Tento dokument je výňatkem z internetových stránek EUR-Lex
Dokument 62021CC0667
Opinion of Advocate General Campos Sánchez-Bordona delivered on 25 May 2023.#ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.#Request for a preliminary ruling from the Bundesarbeitsgericht.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 6(1) – Conditions for lawful processing – Article 9(1) to (3) – Processing of special categories of data – Data concerning health – Assessment of an employee’s working capacity – Health insurance medical service processing data concerning the health of its own employees – Conditions for such processing and whether permissible – Article 82(1) – Right to compensation and liability – Compensation for non-material damage – Compensatory function – Impact of negligence on the part of the data controller.#Case C-667/21.
Stanovisko generálního advokáta M. Campos Sánchez-Bordony přednesené dne 25. května 2023.
ZQ v. Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Žádost o rozhodnutí o předběžné otázce podaná Bundesarbeitsgericht.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 6 odst. 1 – Podmínky zákonnosti zpracování – Článek 9 odst. 1 až 3 – Zpracování zvláštních kategorií údajů – Údaje o zdravotním stavu – Posouzení pracovní schopnosti zaměstnance – Lékařská služba v oblasti zdravotního pojištění, která zpracovává údaje o zdravotním stavu vlastních zaměstnanců – Přípustnost a podmínky takového zpracování – Článek 82 odst. 1 – Právo na náhradu újmy a odpovědnost – Náhrada nehmotné újmy – Kompenzační funkce – Vliv zavinění správce.
Věc C-667/21.
Stanovisko generálního advokáta M. Campos Sánchez-Bordony přednesené dne 25. května 2023.
ZQ v. Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Žádost o rozhodnutí o předběžné otázce podaná Bundesarbeitsgericht.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 6 odst. 1 – Podmínky zákonnosti zpracování – Článek 9 odst. 1 až 3 – Zpracování zvláštních kategorií údajů – Údaje o zdravotním stavu – Posouzení pracovní schopnosti zaměstnance – Lékařská služba v oblasti zdravotního pojištění, která zpracovává údaje o zdravotním stavu vlastních zaměstnanců – Přípustnost a podmínky takového zpracování – Článek 82 odst. 1 – Právo na náhradu újmy a odpovědnost – Náhrada nehmotné újmy – Kompenzační funkce – Vliv zavinění správce.
Věc C-667/21.
Sbírka rozhodnutí – Obecná sbírka – oddíl „Informace o nezveřejněných rozhodnutích“
Identifikátor ECLI: ECLI:EU:C:2023:433
STANOVISKO GENERÁLNÍHO ADVOKÁTA
MANUELA CAMPOS SÁNCHEZ-BORDONY
přednesené dne 25. května 2023 ( 1 )
Věc C‑667/21
ZQ
proti
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
[žádost o rozhodnutí o předběžné otázce podaná Bundesarbeitsgericht (Spolkový pracovní soud, Německo)]
„Řízení o předběžné otázce – Ochrana osobních údajů – Osobní údaje o zdravotním stavu – Posouzení pracovní schopnosti zaměstnance – Lékařská služba zdravotní pojišťovny – Zpracování osobních údajů o zdravotním stavu zaměstnanců – Právo na náhradu újmy – Dopad míry zavinění“
|
1. |
Toto řízení o předběžné otázce se týká výkladu nařízení (EU) 2016/679 ( 2 ) ve spojení se: a) zpracováním osobních údajů o zdravotním stavu a b) s náhradou újmy způsobené (domnělým) porušením GDPR. |
|
2. |
Přestože k ustanovením GDPR ( 3 ) týkajícím se těchto otázek se již Soudní dvůr vyjádřil, otázky položené v tomto řízení o předběžné otázce jsou zatím neznámé, s výjimkou čtvrté z nich ( 4 ). |
I. Právní rámec
A. Unijní právo. GDPR
|
3. |
Pro tento spor jsou relevantní body odůvodnění, které jsou v preambuli GDPR uvedeny pod čísly 4, 10, 35, 51 až 54 a 146. |
|
4. |
V souladu s článkem 9 („Zpracování zvláštních kategorií osobních údajů“): „1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. 2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů: […]
[…]
[…] 3. Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím nebo na jeho odpovědnost podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány nebo jinou osobou, na niž se rovněž vztahuje povinnost mlčenlivosti podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány. 4. Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.“ |
|
5. |
Článek 82 („Právo na náhradu újmy a odpovědnost“) stanoví: „1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. […] 3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla. […]“ |
B. Vnitrostátní právo. Sozialgesetzbuch Fünftes Buch ( 5 )
|
6. |
Podle jeho § 278 odst. 1 první věty se v každé spolkové zemi zřizuje lékařská služba ( 6 ) zdravotních pojišťoven jako veřejnoprávní korporace ( 7 ). Mezi její úkoly, jež stanoví zákon, patří mimo jiné vypracování posudků k odstranění pochybností o pracovní neschopnosti pojištěnců. |
|
7. |
Podle § 275 odst. 1 první věty bodu 3 písm. b) jsou KV za určitých okolností povinny vyžádat si u příslušné MDK v případě lékařsky doložené pracovní neschopnosti pojištěnce posudek za účelem odstranění pochybností o pracovní neschopnosti. |
II. Skutkový stav, spor a předběžné otázky
|
8. |
ZQ byl zaměstnán u MDK v Nordrheinu (Německo) od roku 1991 v IT oddělení jako systémový administrátor a zaměstnanec helpdesku. |
|
9. |
MDK zpracovává posudky o pracovní neschopnosti pojištěnců KV. Mezi těmito posudky se mohou nacházet i posudky týkající se zdravotního stavu vlastních zaměstnanců MDK. |
|
10. |
Zpracování údajů se řídí mimo jiné níže uvedenými pravidly obsaženými v interním pokynu lékařské služby ( 8 ):
|
|
11. |
Zaměstnanci IT oddělení organizační jednotky „Speciální případ“, kteří jsou ze zákona vázáni povinností zachovávat tajemství, mají po archivaci spisu přístup k posudkům vypracovaným na základě určitého posudkového požadavku, který se týká zaměstnanců MDK. |
|
12. |
Pan ZQ byl od 22. listopadu 2017 nepřetržitě nemocen a v pracovní neschopnosti. |
|
13. |
Od 24. května 2018 ( 10 ) pobíral ZQ dávku nemocenského pojištění od své KV. Dne 6. června 2018 KV pověřila MDK, aby za účelem odstranění pochybností o pracovní neschopnosti ZQ vypracovala posudek. |
|
14. |
MDK tento požadavek na vypracování posudku převzala a přiřadila ho organizační jednotce „Speciální případy“. Lékařka zaměstnaná u MDK, která byla zařazena v této organizační jednotce, vypracovala dne 22. června 2018 posudek, v němž byla uvedena diagnóza nemoci ZQ. Za účelem vypracování tohoto posudku lékařka telefonicky hovořila s ošetřujícím lékařem ZQ a vyžádala si od něj relevantní informace. |
|
15. |
MDK posudek elektronicky archivovala. |
|
16. |
ZQ se od svého ošetřujícího lékaře dozvěděl o telefonátu lékařky MDK. |
|
17. |
Dne 1. srpna 2018 se ZQ obrátil na kolegyni z IT oddělení MDK a zeptal se jí, zda je uložen posudek o jeho osobě. Po nahlédnutí do archivu kolegyně odpověděla, že ano. Na žádost ZQ kolegyně posudek vyfotografovala a fotografie zaslala ZQ. |
|
18. |
Dne 15. srpna 2018 ZQ bez úspěchu požadoval, aby MDK zaplatila odškodnění ve výši 20000 eur na základě článku 82 GDPR. |
|
19. |
Dne 17. října 2018 podal ZQ žalobu k Arbeitsgericht Düsseldorf (pracovní soud v Dusseldorfu, Německo). Ve zmíněném řízení se navíc domáhal náhrady hmotné újmy ve výši ušlého výdělku ( 11 ). |
|
20. |
V průběhu soudního řízení vypověděla MDK pracovní poměr se ZQ. |
|
21. |
