CJEU: zloraba pravice do dostopa

CJEU: zloraba pravice do dostopa
26. 09. 2025 objavil/a Info Hiša
12. člen GDPR
15. člen GDPR
82. člen GDPR
generalni pravobranilec
odškodnina
pravica do dostopa
pretirana zahteva
Sodišče EU

Že začetna zahteva za dostop bi se lahko štela za pretirano, če bi posameznik, na katerega se nanašajo osebni podatki, ravnal z namenom zlorabe pravice do dostopa, meni generalni pravobranilec CJEU.

Mnenje je bilo izdano 18.9.2025

Generalni pravobranilec je izdal mnenje v zadevi C-526/24 Brillen Rottler, va keterem se je izpostavil, da bi se lahko že začetna zahteva za dostop štela za pretirano, če bi posameznik, na katerega se nanašajo osebni podatki, ravnal z namenom zlorabe svojih pravic, zlasti če bi dal soglasje za obdelavo zgolj zato, da bi lahko zahteval dostop in nato zahteval odškodnino.

Posameznik, na katerega se nanašajo osebni podatki se je 16. marca 2023 na spletni strani upravljavca (družinsko podjetje za optiko s sedežem v Severnem Porenju-Vestfaliji) naročil na »e-novice« tako, da je v obrazec za registracijo vnesel svoje osebne podatke, potrdil soglasje za obdelavo podatkov s kljukico v okencu in oddal obrazec. Nato je 29. marca 2023 po faksu poslal zahtevo za informacije v skladu s členom 15 GDPR.

Upravljavec je potrdil prejem zahteve in navedel, da bo nanjo odgovoril v enem mesecu. Vendar je upravljavec z dopisom z dne 26. aprila 2023 zavrnil posredovanje informacij, ker je zahtevo za informacije opredelil kot zlorabo pravice v smislu drugega stavka člena 12(5)(b) GDPR.

Upravljavec je od predložitvenega sodišča (AG Arnsberg - Nemčija) zahteval ugotovitev, da posameznik, na katerega se nanašajo osebni podatki, ni upravičen do odškodnine v višini 1000 EUR. Sodišče se je odločilo, da bo Sodišču EU v predhodno odločanje na podlagi člena 267 Pogodbe o delovanju EU predložilo naslednja vprašanja:

  1. Ali je treba drugi stavek člena 12(5) GDPR razlagati tako, da posameznik, na katerega se nanašajo osebni podatki, ne more podati pretirane zahteve za informacije, ko je upravljavcu vložena prva zahteva?

  2. Ali je treba drugi stavek člena 12(5) GDPR razlagati tako, da lahko upravljavec zavrne zahtevo posameznika, če namerava le-ta zahtevo za informacije uporabiti za uveljavljanje odškodninskih zahtevkov proti upravljavcu?

  3. Ali je treba drugi stavek člena 12(5) GDPR razlagati tako, da lahko razloge za zavrnitev posredovanja informacij podajo javno dostopne informacije o posamezniku, na katerega se nanašajo osebni podatki, ki kažejo, da le-ta uveljavlja odškodninske zahtevke proti upravljavcu v velikem številu primerov kršitve prava v zvezi z varstvom osebnih podatkov?

  4. Ali je treba člen 4(2) GDPR razlagati tako, da zahteva posameznika, na katerega se nanašajo osebni podatki, do upravljavca v skladu s členom 15(1) GDPR in/ali odgovor na to zahtevo predstavlja obdelavo v smislu člena 4(2) GDPR?

  5. Ali je treba člen 82(1) GDPR glede na prvi stavek uvodne izjave 146 GDPR razlagati tako, da je do odškodnine upravičena le škoda, ki jo posameznik, na katerega se nanašajo osebni podatki, utrpi ali je utrpel zaradi obdelave? Ali to pomeni, da je za obstoj zahtevka za odškodnino v skladu s členom 82(1) GDPR – ob predpostavki, da obstaja vzročna škoda za posameznika – nujno prišlo do obdelave njegovih osebnih podatkov?

  6. Če je odgovor pritrdilen: Ali to pomeni, da posameznik, na katerega se nanašajo osebni podatki – ob predpostavki, da obstaja vzročna škoda – nima zahtevka za odškodnino v skladu s členom 82(1) GDPR zgolj na podlagi kršitve njegove pravice do obveščenosti v skladu s členom 15(1) GDPR?

  7. Ali je treba člen 82(1) GDPR razlagati tako, da ugovor upravljavca v zvezi z zlorabo pravice v zvezi z zahtevo posameznika, na katerega se nanašajo osebni podatki, glede na pravo EU ne more biti posledica dejstva, da je posameznik obdelavo svojih osebnih podatkov zahteval izključno ali med drugim zaradi uveljavljanja odškodninskih zahtevkov?

