This document is an excerpt from the EUR-Lex website
Document 62021CC0340
Opinion of Advocate General Pitruzzella delivered on 27 April 2023.#VB v Natsionalna agentsia za prihodite.#Request for a preliminary ruling from the Varhoven administrativen sad.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 5 – Principles relating to that processing – Article 24 – Accountability of the controller – Article 32 – Measures implemented to ensure security of processing – Assessment of the appropriateness of such measures – Scope of judicial review – Taking of evidence – Article 82 – Right to compensation and liability – Possible exemption from liability of the controller in the event of infringement by third parties – Claim for compensation for non-material damage based on fear of potential misuse of personal data.#Case C-340/21.
Stanovisko generálního advokáta G. Pitruzzelly přednesené dne 27. dubna 2023.
VB v. Natsionalna agentsia za prihodite.
Žádost o rozhodnutí o předběžné otázce podaná Varhoven administrativen sad.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 5 – Zásady tohoto zpracování – Článek 24 – Odpovědnost správce – Článek 32 – Opatření prováděná k zajištění zabezpečení zpracování – Posouzení vhodnosti takových opatření – Rozsah soudního přezkumu – Provádění důkazů – Článek 82 – Právo na náhradu újmy a odpovědnost – Případné zproštění odpovědnosti správce v případě porušení, kterého se dopustily třetí strany – Návrh na náhradu nehmotné újmy na základě obavy z možného zneužití osobních údajů.
Věc C-340/21.
Stanovisko generálního advokáta G. Pitruzzelly přednesené dne 27. dubna 2023.
VB v. Natsionalna agentsia za prihodite.
Žádost o rozhodnutí o předběžné otázce podaná Varhoven administrativen sad.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 5 – Zásady tohoto zpracování – Článek 24 – Odpovědnost správce – Článek 32 – Opatření prováděná k zajištění zabezpečení zpracování – Posouzení vhodnosti takových opatření – Rozsah soudního přezkumu – Provádění důkazů – Článek 82 – Právo na náhradu újmy a odpovědnost – Případné zproštění odpovědnosti správce v případě porušení, kterého se dopustily třetí strany – Návrh na náhradu nehmotné újmy na základě obavy z možného zneužití osobních údajů.
Věc C-340/21.
ECLI identifier: ECLI:EU:C:2023:353
STANOVISKO GENERÁLNÍHO ADVOKÁTA
GIOVANNIHO PITRUZZELLY
přednesené dne 27. dubna 2023 ( 1 )
Věc C‑340/21
VB
proti
Nacionalna agencia za prihodite
[žádost o rozhodnutí o předběžné otázce podaná Varhoven administrativen sad (Nejvyšší správní soud, Bulharsko)]
„Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Odpovědnost správce – Zabezpečení zpracování – Porušení zabezpečení zpracování osobních údajů – Nehmotná újma vzniklá v důsledku nečinnosti správce – Žaloba na náhradu újmy“
Může být protiprávní zpřístupnění osobních údajů v držení veřejné agentury v důsledku hackerského útoku důvodem k náhradě nehmotné újmy ve prospěch vlastníka údajů pouze z toho důvodu, že se tento vlastník obává možného budoucího zneužití svých údajů? Jaká jsou kritéria pro přičtení odpovědnosti správci? Jak je v rámci soudního řízení rozloženo důkazní břemeno? Jaký je rozsah soudního přezkumu?
I. Právní rámec
1. |
Článek 4 nařízení 2016/679 ( 2 ) (dále jen „nařízení“), nadepsaný „Definice“, stanoví: „Pro účely tohoto nařízení se rozumí: […]
[…]“ |
2. |
Článek 5, nadepsaný „Zásady zpracování osobních údajů“, stanoví: „1. Osobní údaje musí být: […]
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“ |
3. |
Článek 24 tohoto nařízení, nadepsaný „Odpovědnost správce“, stanoví: „1. S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. 2. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem. 3. Jedním z prvků, jimiž lze doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42.“ |
4. |
Článek 32, nadepsaný „Zabezpečení zpracování“, stanoví: „1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: […] 2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. 3. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42. […]“ |
5. |
Článek 82 tohoto nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, stanoví: „1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. 2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. […] 3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.“ |
II. Skutkový stav, řízení a předběžné otázky
6. |
Dne 15. července 2019 rozšířila bulharská média zprávu, že došlo k neoprávněnému přístupu do informačního systému Nacionalna agencia za prihodite (Národní agentura pro veřejné příjmy, Bulharsko, dále jen „NAP“ ( 3 )) a že na internetu byly zveřejněny různé údaje milionů lidí, občanů i cizinců, které se týkaly daní a sociálního zabezpečení. |
7. |
Řada osob, včetně V. B., navrhovatelky v původním řízení, proto podala žalobu na NAP s cílem získat náhradu nehmotné újmy. |
8. |
V projednávané věci navrhovatelka v původním řízení podala žalobu k Administrativen sad Sofija-grad (správní soud pro Sofii-město, Bulharsko; dále jen „ASSG“), v níž tvrdila, že NAP porušila vnitrostátní předpisy, jakož i povinnost zpracovávat osobní údaje jako správce způsobem, který „zajistí náležité zabezpečení osobních údajů“, a to tak, že zavede vhodná technická nebo organizační opatření podle článků 24 a 32 nařízení 679/2016. Navrhovatelka poté tvrdila, že jí vznikla nehmotná újma, která se projevuje znepokojením a obavami z budoucího zneužití jejích osobních údajů. |
9. |
Naopak protistrana zdůraznila, že v původním řízení neobdržela od navrhovatelky žádnou žádost, v níž by bylo uvedeno, k jakým osobním údajům byl přesně získán přístup. Kromě toho po zprávách o průniku svolala vrcholné schůzky s odborníky na ochranu práv a zájmů občanů. Podle NAP rovněž neexistuje příčinná souvislost mezi kybernetickým útokem a údajnou újmou, protože agentura zavedla všechny systémy řízení postupů a informační bezpečnosti v souladu s příslušnými mezinárodními normami. |
10. |
Soud prvního stupně, ASSG, žalobu zamítl, neboť dospěl k závěru, že zpřístupnění údajů nelze přičítat agentuře, důkazní břemeno ohledně vhodnosti přijatých opatření spočívá na navrhovatelce a konečně není třeba nahradit jakoukoli nehmotnou újmu. |
11. |
Rozsudek soudu prvního stupně byl poté napaden kasačním opravným prostředkem u Varhoven administrativen sad (Nejvyšší správní soud, Bulharsko). Mezi svými tvrzeními navrhovatelka v původním řízení zdůraznila, že soud prvního stupně nesprávně rozdělil důkazní břemeno ohledně nepřijetí bezpečnostních opatření. Předmětem důkazního břemene by neměla být ani nehmotná újma, neboť se jedná o skutečnou, nikoli pouze potenciální nehmotnou újmu. |
12. |
NAP zopakovala, že jako správce přijala nezbytná technická a organizační opatření, a zpochybnila existenci důkazu o skutečné nehmotné újmě. Úzkost a obavy jsou totiž emoční stavy, které nezakládají nárok na náhradu. |