Návrhová žádání ZQ byla zamítnuta jak v prvním stupni, tak v odvolacím řízení ( 12 ). |
|
22. |
Pan ZQ se odvolal k Bundesarbeitsgericht (Spolkový pracovní soud, Německo), který pokládá Soudnímu dvoru tyto předběžné otázky:
|
III. Řízení před Soudním dvorem
|
23. |
Žádost o rozhodnutí o předběžné otázce byla zapsána do rejstříku kanceláře Soudního dvora dne 8. listopadu 2021. |
|
24. |
Písemná vyjádření předložili ZQ, MDK, irská a italská vláda a Evropská komise. |
|
25. |
Ústní jednání nebylo shledáno nezbytným. |
|
26. |
Na základě pokynu Soudního dvora se toto stanovisko nebude zabývat čtvrtou předběžnou otázkou ( 13 ). |
IV. Analýza
A. První předběžná otázka
|
27. |
Předkládající soud si přeje zjistit, zda čl. 9 odst. 2 písm. h) GDPR zakazuje, aby MDK zpracovala údaje o zdravotním stavu jednoho ze svých vlastních zaměstnanců, které jsou podmínkou pro posouzení jeho pracovní schopnosti. Není si tedy jist zákonností tohoto zpracování s ohledem na subjekt, který toto zpracování provádí ( 14 ). |
|
28. |
Článek 9 GDPR upravuje zvláštní kategorie údajů, mezi něž patří i údaje o zdravotním stavu osob. Stanoví obecný zákaz zpracovávání „citlivých“ údajů (odstavec 1) a obsahuje taxativní výčet případů, v nichž se tento obecný zákaz nepoužije (odstavec 2). |
|
29. |
Konkrétně čl. 9 odst. 2 písm. h) GDPR zavádí výjimku (z obecného zákazu) v případě zpracování osobních údajů „pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče“. |
|
30. |
Mám za to, že toto ustanovení poskytuje dostatečnou oporu jednání MDK, které je předmětem sporu ( 15 ). Není podstatné, že zpracovatel byl současně zaměstnavatelem subjektu údajů, neboť MDK nejedná jakožto zaměstnavatel, nýbrž jako lékařská služba KV, u níž byl subjekt údajů pojištěn ( 16 ). |
|
31. |
Neshledávám žádný důvod k tomu, aby byl čl. 9 odst. 2 písm. h) GDPR vykládán v tom smyslu, že zakazuje lékařské službě zpracovávat údaje o zdravotním stavu svých zaměstnanců pro účel, který je uveden ve zmíněném písmeni. Obvyklá výkladová kritéria vedou spíše k opačnému řešení (neexistence tohoto zákazu). |
|
32. |
Vycházíme-li ze znění čl. 9 odst. 2 písm. h) GDPR, toto ustanovení nezavádí v tomto smyslu žádnou výjimku ani nestanoví, že by podmínkou zpracování bylo, že správce musí být „třetí neutrální osobou“ ( 17 ). |
|
33. |
Ani z legislativní historie a vývoje, jímž prošlo zmíněné ustanovení, nelze vyvodit žádný zákaz podobný tomu, na jaký odkazuje první předběžná otázka, ba ani snahu o jeho začlenění ( 18 ). |
|
34. |
Jak prohlásil Soudní dvůr ( 19 ), účelem ustanovení GDPR upravujících zpracování údajů o zdravotním stavu je zajistit zvýšenou ochranu subjektů údajů z důvodu zvláštní citlivosti těchto údajů, pokud jde o dotčená základní práva. Právě za tímto účelem byl stanoven obecný zákaz uvedený v čl. 9 odst. 1 GDPR, který však není absolutní ( 20 ). |
|
35. |
Stejně jako je tomu v jiných oblastech týkajících se zpracování osobních údajů, i v této oblasti měl normotvůrce po stanovení obecného zákazu v úmyslu:
|
|
36. |
Obecně tedy nic nebrání tomu, aby mezi zvláštní záruky, jež jsem zmínil výše, patřila také záruka spočívající v tom, že by bylo zakázáno, aby MDK zpracovávala údaje o zdravotním stavu svých zaměstnanců. Nepovažuji nicméně tuto možnost (pro kterou se evropský normotvůrce nerozhodl) za nezbytnou k zajištění výše uvedeného účelu. |
|
37. |
Mám tedy za to, že na základě teleologického výkladu čl. 9 odst. 2 písm. h) GDPR není nevyhnutelně nutné dospět k existenci zákazu, na nějž se táže předkládající soud. |
|
38. |
Jinak tomu podle mého mínění není ani při použití systematického výkladu daného ustanovení, neboť:
|
|
39. |
Navrhuji tedy, aby byla první předběžná otázka zodpovězena záporně (tj. v tom smyslu, že GDPR neobsahuje sporný zákaz), což umožní zabývat se další předběžnou otázkou. |
B. Druhá předběžná otázka
|
40. |
Pro případ, že bude první předběžná otázka zodpovězena záporně (což navrhuji), si předkládající soud přeje zjistit, zda „v takovém případě, jako je ten, o který se jedná v projednávané věci, […] [existují] další, případně jaké podmínky ochrany osobních údajů jdoucí nad rámec ustanovení čl. 9 odst. 3 GDPR“. |
|
41. |
Zodpovězení by nemělo být v zásadě spojeno s žádnými většími problémy ( 26 ). Soudní dvůr již rozhodl, že každé zpracování osobních údajů musí být v souladu se zásadami, které jsou uvedeny v článku 5 GDPR, a musí odpovídat některé ze zásad týkajících se zákonnosti zpracování, které jsou vyjmenovány v jeho článku 6 ( 27 ). |
|
42. |
Podle předkládajícího soudu nepostačuje dodržení povinnosti mlčenlivosti (čl. 9 odst. 3 GDPR) k tomu, aby byla zajištěna ochrana údajů za takových okolností, jako jsou okolnosti v projednávaném případě. Zmíněný soud navrhuje další doplňková opatření, jež jsou podle jeho názoru jako jediná vhodná k dosažení takového cíle ( 28 ). |
|
43. |
Mám za to, že čl. 9 odst. 3 GDPR jako takový nemůže být základem pro tato doplňková opatření. Jeho jasné znění (které pouze upřesňuje ustanovení již obsažené ve směrnici 95/46) ( 29 ) neposkytuje žádnou oporu takovým návrhům, jako je návrh předložený předkládajícím soudem. |
|
44. |
Na druhou stranu by však tyto návrhy mohly nalézt základ v čl. 9 odst. 4 GDPR. V souladu s tímto ustanovením jsou členské státy oprávněny k tomu, aby uložily „další podmínky, včetně omezení, pokud jde o zpracování […] údajů o zdravotním stavu“ ( 30 ). Z předkládacího rozhodnutí nicméně nevyplývá, že by tato situace nastala v Německu. |
|
45. |
S ohledem na to, co bylo uvedeno výše, a z důvodů, které jsem již vysvětlil, musí být zpracování osobních údajů o zdravotním stavu kromě jiných zásad v souladu se zásadou stanovenou v čl. 5 odst. 1 písm. f) GDPR a musí splňovat povinnosti z tohoto ustanovení vyplývající, které jsou vyjmenovány v kapitole IV téhož předpisu. |
|
46. |
Správce ( 31 ) musí kromě toho zavést vhodná technická a organizační opatření, aby zajistil, že konkrétní zpracování je prováděno v souladu s GDPR. V obecném duchu to stanoví jeho čl. 24 odst. 1. |
|
47. |
Článek 32 odst. 1 GDPR ukládá správcům konkrétní povinnost provést „vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku“, jemuž by mohly být vystaveny dané osobní údaje. |
|
48. |
Použijí-li se tato pravidla na projednávaný případ, z postavení zaměstnavatele, jež má MDK ve vztahu k ZQ, vyplývá pro MDK povinnost postupovat při zpracování údajů o zdravotním stavu ZQ pečlivěji, než je obvyklé, vzhledem k tomu, že i rizika jsou vyšší ( 32 ). |
|
49. |
MDK si je této skutečnosti vědoma. V okamžiku, kdy na základě požadavku ze strany KV, u níž je její zaměstnanec pojištěn, připravuje zprávy s cílem odstranit pochybnosti o jeho pracovní (ne)schopnosti, použije soubor technických a organizačních opatření ad hoc s cílem zajistit, aby bylo dané zpracování osobních údajů o zdravotním stavu v souladu s GDPR ( 33 ). |
|
50. |
Posouzení těchto opatření náleží předkládajícímu soudu, který může na základě této analýzy dospět k závěru, že přijatá opatření nebyla dostatečná. Neznamená to však, že by bylo možné vyvozovat z článku 9 GDPR povinnost MDK zamítnout z vlastního podnětu veškeré žádosti o lékařskou zprávu (týkající se jejích zaměstnanců), které přijme od KV ( 34 ). |
C. Třetí předběžná otázka
|
51. |
