«Καμπανάκι» για την καταχρηστική εκμετάλλευση του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) χτυπά το Δικαστήριο της Ευρωπαϊκής Ένωσης, αναγνωρίζοντας ότι σε ορισμένες περιπτώσεις επιτήδειοι αξιοποιούν τα δικαιώματα πρόσβασης με αποκλειστικό στόχο την αποκόμιση χρηματικών αποζημιώσεων.
Η απόφαση στην υπόθεση C-526/24 (Brillen Rottler) φέρνει στο φως μια πρακτική που φαίνεται να αποκτά διαστάσεις: άτομα εγγράφονται σε υπηρεσίες ή ενημερωτικά δελτία επιχειρήσεων, υποβάλλουν στη συνέχεια αιτήματα πρόσβασης στα προσωπικά τους δεδομένα και, σε περίπτωση απόρριψης ή καθυστέρησης, διεκδικούν αποζημιώσεις επικαλούμενα παραβίαση του ΓΚΠΔ.
Στην υπό κρίση υπόθεση, κάτοικος Αυστρίας εγγράφηκε σε newsletter γερμανικής εταιρείας οπτικών και μόλις 13 ημέρες αργότερα ζήτησε πρόσβαση στα δεδομένα του. Όταν η εταιρεία απέρριψε το αίτημα ως καταχρηστικό, εκείνος προσέφυγε στη δικαιοσύνη ζητώντας τουλάχιστον 1.000 ευρώ για μη υλική ζημία.
ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ
Η επιχείρηση υποστήριξε ότι δεν πρόκειται για μεμονωμένο περιστατικό, αλλά για επαναλαμβανόμενη τακτική του ίδιου προσώπου, το οποίο —σύμφωνα με δημόσια διαθέσιμα στοιχεία— ακολουθεί την ίδια μέθοδο απέναντι σε πολλές εταιρείες, μετατρέποντας ουσιαστικά το GDPR σε «εργαλείο» διεκδίκησης αποζημιώσεων.
Το Δικαστήριο της ΕΕ φαίνεται να υιοθετεί μια πιο αυστηρή στάση απέναντι σε τέτοιες πρακτικές. Ξεκαθαρίζει ότι ακόμη και το πρώτο αίτημα πρόσβασης μπορεί να θεωρηθεί καταχρηστικό, εφόσον αποδεικνύεται ότι δεν έχει ως σκοπό την ενημέρωση του πολίτη για την επεξεργασία των δεδομένων του, αλλά τη δημιουργία τεχνητών προϋποθέσεων για οικονομική αξίωση.
Παράλληλα, οι δικαστές υπογραμμίζουν ότι η επαναλαμβανόμενη υποβολή αιτημάτων προς διαφορετικές επιχειρήσεις, σε συνδυασμό με απαιτήσεις αποζημίωσης, μπορεί να αποτελέσει ένδειξη οργανωμένης κατάχρησης του κανονισμού.
Ωστόσο, το Δικαστήριο διατηρεί σαφώς τη βασική αρχή προστασίας των πολιτών, επισημαίνοντας ότι το δικαίωμα αποζημίωσης εξακολουθεί να ισχύει σε περιπτώσεις πραγματικής ζημίας. Θέτει όμως κρίσιμο όριο: δεν μπορεί να υπάρξει αποζημίωση όταν η ζημία προκύπτει κυρίως από τη συμπεριφορά του ίδιου του αιτούντος.
Η απόφαση αναμένεται να επηρεάσει σημαντικά τον τρόπο με τον οποίο επιχειρήσεις και πολίτες αντιμετωπίζουν τα αιτήματα πρόσβασης, ενώ παράλληλα στέλνει σαφές μήνυμα ότι το GDPR δεν μπορεί να μετατρέπεται σε μέσο εύκολου κέρδους. Το τελευταίο λόγο για τη συγκεκριμένη υπόθεση θα έχει το ειρηνοδικείο του Arnsberg, το οποίο καλείται να εφαρμόσει τις κατευθύνσεις του ευρωπαϊκού δικαστηρίου.
