EU-domstolen har avgjort (C-526/24) at man ikke kan bruke innsynskrav strategisk for å forberede et erstatningskrav etter GDPR. Selv ett enkelt innsynskrav etter GDPR artikkel 15 kan avvises dersom hensikten ikke er å få innsyn i egne opplysninger, men å kreve erstatning basert på manglende innsyn.
En person (TC) meldte seg på en brilleforhandlers nyhetsbrev, krevde innsyn 13 dager senere, og da selskapet avslo, krevde han EUR 1.000 i erstatning. Selskapet avviste kravet om innsyn etter GDPR artikkel 12(5) – ved at kravet er «åpenbart grunnløse eller overdrevne» - og viste blant annet til blogginnlegg og nyhetsbrev (!) fra advokater som dokumenterte at TC drev samme opplegg mot en rekke andre virksomheter (!).
Behandlingsansvarlige kan bruke slik offentlig tilgjengelig informasjon om systematisk adferd som ett av flere momenter for å avvise innsynskrav. Bevisbyrden ligger hos behandlingsansvarlige og terskelen er høy. Ved vurderingen ses det på alle relevante forhold som om opplysningene ble avgitt frivillig, hva formålet var (kreve erstatning…), tidsrommet mellom avgivelse og innsynskrav (som her med 13 dager), og adferden ellers. Det er den nasjonale domstolen som til slutt avgjør om terskelen er nådd i den konkrete saken.
Når det gjelder erstatning, bekrefter domstolen – som tidligere fastslått i praksis fra EU-domstolen – at man må påvise at skaden faktisk er lidt. Domstolen presiserer også at brudd på innsynsretten i seg selv kan gi grunnlag for erstatning etter artikkel 82, selv uten at skaden skyldes ulovlig databehandling i snever forstand. Tap av kontroll over egne data kan være ikke-materiell skade, men det er ikke nok å si at man er redd for hva som kan skje. Det nye i denne dommen knyttet til erstatning er at erstatningskravet faller bort der den registrerte selv er den avgjørende årsaken til situasjonen, som i denne saken hvor den registrerte selv skapte forutsetningene (som er tilsvarende i norsk erstatningsrett og ikke så overraskende).
Dommen viser at rettigheter etter GDPR er for å sikre personvernet og ikke lommeboka. Merk også at artikkel 12(5) gjelder samtlige rettigheter som den registrerte har etter GDPR, og ikke bare innsyn. Opplegget TC brukte vil derfor ikke fungere for andre GDPR-rettigheter heller.