Cik maksā personas dati ?
Augusta sākumā Latvijas Republikas Augstākā tiesa vērsās Eiropas Savienības tiesā (turpmāk – EST) ar 3 prejudiciālajiem jautājumiem saistībā ar Vispārīgās datu aizsardzības regulas (turpmāk – VDAR) 82. pantu – proti, par datu subjekta tiesībām uz mantisku kompensāciju gadījumos, kad tā personas dati ir apstrādāti pretēji VDAR noteikumiem. Tiesa nolēma, ka esošajā strīdā starp Pieteicēju un Patērētāju tiesību aizsardzības centru (turpmāk – PTAC) nepieciešami precizējumi tieši kompensācijas jautājumos no EST.
Lietas fakti un sākotnējā tiesvedības gaita.
PTAC rīkoja sociālo kampaņu, kuras ietvaros vairākās interneta vietnēs izplatīja videosižetu „Pārbaudi – Pērc – Lieto To sociālais eksperiments”. Videosižets bija veidots kā patērētājiem adresēts vēstījums par dažādiem svarīgiem riskiem, ar kuriem var nākties saskarties patērētājiem, iegādājoties lietotu automašīnu.
Videosižetā patērētāji tika aicināti pārbaudīt pārdevēju identitāti un reputāciju, kā arī būt uzmanīgiem, jo negodīgi tirgotāji var izmantot negodīgas metodes, mēģinot atdarināt sabiedrībā pazīstamus ekspertus, tādējādi šādā maldinošā veidā palielinot patērētāja uzticēšanos konkrētā transportlīdzekļa pārdevējam un panākot, ka patērētājs veic tehniskā ziņā vai citādi neatbilstoša transportlīdzekļa iegādi. Sižeta galvenais varonis atdarināja pieteicēja balsi, viņam raksturīgā stilā sarunājās pa telefonu, valkāja tādu pašu cepuri, kādu citos raidījumos valkājis pieteicējs. Sižetā redzams saraksts ar nosaukumu „/pers. A/ bieži lietotās frāzes”, kā arī iekļauts fragments no raidījuma „TE!”, kurā redzams un dzirdams pieteicējs.
Pieteicējs, nepiekrītot veidam, kādā viņa tēls tiek izmantots video sižetā, iebilda pret šāda sižeta veidošanu un izplatīšanu. Neskatoties uz to, sižets tika demonstrēts vairākās interneta vietnēs un arī šobrīd ir pieejams tīmeklī. Pieteicējs lūdza PTAC pārtraukt demonstrēt videosižetu, publiski atvainoties par reputācijas graušanu un atlīdzināt nemantisko kaitējumu. PTAC lūgumu noraidīja. Pieteicējs vērsās tiesā lūdzot atzīt PTAC rīcību par prettiesisku, uzlikt pienākumu atvainoties un samaksāt 2000 eiro atlīdzību par nemantisko kaitējumu.
Sākotnējā tiesvedības gaita:
Administratīvā rajona tiesa daļēji apmierināja pieteikumu, tā atzina PTAC faktisko rīcību, bez pieteicēja atļaujas izmantojot un izplatot viņa personas datus, par prettiesisku un uzlika pienākumu to pārtraukt, kā arī uzlika pienākumu atlīdzināt pieteicējam nodarīto nemantisko kaitējumu 100 euro apmērā un publiski atvainoties.
Administratīvā apgabaltiesa pieteikumu arī apmierināja daļā, atzīstot par prettiesisku PTAC faktisko rīcību, bez pieteicēja atļaujas izmantojot un izplatot viņa personas datus, un uzlika PTAC pienākumu pārtraukt izmantot un izplatīt pieteicēja personas datus, kā arī pienākumu publiski atvainoties pieteicējam vietnēs, kurās PTAC sižetu publicēja. Pārējā daļā – par nemantiskā kaitējuma atlīdzinājumu naudā – pieteikums tika noraidīts.