Pro případ záporného zodpovězení první předběžné otázky si předkládající soud přeje prostřednictvím třetí předběžné otázky zjistit, zda výjimka ze zákazu zpracování údajů o zdravotním stavu „závisí […] dále na tom, zda je splněna alespoň jedna podmínka uvedená v čl. 6 odst. 1 GDPR“. |
|
52. |
K zodpovězení této otázky je nezbytné analyzovat vztah mezi čl. 9 odst. 2 GDPR a jeho článkem 6, který se týká zákonnosti zpracování. Na nutnost dodržovat posledně jmenovaný článek při každém zpracování údajů upozorňuje Soudní dvůr v rozsudcích, jež byly uvedeny výše ( 35 ). |
|
53. |
Konkrétně v rozsudku vydaném ve věci C‑439/19 ( 36 ) byl podán výklad článku 10 GDPR v souvislosti s jinou kategorií citlivých osobních údajů (údajů týkající se odsouzení v trestních věcech a trestných činů) ( 37 ) a bylo prohlášeno, že článek 6 GDPR se použije společně s článkem 10. |
|
54. |
Lze toto prohlášení vztáhnout i na osobní údaje, jichž se týká článek 9 GDPR? |
|
55. |
Články 9 a 10 GDPR mají rozdílnou strukturu. Článek 10 obsahuje výslovný odkaz na čl. 6 odst. 1 GDPR, který není v článku 9 obsažen. |
|
56. |
Ani obsahy čl. 9 odst. 2 a článku 10 GDPR nejsou vzájemně srovnatelné: článek 10 stanoví pouze subjektivní omezení zpracování, zatímco čl. 9 odst. 2 stejně jako čl. 6 odst. 1 stanoví účely (nebo okolnosti), které toto zpracování odůvodňují. |
|
57. |
Vzájemná podobnost čl. 6 odst. 1 a čl. 9 odst. 2 GDPR je tedy taková, že se na první pohled může zdát, že okolnosti vyjmenované v posledně jmenovaném ustanovení navazují na podmínky uvedené v prvně jmenovaném ustanovení: dále je upřesňují a současně zvyšují jejich závažnost. |
|
58. |
Závěr, podle něhož lze vztah mezi článkem 9 GDPR a článkem 6 vyjádřit jako vztah mezi lex specialis a lex generalis, je nicméně zpochybněn historií a vývojem prvně jmenovaného článku. |
|
59. |
Je pravda, že delegace některých členských států tento způsob výkladu skutečně prosazovaly ( 38 ). Dokumenty týkající se jednání o článku 9 svědčí nicméně o tom, že předmětem neshod nebyl odkaz na článek 6 ( 39 ), nýbrž jeho rozsah (má být odkazováno jen na odstavec 1 tohoto článku, nebo i na jiné odstavce?) ( 40 ). Nakonec byl odkaz na článek 6 z článku 9 odstraněn ( 41 ) a bylo rozhodnuto, že bude v preambuli ponechán pododstavec podobný současnému bodu 51 odůvodnění GDPR ( 42 ). |
|
60. |
Myšlenku, že obě tato ustanovení váže vztah kumulace nebo komplementarity, sdílí i Evropský sbor pro ochranu osobních údajů ( 43 ) a obhajovala ji i tzv. pracovní skupina podle článku 29 ( 44 ) v souvislosti s článkem 8 směrnice 95/46 ( 45 ). Nejedná se však o postoj, který by nebyl v právní teorii či na jiných relevantních platformách zpochybněn ( 46 ). |
|
61. |
Po posouzení jednotlivých odrážek čl. 9 odst. 2 GDPR se přikláním k názoru, že vztah existující mezi tímto ustanovením a článkem 6 nelze ve skutečnosti jednoznačně vysvětlit. Důvody jsou následující:
|
|
62. |
Mám tudíž za to, že má-li být zpracování citlivých údajů, jejž povoluje čl. 9 odst. 2 písm. h) GDPR, považováno za zákonné, je nutné zjistit v každém případě zvlášť, která z podmínek upřesněných v čl. 6 odst. 1 zajišťuje jeho zákonnost. |
|
63. |
Předkládající soud tento závěr nijak nezpochybňuje: z tohoto předpokladu sám vychází a zaměřuje se přitom spíše na to, aby vyloučil, že zpracování údajů, jež uskutečnila MDK, bylo odůvodněno na základě článku 6 ( 48 ). |
|
64. |
Na první pohled se nejeví, že by mezi právními základy, jež toto ustanovení obsahuje, existovala nějaká hierarchie. Hlubší analýza by však mohla poukázat na potřebu dalších upřesnění ( 49 ). Domnívám se nicméně, že tato analýza by překročila rámec toho, co je nezbytné k vyřešení tohoto řízení o předběžné otázce ( 50 ). |
|
65. |
Odpověď na třetí předběžnou otázku by tedy měla předkládajícímu soudu objasnit, že výjimka ze zákazu zpracování údajů o zdravotním stavu vyžaduje, aby byla splněna nejméně jedna z podmínek uvedených v čl. 6 odst. 1 GDPR. |
D. Pátá předběžná otázka
|
66. |
Předkládající soud si přeje zjistit, zda je „při určení výše nehmotné újmy, která má být nahrazena na základě čl. 82 odst. 1 GDPR, relevantní míra zavinění správce nebo zpracovatele“, a konkrétně, zda „může být ve prospěch správce nebo zpracovatele přihlédnuto zejména k neexistenci nebo nízké míře jejich zavinění“. |
|
67. |
Tato otázka vychází z předpokladu, že došlo k porušení GDPR ( 51 ), jehož se dopustila osoba jednající jakožto správce, a jejím účelem je zjistit, zda má pro určení výše náhrady újmy způsobené tímto porušením význam míra zavinění na straně této osoby. Podle předkládajícího soudu není jisté, zda lze neexistenci nebo nízkou míru zavinění na straně správce považovat za polehčující okolnost. |
|
68. |
Z hlediska doslovného znění je tato otázka zaměřena na určení výše odškodnění. Poskytnuté vysvětlivky vytvořily nicméně určitou nejistotu, neboť nebylo jasné, zda se týkají zavinění ve smyslu podmínky přičitatelnosti odpovědnosti, nebo ve smyslu faktoru zvyšujícího částku odškodnění. |
|
69. |
Poté, co byl předkládající soud vyzván Soudním dvorem k objasnění této dvojznačnosti, uvedl, že se otázka týká obou těchto bodů, a neposkytl žádná další upřesnění ohledně jejich souvislosti se sporem v původním řízení. |
|
70. |
Ve světle této otázky je vhodné, aby byly dotazy položené předkládajícím soudem zodpovězeny (také) s přihlédnutím k otázkám, jež vznáší MDK v souvislosti s případnou účastí subjektu údajů na vzniku újmy ( 52 ). Níže poskytnutý výklad bude rozdělen na tři etapy:
|
1. Úprava občanskoprávní odpovědnosti v článku 82 GDPR
|
71. |
Předkládající soud je toho názoru, že čl. 82 odst. 1 GDPR nepodmiňuje občanskoprávní odpovědnost (gestora ( 54 ) zpracování údajů) existencí či prokázáním úmyslu nebo nedbalosti. Dodává, že odstavec 3 téhož článku nepřipouští žádnou jinou možnost. |
|
72. |
Uznávám, že není jasné, kterou z forem občanskoprávní odpovědnosti GDPR upravuje, a že existuje a priori několik možností výkladu ( 55 ). Jedním z nich, podle mého názoru správným, je způsob, jakým tuto otázku chápe předkládající soud. |
|
73. |
Takový výklad čl. 82 odst. 1 GDPR, podle něhož toto ustanovení zavádí režim občanskoprávní odpovědnosti, který je nezávislý na zavinění gestora, odpovídá podle mého názoru doslovnému znění daného ustanovení, bezprostředně vychází z přípravných prací, a zejména klade důraz na cíl tohoto předpisu. Je přípustný nejen ve světle dalších odstavců tohoto ustanovení, ale i ve světle systému chápaného jako celek. |
a) Argument vycházející z doslovného znění
|
74. |
Postoj, který zastává předkládající soud, naráží na znění čl. 82 odst. 1 GDPR. V doslovném smyslu je právo obdržet od správce náhradu újmy vázáno pouze na újmu utrpěnou v důsledku porušení samotného GDPR. |
|
75. |
Ostatní odstavce článku 82 nedávají prostor pro jinou odpověď ( 56 ). Zejména bych se neodvážil vyvodit požadavek týkající se zavinění z použití výrazu „přičitatelný“ v čl. 82 odst. 3. Tento výraz nalezneme pouze v některých jazykových zněních GDPR; v jiných zněních je naopak použit výraz „odpovědný“. V německém znění neobsahuje článek 82 ani preambule žádný konkrétní výraz vyjadřující zavinění („Verschulden“) ( 57 ). |
|
76. |
