–

za IP: M. Rodenhausen, Rechtsanwältin,

–

za Quirin Privatbank AG: F. Buchmann, Rechtsanwalt,

–

za Evropskou komisi: A. Bouchagiar a M. Heller, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu článků 17, 18, 79, 82 a 84 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

2

Tato žádost byla předložena v rámci sporu mezi IP, fyzickou osobou, a společností Quirin Privatbank AG ve věci návrhu IP znějícího na to, aby bylo uvedené společnosti nařízeno zdržet se dalšího nepovoleného zpřístupnění osobních údajů IP třetí straně, a na náhradu nehmotné újmy, kterou měl IP utrpět v důsledku původního zpřístupnění těchto údajů.

3

Body 1, 10, 11, 75, 85 a 146 odůvodnění GDPR znějí následovně:

[…]

[…]

[…]

[…]

4

Článek 1 GDPR, nadepsaný „Předmět a cíle“, v odstavci 2 stanoví:

„Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.“

5

Článek 4 tohoto nařízení, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

[…]

[…]“

6

Kapitola II GDPR, nadepsaná „Zásady“, obsahuje články 5 až 11 tohoto nařízení.

7

Článek 5 uvedeného nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

8

Článek 6 téhož nařízení, nadepsaný „Zákonnost zpracování“, v odstavci 1 stanoví:

„Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

[…]“

9

Kapitola III GDPR, nadepsaná „Práva subjektu údajů“, obsahuje články 12 až 23 tohoto nařízení.

10

V oddíle 3 této kapitoly III, nadepsaném „Oprava a výmaz“, článek 17 uvedeného nařízení, nadepsaný „Právo na výmaz (‚právo být zapomenut‘)“, v odstavci 1 stanoví:

„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

[…]

[…]“

11

Článek 18 téhož nařízení, nadepsaný „Právo na omezení zpracování“, který je rovněž obsažen v tomto oddíle 3, v odstavci 1 stanoví:

„Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

[…]

[…]“

12

Kapitola VIII GDPR, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84 tohoto nařízení.

13

Článek 77 GDPR je nadepsán „Právo podat stížnost u dozorového úřadu“ a článek 78 tohoto nařízení je nadepsán „Právo na účinnou soudní ochranu vůči dozorovému úřadu“.

14

Článek 79 téhož nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

15

Článek 82 GDPR, nadepsaný „Právo na náhradu újmy a odpovědnost“, stanoví:

„1.   Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

[…]

3.   Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

[…]“

16

Článek 83 tohoto nařízení, nadepsaný „Obecné podmínky pro ukládání správních pokut“, v odstavci 2 stanoví:

„[…] Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

[…]

17

Článek 84 uvedeného nařízení, nadepsaný „Sankce“, v odstavci 1 stanoví:

„Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

18

Článek 2 odst. 1 Grundgesetz für die Bundesrepublik Deutschland (Základní zákon Spolkové republiky Německo) ze dne 23. května 1949 (BGBl. 1949 I, s. 1), ve znění použitelném na spor v původním řízení, stanoví:

„Každý má právo na svobodný rozvoj své osobnosti, pokud neporušuje práva druhých a nepřekračuje ústavní pořádek nebo mravní zákon.“

19

Ustanovení § 253 Bürgerliches Gesetzbuch (občanský zákoník), ve znění použitelném na spor v původním řízení (dále jen „BGB“), nadepsané „Nemajetková újma“, stanoví:

„(1)   Peněžní náhradu nemajetkové újmy lze požadovat pouze v zákonem stanovených případech.

(2)   Má-li být náhrada újmy poskytnuta z důvodu újmy na těle, zdraví, svobodě nebo sexuálním sebeurčení, lze požadovat spravedlivou peněžní náhradu i za nemajetkovou újmu.“

20

Ustanovení § 823 BGB, nadepsané „Povinnost nahradit újmu“, stanoví:

„(1)   Kdo jinému úmyslně nebo z nedbalosti v rozporu s právem způsobí újmu na životě, těle, zdraví, svobodě, majetku nebo jiném právu, je povinen nahradit mu újmu, která v důsledku toho vznikla.

(2)   Tutéž povinnost má každý, kdo poruší zákon určený k ochraně jiných osob. Je-li podle obsahu tohoto zákona jeho porušení možné i bez zavinění, vzniká povinnost nahradit újmu pouze v případě zavinění.“

21

Ustanovení § 1004 BGB, nadepsané „Nárok na odstranění a zdržení se jednání“, v odst. 1 stanoví:

„Je-li vlastnické právo narušeno jinak než vyvlastněním nebo zabráním majetku, může vlastník po narušiteli požadovat odstranění narušení. Je-li třeba se obávat dalších narušení, může vlastník podat žalobu na zdržení se jednání.“

22

Podle předkládacího rozhodnutí se § 1004 BGB v původním řízení použije obdobně na porušení absolutních práv nebo na porušení zákona, jehož cílem je ochrana jiných osob ve smyslu § 823 odst. 1, respektive čl. 823 odst. 2.

