A GDPR hatálybalépése óta a vállalatoknak meg kellett tanulniuk együtt élni azzal, hogy az érintettek széles körben kérhetnek hozzáférést a róluk kezelt személyes adatokhoz. Ez alapvető jog, és helyesen is van így. Az Európai Unió Bíróságának mostani ítélete azonban azt mutatja, hogy ez a jog sem korlátlan: ha valaki nem azért kér hozzáférést a saját adataihoz, hogy megismerje az adatkezelést és ellenőrizze annak jogszerűségét, hanem kizárólag azért, hogy mesterségesen megalapozzon egy későbbi kártérítési igényt, akkor a kérelme visszaélésszerűnek minősülhet, és megtagadható.
Az ügy egy német optikai vállalkozás és egy osztrák magánszemély között alakult ki. Az érintett először feliratkozott a cég hírlevelére, majd alig két héttel később hozzáférési kérelmet nyújtott be a GDPR alapján. A vállalkozás ezt azzal utasította el, hogy a kérelmező módszeresen több cégnél is hasonlóan jár el: feliratkozik, hozzáférést kér, majd kártérítést követel. Az uniós bíróság most kimondta, hogy még egy első hozzáférési kérelem is lehet túlzó vagy visszaélésszerű, ha a körülmények alapján bizonyítható, hogy annak valódi célja nem az adatkezelés megismerése, hanem a kártérítési feltételek tudatos előállítása.
Ez a döntés jelentős könnyebbséget hozhat sok vállalat számára, különösen azoknak, amelyek tömeges ügyfélkapcsolatokkal, online feliratkozásokkal vagy automatizált marketingfolyamatokkal dolgoznak. Az elmúlt években több piacon is megjelent az a gyakorlat, hogy egyes érintettek vagy az őket támogató szereplők tömegesen generálnak adatvédelmi igényeket, majd ezekből igyekeznek kártérítési ügyeket építeni. A mostani ítélet nem gyengíti az érintetti jogokat, de világossá teszi, hogy az adatvédelmi eszközök nem használhatók tetszőleges üzleti vagy pereskedési stratégiák kiszolgálására.
Fontos azonban, hogy a döntés nem nyit szabad utat az adatkezelőknek a kérelmek rutinszerű elutasítására. A bíróság hangsúlyozta, hogy a visszaélésszerűség bizonyítása az adatkezelő feladata, és ehhez az ügy összes körülményét mérlegelni kell. Számíthat például, hogy az érintett önként adta-e meg az adatait, mi volt a célja, mennyi idő telt el az adatközlés és a hozzáférési kérelem között, illetve van-e jele annak, hogy hasonló kérelmeket rendszeresen nyújt be más vállalkozásokhoz is. A cégeknek tehát továbbra is óvatosan, dokumentáltan és egyedileg kell eljárniuk.
A bíróság a kártérítési igényekkel kapcsolatban is fontos pontosítást tett. Önmagában az, hogy valaki a GDPR megsértésére hivatkozik, még nem jelenti azt, hogy automatikusan jár neki pénzbeli kompenzáció. A kérelmezőnek ténylegesen igazolnia kell, hogy anyagi vagy nem vagyoni kár érte. Emellett, ha a kár kialakulásában döntő szerepe volt a saját magatartásának, akkor ez szintén kizárhatja a kártérítést. Ez a vállalatok számára kulcsfontosságú üzenet, mert megerősíti: a GDPR-kártérítések nem automatikus büntetések, hanem bizonyítást igénylő polgári jogi igények.
Az ügy gyakorlati következménye az, hogy a cégeknek érdemes finomhangolniuk az adat hozzáférési kérelmek kezelésére szolgáló belső folyamataikat. Egyfelől továbbra is biztosítani kell a gyors, pontos és jogszerű választ a valós érintetti kérelmekre. Másfelől viszont már van jogalap arra, hogy a nyilvánvalóan rosszhiszemű, kifejezetten kártérítési célra gyártott kérelmeket alapos bizonyítás mellett vissza lehessen utasítani. Az uniós bíróság mostani üzenete egyensúlyt teremt: az adatvédelem kiemelten fontos jog, de nem válhat visszaélésszerű perlés eszközévé.