Η προστασία των προσωπικών δεδομένων, όπως κατοχυρώνεται στον Κανονισμό (ΕΕ) 2016/679 (GDPR), θεμελιώνεται στην αρχή της προστασίας του υποκειμένου των δεδομένων. Το δικαίωμα πρόσβασης του άρθρου 15 GDPRttps://gdpr-text.com/el/read/article-15/ συνιστά κεντρικό πυλώνα του συστήματος, επιτρέποντας σε κάθε φυσικό πρόσωπο να ελέγχει τη νομιμότητα της επεξεργασίας και να ασκεί αποτελεσματικά τα λοιπά δικαιώματά του και κύριως το δικαίωμα πρόσβασης. Ωστόσο, η πρακτική εξέλιξη των τελευταίων ετών ανέδειξε ένα φαινόμενο που υπερβαίνει τη ratio του Κανονισμού: τη συστηματική υποβολή αιτημάτων πρόσβασης όχι για λόγους ενημέρωσης, αλλά ως μέσο δημιουργίας αξιώσεων αποζημίωσης.
Η Συστηματική υποβολή των αιτημάτων πρόσβασης
Η πρακτική αυτή, η οποία εμφανίζεται κυρίως σε διασυνοριακό επίπεδο, συνίσταται σε ένα επαναλαμβανόμενο μοτίβο συμπεριφοράς σύμφωνα με το οποίο, το υποκείμενο εγγράφεται σε υπηρεσίες (ιδίως newsletters), υποβάλλει αίτημα πρόσβασης κατ’ άρθρο 15 GDPR και, εν συνεχεία, εγείρει αξιώσεις αποζημίωσης κατ’ άρθρο 82 GDPR, επικαλούμενο παραβάσεις τυπικού χαρακτήρα. Το φαινόμενο αυτό έχει περιγραφεί στη διεθνή βιβλιογραφία ως «GDPR claim farming» και εγείρει σοβαρά ζητήματα ισορροπίας μεταξύ προστασίας των δικαιωμάτων και αποτροπής καταχρηστικής συμπεριφοράς.
Η νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, ιδίως με την απόφαση C-300/21 (Österreichische), έθεσε ένα πρώτο σαφές όριο, απορρίπτοντας την αντίληψη της «αυτόματης αποζημίωσης». Το ΔΕΕ έκρινε ότι για τη θεμελίωση ευθύνης απαιτείται σωρευτικά παράβαση, ζημία και αιτιώδης σύνδεσμος, αποκλείοντας έτσι την κατασκευή αξιώσεων χωρίς πραγματική βλάβη. Ωστόσο, η πρακτική των μαζικών αιτημάτων δεν αναχαιτίστηκε πλήρως, καθώς το δικαίωμα πρόσβασης παρέμενε, μέχρι πρότινος, ευρέως αρρύθμιστο ως προς το ζήτημα του προσδιορισμού της ευθύνης και της αποζημίωσης, εναποθέτοντας την ευθύνη στα εθνικά δικαστήρια.
Απόφαση του Δικαστηρίου στην υπόθεση C-526/24 | Brillen Rottler
Η πρόσφατη απόφαση C-526/24 (Brillen Rottler) https://curia.europa.eu/site/upload/docs/application/pdf/2026-03/cp260038en.pdfσυνιστά ουσιαστική τομή στο ενωσιακό δίκαιο προστασίας δεδομένων. Το ΔΕΕ αναγνώρισε ρητά ότι ακόμη και ένα πρώτο αίτημα πρόσβασης μπορεί να χαρακτηριστεί «υπερβολικό» ή «προδήλως αβάσιμο» κατά την έννοια του άρθρου 12 §5 GDPR, εφόσον αποδεικνύεται ότι δεν εξυπηρετεί τον σκοπό της ενημέρωσης του υποκειμένου, αλλά αποσκοπεί στη δημιουργία προϋποθέσεων για αξίωση αποζημίωσης. Η απόφαση αυτή εισάγει, κατ’ ουσίαν, μία ενωσιακή εκδοχή της αρχής της καταχρηστικής άσκησης δικαιώματος, ενσωματώνοντας στο πεδίο του GDPR μία έννοια που μέχρι πρότινος λειτουργούσε κυρίως στο εθνικό αστικό δίκαιο.