13. |
Předkládající soud konstatoval rozdílné výsledky jednotlivých řízení, která poškození samostatně zahájili proti NAP za účelem náhrady nehmotné újmy. |
14. |
Za těchto okolností předkládající soud přerušil řízení a položil Soudnímu dvoru následující předběžné otázky: „Musí být články 24 a 32 nařízení Evropského parlamentu a Rady (EU) 2016/679 [ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)] vykládány v tom smyslu, že postačuje, aby došlo k neoprávněnému poskytnutí nebo zpřístupnění osobních údajů ve smyslu čl. 4 bodu 12 nařízení (EU) 2016/679 ze strany osob, které nejsou zaměstnanci administrativy správce a nepodléhají jeho kontrole, aby bylo možno mít za to, že přijatá technická a organizační opatření nejsou vhodná? V případě záporné odpovědi na první otázku, jaký předmět a rozsah by měl mít soudní přezkum legality prováděný při posuzování otázky, zda jsou technická a organizační opatření podle článku 32 nařízení (EU) 2016/679, která přijal správce, vhodná? V případě záporné odpovědi na první otázku musí být zásada odpovědnosti podle čl. 5 odst. 2 a článek 24 ve spojení s bodem 74 odůvodnění nařízení (EU) 2016/679 vykládány v tom smyslu, že v řízení o žalobě podle čl. 82 odst. 1 nařízení (EU) 2016/679 nese správce důkazní břemeno ohledně toho, že přijatá technická a organizační opatření podle článku 32 nařízení jsou vhodná? Lze opatření znaleckého posudku považovat za nezbytný a dostatečný důkazní prostředek pro zjištění, zda byla technická a organizační opatření přijatá správcem v takovém případě, jako je tento, vhodná, pokud je neoprávněný přístup k osobním údajům nebo jejich neoprávněné zpřístupnění důsledkem ‚hackerského útoku‘? Musí být čl. 82 odst. 3 nařízení (EU) 2016/679 vykládán v tom smyslu, že neoprávněné poskytnutí nebo zpřístupnění osobních údajů ve smyslu čl. 4 bodu 12 nařízení (EU) 2016/679, k němuž jako v projednávané věci došlo prostřednictvím ‚hackerského útoku‘ osob, které nejsou zaměstnanci administrativy správce a nepodléhají jeho kontrole, představuje událost, za kterou správce žádným způsobem nenese odpovědnost a která opravňuje ke zproštění odpovědnosti? Musí být čl. 82 odst. 1 a 2 ve spojení s body 85 a 146 odůvodnění nařízení (EU) 2016/679 vykládány v tom smyslu, že v takovém případě porušení zabezpečení osobních údajů, o jaký se jedná v projednávané věci, který se projevuje neoprávněným zpřístupněním a šířením osobních údajů prostřednictvím ‚hackerského útoku‘, pod pojem ‚nehmotné újmy‘, který je třeba vykládat široce, spadají pouhé znepokojení, obavy a úzkost z možného budoucího zneužití osobních údajů, které zakusil subjekt údajů, a opravňují k náhradě újmy, pokud nebylo zjištěno, že k takovému zneužití došlo, nebo subjektu údajů nevznikla žádná další újma?“ |
III. Právní analýza
A. Úvodní poznámky
15. |
Projednávaná věc se týká zajímavých a částečně nových otázek týkajících se výkladu několika ustanovení nařízení ( 4 ). |
16. |
Všech pět předběžných otázek se točí kolem stejného tématu: podmínky pro náhradu nehmotné újmy osobě, jejíž osobní údaje v držení veřejné agentury byly zveřejněny na internetu v důsledku hackerského útoku. |
17. |
Z důvodu přehlednosti navrhnu samostatné souhrnné odpovědi na všechny otázky v uvedeném pořadí, i když jsem si vědom některých pojmových překryvů, neboť první čtyři otázky jsou zaměřeny na určení podmínek pro přičtení porušení ustanovení nařízení správci údajů ( 5 ) a pátá se týká přesněji pojmu „nehmotná újma“ pro účely náhrady újmy ( 6 ). |
18. |
Rád bych upozornil, že v současné době probíhá před Soudním dvorem několik řízení ve věcech týkajících se článku 82 nařízení a v jednom z nich již bylo předneseno stanovisko generálního advokáta, které v této analýze zohledním ( 7 ). |
19. |
Než se budu zabývat předloženými otázkami, považuji za vhodné učinit několik předběžných poznámek k zásadám a cílům nařízení, které budou užitečné pro řešení jednotlivých otázek. |
20. |
Článek 24 nařízení stanoví obecně povinnost správce zavést vhodná technická a organizační opatření, aby zajistil, že zpracování osobních údajů je v souladu s nařízením, a aby byl schopen to prokázat, zatímco článek 32 stanoví konkrétně stejnou povinnost s ohledem na zabezpečení zpracování. Články 24 a 32 upřesňují to, co je již stanoveno v čl. 5 odst. 2, který mezi „zásady zpracování osobních údajů“ zavádí „zásadu odpovědnosti“. Ta logicky navazuje na „zásadu integrity a důvěrnosti“ stanovenou v čl. 5 odst. 1 písm. f) a doplňuje ji a obě by měly být vykládány ve světle přístupu založeného na riziku, na němž je nařízení založeno. |
21. |
Zásada odpovědnosti je jedním z pilířů nařízení a jednou z jeho nejvýznamnějších inovací. Ukládá správci povinnost přijmout proaktivní opatření k zajištění souladu s nařízením a být připraven jej prokázat ( 8 ). |
22. |
V doktríně se hovoří o skutečné kulturní změně, která je důsledkem „globálního rozsahu povinnosti být odpovědný“ ( 9 ). Nejde ani tak o formální splnění zákonné povinnosti nebo konkrétního opatření, jako spíše o celkovou přijatou podnikovou strategii, která správce zprošťuje odpovědnosti z důvodu, že dodržuje právní úpravu ochrany údajů. |
23. |
Technická a organizační opatření vyžadovaná zásadou odpovědnosti musí být „vhodná“ s ohledem na faktory uvedené v článku 24: povahu, rozsah, kontext a účely zpracování a pravděpodobnost a závažnost rizik pro práva a svobody fyzických osob. |
24. |
Článek 24 tedy vyžaduje vhodnost opatření, aby bylo možné prokázat soulad zpracování se zásadami a ustanoveními nařízení. |
25. |
Naproti tomu článek 32 promítá zásadu odpovědnosti do konkrétních opatření, která mají být přijata, aby byla zajištěna „úroveň zabezpečení odpovídající danému riziku“. Tím doplňuje k již stanovaným faktorům, které je třeba vzít v úvahu při přípravě technických a organizačních opatření, stav techniky a náklady na provedení. |
26. |
Pojem „vhodnost“ vyžaduje, aby řešení přijatá k zabezpečení informačních systémů dosáhla určité úrovně přijatelnosti, a to jak z hlediska technického (relevantnost opatření), tak kvalitativního (účinnost ochrany). Aby bylo zajištěno dodržování zásad nezbytnosti, relevance a přiměřenosti, musí být zpracování nejen vhodné, ale také uspokojivé ve vztahu k cílům, které mají být sledovány. V této logice hraje rozhodující roli zásada minimalizace, podle níž musí všechny fáze zpracování údajů neustále usilovat o minimalizaci bezpečnostních rizik ( 10 ). |
27. |
Celé nařízení je zaměřeno na předcházení rizikům a odpovědnosti správce, a tedy na teleologickém přístupu, jehož cílem je co nejlepší výsledek z hlediska účinnosti, tedy daleko od formalistické logiky spojené s pouhou povinností dodržovat určité postupy za účelem zproštění se odpovědnosti ( 11 ). |
28. |
