TFL Vsebine / TFLGlasnik

Pravica do varstva osebnih podatkov je v našem pravnem sistemu privzdignjena na ustavno zavarovano raven[1]. Posledično ji je zagotovljena najvišja stopnja varstva, pa vendarle v praksi prihaja do pogostih nezakonitih posegov, ki posameznikom povzročajo hudo, celo nepopravljivo škodo. Dokazovanje odškodninske odgovornosti na sodišču je težavno, saj mora oškodovanec (tožnik) zadostiti strogim kriterijem, ki jih za vzpostavitev odškodninske odgovornosti predpisujejo pravila odškodninskega prava. Pa je takšna težavna pot res primerna ali bi morala sodna praksa vendarle nakazati novo, nekoliko enostavnejšo smer, s ciljem, da se preventivno zagotovi višja stopnja varstva osebnih podatkov in obenem zajezi število kršitev?

I. Domača sodna praksa je začrtala visoke standarde dokazovanja

Pravila slovenskega odškodninskega prava so jasna. Obligacijski zakonik[2] za vzpostavitev odškodninske odgovornosti zahteva hkratno izpolnitev predpisanih predpostavk, torej obstoj protipravnosti, odgovornosti (naklepa ali hude malomarnosti), škode ter vzročne zveze med protipravnim ravnanjem in nastalo škodo. V kolikor eni izmed omenjenih predpostavk ni zadoščeno, oškodovanec nima pravice do odškodnine oziroma druge satisfakcije[3] (recimo objave opravičila, preklica izjave ali objave sodbe). Smiselno enake zahteve izhajajo tudi iz vsebine 82. člena Splošne uredbe o varstvu osebnih podatkov (ti. GDPR[4], v nadaljevanju: Splošna uredba), ki je v veljavo stopila maja 2018, in ponovno opozorila, da kršitev varstva osebnih podatkov ne vzpostavlja zgolj možnosti postopkov in glob, ki jih vodi in izreka Informacijski pooblaščenec, temveč takšne kršitve lahko pomenijo tudi podlago odškodninske odgovornosti.

Izpolnjevanje zahtevanih kriterijev, vsebovanih v Obligacijskem zakoniku in v Splošni uredbi, za tožnike v praksi pomeni breme, ki mu pogosto ne uspejo zadostiti. Glede na različne dejanske situacije lahko težave predstavlja dokazovanje katerekoli predpostavke, pogosto pa do zavrnitve tožbenega zahtevka pripelje že pomanjkanje prve predpostavke – protipravnosti. S tovrstnimi primeri se recimo pogosto srečujemo takrat, ko sodišče presoja o koliziji med pravico do zasebnosti in pravico do svobode izražanja. Kadar gre za posameznika, ki je v družbi ekonomsko, politično ali drugače pomembneje dejaven, ima javnost namreč pravico biti obveščena o takšnem posamezniku, zato se mora njegova osebnostna pravica ob izpolnjevanju meril, ki jih je vzpostavilo že Evropsko sodišče za človekove pravice[5], ukloniti pravno upravičenemu interesu javnosti. To pa opravičuje razkritje njegovih osebnih podatkov in pomeni izključitev protipravnosti[6].

Posameznik, v katerega osebne podatke je bilo poseženo s strani državnih organov, organov lokalne skupnosti ali nosilcev javnih pooblastil, ima v odškodninskem sporu še dodatno otežen položaj. Zahtevana je namreč višja stopnja protipravnosti, t.i. kvalificirana protipravnost, kar pomeni, da mora biti protipravno ravnanje obremenjeno s tako hudo kršitvijo, da govorimo o očitni stopnji napačnosti[7]. Omenjene zahteve doslej ni spremenilo niti dejstvo, da je šlo za vprašanje posega v najpomembnejšo, ustavnopravno zavarovano človekovo pravico in ne zgolj za poseg v katero od t.i. zakonskih pravic. Svoje stališče o tej konkretni dilemi bo v nadaljevanju predstavljeno tudi v luči sodbe Vrhovnega sodišča RS[8], tozadevna odločitev pa bo nedvomno tudi pomemben mejnik v sodni praksi.

