Cât de costisitor poate fi un e-mail greșit?

Article Un e-mail greșit = 1000€? Lecția GDPR din cazul Quirin Privatbank

Ce s-a întâmplat?

Cazul IP v. Quirin Privatbank AG (C-655/23) a pornit de la un incident de securitate în timpul unui proces de recrutare. Candidatul - IP - a aplicat pentru un job la Quirin Privatbank prin intermediul unei platforme profesionale de networking. În cadrul procesului de recrutare, un angajat al băncii implicat în procesul de angajare a fost informat cu privire la așteptările salariale ale candidatului. Ca răspuns, angajatul respectiv a pregătit un mesaj destinat exclusiv candidatului, explicându-i că banca nu poate oferi cererea sa salarială și a sugerat un nivel de remunerație mai mic.

Cu toate acestea, din cauza unei erori, angajatul implicat în recrutare a trimis mesajul unui alt angajat al băncii, care nu era implicat în procesul de recrutare. Această parte terță cunoștea întâmplător candidatul dintr-un mediu profesional, deoarece au lucrat anterior împreună. La primirea mesajului trimis din greșeală, al doilea angajat l-a redirecționat către candidat și l-a întrebat dacă era în căutarea unui loc de muncă.

Doar în acest moment, fiind întrebat dacă caută un loc de muncă, candidatul și-a dat seama de divulgarea neautorizată a datelor sale cu caracter personal. De asemenea, IP a dedus că inclusiv așteptările sale salariale și rezultatul negocierilor sale cu banca au fost divulgate.

Considerând că această divulgare i-a încălcat viața privată și reputația profesională, candidatul a susținut că Quirin Privatbank a prelucrat ilegal datele sale personale prin transmiterea acestora către un destinatar neautorizat la Tribunalul Regional și a solicitat două măsuri reparatorii:

  • O ordonanță de interdicție, pentru a împiedica banca să repete orice prelucrare ilegală similară în viitor și 
  • Despăgubiri pentru prejudiciul moral.

Candidatul a susținut că divulgarea i-a cauzat un prejudiciu moral, în principal prin jenă și îngrijorare cu privire la potențialele consecințe profesionale. El se temea că terțul (persoana care îl cunoștea personal și cu care lucra în aceeași industrie) ar putea transmite sau partaja mesajul care conținea informații confidențiale despre salariul său cu foști sau potențiali angajatori. În opinia sa, acest lucru l-a pus într-o situație de dezavantaj competitiv în viitoarele situații de recrutare și l-a expus umilinței din cauza eșecului negocierilor salariale dezvăluite în acel mesaj.

În baza probelor, Curtea Regională i-a dat câștig de cauză, ordonând băncii să se abțină de la un comportament similar și i-a acordat 1000 Euro despăgubiri plus dobânzi. În schimb, în timpul apelului, Curtea Regională Superioară a menținut interdicția, însă a respins cererea de despăgubiri, hotărând că candidatul nu a furnizat dovezi suficiente privind prejudiciul emoțional sau reputațional.

Ambele părți au făcut apel la Curtea Federală de Justiție, care a sesizat Curtea de Justiție a Uniunii Europene (CJUE) cu șase întrebări preliminare privind interpretarea GDPR.

Raționamentul juridic al Curții

În urma faptelor, Curtea Federală de Justiție din Germania a sesizat CJUE cu întrebări care se concentrau în jurul următoarelor teme generale:

  • Dacă persoanele vizate pot obține măsuri provizorii direct în temeiul GDPR,
  • Ce se califică drept prejudiciu nematerial în temeiul articolului 82 alineatul (1) și
  • Cum influențează culpa sau alte măsuri reparatorii (cum ar fi măsurile de încetare) calculul despăgubirilor.

Hotărârea Quirin Privatbank a oferit astfel Curții ocazia de a defini conceptele cheie ale sistemului de reparații GDPR: până unde se extinde, împotriva cărui tip de prejudiciu protejează și dacă legislația națională poate completa eventualele lacune lăsate de regulament.

