EL Kohtu 11. aprilli otsus asjas C‑741/21 (GP versus juris GmbH) heidab olulist valgust kahju hüvitamise võimalustele GDPR alusel ning selgitab tõendamiskoormise jaotumist ja vastutava töötleja kohustusi. Töötaja poolsed eksimused on omistatavad tema tööandjale.
Asjas on hagejaks Saksamaal tegutsev advokaat GB kui juriidilist andmepanka haldava äriühingu juris (juris GmbH) klient. Klient GB ei soovinud, et tema andmeid töödeldaks otseturunduse eesmärgil ning tühistas 2018.a. kõik oma varasemad nõusolekud saada äriühingult e-kirja või telefoni teel teavet ning esitas vastuväite enda isikuandmete mis tahes töötlemise suhtes, välja arvatud uudiskirja saatmine, mille adressaadiks ta soovis jääda.
Sellest hoolimata sai GB 2019. aasta jaanuaris juris`lt kaks otsepostituskirja, mis saadeti nimeliselt. Ta tuletas 18. aprillil 2019 jurisele saadetud kirjas meelde oma varasemat vastuväidet mis tahes otseturundusele. Ta selgitas, et selline otseturundus tähendab tema andmete ebaseaduslikku töötlemist ning palus hüvitada isikuandmete kaitse GDPR artikli 82 alusel talle tekitatud mittevaraline kahju. Pärast seda, kui ta sai 3. mail 2019 veelkord uue otsepostituskirja, kordas ta oma vastuväidet, mis seekord toimetati jurisele kätte juba kohtutäituri kaudu.
GB pöördus oma GDPR-st tulenevate õiguste teostamiseks kohtusse. Kohtus eitas juris igasugust vastutust, väites, et a) ta on loonud otseturundusele esitatud vastuväidete haldamise süsteemi ja b) et hageja esitatud vastuväitele hilinemisega reageerimine tulenes kas sellest, et üks tema töötaja oli talle antud korraldusi eiranud, või sellest, et vastuväite arvesse võtmine oleks olnud ülemäära kulukas. Samuti väitis juris, et GDPR-st tuleneva kohustuse (artikli 21 lõikest 3) pelk rikkumine ei saa iseenesest tekitada mingit „kahju“ artikli 82 lõike 1 tähenduses.
Saksamaa Landgericht Saarbrücken (Saarbrücken’i esimese astme kohus) pöördus GDPR asjakohaste sätete tõlgendamiseks EL Kohtu poole.
Kahju hüvitamise võimaluste osas kordas EL Kohus oma varasemat seisukohta (kohtuasjas C‑687/21 MediaMarktSaturn):
GDPR sätete rikkumisest üksi ei piisa, et tegemist oleks „mittemateriaalse kahjuga“. Täidetud peavad olema kolm kumulatiivset tingimust:
1) GDPR-i reeglite rikkumine ja
2) rikkumise tulemusena kahju tekitamine ja
3) põhjuslik seos rikkumise ja kahju vahel.
Samas tuletas kohus meelde, et kahju raskusaste ei ole siinkohal määrav ning „alammäärasid“ seada ei tohi.
Saksamaa kohus küsis, kas GDPR artiklit 82 võib tõlgendada nii, et vastutava töötleja, antud juhul juris’e, vastutusest vabastamiseks selle artikli lõike 3 alusel piisab väitest, et kõnealune kahju tuleneb rikkumisest, mille põhjustas tema volituse alusel tegutsev isik (töötaja). EL Kohus vastas eitavalt ning selgitas, et andmesubjekt ei pea tõendama kahju teket, vaid vastutav töötleja peab tõendama, et kahju ei ole tekkinud. Lisaks on vastutaval töötlejal kohustus võtta tarvitusele GDPR reeglite täitmiseks vajalikke meetmeid ning tagada, et tema töötajad järgiksid tema juhiseid nõuetekohaselt. Vastutav töötleja ei saa end vastutusest vabaneda pelgalt seetõttu, et tema volituse alusel tegutsev isik on hooletu või kohustusi rikkunud.
Lisaks selgitas EL Kohus oma vastustes erinevust GDPR artiklite 82 (kahjuhüvitis) ja 83 (trahvid) vahel. Kahjuhüvitiste arvutamisel peavad siseriiklikud kohtud arvestama nö „kodumaiseid“ norme. Artikli 83 ette nähtud trahvide summa kindlaksmääramise kriteeriume kohaldada ei tule.
Kohtuotsuse asjas C‑741/21 GP versus juris GmbH tõlge on kättesaadav siin:
