c S

Odškodninska odgovornost zaradi kršitve varstva osebnih podatkov

16.11.2022 Osebni podatki so z napredkom informacijskih tehnologij postali dostopni hitreje, enostavneje in v vse večji količini. Obdelovanje osebnih podatkov je lahko prednost z vidika večje prilagodljivosti storitev, hkrati pa tudi tveganje za kršitev temeljnih pravic in svoboščin posameznikov. Med slednje spadata pravica do zasebnosti in pravica varstva osebnih podatkov.

S sprejetjem Splošne uredbe o varstvu podatkov, ki je pričela veljati 25. maja 2018, je evropski zakonodajalec poenotil prej razdrobljeno zakonodajo držav članic. Hkrati je Splošna uredba vpeljala formaliziran postopek ugotavljanja kršitev in stroge varovalne mehanizme v obliki visokih glob za kršitev njenih določb. Visoke globe s poudarkom na splošni prevenciji so postale izrazit prepoznavni atribut Splošne uredbe. Poleg visokih glob dodatno breme za kršitelje predstavlja možnost uveljavljanja odškodninskih zahtevkov za materialno in nematerialno škodo na podlagi 82. člena Splošne uredbe. Z vidika razvoja sodne prakse so zanimivi predvsem primeri uveljavljanja odškodnine za nematerialno škodo, zato želim s prispevkom predstaviti institut odškodninske odgovornosti v luči kršitev določb Splošne uredbe in nasloviti nekatera odprta vprašanja.

Pravni predpisi in odškodninska odgovornost na področju varstva osebnih podatkov

Splošna uredba o varstvu podatkov (Splošna uredba)1 je poleg poenotenja pravic posameznikov in usklajenega ukrepanja na področju varstva osebnih podatkov poenotila tudi določbe, ki se nanašajo na možnost uveljavljanja odškodnine za škodo, ki je nastala posameznikom zaradi kršitve določb Splošne uredbe. Pravna podlaga za uveljavljanje odškodnine je 82. člen, ki po svoji naravi predstavlja neposlovno odškodninsko obveznost. Citirana norma določa, da ima vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo zaradi kršitve Splošne uredbe, pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo. Do uveljavitve Splošne uredbe je pravno podlago za vzpostavitev odškodninske odgovornosti zaradi nezakonite obdelave osebnih podatkov predstavljal Obligacijski zakonik (OZ),2 pri čemer je že sama Ustava Republike Slovenije3 v 38. členu povzdignila pravico do varstva osebnih podatkov na raven ustavnopravno zavarovanih pravic.

Tudi iz 82. člena Splošne uredbe, enako, kot to določa prvi odstavek 131. člena OZ, izhajajo vse temeljne predpostavke neposlovne odškodninske odgovornosti, in sicer protipravnost ravnanja, škoda in vzročna zveza (prvi odstavek 82. člena) ter krivda (drugi in tretji odstavek 82. člena), pri čemer se obstoj krivde domneva, saj za dokazovanje krivde velja obrnjeno dokazno breme. Za obstoj odškodninske odgovornosti morajo biti podane vse predpostavke kumulativno.4 Dejstvo, da je določba 82. člena Splošne uredbe neposredno uporabljiva v vseh državah članicah, je precej nenavadna, saj je znotraj prava Evropske unije ureditev odškodnin največkrat urejena v direktivah in posledično predmet urejanja nacionalnih pravnih redov.5 Za uredbe, ki so del sekundarne zakonodaje Evropske unije, pa je znano, da se uporabljajo neposredno, pri čemer prevladajo nad nacionalno zakonodajo. Pred pričetkom uporabe Splošne uredbe je bilo področje odškodnin na ravni Evropske unije urejeno v Direktivi o varstvu posameznikov pri obdelavi osebnih podatkov (1995)6 in torej posledično predmet harmonizacije držav članic, kar pa je v praksi pomenilo, da so države odškodninske zahteve obravnavale v okviru svojih civilnih predpisov. Določba 82. člena Splošne uredbe pa državam članicam ne daje manevrskega prostora, da bi področje odškodnin uredile in razlagale v duhu nacionalnih pravil. Četudi bi posamezna država članica to področje imela urejeno drugače, so nacionalna sodišča dolžna uporabiti norme Splošne uredbe neposredno in to razlagati v duhu Splošne uredbe.

