גם בקשה ראשונה לגישה למידע של נושא מידע יכולה להיחשב "מופרזת" תחת ה-GDPR. כך פסק בית המשפט הגבוה באירופה בסכסוך בין תושב אוסטריה לחברת אופטיקה גרמנית.
בחודש מרץ 2023 נרשם התובע האוסטרי לניוזלטר של חברת אופטיקה גרמנית משפחתית, תוך מסירת פרטיו האישיים. כשלושה עשר ימים בלבד לאחר ההרשמה, הגיש התובע בקשת גישה למידע לפי ה-GDPR. החברה סירבה לבקשה וכינתה אותה "שימוש לרעה", בטענה כי מידע ציבורי מגלה שהתובע פועל שיטתית באופן זהה כלפי חברות: הרשמה לשירות, הגשת בקשת גישה, ולאחריה תביעת פיצויים. ואכן, מלבד בקשתו לחברה, הגיש התובע תביעת פיצוי בסך 1,000 אירו בגין נזק לא ממוני. ביהמ"ש מחוזי בגרמניה הפנה שאלות מקדימות להכרעת בית המשפט הגבוה באירופה.
בית המשפט הגבוה באירופה קבע שגם בקשה ראשונה יכולה להיחשב מופרזת, אולם רק בנסיבות יוצאות דופן ובהתקיים קריטריונים מחמירים. קיומן של בקשות חוזרות ונשנות אינו תנאי הכרחי; פסולתה של הבקשה תלויה בהוכחת כוונה לרעה מצד נושא המידע. על בעל השליטה במידע מוטל נטל ההוכחה להראות לאור כלל נסיבות המקרה, כי הבקשה הוגשה לא למטרת אימות חוקיות עיבוד המידע, אלא ליצירת תנאים מלאכותיים לשם קבלת פיצוי. עוד נפסק כי מידע ציבורי על דפוס פעולה שיטתי של הנושא בנתונים כלפי בעלי שליטה במידע רבים עשוי לשמש ראיה לכוונת ניצול לרעה, אך לא מספיק כשלעצמו - יש להביא ראיות נוספות.
לצד זה, בית המשפט פסק כי ה-GDPR מעניק זכות לפיצוי לא ממוני בשל כל הפרה שלו, לרבות אי כיבוד בקשת נושא מידע, ולא רק בשל עיבוד מידע לא חוקי. לפי בית המשפט, הגבלת הפיצוי לנזק הנובע מעיבוד בלבד תרוקן מתוכן את ההגנה על זכויות נושאי מידע.
בית המשפט חידד כי אובדן שליטה על המידע וחוסר ודאות לגבי עיבודו יכולים להוות נזק לא ממוני, אך על נושא המידע להוכיח שאכן סבל נזק בפועל, ושהתנהגותו עצמו לא הייתה הסיבה הקובעת לנזק. כלומר, מי שיצר באופן מלאכותי את תנאי הנזק לצורך תביעת פיצוי, לא יוכל לזכות בו.