A. Măsuri provizorii: Se poate restricționa o breșă de date înainte ca aceasta să aibă loc?

Instanța de federală a întrebat dacă GDPR conferă persoanelor fizice dreptul preventiv de a împiedica un operator să efectueze în viitor prelucrări ilegale de date (de exemplu, prin obținerea unei ordonanțe de interdicție), chiar și în cazul în care persoana fizică nu a solicitat ștergerea datelor sale în temeiul articolului 17. În plus, instanța a întrebat în mod specific dacă un astfel de drept ar putea decurge din dreptul la ștergere, dreptul la restricționarea prelucrării sau dreptul la o cale de atac judiciară.

În acest caz, CJUE a hotărât că GDPR nu prevede, în sine, un drept general la măsuri provizorii. Deși articolele 17 și 18 oferă persoanelor vizate instrumente pentru ștergerea sau restricționarea anumitor date, aceste drepturi sunt reactive, menite să remedieze încălcările existente, nu să prevină încălcări viitoare. Prin formularea sau scopul lor, acestea nu pot fi extinse la un mecanism general de interdicție.

În mod similar, articolul 79, care garantează o cale de atac judiciară, nu prescrie tipurile de acțiuni pe care statele membre trebuie să le pună la dispoziție. Acesta asigură accesul la justiție, dar permite sistemelor juridice naționale să decidă forma și conținutul căilor de atac. În mod esențial, CJUE a subliniat că nimic din GDPR nu împiedică statele membre să prevadă căi de atac preventive în cadrul legislației naționale. Deși regulamentul vizează un nivel ridicat și uniform de protecție în întreaga UE, acesta nu armonizează în mod exhaustiv toate aspectele procedurale sau civile ale aplicării.

Prin urmare, cadrele naționale pot servi în continuare ca bază juridică pentru ordonanțe judecătorești. În temeiul acestor dispoziții, persoanele fizice pot încerca să prevină sau să oprească o încălcare continuă a drepturilor lor personale, inclusiv a drepturilor la viață privată sau la protecția datelor, dacă pot demonstra existența unui risc de recurență. Recurența este în acest caz o condiție esențială - cât timp persoana vizată nu poate demonstra că este probabil ca prelucrarea ilegală să se repete, instanța nu poate acorda măsura de încetare. În practică, acest lucru restrânge sfera de aplicare a căii de atac și limitează astfel de acțiuni la cazurile de încălcări continue sau repetate.

B. Daune nemateriale: Emoții, teamă și dovezi

A doua întrebare discuta semnificația „daunelor nemateriale” în sensul articolului 82 alineatul (1) din GDPR. Instanța federală a întrebat dacă emoțiile negative (cum ar fi iritarea, teama sau îngrijorarea) pot fi suficiente pentru a justifica despăgubiri sau dacă trebuie îndeplinită o condiție mai strictă în ceea ce privește prejudiciul.

Această întrebare a fost centrul multor litigii naționale privind protecția datelor, reflectând incertitudinea cu privire la măsura în care suferința emoțională sau inconvenientele ar trebui să fie considerate prejudicii compensabile.

În acest caz, CJUE a adoptat o poziție moderată: astfel de reacții emoționale pot constitui daune nemateriale, dar nu în mod automat. Pentru a avea câștig de cauză, reclamantul trebuie să îndeplinească trei condiții cumulative:

  • Experiență reală - Trebuie să demonstreze că a suferit cu adevărat acele emoții (de exemplu, umilire, anxietate sau pierderea încrederii).
  • Consecințe negative - Acele emoții trebuie să fi produs efecte negative tangibile care depășesc iritarea minoră sau disconfortul cotidian.
  • Cauzalitate - Prejudiciul trebuie să fie direct legat de încălcarea GDPR în cauză.

În cazul Quirin, acest lucru însemna că reclamantul nu se putea baza doar pe faptul că informațiile sale salariale fuseseră divulgate. Reclamantul trebuia să demonstreze că incidentul i-a cauzat suferință emoțională reală sau anxietate legată de reputație.

CJUE a clarificat că pierderea controlului în sine nu constituie automat un prejudiciu. Ceea ce contează este dacă această pierdere provoacă emoții negative sau prejudicii reputaționale. Cu alte cuvinte, consecințele emoționale sau reputaționale ale acestei pierderi reprezintă prejudiciul. Această clarificare restrânge domeniul de aplicare al potențialelor cereri de despăgubire, asigurând că despăgubirea rămâne strâns legată de impactul individual, și nu doar de simplul fapt al breșei de date.

În același timp, CJUE a reafirmat că nu se aplică niciun prag „de minimis”. Chiar și un prejudiciu emoțional minor poate fi eligibil, cu condiția să fie real, dovedit și să aibă o legătură cauzală cu încălcarea. Prin urmare, instanțele naționale trebuie să examineze credibilitatea și probele fiecărei cereri de despăgubire de la caz la caz.

Rezultatul este un echilibru atent între emoție și consecință. Prin aceasta, Curtea evită banalizarea prejudiciului emoțional, dar previne și cererile de despăgubire pur simbolice, în cazul cărora nu s-a demonstrat o suferință măsurabilă.

C. Vina și remediile: De ce intenția nu contează

CJUE a reafirmat că articolul 82 din GDPR se bazează pe vinovăție. Asta înseamnă că operatorii de date sunt considerați răspunzători pentru prelucrarea ilegală a datelor în mod automat, cu excepția cazului în care pot dovedi că nu au fost responsabili pentru încălcare (conform articolului 82 alineatul 3).

Cu toate acestea, odată stabilită răspunderea, gradul de vină nu influențează cuantumul despăgubirii.

Această interpretare decurge din natura compensatorie a articolului 82. Despăgubirile sunt menite să repare prejudiciul suferit, nu să pedepsească sau să descurajeze comportamentul necorespunzător. Curtea a respins reglementarea amenzilor administrative și consideră în mod explicit gravitatea vinovăției ca factor punitiv.

În final, CJUE a analizat dacă existența unei ordonanțe de interdicție poate influența suma despăgubirilor acordate. Răspunsul a fost clar: nu poate. Cele două au scopuri diferite:

  • Ordonanțele de interdicție sunt preventive, având ca scop oprirea încălcărilor viitoare.
  • Daunele sunt reparatorii, destinate să compenseze prejudiciul deja suferit.

Deoarece aceste măsuri corective urmăresc scopuri diferite, una nu o poate compensa pe cealaltă. Un operator de date care provoacă prejudicii nemateriale și se confruntă cu riscul de recurență poate fi, prin urmare, supus atât unei ordonanțe (în temeiul legislației naționale), cât și unei despăgubiri (în temeiul articolului 82).

Ce înseamnă acest lucru pentru companii?

Prin hotărârea sa, CJUE a trasat linii clare în jurul cadrului reparatoriu al GDPR:

  • Nu există interdicții automate la nivelul UE, deși sistemele naționale pot prevedea astfel de interdicții.
  • Nu se acordă despăgubiri automate pentru încălcarea securității datelor fără dovada impactului emoțional.
  • Nu se acordă despăgubiri pe baza culpei sau reduceri pentru obținerea altor măsuri corective.

Prin aceasta, instanțele europene trebuie să echilibreze protecția drepturilor individuale cu necesitatea rigurozității probatorii și a securității juridice. Pentru companii, însă, acest cadru de remediere evidențiază și complexitatea prelucrării datelor cu caracter personal, în special în contextul angajării și recrutării.

Curtea a confirmat că prejudiciul emoțional poate, în principiu, să justifice despăgubiri numai dacă se poate dovedi că are consecințe negative asupra persoanelor vizate. Acest lucru înseamnă că chiar și incidente minore, cum ar fi trimiterea unui e-mail sau a unui mesaj către un destinatar greșit, pot duce la răspunderea companiei dacă persoana vizată demonstrează un prejudiciu emoțional sau de reputație. În același timp, decizia impune o sarcină probatorie clară reclamanților, scăpând astfel de reclamațiile pur teoretice.

