De GDPR legt vast hoe bedrijven en organisaties persoonsgegevens kunnen verzamelen, opslaan en beheren. Inbreuken op die wetgeving, die sinds 2018 van toepassing is, geven wel degelijk recht op een schadevergoeding, maar alleen als aan drie voorwaarden is voldaan, maakt het Hof duidelijk. Er moet sprake zijn van een duidelijke inbreuk op de GDPR zelf, die inbreuk moet tot materiële of immateriële schade hebben geleid, én er moet een causaal verband bestaan tussen de schade en de inbreuk.

Als een benadeelde recht heeft op een schadevergoeding, dan is het aan de bevoegde nationale gegevensbeschermingsautoriteit om die te bepalen, zegt het Hof ook.

De rechters in Luxemburg spraken zich daarmee uit over een Oostenrijkse zaak. Een burger eist van Österreichische post een schadevergoeding van 1.000 euro omdat het postbedrijf zijn persoonsgegevens zo heeft verwerkt dat het eruit kan afleiden dat hij een grote affiniteit heeft met een bepaalde politieke partij. Die gegevens werden weliswaar niet doorgegeven aan derden.

In een andere zaak, die eveneens in Oostenrijk aanhangig werd gemaakt, definieert het Hof aan welke voorwaarden de “kopie” moet voldoen die een betrokkene kan vragen van zijn persoonsgegevens wanneer die worden bijgehouden. Het recht om zo’n kopie te verkrijgen betekent dat hij een “getrouwe en begrijpelijke reproductie” van zijn gegevens moet kunnen krijgen, zo luidt het.