Самото нарушение на GDPR не обосновава право на обезщетение
С Решението си от 4 май 2023 по дело C-300/21 (Österreichische Post) Съдът на ЕС изясни, че правото на обезщетение предвидено в Общия Регламент за защита на данни (“GDPR”) е подчинено на три кумулативни условия, които трябва да са налице:
· Трябва да е налице обработване на лични данни в нарушение на GDPR
· Трябва да са налице имуществени или неимуществени вреди за субакта на данни
· Трябва да е налице причинно-следствена връзка между нарушението и произтеклите вреди.
За разлика от иска за обезщетение за вреди, другите правни средства за защита на субектите на данни които позволяват налагането на административни наказания като „глоба“ или „имуществена санкция“, не изискват доказването на наличието на вреда от незаконосъобразното обработване на данни.
При определяне на размера на обезщетението националните съдилища трябва да прилагат вътрешните правила на всяка държава-членка относно обхвата на обезщетението като спазват принципите на равностойност и ефективност на Съюза.
Принципът на равностойност изисква вътрешните правила в съдебните производства, които гарантират правата на субектите на данни да не са по-неблагоприятни от правилата за подобни вътрешноправни положения, принципът на ефективност изисква тези национални правила да не правят упражняването на правата, предоставени от правото на Съюза на субектите на данни, практически невъзможно или прекомерно трудно.