23

Žalobce v původním řízení se prostřednictvím profesní sociální on-line sítě ucházel o zaměstnání u společnosti Quirin Privatbank, založené podle německého práva. Zaměstnankyně této společnosti následně využila e-mailovou službu této sítě k tomu, aby třetí osobě, které se tento přijímací proces netýkal, zaslala zprávu určenou pouze žalobci v původním řízení, ve které jej informovala o odmítnutí jeho mzdových nároků a nabídla mu jinou peněžitou odměnu (dále jen „dotčená zpráva“). Tato třetí osoba, která znala žalobce v původním řízení, protože s ním dříve pracovala, mu tuto zprávu přeposlala a dotázala se jej, zda hledá zaměstnání.

24

Žalobce v původním řízení podal k Landgericht Darmstadt (Zemský soud v Darmstadtu, Německo) žalobu, kterou se domáhal, aby bylo společnosti Quirin Privatbank uloženo zdržet se veškerého zpracování jeho osobních údajů v souvislosti s jeho žádostí o pracovní místo, které by znovu vedlo k jejich neoprávněnému zveřejnění v návaznosti na zaslání dotčené zprávy, a dále aby mu byla vyplacena náhrady újmy za nehmotnou újmu, která mu z této události vznikla. V podstatě tvrdil, že tato újma spočívá v jeho obavách, které vznikly v důsledku toho, že přinejmenším jedné třetí osobě, která jej zná a pracuje ve stejném profesním odvětví jako on, bylo umožněno předat tyto důvěrné údaje bývalým nebo potenciálním zaměstnavatelům, získat ve srovnání s ním výhodu v případném konkurenčním postavení při přijímání do zaměstnání a být svědkem ponížení, které IP pocítil z neúspěchu při vyjednávání o platu.

25

Rozsudkem ze dne 26. května 2020 soud prvního stupně uložil společnosti Quirin Privatbank povinnost zdržet se jednání uvedeného v žalobě a zaplatit žalobci v původním řízení náhradu újmy ve výši 1000 eur navýšenou o úroky. Společnost Quirin Privatbank podala proti tomuto rozsudku odvolání.

26

Rozsudkem ze dne 2. března 2022 Oberlandesgericht Frankfurt (Vrchní zemský soud ve Frankfurtu, Německo) uvedený rozsudek částečně změnil. Měl za to, že žalobce v původním řízení měl na základě čl. 17 odst. 1 GDPR právo požadovat, aby se společnost Quirin Privatbank v budoucnu zdržela zpracování jeho osobních údajů v podobě obdobné podobě dotčené zprávy, a v tomto ohledu existuje riziko opakování protiprávního jednání. Naproti tomu zamítl návrh na náhradu újmy podle článku 82 tohoto nařízení z důvodu, že sice došlo k porušení pravidel ochrany osobních údajů předáním takových údajů nezúčastněné třetí straně, avšak žalobce v původním řízení nepředložil důkaz o skutečné újmě, a i kdyby žalobce v původním řízení cítil ponížení, nelze jej kvalifikovat jako nehmotnou újmu.

27

Žalobce v původním řízení a společnost Quirin Privatbank podali každý proti tomuto rozsudku opravný prostředek „Revision“ k Bundesgerichtshof (Spolkový soudní dvůr, Německo), který je předkládajícím soudem. Před předkládajícím soudem žalobce v původním řízení trvá na svých původních nárocích, zatímco společnost Quirin Privatbank navrhuje, aby byly odmítnuty v plném rozsahu.

28

Předkládající soud má za to, že operace napadené žalobcem v původním řízení spadají do působnosti GDPR. Uvádí, že tyto operace představují „zpracování“„osobních údajů“„subjektu údajů“ a společnost Quirin Privatbank má postavení „správce“ ve smyslu čl. 4 bodů 1), 2) a 7) tohoto nařízení. Podle předkládajícího soudu je nesporné, že uvedené operace, které měly formu neoprávněného předání takových údajů „třetí straně“ ve smyslu čl. 4 bodu 10) GDPR, porušily ustanovení tohoto nařízení a jsou protiprávní podle čl. 6 odst. 1 tohoto nařízení, zejména proto, že s nimi žalobce v původním řízení nesouhlasil.

29

Předkládající soud si zaprvé klade otázku, zda GDPR přiznává osobě, jejíž osobní údaje byly zpracovány protiprávně, právo požadovat, aby se správce zdržel takového opakovaného zpracování, a to i v případě, že tato osoba nežádá o výmaz svých údajů. S ohledem na vnitrostátní judikaturu a diskusi v nauce k této věci se předkládající soud táže, zda by toto právo, o němž upřesňuje, že je vykonáváno čistě preventivně, mohlo vyplývat z článku 17 tohoto nařízení týkajícího se práva na takový výmaz, z článku 18 tohoto nařízení týkajícího se práva na omezení zpracování, z článku 79 uvedeného nařízení týkajícího se práva na účinnou soudní ochranu vůči správci nebo zpracovateli, nebo z nějakého jiného ustanovení téhož nařízení.