Po drugi strani razlog neuspeha z odškodninskimi tožbami pogosto predstavlja tudi neizpolnjevanje predpostavke škode. Slednja v skladu s 85. uvodno izjavo k Splošni uredbi predstavlja premoženjsko ali nepremoženjsko škodo, kot je recimo izguba nadzora nad osebnimi podatki posameznikov ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo ali katera koli druga znatna gospodarska ali socialna škoda. Premoženjska škoda je morda nekoliko bolj oprijemljiva in lažje merljiva, težave pa pogosteje nastopijo v sklopu nepremoženjske škode. Neposredno trženje je recimo področje z visoko stopnjo tveganja, kjer pogosto prihaja do nezakonitih posegov v varstvo osebnih podatkov (npr. oglaševanje s pošiljanjem nenaročenih elektronskih sporočil posameznikom), pa vendarle je obstoj in višino škode zaradi takšnih, sicer protipravnih ravnanj, zelo težko, pogosto celo nemogoče dokazati.

Iz razloga predhodno opisanih visokih kriterijev, izoblikovanih v sodni praksi (ter obenem upoštevaje dolgo, naporno in finančno obremenjujočo sodno pot), se posamezniki pogosto le s težavo odločijo za vložitev odškodninske tožbe. To pa pušča odprta vrata kršiteljem, ki zaradi pomanjkanja zavedanja ali odgovornosti (nekateri celo s ciljem povečevanja zaslužka[9]) nadaljujejo s svojim nezakonitim početjem. Pa vendarle je v zadnjem času tako pri nas kot v drugih evropskih državah moč opaziti večje zanimanje posameznikov v smeri sprožanja sodnih sporov. Celo več, v tujini se ustanavljajo podjetja in organizacije[10], ki nudijo različne storitve v sklopu uveljavljanja posameznikovih pravic na področju varstva osebnih podatkov in opogumljajo oškodovance k sodelovanju v skupinskih tožbah (t.i. class actions). V zadnjem času sta odmevali zlasti Facebookova skupinska poravnava v višini 650 milijonov dolarjev zaradi domnevnega kršenja zakona o zasebnosti biometričnih podatkov v Illinoisu (ki je vsakemu od množice tožnikov namenila vsaj 345 dolarjev) ter skupinska poravnava podjetja TikTok v višini 92 milijonov dolarjev.

II. Kako je z dokazovanjem odškodninske odgovornosti v drugih evropskih državah?

II.i Prevladujoč restriktivni pristop

Avstrijska in nemška sodišča v veliki večini sledijo strogemu režimu in zgolj kršitev določb Splošne uredbe (ki sicer vzpostavlja protipravnost) avtomatično ne zadošča za obstoj odškodninske odgovornosti. Glede na novejšo sodno prakso največjo težavo predstavlja dokazovanje nastanka nematerialne škode, torej duševnih bolečin, okrnitve ugleda in dobrega imena oziroma posega v dostojanstvo posameznika.

Deželno sodišče v Karlsruheju[11] je recimo v sodnem postopku, sproženem proti kreditni agenciji (ki naj bi nezakonito obdelovala in shranjevala osebne podatke posameznikov, katerih kreditno sposobnost je ocenjevala), poudarilo, da pravno priznana nematerialna škoda pomeni objektivno prikrajšanje v osebni ali socialni sferi posameznika, kot na primer negativna izpostavljenost oziroma javno ponižanje. Zgolj strah pred nastankom morebitne bodoče škode zaradi nepooblaščenega razkritja osebnih podatkov ne zadošča, kar smiselno izhaja tudi iz zaključkov Deželnega sodišča v Hamburgu[12]. Slednje je v svoji odločitvi izpostavilo, da kljub upoštevanju 146. uvodne izjave k Splošni uredbi (ki določa, da je škodo treba razlagati široko), priznana nematerialna škoda pomeni zgolj bistveno prikrajšanje posameznika, ki mora biti objektivno merljivo in oprijemljivo. V enaki smeri je odločilo tudi Okrajno sodišče v Frankfurtu[13], ki je sicer v eni izmed svojih sodb ugotovilo protipravnost ravnanja, konkretno kršitev 5. člena Splošne uredbe (osebni podatki niso bili dovolj zavarovani), pa vendar je v celoti zavrnilo tožbeni zahtevek iz razloga, ker zgolj občutek nelagodja, da bo nezakonito razkritje osebnih podatkov posameznika morebiti pripeljalo do nadaljnjih zlorab, še ne vzpostavlja obstoja nematerialne škode po določbi 82. člena Splošne uredbe.

