19 март 2026 г.
С Решение по дело C-526/24 (Brillen Rottler) Съдът на Европейския съюз обсъжда условията, при които искане за достъп до собствени лични данни може да бъде счетено за злоупотреба и да бъде отхвърлено. По-конкретно, злоупотреба би била налице, ако се установи, че такова искане е подадено с единствената цел впоследствие да се претендира обезщетение за твърдяно нарушение на Общия регламент за защита на данните (GDPR).
Конкретният случай се отнася до лице, пребиваващо в Австрия, което се абонира за бюлетина на семейната компания за оптика Brillen Rottler, установена в Арнсберг, Германия, като въвежда личните си данни във формуляра за регистрация, достъпен на уебсайта на дружеството. Тринадесет дни по-късно той изпраща искане за достъп до Brillen Rottler съгласно член 15 от GDPR. Съгласно регламента субектът на данни има право да получи от администратора потвърждение дали се обработват лични данни, отнасящи се до него, и, ако това е така, право на достъп до тези данни и свързаната с тях информация. Brillen Rottler отхвърля искането, считайки го за злоупотреба. Според Brillen Rottler различни доклади, статии в блогове и бюлетини на адвокати показват, че това физическо лице систематично се абонира за бюлетини на различни дружества, преди да подаде искане за достъп, а след това подава иск за обезщетение. Физическото лице, от друга страна, твърди, че искането му за достъп е легитимно, и претендира обезщетение в размер на най-малко 1 000 евро от Brillen Rottler за неимуществената вреда, която твърди, че е претърпял в резултат на отказа на това искане за достъп. Районният съд в Арнсберг, разглеждащ спора между Brillen Rottler и това физическо лице относно законността на искането за достъп и искането за обезщетение, отправя въпрос до Съда на Европейския съюз дали първо искане за достъп до лични данни, отправено от субекта на данните, може да се счита за „прекомерно“ и дали този субект на данните има право на обезщетение за вредите, произтичащи от нарушение на правото на достъп до тези данни. Съдът отговаря, че първото искане за достъп може, при определени обстоятелства, вече да се счита за „прекомерно“ по смисъла на ОРЗД и следователно може да представлява злоупотреба. Такъв е случаят, когато администраторът докаже, че въпреки формалното спазване на условията, предвидени в ОРЗД за подаване на искане за достъп, това искане е било отправено не с цел да се установи обработката на данните и да се провери законността на тази обработка, а с намерение, което може да бъде определено като „злоупотреба“, да се създадат изкуствено условията, предвидени за получаване на обезщетение съгласно ОРЗД. Фактът, че според публично достъпна информация субектът на данните е подал голям брой искания за достъп до своите лични данни, последвани от искове за обезщетение към различни администраторите, могат да бъдат взети предвид с цел установяване на наличието на такова злонамерено намерение. Освен това лице, което е претърпяло имуществени или неимуществени вреди в резултат на нарушение на ОРЗД, включително нарушение на правото на достъп до личните му данни, има право да получи обезщетение от администратора за тези вреди. Съдът посочва обаче, че за да получи такова обезщетение, субектът на данните трябва да докаже, наред с другото, че действително е претърпял такава вреда. Освен това субектът на данните не може да получи обезщетение за вреди съгласно ОРЗД, ако неговото собствено поведение е определящата причина за вредата.