30

Zadruhé v případě kladné odpovědi na tyto otázky žádá předkládající soud s ohledem na svou vlastní judikaturu založenou na článku 2 Základního zákona Spolkové republiky Německo a na použití § 823 ve spojení s § 1004 BGB o určení toho, zda se takové právo požadovat od správce, aby se zdržel dalšího porušení GDPR, váže na existenci rizika opakování protiprávního jednání, a dále zda je třeba toto riziko s ohledem na původní porušení případně předpokládat.

31

Zatřetí v opačném případě, tedy bude-li na obě části jeho první otázky odpovězeno záporně, se předkládající soud táže, zda z článku 79 ve spojení s článkem 84 GDPR, které se týkají práva na účinnou soudní ochranu vůči správci a sankcí za porušení tohoto nařízení, vyplývá, že soud členského státu je oprávněn uložit správci takovou povinnost zdržet se jednání na základě vnitrostátních ustanovení a zároveň přiznat subjektu údajů prospěch z práv stanovených v článcích 17, 18 a 82 uvedeného nařízení.

32

Začtvrté si předkládající soud klade otázku ohledně podmínek, na které je vázáno právo na náhradu újmy podle čl. 82 odst. 1 GDPR ve spojení s body 75 a 85 odůvodnění tohoto nařízení. Konkrétně si klade otázku, jaké skutečnosti umožňují určit, že se jedná o „nehmotnou újmu“ ve smyslu tohoto čl. 82 odst. 1, v případě, že se subjekt údajů dovolává pouze negativních pocitů, které podle předkládajícího soudu spadají pod obecná rizika běžného života.

33

Zapáté si předkládající soud klade otázku, zda závažnost zavinění správce musí být zohledněna při posuzování náhrady nehmotné újmy náležející podle čl. 82 odst. 1 GDPR. Upřesňuje, že v německém právu vyžaduje peněžitá náhrada nemajetkové újmy, aby byla zohledněna zejména závažnost zavinění původce újmy, neboť tato náhrada plní jak funkci kompenzace újmy utrpěné poškozenou osobou, tak funkci zadostiučinění, které jí dluží tento původce, v souladu s judikaturou týkající se § 253 BGB.

34

Zašesté v případě kladné odpovědi na jednu ze dvou částí jeho první nebo třetí otázky se předkládající soud táže, zda právo subjektu údajů požadovat, aby se správce zdržel dalšího porušení GDPR, představuje relevantní kritérium pro omezení, či dokonce vyloučení náhrady nehmotné újmy podle čl. 82 odst. 1 tohoto nařízení, jak by podobně bylo možné podle německého práva.

35

Za těchto podmínek se Bundesgerichtshof (Spolkový soudní dvůr) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

36

Podstatou první až třetí otázky předkládajícího soudu, které je třeba zkoumat společně, je, zda musí být ustanovení GDPR vykládána v tom smyslu, že stanoví ve prospěch subjektu údajů dotčeného protiprávním zpracováním osobních údajů v případě, že tento subjekt nežádá o výmaz svých údajů, procesní prostředek nápravy umožňující mu preventivně dosáhnout toho, aby bylo správci uloženo zdržet se v budoucnu dalšího protiprávního zpracování, a zda v případě záporné odpovědi tato ustanovení brání členským státům v tom, aby takový procesní prostředek nápravy stanovily ve svých právních řádech.

37

Nejprve je důležité připomenout, že při výkladu ustanovení unijního práva je třeba vzít v úvahu nejen jeho znění, ale i jeho kontext a cíle sledované právní úpravou, jejíž je součástí (rozsudek ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, bod 52 a citovaná judikatura).

38

V tomto ohledu je třeba v první řadě uvést, že GDPR je založeno na existenci práva přiznaného každé fyzické osobě na ochranu v souvislosti se zpracováním osobních údajů, které se jí týkají. Tato ochrana představuje základní právo zakotvené v čl. 8 odst. 1 Listiny, na který odkazuje bod 1 odůvodnění tohoto nařízení. Použití uvedeného nařízení je vedeno cílem zaručit účinnost tohoto základního práva zajištěním vysoké a rovnocenné úrovně ochrany ve všech členských státech, jak vyplývá z jeho článku 1 a bodu 10 odůvodnění [v tomto smyslu viz rozsudky ze dne 5. října 2023, Ministerstvo zdravotnictví (Mobilní aplikace covid-19), C‑659/22, EU:C:2023:745, bod 28; ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, bod 28, jakož i ze dne 3. dubna 2025, Ministerstvo zdravotnictví (Údaje týkající se zástupce právnické osoby), C‑710/23, EU:C:2025:231, bod 29].

39

Podle ustálené judikatury Soudního dvora musí být každé zpracování osobních údajů v souladu se zásadami, jimiž se řídí zpracování takových údajů, jakož i s právy „subjektu údajů“ ve smyslu čl. 4 bodu 1) GDPR, které jsou uvedeny v kapitolách II a III tohoto nařízení. Konkrétně musí být takové zpracování v souladu se zásadami zpracování těchto údajů stanovenými v článku 5 uvedeného nařízení a splňovat podmínky zákonnosti zpracování uvedené v jeho článku 6 [v tomto smyslu viz rozsudky ze dne 19. prosince 2024, K GmbH (Zpracování osobních údajů zaměstnanců), C‑65/23, EU:C:2024:1051, bod 46, a ze dne 3. dubna 2025, Ministerstvo zdravotnictví (Údaje týkající se zástupce právnické osoby), C‑710/23, EU:C:2025:231, bod 33].

