Pierwszy wniosek o udzielenie dostępu do danych osobowych złożony przez osobę, której dane dotyczą, można uznać za „nadmierny” i go odrzucić, jeśli został złożony z zamiarem nadużycia, takim jak zamiar sztucznego stworzenia warunków wymaganych do uzyskania odszkodowania – wynika z wyroku Trybunału Sprawiedliwości UE w sprawie C‑526/24.
Osoba fizyczna na podstawie art. 15 rozporządzenia RODO może zwrócić się do administratora danych z pytaniem, czy jej dane są przetwarzane. Jeśli tak, osoba ta ma prawo uzyskania dostępu do swoich danych oraz do związanych z tym informacji.
Z takim wnioskiem do niemieckiej rodzinnej firmy optycznej Brillen Rottler wystąpiła osoba fizyczna zamieszkała w Austrii, która podała swoje dane przy okazji zapisywania się do newslettera. Firma jednak odmówiła, uznając wniosek za nadużycie. Jej zdaniem z różnych relacji, blogów i biuletynów adwokackich wynika, iż osoba ta systematycznie składa wnioski o dostęp do swoich danych wyłącznie w celu uzyskania rekompensaty z tytułu domniemanego umyślnego naruszenia jej praw.
I tym razem mieszkaniec Austrii ukryty pod inicjałami TC zażądał zadośćuczynienia – pozwał Brillen Rottler o co najmniej 1000 euro za krzywdę doznaną z powodu odmowy udzielenia dostępu do jego danych osobowych.
Sąd rejonowy w Arnsbergu, rozpatrujący spór, zwrócił się do Trybunału Sprawiedliwości z pytaniami prejudycjalnymi. Chciał wiedzieć m.in., czy pierwszy wniosek o udzielenie dostępu do danych osobowych złożony przez osobę, której dane dotyczą, można uznać za „nadmierny” w rozumieniu RODO i czy osoba ta ma prawo do odszkodowania za szkodę wynikającą z naruszenia prawa dostępu do tych danych.
Trybunał odpowiedział, że w pewnych okolicznościach już pierwszy wniosek o dostęp może zostać uznany za „nadmierny”, a zatem stanowić nadużycie. Ma to miejsce, gdy administrator danych wykaże, że pomimo formalnego spełnienia warunków przewidzianych w RODO dla złożenia wniosku, został on złożony nie w celu zapoznania się z przetwarzaniem danych i sprawdzenia jego zgodności z prawem, ale z zamiarem, który można uznać za nadużycie, jak sztuczne stworzenie warunków wymaganych do uzyskania odszkodowania na podstawie RODO.
W celu ustalenia istnienia takiego zamiaru nadużycia administrator może wziąć pod uwagę okoliczność, że zgodnie z publicznie dostępnymi informacjami osoba, której dane dotyczą, wystąpiła z kilkoma wnioskami o udzielenie dostępu, a następnie wystąpiła z roszczeniami do różnych administratorów.
TSUE potwierdził, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO (w tym naruszenia prawa dostępu do swoich danych) ma prawo wystąpić do administratora o odszkodowanie. Wyjaśnił jednak, że aby je uzyskać, osoba, której dane dotyczą, musi w szczególności wykazać, że faktycznie poniosła szkodę, a jej zachowanie nie stanowiło decydującej przyczyny tej szkody.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
