1.

Článek 4 nařízení 2016/679 ( 2 ) (dále jen „nařízení“), nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]“

2.

Článek 5, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

3.

Článek 24 tohoto nařízení, nadepsaný „Odpovědnost správce“, stanoví:

„1.   S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

2.   Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

3.   Jedním z prvků, jimiž lze doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42.“

4.

Článek 32, nadepsaný „Zabezpečení zpracování“, stanoví:

„1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

[…]

2.   Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

3.   Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42.

[…]“

5.

Článek 82 tohoto nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, stanoví:

„1.   Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2.   Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. […]

3.   Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.“

6.

Dne 15. července 2019 rozšířila bulharská média zprávu, že došlo k neoprávněnému přístupu do informačního systému Nacionalna agencia za prihodite (Národní agentura pro veřejné příjmy, Bulharsko, dále jen „NAP“ ( 3 )) a že na internetu byly zveřejněny různé údaje milionů lidí, občanů i cizinců, které se týkaly daní a sociálního zabezpečení.

7.

Řada osob, včetně V. B., navrhovatelky v původním řízení, proto podala žalobu na NAP s cílem získat náhradu nehmotné újmy.

8.

V projednávané věci navrhovatelka v původním řízení podala žalobu k Administrativen sad Sofija-grad (správní soud pro Sofii-město, Bulharsko; dále jen „ASSG“), v níž tvrdila, že NAP porušila vnitrostátní předpisy, jakož i povinnost zpracovávat osobní údaje jako správce způsobem, který „zajistí náležité zabezpečení osobních údajů“, a to tak, že zavede vhodná technická nebo organizační opatření podle článků 24 a 32 nařízení 679/2016. Navrhovatelka poté tvrdila, že jí vznikla nehmotná újma, která se projevuje znepokojením a obavami z budoucího zneužití jejích osobních údajů.

9.

Naopak protistrana zdůraznila, že v původním řízení neobdržela od navrhovatelky žádnou žádost, v níž by bylo uvedeno, k jakým osobním údajům byl přesně získán přístup. Kromě toho po zprávách o průniku svolala vrcholné schůzky s odborníky na ochranu práv a zájmů občanů. Podle NAP rovněž neexistuje příčinná souvislost mezi kybernetickým útokem a údajnou újmou, protože agentura zavedla všechny systémy řízení postupů a informační bezpečnosti v souladu s příslušnými mezinárodními normami.

10.

Soud prvního stupně, ASSG, žalobu zamítl, neboť dospěl k závěru, že zpřístupnění údajů nelze přičítat agentuře, důkazní břemeno ohledně vhodnosti přijatých opatření spočívá na navrhovatelce a konečně není třeba nahradit jakoukoli nehmotnou újmu.

11.

Rozsudek soudu prvního stupně byl poté napaden kasačním opravným prostředkem u Varhoven administrativen sad (Nejvyšší správní soud, Bulharsko). Mezi svými tvrzeními navrhovatelka v původním řízení zdůraznila, že soud prvního stupně nesprávně rozdělil důkazní břemeno ohledně nepřijetí bezpečnostních opatření. Předmětem důkazního břemene by neměla být ani nehmotná újma, neboť se jedná o skutečnou, nikoli pouze potenciální nehmotnou újmu.

12.

NAP zopakovala, že jako správce přijala nezbytná technická a organizační opatření, a zpochybnila existenci důkazu o skutečné nehmotné újmě. Úzkost a obavy jsou totiž emoční stavy, které nezakládají nárok na náhradu.

13.

Předkládající soud konstatoval rozdílné výsledky jednotlivých řízení, která poškození samostatně zahájili proti NAP za účelem náhrady nehmotné újmy.

14.

Za těchto okolností předkládající soud přerušil řízení a položil Soudnímu dvoru následující předběžné otázky:

„Musí být články 24 a 32 nařízení Evropského parlamentu a Rady (EU) 2016/679 [ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)] vykládány v tom smyslu, že postačuje, aby došlo k neoprávněnému poskytnutí nebo zpřístupnění osobních údajů ve smyslu čl. 4 bodu 12 nařízení (EU) 2016/679 ze strany osob, které nejsou zaměstnanci administrativy správce a nepodléhají jeho kontrole, aby bylo možno mít za to, že přijatá technická a organizační opatření nejsou vhodná?