Z porovnání různých ustanovení GDPR je zřejmé, že použitá terminologie není vždy jednotná, což znamená, že z jejich doslovného znění lze vyvozovat závěry jen s nejvyšší obezřetností. Například v anglickém znění je slovo „responsible“ použito v několika různých významech ( 58 ). |
|
77. |
Zatímco článek 82 GDPR neobsahuje žádné odkazy na úmysl či zavinění správce, článek 83 se v souvislosti se správními pokutami zmiňuje o tom, že „[p]ři rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech“ se řádně zohlední, zda k porušení GDPR došlo úmyslně nebo z nedbalosti ( 59 ). |
|
78. |
Přestože rozdíly mezi ustanoveními snižují váhu kritéria doslovného výkladu, přinejmenším potvrzují myšlenku, že v článku 82 GDPR není zmíněn úmysl ani zavinění a že tato skutečnost není projevem opomenutí na straně normotvůrce, nýbrž jeho záměru. |
b) Přípravné práce
|
79. |
Diskusi o způsobu, jakým má být v GDPR s konečnou platností upraveno přičtení odpovědnosti, ztížil kontext, v němž se tato otázka projednávala v Radě v souvislosti s existencí několika subjektů zpracování. |
|
80. |
Do této diskuse vstupovaly i procesní úvahy, zcela mimo rámec obvyklého pojmového aparátu, v němž by bylo možné rozlišovat mezi funkcí, kterou plní zavinění jakožto titul pro přičtení odpovědnosti, na straně jedné a neexistencí zavinění pro účely zproštění téže odpovědnosti ve smyslu příčinné souvislosti na straně druhé. |
|
81. |
Navzdory výše uvedenému se domnívám, že přípravné práce nasvědčují takovému výkladu čl. 82 odst. 1 GDPR, podle něhož není vznik občanskoprávní odpovědnosti závislý na zavinění správce. |
|
82. |
Návrh Komise vycházel ze směrnice 95/46 a neobsahoval zmínku o nedbalosti. V dokumentech Rady je uváděno, že odpovědnost by měla být upravena v podobě „strict liability“ ( 60 ). |
|
83. |
Pozměňovací návrh předložený Výborem pro občanské svobody, spravedlnost a vnitřní věci Parlamentu směřoval k takovému obsahu čl. 82 (tehdejšího čl. 77) odst. 1, v němž by byla odpovědnost podmíněna existencí úmyslu nebo nedbalosti ( 61 ). Tento pozměňovací návrh nebyl přijat ( 62 ). |
|
84. |
Diskuse, která byla vedena v Radě ohledně článku 77 a kritéria přičitatelnosti, se zaměřila na přičtení a rozdělení odpovědnosti v případech, kdy je do téhož zpracování zapojeno několik osob. Za těchto okolností předsednictví navrhlo, aby byla zvolena jedna ze dvou variant ( 63 ):
|
|
85. |
Kompromisní znění, které předložilo předsednictví ke schválení jakožto obecný přístup ( 71 ), vychází z první varianty, současně však zněním čl. 77 odst. 3 zdůrazňuje výjimečnou povahu zproštění odpovědnosti a obtížnost jeho prokázání: „[…] if it [správce/zpracovatel] proves that it is not in any way responsible (…)“ ( 72 ). Toto znění odpovídá znění článku, který byl s konečnou platností přijat. |
|
86. |
Z analýzy legislativního vývoje, který vedl ke konečnému znění GDPR, tedy vyplývá, že odpovědnost, na niž odkazuje jeho čl. 82 odst. 1, není podmíněna zaviněním na straně gestora zpracování. |
c) Účel
|
87. |
GDPR zavádí systém, jehož cílem je zajistit vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů ( 73 ). Součástí tohoto systému je článek 82, jehož hlavním cílem je zajistit náhradu újmy a vedlejším cílem je odrazovat od jednání, jež není v souladu s jeho ustanoveními, a tomuto jednání předcházet ( 74 ). |
|
88. |
Zajištění náhrady újmy představuje již samo o sobě cíl: lze to vyvodit z významu, který mu přikládá normotvůrce a který je patrný již z pouhého znění daného textu. Získání náhrady v případě, že byla utrpěna újma, je podle GDPR právem subjektu údajů, výklad pojmu „újma“ by měl být široký a náhrada újmy musí být úplná a účinná. |
|
89. |
Náhrada újmy souvisí se snahou zvýšit důvěru občanů v digitálním prostředí, což představuje obecný cíl, který je uveden v bodě 7 odůvodnění GDPR. Subjektu údajů musí být zaručeno, že již z podstaty nebude muset nést bez dalšího újmu způsobenou protiprávním zpracováním jeho údajů, což tuto důvěru podpoří: majetek subjektu údajů bude chráněn a jeho vymáhání bude z procesního hlediska jednodušší. |
|
90. |
V souladu s výše uvedenými charakteristikami čl. 82 odst. 1 GDPR neváže povinnost nahradit újmu na nedodržení povinnosti péče. Z rozhodnutí normotvůrce náleží taková povinnost osobám, které v daném vztahu zaujímají určité postavení strážce nebo garanta, přičemž tato okolnost je jediná, která se zohlední. |
|
91. |
Za relevantní by tedy mohlo být v rámci GDPR považováno postavení oběti, která utrpěla újmu v důsledku protiprávního jednání, za předpokladu, že neexistuje žádný právní předpis, který by jí ukládal povinnost tuto újmu nést. |
|
92. |
Pro oběť není podstatné, zda újma vznikla zaviněním osoby, která tuto újmu způsobila: rozhodující je, že jí gestor zpracování způsobil hmotnou či morální újmu v důsledku porušení GDPR, jehož se dopustil. |
|
93. |
Zmíněných cílů lze nejsnáze dosáhnout v rámci modelu, který směřuje k tomu, aby prokázaná újma:
|
|
94. |
V souvislosti s přizpůsobením digitální revoluci ( 75 ) považuji toto řešení za soudržné. S ohledem na rychlý rozvoj technologií je nutné, aby ani v nejběžnějších činnostech, v nichž jsou zpracovávány údaje online, nebránila neexistence úmyslu či nedbalosti náhradě újmy, jež by jinak zůstala nenahrazena. |
d) Systém
|
95. |
Výklad, který navrhuji, nejlépe vyhovuje systematice GDPR. V rámci jeho článku 82 to potvrzuje odstavec 3: ke zproštění dojde, pokud správce „prokáž[e], že nenes[e] žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla“. |
|
96. |
Ve výše uvedené větě má význam slovní spojení „žádným způsobem“, jehož použití nasvědčuje tomu, že zvoleným modelem není model odpovědnosti za zavinění (ani to nejmírnější) s obrácením důkazního břemene. |
|
97. |
Myšlenka, že náhrada újmy nezávisí na zavinění na straně správce, propůjčuje článku 82 zvláštní význam v rámci kapitoly VIII a v konečném důsledku i v celém GDPR. |
|
98. |
Evropský normotvůrce si je vědom toho, že zpracování osobních údajů může být spojeno s mnohými riziky. Subjektům zpracování ukládá povinnost tato rizika posuzovat a současně přijímat a aktualizovat opatření vhodná k prevenci a minimalizaci zjištěných rizik ( 76 ). |
|
99. |
Bylo potvrzeno, že model založený na občanskoprávní odpovědnosti vycházející ze zavinění podporuje řádnou péči a tím i ochranu před riziky, zatímco alternativní model, v němž se nepřihlíží k tomu, jakým způsobem jednal subjekt zpracování, oslabuje jeho obezřetnost (neboť způsobenou újmu bude muset každopádně nahradit). |
|
100. |
Mám za to, že tento způsob řešení ( 77 ) je v rámci GDPR přijatelný. Článek 82 je součástí složité normativní struktury, která obsahuje nástroje práva veřejného a soukromého sloužící k ochraně osobních údajů. Nedbalost (a úmysl) mají v rámci této struktury význam pro správní sankce. Neshledávám žádné důvody, z nichž by měly být relevantní i pro účely občanskoprávní odpovědnosti ( 78 ), což by odporovalo cílům článku 82 a kromě toho snižovalo v praxi zájem o využití prostředku, jejž tento článek stanoví. |
2. Dopad účasti subjektu údajů
|
101. |
Otázky týkající se nutnosti zavinění správce jsou v projednávané věci propojeny s následky, jež by mohly plynout z účasti subjektu údajů ( 79 ). |
|
102. |
