Náhrada újmy podle nařízení GDPR (1. díl)
Autor: Mgr. Petr Otevřel | Vloženo: 3. 9. 2022 17:53 | Přečteno: 1324XProblematika GDPR je v České republice obecně poměrně opomíjená, a ještě více to platí o náhradě újmy vzniklé subjektům údajů v důsledku porušení GDPR (obecné nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, u nás známějšího pod anglickou zkratkou GDPR; dále v textu jen „Nařízení“). V zahraničí přitom těchto sporů probíhá celá řada, a dokonce se začínají profilovat advokátní kanceláře specializované na hromadné žaloby právě v oblasti náhrady nehmotné újmy podle čl. 82 Nařízení. Jaké jsou předpoklady úspěšného vymáhání náhrady této újmy a jaká rizika v této souvislosti vznikají správcům či zpracovatelům osobních údajů?
Obecně k čl. 82 Nařízení
Podle článku 82 odst. 1 Nařízení „kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“ Ačkoliv je znění tohoto článku 82 Nařízení na první pohled vcelku jasné, ve skutečnosti vyvolává řadu otázek, na které judikatura teprve hledá odpovědi. Příliš nám nepomůže ani bod 146 odůvodnění Nařízení, který obsahuje základní výkladová pravidla k problematice náhrady újmy vzniklé porušením Nařízení.
U Evropského soudního dvora (dále „SDEU“) už je řada případů, v nichž se soudy členských států obrátily na SDEU s tzv. předběžnými otázkami právě v oblasti náhrady újmy.
Úvodem ještě jedna technická poznámka. Ačkoliv odpovědným za způsobenou újmu může být správce i zpracovatel, dále v textu v zájmu jeho zkrácení budu uvádět vždy jen správce.
Důkazní břemeno
Německé soudy už se zabývaly otázkou případného obráceného důkazního břemene, podle kterého by správce musel prokazovat, že v daném případě nedošlo k porušení Nařízení či vzniku škody. Ačkoliv z Nařízení nikde nevyplývá, že by mělo být aplikováno obrácené důkazní břemeno, tak např. německé soudy jsou v této otázce nejednotné. Většina se sice přiklání k tomu, že poškozený subjekt údajů nese důkazní břemeno v plném rozsahu, existují však i rozhodnutí opačná, která se odvolávají na zásadu odpovědnosti dle čl. 5 odst. 2 Nařízení a povinnost správce prokázat, že dodržuje Nařízení a jeho základní zásady. Dle mého názoru se zásada odpovědnosti uplatní pouze v rámci správního řízení před dozorovým orgánem, nicméně jednoznačný zatím tento výklad není.
SDEU bude mít možnost objasnit i tuto oblast, protože k problematice důkazního břemene se na něj obrátil s předběžnými otázkami bulharský Nejvyšší správní soud (ve věci C 340/21). V tomto sporu jde o neoprávněný přístup k osobním údajům více než 4 milionů bulharských občanů, které v důsledku hackerského útoku unikly ze státní agentury, která provádí stanovení, zajištění a vymáhání veřejnoprávních pohledávek státu. Soud prvního stupně zamítl žalobu, ve které se dotčený subjekt údajů domáhal náhrady nehmotné újmy, a své rozhodnutí odůvodnil tím, že žalobce neprokázal, že žalovaná agentura zanedbala svou povinnost přijmout náležité technické a organizační opatření k zajištění ochrany osobních údajů (viz. čl. 25 Nařízení). SDEU se tak bude zabývat mj. předběžnou otázkou, zda v souvislosti se shora zmíněnou zásadou odpovědnosti (čl. 5 odst. 2 Nařízení) nese správce důkazní břemeno i v řízení o žalobě dle čl. 82 Nařízení.
V této souvislosti je vhodné dodat, že poškozený subjekt údajů má možnost postupovat tak, že dá nejdříve podnět k dozorovému orgánu, který v rámci správního řízení má právo požadovat po správci v rámci zásady odpovědnosti, aby doložil dodržení zásad zpracování osobních údajů (viz čl. 5 odst. 2 Nařízení). Na základě výsledků tohoto řízení a tam prokázaných skutečností získá poškozený přístup k řadě skutkových zjištění, k nimž by se jinak dostával jen těžko. Jinou možností poškozeného subjektu údajů je žádat informace o zpracování osobních údajů dle čl. 15 Nařízení.
Aktivní legitimace
Vzhledem k formulaci čl. 82 Nařízení, podle kterého je aktivně legitimován „kdokoliv“, se diskutuje i otázka aktivní legitimace – kdo je vlastně oprávněn uplatnit nárok na náhradu škody? Pouze dotčený subjekt údajů, nebo i třetí osoby, které se mohou cítit poškozeny v důsledku porušení Nařízení vůči dotčenému subjektu údajů?
Zatím převládá názor, že aktivně legitimovaným poškozeným je pouze dotčený subjekt údajů, jak zmiňuje i bod 146 odůvodnění Nařízení, který doslova uvádí, že „subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly“. Tedy nikoliv kdokoliv, kdo se cítí být v důsledku porušení Nařízení ze strany správce poškozen.
