V nasledujúcom článku Vám prinášame zhrnutie návrhov generálneho advokáta v prípade týkajúcom sa podmienok náhrady nemajetkovej ujmy za nezákonný prístup tretích osôb k osobným údajom.
Obsah (zobrazíte rozkliknutím):
- Skutkový stav
- Zbavenie sa zodpovednosti prevádzkovateľa
- Primerané opatrenia prevádzkovateľa
- Dôkazné bremeno o primeranosti opatrení
- Nemajetková ujma
Skutkový stav
Bulharské médiá 15. júla 2019 šírili informácie o tom, že došlo k neoprávnenému prístupu do informačného systému bulharskej Národnej agentúry pre verejné príjmy (NAP), a že na internete boli uverejnené rôzne informácie z daňovej oblasti a oblasti sociálneho zabezpečenia týkajúce sa miliónov ľudí. Mnohé osoby, medzi ktorými je aj V.B., zažalovali NAP o náhradu nemajetkovej ujmy, ktorá sa prejavila obavami a strachom z budúceho zneužitia ich osobných údajov. NAP ako prevádzkovateľ podľa V.B. porušila vnútroštátne predpisy, ako aj povinnosť prijať primerané opatrenia na zabezpečenie vhodných bezpečnostných noriem pri spracovávaní osobných údajov. Prvostupňový súd zamietol žalobu, keďže usúdil, že šírenie údajov nemožno pripísať NAP, že dôkazné bremeno týkajúce sa primeranosti opatrení znáša V.B., a že nemožno nahradiť žiadnu nemajetkovú ujmu. Najvyšší správny súd, na ktorý bolo podané odvolanie, položil Súdnemu dvoru niekoľko prejudiciálnych otázok týkajúcich sa výkladu všeobecného nariadenia o ochrane údajov na účely vymedzenia podmienok náhrady nemajetkovej ujmy spôsobenej osobe, ktorej osobné údaje v dispozícii verejnej agentúry boli uverejnené na internete v dôsledku hackerského útoku.
Zbavenie sa zodpovednosti prevádzkovateľa
Prevádzkovateľ musí na to, aby bol zbavený zodpovednosti, preukázať, že mu nemožno v žiadnom prípade pripísať skutočnosť, ktorá zakladá nárok na náhradu škody. Obava z budúceho zneužitia osobných údajov môže predstavovať nemajetkovú ujmu zakladajúcu nárok na náhradu len pod podmienkou, že ide o skutočnú a určitú emocionálnu ujmu, a nie iba o samotné nepohodlie či obmedzenie.
Primerané opatrenia prevádzkovateľa
Generálny advokát Giovanni Pitruzzella vo svojich dnešných návrhoch uvádza, že prevádzkovateľ je povinný vykonať primerané technické a organizačné opatrenia na zabezpečenie toho, aby sa spracovávanie osobných údajov dialo v súlade s nariadením. Primeranosť týchto opatrení sa má určiť s prihliadnutím na povahu, pôsobnosť, kontext a účely spracovávania a na pravdepodobnosť a závažnosť rizík vo vzťahu k právam a slobodám fyzických osôb, a to na základe individuálneho posúdenia.
V prvom rade generálny advokát usudzuje, že overenie toho, že došlo k „porušeniu ochrany osobných údajov“, samo osebe nestačí na vyvodenie záveru, že technické a organizačné opatrenia prijaté prevádzkovateľom nie sú „primerané“ na zabezpečenie ochrany údajov. Prevádzkovateľ musí pri výbere opatrení zohľadniť niekoľko faktorov, medzi ktoré patria „najnovšie poznatky“, ktoré umožňujú obmedziť technologickú úroveň opatrení na to, čo je rozumne možné v čase prijatia, a to aj pokiaľ ide o náklady na vykonanie. Voľba prevádzkovateľa podlieha prípadnému súdnemu preskúmaniu súladu. Posúdenie primeranosti týchto opatrení sa má zakladať na rovnováhe medzi záujmami dotknutej osoby a ekonomickými záujmami a technologickou kapacitou prevádzkovateľa, a to pri dodržaní všeobecnej zásady proporcionality.
Tento článok je exkluzívnym obsahom pre predplatiteľov
Už máte vytvorený účet? Prihlásiť sa