Pro lepší pochopení následujících úvah je třeba upřesnit, že okolnosti projednávaného sporu jsou nahlíženy dvěma různými způsoby:
|
|
103. |
V každém případě se domnívám, že jak zřejmě tvrdí předkládající soud ( 82 ), k určení (případného) dopadu, který mohlo mít jednání subjektu údajů na spáchání protiprávního skutku vedoucího ke vzniku újmy, je namístě vycházet z čl. 82 odst. 3. |
|
104. |
Toto ustanovení neuvádí, a to ani příkladmo, žádné konkrétní důvody zproštění odpovědnosti. Nejsou uvedeny ani v bodě 146 odůvodnění ( 83 ). |
|
105. |
V tomto ohledu se GDPR zdánlivě vzdaluje od směrnice 95/46, jejíž čl. 23 odst. 2 obsahoval pravidlo podobné ( 84 ) současnému čl. 82 odst. 3 GDPR: bod 55 odůvodnění směrnice 95/46 uváděl jakožto příklady zproštění chybu subjektu údajů nebo vyšší moc ( 85 ), které nejsou v GDPR uvedeny. |
|
106. |
Nemýlím-li se, během přípravných prací týkajících se GDPR nebyla zaznamenána žádná diskuse, která by se týkala těchto dvou příkladů, jež byly uvedeny v návrhu Komise ( 86 ) a jež Parlament zachoval ( 87 ). |
|
107. |
Ke zrušení těchto příkladů a vložení příslovečné vazby „žádným způsobem“ došlo až během již zmíněné diskuse, jejímž předmětem byla otázka, jak upravit odpovědnost za zpracování, které je prováděno několika gestory nebo zpracovateli ( 88 ). |
|
108. |
Z dostupných dokumentů ( 89 ) lze vyvodit, že podle konečného znění je gestor zpracování zproštěn odpovědnosti, pokud prokáže, že nenese žádným způsobem odpovědnost („responsible“) za újmu („0 % responsibility“). Totéž se použije i na zpracovatele ( 90 ). |
|
109. |
Výše uvedené mě nepřesvědčuje o tom, že by odstranění obou dvou příkladů z preambule společně s vložením výrazu „žádným způsobem“ do téže preambule a do čl. 82 odst. 3 GDPRD mělo za následek (či za cíl) vyloučit jednání subjektu údajů z důvodů zproštění odpovědnosti ( 91 ). |
|
110. |
Jeví se spíše, že jednání subjektu údajů může i nadále případ od případu přetrhnout nezbytnou souvislost mezi „událostí“ (tento výraz je použit v čl. 82 odst. 3 GDPR) a přičtením odpovědnosti. Ač je potřeba zdůraznit, že tato úniková doložka má omezenou povahu, neznamená to, že by určité jednání subjektu údajů nemohlo samo o sobě způsobit újmu a vést v důsledku k tomu, že by byl gestor zpracování zproštěn odpovědnosti. |
|
111. |
Systematický výklad nasvědčuje tomu, že by měla být v rámci odpovědnosti za újmu zohledněna účast subjektu údajů na vzniku újmy. Systém zavedený prostřednictvím GDPR zapojuje jednotlivce do ochrany jejich údajů a poskytuje jim pro tyto účely nástroje, jež samy o sobě představují práva. |
|
112. |
Z teleologického pohledu mám za to, že GDPR má za cíl zajistit vysokou úroveň ochrany, nikoli však do té míry, že by ukládalo správci povinnost poskytnout náhrady újmy i v případě, že vznikla v důsledku událostí či jednání přičitatelných subjektu údajů ( 92 ). |
3. Výpočet výše náhrady újmy. Dopad míry zavinění osoby odpovědné za vznik újmy
|
113. |
Předkládající soud potvrdil, že smyslem páté předběžné otázky je zjistit, zda má míra zavinění na straně osoby odpovědné za zpracování dopad na výpočet výše náhrady újmy. Konkrétně jde o to, zda může být ve prospěch této odpovědné osoby přihlédnuto zejména k neexistenci nebo nízké míře jejího zavinění. |
|
114. |
V článku 82 GDPR nejsou uvedena žádná nebo téměř žádná klíčová hlediska, jež by mohla mít dopad na výpočet výše náhrady újmy. Pro účely výkladu tento článek neposkytuje žádná vodítka týkající se prvků, jež tento výpočet tvoří ( 93 ), ani kritéria pro posouzení těchto prvků (ve smyslu jejich převedení na konkrétní částku) ( 94 ) či faktory, které by tuto částku mohly ovlivnit ( 95 ). |
|
115. |
I přesto se domnívám, že GDPR přiznává subjektu údajů právo na náhradu újmy ve výši, která se určí s přihlédnutím ke skutečně utrpěné újmě. Jakmile je určena částka, kterou se tato újma objektivně nahradí, nesmí se již měnit v závislosti na vyšší či nižší míře zavinění na straně správce. |
|
116. |
Na podporu svého postoje odkazuji obdobně na to, co bylo uvedeno výše v souvislosti s přičtením odpovědnosti gestoru zpracování údajů bez ohledu na jeho zavinění, v rámci systému zavedeného článkem 82 GDPR. Z pohledu oběti, jejíž majetek (hmotný a nehmotný) musí zůstat i po vzniku újmy nepoškozený, je nutné, aby byla za tuto újmu poskytnuta náhrada, která nebude vázána na zavinění gestora zpracování údajů bez ohledu na to, jaká je míra jeho zavinění ( 96 ). |
|
117. |
Mám za to, že k témuž závěru lze dospět, uvědomíme-li si, že článek 82 GDPR (u něhož přípravné práce neposkytují žádné vodítko pro vytvoření konkrétního názoru) ( 97 ) se liší od ostatních nástrojů unijního práva, které pro účely určení výše náhrady z titulu občanskoprávní odpovědnosti výslovně rozlišují, zda bylo protiprávní jednání spácháno „úmyslně“ ( 98 ). |
|
118. |
Podle mého názoru existují další dva argumenty, které tento závěr potvrzují:
|
V. Závěry
|
119. |
S ohledem na výše uvedené úvahy navrhuji Soudnímu dvoru, aby odpověděl Bundesarbeitsgericht (Spolkový pracovní soud, Německo) takto: „Článek 9 odst. 2 písm. h) a čl. 9 odst. 3, jakož i čl. 82 odst. 1 a 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládány v tom smyslu, že nezakazují, aby lékařská služba zdravotní pojišťovny zpracovala údaje o zdravotním stavu zaměstnance této lékařské služby, které jsou podmínkou pro posouzení pracovní schopnosti tohoto zaměstnance; připouštějí výjimku ze zákazu zpracování údajů o zdravotním stavu, pokud je toto zpracování nezbytné pro posouzení pracovní schopnosti zaměstnance a pokud je v souladu se zásadami uvedenými v článku 5 a s některou z podmínek zákonnosti stanovených v článku 6 nařízení 2016/679. Míra zavinění správce nebo zpracovatele není relevantní pro vznik odpovědnosti těchto subjektů ani pro určení výše nehmotné újmy, která má být nahrazena na základě čl. 82 odst. 1 nařízení 2016/679. Účast subjektu údajů na události, z níž plyne povinnost poskytnout náhradu újmy, může v jednotlivých případech vést ke zproštění odpovědnosti správce nebo zpracovatele, které je uvedeno v čl. 82 odst. 3 nařízení 2016/679.“ |
( 1 ) – Původní jazyk: španělština.
( 2 ) – Nařízení Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1; dále jen „GDPR“).
( 3 ) – Jakož i k článku 8 směrnice Evropského parlamentu a Rady 95/46/EHS ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355), který je přímým předchůdcem článku 9 GDPR.
( 4 ) – Čtvrtá otázka se v podstatě shoduje s první otázkou položenou ve věci C‑300/21, Österreichische Post (Morální újma způsobená zpracováním osobních údajů), v níž jsem přednesl své stanovisko dne 6. října 2022 (EU:C:2022:756) (dále jen „stanovisko přednesené ve věci C‑300/21“), a v níž Soudní dvůr rozhodl rozsudkem ze dne 4. května 2023 (EU:C:2023:370).
( 5 ) – Sociální zákoník, pátá kniha.
( 6 ) – Medizinischer Dienst der Krankenversicherung (dále jen „MDK“).
( 7 ) – Krankenversicherung (dále jen „KV“).
( 8 ) – „Pokyny k ochraně sociálních údajů zaměstnanců [MDK] a jejich rodinných příslušníků“, které jsou shrnuty v předkládacím rozhodnutí, bod 6 a násl.
( 9 ) – V interním počítačovém systému pro zpracování údajů, který MDK používá, byla vytvořena virtuální organizační jednotka nazvaná „Speciální případy“, do níž mají přístup pouze zaměstnanci této jednotky.