  8. Če sta odgovora na 5. in 6. vprašanje nikalna: Ali zgolj izguba nadzora in/ali negotovost glede obdelave osebnih podatkov posameznika, povezana s kršitvijo člena 15(1) GDPR, predstavlja nepremoženjsko škodo za posameznika, na katerega se nanašajo osebni podatki, v smislu člena 82(1) GDPR ali pa zahteva tudi nadaljnjo (objektivno ali subjektivno) omejitev in/ali (znatno) škodo za posameznika?

Mnenje generalnega pravobranilca

Pri obravnavi 1., 2., 3. in 7. vprašanja:

  • Pretirana narava začetne zahteve za dostop:  Generalni pravobranilec je poudaril, da čeprav se začetna zahteva za dostop teoretično lahko šteje za "pretirano", mora biti ta omejena na izjemne okoliščine, saj je pravica do dostopa temeljna in povezana z drugimi pravicami iz GDPR.

  • Okoliščine, ki omogočajo, da se zahteva označi kot "pretirana": Generalni pravobranilec je analiziral, kdaj se lahko zahteva za dostop do podatkov v skladu s členom 15 GDPR šteje za »pretirano« v skladu s členom 12(5) GDPR. Sklenil je, da se taka zahteva lahko obravnava kot pretirana le, če lahko upravljavec dokaže zlorabo. Vendar pa zgolj vzorec vlaganja podobnih zahtevkov v mnogih primerih sam po sebi ne dokazuje zlorabe in je treba uporabiti stroga merila, da se zagotovi, da temeljna pravica do dostopa ni neupravičeno omejena.

Pri obravnavi 4., 5. in 6. vprašanja - dogodek, ki je povzročil škodo v smislu člena 82 GDPR:

  • Dogodek, ki je povzročil škodo v smislu člena 82 GDPR: Generalni pravobranilec je analiziral, ali lahko le obdelava podatkov, ki krši GDPR, povzroči odškodnino v skladu s členom 82 GDPR. Sklenil je, da je lahko podlaga za odškodnino ne le nezakonita obdelava, temveč vsaka kršitev GDPR, če se dokažeta škoda in vzročna zveza.

  • Pojem „obdelave“ za namene pravice do odškodnine: Generalni pravobranilec pojasnjuje, da čeprav pošiljanje zahteve za dostop ni „obdelava“ v skladu s GDPR, gre za dejanje upravljavca, s katerim se odzove na takšne osebne podatke, kar lahko spada na področje uporabe GDPR. Vendar dejanska škoda ne izhaja iz te tehnične obdelave, temveč iz neupravičene zavrnitve izpolnitve zahteve za dostop. Da bi zagotovili učinkovitost člena 15 GDPR in pravico do odškodnine v skladu s členom 82, je treba pojem „obdelava, ki je povzročila škodo“ razlagati široko.

  • Obstoj nematerialne škode: Generalni pravobranilec pojasnjuje, da kršitev 15. člena GDPR sama po sebi ne daje posamezniku, na katerega se nanašajo osebni podatki, samodejno pravice do odškodnine; posameznik mora dokazati dejansko nematerialno škodo, ki je nastala zaradi kršitve. Sodišče je priznalo, da se lahko tudi začasna izguba nadzora nad osebnimi podatki šteje za nematerialno škodo, ne da bi bil potreben minimalni prag resnosti.

Zaključek

Po mnenju generalnega pravobranilca se lahko začetna zahteva za dostop v skladu s 15. členom GDPR šteje za „pretirano“ le, če lahko upravljavec podatkov na podlagi vseh ustreznih okoliščin jasno dokaže, da je posameznik, na katerega se nanašajo osebni podatki, ravnal z zlorabnim namenom, zlasti kadar je posameznik privolil v obdelavo svojih osebnih podatkov zgolj zato, da bi vložil zahtevo za dostop in nato zahteval odškodnino. Pomembno je, da samo dejstvo, da je posameznik, na katerega se nanašajo osebni podatki, pogosto uveljavljal svojo pravico do odškodnine v podobnih primerih, samo po sebi ne upravičuje opredelitve zahteve kot pretirane. Poleg tega je posameznik, na katerega se nanašajo osebni podatki, v skladu s 82(1) členom GDPR upravičen do odškodnine za škodo, ki je nastala zaradi kršitve Uredbe, tudi če ta škoda ni bila neposredno povzročena z obdelavo osebnih podatkov.

Dostop do mnenja je tukaj.

Vir: GDPRhub

Naslovna slika: RawPixel