האם הפרה של הוראות תקנות הגנת המידע האירופיות (GDPR) תזכה את נושא המידע שנפגע מכך בפיצוי ללא הוכחת נזק? בית המשפט של האיחוד האירופי, CJEU (Court of Justice of the European Union), אשר משמש כ״פרשן״ חוקי האיחוד האירופי, השיב לאחרונה (04.05.2023) על שאלה זו בשלילה. זאת במסגרת פסק הדין שעסק בטענה לאיסוף מידע בניגוד להוראות ה-GDPR.
הרקע לפסק הדין של ה- CJEU הוא תביעה שהגיש אזרח אוסטרי כנגד חברת דואר אוסטרית, בטענה כי החברה אספה מידע אודותיו באופן המפר את חוקי ה-GDPR. התובע טען כי החברה עיבדה מידע רגיש אודות לקוחותיה, זאת כאשר המידע נוגע לדעות הפוליטיות של לקוחותיה.
בית המשפט האוסטרי, שדן בתביעה הנ״ל, ביקש שההכרעה תינתן על ידי ה-CJEU, כאשר עיקר הדיון עוסק בשאלה: האם הענקת פיצויים כתרופה להפרת ה-GDPR, דורשת הוכחת נזק.
ה-CJEU סבר כי גובה הפיצוי יהיה בהתאם לדין המדינתי הרלוונטי, ולא על פי חוקי האיחוד האירופי. בנוסף, בית המשפט האירופי קבע כי אין להעניק פיצוי בגין הפרות ה-GDPR ללא הוכחת נזק, אולם, אין דרישה הנוגעת לרף הוכחת הנזק. כאמור, ה-CJEU סבר כי אין זה תפקידו להתוות את גובה הנזק שיינתן בגין ההפרה, וקבע כי גובה הפיצוי יהיה בהתאם לגובה הפיצוי המינימלי בגין הנזק על פי דיני המדינה הרלוונטית.
לסיכומו של דבר, קביעת ה-CJEU מלמדת כי לא יינתן פיצוי ללא הוכחת נזק במקרים בהם הופרו הוראות ה-GDPR, וכי במצבים בהם הוכח נזק, גובה הפיצוי יהיה בהתאם לדין המדינתי.