Z vidika ostalih mednarodnih instrumentov je vredno omeniti še Konvencijo Sveta Evrope o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov, ki je znana tudi kot Konvencija 108.7 Konvencija 108 iz leta 1981 je bila prvi mednarodni pravno zavezujoč dokument, katerega namen je bil urediti spoštovanje temeljnih človekovih pravic v državah podpisnicah na področju obdelave osebnih podatkov. Kasneje v letu 2018 je bil sprejet še dodatni Protokol,8 ki je vzpostavil delovanje neodvisnih nadzornih organov v državah podpisnicah Konvencije. Konvencija 108 sicer ne predstavlja neposredne pravne podlage za ugotavljanje odškodninske odgovornosti. Kljub temu pa v 12. členu vzpostavlja zavezo, da so države podpisnice dolžne vzpostaviti učinkovit mehanizem sodnega in izvensodnega varstva za uveljavljanje pravnih sredstev (ang. remedies). Pravna sredstva so v kontekstu Konvencije 108 lahko upravne, civilne in kazenske narave, pri čemer je bila odločitev glede tega prepuščena posamezni državi podpisnici.9 Šele razlaga termina pravnih sredstev v duhu Evropske konvencije o človekovih pravicah,10 in sicer njenega 41. člena, je pripeljala do zaključka, da morajo biti posamezniku na voljo ustrezne civilnopravne sankcije v obliki možnosti zahtevati denarno povračilo za premoženjsko in nepremoženjsko škodo, ki ima za posledico kršitev določb Konvencije 108.11

Predpostavke odškodninske odgovornosti za primere kršitev varstva osebnih podatkov

V skladu z določbo 82. člena Splošne uredbe morajo biti kumulativno izpolnjene vse temeljne predpostavke neposlovne odškodninske odgovornosti, in sicer protipravnost ravnanja, škoda in vzročna zveza (prvi odstavek 82. člena) ter krivda (drugi in tretji odstavek 82. člena), pri čemer se obstoj zadnje predpostavke domneva in zanjo velja obrnjeno dokazno breme.

Protipravnost

Prvi odstavek 82. člena Splošne uredbe opredeljuje kot protipravno dejanje tisto ravnanje upravljavca oziroma obdelovalca, ki neposredno krši katerokoli normo Splošne uredbe. Sem spadajo tako aktivna kot tudi pasivna ravnanja oziroma opustitve, ki bi pomenile kršitev Splošne uredbe. Element protipravnosti je tako podan le v primeru, ko upravljavec in obdelovalec kršita pozitivne norme Splošne uredbe, ne pa tudi v primeru ravnanj, ki so v nasprotju z moralo ali zunaj običajnih norm ravnanja. Protipravnost se običajno kaže v kršitvi Splošne uredbe, ki pomeni različna ravnanja, povezana z obdelavo osebnih podatkov, kot so uničenje, izguba, sprememba,12 nepooblaščen dostop do osebnih podatkov zaradi pomanjkljivih tehničnih ukrepov,13 neizbris osebnih podatkov na zahtevo posameznika,14 nerazkritje namena in pravne podlage za obdelavo osebnih podatkov posamezniku,15 nepooblaščena uporaba osebnih podatkov brez ustrezne pravne podlage,16 nerazkritje in nepopolno razkritje osebnih podatkov na zahtevo posameznika,17 nepooblaščeno razkritje osebnih podatkov tretjim osebam.18 Protipravna obdelava osebnih podatkov lahko predstavlja kršitev posamezne določbe Splošne uredbe, lahko pa tudi več določb skupaj, odvisno od narave protipravnega ravnanja obdelovalca oziroma upravljavca.

Nadaljevanje članka za naročnike >> Hajd Marcel, Odškodninska odgovornost zaradi kršitve varstva osebnih podatkov
>> ali na portalu Pravna praksa, št. 38, 2022

>> Še niste naročnik? Preverite uporabniške pakete!

