V. Odrobinová | 2.12.2024
GT verdict: Black Friday aneb Když pátek není pátek a sleva není slevaDaně, účetnictví, právo a nejen to. Všechny klíčové novinky pro váš byznys.
Rozsudek Soudního dvora Evropské unie ze dne 4. října 2024 se věnuje problematice ochrany osobních údajů v kontextu nezákonného zpracování dat a náhrady újmy podle obecného nařízení o ochraně osobních údajů (GDPR). Případ vycházel z podnětu lotyšského novináře, jehož osobní údaje byly bez jeho souhlasu použity v kampani organizované lotyšským Střediskem pro ochranu práv spotřebitelů. Tato kampaň měla za cíl zvýšit povědomí spotřebitelů o rizicích při nákupu ojetých vozidel, ale zahrnovala video, které obsahovalo postavu napodobující žalobce, což vedlo k porušení jeho práv na ochranu osobních údajů.
Soudní dvůr se v rozsudku zaměřil na tři klíčové otázky. První z nich byla, zda samotné porušení GDPR může být považováno za dostatečný důvod pro náhradu újmy. Soud v tomto případě konstatoval, že k přiznání náhrady podle článku 82 odst. 1 GDPR nestačí samotné porušení nařízení, ale žalobce musí prokázat konkrétní újmu (hmotnou nebo nehmotnou) a příčinnou souvislost mezi porušením a touto újmou. To má zajistit, že náhrada újmy plně odpovídá skutečně způsobené škodě.
Další otázkou bylo, zda omluva může být považována za přiměřenou formu náhrady nehmotné újmy. Soud rozhodl, že omluva může být formou náhrady, jen pokud umožní plnou kompenzaci nehmotné újmy. V případě, kdy nelze obnovit stav před vznikem škody, může být tedy omluva vhodným řešením.
Třetí otázka se zabývala postojem a motivací správce dat[1] při rozhodování o formě a výši náhrady újmy. Soudní dvůr dospěl k závěru, že podle GDPR má právo na náhradu pouze kompenzační funkci a neměl by se zohledňovat postoj správce dat k dané situaci. Výše náhrady tedy musí odpovídat pouze rozsahu skutečné újmy a nepřihlížet k závažnosti nebo okolnostem porušení.
Tento rozsudek významně přispívá k výkladu GDPR a zdůrazňuje, že při porušení práv na ochranu osobních údajů je nutné jasně prokázat vzniklou škodu. Rozsudek klade větší odpovědnost na správce dat, aby s údaji zacházeli správně, ale zároveň se snaží podtrhnout i důležitost rovnováhy mezi ochranou práv jednotlivců a realistickým posuzováním škod. V praxi to znamená, že pokud jsou osobní údaje jednotlivců zneužity, tak mají nárok na nápravu, ale zároveň musí být schopni dokázat, že jim tím skutečně nějaká újma vznikla.
[1] Článek 4, bod 7 nařízení GDPR: „Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.“