40

Jak v podstatě uvedl generální advokát v bodech 32, 34 a 38 svého stanoviska, článek 8 Listiny v odstavci 1 zakotvuje právo na ochranu osobních údajů, ale v odstavci 2 rovněž ukládá, že tyto údaje musí být zpracovány v souladu s určitými podmínkami, na které se váže zákonnost daného zpracování. Stejně tak povinnostem stanoveným v kapitole II GDPR, které nese správce, odpovídají zvláštní práva stanovená v tomto nařízení, která jsou přiznána subjektům údajů. Subjekty údajů tak mají právo na zákonné zpracování svých osobních údajů, které je logickým následkem obecné povinnosti tohoto správce nezpracovávat takové údaje způsobem, který není v souladu s požadavky uvedeného nařízení.

41

Na druhém místě Soudní dvůr opakovaně rozhodl, že unijní právo, včetně ustanovení Listiny, nenutí členské státy k tomu, aby zavedly jiné právní prostředky než ty, které stanoví vnitrostátní právo, ledaže by ze struktury dotčeného vnitrostátního právního řádu vyplývalo, že neexistuje žádný procesní prostředek nápravy umožňující, ani incidenčně, zajistit dodržování práv, která jednotlivcům vyplývají z unijního práva (rozsudek ze dne 8. května 2025, Barało,C‑530/23, EU:C:2025:322, bod 99 a citovaná judikatura).

42

V projednávané věci je třeba předně zdůraznit, že situace dotčená ve věci v původním řízení se týká nikoliv možnosti vnitrostátního soudu přijmout předběžná opatření, nýbrž případné možnosti subjektu údajů dosáhnout ve věci samé prostřednictvím preventivní žaloby soudního příkazu zakazujícího správci, aby se dopustil dalšího porušení těchto práv.

43

V tomto ohledu je třeba poukázat na to, že GDPR neobsahuje ustanovení, která by výslovně nebo implicitně stanovila, že subjekt údajů má, jak předpokládá předkládající soud, právo se preventivně prostřednictvím žaloby domáhat toho, aby správci osobních údajů byla uložena povinnost zdržet se do budoucna porušování ustanovení tohoto nařízení, zejména formou opakovaného protiprávního zpracování. Konkrétně, jak uvedl generální advokát v bodech 54 až 69 svého stanoviska, takové právo nelze vyvodit ani z článku 17 uvedeného nařízení, ani z jeho článku 18.

44

Pokud jde o kapitolu VIII GDPR, je třeba připomenout, že tato kapitola upravuje zejména procesní prostředky nápravy umožňující chránit práva subjektu údajů, pokud osobní údaje, které se ho týkají, byly zpracovány údajně v rozporu s ustanoveními tohoto nařízení. Ochrany těchto práv se může domáhat zejména přímo subjekt údajů podle článků 77 až 79 uvedeného nařízení, které upravují různé procesní prostředky nápravy, jež může tento subjekt uplatnit souběžně a nezávisle na sobě (v tomto smyslu viz rozsudky ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, bod 47 a citovaná judikatura, jakož i ze dne 30. dubna 2025, Inspektorat kam Visšija sadeben savet, C‑313/23, C‑316/23 a C‑332/23, EU:C:2025:303, bod 128 a citovaná judikatura).

45

Ze znění ustanovení kapitoly VIII GDPR vyplývá, že žádné z těchto ustanovení neukládá členským státům povinnost stanovit takový preventivní procesní prostředek nápravy, jaký je popsán v bodě 42 tohoto rozsudku. Konkrétně znění čl. 79 odst. 1 tohoto nařízení pouze stanoví, že aniž je dotčena jakákoli dostupná správní nebo mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle uvedeného nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením. Znění tohoto ustanovení nevyžaduje, aby členské státy stanovily zvláštní procesní prostředek nápravy umožňující prostřednictvím preventivní žaloby získat takový soudní příkaz ke zdržení se jednání, jaký má na mysli předkládající soud.

46

Nicméně s ohledem na znění ustanovení kapitoly VIII GDPR a zejména na uznání práva každého subjektu údajů na účinnou soudní ochranu v jeho čl. 79 odst. 1, pokud má subjekt údajů za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s uvedeným nařízením, „aniž je dotčena“ jakákoli jiná správní či mimosoudní ochrana, je třeba mít za to, že členským státům není bráněno v tom, aby upravily takovou preventivní žalobu k uložení povinnosti správci, aby se zdržel dalšího porušování těchto práv (v tomto smyslu viz rozsudek ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, bod 53).

47

V tomto ohledu je třeba zdůraznit, že ačkoliv je cílem GDPR zajistit v zásadě úplnou harmonizaci vnitrostátních právních předpisů týkajících se ochrany osobních údajů, nic to nemění na tom, že některá ustanovení tohoto nařízení dávají výslovně členským státům možnost stanovit další přísnější nebo odchylná vnitrostátní pravidla, která jim ponechávají prostor pro uvážení ohledně způsobu, jakým mohou být tato ustanovení uplatňována („ustanovení dovolující odchylky“) (rozsudek ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, bod 57 a citovaná judikatura).