Článek 24 neobsahuje taxativní výčet „vhodných“ opatření: posouzení bude muset být provedeno případ od případu. To je v souladu s filozofií nařízení, z níž vyplývá, že bylo upřednostněno, aby postupy, které mají být přijaty, byly zvoleny na základě pečlivého posouzení konkrétní situace tak, aby byly co nejúčinnější ( 12 ). |
B. První předběžná otázka
29. |
Podstatou první předběžné otázky předkládajícího soudu je, zda musí být články 24 a 32 nařízení vykládány v tom smyslu, že skutečnost, že nastalo „porušení zabezpečení osobních údajů“, jak je definováno v čl. 4 bodě 12, sama o sobě postačuje k závěru, že technická a organizační opatření zavedená správcem nebyla „vhodná“ k zajištění ochrany údajů. |
30. |
Ze znění článků 24 a 32 nařízení vyplývá, že správce musí při výběru technických a organizačních opatření, která má zavést k zajištění souladu s nařízením, zohlednit řadu hodnotících faktorů uvedených v těchto článcích a připomenutých výše. |
31. |
Správce má určitý manévrovací prostor při určování nejvhodnějších opatření s ohledem na svou konkrétní situaci, nicméně tato volba podléhá případnému soudnímu přezkumu souladu použitých opatření se všemi povinnostmi a cíli samotného nařízení. |
32. |
Zejména pokud jde o bezpečnostní opatření, čl. 32 odst. 1 vyžaduje, aby správce zohlednil „stav techniky“. To znamená omezení technologické úrovně opatření, která mají být provedena, na to, co je v době přijetí opatření rozumně možné: vhodnost opatření k předcházení riziku tedy musí odpovídat řešením, která nabízí současný stav vědy, techniky, technologie a výzkumu, a to i s ohledem, jak bude uvedeno dále, na náklady na provedení. |
33. |
Opatření mohou být v daném okamžiku „vhodná“, a přesto je mohou kyberzločinci obejít pomocí velmi sofistikovaných nástrojů, které dokážou prolomit i nejmodernější bezpečnostní opatření. |
34. |
Na druhou stranu se zdá nelogické předpokládat, že záměrem unijního normotvůrce bylo uložit správci povinnost zabránit jakémukoli porušení zabezpečení osobních údajů bez ohledu na pečlivost při zavádění bezpečnostních opatření ( 13 ). |
35. |
Jak bylo uvedeno výše, nařízení se odklání od automatismu a vyžaduje vysokou míru odpovědnosti správce, což však nemůže vést k nemožnosti správce prokázat, že řádně splnil povinnosti, které mu byly uloženy. |
36. |
Kromě toho čl. 32 odst. 1 vyžaduje, aby bylo přihlédnuto k „nákladům na provedení“ posuzovaných technických a organizačních opatření. Z toho vyplývá, že posouzení vhodnosti takových opatření musí být založeno na rovnováze mezi zájmy subjektu údajů, které obecně směřují k vyšší úrovni ochrany, a ekonomickými zájmy a technologickými možnostmi správce, které někdy směřují k nižší úrovni ochrany. Toto vyvažování musí splňovat požadavky obecné zásady proporcionality. |
37. |
K tomu je třeba s ohledem na systematický výklad dodat, že normotvůrce počítá s možností narušení systémů; v čl. 32 odst. 1 písm. c) je mezi navrhovanými opatřeními uvedena schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů. Zavedení bezpečnostních opatření, která zaručují úroveň bezpečnosti odpovídající riziku takové schopnosti, by nemělo smysl, pokud by se mělo za to, že samotné narušení systémů je důkazem nevhodnosti těchto opatření. |
C. Druhá předběžná otázka
38. |
Podstatou druhé předběžné otázky předkládajícího soudu je, jaký by měl být předmět a rozsah soudního přezkumu při ověřování vhodnosti technických a organizačních opatření zavedených správcem ve smyslu článku 32 nařízení. |
39. |
Vzhledem k různorodosti situací, které mohou v praxi nastat, nařízení – jak již bylo uvedeno – nestanoví závazná ustanovení pro určení technických a organizačních opatření, která musí správce přijmout, aby splnil požadavky nařízení. Vhodnost přijatých opatření bude proto třeba posoudit konkrétně a ověřit, zda byla konkrétní opatření vhodná k přiměřenému předcházení riziku a minimalizaci negativních dopadů porušení. |
40. |
Ačkoli je nepochybně pravda, že výběr a provádění takových opatření spadá do subjektivního posouzení správce, protože opatření uvedená v nařízení jsou pouze příklady, nemůže se soud při přezkumu omezit na kontrolu toho, zda správce plní své povinnosti podle článků 24 a 32, tedy zda (formálně) stanovil určitá technická a organizační opatření. Soud musí provést konkrétní analýzu obsahu těchto opatření, způsobu jejich uplatnění a jejich praktických účinků na základě důkazů, které má k dispozici, a okolností konkrétní věci. Jak správně uvedla portugalská vláda, „způsob, jakým splnil své povinnosti, se jeví jako neoddělitelný od obsahu přijatých opatření, aby správce prokázal, že s ohledem na konkrétní zpracování údajů (jeho povahu, rozsah, kontext a účely), stav dostupných technologií a jejich náklady, jakož i rizika pro práva a svobody občanů, přijal veškerá nezbytná a vhodná opatření k zajištění úrovně bezpečnosti odpovídající souvisejícímu riziku“ ( 14 ). |
41. |
Soudní přezkum tedy bude muset zohlednit všechny faktory obsažené v článcích 24 a 32, které, jak bylo uvedeno, uvádějí řadu kritérií pro posouzení vhodnosti a příklady opatření, která lze považovat za vhodná. Kromě toho, jak zdůraznila Komise a všechny členské státy, které předložily vyjádření k druhé otázce, čl. 32 odst. 1 až 3 zdůrazňuje potřebu „zajistit úroveň zabezpečení odpovídající danému riziku“ a poukazuje na další faktory, které jsou pro tento účel relevantní, například zda správce přijal schválený kodex chování nebo schválený systém pro vydávání osvědčení, které jsou stanoveny v článcích 40 a 42 nařízení. |
42. |
Přijetí kodexů chování nebo systémů pro vydávání osvědčení může být užitečným prvkem hodnocení pro účely unesení důkazního břemene a souvisejícího soudního přezkumu. Avšak s upřesněním, že nestačí, aby správce dodržoval kodex chování, ale že musí prokázat, že skutečně přijal opatření, která tento kodex stanoví, v souladu se zásadou odpovědnosti. Naopak vydávání osvědčení představuje „samo o sobě důkaz o souladu provedeného zpracování s nařízením, i když může být v praxi vyvrácen“ ( 15 ). |
43. |
Konečně je třeba uvést, že tato opatření mají být podle čl. 24 odst. 1 podle potřeby revidována a aktualizována. I to bude předmětem posouzení vnitrostátního soudu. Článek 32 odst. 1 nařízení ( 16 ) totiž ukládá správci povinnost neustálé kontroly a monitorování, a to jak před zpracováním, tak po něm, ale také udržování a případnou aktualizaci přijatých opatření, aby se předešlo porušování a případně omezily jeho účinky. |
44. |
Přikláním se však k vyloučení možnosti, aby nadcházející rozsudek obsahoval seznam podstatných prvků, jako je ten, který navrhuje portugalská vláda ( 17 ). To by mohlo nabídnout prostor pro protichůdné výklady, protože seznam samozřejmě nemůže být nikdy vyčerpávající. |
D. Třetí předběžná otázka
45. |