Předpoklad pro vznik práva na náhradu újmy
Stejně jako u jiných případů náhrady újmy, jsou i v případě újmy ve smyslu čl. 82 Nařízení předpokladem pro vznik práva na náhradu újmy:
- Porušení Nařízení
- Vznik hmotné nebo nehmotné újmy
- Příčinná souvislost mezi vzniklou újmou a porušením Nařízení
Porušení Nařízení
Navzdory znění čl. 82 odst. 1 Nařízení vzniká právo na náhradu újmy nejenom v případě porušení povinností zakotvených přímo v Nařízení, ale rovněž v případě porušení prováděcích předpisů, jakým je např. český zákon č. 110/2019 Sb., o ochraně osobních údajů.
Zajímavější je otázka, co všechno by mohl domnělý poškozený s trochou fantazie dovozovat jako porušení Nařízení, v důsledku kterého mu vznikl nárok na náhradu újmy, zejména újmy nehmotné. Vodítko nám opět poskytuje bod 146 odůvodnění Nařízení, podle kterého by měl správce nahradit újmu „která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení.“ Podle doslovného výkladu uvedeného bodu se tedy nelze domáhat nehmotné újmy např. v důsledku porušení informační povinnosti dle čl. 12 – 15 Nařízení.
Ale ani v této oblasti nejsou soudy jednotné a např. německý soud přiznal žalobci nárok ve výši 1.250,-EUR z titulu nehmotné újmy, kterou žalobce „utrpěl“ v důsledku pozdního a navíc neúplného splnění povinnosti na přístup k osobním údajům dle čl. 15 Nařízení (LAG Hannover, 16 Sa 761/20). Šlo o pracovněprávní spor o neplatnost okamžitého zrušení pracovního poměru, zaměstnanec se vedle neplatnosti zrušení pracovního poměru úspěšně domohl rovněž nehmotné újmy právě s odkazem na článek 82 odst. 1 Nařízení. Soud se zabýval i shora citovaným bodem 146 odůvodnění Nařízení, nicméně konstatoval, že je třeba jej vykládat extenzivně a není nutné přihlížet k intenzitě porušení a tomu, nakolik podstatné bylo (unabhängig von dem Erreichen einer Erheblichkeitsschwelle). Uvedený výklad přejaly i další německé soudy a v odůvodnění svých rozsudků odkazují na citovaný rozsudek LAG Hannover.
SDEU se bude zabývat otázkou, zda je jako relevantní pro vznik nároku na náhradu újmy možné považovat případ, kdy došlo omylem k předání osobních údajů uvedených ve smlouvě o poskytnutí spotřebitelského úvěru. V tomto případě zaměstnanci na výdeji zboží omylem předali zakoupené zboží i s písemnou úvěrovou smlouvou jinému zákazníkovi, který s touto dokumentací disponoval cca 30 minut, než se situaci podařilo vyřešit a úvěrová smlouva byla vrácena. SDEU se bude zabývat mj. tím, zda je nezbytné v rámci řízení dle čl. 82 Nařízení posoudit úroveň technických a organizačních opatření na ochranu osobních údajů a také tím, zda je relevantní, zda se třetí (neoprávněná) osoba seznámila s osobními údaji, nebo pro vznik nároku na nehmotnou újmu postačuje už „zneklidnění“ subjektu údajů kvůli skutečnosti, že třetí (neoprávněná) osoba nakládá s jeho osobními údaji. Zajímavá je rovněž předběžná otázka vztahující se k míře zavinění, a sice nakolik může uplatnění nároku na náhradu újmy zčásti nebo zcela bránit okolnost, že došlo ke spoluzavinění.
Zavinění
Podle čl. 82 odst. 3 Nařízení mohou být zproštěni odpovědnosti za újmu způsobenou zpracováním osobních údajů, „pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.“ Možnost tzv. exkulpace může být vnímána tak, že v případě čl. 82 Nařízení se jedná o odpovědnost za zavinění a nikoliv o tzv. objektivní odpovědnost.
K takovému výkladu o odpovědnosti pouze za zavinění jsem skeptický, je třeba si uvědomit, že Nařízení je autonomní právní předpis tvořený v intencích práva EU a nelze automaticky vykládat tak, jak pojem zavinění chápeme ve střední Evropě.
Německé soudy ani v této otázce nejsou jednotné, na jedné straně rozhodnul soud tak, že je nutné zavinění alespoň ve formě nedbalosti, přičemž pojem „odpovědnost“ dle čl. 82 odst. 3 Nařízení je potřeba vykládat jako „zavinění“ ve smyslu dle německého práva, nikoliv jako odpovědnost v oblasti ochrany osobních údajů (např. LG Mainz, 3 O 12/20), v jiném sporu Nejvyšší pracovní soud v rámci předložení předběžných otázek k SDEU v odůvodnění konstatoval, že odpovědnost za újmu dle čl. 82 Nařízení je odpovědností objektivní (BAG, 8 AZR 253/20, SDEU projednává pod zn. C 667/21).
Závěr
Zatím zůstává neobjasněná řada okolností, které ovlivňují samotný vznik práva na náhradu újmy vzniklé v důsledku porušení Nařízení, a proto nezbývá než počkat na příslušná rozhodnutí SDEU. Ve druhém díle tohoto článku se budu zabývat samotným vyčíslením újmy, zejména v případech újmy nehmotné. Německé soudy se ve sporech o právo na náhradu nehmotné újmy zabývaly v řadě případů také mírou a intenzitou újmy jako předpokladu pro to, aby mohla být „poškozenému“ subjektu údajů přiznána náhrada nehmotné újmy.
Autor: Mgr. Petr Otevřel, otevrel@lawyer.cz | LinkedIn
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem a problematikou zpracování osobních údajů.