48

Je pravda, že ustanovení kapitoly VIII GDPR neobsahují specificky takové ustanovení dovolující odchylky, které by členským státům výslovně umožňovalo stanovit možnost pro subjekt údajů, který si přeje zabránit správci v porušování hmotněprávních ustanovení tohoto nařízení, podat žalobu za účelem získání soudního příkazu vůči tomuto správci, aby se zdržel jednání v tomto smyslu. Unijní normotvůrce však nezamýšlel provést úplnou harmonizaci procesních prostředků nápravy dostupných v případě porušení ustanovení uvedeného nařízení, a zejména nevyloučil takovou možnost podání procesního prostředku nápravy (v tomto smyslu viz rozsudek ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, body 59 a 60).

49

Tento výklad je potvrzen cíli sledovanými GDPR. Cílem tohoto nařízení je totiž mimo jiné, jak uvádí bod 10 jeho odůvodnění, zajistit soudržnou a vysokou úroveň ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů. Bod 11 odůvodnění uvedeného nařízení kromě toho konkrétně uvádí, že účinná ochrana těchto údajů vyžaduje posílení práv subjektů údajů a podrobné vymezení povinností těch, kdo údaje zpracovávají a o jejich zpracování rozhodují (v tomto smyslu viz rozsudek ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, bod 61).

50

Možnost subjektu údajů podat žalobu, aby bylo správci nařízeno zdržet se v budoucnu porušování hmotněprávních ustanovení GDPR, přitom tyto cíle neohrožuje, ale naopak může posílit užitečný účinek těchto ustanovení, a tedy vysokou úroveň ochrany subjektů údajů v souvislosti se zpracováním jejich osobních údajů uvedenou v tomto nařízení. Ustanovení kapitoly VIII GDPR tudíž nebrání vnitrostátní právní úpravě, která subjektu údajů přiznává takovou možnost preventivního procesního prostředku nápravy (v tomto smyslu viz rozsudek ze dne 4. října 2024, Lindenapotheke,C‑21/23, EU:C:2024:846, body 62 a 73).

51

Z toho vyplývá, že GDPR nebrání tomu, aby na základě ustanovení práva členského státu, která by byla použitelná před vnitrostátním soudem, jemuž byla věc předložena, bylo možné podat procesní prostředek nápravy, jehož cílem je dosáhnout vydání soudního příkazu umožňujícího zabránit případnému porušení hmotněprávních ustanovení tohoto nařízení, zejména případným opakování protiprávního zpracování.

52

S ohledem na všechny výše uvedené důvody je třeba na první až třetí otázku odpovědět tak, že ustanovení GDPR musí být vykládána v tom smyslu, že nestanoví ve prospěch subjektu údajů dotčeného protiprávním zpracováním osobních údajů v případě, že tento subjekt nežádá o výmaz svých údajů, procesní prostředek nápravy umožňující mu preventivně dosáhnout toho, aby bylo správci uloženo zdržet se v budoucnu dalšího protiprávního zpracování. Tato ustanovení však nebrání členským státům v tom, aby takový procesní prostředek nápravy stanovily ve svých právních řádech.

53

Podstatou čtvrté otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že pojem „nehmotná újma“ uvedený v tomto ustanovení zahrnuje negativní pocity subjektu údajů, které zakouší v důsledku neoprávněného předání jeho osobních údajů třetí straně, jako je obava nebo nespokojenost, které jsou vyvolány ztrátou kontroly nad těmito údaji, jejich možným zneužitím nebo poškozením jeho pověsti.

54

Je třeba připomenout, že čl. 82 odst. 1 GDPR stanoví, že kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

55

V souladu s ustálenou judikaturou platí, že vzhledem k neexistenci jakéhokoli odkazu na vnitrostátní právo členských států v čl. 82 odst. 1 GDPR musí být pojem „nehmotná újma“ ve smyslu tohoto ustanovení definován autonomně a jednotně v unijním právu (v tomto smyslu viz rozsudky ze dne 25. ledna 2024, MediaMarktSaturn,C‑687/21, EU:C:2024:72, bod 64, a ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, bod 139 a citovaná judikatura).

56

V tomto ohledu Soudní dvůr opakovaně rozhodl, zejména ve světle bodů 75, 85 a 146 odůvodnění GDPR, že pouhé porušení tohoto nařízení nestačí k přiznání práva na náhradu újmy podle čl. 82 odst. 1 tohoto nařízení. Existence „újmy“, ať už majetkové či nemajetkové, která byla „utrpěna“, porušení ustanovení uvedeného nařízení, jakož i příčinné souvislosti mezi touto újmou a tímto porušením představují tři nezbytné a dostatečné kumulativní podmínky tohoto práva na náhradu újmy. Subjekt údajů, který se domáhá náhrady nehmotné újmy na základě tohoto čl. 82 odst. 1, je tak povinen prokázat nejen porušení tohoto nařízení, ale i to, že mu toto porušení takovou újmu skutečně způsobilo [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 32, 33, 37 a 42; ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, body 140 až 142, jakož i ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, body 24 a 25].