Tāpat Apgabaltiesa konstatēja, ka PTAC rīcība turpinājās laikā, kad bija stājusies spēkā VDAR, un šī rīcība bija pretrunā regulas 6.panta 1.punkta e) apakšpunktam, kas nosaka personas datu apstrādes tiesisko pamatu gadījumos, kad datu apstrāde, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras. Ne tikai pieteicēja vārds un uzvārds, bet arī pieteicēja tēls, kura atainošanai konkrētajā lietā cita starpā izmantots pieteicēja attēls no raidījuma „TE!” un vērsta uzmanība tieši uz pieteicēja profesionālo nodarbošanos auto nozarē, ir personas dati. Lai arī sižets bija veidots valsts pārvaldes iestādes funkciju izpildes ietvaros un bija vērsts uz tiesiska un sabiedrībai vajadzīga mērķa sasniegšanu, mērķi varēja sasniegt arī bez pieteicēja personas datu izmantošanas – ar citu sabiedrības uzrunāšanas formu, cita satura sižetu vai citu personu tādā pašā sižetā. Tādējādi var uzskatīt, ka Pieteicēja personas datu apstrādei nav bijis tiesiskais pamats. Par kompensāciju tiesa atzina, ka PTAC pārkāpums nav smags. Sižets nav vērsts uz goda un cieņas aizskaršanu, netika izmantoti sensitīvie dati, tādēļ tiesa secināja, ka sižeta pieejamība interneta vidē pati par sevi nenodara kaitējumu pieteicēja godam un cieņai.
Senāta šaubas, iemesli, kas liek šaubīties par ES tiesību normu interpretāciju:
Tā kā apgabaltiesa ir konstatējusi pieteicēja tiesību pārkāpumu, un šajā daļā spriedums ir stājies spēkā, bet pieteicējs nepiekrīt viņa tiesību aizskāruma un tā radītā kaitējuma novērtējumam un attiecīgi noteiktajam atlīdzinājumam, ir jāpārbauda, vai apgabaltiesa ir pienācīgi novērtējusi PTAC pieļautā pieteicēja tiesību aizskāruma smagumu un ar to radītā kaitējuma esību, un vai tiesas noteikto atlīdzinājumu var uzskatīt par atbilstīgu.
Tiesas šaubas radīja arī jēdzieni „materiāls vai nemateriāls kaitējums” un „kompensācija par [..] nodarīto kaitējumu” lietā iztulkoti, balstoties uz Latvijas tiesību normām un tiesu judikatūru, un tas neatbilst Vispārīgās datu aizsardzības regulas 82.pantam.
Vispārīgās datu aizsardzības regulas 82. pants -Tiesības uz kompensāciju un atbildība, noteic:
“Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.”
Jautājumi Eiropas Savienības Tiesai.
Vai Vispārīgās datu aizsardzības regulas 82. panta 1.punkts ir jāinterpretē tādējādi, ka:
- personas datu nelikumīga apstrāde kā Vispārīgās datu aizsardzības regulas pārkāpums pati par sevi var būt personas subjektīvo tiesību uz datu aizsardzību nepamatots aizskārums un personai radīts kaitējums?
- tas pieļauj, ka, neesot iespējai atjaunot stāvokli, kāds pastāvēja pirms kaitējuma nodarīšanas, kā vienīgā kompensācija par nemantisko kaitējumu tiek noteikta atvainošanās?
- tas pieļauj, ka apstākļi, kas liecina par datu apstrādātāja attieksmi un motivāciju (piemēram, nepieciešamība pildīt uzdevumu sabiedrības interesēs, nolūka neesība kaitēt personai, grūtības izprast tiesisko regulējumu) ir pamats noteikt mazāku kompensāciju par kaitējumu?
Eiropas Savienības tiesas aktualitātes, Tiesu prakse Latvijā saistībā ar kompensāciju datu subjektiem.
EST savā nesenajā spriedumā Österreichische Post AG pret UI, C-300/21, izdarīja būtisku secinājumu attiecībā uz kompensācijām, kas pienākas datu subjektiem. Proti, EST šajā spriedumā noteica, ka ne katrs VDAR pārkāpums dod tiesības uz kompensāciju.[1] Tāpat EST norādīja, ka VDAR nav paredzēti noteikumi par zaudējumu novērtēšanu. Tāpēc katras dalībvalsts pienākums ir izstrādāt visaptverošas pamatnostādnes, precizējot kritērijus, lai noteiktu tiesas piešķiramās kompensācijas apmēru, ņemot vērā kompensācijas kompensējošo mērķi saskaņā ar VDAR.[2] Pēc šī sprieduma ir izskanējuši viedokļi,[3] kuri apgalvo, ka tagad datu subjektiem būs grūtāk saņemt kompensāciju par VDAR pārkāpumiem, tāpat prasītājiem būs jāpierāda nodarītais kaitējums un tas, ka tas radies šo pārkāpumu dēļ. Tā rezultātā varētu samazināties prasību skaits saistībā ar kompensācijām par VDAR pārkāpumiem.
Šā brīža tiesu prakse Latvijā saistībā ar kompensācijām par datu izpaušanu parāda diezgan skaudru ainu. Vairākumā gadījumu, prasītāju (datu subjektu) prasības par kompensācijas piešķiršanu tiek noraidītas. Piemēram, pieprasīto kompensāciju apmērs mēdz svārstīties no šķietami smieklīgas summas – 16,70 EUR[4] līdz pat 12 000 EUR.[5], kas lielākoties tiek noraidītas. Par pamatu kompensāciju noraidīšanai visbiežāk ir tas, ka netiek konstatēta iestādes vai cita datu izpaudēja prettiesiska faktiskā rīcība,[6] netiek apstrādāti personas sensitīvie dati,[7] tiesa pēc lietas faktiem nekonstatē goda un cieņas aizskārumu,[8] pieteicējs nav pierādījis, ka datu izplatīšana radījusi objektīvi novērtējamas un paliekošas nemantiskas sekas,[9] un citi iemesli.
Tomēr praksē ir redzami arī gadījumi, kuros tiesas lemj par labu datu subjektiem, piešķirot arī kompensācijas. Kompensāciju apmēra noteikšanai tiesas vadās gan pēc iepriekšējās tiesu prakses, gan Kriminālprocesā un administratīvo pārkāpumu lietvedībā nodarītā kaitējuma atlīdzināšanas likuma.[10] Proti, tiesas praksē pielieto minētā likuma 14. panta ceturto daļu, kas nosaka, ka “Nemantiskā kaitējuma atlīdzību nosaka līdz 7000 euro apmērā. Ja nodarīts smags nemantiskais kaitējums, atlīdzību var noteikt līdz 10 000 euro apmērā [..]”. Jāsaka gan, ka piešķirto kompensāciju apmērs nav liels, tas lielākoties ir robežās no 100 EUR[11] līdz 2000 EUR.[12] Visbiežāk datu subjekti, kuriem piešķir kompensācijas, ir saistīti ar ieslodzījuma vietām.[13] Kā pamatojums kompensācijas piešķiršanai ir valsts iestāžu likumam neatbilstošu rīcību. Piemēram, kādā lietā datu subjektam tika piešķirta kompensācija 100 EUR apmērā, jo Valsts policija neatbilstoši veica savus pienākumus un, kas interesanti, tiesa šo kompensāciju piesprieda arī ar nolūku atgādināt Valsts policijai, ka tai ir rūpīgāk jāizturas pret savu pienākumu izpildi un ir jāizsniedz informācija atbilstoši tam, ko privātpersonas prasa, lai neturpinātu radīt privātpersonu prettiesisku aizskārumu.[14] Katrs pats var mēģināt sev atbildēt, vai kompensācija 100 EUR apmērā ir adekvāta nemantiska kaitējuma atlīdzība un vai šāds apmērs pārkāpēju attur no atkārtotas nelikumīgas rīcības.
Salīdzinot ar Latviju, Vācijas tiesas ir daudz devīgākas. Piemēram, 2021. gadā Vācijas tiesa kompensācijā piešķīra 2500 EUR kompensāciju par morālo kaitējumu personas datu zādzības gadījumā, lai gan nebija pierādījumu, ka nozagtie prasītāja dati patiešām tika izmantoti krāpnieciskiem mērķiem, piemēram, krāpniecisku kredīta pieteikumu iesniegšanai.[15] Vācijas tiesa kompensācijas noteikšanai izmantoja VDAR 83. pantu, no kura izriet apstākļu ņemšana vērā un tas, vai pārkāpums ir bijis smags. Šajā lietā kompensācijai, līdzīgi kā iepriekš minētajā Latvijas prakses piemērā, bija drīzāk preventīva nozīme. Tāpat Vācijas tiesa citā prakses piemērā ir piešķīrusi arī 5000 EUR lielu kompensāciju par ievērojamu kaitējumu.[16] Šajā lietā uzņēmums ar 5 mēnešu nokavēšanos un nepilnīgi atbildēja datu subjekta pieprasījumam.
