CJEU: Prekomerne zahteve za dostop
Sodišče EU je odločilo, da nadzorni organ ne more zavrniti ukrepanja v zvezi s pritožbo tako, da jo označi kot pretirano samo zato, ker je posameznik pri istem nadzornem organu vložil več pritožb.
Odločitev je bila objavljena 9.1.2025
Sodišče EU je v zadevi C-416/23 natančneje določilo prag, ki definira, kako so zahteve, predložene nadzornemu organu, lahko označene za očitno pretirane. Sodba je zanimiva tudi za upravljavce, saj se nanaša na obseg njihovih obveznosti v okviru uresničevanja pravic posameznikov, ki to zahtevajo.
Ozadje primera
Aprila 2020 je avstrijski nadzorni organ (DSB) zavrnil ukrepanje v zvezi s pritožbo posameznika, ker je bila po naravi pretirana. Posameznik je pri DSB v obdobju 20 mesecev vložil 77 podobnih pritožb v zvezi z različnimi upravljavci ter redno kontaktiral DSB po telefonu in sporočal dodatne zahteve.
V skladu s členom 57(1)(e) GDPR so nadzorni organi dolžni posameznikom na njihovo zahtevo zagotoviti informacije v zvezi z njihovimi pravicami po GDPR. Člen 57(1)(f) zahteva, da nadzorni organi obravnavajo pritožbe, ki so pri njih vložene. V členu 57(4) GDPR je določena izjema, ki določa, da kadar so „zahteve očitno neutemeljene ali pretirane, zlasti zaradi njihove ponavljajoče se narave, lahko nadzorni organ zaračuna razumno pristojbino na podlagi upravnih stroškov ali zavrne ukrepanje v zvezi z zahtevo“.
Zadeva je nazadnje prispela do avstrijskega vrhovnega upravnega sodišča, ki je več vprašanj predložilo Sodišču EU. Sodišče EU je razsodilo, da koncept "zahteve" v skladu s členom 57(4) GDPR zajema tudi pritožbe, ki jih predložijo posamezniki, preden je obravnavalo uporabo izjeme z razlogom, da so zahteve "očitno pretirane".
Ključne ugotovitve Sodišča EU
Določitev številčnega praga, nad katerim bi se lahko pritožbe samodejno označile kot pretirane, bi lahko ogrozila pravice, ki jih zagotavlja GDPR.
Da se lahko sklicuje na člen 57(4) GDPR, mora zadevni nadzorni organ ob upoštevanju vseh ustreznih okoliščin vsakega primera ugotoviti, da je posameznik zahteve vložil z namenom zlorabe, saj zgolj veliko število vloženih pritožb te osebe samo po sebi ne zadostuje. Ugotovitev namena zlorabe se lahko dokaže, če je posameznik vložil pritožbo v okoliščinah, ko to ni bilo objektivno potrebno za zaščito njegovih pravic v skladu z GDPR.
Ozko upoštevanje zgolj števila pritožb bi lahko privedlo do samovoljne kršitve pravic, ki izhajajo iz GDPR. Za ugotovitev obstoja pretiranih zahtevkov v smislu člena 57(4) mora torej nadzorni organ dokazati namen zlorabe s strani osebe, ki vlaga takšne pritožbe. Nadzorni organ, ki prejme veliko število pritožb, mora na podlagi specifičnih okoliščin posameznega primera dokazati, da zahteve posameznika niso namenjene zaščiti njegovih pravic v skladu z GDPR, ampak so vložene z nekim drugim, nepovezanim namenom.
Sodišče EU je pojasnilo, da je veliko število pritožb, ki jih je vložil posameznik, lahko znak pretiranih zahtev, kadar se zdi, da te pritožbe niso objektivno utemeljene z vidiki varstva pravic posameznika v skladu z GDPR.
V zaključku je Sodišče EU tako zapisalo: »Člen 57(4) GDPR je treba razlagati tako, da zahtevkov ni mogoče opredeliti kot 'pretiranih' v smislu te določbe zgolj zaradi njihovega števila v določenem obdobju. Definicija pretiranih zahtev je sicer predvidena v tej določbi, pogojena pa je s tem, da nadzorni organ dokaže obstoj namena zlorabe s strani posameznika, ki je te zahteve vložil.
Celotna odločitev je dostopna tukaj
Vir: Arthur Cox
Naslovna slika: RawPixel