-------------------------------------------
Opombe:

1 UL L 119 z dne 4. maja 2016, str. 1-88.
2 Ur. l. RS, št. 97/07 in nasl.
3 Ur. l. RS, št. 33/91-I in nasl.
4 Pirc Musar, N.,in drugi: Komentar Splošne uredbe o varstvu podatkov, 1. natis, Uradni list Republike Slovenije, 2020, str. 951-952.
5 Knetsch, J.: The Compensation of Non-Pecuniary Loss in GDPR Infringement Cases, Journal of European Tort Law, vol. 13, no. 2, 2022, str. 66-67.
6 UL L 281 z dne 23. novembra 1995, str. 31-50.
8 Svet Evrope, Protokol o spremembi konvencije o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov, 10. oktober 2018, CEST 223 [Slovenija ga ni ratificirala, op. ur.].
9 Svet Evrope, Explanatory to the Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, 10. oktober 2018, CEST 223, odstavek 100 [ni prevedeno v slovenščino].
10 Zakon o ratifikaciji Konvencije o varstvu človekovih pravic in temeljnih svoboščin, spremenjene s protokoli št. 3, 5 in 8 ter dopolnjene s protokolom št. 2, ter njenih protokolov št. 1, 4, 6, 7, 9, 10 in 11 (Ur. l. RS - MP, št. 7/94).
11 Altwicker Hamori, S.,in drugi: Measuring Violations of Human Rights: An Empirical Analysis of Awards in Respect of Non-Pecuniary Damage under the European Convention on Human Rights, Heidelberg Journal of International Law, vol. 76, 2016, str. 35.
12 ArbG Neuruppin, sodba z dne 14. decembra 2021, št. 2 Ca 554/21.
13 LG Köln, sodba z dne 18. maja 2022, št. 28 O 328/21.
14 AG Hildesheim, sodba z dne 5. oktobra 2020, št. C 145/19; Rechtbank Rotterdam, sodba z dne 12. julija 2021, št. ROT 20/3286.
15 ArbG Düsseldorf, sodba z dne 5. marca 2020, št. 9 Ca 6557/18; LG Feldkirch, sodba z dne 7. avgusta 2019, št. 57 Cg 30/19b - 15.
16 LG Heidelberg, sodba z dne 16. marca 2022, št. 4 S 1/21; LAG Schleswig-Holstein, Sklep z dne 1. junija 2022, št. 6 Ta 49/22; LG Hannover, sodba z dne 14. februarja 2022, št. 13 O 129/21; AG Pforzheim, sodba z dne 26. januarja 2022, št. 2 C 381/21; OLG Dresden, sodba z dne 30. novembra 2021, št. 4 U 1158/21; AG Pfaffenhofen a.d. Ilm, sodba z dne 9. septembra 2021, št. 2 C 133/21; ArbG Münster, sodba z dne 25. marca 2021, št. 3 Ca 391/20; ArbG Münster, sodba z dne 25. marca 2021, št. 3 Ca 391/20; LG Meiningen, sodba z dne 23. decembra 2020, št. 3 O 363/20; LAG Köln, sodba z dne 14. septembra 2020, št. 2 Sa 358/20; Rechtbank Overijssel, sodba z dne 31. maja 2021, št. ak_20_1535; Rechtbank Noord-Nederland, sodba z dne 12. januarja 2021, št. 8187989.
17 OLG Köln, sodba z dne 14. julija 2022, št. 15 U 137/21; LArbG Hamm, sodba z dne 5. maja 2022, št. 2 AZR 363/21; OGH (Avstrija), sodba z dne 23. junija 2021, št. 6Ob56/21k.
18 OLG Frankfurt am Main, sodba z dne 14. aprila 2022, št. 3 U 21/20; LG München I, sodba z dne 20. januarja 2022, št. 3 O 17493/20; LG München I, sodba z dne 9. decembra 2021, št. 31 O 16606/20; LG Lüneburg, sodba z dne 14. julija 2020, št. 9 O 145/19; LG Darmstadt, sodba z dne 26. maja 2020, št. 13 O 244/19; AG Pforzheim, sodba z dne 25. marca 2020, št. 13 C 160/19; Rechtbank Rotterdam, sodba z dne 25. februarja 2022, št. ROT 21/30289; SO Warszava, sodba z dne 6. avgusta 2020, št. XXV C 2596/19.


Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.