Käesoleva aasta 14. detsembril tegi Euroopa Liidu Kohus otsuse, et andmesubjektil võib tekkida mittevaralise kahju hüvitamise nõudeõigus ka vaid kartuse korral, et tema isikuandmetele ebaseaduslikult ligi pääsenud kolmas isik võib neid kuritarvitada.
Põhivaidlus rullus lahti Sofia halduskohtus, kus andmesubjekt esitas 6 miljoni füüsilise isiku isikuandmete lekke põhjustanud rikkumise järel 510 euro suuruse mittevaralise kahju nõude Bulgaaria maksuameti vastu. Andmesubjekt põhjendas oma nõuet sellega, et maksuamet kui vastutav töötleja oli eiranud oma GDPR artiklitest 5(1)(f), 24 ja 32 tulenevaid isikuandmete turvalisuse tagamisega seotud kohustusi. Nõue tugines andmesubjekti kartusel, et tema lekkinud isikuandmeid võidakse tulevikus väärkasutada ning talle sellega ebameeldivaid tagajärgi tekitada.
Sofia halduskohus nõuet ei rahuldanud, leides, et isikuandmetega seotud rikkumine oli tekkinud kolmanda isiku tegevuse tagajärjel, et andmesubjekt ei olnud tõendanud maksuameti turvanõuete rikkumist ning võimalikud väärkasutuse tagajärjed andmesubjektile olid vaid hüpoteetilised.
Andmesubjekt pöördus Bulgaaria kõrgeimasse halduskohtusse, kes omakorda pöördus eelotsustusmenetluse raames EL kohtu poole rea küsimustega GDPR isikuandmete turvalisuse tagamist ja kahjunõudeid reguleerivate sätete tõlgendamise kohta.
EL kohus leidis, et tõendamiskohustus isikuandmete töötlemise turvalisuse tagamisel lasub vastutaval töötlejal ning GDPR artikli 82 lõiget 1 tuleb tõlgendada nii, et ainuüksi juba andmesubjekti kartus, et kolmas isik võib tema isikuandmeid kuritarvitada, mida ta kogeb määruse rikkumise tagajärjel, võib kujutada endast „mittevaralist kahju“ selle sätte tähenduses.
Siinkohal on asjakohane meenutada ka EL kohtu varasemat, 04.05.2023 lahendit C-300/21 kohtuasjas UI versus Österreichische Post AG, kus kohus GDPR artikli 82 lõiget 1 tõlgendades leidis, et tekkinud kahjule piirmäära seada ei ole õiguspärane. Riigisisene õigusnorm või praktika, mille kohaselt eeldab GDPR artikli 82 lõike 1 tähenduses mittevaralise kahju hüvitamine, et andmesubjektile tekkinud kahju oleks teatud raskusastmega – on GDPR-ga vastuolus.
Seda, milliseks kujunevad nende kahe Euroopa Kohtu lahendi valgel tulevased otsused Eestis, näitab aeg. Eriti seoses äsjase massiivse lekkega geneetilise testimisega tegeleva ettevõtte laborist, mille käigus „läksid jalutama“ ca 10 000 inimese terviseandmed.
Riigikohtu poolt käesoleva aasta lõpul avaldatud analüüsi kohaselt nõudsid hagejad perioodil 2020 – 2022 Eesti kohtutes isikuandmete ebaseadusliku töötlemise tõttu mittevaralise kahju hüvitamist seitsmes tsiviilasjas. Nimetatud asjades jäid välja mõistetud hüvitised vahemikku 150–2000 eurot, mediaan 700 eurot ja keskmine hüvitis 706 eurot.
EL Kohtu 14.12.2023 lahend C-340/21 kohtuasjas VB versus Natsionalna agentsia za prihodite on eesti keeles kättesaadav siin: