TFL Vsebine / TFLGlasnik

C-300/21, UI proti Österreichische Post AG, 4. maj 2023

Zakon o kolektivnih tožbah (ZKolT)¹ natančno ureja zahtevke, ki jih je dopustno uveljavljati s kolektivno tožbo. Med njimi ni zahtevkov zaradi kršitve varstva osebnih podatkov po predpisih o varstvu osebnih podatkov. Sodba v zadevi C-300/21 sili k premisleku o morebitni širitvi možnosti vlaganja kolektivnih tožb tudi na primere (množičnih) kršitev varstva osebnih podatkov, za namen uveljavitve odškodnine.

Sodišče EU je odločalo o predlogu za sprejetje predhodne odločbe, ki ga je Vrhovno sodišče Republike Avstrije (Oberster Gerichtshof) vložilo v postopku UI proti Österreichische Post AG. V tem postopku je UI vložil tožbo zoper Österreichische Post AG za plačilo odškodnine za nepremoženjsko škodo, ki naj bi jo utrpel, ker je ta družba obdelovala podatke o politični pripadnosti oseb s prebivališčem v Avstriji, med drugimi tudi podatke UI o politični pripadnosti, čeprav UI v tako obdelavo njegovih osebnih podatkov ni privolil.

Dejansko stanje zadeve in vprašanja za predhodno odločanje

Primer sloni na praksi avstrijske pošte, da brez soglasja posameznikov obdeluje podatke v zvezi z dejanskimi ali verjetnimi političnimi afinitetami prebivalcev Avstrije. Avstrijska pošta je tudi tožnika »dodelila« določeni politični stranki v Avstriji, njeno ravnanje pa naj bi pri tožniku povzročilo »razburjenost, izgubo zaupanja in občutek izpostavljenosti«, kar bi lahko opredelili kot nepremoženjsko škodo.

Tožnik je tožil avstrijsko pošto na civilnem sodišču in zahteval sodno prepoved nadaljnje uporabe podatkov ter 1000 evrov odškodnine za škodo, ki jo je utrpel. Sodišče je z odločbo z dne 14. julija 2020 ugodilo opustitvenemu zahtevku, odškodninski zahtevek pa je zavrnilo.

Po tožnikovi pritožbi je primer obravnavalo Višje deželno sodišče na Dunaju (Oberlandesgericht Wien), ki je s sodbo z dne 9. decembra 2020 pritožbo zavrnilo in potrdilo prvostopenjsko sodbo. V zvezi z odškodninskim zahtevkom se je Višje deželno sodišče sklicevalo na uvodne izjave 75, 85 in 146 Splošne uredbe o varstvu podatkov (GDPR). Razlagalo jih je v smeri dopustnosti dopolnjevanja vprašanj civilnopravne odgovornosti z nacionalnim pravom držav članic, kadar uredba ne vsebuje posebnih pravil. V zvezi s tem je izpostavilo, da v skladu z avstrijskim pravom kršitev pravil o varstvu osebnih podatkov sama po sebi še ne prinaša pravice do odškodnine. Pravica do odškodnine bi bila priznana le, kadar bi škoda, ki jo je zaradi kršitve varstva osebnih podatkov utrpel posameznik, dosegla določen »prag resnosti«. Tak »prag resnosti« pa naj ne bi bil dosežen pri negativnih občutkih, na katere se je skliceval tožnik.

Zadeva je dosegla avstrijsko Vrhovno sodišče (Oberster Gerichtshof). To z vmesno sodbo z dne 15. aprila 2021 ni ugodilo reviziji, ki jo je vložila družba Österreichische Post zoper obveznost opustitve, ki ji je bila naložena. V zvezi z revizijo, ki jo je tožnik vložil zaradi zavrnitve njegovega odškodninskega zahtevka, pa je Vrhovno sodišče prekinilo postopek in v predhodno odločanje predložilo naslednja vprašanja:

1. Ali je za priznanje pravice do odškodnine po 82. členu Splošne uredbe o varstvu podatkov poleg kršitve določb te uredbe potrebno tudi, da je tožeča stranka dejansko utrpela škodo, ali pa za priznanje odškodnine zadošča že sama kršitev določb te uredbe?
2. Ali pravo Unije za določitev višine odškodnine poleg načel učinkovitosti in enakovrednosti vsebuje še druge določbe?
3. Ali je s pravom Unije združljivo stališče, da je priznanje odškodnine za nepremoženjsko škodo pogojeno z določenim pragom resnosti, teže posledic, ki presega jezo, izzvano s kršitvijo?

Odločitev Sodišča EU

1. Glede pravice do odškodnine po 82. členu Splošne uredbe o varstvu podatkov

Sodišče EU je odločilo, da morajo biti za pravico do odškodnine kumulativno izpolnjeni trije pogoji:

1. kršitev Splošne uredbe o varstvu podatkov,
2. premoženjska ali nepremoženjska škoda, ki izhaja iz te kršitve, in
3. vzročna zveza med škodo in kršitvijo.