Izrazito restriktiven pristop je v eni izmed najnovejših odločitev zavzelo tudi Deželno sodišče v Frankfurtu[14], posledično pa na ta način okrepilo položaj podjetij, ki so tarče t.i. hekerskih napadov. V omenjenem postopku je tožbo zoper belgijsko podružnico družbe Mastercard (ki je v okviru bonus kreditnega programa zbirala in obdelovala osebne podatke posameznikov) vložil potrošnik. Zaradi vdora v informacijski sistem te družbe so bili javno objavljeni osebni podatki več kot 90.000 posameznikov (med drugim tudi številke njihovih kreditnih kartic). Tekom dokaznega postopka pa je bilo ugotovljeno pomanjkanje vzročne zveze, saj osebni podatki niso bili javno razkriti na internetu s strani omenjene družbe (kot upravljavke in obdelovalke) temveč s strani neznanih hekerjev. Glede na to, da je bilo ugotovljeno, da je družba imela inkorporiran učinkovit sistem varovalnih ukrepov in je razlog vdora ostal nejasen, je sodišče v celoti zavrnilo tožbeni zahtevek potrošnika.

Še posebej zanimiv je del sodne obrazložitve, ki pojasni, da četudi obdelava osebnih podatkov ni popolnoma skladna s pravili o varstvu osebnih podatkov (gre torej za manjše nepravilnosti), posameznik, v čigar osebne podatke je bilo poseženo, ni upravičen do odškodnine, če ni bila oškodovana kakšna njegova osebnostna pravica v smislu dejanske, objektivno ugotovljive škode (ter ne zgolj v smislu neoprijemljive, trivialne škode). Nemški sodni sistem namreč, tako kot slovenski, ne pozna t.i. kaznovalnih odškodnin, široka razlaga pojma škode v smislu 82. člena Splošne uredbe, v skladu s katero je škoda upravičena z vsako kršitvijo, pa je v nasprotju s sistematiko nemškega prava. Omenjeno pravno naziranje je v veliki meri razvidno tudi iz sodbe Deželnega sodišča v Dietzu[15] (zgolj sitnosti ne zadoščajo) ter iz sodbe Višjega deželnega sodišča v Dresdnu[16]. V slednji zadevi je tožnik vložil odškodninsko tožbo zoper Facebook, ki je izbrisal objavo tožnika in začasno blokiral njegov uporabniški račun. Sodišče je obrazložilo, da tako kot izguba podatkov, tudi samo blokiranje podatkov ne pomeni kršitev določil Splošne uredbe, po drugi strani pa tridnevna blokada ne ovira osebnostnega razvoja posameznika in ima nepomembne posledice, ki ne dosegajo praga pravno priznane nematerialne škode. Je pa sodišče v svoji obrazložitvi vendarle dodalo, da izjemo (torej kljub manjši kršitvi) lahko predstavljajo primeri, ko je kršitev Splošne uredbe posledica zavestne odločitve upravljavca oziroma obdelovalca osebnih podatkov, sprejete z namenom zaslužka in ki prizadene večje število oseb.