V rámci první části třetí otázky předkládající soud v podstatě žádá Soudní dvůr, aby určil, zda s ohledem na zásadu odpovědnosti stanovenou v čl. 5 odst. 2 a článku 24 ve spojení s bodem 74 odůvodnění ( 18 ) nařízení, v rámci žaloby na náhradu újmy podle článku 82, spočívá důkazní břemeno ohledně vhodnosti technických a organizačních opatření ve smyslu článku 32 na správci osobních údajů. |
46. |
Výše uvedené úvahy mi umožňují stručně odpovědět na tuto otázku kladně. |
47. |
Z litery právního předpisu, kontextu a účelu nařízení totiž jednoznačně vyplývá, že důkazní břemeno nese správce. |
48. |
Ze znění několika ustanovení nařízení vyplývá, že správce musí být „schopen“ nebo „způsobilý“„prokázat“, že plní své povinnosti podle nařízení, a zejména, že za tímto účelem zavedl vhodná opatření, jak je uvedeno v bodě 74 odůvodnění, čl. 5 odst. 2 a čl. 24 odst. 1. Jak zdůrazňuje portugalská vláda, výše uvedený bod 74 odůvodnění upřesňuje, že důkazní břemeno takto uložené správci musí zahrnovat důkaz „účinnosti dotčených opatření“. |
49. |
Tento doslovný výklad se mi zdá být podpořen následujícími praktickými a teleologickými úvahami. |
50. |
Pokud jde o rozložení důkazního břemene, v rámci žaloby na náhradu újmy na základě článku 82 musí subjekt údajů, který podává žalobu proti správci, prokázat, že zaprvé došlo k porušení nařízení, zadruhé utrpěl újmu a zatřetí mezi oběma předchozími prvky existuje příčinná souvislost, jak bylo uvedeno ve všech písemných vyjádřeních k páté předběžné otázce. Jedná se o tři kumulativní podmínky, jak vyplývá i z ustálené judikatury Soudního dvora a Tribunálu, v rámci mimosmluvní odpovědnosti v Unii ( 19 ). |
51. |
Domnívám se však, že povinnost žalobce prokázat existenci porušení nařízení nemůže jít tak daleko, aby musel prokázat, že technická a organizační opatření provedená správcem nejsou vhodná ve smyslu článků 24 a 32. |
52. |
Jak Komise zdůrazňuje, předložení takových důkazů by bylo v praxi často téměř nemožné, neboť subjekty údajů obvykle nemají dostatečné znalosti, aby mohly taková opatření analyzovat, ani přístup ke všem informacím, které má žalovaný správce k dispozici, zejména pokud jde o metody použité k zajištění bezpečnosti tohoto zpracování. Správce může navíc někdy tvrdit, že odmítnutí sdělit tyto skutečnosti subjektům údajů je založeno na legitimním důvodu nezveřejňovat své vnitřní záležitosti nebo dokonce informace, na které se vztahuje služební tajemství, mimo jiné právě z bezpečnostních důvodů. |
53. |
Pokud by se tedy mělo za to, že důkazní břemeno nese subjekt údajů, praktickým důsledkem by bylo, že by právo na podání žaloby podle čl. 82 odst. 1 ztratilo velkou část svého významu. Podle mého názoru by to nebylo v souladu se záměry unijního normotvůrce, který se přijetím tohoto nařízení snažil posílit práva subjektů údajů a povinnosti správců ve srovnání se směrnicí 95/46, kterou nahradilo. Je proto logičtější a právně udržitelnější, aby správce musel v rámci své obhajoby proti žalobě na náhradu újmy prokázat, že splnil své povinnosti vyplývající z článků 24 a 32 uvedeného nařízení přijetím účinných vhodných opatření. |
54. |
V rámci druhé části třetí otázky se předkládající soud v podstatě táže Soudního dvora, zda lze znalecký posudek považovat za nezbytný a dostatečný důkaz pro posouzení vhodnosti technických a organizačních opatření zavedených správcem osobních údajů v situaci, kdy k neoprávněnému přístupu k osobním údajům a jejich zpřístupnění došlo v důsledku hackerského útoku. |
55. |
Jak (v podstatě) zdůraznily bulharská a italská, jakož i irská vláda a Komise, domnívám se, že odpověď na tyto otázky musí vycházet z ustálené unijní judikatury, podle níž v souladu se zásadou procesní autonomie, při neexistenci unijních pravidel v dané oblasti, je na vnitrostátním právním řádu každého členského státu, aby upravil procesní podmínky soudních řízení určených k zajištění ochrany práv jednotlivců, avšak za podmínky, že nejsou méně příznivé než ty, kterými se řídí obdobné situace ve vnitrostátním právu (zásada rovnocennosti), a že v praxi neznemožňují nebo nadměrně neztěžují výkon práv přiznaných unijním právem (zásada efektivity). |
56. |
V projednávané věci uvádím, že nařízení neobsahuje žádné ustanovení, které by stanovilo přípustné způsoby dokazování a jejich důkazní hodnotu, zejména pokud jde o vyšetřovací úkony (jako je znalecký posudek), které vnitrostátní soudy mohou nebo musí nařídit za účelem posouzení, zda správce přijal vhodná opatření ve smyslu uvedeného nařízení. Domnívám se tedy, že vzhledem k neexistenci harmonizovaných pravidel v této oblasti je na vnitrostátním právním řádu každého členského státu, aby určil tyto procesní podmínky při dodržení zásad rovnocennosti a efektivity. |
57. |
Výše uvedená „zásada efektivity“, která vyžaduje, aby nezávislý soud provedl nestranné posouzení, by mohla být ohrožena, pokud by přídavné jméno „dostatečný“ bylo chápáno v tom smyslu, který mu podle mého názoru přikládá předkládající soud, a sice že ze znaleckého posudku může automaticky vyvodit, že opatření přijatá správcem jsou vhodná ( 20 ). |
E. Čtvrtá předběžná otázka
58. |
Podstatou čtvrté otázky předkládajícího soudu je, zda musí být čl. 82 odst. 3 nařízení vykládán v tom smyslu, že pokud se porušení tohoto nařízení (spočívající, jako v projednávané věci, v „neoprávněném zpřístupnění“ nebo „neoprávněném přístupu“ k osobním údajům ve smyslu čl. 4 bodu 12) dopustily osoby, které nejsou zaměstnanci správce těchto údajů a nepodléhají jeho kontrole, představuje to událost, za kterou správce žádným způsobem nenese odpovědnost, a tudíž důvod pro zproštění odpovědnosti podle čl. 82 odst. 3. |
59. |
Odpověď na tuto otázku vyplývá lineárně z toho, co bylo řečeno výše o obecné filozofii nařízení: neexistují žádné automatismy, a proto pouhá skutečnost, že došlo k neoprávněnému zpřístupnění nebo neoprávněnému přístupu k osobním údajům vinou osob mimo sféru kontroly správce údajů, nezprošťuje správce odpovědnosti. |
60. |
Zaprvé je třeba z doslovného hlediska uvést, že čl. 82 odst. 3 ani bod 146 odůvodnění nestanoví žádné konkrétní podmínky, které mohou být splněny, aby byl správce zproštěn odpovědnosti, s výjimkou toho, že prokáže, že „za újmu nenese žádným způsobem odpovědnost“. Z této formulace vyplývá, že jednak se správce může zprostit odpovědnosti pouze tehdy, pokud prokáže, že za událost, která způsobila danou újmu, nenese odpovědnost, a jednak úroveň důkazů požadovaná tímto ustanovením je vysoká, vzhledem k použití pojmu „žádným způsobem“, jak zdůraznila Komise ( 21 ). |
61. |
Režim odpovědnosti stanovený v článku 82 a obecně v nařízení jako celku byl předmětem mnoha diskusí v doktríně různých členských států. Obsahuje totiž tradiční prvky typické pro mimosmluvní odpovědnost, ale také prvky, které jej ve struktuře ustanovení přibližují smluvní odpovědnosti, nebo dokonce formě objektivní odpovědnosti vzhledem k inherentní nebezpečnosti činnosti zpracování údajů. V tomto řízení není vhodné popisovat celou debatu, ale podle mého názoru se nezdá, že by článek 82 určoval režim objektivní odpovědnosti ( 22 ). |