57

V projednávané věci předkládající soud uvádí, že žalobce v původním řízení v souvislosti s nehmotnou újmou, kterou tvrdí, že utrpěl z důvodu porušení dotčeného GDPR, v podstatě argumentuje „obavou z předání údajů třetím osobám pracujícím ve stejném odvětví, skutečnosti, že se určitá osoba dozvěděla o informacích, které podléhají důvěrnému zacházení, [jakož i] ponížením v souvislosti s odmítnutím jeho mzdových očekávání a skutečností, že o tom vědí třetí osoby“. Předkládající soud se táže, zda „negativní pocity, jako jsou například nelibost, rozmrzelost, nespokojenost, úzkost a strach“, které označuje za „obecná rizika běžného života“, postačují k prokázání existence „nehmotnou újmy“ ve smyslu článku 82 tohoto nařízení, nebo zda subjekt údajů musí utrpět újmu přesahující tyto pocity.

58

V tomto ohledu na prvním místě z judikatury Soudního dvora vyplývá, že čl. 82 odst. 1 GDPR brání vnitrostátnímu pravidlu nebo praxi, které náhradu „nehmotné újmy“ ve smyslu tohoto ustanovení vážou na to, že újma, kterou subjekt údajů utrpěl, dosáhla určité míry závažnosti. Uvedené ustanovení k tomu, aby mohla být nehmotná újma tvrzená subjektem údajů nahrazena, nevyžaduje, aby tato újma musela dosáhnout určité „minimální prahové hodnoty“ [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 51, jakož i ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, body 147 a 149].

59

Na druhém místě, jak uvedla Evropská komise ve svém písemném vyjádření, takové situace, jako jsou situace uvedené ve sporu v původním řízení, které se týkají „poškození dobré pověsti“ vyplývajícího z porušení zabezpečení osobních údajů nebo „ztráty kontroly“ nad takovými údaji, jsou výslovně zahrnuty mezi příklady možných újem, které jsou uvedeny v bodech 75 a 85 odůvodnění GDPR.

60

Soudní dvůr konkrétně zdůraznil, že z demonstrativního výčtu „újem“, které mohou subjekty údajů utrpět, jenž je uveden v první větě bodu 85 odůvodnění GDPR, vyplývá, že unijní normotvůrce měl v úmyslu zahrnout pod tento pojem mimo jiné pouhou „ztrátu kontroly“ nad vlastními osobními údaji těchto subjektů v důsledku porušení tohoto nařízení, a to i v případě, že ke skutečnému zneužití dotčených údajů nedošlo. Taková ztráta kontroly může stačit k tomu, aby způsobila „nehmotnou újmu“ ve smyslu čl. 82 odst. 1 uvedeného nařízení, za předpokladu, že subjekt údajů prokáže, že takovou újmu, byť jen minimální, skutečně utrpěl, aniž tento pojem „nehmotná újma“ vyžaduje prokázání dalších hmatatelných negativních dopadů (v tomto smyslu viz rozsudek ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, body 145, 150 a 156, jakož i citovaná judikatura).

61

Na třetím místě Soudní dvůr již rozhodl, že obava subjektu údajů z možného zneužití jeho osobních údajů v budoucnu v důsledku porušení GDPR může sama o sobě představovat „nehmotnou újmu“ ve smyslu čl. 82 odst. 1 tohoto nařízení za předpokladu, že tato obava a její negativní důsledky jsou řádně prokázány, což přísluší ověřit předkládajícímu soudu [v tomto smyslu viz rozsudky ze dne 20. června 2024, PS (Nesprávná adresa), C‑590/22, EU:C:2024:536, body 32, 35 a 36, jakož i ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, body 143, 144 a 155, jakož i citovaná judikatura].

62

I když pocity zmíněné předkládajícím soudem, zejména obava nebo nespokojenost, mohou být mimo jiné součástí obecných rizik běžného života, jak poznamenává sám předkládající soud, takové negativní pocity mohou představovat „nehmotnou újmu“ ve smyslu čl. 82 odst. 1 GDPR za předpokladu, že v souladu s požadavkem příčinné souvislosti připomenutým v bodě 56 tohoto rozsudku subjekt údajů prokáže, že zakouší takové pocity a jejich negativní důsledky právě z důvodu dotčeného porušení tohoto nařízení, jako je neoprávněné předání jeho osobních údajů třetí osobě, které s sebou nese riziko jejich zneužití, což přísluší posoudit vnitrostátním soudům, kterým byla věc předložena.

63

Na čtvrtém a posledním místě je tento výklad v souladu se zněním čl. 82 odst. 1 GDPR ve spojení s body 85 a 146 odůvodnění tohoto nařízení, které vyzývají k širokému pojetí pojmu „nehmotná újma“ ve smyslu tohoto čl. 82 odst. 1. Kromě toho je toto pojetí podpořeno cílem uvedeného nařízení, který vyplývá z článku 1 a z bodů 1 a 10 odůvodnění tohoto nařízení a který spočívá v zajištění vysoké úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů (obdobně viz rozsudky ze dne 14. prosince 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, body 19 a 20, jakož i ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, body 144 a 146).

