EU-domstolen har i mål C-300/21, Österreichische Post, klargjort att enbart en överträdelse av dataskyddsförordningen (GDPR) inte ger rätt till ersättning.
Av domen framgår bland annat att Österreichische Post från och med 2017 samlat in information om den österrikiska befolkningens politiska tillhörighet. Med hjälp av en algoritm definierades ”målgruppsadresser” enligt sociodemografiska kriterier. De uppgifter som samlades in på detta sätt gjorde det möjligt för Österreichische Post att fastställa att en viss medborgare hade en hög grad av samhörighet med ett visst österrikiskt politiskt parti. De behandlade uppgifterna har dock inte lämnats ut till tredje part.
Medborgaren i fråga, som inte samtyckt till behandlingen av sina personuppgifter, hävdade att han kände sig mycket upprörd, förlorade sitt självförtroende och kände sig utsatt på grund av det faktum att en särskild samhörighet hade fastställts mellan honom och partiet i fråga. Det är i syfte att få ersättning för den ideella skada som han påstår sig ha lidit som han inför österrikiska domstolar begär att få ett belopp på 1 000 euro utbetalt.
Den österrikiska högsta domstolen (Oberste Gerichtshof, OGH) har uttryckt sina tvivel om omfattningen av den rätt till ersättning som föreskrivs i artikel 82 GDPR för materiell och ideell skada till följd av överträdelse av dataskyddsförordningen. OGH frågar EU-domstolen om enbart en överträdelse av dataskyddsförordningen är tillräcklig för att ge denna rätt och om ersättning endast är möjlig om den ideella skada som lidits uppnår en viss grad av allvar. OGH frågar också vilka krav som enligt EU-rätten gäller för att fastställa skadeståndets storlek.
Genom sin dom klargör EU-domstolen först och främst att det står klart att den rätt till ersättning som föreskrivs i dataskyddsförordningen förutsätter tre kumulativa villkor: överträdelse av dataskyddsförordningen, materiell eller immateriell skada till följd av denna överträdelse och ett orsakssamband mellan skadan och överträdelsen. Följaktligen ger inte varje överträdelse av dataskyddsförordningen i sig rätt till ersättning. Varje annan tolkning skulle strida mot den tydliga ordalydelsen i dataskyddsförordningen. Enligt de skäl i dataskyddsförordningen som särskilt gäller rätten till ersättning leder dessutom en överträdelse av dataskyddsförordningen inte nödvändigtvis till skada, och det måste finnas ett orsakssamband mellan överträdelsen i fråga och den skada som lidits för att en rätt till ersättning ska kunna fastställas.
För det andra anser EU-domstolen att rätten till ersättning inte är begränsad till ideell skada som uppnår en viss allvarlighetsnivå. Dataskyddsförordningen innehåller inget sådant krav och en sådan begränsning skulle strida mot den breda uppfattning om ”skada” som EU:s lagstiftare har antagit. Graderingen av ett sådant tröskelvärde, som skulle ligga till grund för möjligheten att erhålla ersättning, skulle kunna variera beroende på hur de domstolar vid vilka talan väckts bedömer saken.
För det tredje och sista konstaterar EU-domstolen att dataskyddsförordningen inte innehåller några regler om bedömning av skadestånd. Det ankommer således på varje medlemsstats rättsordning att fastställa närmare bestämmelser för åtgärder som syftar till att skydda de rättigheter som enskilda har enligt dataskyddsförordningen, och i synnerhet kriterierna för att fastställa omfattningen av den ersättning som ska betalas i detta sammanhang, under förutsättning att likvärdighets- och effektivitetsprinciperna respekteras. I detta avseende erinrar EU-domstolen om den kompensatoriska funktionen hos den rätt till ersättning som föreskrivs i dataskyddsförordningen och påminner om att denna rättsakt syftar till att säkerställa en fullständig och effektiv ersättning för den skada som lidits.
Källa: EU-domstolen.