( 10 ) – Po ukončení (zákonem stanoveného) období, kdy mzdu hradila MDK.
( 11 ) – Měl za to, že pokud by nedošlo k porušení ochrany jeho osobních údajů, mohl od prosince 2018 znovu začít pracovat.
( 12 ) – ArbG Düsseldorf, Urteil vom 22.02.2019 – 4 Ca 6116/18, respektive LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19.
( 13 ) – Co se týče jejího obsahu, odkazuji na rozsudek ze dne 4. května 2023, Österreichische Post (Nemajetková újma související se zpracováním osobních údajů) (C‑300/21, EU:C:2023:370).
( 14 ) – Níže uvedené úvahy nepředjímají způsob, jakým má být zodpovězena třetí předběžná otázka.
( 15 ) – Dávám přednost použití tohoto ustanovení namísto čl. 9 odst. 2 písm. b) GDPR. Nejeví se, že by zpracování bylo nezbytné pro účely plnění povinností nebo výkon práv v rámci zaměstnaneckého poměru (a to ani pokud jde o MDK jakožto zaměstnavatele, ani pokud jde o ZQ jakožto zaměstnance).
( 16 ) – Zpracovávat citlivé údaje jakožto zaměstnavatel (tj. pro účely související se zaměstnaneckým poměrem) je zákonné pouze při splnění podmínek, jež stanoví GDPR pro zpracování údajů za jiným účelem, než za jakým byly shromážděny.
( 17 ) – Bod 22 předkládacího rozhodnutí. Na druhou stranu však GDPR ukládá existenci jiných znaků stanovených v jeho čl. 9 odst. 3: k jeho působnosti viz níže, bod 40 a násl.
( 18 ) – Předchůdcem článku 9 GDPR je článek 8 směrnice 95/46. V návrhu Komise [Návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů) COM(2012) 11 final, ze dne 25. ledna 2012; dále jen „návrh Komise“] bylo zpracovávání osobních údajů o zdravotním stavu upraveno v článku 81, který stanovil různá odůvodnění a uvedl, že toto zpracovávání se musí zakládat na právu Unie nebo právu členského státu. Právě členským státům náleželo, aby stanovily nezbytná opatření k ochraně oprávněných zájmů subjektu údajů. Jak dokládá dokument č. 14270/14, předsednictví Rady pro skupinu „Ochrana údajů“, ze dne 16. října 2014, obsah článku 81 byl následně začleněn do čl. 9 odst. 2 písm. h), jakož i do odstavce 4 téhož článku.
( 19 ) – Rozsudek ze dne 24. září 2019, GC a další (Odstranění odkazů na citlivé údaje) (C‑136/17, EU:C:2019:773, bod 44): „[…] zvláštní požadavky […] pro zpracování zvláštních kategorií údajů […], [jejichž] účelem […] je zajistit zvýšenou ochranu z důvodu zvláštní citlivosti těchto údajů při takovém zpracování, které může – jak rovněž vyplývá z bodu 33 odůvodnění […] směrnice [95/46] a bodu 51 odůvodnění […] nařízení – zvláště závažným způsobem zasáhnout do základního práva na respektování soukromého života a základního práva na ochranu osobních údajů zaručených články 7 a 8 Listiny“.
( 20 ) – Základní právo na ochranu osobních údajů nemá automatickou přednost před žádným jiným právem, dokonce ani u zvláštních kategorií uvedených v čl. 9 odst. 1 GDPR: rozsudek ze dne 24. září 2019, GC a další (Odstranění odkazů na citlivé údaje) (C‑136/17, EU:C:2019:773, body 66 až 68).
( 21 ) – Článek 9 odst. 3 GDPR.
( 22 ) – Článek 88 GDPR opravňuje členské státy k tomu, aby stanovily „konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním“. Co se týče jeho výkladu, odkazuji na rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270).
( 23 ) – Z tohoto předpokladu zřejmě vychází předkládající soud. Odkazuji v této souvislosti na poznámku pod čarou 15 výše.
( 24 ) – Souhlasím s Komisí, která tvrdí, že „[článek 9 GDPR] nestanoví v odstavci 2 žádné konkrétní pořadí jednotlivých výjimek ani možný vztah jejich vzájemné podřízenosti a tyto výjimky jsou vázány stejnými podmínkami“ (bod 13 jejího písemného vyjádření).
( 25 ) – Není požadováno, tak jako tomu bylo u směrnice 95/46, aby údaje zpracovával „odborný zdravotnický pracovník, který je […] vázán povinností zachovávat profesní tajemství, nebo jiná osoba rovněž podléhající obdobné povinnosti mlčenlivosti“ (kurzivou zvýraznil autor stanoviska). Vyžaduje se nicméně, aby údaje zpracovávaly osoby, na něž se vztahuje povinnost mlčenlivosti.
( 26 ) – Bod 51 odůvodnění GDPR, který odkazuje na údaje, které jsou „obzvláště citlivé z hlediska základních práv a svobod“, uvádí, že „[s]polečně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování“.
( 27 ) – Rozsudek ze dne 16. ledna 2019, Deutsche Post (C‑496/17, EU:C:2019:26, bod 57), a citovaná judikatura. Co se týče citlivých údajů, rozsudky ze dne 24. září 2019, GC a další (Odstranění odkazů na citlivé údaje) (C‑136/17, EU:C:2019:773, bod 64), a ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body za dopravní přestupky) (C‑439/19, EU:C:2021:504, body 96, 99, 100 a 102).
( 28 ) – Předkládací rozhodnutí, body 25 až 27. Je zmíněno vytvoření dvou nezávislých buněk „speciálních případů“ a virtuálních jednotek, které jsou odděleny v případech, kdy se jedná o zprávy o zaměstnancích IT oddělení (mezi něž patřil i ZQ). Konečným cílem je, aby žádný zaměstnanec MDK nezískal faktický přístup k údajům o zdravotním stavu některého ze svých kolegů a nemohl se dozvědět, že proběhla kontrola jeho pracovní schopnosti.
( 29 ) – Článek 8 odst. 3. Jak již bylo uvedeno výše, v GDPR byl rozšířen okruh osob oprávněných provádět zpracování údajů.
( 30 ) – Odstavec 4 byl do článku 9 GDPR vložen na návrh Německa: dokument č. 6834/15, předsednictví pro Radu, ze dne 9. března 2015.
( 31 ) – Právě takto chápe postavení MDK předkládající soud (bod 16 předkládacího rozhodnutí). Níže se proto nebudu zmiňovat o zpracovateli, až na případy, kdy to bude vhodné. Úvahy týkající se správce budou v zásadě použitelné i na zpracovatele.
( 32 ) – Předkládající soud se obává zejména, že pokud by nebyla zajištěna bezpečnost, kolegové ZQ by se dozvěděli o jeho zdravotním stavu, což by jim umožnilo vytvářet si domněnky o jeho výkonnosti. Dodává, že navíc již pouhá skutečnost, že existuje lékařská zpráva o pracovní neschopnosti, je citlivá informace, protože si s ní lze spojovat i možnost předstírání pracovní neschopnosti (bod 26 předkládacího rozhodnutí).
( 33 ) – Viz bod 10 výše.
( 34 ) – Bod 27 předkládacího rozhodnutí.
( 35 ) – Viz poznámka pod čarou 27 výše. Ke vztahu mezi články 6 a 9 GDPR viz rovněž věc C‑252/21, Meta Platforms a další (Obecné podmínky pro užívání sociální sítě). Stanovisko generálního advokáta A. Rantose bylo předneseno dne 20. září 2022 (C‑252/21, EU:C:2022:704).
( 36 ) – Rozsudek ze dne 22. června 2021, Latvijas Republikas Saeima (Trestné body za dopravní přestupky) (EU:C:2021:504, body 96, 99, 100 a 102).
( 37 ) – Obsah článku 10 GDPR byl součástí článku 8 směrnice 95/46. V posledně jmenovaném článku byly seskupeny všechny zvláštní kategorie údajů, z nichž však bylo vyděleno zpracování údajů týkajících se protiprávního jednání, rozsudků v trestních věcech nebo bezpečnostních opatření, jehož se týká odstavec 5. Formální oddělení, které nalezneme v GDPR, není důsledkem změny přesvědčení, že osobní údaje týkající se rozsudků v trestních věcech a trestných činů představují „citlivé údaje“.
( 38 ) – Dokument č. 17072/4/14 Rev 4, Rada pro Výbor stálých zástupců, ze dne 4. března 2015, poznámka pod čarou 60.
