logo-print

Αποζημίωση για το λάθος του υπαλλήλου να δώσει τα δεδομένα στον προηγούμενο πελάτη (ΔΕΕ C-687/21 – MediaMarktSaturn)

Το Δικαστήριο ΕΕ αποφαίνεται επί προδικαστικών ερωτημάτων γερμανικού δικαστηρίου και συνοψίζει την πρόσφατη νομολογία του για το άρθρο 82 ΓΚΠΔ

14/03/2024

15/03/2024

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Επιμέλεια: Δημήτρης Βέρρας

Την 25η Ιανουαρίου 2024 δημοσιεύτηκε η απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C-687/21 – MediaMarktSaturn, η οποία πρόσφατα μεταφράστηκε και στα ελληνικά.

Πρόκειται για μια ακόμη απόφαση σχετική με την ερμηνεία του άρθρου 82 ΓΚΠΔ και του δικαιώματος αποζημίωσης για μη υλική ζημία που αυτό θεσπίζει.

Διαβάστε επίσης: Προσωπικά δεδομένα: Πότε γεννά η παραβίαση του ΓΚΠΔ σε δικαίωμα αποζημίωσης, σύμφωνα με το Δικαστήριο της ΕΕ;

Το ιστορικό

Η υπόθεση που ήχθη ενώπιον του ΔΕΕ είναι σχετικά απλή, αλλά αρκετά ενδιαφέρουσα:

Ο ενάγων μετέβη σε κατάστημα της εταιρείας ηλεκτρικών συσκευών Saturn, όπου αγόρασε μια οικιακή συσκευή. Η αγορά έγινε με πίστωση, για τον λόγο αυτό, πριν την παραλαβή της συσκευής καταρτίστηκε σύμβαση πώλησης και χορήγησης πίστωσης από υπάλληλο της εταιρείας. Για τη σύμβαση αυτή καταχωρήθηκαν στο ηλεκτρονικό σύστημα της εταιρείας τα προσωπικά δεδομένα του πελάτη και συγκεκριμένα το ονοματεπώνυμο, τη διεύθυνση, τον τόπο κατοικίας, το όνομα του εργοδότη του, το εισόδημα και τα στοιχεία του τραπεζικού του λογαριασμού.

Τα σχετικά έγγραφα της σύμβασης εκτυπώθηκαν και υπογράφηκαν από τα δύο μέρη και στη συνέχεια προσκομίστηκαν από τον πελάτη-ενάγοντα στους υπαλλήλους του τμήματος παράδοσης εμπορευμάτων. Για κακή του τύχη όμως, ένας άλλος πελάτης μπήκε μπροστά του και του πήρε τη σειρά, με αποτέλεσμα να δοθούν σε αυτόν τόσο η συσκευή, όσο και τα συμβατικά έγγραφα που τη συνόδευαν.

Το σφάλμα διαπιστώθηκε άμεσα και μέσα σε μισή ώρα η συσκευή και τα έγγραφα είχαν παραδοθεί στον ενάγοντα, με την εταιρεία να προσφέρει και δωρεάν παράδοση στην κατοικία του, ως αποζημίωση για το λάθος του υπαλλήλου της. Ο ενάγων έκρινε πως η αποζημίωση αυτή δεν ήταν επαρκής και άσκησε αγωγή ενώπιον του Ειρηνοδικείου του Χάγκεν, ζητώντας χρηματική ικανοποίηση για τη μη υλική ζημία που υπέστη εξαιτίας του σφάλματος των υπαλλήλων της Saturn και του κινδύνου απώλειας του ελέγχου των δεδομένων του.

Το γερμανικό ειρηνοδικείο, λαμβάνοντας υπόψιν και τις ενστάσεις της εναγόμενης ως προς τη θεμελίωση του δικαιώματος αποζημίωσης στη συγκεκριμένη περίπτωση, έκρινε πως δεν ήταν σε θέση να ερμηνεύσει και εφαρμόσει με βεβαιότητα το άρθρο 82 ΓΚΠΔ, για τον λόγο αυτό αποφάσισε να αναστείλει την εκδίκαση και να υποβάλει προδικαστική αίτηση με επτά ερωτήματα στο ΔΕΕ.