64

S ohledem na výše uvedené důvody je třeba na čtvrtou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že pojem „nehmotná újma“ uvedený v tomto ustanovení zahrnuje negativní pocity, které subjekt údajů zakouší v důsledku neoprávněného předání jeho osobních údajů třetí straně, jako je obava nebo nespokojenost, které jsou vyvolány ztrátou kontroly nad těmito údaji, jejich možným zneužitím nebo poškozením jeho pověsti za předpokladu, že subjekt údajů prokáže, že zakouší takové pocity a jejich negativní důsledky z důvodu dotčeného porušení tohoto nařízení.

65

Podstatou páté otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že umožňuje, aby byla pro účely posouzení náhrady nehmotné újmy náležející podle tohoto čl. 82 odst. 1 zohledněna míra závažnosti zavinění správce.

66

V tomto ohledu z judikatury Soudního dvora vyplývá, že vzhledem k tomu, že GDPR neobsahuje ustanovení, jejichž cílem by bylo stanovit pravidla pro posuzování náhrady újmy, která má být přiznána na základě práva na náhradu újmy zakotveného v článku 82 tohoto nařízení, musí vnitrostátní soudy za tímto účelem uplatnit vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 54 a 59, jakož i ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, bod 32].

67

V projednávané věci si předkládající soud klade otázku, zda by se míra závažnosti zavinění původce újmy, která je kritériem stanoveným v německém právu pro posouzení peněžité náhrady nemajetkové újmy, mohla uplatnit i na náhradu nehmotné újmy na základě článku 82 GDPR.

68

Z rozsudků Soudního dvora, z nichž některé byly vyhlášeny po předložení projednávané žádosti o rozhodnutí o předběžné otázce, vyplývá, že na tuto pátou otázku je třeba odpovědět záporně.

69

Soudní dvůr totiž rozhodl, že s ohledem na kompenzační funkci práva na náhradu újmy stanoveného v článku 82 GDPR jsou vnitrostátní soudy povinny zajistit „plnou a účinnou“ náhradu utrpěné újmy, jak je uvedeno v bodě 146 odůvodnění tohoto nařízení, aniž je pro účely takové plné kompenzace nezbytné uložit povinnost k zaplacení sankční náhrady újmy [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 57 a 58, jakož i ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, bod 34].

70

Na rozdíl od toho, co stanoví článek 83 GDPR ohledně správních pokut, jejichž kritéria nejsou obdobně použitelná v rámci článku 82 tohoto nařízení, plní právo na náhradu újmy stanovené v tomto článku 82, zejména v případě nehmotné újmy, výlučně kompenzační funkci, jelikož peněžitá náhrada na základě uvedeného článku 82 musí umožnit plnou náhradu újmy, která skutečně vznikla v důsledku porušení uvedeného nařízení, a nikoli odrazující či sankční funkci [v tomto smyslu viz rozsudky ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, bod 153, a ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, body 39 až 41].

71

Vznik odpovědnosti správce na základě článku 82 GDPR je tak podmíněn existencí jeho zavinění, které se předpokládá, ledaže správce prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla, a článek 82 nevyžaduje, aby byla při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě uvedeného článku zohledněna míra závažnosti tohoto zavinění (rozsudek ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, bod 154).

72

Konkrétně výlučně kompenzační funkce práva na náhradu újmy stanoveného v čl. 82 odst. 1 GDPR brání tomu, aby byla pro účely náhrady újmy na základě uvedeného ustanovení zohledněna míra závažnosti porušení tohoto nařízení správcem a jeho případný úmysl. Z toho vyplývá, že postoj a motivace správce nemohou být v rámci tohoto ustanovení zohledněny za účelem případného přiznání nižší náhrady újmy subjektu údajů, než je újma, kterou skutečně utrpěl, ať už jde o výši nebo formu této náhrady (v tomto smyslu viz rozsudek ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, body 42 až 45 a citovaná judikatura).

73

S ohledem na výše uvedené důvody je třeba na pátou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že brání tomu, aby pro účely posouzení náhrady nehmotné újmy náležející podle tohoto článku byla zohledněna míra závažnosti zavinění správce.

74

Šestá otázka je položena pro případ, že by Soudní dvůr odpověděl kladně na jednu z částí první otázky nebo na třetí otázku, tedy pokud by bylo třeba mít v podstatě za to, že právo požadovat, aby se správce v budoucnu zdržel dalšího porušení zabezpečení osobních údajů, je ve prospěch subjektu údajů přiznáno GDPR přímo na základě jeho ustanovení nebo prostřednictvím použití vnitrostátních ustanovení povolených tímto nařízením. Vzhledem k odpovědi poskytnuté společně na první až třetí otázku, která je uvedena v bodě 52 tohoto rozsudku, je důvodné na šestou otázku odpovědět.