V případě záporné odpovědi na první otázku, jaký předmět a rozsah by měl mít soudní přezkum legality prováděný při posuzování otázky, zda jsou technická a organizační opatření podle článku 32 nařízení (EU) 2016/679, která přijal správce, vhodná?

V případě záporné odpovědi na první otázku musí být zásada odpovědnosti podle čl. 5 odst. 2 a článek 24 ve spojení s bodem 74 odůvodnění nařízení (EU) 2016/679 vykládány v tom smyslu, že v řízení o žalobě podle čl. 82 odst. 1 nařízení (EU) 2016/679 nese správce důkazní břemeno ohledně toho, že přijatá technická a organizační opatření podle článku 32 nařízení jsou vhodná? Lze opatření znaleckého posudku považovat za nezbytný a dostatečný důkazní prostředek pro zjištění, zda byla technická a organizační opatření přijatá správcem v takovém případě, jako je tento, vhodná, pokud je neoprávněný přístup k osobním údajům nebo jejich neoprávněné zpřístupnění důsledkem ‚hackerského útoku‘?

Musí být čl. 82 odst. 3 nařízení (EU) 2016/679 vykládán v tom smyslu, že neoprávněné poskytnutí nebo zpřístupnění osobních údajů ve smyslu čl. 4 bodu 12 nařízení (EU) 2016/679, k němuž jako v projednávané věci došlo prostřednictvím ‚hackerského útoku‘ osob, které nejsou zaměstnanci administrativy správce a nepodléhají jeho kontrole, představuje událost, za kterou správce žádným způsobem nenese odpovědnost a která opravňuje ke zproštění odpovědnosti?

Musí být čl. 82 odst. 1 a 2 ve spojení s body 85 a 146 odůvodnění nařízení (EU) 2016/679 vykládány v tom smyslu, že v takovém případě porušení zabezpečení osobních údajů, o jaký se jedná v projednávané věci, který se projevuje neoprávněným zpřístupněním a šířením osobních údajů prostřednictvím ‚hackerského útoku‘, pod pojem ‚nehmotné újmy‘, který je třeba vykládat široce, spadají pouhé znepokojení, obavy a úzkost z možného budoucího zneužití osobních údajů, které zakusil subjekt údajů, a opravňují k náhradě újmy, pokud nebylo zjištěno, že k takovému zneužití došlo, nebo subjektu údajů nevznikla žádná další újma?“

15.

Projednávaná věc se týká zajímavých a částečně nových otázek týkajících se výkladu několika ustanovení nařízení ( 4 ).

16.

Všech pět předběžných otázek se točí kolem stejného tématu: podmínky pro náhradu nehmotné újmy osobě, jejíž osobní údaje v držení veřejné agentury byly zveřejněny na internetu v důsledku hackerského útoku.

17.

Z důvodu přehlednosti navrhnu samostatné souhrnné odpovědi na všechny otázky v uvedeném pořadí, i když jsem si vědom některých pojmových překryvů, neboť první čtyři otázky jsou zaměřeny na určení podmínek pro přičtení porušení ustanovení nařízení správci údajů ( 5 ) a pátá se týká přesněji pojmu „nehmotná újma“ pro účely náhrady újmy ( 6 ).

18.

Rád bych upozornil, že v současné době probíhá před Soudním dvorem několik řízení ve věcech týkajících se článku 82 nařízení a v jednom z nich již bylo předneseno stanovisko generálního advokáta, které v této analýze zohledním ( 7 ).

19.

Než se budu zabývat předloženými otázkami, považuji za vhodné učinit několik předběžných poznámek k zásadám a cílům nařízení, které budou užitečné pro řešení jednotlivých otázek.

20.

