Presudom donetom 9. decembra 2021. godine u predmetu broj 31 O 16606/20, Okružni sud u Minhenu dosudio je, shodno odredbama člana 82. Opšte uredbe o zaštiti podataka o ličnosti EU 2016/679 („GDPR“), naknadu nematerijalne štete zbog povrede podataka o ličnosti, kao i naknadu buduće materijalne štete sa tim u vezi.

Ovo je, naime, jedna od prvih presuda u Nemačkoj kojom se dosuđuje naknada štete usled povrede odredaba GDPR, te je kao takva od posebne važnosti za predmetnu oblast.

Činjenično stanje

Navedena presuda doneta je u postupku iniciranom usled povrede podataka o ličnosti učinjene od strane pravnog lica, i to pružaoca finansijskih usluga. Naime, kao posledica sajber napada na bazu podataka tuženog, kojom prilikom su otkriveni podaci potrebni za pristup predmetnim bazama, došlo je do obelodanjivanja trećim, tj. neovlašćenim licima podataka o tužiocu, i to njegovog imena, kontakt podataka, ali i kopije njegove lične karte.

Kako je tužilac istakao u toku postupka, premda je ugovorni odnos između njega i tuženog, tj. pružaoca usluga prestao još 2015. godine, tuženi u međuvremenu nije izvršio izmenu podataka potrebnih za pristupanje predmetnoj bazi, što je potom zloupotrebljeno od strane hakera, te je za posledicu imalo krađu identiteta tužioca.

Razlozi presude

Na utvrđeno činjenično stanje, sud je primenio odredbe člana 82 GDPR, shodno kojima svako lice koje je pretrpelo materijalnu ili nematerijalnu štetu kao rezultat kršenja predmetne uredbe ima pravo na naknadu iste (od strane rukovaoca ili obrađivača podataka o ličnosti).

Premda pomenuta krađa identiteta nije nesumnjivo dokazana, odnosno utvrđena, postupajući sud je ipak našao da je tuženi odgovoran za predmetnu povredu podataka o ličnosti, i to ne samo za nematerijalnu štetu pretrpljenu usled pristupanja neovlašćenih lica „osetljivim“ podacima koji mogu biti predmet zloupotrebe, već i za svu buduću materijalnu štetu koju tužilac pretrpi u vezi sa predmetnom povredom. Ovo potonje je od naročitog značaja, budući da je reč o prvoj presudi kojom je na osnovu člana 82 GDPR dosuđen takav zahtev.

Takođe, sud je utvrdio da je opisanim postupanjem tuženog povređen i član 32 GDPR, shodno kojem su rukovalac i obrađivač podataka o ličnosti dužni da preduzmu odgovarajuće tehničke i organizacione mere kako bi se obezbedio nivo bezbednosti koji odgovara riziku, što – između ostalog – obuhvata i brisanje podataka neophodnih za pristup podacima o ličnosti.

Visina dosuđene štete obračunata je u skladu sa odredbom 83 (2) GDPR, koja propisuje da se tom prilikom u obzir uzima niz parametara, uključujući prirodu i ozbiljnost povrede.

Značaj presude

Kao što je prethodno pomenuto, premda ista još uvek nije konačna, reč je o presudi koja je naročito značajna u smislu širokog tumačenja odredaba GDPR u pogledu naknade štete usled povrede podataka o ličnosti, shodno kojem za dosuđivanje predmetne naknade nije od presudnog značaja da je zaista došlo do zloupotrebe podataka kojima je neovlašćeno pristupljeno, u smislu njihovog korišćenja za određene prevarne radnje i slično.

Kao takva, ista se u izvesnoj meri razlikuje od presuda koje su nemački sudovi prethodno donosili u sličnim situacijama, te ostaje da se vidi da li će na temelju nje biti zauzet drugačiji „kurs“ u sudskoj praksi po predmetnom pitanju.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.