Η απόφαση του ΔΕΕ

Το ΔΕΕ δεν δυσκολεύτηκε ιδιαίτερα να διατυπώσει την κρίση του επί των ερωτημάτων που του είχαν τεθεί, καθώς τα ζητήματα είχαν ήδη κριθεί σε σειρά πρόσφατων αποφάσεών του επί του άρθρου 82 ΓΚΠΔ, με τρεις εξ αυτών να έχουν δημοσιευτεί μόλις τον περασμένο Δεκέμβριο.

Ειδικότερα – και απορρίπτοντας ως απαράδεκτο το πρώτο ερώτημα σχετικά με το κύρος του άρθρου 82 ΓΚΠΔ – το ΔΕΕ επικαλέστηκε τέσσερις αποφάσεις του και αποφάνθηκε ότι:

1. Από τον συνδυασμό των άρθρων 24 και 32 με το άρθρο 5 παρ.2 και το άρθρο 82 ΓΚΠΔ, όπως αυτά ερμηνεύονται υπό το πρίσμα των αιτιολογικών σκέψεων 74, 76 και 83, από τα οποία προκύπτει ειδικότερα ότι ο υπεύθυνος επεξεργασίας υποχρεούται να μετριάζει τους κινδύνους παραβιάσεως δεδομένων προσωπικού χαρακτήρα και όχι να αποτρέπει κάθε παραβίαση αυτών. Παράλληλα, τα άρθρα 24 και 32 του ΓΚΠΔ, έχουν την έννοια ότι μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους» δεν αρκούν αφ’ εαυτών για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32. (C-340/21, Natsionalna agentsia za prihodite)

Εν προκειμένω, το γεγονός ότι οι υπάλληλοι του υπευθύνου επεξεργασίας παρέδωσαν κατά λάθος και άνευ αδείας σε τρίτο πρόσωπο έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα είναι ικανό να καταδείξει ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο εν λόγω υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32. Ειδικότερα, η περίσταση αυτή μπορεί να οφείλεται σε αμέλεια ή σε πλημμελή οργάνωση εκ μέρους του υπευθύνου επεξεργασίας, η οποία δεν λαμβάνει ειδικώς υπόψη τους κινδύνους που συνδέονται με την επίμαχη επεξεργασία των δεδομένων.

Ως εκ τούτου, η αρχή της λογοδοσίας του άρθρου 5 παρ.2 ΓΚΠΔ, όπως αυτή εξειδικεύεται στο άρθρο 24, έχει την έννοια ότι στο πλαίσιο αγωγής αποζημίωσης που ασκείται βάσει του άρθρου 82, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε βάσει του άρθρου 32 ΓΚΠΔ.

Επομένως, δικαστήριο που επιλαμβάνεται τέτοιας αγωγής αποζημίωσης δεν μπορεί να λάβει υπόψη μόνον το γεγονός ότι οι υπάλληλοι του υπευθύνου επεξεργασίας παρέδωσαν κατά λάθος σε τρίτο πρόσωπο άνευ αδείας έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα, προκειμένου να διαπιστώσει εάν υπήρξε παράβαση υποχρέωσης που προβλέπεται από τον εν λόγω κανονισμό. Το δικαστήριο αυτό οφείλει επίσης να λάβει υπόψη όλα τα στοιχεία που προσκόμισε ο υπεύθυνος επεξεργασίας προκειμένου να αποδείξει την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που έλαβε προκειμένου να συμμορφωθεί προς τις υποχρεώσεις που υπέχει από τα άρθρα 24 και 32 ΓΚΠΔ.