Nākotnes attīstība kompensāciju jomā divi ceļi – sprieduma potenciālās sekas.
Šobrīd šķietami atbilde uz jautājumu, vai EST sniegs atbildi uz Augstākās tiesas jautājumiem, ir daļēji negatīva. Jo jau iepriekš minētajā EST spriedumā ir skaidra norāde uz katras dalībvalsts atbildību par to, kādas un kādos gadījumos tiek izmaksātas kompensācijas. Skaidrs ir arī tas, ka, ņemot vērā šā brīža tiesu praksi Latvijā, kompensāciju apmērs strauji nepalielināsies. Pat ja EST noteiktu, ka kompensācijas apmēram ir jābūt lielākam, ir jāņem vērā katras Eiropas Savienības (turpmāk – ES) dalībvalstu finansiālās spējas, tirgus īpatnības. Lai datu subjekts varētu pēc iespējas veiksmīgāk argumentēt kompensācijas nepieciešamību, ir jāvērš uzmanība uz to, vai tiešām ir novērojama prettiesiska rīcība no uzņēmuma, valsts institūciju puses, kā arī jāņem vērā datu aizskāruma ilgums. Tomēr jāpievienojas iepriekš norādītajam viedoklim,[17] proti, kopš EST sprieduma C-300/21[18] datu subjektu prasības ir diezgan ierobežotas, jo pārkāpumam ir jābūt nozīmīgam/ smagam. Līdz ar to, pierādīšanas pienākuma nasta ir kļuvusi smagāka. Tādēļ pirmais ceļš, pēc būtības noslēdzas ar to, ka situācija nemainās un Latvijas tiesas turpina vadīties pēc iepriekšējiem tiesu prakses piemēriem, ņemot vērā gan kompensāciju apmēru, gan pamatojumus, kas izriet no prakses. Pavisam iespējams, ka EST varētu kompensāciju jomā noteikt ne tik striktas prasības pierādīšanai, lai VDAR 82. pants nezaudētu savu jēgu, proti, ka ikkatram ir tiesības uz kompensāciju.
Pēc šī sprieduma EST varētu pievienoties AT jautājumā par kompensācijas apmēra mazināšanu, ja dati izmantoti sabiedriska labuma vārdā, it īpaši kā konkrētajā gadījumā – patērētāju tiesību aizsardzības veicināšanai. Ja EST saredzēs nepieciešamību noteikt “vainu” mīkstinošus apstākļus tirgus un godīgas konkurences un tirdzniecības attīstības vārdā, tad atbilde uz jautājumu būs piekrītoša un savā ziņā datu subjekts vairs nevarēs pretendēt uz pārlieku lielām kompensācijām.
Tāpat, EST pozitīvas atbildes gadījumā Latvijas datu subjekti kļūtu līdzvērtīgāki ar pārējo ES dalībvalstu datu subjektiem, kuri ir cietuši no prettiesiskas datu apstrādes. Tas nozīmē, ka tiesības uz kompensāciju kļūtu praktiskākas un neveidotos šobrīd esošā situācija, kurā Latvijā tiesas par līdzīgiem pārkāpumiem un līdzīgiem subjektīviem kaitējumiem kompensāciju piespriež, piemēram, 100 EUR, bet tikmēr Vācijā 2500 EUR. Tādējādi arī tiesiskā situācija kopumā ES saistībā ar kompensācijām kļūtu vienveidīga un izlīdzinātu tiesības uz samērīgu nemateriālā kaitējuma kompensāciju visu ES dalībvalstu datu subjektiem, ne tikai izredzētu valstu iedzīvotājiem.
[1] Eiropas Savienības Tiesas 2023. gada 4. maija spriedums lietā Österreichische Post AG v. UI, lietas Nr. C-300/21, pieejams: https://curia.europa.eu/juris/document/document.jsf?text=&docid=273284&pageIndex=0&doclang=LV&mode=req&dir=&occ=first&part=1&cid=3533568, 28., 33., 42. punkts.
