CJUE: Nu orice încălcare a GDPR conferă dreptul la despăgubiri

CJUE s-a pronunțat astfel în cauza C-300/21, judecătorii clarificând că dreptul la despăgubiri prevăzut de GDPR depinde de îndeplinirea a trei condiții cumulative.

„În hotărârea sa pronunțată astăzi (4 mai 2023 - n. red.), Curtea arată, în primul rând, că dreptul la despăgubiri prevăzut de GDPR este subordonat în mod univoc îndeplinirii a trei condiții cumulative: o încălcare a GDPR, un prejudiciu material sau moral rezultat din această încălcare și o legătură de cauzalitate între prejudiciu și încălcare. Prin urmare, nu orice încălcare a GDPR conferă, în sine, dreptul la despăgubiri.

O altă interpretare ar fi contrară modului clar de redactare a GDPR. În plus, potrivit considerentelor GDPR referitoare, în mod specific, la dreptul la despăgubiri, încălcarea regulamentului menționat nu determină în mod necesar un prejudiciu și, pentru a întemeia un drept la despăgubiri, trebuie să existe o legătură de cauzalitate între încălcarea în cauză și prejudiciul suferit”, scrie într-un comunicat de presă legat de hotărârea CJUE.

În același timp, Curtea a explicat că dreptul la despăgubiri nu este condiționat de atingerea unui anumit prag de gravitate:

„În al doilea rând, Curtea constată că dreptul la despăgubiri nu este rezervat prejudiciilor morale care ating un anumit prag de gravitate. GDPR nu menționează o asemenea cerință și o asemenea restricție ar contrazice concepția largă a noțiunilor de «daună» sau de «prejudiciu» reținută de Legiuitorul Uniunii. În plus, condiționarea despăgubirii pentru un prejudiciu moral de un anumit prag de gravitate ar risca să aducă atingere coerenței regimului instituit prin GDPR. Astfel, graduarea de care ar depinde posibilitatea sau imposibilitatea de a obține despăgubiri ar putea fluctua în funcție de aprecierea instanțelor sesizate.

În ceea ce privește, în al treilea și ultimul rând, normele referitoare la evaluarea daunelor interese, Curtea arată că GDPR nu conține dispoziții care să aibă un asemenea obiect. Revine, așadar, ordinii juridice din fiecare stat membru sarcina de a stabili modalitățile acțiunilor destinate să asigure protecția drepturilor conferite de GDPR justițiabililor în această privință și în special criteriile care permit determinarea întinderii despăgubirii datorate în acest cadru, sub rezerva respectării principiilor echivalenței și efectivității.”

În cauza respectivă era vorba de o firmă din Austria care a colectat informații cu privire la afinitățile politice ale cetățenilor. Folosind un algoritm care ține seama de anumite criterii sociale și demografice, firma a generat adrese de grupuri-țintă, care au fost vândute unor terți pentru publicitate țintită. Una dintre persoanele căreia i-au fost prelucrate datele pentru a genera acele adrese a dat firma în judecată, cerând despăgubiri pentru prejudicii morale. Ulterior, pentru a soluționa cazul, speța a fost trimisă la CJUE.

Important! CJUE nu soluționează litigiile naționale, ci instanțele judecătorești trebuie să soluționeze litigiile ținând cont de deciziile CJUE. Chiar dacă România nu este vizată în mod direct, deciziile CJUE sunt obligatorii pentru toate instanțele judecătorești care se confruntă cu spețe similare.