( 39 ) – Tento článek se i v konečném znění týká zákonnosti zpracování.
( 40 ) – Dokument č. 17072/4/14 Rev 4, Rada pro Výbor stálých zástupců, ze dne 4. března 2015, čl. 9 odst. 2 [„Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with […]“ a poznámka pod čarou 60.
( 41 ) – Počínaje dokumentem č. 6834/15, předsednictví pro Radu, ze dne 9. března 2015.
( 42 ) – To ovšem nerozptýlilo pochybnosti ve všech delegacích. Viz např. dokument č. 7466/15, předsednictví pro delegace, ze dne 26. března 2015, poznámka pod čarou 38.
( 43 ) – Pokyny č. 03/2020 ke zpracování údajů o zdravotním stavu pro účely vědeckého výzkumu v souvislosti s rozšířením onemocnění COVID-19, duben 2020, odstavec 15.
( 44 ) – „Advice paper on special categories of data“, Ares(2011)444105 – 20/04/2011, s. 5.
( 45 ) – Tentýž názor vyjádřila veřejně i Komise: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, ze dne 10. října 2016, s. 2; a minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, ze dne 20. února 2018, s. 2.
( 46 ) – K existenci kumulace nebo komplementarity se kloní například T. Petri, „Art. 9“, in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, č. 26, který nicméně připouští, že se nejedná o jednomyslný názor. Opačné řešení navrhuje Příručka evropského práva v oblasti ochrany údajů Agentury Evropské unie pro základní práva, 2018, nadpis 4.1.1.
( 47 ) – Jedná se postupně o výslovný souhlas subjektu údajů; o zpracování nutné pro ochranu životně důležitých zájmů fyzické osoby nebo osoby, která není právně způsobilá udělit souhlas; a o zpracování nezbytné z důvodu veřejného zájmu.
( 48 ) – Body 30 a 31 předkládacího rozhodnutí.
( 49 ) – Například, zda souhlas subjektu údajů, který je právním základem, z něhož vychází oprávnění stanovené v čl. 9 odst. 2 písm. h), musí být výslovně vyjádřen, jak požaduje tentýž článek, nebo zda postačuje souhlas ve smyslu čl. 6 odst. 1 písm. a).
( 50 ) – Jinou otázkou s omezeným dosahem je, zda by bylo s ohledem na úvahy, jež uvedl předkládající soud k čl. 6 odst. 1, namístě objasnit smysl podmínek, jež jsou v tomto ustanovení uvedeny, zvláště pak podmínek odpovídajících písmenům c) a e). V tomto smyslu odkazuji na judikaturu Soudního dvora: pokud jde o ustanovení směrnice 95/46, rozsudky ze dne 16. prosince 2008, Huber (C‑524/06, EU:C:2008:724, bod 62), a ze dne 30. května 2013, Worten (C‑342/12, EU:C:2013:355, bod 37); pokud jde o GDPR, rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, bod 66 a násl.).
( 51 ) – Předkládající soud se přiklání k názoru, že došlo k porušení článků 9 a 6 GDPR způsobenému zpracováním, jež uskutečnila MDK. V bodě 32 předkládacího rozhodnutí zmíněný soud uvádí, že porušení GDPR má již samo o sobě za následek vznik práva na náhradu způsobené újmy; v bodě 33 zdůrazňuje, že automatickým důsledkem porušení je vznik újmy („již porušení GDPR samotného má za následek nehmotnou újmu, kterou je nutno nahradit“). Tento názor nesdílím z důvodů, které jsem vysvětlil ve svém stanovisku ve věci C‑300/21.
( 52 ) – Body 78 až 80 vyjádření MDK. Posledně uvedený je toho názoru, že újmu si způsobil sám subjekt údajů tím, že si nevyžádal spis ani vůči němu neuplatnil právo na přístup podle článku 15 GDPR a naopak využil služby jednoho z kolegů ze svého oddělení, který z jeho podnětu nahlédl do sporných údajů. V témže smyslu rozsudek vydaný v odvolacím řízení LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 – 12 Sa 186/19], bod 4.3.4.3.
( 53 ) – Zaměstnanec přidělený k témuž oddělení jako subjekt údajů získal přístup k údajům mimo rámec případů, pro něž má oprávnění, tj. pro účely nesouvisející s výkonem práce, který je uveden v jeho smlouvě.
( 54 ) – V následujících bodech budu bez rozdílu používat výraz „gestor“ jakožto synonymum slova „správce“.
( 55 ) – Ponecháme-li stranou tvrzení, že toto hledisko není vůbec upraveno, stojí na jedné straně zastánci systému objektivní odpovědnosti a na straně druhé zastánci odpovědnosti za zavinění s obrácením důkazního břemene. Stejně jako je tomu v jiných režimech sektorové (občanskoprávní) odpovědnosti, nedomnívám se, že by GDPR plně odpovídalo některému z obou hlavních teoretických modelů, jež ostatně nejsou zcela přesně ohraničeny. Znění GDPR nasvědčuje tomu, že jsou v něm přítomny oba tyto modely, jejichž typické rysy jsou však v konečném důsledku příčinou vzájemného splynutí obou modelů: prvně jmenovaného, vyznačujícího se vysokým standardem řádné péče, která musí být prokázána, aby bylo možné zabránit přičtení odpovědnosti; a posledně jmenovaného, u něhož patří posouzení úmyslu/nedbalosti mezi důvody zproštění odpovědnosti nebo se k němu přihlíží při konstatování protiprávního jednání podle povahy předpisu, který se použije.
( 56 ) – Ani odstavec 2, který může být chápán jako rubová strana odstavce 1, neboť upravuje odpovědnost z pohledu dlužníka, nezmiňuje žádný požadavek týkající se zavinění.
( 57 ) – Na druhou stranu ve španělském znění se výraz „imputable“ objevuje v čl. 47 odst. 2 písm. f) GDPR, které v souvislosti s informacemi, na něž je vázáno schválení závazných podnikových pravidel, odkazuje na zproštění odpovědnosti v rámci skupin podniků usazených na území Unie a mimo něj. V německém znění byla použita opisná vazba („dem betreffenden Mitglied nicht zur Last gelegt werden kann“).
( 58 ) – Srov. čl. 82 odst. 3, čl. 68 odst. 4 nebo čl. 75 odst. 6.
( 59 ) – Článek 83 odst. 2 písm. b) a čl. 83 odst. 3. K jejich výkladu jsem se vyjádřil ve stanovisku předneseném ve věci C‑807/21, Deutsche Wohnen (EU:C:2023:360).
( 60 ) – Mimo jiné dokument č. 17831/13, předsednictví Rady pro skupinu „Ochrana údajů“, ze dne 16. prosince 2013, poznámka pod čarou 542.
( 61 ) – Pozměňovací návrh č. 2819, který předložil S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), dokument PE501.927v04-00, Amendments (9): „Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence“. Kurzivou zvýraznil autor stanoviska.
( 62 ) – Viz doprovodný dokument k Legislativnímu usnesení k návrhu Komise ze dne 12. března 2014 (Úř. věst. 2017, C 378, s. 399).
( 63 ) – Dokument č. 9083/15, předsednictví pro členy SVV v rámci skupiny „Ochrana údajů“, ze dne 27. května 2015. Rozdíl mezi těmito variantami se týká čl. 77 odst. 3 až 6. Odstavec 1, který upravuje zásadu odpovědnosti správce a zpracovatele, a odstavec 2, který stanoví hmotněprávní rozsah odpovědnosti obou těchto subjektů a vymezuje jej v případě zpracovatele, byly u obou variant shodné.
( 64 ) – Tamtéž, bod 5.
( 65 ) – „[…] each non-compliant controller and/or processor involved in the processing are held liable for the entire amount of the damage“.
( 66 ) – Nebo, v případě zpracovatele, pokud by jednal v rozporu s pokyny správce, jež jsou v souladu s GDPR.
( 67 ) – S možností následného opakování: čl. 77 odst. 6, pokud jde o první z obou možností.
( 68 ) – Dokument č. 9083/15, předsednictví pro členy SVV v rámci skupiny „Ochrana údajů“, ze dne 27. května 2015, bod 7. Odpovědnost na základě zavinění otevřeně navrhovala delegace Spojeného království. Ve světle jejích argumentů byla v tomto duchu položena otázka ostatním delegacím (dokument č. 7722/15, předsednictví pro skupinu „Ochrana údajů“, ze dne 13. dubna 2015, body 10 a 11). Varianta, která byla nakonec navržena, vycházela patrně z kompromisního řešení uvedeného německou delegací (dokument č. 8150/1/15 Rev 1, ze dne 6. května 2015), v němž bylo rozlišováno mezi sférou vztahu mezi správcem/zpracovatelem a subjektem údajů a sférou vztahu mezi správcem a zpracovatelem, a pro posledně uvedenou sféru navrhovala přičtení vycházející z úmyslu či zavinění: „liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation“. Ve vztahu k subjektu údajů měla neexistence nedbalosti umožnit zproštění odpovědnosti.