Do smiselno enakih zaključkov vodijo tudi najnovejše odločitve avstrijskih sodišč. Recimo Avstrijsko vrhovno sodišče je v eni izmed svojih sodb[17] izrecno izpostavilo, da zgolj trditev o tem, da naj bi tožnik utrpel škodo kot posledico kršitve varstva osebnih podatkov ne zadošča ter je treba obstoj škode dokazati, pri čemer zgolj kratkoročno nelagodje ne dosega praga za dosojo odškodnine. Takšnemu naziranju je sledilo tudi Višje deželno sodišče v Innsbrucku[18], ki je odločalo v medijsko zelo odmevnem primeru zoper Pošto Avstrije, ki je zagrešila škandal z nezakonitim zbiranjem in prodajo osebnih podatkov (glede politične pripadnosti) več kot milijona posameznikov, za kar je bila Pošti Avstrije s strani pristojnega nadzornega organa za varstvo podatkov izrečena tudi visoka globa v višini 18 milijonov EUR. Kljub zagrešeni kršitvi je Višje sodišče v Innsbrucku zavrnilo odškodninski zahtevek, ki ga je vložil eden od oškodovancev, konkretno zaradi pomanjkanja trditev in dokazov o dejansko utrpljeni nematerialni škodi. V skladu z omenjenim visoko restriktivnim pristopom odločajo tudi na Nizozemskem[19].

II.ii Novi trend?

Upoštevaje predhodno povzeto sodno prakso se morda uvodoma zastavljeno vprašanje o enostavnejšem postopku dokazovanja odškodninske odgovornosti na prvi pogled zdi nesmiselno. Pa vendarle je v zadnjem času moč zaslediti nekaj posamičnih odločitev nemških sodišč, ki so pritegnile veliko pozornosti v pravnih krogih, saj so v primeru hujših kršitev določil Splošne uredbe (kršitev pravic posameznikov, opredeljenih od 15. do 22. člena Splošne uredbe) začrtale povsem nov trend.

Glede na analizirane najnovejše sodne odločitve, bi po mnenju nemških sodnikov lahko prav vsaka kršitev zahtev Splošne uredbe načeloma povzročila odgovornost za nematerialno škodo. To velja celo za kršitve obveznosti glede preglednosti delovanja upravljavcev. Delovni sodišči v Düsseldorfu in Lübecku sta na primer presodili, da že sama izguba nadzora nad osebnimi podatki lahko predstavljala odškodninsko odgovornost za nematerialno škodo. V skladu s tem pristopom namreč posameznikom, katerih osebni podatki so bili nezakonito obdelovani, ni potrebno dokazati nobene dejanske škode, kot na primer okrnitve ugleda ali materialne (finančne) škode. Delovno sodišče v Düsseldorfu[20] je recimo odločalo o odškodninskem zahtevku tožnika, ki je zatrjeval, da mu je bila kršena pravica do podatkov v smislu 15. člena Splošne uredbe, saj mu je upravljavec (nekdanji delodajalec) zahtevane podatke posredoval prepozno (več kot šest mesecev po posredovani zahtevi), obenem pa so bili ti podatki tudi pomanjkljivi (manjkal je namen obdelave). Sodišče je tožniku prisodilo kar 5.000,00 EUR odškodnine za nematerialno škodo ter v obrazložitvi sodbe izpostavilo, da je pri presoji višine zahtevka zlasti upoštevalo, da je namen Splošne uredbe v učinkovitem sankcioniranju kršitev, zato mora imeti odškodnina tudi odvračilni učinek. Sodišče je pri svoji odločitvi šlo celo korak dlje in pojasnilo, da mora imeti višina odškodnine ekonomski učinek na kršitelja in je torej odvisna tudi od finančne moči kršitelja ter se v sklopu izračuna ustrezne odškodnine lahko uporabi kriterije za določanje upravnih glob iz drugega odstavka 83. člena Splošne uredbe.

Tudi Delovno sodišče v Lübecku[21] je pri sprejemu svoje odločitve odstopilo od ustaljene nemške sodne prakse ter tožniku prisodilo 1.000,00 EUR odškodnine zaradi nezakonite objave njegove fotografije na Facebook strani tožnikovega nekdanjega delodajalca, pri čemer tožniku obstoja in višine škode ni bilo potrebno dokazovati.