62. |
Újma způsobená porušením zabezpečení osobních údajů může vzniknout jako zaviněný důsledek toho, že nebyla přijata přiměřená a v každém případě vhodná technická a organizační opatření, aby se jí zabránilo, s přihlédnutím k rizikům pro práva a svobody fyzických osob spojeným s danou činností zpracování. Tato rizika zpřísňují povinnost předcházet újmám a zabránit jim, čímž se rozšiřuje povinnost péče, kterou má správce. Ze společného výkladu povinností jednání, které mají správci, a ustanovení o zprošťujících důkazech, které má nést původce újmy, lze tedy vyvodit argument ve prospěch uznání povahy přitěžující odpovědnosti za předpokládané zavinění v případě odpovědnosti za protiprávní zpracování osobních údajů stanovené v článku 82 nařízení ( 23 ). |
63. |
Z toho vyplývá možnost správce předložit zprošťující důkazy (což v případě objektivní odpovědnosti není povoleno). Pokud jde o rozložení důkazního břemene, čl. 82 odst. 3 nařízení stanoví režim příznivý pro poškozenou osobu a stanoví formu obrácení důkazního břemene ohledně zavinění původce újmy ( 24 ) v plné symetrii s výše uvedeným obrácením důkazního břemene ohledně vhodnosti přijatých opatření. Normotvůrce tak dává najevo, že si je vědom nebezpečí spojeného s přijetím odlišného rozložení důkazního břemene, které by v případě, že by důkazní břemeno ohledně zavinění původce újmy přenesl na poškozeného, vedlo k nadměrnému zatížení jeho postavení, a tím vlastně k ohrožení funkčnosti ochrany náhrady újmy v kontextu pravidel spojených s používáním nových technologií. Pro subjekt údajů totiž může být obzvláště obtížné rekonstruovat a mít přístup ke způsobu vzniku újmy a následně prokázat zavinění správce. Naopak správce je v nejlepší pozici, aby předložil zprošťující důkazy, které prokáží, že škodnou událost v žádném případě nezavinil ( 25 ). |
64. |
Správce bude muset v souladu s výše popsanou zásadou odpovědnosti rovněž prokázat, že učinil vše pro včasné obnovení dostupnosti a přístupu k osobním údajům. |
65. |
Vrátíme-li se k otázce předkládajícího soudu na základě toho, co bylo dosud řečeno o povaze odpovědnosti správce, ačkoli, jak bylo uvedeno výše, se správce může zprostit odpovědnosti tím, že prokáže, že porušení bylo způsobeno příčinou, za kterou žádným způsobem nenese odpovědnost, nelze za ni považovat pouhou skutečnost, že událost byla způsobena osobou mimo jeho sféru kontroly. |
66. |
Pokud se správce stane obětí útoku kyberzločinců, lze mít za to, že událost, která vedla ke vzniku újmy, nelze přičítat správci, avšak nelze vyloučit, že k dotyčnému útoku vedla nedbalost správce, která jej usnadnila v důsledku neexistence nebo nevhodnosti opatření pro zabezpečení osobních údajů, která je správce povinen provést. Jedná se o skutkové posouzení, které je specifické pro každý případ a je ponecháno na vnitrostátním soudu, u něhož bylo řízení zahájeno, a to na základě důkazů, které mu byly předloženy. |
67. |
Je také běžnou zkušeností, že vnější útoky na systémy veřejných nebo soukromých subjektů, které uchovávají velké množství osobních údajů, jsou mnohem častější než interní útoky. Správce proto musí zavést vhodná opatření, aby se vypořádal zejména s vnějšími útoky. |
68. |
Závěrem je třeba z teleologického hlediska uvést, že nařízení sleduje cíl vysoké úrovně ochrany. V tomto ohledu Soudní dvůr již zdůraznil, že z čl. 1 odst. 2 nařízení ve spojení s jeho body 10, 11 a 13 odůvodnění vyplývá, že toto nařízení ukládá unijním orgánům, institucím a jiným subjektům, jakož i příslušným orgánům členských států povinnost zajistit vysokou úroveň ochrany práv týkajících se ochrany osobních údajů zaručených článkem 16 SFEU a článkem 8 Listiny ( 26 ). |
69. |
Pokud by se Soudní dvůr přiklonil k výkladu, podle něhož by v případě, že se porušení nařízení dopustila třetí osoba, měl být správce automaticky zproštěn odpovědnosti podle čl. 82 odst. 3, měl by takový výklad za následek neslučitelnost s cílem ochrany sledovaným tímto nástrojem, neboť by oslabil práva subjektů údajů, jelikož by omezil tuto odpovědnost na případy, kdy je porušení způsobeno osobami, které jsou podřízeny nebo kontrolovány tímto správcem. |
F. Pátá předběžná otázka
70. |
Svou pátou otázkou vnitrostátní soud v podstatě žádá Soudní dvůr, aby vyložil pojem „nemajetková újma“ (v jazyce nařízení „nehmotná“) ve smyslu článku 82 nařízení. Konkrétně se táže, zda musí být čl. 82 odst. 1 a 2 nařízení ve spojení s body 85 a 146 odůvodnění tohoto nařízení ( 27 ) vykládán v tom smyslu, že v situaci, kdy porušení tohoto nařízení spočívalo v neoprávněném přístupu k osobním údajům a jejich neoprávněném zpřístupnění ze strany kyberzločinců, může skutečnost, že se subjekt údajů obává možného zneužití svých osobních údajů v budoucnu, sama o sobě představovat (nemajetkovou) újmu opravňující jej k náhradě újmy. |
71. |
Článek 82 ani body odůvodnění týkající se náhrady újmy neposkytují jasnou odpověď na tuto otázku, ale lze z nich vyvodit některé užitečné prvky pro analýzu: nehmotná (nebo nemajetková) újma může být předmětem náhrady vedle hmotné (nebo majetkové) újmy; porušení nařízení nemá automaticky za následek vznik újmy, která je tímto porušením „způsobena“, nebo přesněji řečeno, porušení ochrany osobních údajů „může způsobit“ fyzickým osobám fyzickou, hmotnou nebo nehmotnou újmu; pojem „újma“ by měl být vykládán „široce“ ve světle judikatury Soudního dvora, tak aby plně odrážel cíle nařízení; náhrada „utrpěné“ újmy by měla být „plná a účinná“. |
72. |
Již doslovné znění ustanovení nařízení vylučuje jakýkoli náznak újmy z povahy věci: hlavním cílem občanskoprávní odpovědnosti stanovené nařízením je poskytnout subjektu údajů zadostiučinění, a to právě prostřednictvím „plné a účinné“ náhrady utrpěné újmy, a tedy obnovit rovnováhu právního stavu, který byl porušením práva negativně ovlivněn ( 28 ). |
73. |
Dále i ze systematického hlediska, stejně jako v právu hospodářské soutěže, nařízení stanoví dva pilíře ochrany: jeden veřejnoprávní, se stanovením sankcí v případě porušení ustanovení nařízení, a druhý soukromoprávní, stanovující občanskoprávní odpovědnost mimosmluvní povahy, kterou lze kvalifikovat jako přitěžující v důsledku předpokládaného zavinění s výše uvedenými charakteristikami, a to i s odkazem na zprošťující důkazy ( 29 ). |
74. |
Extenzivní výklad ( 30 ) pojmu „(nemajetková) újma“ tedy nemůže jít tak daleko, aby se mělo za to, že normotvůrce upustil od nutnosti, aby skutečná „újma“ byla konfigurovatelná. |
75. |
Skutečnou hmotněprávní otázkou je, zda po prokázání existence porušení a příčinné souvislosti může vzniknout právo na náhradu újmy z důvodu pouhého znepokojení, obav a úzkosti, které subjekt údajů pociťuje v souvislosti s možným budoucím zneužitím osobních údajů, pokud takové zneužití nebylo prokázáno nebo subjekt údajů neutrpěl žádnou další újmu. |