( 69 ) – Tamtéž, bod 6, jehož závěrečná část zní následovně: „In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages“.
( 70 ) – Článek 77 odst. 4a, v rámci této varianty: „If a data subject is not able to bring a claim for compensation against the controller […]“.
( 71 ) – Dokument č. 9565/15, předsednictví pro Radu, ze dne 11. června 2015.
( 72 ) – Kurzivou zvýraznil autor stanoviska. Souběžně s tímto vloženým textem byly z bodu 118 odůvodnění odstraněny příklady důvodů zproštění: viz níže, bod 104 a násl.
( 73 ) – Bod 10 odůvodnění GDPR.
( 74 ) – Odkazuji na stanovisko, které jsem přednesl ve věci C‑300/21. Jak jsem v něm uvedl, normotvůrce má v úmyslu podporovat soukromoprávní prosazování pravidel v oblasti ochrany osobních údajů. Kapitola VIII GDPR zavedla za tímto účelem nástroje ve prospěch subjektu údajů. Jedním z nich je i náhrada újmy na základě občanskoprávní odpovědnosti, která však nemá represivní povahu.
( 75 ) – Takový byl jeden z argumentů pro překonání směrnice 95/46, vznesených v návrhu Komise.
( 76 ) – Bod 77 odůvodnění a násl. GDPR.
( 77 ) – Vyžaduje nicméně určitá upřesnění: odpovědnost plní preventivní funkci, neboť má dopad na rozhodování subjektu zpracování ohledně rozsahu činnosti, kterou musí provést. Výklad, který navrhuji, umožňuje propojit článek 82 GDPR s takovými zásadami zpracování údajů, jako je účelové omezení, minimalizace údajů a přesnost [čl. 5 odst. 1 písm. b), c) a d) GDPR].
( 78 ) – Pokud by se nedbalost měla stát kritériem pro přičtení odpovědnosti.
( 79 ) – Viz poznámka pod čarou 52 výše.
( 80 ) – Postoj předkládajícího soudu (viz poznámka pod čarou 51 výše). Podle jeho mínění by účast subjektu údajů, který požádal o nahlédnutí do svých údajů, neměla mít význam pro přičtení odpovědnosti. Na druhou stranu by však mohla mít význam pro určení výše náhrady újmy.
( 81 ) – Postoj MDK a odvolacího soudu (viz poznámka pod čarou 52 výše). Ve skutečnosti by bylo možné tvrdit, že v tomto scénáři chybí prvek „újmy“: volenti non fit iniuria.
( 82 ) – Bod 40 předkládacího rozhodnutí.
( 83 ) – Na rozdíl od praxe užívané v jiných sektorech (například v sektoru odpovědnosti za vadné výrobky) nejsou důvody zproštění v GDPR uvedeny v podobě taxativního výčtu.
( 84 ) –
( 85 ) – Správce „může být zproštěn odpovědnosti, pokud prokáže, že vznik škody mu nelze přičítat, zejména pokud dokáže chybu subjektu údajů nebo v případě vyšší moci“. Kurzivou zvýraznil autor stanoviska.
( 86 ) – Bod 118 odůvodnění návrhu Komise.
( 87 ) – Bod 118 odůvodnění doprovodného textu k Legislativnímu usnesení Parlamentu k návrhu Komise ze dne 12. března 2014.
( 88 ) – Viz výše, bod 84 a násl. Příklady jsou uvedeny v dokumentech týkajících se jednání v Radě, nikoli však již v kompromisním znění, dokument č. 9565/15 ze dne 11. června 2015.
( 89 ) – Odkazuji zejména na dokument č. 9083/15, předsednictví pro členy SVV v rámci skupiny „Ochrana údajů“, ze dne 27. května 2015.
( 90 ) – Z těchto souvislostí (je třeba znovu zopakovat, že byla věnována zvláštní pozornost případu, kdy zpracování provádí více subjektů) lze vyvodit závěr, že v tomto smyslu by měl správce možnost prokázat, že újmu způsobilo výlučně jednání zpracovatele, a totéž by mohl vůči správci učinit i zpracovatel.
( 91 ) – Totéž platí i o vyšší moci, která představovala další důvod výslovně zmíněný v bodě 55 odůvodnění směrnice 95/46 (viz bod 105 výše).
( 92 ) – Je logické, že nemám na mysli případ, v němž dochází k účasti třetích osob. V tomto ohledu viz stanovisko generálního advokáta Pitruzzelly přednesené dne 27. dubna 2023ve věci Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353).
( 93 ) – Za účelem rozptýlení pochybností, jež existovaly v době platnosti směrnice 95/46, GDPR upřesňuje, že se týká nehmotné újmy. Bod 146 odůvodnění odkazuje na „veškerou újmu“ a zdůrazňuje, že výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora. Přesná působnost této věty je i nadále sporná.
( 94 ) – Neuvádí se, zda mají být pro upřesnění výše újmy používány v jednotlivých případech stupnice, nebo zda má být dávána přednost paušálním částkám či využití jiných metod výpočtu.
( 95 ) – Mezi tyto faktory by mohly případně patřit: a) faktor navrhovaný předkládajícím soudem, b) existence zavinění na straně subjektu údajů, jíž se dovolává MDK v bodě 80 svého písemného vyjádření, c) další faktory, jako například zavedení kvantitativních stropů náhrady újmy, aby se neodůvodněně neodrazovalo od zpracování údajů či hospodářských činností, jež jsou na tomto zpracování závislé.
( 96 ) – Viz výše, bod 87 a násl.
( 97 ) – Směrnice 95/46 neobsahovala v tomto smyslu žádné ustanovení. V přípravných pracích týkajících se GDPR jsem nenalezl žádné záznamy o diskusi, která by se týkala tohoto bodu.
( 98 ) – Nařízení Rady (ES) č. 2100/94 ze dne 27. července 1994 o odrůdových právech Společenství (Úř. věst. 1994, L 227, s. 1; Zvl. vyd. 03/16, s. 390), čl. 94 odst. 2; nebo směrnice Evropského parlamentu a Rady 2004/48/ES ze dne 29. dubna 2004 o dodržování práv duševního vlastnictví (Úř. věst. 2004, L 157, s. 45; Zvl. vyd. 17/02, s. 32), článek 13, bod 26 odůvodnění.
( 99 ) – Článek 83 odst. 2 písm. b) a bod 148 odůvodnění GDPR. V této souvislosti se zohledňuje kritérium přiměřenosti, a to nejen co se týče dané události, ale i pokud jde o to, zda pokuta představuje pro fyzickou osobu nepřiměřenou zátěž. Irská vláda navrhuje v bodě 54 svého vyjádření, aby bylo toto kritérium přeneseno i na občanskoprávní odpovědnost. Je třeba zopakovat, že návrh považovat toto kritérium za nedílnou součást článku 82 nelze podpořit žádným argumentem vycházejícím ze znění textu; nenasvědčují mu ani přípravné práce, ani cíl právního předpisu a způsob, jakým funguje jakožto celek.
( 100 ) – Účinná je taková náhrada újmy, která je způsobilá k tomu, aby plnila svou funkci spočívající v zajištění práva na ochranu údajů.
( 101 ) – Správce i zpracovatel nesou občanskoprávní odpovědnost na základě ustanovení obsažených v čl. 82 odst. 2 a 3 GDPR. Tuto odpovědnost nesou v plném rozsahu, nezávisle na tom, do jaké míry se podíleli na vzniku újmy.
( 102 ) – Nelze vyloučit, že mohou existovat další okolnosti, jejichž existence by mohla odůvodnit snížení částky: mám na mysli například možnost vážit v jednotlivých případech právo na náhradu újmy (a prostřednictvím něj právo na ochranu údajů) s jinými statky nebo právy stejné síly. V rámci GDPR má použití přídavného jména úplný rovněž zajistit, aby byl pokryt určitý druh újmy (nehmotná újma), zabránit tomu, aby bylo odškodnění omezeno pouze na naléhavé případy (musí zahrnout i další tituly, jak rozhodl Soudní dvůr v jiných oblastech), a zaručit, že zapojení několika subjektů do zpracování údajů neztíží přístup k náhradě újmy, a naopak jej usnadní.