2. Το άρθρο 82 ΓΚΠΔ δεν επιτελεί τιμωρητική, αλλά αντισταθμιστική λειτουργία, αντιθέτως προς άλλες διατάξεις του κανονισμού αυτού οι οποίες περιλαμβάνονται επίσης στο κεφάλαιο VIII αυτού, ήτοι στα άρθρα 83 και 84, τα οποία έχουν κατ’ ουσίαν τιμωρητικό σκοπό, δεδομένου ότι επιτρέπουν αντιστοίχως την επιβολή διοικητικών προστίμων και άλλων κυρώσεων. (C-667/21, Krankenversicherung Nordrhein)

3. Το άρθρο 82 ΓΚΠΔ έχει την έννοια ότι δεν απαιτεί να λαμβάνεται υπόψη για τους σκοπούς της αποκατάστασης μιας ζημίας βάσει της διάταξης αυτής ο βαθμός σοβαρότητας της παράβασης που διέπραξε ο υπεύθυνος επεξεργασίας. (C-667/21, Krankenversicherung Nordrhein)

4. Μόνη η παράβαση του ΓΚΠΔ δεν αρκεί προς θεμελίωση δικαιώματος αποζημίωσης. Ειδικότερα, η ύπαρξη «ζημίας» την οποία «υπέστη» ένα πρόσωπο συνιστά μία από τις προϋποθέσεις του προβλεπόμενου στο άρθρο 82, παράγραφος 1, δικαιώματος αποζημίωσης, όπως ακριβώς και η ύπαρξη παράβασης του κανονισμού αυτού και η ύπαρξη αιτιώδους συνάφειας μεταξύ της ζημίας και της παράβασης, δεδομένου ότι οι τρεις αυτές προϋποθέσεις πρέπει να συντρέχουν σωρευτικώς.

Το υποκείμενο των δεδομένων εις βάρος του οποίου διαπράττεται παράβαση του ΓΚΠΔ η οποία είχε αρνητικές για το ίδιο συνέπειες οφείλει να αποδείξει ότι οι συνέπειες αυτές συνιστούν μη υλική ζημία, κατά την έννοια του άρθρου 82, δεδομένου ότι δεν αρκεί μόνη η παράβαση των διατάξεων του ανωτέρω κανονισμού προς θεμελίωση δικαιώματος αποζημίωσης (C-300/21, Österreichische Post και C-456/22, Gemeinde Ummendorf).

5. Ο φόβος που αισθάνεται υποκείμενο δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων του από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του εν λόγω κανονισμού, μπορεί αφ’ εαυτού να συνιστά «μη υλική ζημία» (C-340/21, Natsionalna agentsia za prihodite).

Η απώλεια ελέγχου επί των δεδομένων προσωπικού χαρακτήρα για σύντομο χρονικό διάστημα μπορεί να προκαλέσει στο υποκείμενο των δεδομένων «μη υλική ζημία», κατά την έννοια του άρθρου 82 παρ.1, η οποία παρέχει δικαίωμα αποζημίωσης, εφόσον το εν λόγω πρόσωπο αποδείξει ότι υπέστη πράγματι τέτοια ζημία, όσο ελάχιστη και αν είναι (C-456/22, Gemeinde Ummendorf).

Ωστόσο, ένας εντελώς υποθετικός κίνδυνος κατάχρησης από μη εξουσιοδοτημένο τρίτο δεν μπορεί να θεμελιώσει δικαίωμα αποζημίωσης. Τούτο ισχύει όταν κανένας τρίτος δεν έχει λάβει γνώση των επίμαχων δεδομένων προσωπικού χαρακτήρα.

Το πλήρες κείμενο της απόφασης είναι διαθέσιμο εδώ.

Δίκαιο πληροφορικής - E έκδοση
Δίκαιο Δημοσίων Συμβάσεων Δ έκδοση

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΔΗΜΟΣΙΕΣ ΣΥΜΒΑΣΕΙΣ

ΔΗΜΗΤΡΙΟΣ ΡΑΙΚΟΣ

send