Începând cu anul 2017, Österreichische Post, Austria, a colectat informații cu privire la afinitățile politice ale populației. Cu ajutorul unui algoritm, aceasta a definit „adresele grupurilor-țintă” pe baza unor criterii sociale și demografice. Datele astfel colectate au determinat compania să concluzioneze că un anumit cetățean avea o afinitate ridicată cu un anumit partid politic austriac. În schimb, datele prelucrate nu au fost transferate către terți.
Cetățeanul în cauză, care nu consimțise la prelucrarea datelor sale cu caracter personal, a spus că a fost extrem de contrariat față de cele aflate, că a simțit chiar un sentiment umilitor ca urmare a stabilirii unei afinități speciale în raport cu partidul politic respectiv. Bărbatul s-a adresat instanțelor austriece și a solicitat despăgubiri în valoare de o mie de euro pentru prejudiciul moral pe care consideră că l-a suferit.
Curtea Supremă a Austriei și-a exprimat îndoiala cu privire la domeniul de aplicare al dreptului la despăgubiri pe care Regulamentul general privind protecția datelor (GDPR) îl prevede în cazul unui prejudiciu material sau moral ca urmare a unei încălcări a acestui regulament. Drept urmare, instanța a solicitat Curții Europene de Justiție (CJUE) să stabilească dacă simpla încălcare a GDPR este suficientă pentru a conferi acest drept și dacă despăgubirea nu este posibilă decât peste un anumit grad de gravitate a prejudiciului moral suferit. În plus, CJUE a fost solicitată să exprime un punct de vedere vizavi de cerințele dreptului Uniunii în ceea ce privește stabilirea cuantumului daunelor provocate.
În hotărârea sa pronunțată în data de 3 mai 2023, Curtea a arătat, în primul rând, că dreptul la despăgubiri prevăzut de GDPR este subordonat în mod univoc îndeplinirii a trei condiții cumulative: o încălcare a GDPR, un prejudiciu material sau moral rezultat din această încălcare și o legătură de cauzalitate între prejudiciu și încălcare. Prin urmare, nu orice încălcare a Regulamentului conferă, în sine, dreptul la despăgubiri. O altă interpretare ar fi contrară modului clar de redactare a GDPR.
În plus, potrivit considerentelor GDPR referitoare, în mod specific, la dreptul la despăgubiri, încălcarea regulamentului menționat nu determină în mod necesar un prejudiciu și, pentru a întemeia un drept la despăgubiri, trebuie să existe o legătură de cauzalitate între încălcarea în cauză și prejudiciul suferit. Astfel, acțiunea în despăgubire se distinge de alte căi de atac prevăzute de GDPR, în special de cele care permit aplicarea unor amenzi administrative, pentru care nu trebuie demonstrată existența unui prejudiciu individual.
În al doilea rând, Curtea constată că ”dreptul la despăgubiri nu este rezervat prejudiciilor morale care ating un anumit prag de gravitate”. GDPR nu menționează o asemenea cerință și o asemenea restricție ar contrazice concepția largă a noțiunilor de „daună” sau de „prejudiciu” reținută de legiuitorul Uniunii. În plus, condiționarea despăgubirii pentru un prejudiciu moral de un anumit prag de gravitate ar risca să aducă atingere coerenței regimului instituit prin GDPR. Astfel, graduarea de care ar depinde posibilitatea sau imposibilitatea de a obține despăgubiri ar putea fluctua în funcție de aprecierea instanțelor sesizate.
În ceea ce privește, în al treilea și ultimul rând, normele referitoare la evaluarea daunelor interese, CJUE arată că GDPR nu conține dispoziții care să aibă un asemenea obiect.
”Revine, așadar, ordinii juridice din fiecare stat membru sarcina de a stabili modalitățile acțiunilor destinate să asigure protecția drepturilor conferite de GDPR justițiabililor în această privință și în special criteriile care permit determinarea întinderii despăgubirii datorate în acest cadru, sub rezerva respectării principiilor echivalenței și efectivității. Subliniem funcția compensatorie a dreptului la despăgubiri prevăzut de GDPR, acest instrument urmărind să asigure o despăgubire integrală și eficace pentru prejudiciul suferit”, se mai arată în decizia CJUE.