76. |
Podle ustálené judikatury Soudního dvora musí být pojmy ustanovení unijního práva, které za účelem vymezení svého smyslu a rozsahu výslovně neodkazuje na právo členských států, zpravidla vykládány autonomním a jednotným způsobem v celé Unii, přičemž tento výklad je třeba nalézt s přihlédnutím ke znění tohoto ustanovení, ke kontextu, do kterého je zasazeno, k cílům sledovaným dotčenou právní úpravou, jejíž je součástí, a k historii vzniku tohoto ustanovení ( 31 ). |
77. |
Jak připomněl generální advokát Manuel Campos Sánchez-Bordona ( 32 ), Soudní dvůr nevypracoval obecnou definici „újmy“, která by byla použitelná bez rozdílu v jakékoli oblasti ( 33 ). Pokud jde o nemajetkovou újmu, lze z jeho judikatury vyvodit, že je-li jedním z cílů vykládaného ustanovení ochrana jednotlivce nebo určité kategorie jednotlivců ( 34 ), musí být pojem „újma“ široký; v souladu s tímto kritériem se náhrada vztahuje i na nehmotnou újmu, i když není ve vykládaném ustanovení uvedena ( 35 ). |
78. |
Ačkoli judikatura Soudního dvora umožňuje tvrdit, že za výše uvedených podmínek existuje v unijním právu zásada náhrady nehmotné újmy, souhlasím s generálním advokátem Manuelem Campos Sánchez-Bordonou, že z ní nelze vyvodit pravidlo, podle něhož lze nahradit každou nehmotnou újmu, ať už je jakkoli závažná ( 36 ). |
79. |
V této souvislosti je relevantní rozlišení mezi nahraditelnou nehmotnou újmou a jinými nepříznivými důsledky nedodržení právní úpravy, které by pro svůj menší význam nemusely nutně zakládat právo na náhradu újmy ( 37 ). |
80. |
Soudní dvůr uznává tento rozdíl, když označuje potíže a nepohodlí za samostatnou kategorii ve vztahu k újmám, a to v oblastech, kde se domnívá, že by měly být nahrazeny ( 38 ). |
81. |
Empiricky lze uvést, že jakékoli porušení pravidla ochrany osobních údajů vyvolá určitou negativní reakci ze strany subjektu údajů. Náhrada odvozená z pouhého pocitu nelibosti nad nerespektováním práva druhou osobou je snadno zaměnitelná s náhradou bez vzniku újmy, která se nezdá být konfigurovatelná v případě uvedeném v článku 82 nařízení, jak již bylo uvedeno. |
82. |
Skutečnost, že za takových okolností, jako jsou okolnosti ve věci v původním řízení, je zneužití osobních údajů pouze potenciální, a nikoli skutečné, postačuje k tomu, aby bylo možné konstatovat, že subjektu údajů mohla vzniknout nemajetková újma způsobená porušením nařízení, pokud subjekt údajů prokáže, že obava z takového zneužití mu skutečně, a konkrétně způsobila skutečnou a určitou citovou újmu ( 39 ). |
83. |
Hranice mezi pouhým rozhořčením (které nelze nahradit) a skutečnou nehmotnou újmou (kterou lze nahradit) je nepochybně tenká, ale vnitrostátní soudy, jejichž úkolem je tuto hranici v každém jednotlivém případě vymezit, by měly pečlivě posoudit všechny skutečnosti, které subjekt údajů žádající o náhradu uvedl, který bude mít povinnost přesně, a nikoliv obecně, tvrdit konkrétní skutečnosti, které mohou vést ke vzniku „skutečně utrpěné nemajetkové újmy“ v důsledku porušení zabezpečení osobních údajů, i když nedosahuje předem stanovené hranice zvláštní závažnosti: důležité je, že se nejedná o pouhé subjektivní vnímání, které je proměnlivé a závisí také na charakterových a osobních prvcích, ale o objektivizaci nepříjemnosti, byť nepatrné, ale prokazatelné, pro fyzickou nebo psychickou sféru člověka nebo pro jeho mezilidské vztahy; povaha dotčených osobních údajů a jejich význam v životě dotčené osoby a možná také vnímání, které v daném okamžiku má společnost o této konkrétní nepříjemnosti spojené s porušením ochrany osobních údajů ( 40 ). |
IV. Závěry
84. |
Na základě všech výše uvedených úvah navrhuji, aby Soudní dvůr odpověděl na předběžné otázky takto: „Články 5, 24, 32 a 82 nařízení 2016/679 musí být vykládány v tom smyslu, že pouhá existence ‚porušení zabezpečení osobních údajů‘, jak je definováno v čl. 4 bodě 12, sama o sobě nestačí k závěru, že technická a organizační opatření zavedená správcem údajů nebyla ‚vhodná‘ k zajištění ochrany dotčených údajů; při posuzování vhodnosti technických a organizačních opatření provedených správcem osobních údajů musí vnitrostátní soud, u něhož bylo řízení zahájeno, provést přezkum zahrnující konkrétní analýzu jak obsahu těchto opatření, tak způsobu jejich uplatnění a jejich praktických účinků; v rámci žaloby na náhradu újmy podle článku 82 GDPR nese správce důkazní břemeno ohledně vhodnosti opatření, která provedl podle článku 32 uvedeného nařízení; v souladu se zásadou procesní autonomie přísluší vnitrostátnímu právnímu řádu každého členského státu stanovit přípustné způsoby dokazování a jejich důkazní hodnotu, včetně vyšetřovacích úkonů, které vnitrostátní soudy mohou nebo musí nařídit za účelem posouzení, zda správce zavedl vhodná opatření ve smyslu uvedeného nařízení v souladu se zásadami rovnocennosti a efektivity zakotvenými unijním právem; skutečnost, že se porušení tohoto nařízení, které způsobilo dotčenou újmu, dopustila třetí osoba, není sama o sobě důvodem pro to, aby byl správce zproštěn odpovědnosti, přičemž aby mohl využít zproštění stanoveného tímto ustanovením, musí správce prokázat, že za toto porušení žádným způsobem nenese odpovědnost; újma spočívající v obavě z možného budoucího zneužití svých osobních údajů, jejíž existenci subjekt údajů prokázal, může představovat nemajetkovou újmu, která zakládá právo na náhradu újmy, pokud subjekt údajů prokáže, že individuálně utrpěl skutečnou a určitou citovou újmu, což přísluší ověřit v každém jednotlivém případě vnitrostátnímu soudu, u něhož bylo řízení zahájeno.“ |
( 1 ) – Původní jazyk: italština.
( 2 ) – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
( 3 ) – NAP je správcem údajů podle čl. 4 bodu 7 nařízení. Podle vnitrostátního práva je NAP specializovaný správní orgán, který je podřízen ministrovi financí a je příslušný pro stanovení, zajištění a vymáhání financí, jakož i pro stanovení, zajištění a vymáhání veřejnoprávních a zákonem stanovených soukromoprávních pohledávek státu. Při plnění úkolů veřejné moci, které mu byly svěřeny, zpracovává osobní údaje.
( 4 ) – Článek 5 odst. 2 (týkající se zásady odpovědnosti každého správce za zpracování osobních údajů), článek 24 (týkající se opatření, která musí takový správce přijmout, aby zajistil, aby bylo jeho zpracování v souladu s tímto nařízením), článek 32 (týkající se této povinnosti konkrétně s ohledem na zabezpečení zpracování) a čl. 82 odst. 1 až 3 (týkající se náhrady újmy způsobené porušením tohoto nařízení a možnosti správce přijmout opatření k zajištění souladu s tímto nařízením), jakož i body 74, 85 a 146 odůvodnění, které s výše uvedenými články souvisejí.