Pred nedavnim je nemško zvezno ustavno sodišče odločilo, da mora vprašanje praga pomembnosti glede predpostavke škode dokončno razjasniti Sodišče EU (SEU)[22]. Namreč prvostopenjsko in drugostopenjsko sodišče sta zavrnili tožbo iz naslova nematerialne škode zaradi nezakonitega pošiljanja oglaševalskih elektronskih sporočil, saj sta ocenili, da s tem v zvezi škoda tožniku ni nastala. Nemško zvezno ustavno sodišče pa je kljub dejstvu, da je šlo za pošiljanje enega samega oglaševalskega elektronskega sporočila, vendarle zavzelo stališče, da pravno vprašanje glede praga de minimis v povezavi z odškodninskimi zahtevki po 82. členu Splošne uredbe še ni bilo predmet razlage SEU in ga je potrebno predhodno razjasniti. Odločitev bo pomembna za odločanje o vseh nadaljnjih odškodninskih zahtevkih, saj bomo končno prejeli odgovor na vprašanje o tem, ali že zgolj kršitev zahtev Splošne uredbe vendarle pomeni tako hud poseg v človekove pravice, da sama po sebi opravičuje dosoditev odškodnine, torej brez dokazovanja obstoja in višine škode.

III. Zaključno

Posledice kršitev zahtev Splošne uredbe so hude, zlasti kadar rezultirajo v okrnitvi dobrega imena in časti ter dostojanstva posameznika. Pogosto restitucija omenjenih osebnih pravic niti ni mogoča, saj denar, kot edino sredstvo, ki ga pravo lahko ponudi, ne more odpraviti prizadejane nematerialne škode. Vsled navedenega se posamezniki, katerih osebni podatki so bili zlorabljeni, izogibajo sodni poti, kršitelji pa zlahka nadaljujejo s svojo nezakonito prakso.

Preprostejši postopek uveljavljanja odškodninske odgovornosti bi vsekakor prižgal rdečo luč kršiteljem, ki bi morebiti v prihodnje svojim ravnanjem namenili več premisleka, zlasti tisti kršitelji, ki plačilo odškodnine jemljejo kot kolateralno škodo svojega poslovanja (recimo nekateri mediji). Pa vendarle moramo biti pri morebitnem rahljanju restriktivnega pristopa previdni. Prav je, da kršitelj odgovarja, če protipravno ravna namenoma ali iz hude malomarnosti ter takšno ravnanje pripelje do nastanka škode. Nacionalne zakonodaje sicer ne bi smele zaostrovati možnosti prisoje odškodnin, vsekakor pa je določenim kriterijem vendarle treba zadostiti. Preprosto uveljavljanje odškodninskih zahtevkov namreč po drugi strani pomeni veliko finančno tveganje za podjetja, saj zadevni incidenti z varstvom podatkov običajno ne prizadenejo samo enega posameznika, temveč veliko število ljudi.

Morda bi v praksi rešitev pomenile recimo t.i. penalne odškodnine, ki v slovenskem pravu (zaenkrat) še niso uveljavljene, čeravno je tematika med pravnimi strokovnjaki že doživela razmah.[23] Po drugi strani pa se sodna praksa vendarle že zavzema vsaj za zvišanje satisfakcijskih odškodnin, kadar to seveda dopuščajo okoliščine primera, ki terjajo višjo odškodnino (denimo naklepno povzročena škoda). Upoštevaje dejstvo, da kršitev Splošne uredbe posega v pomembno sfero človekovih osebnostnih pravic (poseg v čast in dobro ime) in temeljih človekovih pravic (varstvo osebnih podatkov in pravica do zasebnosti), bi morda z nekoliko širšim pojmovanjem škode ter s penalnimi odškodninami ali vsaj z višjimi satisfakcijskimi odškodninami lahko zagotovili preventivni učinek in vzpostavili večjo previdnost pri obdelavi osebnih podatkov. Bistvo predpisov s področja varstva osebnih podatkov namreč ni v dosoji odškodnin zaradi nezakonitih ravnanj temveč v preprečitvi takšnih kršitev.

 

---

[1] 38. člen Ustave Republike Slovenije (Uradni list RS, št. 33/91-I, 42/97 – UZS68, 66/00 – UZ80, 24/03 – UZ3a, 47, 68, 69/04 – UZ14, 69/04 – UZ43, 69/04 – UZ50, 68/06 – UZ121,140,143, 47/13 – UZ148, 47/13 – UZ90,97,99 in 75/16 – UZ70a).

[2] Obligacijski zakonik, Uradni list RS, št. 97/07 – uradno prečiščeno besedilo, 64/16 – odl. US in 20/18 – OROZ631.

[3] 178. člen Obligacijskega zakonika.

[4] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), Uradni list EU, L 119, zvezek 59 z dne 4. maja 2016, str. 1 in L 127/2 – popravek, letnik 61 z dne 23. maja 2018, str. 2.

[5] Prelomni sodbi ESČP v zadevi Von Hannover proti Nemčiji, št. 59320/00 z dne 24. 6. 2004 in Von Hannover proti Nemčiji, št. 40660/08 z dne 7. 2. 2012 ter Axel Springer AG proti Nemčiji, št. 39954/08 z dne 7. 2. 2012.

[6] Sodba Vrhovnega sodišča RS II Ips 23/2020 z dne 28.08.2020, sodba Vrhovnega sodišča RS II Ips 120/2017 z dne 14.02.2019, sodba Višjega sodišča v Ljubljani I Cp 488/2016 z dne 22.06.2016.

[7] Tako tudi sodba Višjega sodišča v Ljubljani II Cp 303/2020 z dne 19.05.2020.

[8] Sklep Vrhovnega sodišča RS II DoR 384/2020 z dne 06.11.2020.

[9] Predvsem določeni mediji.

[10] Recimo nemški potrošniški portal RightNow (https://rightnow.de/de/blog/dsgvo-bilanz) ter Evropsko združenje za varstvo osebnih podatkov - Europäische Gesellschaft für Datenschutz mbH.

[11] Odločitev Deželnega sodišča v Karlsruhe-u, opr. št. 8 O 26/19 z dne 02.08.2019.

[12] Odločitev Deželnega sodišča v Hamburgu, opr. št. 324 S 9/19 z dne 04.09.2020.

[13] Odločitev Okrajnega sodišča v Frankfurtu, opr. št. 385 C 155/19 z dne 10.07.2020.

[14] Odločitev Deželnega sodišča v Frankfurtu, opr. št. 2-27 O 100/20 z dne 18.09.2020.

[15] Odločitev Deželnega sodišča v Dietzu, opr. št. 8 C 130/28 z dne 07.11.2018.

[16] Odločitev Višjega deželnega sodišča v Dresdnu, opr. št. 4 U 760/19 z dne 11.06.2019.

[17] Odločitev Vrhovnega sodišča Avstrije, opr. št. 6 Ob 217/19h z dne 27.11.2019.

[18] Odločitev Višjega deželnega sodišča v Innsbrucku, opr. št. I R 182/19b z dne 13.02.2020.

[19] Odločitev Nizozemskega državnega sveta, opr. št. 201905087/1/A2 z dne 01.04.2020.

[20] Odločitev Delovega sodišča v Düsseldorfu, opr. št. 9 Ca 6557/18 z dne 05.03.2020.

[21] Odločitev Delovnega sodišča v Lübecku, opr. št. 1 Ca 538/19 z dne 20.06.2020.

[22] Sodišče EU (SEU), odločba št. 1 BvR 2853/19 z dne 14.01.2021.

[23] Mežnar, 2006, str. 86–87, Bergant Rakočević, 2006, str. 7, Tekavc, 2001, priloga, str. XX.