75

Za účelem upřesnění předmětu posledně uvedené otázky předkládající soud uvádí, že podle německého práva a jeho vlastní judikatury může být okolnost, že osoba, která utrpěla nehmotnou újmu, požadovala či dokonce dosáhla toho, aby byla původci této újmy uložena povinnost zdržet se dalšího škodlivého jednání, zohledněna pro snížení nebo dokonce vyloučení peněžité náhrady této újmy. Předkládající soud se táže, zda toto kritérium pro posouzení náhrady újmy může být použito i v rámci GDPR, zejména s ohledem na zásadu efektivity unijního práva, a pokud ano, v jakém rozsahu.

76

Podstatou otázky předkládajícího soudu tak je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že za účelem snížení rozsahu peněžité náhrady nehmotné újmy náležející podle tohoto čl. 82 odst. 1, či dokonce snížení této náhrady může být zohledněna okolnost, že subjekt údajů dosáhl na základě použitelného vnitrostátního práva vydání soudního příkazu zdržet se opakování porušení tohoto nařízení, který je vykonatelný vůči správci.

77

V tomto ohledu je třeba připomenout, jak je uvedeno v bodě 66 tohoto rozsudku, že GDPR neobsahuje ustanovení vymezující pravidla pro posouzení náhrady újmy podle článku 82 tohoto nařízení, takže vnitrostátní soudy musí za tímto účelem použít vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady, s výhradou dodržení zásad rovnocennosti a efektivity unijního práva.

78

Konkrétně je třeba zdůraznit, že kritéria pro posouzení náhrady újmy, která má být přiznána v rámci žalob určených k zajištění ochrany práv, jež jednotlivcům vyplývají z článku 82 GDPR, což jsou kritéria, která jsou stanovena v právním řádu každého členského státu, musí umožnit zajištění plné a účinné náhrady újmy, kterou subjekt údajů utrpěl v důsledku porušení tohoto nařízení (v tomto smyslu viz rozsudky ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, bod 152, a ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, bod 34 a citovaná judikatura).

79

Soudní dvůr již připustil, že v mezích vyplývajících ze zásady efektivity mohou mít určité okolnosti vliv na posouzení náhrady újmy náležející podle článku 82 GDPR, zejména za účelem omezení této náhrady. Bylo rozhodnuto, že v případě neexistence závažnosti újmy, kterou subjekt údajů utrpěl, může vnitrostátní soud přiznat tomuto subjektu minimální náhradu újmy za předpokladu, že takto přiznaná nízká částka náhrady újmy plně kompenzuje tuto újmu, což přísluší ověřit vnitrostátnímu soudu. Stejně tak omluva může představovat přiměřenou nápravu nehmotné újmy na základě tohoto článku 82, zejména v případě, kdy nelze obnovit stav před vznikem této újmy, za předpokladu, že tato forma nápravy, je-li stanovena vnitrostátním právem, může plně kompenzovat uvedenou újmu (v tomto smyslu viz rozsudek ze dne 4. října 2024, Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, body 35 až 37 a citovaná judikatura).

80

V projednávané věci má položená otázka za cíl určit, zda má vnitrostátní soud v oblasti působnosti článku 82 GDPR za účelem snížení náhrady újmy, která může být subjektu údajů přiznána z titulu nehmotné újmy, možnost zohlednit skutečnost, že tento subjekt dosáhl vydání soudního příkazu zdržet se jednání, takže vnitrostátní soud by v praxi nařídil odčinění takové újmy zčásti v peněžní podobě a zčásti ve formě tohoto soudního příkazu, či dokonce pouze v posledně uvedené formě.

81

Z judikatury uvedené v bodech 78 a 79 tohoto rozsudku přitom vyplývá, že na určitou formu nápravy újmy stanovenou použitelným vnitrostátním právem lze nahlížet tak, že je v souladu s GDPR pouze tehdy, pokud tato forma respektuje zásady rovnocennosti a efektivity unijního práva, což zejména předpokládá, že může zajistit plnou a účinnou nápravu újmy, kterou subjekt údajů utrpěl.

82

Konkrétně náhrada újmy náležející podle článku 82 tohoto nařízení nemůže být přiznána zčásti nebo v plném rozsahu ve formě soudního příkazu zdržet se jednání, neboť právo na náhradu újmy stanovené v tomto článku 82 plní výlučně kompenzační funkci, jak bylo připomenuto v bodě 70 tohoto rozsudku, zatímco soudní příkaz zdržet se jednání vykonatelný vůči původci újmy má čistě preventivní účel. Jak totiž v podstatě uvedl generální advokát v bodě 86 svého stanoviska, účelem soudního příkazu této povahy je zabránit opakování jednání, které způsobilo újmu, aby se zabránilo vzniku dalších újem, ale nenapravuje újmu, která již byla subjektu údajů způsobena.

83

S ohledem na výše uvedené důvody je třeba na šestou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že brání tomu, aby za účelem snížení rozsahu peněžité náhrady nehmotné újmy náležející podle tohoto článku, nebo a fortiori nahrazení této náhrady, byla zohledněna okolnost, že subjekt údajů dosáhl na základě použitelného vnitrostátního práva vydání soudního příkazu zdržet se opakování porušení tohoto nařízení vykonatelného vůči správci.

84

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (čtvrtý senát) rozhodl takto: