În ceea ce privește evaluarea prejudiciului, CJUE a susținut în Hotărârea VB/Natsionalna agentia za prihodite (C-340/21) că teama experimentată de o persoană vizată cu privire la o posibilă utilizare abuzivă a datelor cu caracter personal poate fi suficientă pentru a da naștere unei cereri pentru prejudiciu moral. În acel caz, un registru al debitorilor din Bulgaria a fost spart, iar conținutul său a fost publicat online, impactând 6 milioane de persoane vizate. CJUE a considerat că reclamanții nu trebuie să demonstreze că a existat vreo utilizare abuzivă a datelor lor în detrimentul lor, iar teama reclamanților că datele lor ar putea fi utilizate abuziv în viitor ar putea constitui un prejudiciu moral. Cu toate acestea, reclamantul trebuie să demonstreze că a suferit un prejudiciu real. Instanța națională trebuie să verifice dacă temerea poate fi considerată ca fiind întemeiată, în circumstanțele specifice în cauză și în ceea ce privește persoana vizată.
În cazul Gemeinde Ummendorf (C-456/22), un caz în care numele și detaliile persoanelor vizate au fost dezvăluite fără consimțământul acestora pe un site web, s-a considerat că publicarea pe internet a datelor cu caracter personal și pierderea consecutivă a controlului asupra datelor cu caracter personal pentru o perioadă scurtă de timp ar putea cauza persoanelor vizate „daune morale”, în sensul articolului 82 alineatul (1) din GDPR, dând naștere unui drept la despăgubiri, dar acele persoane trebuie să demonstreze că au suferit efectiv un prejudiciu.
În cazul MediaMarktSaturn (C-687/21), persoana vizată a pretins daune morale care decurg din teama de risc ca datele cu caracter personal în cauză să fie comunicate altor persoane de către terțul care a primit în mod greșit datele sale. Persoana vizată achiziționase un aparat electrocasnic dintr-un magazin de electrocasnice. Contractul de vânzare și un contract de credit întocmit în legătură cu achiziția sa au fost furnizate unui alt client din greșeală. Deoarece eroarea a fost descoperită rapid, un angajat al magazinului a preluat documentele și le-a dat clientului corect în decurs de jumătate de oră.
CJUE a considerat că, în cazul în care este evident că riscul de care persoana vizată pretinde că se teme este nefondat, nu ar trebui să apară daune - cum ar fi în cazul în care terțul căruia i-au fost dezvăluite datele din greșeală nu a luat niciodată cunoștință de datele cu caracter personal în timpul încălcarea și documentul care conținea datele a fost returnat în decurs de o jumătate de oră. Curtea a constatat că teama legată de acest risc ipotetic era o bază insuficientă pentru prejudiciul moral.
Comentarii