[2] Turpat. 54. punkts.
[3] Yaros O., Bruder A. H., and others. Compensation under Art. 82 GDPR: A mere violation is not enough. May 17 2023. Pieejams: https://www.mayerbrown.com/en/perspectives-events/publications/2023/05/compensation-under-art-82-gdpr-a-mere-violation-is-not-enough#_edn1 [skatīts 15.09.2023.]
[4] Rīgas Administratīvās rajona tiesas 2023. gada 31.janvāra spriedums, Lietas arhīva Nr. A42-00145-23/5, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/497319.pdf
[5] Rēzeknes Administratīvās rajona tiesas 2015. gada 6. janvāra spriedums lietā Nr.A420330014, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/201825.pdf
[6] Rīgas Administratīvās apgabaltiesas 2022. gada 30. jūnija spriedums lietā Nr.A420274919, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/482137.pdf, Rīgas Administratīvās rajona tiesas 2021. gada 14. jūnija spriedums, lietas arhīva Nr. A42-01252-21/27, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/451821.pdf, Rīgas Administratīvās apgabaltiesas 2021. gada 11. maija spriedums, lietas arhīva Nr. A42-01195-22/28, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/477929.pdf
[7] Rīgas Administratīvās rajona tiesas 2022. gada 11. aprīļa sprieduma, Lietas arhīva Nr. A42-00238-22/7, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/475416.pdf
[8] Rīgas Administratīvās apgabaltiesas 2023. gada 20. maija spriedums lietā Nr. A420234319, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/507128.pdf
[9] Rīgas Administratīvās rajona tiesas 2022. gada 11. maija spriedums, lietas arhīva Nr. A42-01195-22/28, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/477929.pdf
[10] Kriminālprocesā un administratīvo pārkāpumu lietvedībā nodarītā kaitējuma atlīdzināšanas likums. Latvijas Vēstnesis, 252, 19.12.2017. https://likumi.lv/ta/id/295926
[11] Rīgas Administratīvās rajona tiesas 2022. gada 28. oktobra spriedums, lietas arhīva Nr. A42-00892-22/11, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/489420.pdf
[12] Rīgas Administratīvās apgabaltiesas 2016. gada 22. februāra spriedums lietā Nr. A420267914, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/251776.pdf, skat. Arī Rīgas Administratīvās apgabaltiesas 2013. gada 16. septembra spriedums lietā Nr. A420572410, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/117459.pdf – šajā lietā kompensācija noteikta 4268,62 euro (3000 lati), tostarp 2134,31 euro (1500 lati) par tām atbildētāja darbībām, kas veiktas jau apstrīdēšanas procesā.
[13] Rīgas Administratīvās apgabaltiesas 2019. gada 20. marta spriedums, lietas arhīva Nr. A42-01195-22/28, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/378438.pdf
[14] Rīgas Administratīvās apgabaltiesas 2022. gada 28. oktobra spriedums, lietas arhīva Nr. A42-00892-22/11, pieejams: https://manas.tiesas.lv/eTiesasMvc/nolemumi/pdf/489420.pdf
[15] District Court Munich I’s judgment of 9 December 2021 (case no 31 O 16606/20). skat., German Court grants non-material GDPR damages following data breach pieejams: https://www.lexology.com/library/detail.aspx?g=d4942922-8220-4df1-98a8-dfed3c4b3b0f#:~:text=On%20basis%20of%20Art.%2082%20GDPR%2C%20the%20Court,fraudulent%20purposes%2C%20such%20as%20fraudulent%20credit%20loan%20applications.
[16] 05.03.2020., Düsseldorf Labor Court (“Arbeitsgericht”) case no. 9 Ca 6557/18, para 114. pieejams: https://openjur.de/u/2202048.html
[17] Yaros O., Bruder A. H., and others. Compensation under Art. 82 GDPR: A mere violation is not enough. May 17 2023.
[18] Eiropas Savienības Tiesas 2023. gada 4. maija spriedums lietā Österreichische Post AG v. UI, lietas Nr. C-300/21
Publikācija: iTiesības