabe Splošne uredbe je bilo področje odškodnin na ravni Evropske unije urejeno v Direktivi o varstvu posameznikov pri obdelavi osebnih podatkov (1995)6 in torej posledično predmet harmonizacije držav članic, kar pa je v praksi pomenilo, da so države odškodninske zahteve obravnavale v okviru svojih civilnih predpisov. Določba 82. člena Splošne uredbe pa državam članicam ne daje manevrskega prostora, da bi področje odškodnin uredile in razlagale v duhu nacionalnih pravil. Četudi bi posamezna država članica to področje imela urejeno drugače, so nacionalna sodišča dolžna uporabiti norme Splošne uredbe neposredno in to razlagati v duhu Splošne uredbe.
Z vidika ostalih mednarodnih instrumentov je vredno omeniti še Konvencijo Sveta Evrope o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov, ki je znana tudi kot Konvencija 108.7 Konvencija 108 iz leta 1981 je bila prvi mednarodni pravno zavezujoč dokument, katerega namen je bil urediti spoštovanje temeljnih človekovih pravic v državah podpisnicah na področju obdelave osebnih podatkov. Kasneje v letu 2018 je bil sprejet še dodatni Protokol,8 ki je vzpostavil delovanje neodvisnih nadzornih organov v državah podpisnicah Konvencije. Konvencija 108 sicer ne predstavlja neposredne pravne podlage za ugotavljanje odškodninske odgovornosti. Kljub temu pa v 12. členu vzpostavlja zavezo, da so države podpisnice dolžne vzpostaviti učinkovit mehanizem sodnega in izvensodnega varstva za uveljavljanje pravnih sredstev (ang. remedies). Pravna sredstva so v kontekstu Konvencije 108 lahko upravne, civilne in kazenske narave, pri čemer je bila odločitev glede tega prepuščena posamezni državi podpisnici.9 Šele razlaga termina pravnih sredstev v duhu Evropske konvencije o človekovih pravicah,10 in sicer njenega 41. člena, je pripeljala do zaključka, da morajo biti posamezniku na voljo ustrezne civilnopravne sankcije v obliki možnosti zahtevati denarno povračilo za premoženjsko in nepremoženjsko škodo, ki ima za posledico kršitev določb Konvencije 108.11
V skladu z določbo 82. člena Splošne uredbe morajo biti kumulativno izpolnjene vse temeljne predpostavke neposlovne odškodninske odgovornosti, in sicer protipravnost ravnanja, škoda in vzročna zveza (prvi odstavek 82. člena) ter krivda (drugi in tretji odstavek 82. člena), pri čemer se obstoj zadnje predpostavke domneva in zanjo velja obrnjeno dokazno breme.
Protipravnost
Prvi odstavek 82. člena Splošne uredbe opredeljuje kot protipravno dejanje tisto ravnanje upravljavca oziroma obdelovalca, ki neposredno krši katerokoli normo Splošne uredbe. Sem spadajo tako aktivna kot tudi pasivna ravnanja oziroma opustitve, ki bi pomenile kršitev Splošne uredbe. Element protipravnosti je tako podan le v primeru, ko upravljavec in obdelovalec kršita pozitivne norme Splošne uredbe, ne pa tudi v primeru ravnanj, ki so v nasprotju z moralo ali zunaj običajnih norm ravnanja. Protipravnost se običajno kaže v kršitvi Splošne uredbe, ki pomeni različna ravnanja, povezana z obdelavo osebnih podatkov, kot so uničenje, izguba, sprememba,12 nepooblaščen dostop do osebnih podatkov zaradi pomanjkljivih tehničnih ukrepov,13 neizbris osebnih podatkov na zahtevo posameznika,14 nerazkritje namena in pravne podlage za obdelavo osebnih podatkov posamezniku,15 nepooblaščena uporaba osebnih podatkov brez ustrezne pravne podlage,16 nerazkritje in nepopolno razkritje osebnih podatkov na zahtevo posameznika,17 nepooblaščeno razkritje osebnih podatkov tretjim osebam.18 Protipravna obdelava osebnih podatkov lahko predstavlja kršitev posamezne določbe Splošne uredbe, lahko pa tudi več določb skupaj, odvisno od narave protipravnega ravnanja obdelovalca oziroma upravljavca.
Nadaljevanje članka za naročnike >> Hajd Marcel, Odškodninska odgovornost zaradi kršitve varstva osebnih podatkov
>> ali na portalu Pravna praksa, št. 38, 2022
>> Še niste naročnik? Preverite uporabniške pakete!
-------------------------------------------
Opombe:
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.