Ιδιαίτερη σημασία έχει το γεγονός ότι το ΔΕΕ αποδέχεται τη συνεκτίμηση του μοτίβου της συμπεριφοράς, δηλαδή της συνολικής συμπεριφοράς του υποκειμένου, συμπεριλαμβανομένων δημοσίως διαθέσιμων πληροφοριών για επαναλαμβανόμενα αιτήματα και διαδοχικές αξιώσεις αποζημίωσης. Με τον τρόπο αυτό, μετατοπίζεται το κέντρο βάρους από την τυπική νομιμότητα του αιτήματος προς την ουσιαστική του λειτουργία, επιτρέποντας στους υπευθύνους επεξεργασίας να αμύνονται έναντι πρακτικών που αλλοιώνουν τον σκοπό του Κανονισμού.
Η εξέλιξη αυτή δεν συνιστά περιορισμό των δικαιωμάτων των υποκειμένων, αλλά αναγκαία επαναφορά της ισορροπίας μεταξύ δικαιώματος και καταχρηστικής άσκησης όπου πλέον το άρθρο 12 §5 GDPR, το οποίο μέχρι πρότινος εφαρμοζόταν κυρίως σε περιπτώσεις επαναλαμβανόμενων αιτημάτων, αποκτά δυναμικό χαρακτήρα και λειτουργεί ως φίλτρο κατά της καταχρηστικής εργαλειοποίησης του Κανονισμού.
Εντούτοις, πρέπει να υπογραμμιστεί ότι η εφαρμογή της νομολογίας αυτής δεν είναι αυτοματοποιημένη. Το βάρος απόδειξης της καταχρηστικότητας φέρει ο υπεύθυνος επεξεργασίας, ενώ τα κριτήρια αξιολόγησης (ιδίως ως προς το ελάχιστο όριο της θεμελίωσης ευθύνης και το εύρος της απαιτούμενης καταχρηστικής συμπεριφοράς) δεν έχουν ακόμη πλήρως διαμορφωθεί. Ως εκ τούτου, η πρακτική εφαρμογή της απόφασης αναμένεται να καθοριστεί από τις πρώτες εθνικές αποφάσεις και τις κατευθυντήριες γραμμές των εποπτικών αρχών.
Ανάγκη αποτροπής καταχρηστικών αιτημάτων πρόσβασης
Συμπερασματικά, η πρόσφατη νομολογία του ΔΕΕ σηματοδοτεί μία νέα φάση στο δίκαιο προστασίας δεδομένων: από την μέχρι πρότινος σχεδόν απόλυτη προτεραιότητα στην ανεμπόδιστη άσκηση των δικαιωμάτων, σε μία πιο ώριμη και εξισορροπημένη προσέγγιση, η οποία αναγνωρίζει την ανάγκη αποτροπής καταχρηστικών πρακτικών. Η «βιομηχανία αιτημάτων πρόσβασης» δεν μπορεί πλέον να θεωρείται νομικά ουδέτερο φαινόμενο, αλλά συνιστά δυνητικά επιβλαβή πρακτική, ικανή να υπονομεύσει την αξιοπιστία του GDPR και να αποσπάσει την προσοχή από τον ουσιαστικό του σκοπό, ήτοι την πραγματική προστασία των υποκειμένων των δεδομένων και τη διασφάλιση της διαφάνειας της επεξεργασίας μέσω των αιτημάτων πρόσβασης.
Maria-Nefeli Christodoulopoulou
Lawyer | GDPR • AI Act • Data Protection • Regulatory Compliance
Η Μαρία-Νεφέλη Χριστοδουλοπούλου είναι Δικηγόρος με εστίαση στην προστασία δεδομένων, το AI Governance και τη συμμόρφωση επιχειρήσεων με το ευρωπαϊκό ψηφιακό κανονιστικό πλαίσιο (GDPR, AI Act, NIS2)