În al doilea rând, statele membre rămân libere să stabilească măsuri corective în propriile sisteme juridice. Acest lucru expune companiile la posibilitatea unor decizii judiciare diferite, bazate pe dreptul civil național. Companiile cu operațiuni internaționale trebuie, prin urmare, să se descurce într-un context în care cerințele probatorii și abordările judiciare pot varia semnificativ de la un stat membru la altul.

În al treilea rând, hotărârea confirmă că răspunderea în temeiul articolului 82 din GDPR este pur compensatorie. Odată ce se constată o încălcare, gravitatea culpei operatorului este irelevantă. Despăgubirile nu au scopul de a pedepsi o organizație, ci mai degrabă de a restabili persoana vizată în situația în care se afla înainte de încălcarea drepturilor. În practică, acest lucru înseamnă că chiar și greșelile neintenționate pot declanșa despăgubiri dacă persoana vizată poate dovedi suferința reală sau prejudiciul adus reputației. Pentru companii, în schimb, acest lucru accentuează importanța prevenirii și a proiectării proceselor de business.

În cele din urmă, decizia întărește necesitatea certitudinii și a dovezilor. Instanțele trebuie să solicite dovezi de la persoanele vizate și documentație clară care să demonstreze cauzalitatea.

Măsuri practice pentru consolidarea conformității

Pentru a se adapta la mediul post-Quirin, organizațiile ar trebui să își consolideze strategiile de conformitate bazate pe dovezi. Practicile interne de gestionare a datelor și de comunicare ar trebui revizuite pentru a se asigura că informațiile personale sunt partajate numai cu destinatarii autorizați. Drepturile de acces trebuie definite în mod clar, iar măsurile de protecție, cum ar fi verificarea destinatarilor sau opțiunile de partajare restricționată, ar trebui implementate ori de câte ori este posibil.

De asemenea, companiile ar trebui să mențină proceduri de răspuns la incidente și de documentare. Un plan bine structurat de răspuns la încălcări, care să includă canale interne clare de raportare, protocoale de escaladare și măsuri corective, ar permite organizațiilor să răspundă rapid și transparent atunci când apar incidente. Înregistrările complete ale fiecărui incident și măsurile luate pentru a preveni repetarea acestora nu numai că ajută la îndeplinirea obligațiilor de reglementare, dar pot oferi și dovezi convingătoare în instanță că compania a acționat în mod responsabil.

În plus, companiile trebuie să fie atente la evoluțiile din jurisprudența națională. Decizia CJUE lasă statelor membre libertatea de a-și dezvolta propriile abordări în materie de interdicții și aplicare privată, care pot evolua diferit de la o jurisdicție la alta. Monitorizarea regulată a acestor evoluții și alinierea politicilor interne în consecință vor contribui la asigurarea unei conformități consecvente și la reducerea riscului de a fi luați prin surprindere de interpretări naționale divergente.

Concluzie: Clarificarea limitei dintre prejudiciu și risc

CJUE a oferit securitate juridică prin clarificarea limitelor măsurilor de încetare, prin înăsprirea standardelor probatorii și prin confirmarea caracterului compensatoriu al daunelor. Pentru persoane fizice, decizia asigură protecție fără a încuraja reclamațiile teoretice. Pentru companii, hotărârea este o amintire că până și greșelile neintenționate pot declanșa răspunderea atunci când prejudiciul este dovedit.

În cele din urmă, Quirin Privatbank trasează o linie clară între greșeală și abatere, punând în evidență că responsabilitatea de a dovedi este esențială în astfel de probleme, atât pentru companii, cât și pentru persoane fizice.

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Securitatea cibernetică în era inteligenței artificiale generative

Securitatea cibernetică în era inteligenței artificiale generative

Când dreptul de access devine abuz: ghid practic pentru companii

Când dreptul de access devine abuz: ghid practic pentru companii

Profilarea în GDPR

Profilarea în GDPR

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI