Azért kéri a személyes adatot, hogy utána kártérítést követelhessen? Döntött az EUB

Megosztás Tetszik

Ha a személyes adatokhoz való hozzáférés iránti kérelmet kizárólag azzal a céllal nyújtják be, hogy azt követően majd kártérítést követeljenek a GDPR állítólagos megsértése miatt, a kérelem visszaélésszerűnek minősíthető és elutasítható, állapítja meg az EUB C-526/24. szamú ügyben hozott ítéletében.

Egy Ausztriában lakó személy feliratkozott a németországi Arnsbergben működő családi optikai vállalkozás, a Brillen Rottler hírlevelére, a vállalkozás internetes oldalán található regisztrációs űrlapon megadva személyes adatait.

Tizenhárom nappal később hozzáférés iránti kérelemmel fordult a Brillen Rottlerhez az általános adatvédelmi rendelet (GDPR) alapján. E rendelet szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a kapcsolódó információkhoz hozzáférést kapjon.

A Brillen Rottler elutasította a kérelmet, mivel azt visszaélésszerűnek ítélte. Véleménye szerint különböző híradásokból, blogokból és ügyvédi folyóiratokból kitűnik, hogy e személy rendszeresen feliratkozik különböző vállalkozások hírleveleire, majd ezt követően hozzáférés iránti kérelmeket, aztán pedig kártérítési kereseteket nyújt be. E személy viszont úgy vélte, hogy az általa benyújtott hozzáférés iránti kérelem jogszerű volt, és legalább 1000 euró kártérítést követelt a Brillen Rottlertől az amiatt elszenvedett nem vagyoni kára megtérítéseként, hogy elutasították a hozzáférési kérelmét.

A Brillen Rottler és ezen egyén közötti, a fent említett kérelmek jogszerűségére vonatkozó jogvitában eljáró arnsbergi helyi bíróság azzal a kérdéssel fordult az Európai Unió Bíróságához, hogy az érintett által a személyes adatokhoz való hozzáférés iránt benyújtott első kérelem „túlzónak” tekinthető-e, és hogy e személy jogosult-e az ezen adatokhoz való hozzáférés jogának megsértéséből eredő kár megtérítésére.

Az Európai Unió Bíróságának válasza szerint bizonyos körülmények esetén akár már az első hozzáférési kérelem is lehet „túlzónak” tekinthető a GDPR értelmében, és így visszaélésszerűnek minősülhet.

Ez az eset, ha az adatkezelő bizonyítja, hogy annak ellenére, hogy a GDPR-ban a hozzáférés iránti kérelem benyújtására előírt feltételek formálisan teljesültek, a kérelem nem az adatok kezelésének megismerése és jogszerűségének ellenőrzése céljából került benyújtásra, hanem azzal a „visszaélésnek minősíthető” szándékkal, hogy mesterségesen megteremtsék a GDPR szerinti kártérítés megszerzéséhez szükséges feltételeket.

Az a tény, hogy a nyilvánosan hozzáférhető információk szerint az érintett számos kérelmet adott már be különböző adatkezelőkhöz a személyes adataihoz való hozzáférés iránt, majd ezeket követően kártérítési kérelmeket nyújtott be, ez a tény a visszaélésszerű szándék fennállásának megállapításánál figyelembe vehető.

Ezenfelül, a GDPR megsértéséből – ideértve a személyes adataihoz való hozzáférés jogának megsértését is – eredően vagyoni vagy nem vagyoni kárt elszenvedett személy kártérítésre jogosult az adatkezelőtől. Az Európai Unió Bírósága ugyanakkor pontosítja, hogy az ilyen kártérítés megítéléséhez az érintettnek bizonyítania kell többek között, hogy ténylegesen ilyen kár érte. Egyébként pedig az érintett nem kaphat kártérítést a GDPR alapján, ha saját magatartása képezte a kár meghatározó okát.

Az arnsbergi helyi bíróságnak az Európai Unió Bírósága válaszait figyelembe véve kell döntést hoznia az előtte folyó perben.