Posledično je Sodišče EU razsodilo, da zgolj kršitev določb Splošne uredbe o varstvu podatkov ne zadošča za priznanje pravice do odškodnine, če tožnik ni dokazal več, zlasti da je utrpel škodo in da jo je zadevna kršitev dejansko povzročila.

2. Glede resnosti škode

Sodišče EU je razsodilo, da države članice pravice do odškodnine za nematerialno škodo ne smejo pogojevati z izpolnitvijo določenega »praga resnosti«. Splošna uredba o varstvu podatkov v 82. členu zgolj določa, da ima vsak posameznik, ki je kot posledico kršitve te uredbe utrpel premoženjsko ali nepremoženjsko škodo, pravico, da od upravljalca ali obdelovalca dobi odškodnino za nastalo škodo. Splošna uredba o varstvu podatkov torej pravice do odškodnine zaradi kršitve njenih določb ne pogojuje z doseganjem določenega praga resnosti škode. Drugačno tolmačenje bi lahko pripeljalo do različne obravnave odškodninskih zahtevkov po Evropski uniji, glede na različne »pragove resnosti« za upravičenost do odškodnine v posameznih državah članicah, kar ne bi bilo v prid enotni uporabi Splošne uredbe o varstvu podatkov.

3. Glede določitve višine odškodnine

Nazadnje je Sodišče EU ugotovilo, da Splošna uredba o varstvu podatkov ne vsebuje nobenih pravil za določitev zneska odškodnine. Nacionalna sodišča morajo pri odločanju o znesku odškodnine uporabiti obstoječa domača pravila, pod pogojem, da se spoštujeta načeli enakovrednosti in učinkovitosti v pravu EU. Ob tem je Sodišče EU izpostavilo šesti stavek uvodne izjave 146 Splošne uredbe o varstvu podatkov, po katerem bi morali posamezniki prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli. Pojem škode pa bi bilo treba razlagati široko, ob upoštevanju sodne prakse Sodišče EU, in na način, ki v celoti odraža cilje te uredbe. Odškodnina je »celotna in učinkovita «, če omogoča, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve te uredbe, ne da bi bilo treba za tako polno nadomestilo naložiti plačilo kaznovalne odškodnine.

Tudi po sodbi v zadevi C-300/21 se bo višina civilnopravnih odškodnin, dodeljenih v državah članicah za isto kršitev Splošne uredbe o varstvu podatkov, v prihodnosti nedvomno še naprej razlikovala. Bistveno po sodbi je, da:

• zgolj kršitev Splošne uredbe o varstvu podatkov ne daje pravice do odškodnine,
• za priznanje pravice do odškodnine za nematerialno škodo ni potreben noben prag resnosti,
• Splošna uredba o varstvu podatkov ne predpisuje pravil za oceno škode (in določitev zneska odškodnine).

Sodba bo verjetno vplivala na izid drugih predhodnih vprašanj pred Sodiščem EU, v katerih se zahtevajo smernice glede razlage člena 82 GDPR, na primer v zadevi C-340/21. Prav v tej zadevi je generalni pravobranilec sodišča Giovanni Pitruzzella v svojem mnenju s 27. aprila 2023 med drugim zavzel stališče, da bo škoda zaradi strahu pred morebitno zlorabo osebnih podatkov v prihodnosti lahko predstavljala nepremoženjsko škodo, ki ima za posledico pravico do odškodnine, če bo šlo za dejanske in gotove duševne bolečine, in ne le za težave in nevšečnosti. Zaenkrat ostaja odprto vprašanje, ali je njegovo stališče skladno z odločitvijo sodišča v zadevi C-300/21, po kateri za priznanje pravice do odškodnine za nematerialno škodo ni potreben noben prag resnosti.

In če ni potreben noben prag resnosti škode ... Bi lahko resneje razmišljali o kolektivnih tožbah zaradi kršitve varstva osebnih podatkov?

Dejstvo je, da si posamezniki, ki so bili prizadeti s kršitvijo določb Splošne uredbe o varstvu podatkov in so utrpeli nepremoženjsko škodo, pogosto težko privoščijo vložitev tožbe. Vložitev tožbe je povezana s stroški pravne pomoči in sodnih taks. Četudi pri zahtevkih nizke vrednosti te niso visoke, so lahko glede na pričakovano višino odškodnine še vedno nesorazmerne in prizadete odvračajo od sodnega iskanja zadoščenja. Kolektivne tožbe bi to lahko spremenile. Posameznik bi se lažje odločil za aktivno ravnanje s pridružitvijo kolektivni tožbi. Poleg potrebne spremembe ZKolT pa je največji izziv vprašanje homogenosti škode, ki jo sicer presojamo individualno – v odnosu do posameznega oškodovanca.

¹ Ur. l. RS, št. 55/17.