Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Aktuálně k náhradě škody podle GDPR

Aktuálně k náhradě škody podle GDPR

  • Datum: 21.03.2025
  • Autor: Michal Orviský

Za porušení pravidel pro ochranu osobních údajů nehrozí jen pokuta, ale i náhrada škody dotčeným lidem. Ti se mohou domáhat náhrady za majetkovou i nemajetkovou újmu způsobenou protiprávním zpracováním jejich dat.

Přelom roku přinesl významný právní vývoj v oblasti nároků na náhradu škody podle článku 82 GDPR. Tyto rozsudky vydané různými evropskými soudy naznačují posun směrem k širší interpretaci nemajetkové újmy a přísnějšímu vymáhání pravidel pro zpracování a ochranu osobních údajů.

Článek 82 GDPR upravuje právo na náhradu škody pro každou osobu, která utrpěla materiální nebo nemateriální újmu v důsledku porušení tohoto nařízení. Odpovědnost za škodu nese správce nebo zpracovatel, přičemž správce odpovídá za škodu způsobenou jím určeným zpracovatelem, pokud zpracovatel zapříčinil porušení GDPR při plnění pokynů správce. 

Dodavatel (zpracovatel) je odpovědný pouze v případě, že neplní povinnosti v GDPR specificky určené pro zpracovatele nebo jedná mimo pokyny správce. Pokud se na zpracování podílí více správců nebo zpracovatelů, každý z nich může nést odpovědnost za celou škodu. Soudní řízení o uplatnění nároku na náhradu škody probíhá před soudy příslušnými podle právních předpisů členského státu.

Spolkový soudní dvůr Německa: Klíčové rozhodnutí o náhradě újmy za porušení GDPR

Jedním z nejvýznamnějších rozsudků bylo rozhodnutí Spolkového soudního dvora Německa (BGH) ze dne 18. listopadu 2024 (VI ZR 10/24), které stanovilo precedent pro nároky na náhradu škody podle článku 82 GDPR. 

Soud rozhodl, že i dočasná ztráta kontroly nad osobními údaji v důsledku porušení GDPR správcem může představovat nemajetkovou újmu. To znamená, že pro uplatnění nároku na náhradu nemajetkové újmy není nutné doložit konkrétní zneužití údajů nebo další viditelné negativní důsledky. Spolkový soudní dvůr Německa dále stanovil standardní výši odškodnění za tyto případy na 100 EUR.

Toto rozhodnutí tak významně snižuje práh pro náhradu nemajetkové újmy, což by mohlo vést ke zvýšení počtu žalob na porušení GDPR.

Po tomto rozsudku již několik německých soudů postupovalo podle tohoto precedentu. Například Vrchní zemský soud v Drážďanech přiznal 100 EUR v případu data scrapingu (4 U 808/24), kdy neznámý subjekt využil možnost vyhledávání uživatelských účtů prostřednictvím telefonních čísel. Tento třetí subjekt náhodně generoval telefonní čísla a vyhledával odpovídající uživatele na Facebooku. Tímto způsobem byla zjištěna a propojena s telefonním číslem následující data řady uživatelů: uživatelské ID, jméno, příjmení a pohlaví. I když si dotčený uživatel nastavil viditelnost svého telefonního čísla pouze pro sebe, ponechal v nastaveních vyhledatelnosti výchozí možnost „Všichni". Tato volba umožnila ostatním najít jeho profil prostřednictvím telefonního čísla.

Některé soudy ale naopak odmítají přiznávat odškodnění s argumentem, že nedošlo k žádné konkrétní škodě, například Vrchní zemský soud v Hammu v rozsudku ze dne 22. listopadu 2024 (25 U 33/24).

Za porušení ochrany údajů platí i Evropská komise

V dalším významném případě rozhodl Tribunál Evropské unie dne 8. ledna 2025 (T-354/22), že Evropská komise musí nahradit škodu subjektu údajů za porušení nařízení o zpracování osobních údajů institucemi EU. Případ se týkal použití hypertextového odkazu „EU Login“, který vedl k přenosu IP adresy žalobce na americkou sociální síť. V době přenosu údajů ještě neexistovalo rozhodnutí Evropské komise o odpovídající úrovni ochrany dat v USA.

Tribunál i v tomto případě konstatoval ztrátu kontroly nad osobními údaji žalobce a přiznal mu odškodnění ve výši 400 EUR. Další nárok na 800 EUR, který se týkal dalších údajných porušení příslušné regulace, zejména v oblasti transparentnosti zpracování, však soud zamítl.

Rozhodnutí SDEU: Pohlavní identita není pro nákup jízdenky nutná

Dne 9. ledna 2025 vydal Soudní dvůr Evropské unie (SDEU) rozsudek ve věci C-394/23, ve kterém objasnil uplatnění principu minimalizace údajů podle GDPR. Případ vznikl na základě sporu ve Francii, kde prodejce vyžadoval, aby si zákazníci při online nákupu jízdenek vybrali oslovení „pan“ nebo „paní“.

SDEU rozhodl, že tato praxe není v souladu se zásadou minimalizace údajů, protože informace o pohlavní identitě není nezbytná ani objektivně nepostradatelná pro nákup jízdenky. Toto rozhodnutí posiluje povinnost podniků shromažďovat pouze ty údaje, které jsou nezbytné pro zamýšlený účel, a dále upevňuje práva subjektů údajů podle GDPR.

Práh pro přiznání náhrady nemateriální újmy se snižuje

Tyto nedávné rozsudky ukazují trend směrem k přísnějšímu vymáhání ustanovení GDPR a širší interpretaci práv subjektů údajů. Rozhodnutí Spolkového soudního dvora Německa snižuje práh pro náhradu nemajetkové újmy, rozsudek Tribunálu zdůrazňuje odpovědnost institucí EU za porušení GDPR a uvedené rozhodnutí SDEU posiluje zásadu minimalizace údajů. 

Podniky a veřejné instituce musí být ostražité ve svých postupech ochrany údajů, aby se vyhnuly právním následkům a zajistily soulad s vyvíjející se judikaturou GDPR. Proto je nezbytné sledovat alespoň hlavní vývoj legislativy, metodického výkladu a judikatury a pravidelně ověřovat, zda jsou interní procesy, postupy a dokumentace stále dostatečné k zajištění a doložení souladu s GDPR.

Článek je publikován také na doméně GRPR.cz

Štítky
GDPRComplianceManagement

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (15)Management (59)Data (24)Diia (1)BPMN (1)Program Manager (4)Compliance (87)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (17)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (27)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (47)Axelos (6)AI (23)ISO (16)IT Security (5)Marketing (11)ESG (6)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (136)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (15)Whistleblowing Officer (9)DORA (16)AI (3)ISO 27002 (1)PeopleCert (6)eIDAS (4)ArchiMate (5)Audit (1)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (22)Tisková zpráva (4)P3M3 (1)Business Simulation (4)Sankce (1)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (4)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (31)NIS2 (19)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (15)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (45)Pokuta (20)Hospodářská soutěž (1)eGovernment (1)Regulace (32)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play