( 5 ) – a) první se zaměřuje na zodpovězení otázky, zda lze nevhodnost zavedených opatření odvodit ze samotného proniknutí do systémů; b) druhá se týká rozsahu soudního přezkumu ohledně vhodnosti těchto opatření; c) třetí se týká důkazního břemene ohledně vhodnosti a určitých technických způsobů pro získání důkazů; d) čtvrtá se týká významu skutečnosti, že útok na systém přišel zvenčí, pro účely zproštění odpovědnosti.
( 6 ) – Pokud jde o uvedená ustanovení nařízení, první tři otázky se týkají hledisek odpovědnosti správce ve vztahu k vhodnosti opatření, která mají být přijata (články 5, 24 a 32); čtvrtá a pátá otázka se týkají podmínek pro zproštění odpovědnosti a pojmu „nemajetková újma, kterou lze nahradit“ (článek 82).
( 7 ) – Viz stanovisko generálního advokáta M. Campos Sánchez-Bordony ve věci Österreichische Post (Nehmotná újma způsobená zpracováním osobních údajů) (C‑300/21, EU:C:2022:756).
( 8 ) – C. Docksey, „Article 24. Responsibility of the controller“, in C. Kuner, L. A. Bygrave, C. Docksey, L. Drechsler, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, s. 561. Zásady a povinnosti vyplývající z předpisů o ochraně údajů by měly proniknout do kulturní struktury organizací na všech úrovních a neměly by být považovány za soubor právních požadavků, které musí odškrtávat právní oddělení.
( 9 ) – E. Belisario, G. Riccio, G. Scorza, GDPR e Normativa Privacy – Commentario, Wolters Kluwer, 2022, s. 301.
( 10 ) – E. Belisario, G. Riccio, G. Scorza, GDPR, op. cit. s. 380.
( 11 ) – Z tohoto důvodu, jak bude uvedeno, nelze na první a čtvrtou předběžnou otázku odpovědět jinak než záporně. Z ustanovení nařízení nelze vyvodit žádný automatismus: ani pouhá skutečnost, že došlo ke zpřístupnění osobních údajů, nestačí k tomu, aby bylo možné konstatovat, že přijatá technická a organizační opatření nejsou vhodná, avšak ani skutečnost, že ke zpřístupnění došlo zásahem osob mimo organizaci správce a mimo jeho sféru kontroly, nestačí k tomu, aby byl správce zproštěn odpovědnosti.
( 12 ) – L. Bolognini, E. Pelino, Codice della disciplina privacy, Giuffrè, 2019, s. 201. Unijní normotvůrce tedy překračuje pojetí zabezpečení zpracování založené na existenci předem stanovených bezpečnostních opatření a přijímá metodiku typickou pro mezinárodní standardy pro řízení informačních systémů založené na rizicích: stanoví určení opatření ke zmírnění rizik, která jdou nad rámec předem nastavených a obecně použitelných kontrolních seznamů. Je proto nutné uchýlit se k mezinárodním vodítkům a standardům. Výsledek tohoto posouzení rizik se pak stává závazným, když organizace přijímá rozhodnutí s cílem zmírnit zjištěná rizika, čímž se stává accountable.
( 13 ) – Pojem „vhodnost“ jednoznačně ukazuje záměr nepřisuzovat relevanci všem abstraktně možným technickým a organizačním opatřením. V tomto smyslu viz M. Gambini, „Responsabilità e risarcimento nel trattamento dei dati personali“, in V. Cuffaro, R. D’Orazio, V. Ricciuto, I dati personali nel diritto europeo, Giappichelli, 2019, s. 1059.
( 14 ) – Písemné vyjádření, bod 31.
( 15 ) – M. Gambini, Responsabilità, op. cit. s. 1067. Držení osvědčení má tedy za následek obrácení důkazního břemene ve prospěch správce, který má usnadněno prokazování, že jednal v souladu s povinnostmi vyplývajícími z nařízení.
( 16 ) – Tím, že v písmenu d) výslovně stanoví, že se posouzení vhodnosti vztahuje na účinnost přijatých opatření, která musí být pravidelně testována, posuzována a hodnocena, a to jak v počáteční fázi, tak v pravidelných intervalech, aby byla zajištěna účinná bezpečnost všech typů zpracování bez ohledu na úroveň jejich rizika, a dále tím, že v písmenu c) výslovně stanoví, že zavedená technická a organizační opatření musí být schopna obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů. Viz M. Gambini, Responsabilità, op. cit. s. 1064 až 1065.
( 17 ) – Bod 30 písemného vyjádření: „Správce musí prokázat, jak vyhodnotil všechny faktory a okolnosti související s dotčeným zpracováním, a zejména výsledek provedené analýzy rizik, zjištěná rizika, konkrétní opatření nalezená ke zmírnění těchto rizik, odůvodnění zvolených možností s ohledem na technologická řešení dostupná na trhu, účinnost opatření, vzájemný vztah mezi technickými a organizačními opatřeními, školení zaměstnanců zpracovávajících údaje, existence externího zajištění zpracování údajů, včetně vývoje a údržby informačních technologií, a existence dohledu správce a přesných pokynů pro zpracovatele v souladu s článkem 28 GDPR, pokud jde o zpracování osobních údajů zpracovateli; jak byla posouzena podpůrná infrastruktura komunikačních a informačních systémů a klasifikována úroveň rizika pro práva a svobody subjektů údajů“.
( 18 ) – Bod 74 odůvodnění: „Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.“
( 19 ) – Viz zejména rozsudky Soudního dvora ze dne 5. září 2019, Evropská unie v. Guardian Europe a Guardian Europe v. Evropská unie (C‑447/17 P a C‑479/17 P, EU:C:2019:672, bod 147), a ze dne 28. října 2021, Vialto Consulting v. Komise (C‑650/19 P, EU:C:2021:879, bod 138), jakož i rozsudky Tribunálu ze dne 13. ledna 2021, Helbert v. EUIPO (T‑548/18, EU:T:2021:4, bod 116), a ze dne 29. září 2021, Kočner v. Europol (T‑528/20, neuveřejněný, EU:T:2021:631, bod 61), ve kterém se připomíná, že musí být splněny tři podmínky, a to „protiprávnost jednání vytýkaného unijnímu orgánu, skutečná existence újmy a existence příčinné souvislosti mezi jednáním orgánu a uplatňovanou újmou“.
( 20 ) – Písemné vyjádření, bod 39.
( 21 ) – V souladu s ustálenou judikaturou Soudního dvora, podle níž musí být výjimky z obecného pravidla vykládány restriktivně, musí být jakékoli zproštění odpovědnosti podle čl. 82 odst. 3 vykládáno restriktivně. Obdobně viz rozsudky ze dne 15. října 2020, Association française des usagers de banques (C‑778/18, EU:C:2020:831, bod 53), a ze dne 5. dubna 2022, Commissioner of An Garda Síochána a další (C‑140/20, EU:C:2022:258, bod 40).
( 22 ) – Občanskoprávní odpovědnost bývá kvalifikována jako objektivní odpovědnost vždy, když je jednající osoba povinna přijmout všechna opatření, která jsou abstraktně možná, aby zabránila újmě, bez ohledu na to, zda o nich skutečně ví nebo zda jsou ekonomicky udržitelná. Naopak v případech, kdy je jednající osoba povinna přijmout opatření, která jsou běžně dodržována provozovatelem v příslušném hospodářském odvětví, aby byla zachována bezpečnost a předešlo se újmám, které mohou vzniknout v důsledku vykonávané činnosti, má přičtení samotné újmy tendenci směřovat k režimu odpovědnosti za konkrétní zavinění. M. Gambini, Responsabilità op. cit., s. 1055.
( 23 ) – M. Gambini, Responsabilità, op. cit. s. 1059. Obdobně pro názor, že důkaz o přijetí vhodných opatření nespočívá v pouhém tvrzení o maximální požadované péči, ale v prokázání třetí skutečnosti, která vedla ke vzniku újmy, jež se vyznačuje vlastnostmi nepředvídatelnosti a nevyhnutelnosti, které jsou vlastní nahodilé události a vyšší moci, S. Sica, komentář k článku 82, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta, Codice della privacy e data protection, Giuffrè, 2021.
( 24 ) – „pokud prokážou, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla“ (čl. 82 odst. 3).
( 25 ) – M. Gambini, Responsabilità, op. cit. s. 1060.
( 26 ) – V tomto smyslu viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, body 44 a 45).
( 27 ) – Bod 85 odůvodnění uvádí: „Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu […]“. Bod 146 odůvodnění uvádí: „Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel. Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost. Výklad pojmu ‚újma‘ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. […]. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly […]“.
( 28 ) – Viz stanovisko generálního advokáta M. Campos Sánchez-Bordony, op. cit. bod 29 a poznámka pod čarou 11. Ve stejném stanovisku generální advokát správně uzavírá svou analýzu z doslovného, historického, kontextuálního a teleologického hlediska tím, že vylučuje „represivní“ povahu náhrady újmy subjektům údajů podle článku 82 (body 27 až 55), přičemž uvedl, že členské státy „si pro zajištění ochrany údajů nemusí (ve skutečnosti ani nemohou) vybírat mezi mechanismy kapitoly VIII. V případě porušení, které nevede k újmě, má subjekt údajů stále (přinejmenším) právo podat stížnost u dozorového úřadu“, a že „vyhlídka na získání náhrady bez ohledu na jakoukoli újmu [by] pravděpodobně podnítila občanskoprávní spory s nároky, které by nemusely být vždy oprávněné, a v tomto ohledu by mohla odrazovat od činnosti zpracování údajů“ (body 54 a 55).
( 29 ) – Odepření práva na náhradu za slabé a pomíjivé pocity nebo emoce spojené s porušením pravidel zpracování tedy nezanechává subjekt údajů zcela bez ochrany (v tomto smyslu stanovisko generálního advokáta M. Campos Sánchez-Bordony, op. cit. bod 115).
( 30 ) – Nebo „široký“, jak je uvedeno v bodě 146 odůvodnění.
( 31 ) – Viz rozsudky ze dne 15. dubna 2021, The North of England P & I Association (C‑786/19, EU:C:2021:276, bod 48), a ze dne 10. června 2021, KRONE – Verlag (C‑65/20, EU:C:2021:471, bod 25).
( 32 ) – Viz stanovisko generálního advokáta M. Campos Sánchez-Bordony, op. cit. bod 104.
( 33 ) – Ani nestanovil jednu metodu výkladu – autonomní nebo s odkazem na vnitrostátní právní řády – jako přednostní: záleží na posuzované oblasti. Viz rozsudky ze dne 10. května 2001, Veedfald (C‑203/99, EU:C:2001:258, bod 27), týkající se vadných výrobků; ze dne 6. května 2010, Walz (C‑63/09, EU:C:2010:251, bod 21), o odpovědnosti leteckých dopravců; nebo ze dne 10. června 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, bod 37 a násl.), ve vztahu k občanskoprávní odpovědnosti vztahující se na nehody způsobené provozem motorových vozidel.
( 34 ) – Například spotřebitelé výrobků nebo oběti dopravních nehod.
( 35 ) – Pokud jde o souborné cestovní služby, viz rozsudek ze dne 12. března 2002, Leitner (C‑168/00, EU:C:2002:163); v oblasti občanskoprávní odpovědnosti z provozu motorových vozidel viz rozsudky ze dne 24. října 2013, Haasová (C‑22/12, EU:C:2013:692, body 47 až 50); ze dne 24. října 2013, Drozdovs (C‑277/12, EU:C:2013:685, bod 40), a ze dne 23. ledna 2014, Petillo (C‑371/12, EU:C:2014:26, bod 35).
( 36 ) – Viz stanovisko generálního advokáta M. Campos Sánchez-Bordony, op. cit. bod 105. Soudní dvůr například uznal slučitelnost vnitrostátního zákona, který pro účely výpočtu náhrady újmy rozlišuje nehmotnou újmu spojenou s újmou na zdraví způsobenou nehodou podle původu nehody, s unijními pravidly; viz rozsudek ze dne 23. ledna 2014, Petillo (C‑371/12, EU:C:2014:26), výrok: unijní právo nebrání „vnitrostátní právní úpravě, […] která stanoví zvláštní režim náhrad za nehmotné újmy pramenící z lehkých zranění způsobených dopravními nehodami, který omezuje náhrady za tyto újmy ve srovnání s tím, co se připouští v oblasti náhrad za stejné újmy z jiných příčin než těchto nehod“.
( 37 ) – Takové rozdělení je ve vnitrostátních právních řádech vnímáno jako nevyhnutelný důsledek života ve společnosti. V nedávné době, v oblasti ochrany údajů, v Itálii Tribunale di Palermo (soud v Palermu), první občanskoprávní senát, rozsudek č. 5261 ze dne 5. října 2017, stejně jako usnesení Kasačního soudu, šestého občanskoprávního senátu, č. 17383/2020. V Německu mimo jiné AG Diez, 7. listopadu 2018 – 8 C 130/18; LG Karlsruhe, 2. srpna 2019 – 8 O 26/19, a AG Frankfurt am Main, 10. července 2020 – 385 C 155/19 (70). V Rakousku OGH 6 Ob 56/21k.
( 38 ) – Viz rozsudek ze dne 23. října 2012, Nelson a další (C‑581/10 a C‑629/10, EU:C:2012:657, bod 51), týkající se rozlišení mezi „škodou“ ve smyslu článku 19 Úmluvy o sjednocení některých pravidel pro mezinárodní leteckou dopravu, uzavřené v Montrealu dne 28. května 1999, a „nepohodlím“ ve smyslu nařízení č. 261/2004, které je nahraditelné podle článku 7 tohoto nařízení, a to ve smyslu rozsudku ze dne 19. listopadu 2009, Sturgeon a další (C‑402/07 a C‑432/07, EU:C:2009:716). V tomto odvětví, stejně jako v případě přepravy cestujících po moři a na vnitrozemských vodních cestách, na kterou se vztahuje nařízení č. 1177/2010, mohl normotvůrce uznat abstraktní kategorii, protože faktor, který zakládá potíže, a podstata těchto potíží, jsou pro všechny dotčené subjekty totožné. Domnívám se, že takový závěr není ve věcech ochrany údajů možný.
( 39 ) – Podle Irska jsou tyto úvahy v praxi důležité zejména v souvislosti s kyberkriminalitou, protože pokud by každá osoba, které se porušení týká – byť jen minimálně – měla nárok na náhradu nehmotné újmy, mělo by to silný dopad, zejména na správce ve veřejném sektoru, kteří jsou financováni z omezených veřejných prostředků a měli by spíše sloužit kolektivním zájmům, včetně zlepšení zabezpečení osobních údajů (písemné vyjádření, bod 72).
( 40 ) – Viz stanovisko generálního advokáta M. Campos Sánchez-Bordony, op. cit. bod 116.