Článek 24 nařízení stanoví obecně povinnost správce zavést vhodná technická a organizační opatření, aby zajistil, že zpracování osobních údajů je v souladu s nařízením, a aby byl schopen to prokázat, zatímco článek 32 stanoví konkrétně stejnou povinnost s ohledem na zabezpečení zpracování. Články 24 a 32 upřesňují to, co je již stanoveno v čl. 5 odst. 2, který mezi „zásady zpracování osobních údajů“ zavádí „zásadu odpovědnosti“. Ta logicky navazuje na „zásadu integrity a důvěrnosti“ stanovenou v čl. 5 odst. 1 písm. f) a doplňuje ji a obě by měly být vykládány ve světle přístupu založeného na riziku, na němž je nařízení založeno.

21.

Zásada odpovědnosti je jedním z pilířů nařízení a jednou z jeho nejvýznamnějších inovací. Ukládá správci povinnost přijmout proaktivní opatření k zajištění souladu s nařízením a být připraven jej prokázat ( 8 ).

22.

V doktríně se hovoří o skutečné kulturní změně, která je důsledkem „globálního rozsahu povinnosti být odpovědný“ ( 9 ). Nejde ani tak o formální splnění zákonné povinnosti nebo konkrétního opatření, jako spíše o celkovou přijatou podnikovou strategii, která správce zprošťuje odpovědnosti z důvodu, že dodržuje právní úpravu ochrany údajů.

23.

Technická a organizační opatření vyžadovaná zásadou odpovědnosti musí být „vhodná“ s ohledem na faktory uvedené v článku 24: povahu, rozsah, kontext a účely zpracování a pravděpodobnost a závažnost rizik pro práva a svobody fyzických osob.

24.

Článek 24 tedy vyžaduje vhodnost opatření, aby bylo možné prokázat soulad zpracování se zásadami a ustanoveními nařízení.

25.

Naproti tomu článek 32 promítá zásadu odpovědnosti do konkrétních opatření, která mají být přijata, aby byla zajištěna „úroveň zabezpečení odpovídající danému riziku“. Tím doplňuje k již stanovaným faktorům, které je třeba vzít v úvahu při přípravě technických a organizačních opatření, stav techniky a náklady na provedení.

26.

Pojem „vhodnost“ vyžaduje, aby řešení přijatá k zabezpečení informačních systémů dosáhla určité úrovně přijatelnosti, a to jak z hlediska technického (relevantnost opatření), tak kvalitativního (účinnost ochrany). Aby bylo zajištěno dodržování zásad nezbytnosti, relevance a přiměřenosti, musí být zpracování nejen vhodné, ale také uspokojivé ve vztahu k cílům, které mají být sledovány. V této logice hraje rozhodující roli zásada minimalizace, podle níž musí všechny fáze zpracování údajů neustále usilovat o minimalizaci bezpečnostních rizik ( 10 ).

27.

Celé nařízení je zaměřeno na předcházení rizikům a odpovědnosti správce, a tedy na teleologickém přístupu, jehož cílem je co nejlepší výsledek z hlediska účinnosti, tedy daleko od formalistické logiky spojené s pouhou povinností dodržovat určité postupy za účelem zproštění se odpovědnosti ( 11 ).

28.

Článek 24 neobsahuje taxativní výčet „vhodných“ opatření: posouzení bude muset být provedeno případ od případu. To je v souladu s filozofií nařízení, z níž vyplývá, že bylo upřednostněno, aby postupy, které mají být přijaty, byly zvoleny na základě pečlivého posouzení konkrétní situace tak, aby byly co nejúčinnější ( 12 ).

29.

Podstatou první předběžné otázky předkládajícího soudu je, zda musí být články 24 a 32 nařízení vykládány v tom smyslu, že skutečnost, že nastalo „porušení zabezpečení osobních údajů“, jak je definováno v čl. 4 bodě 12, sama o sobě postačuje k závěru, že technická a organizační opatření zavedená správcem nebyla „vhodná“ k zajištění ochrany údajů.

30.

Ze znění článků 24 a 32 nařízení vyplývá, že správce musí při výběru technických a organizačních opatření, která má zavést k zajištění souladu s nařízením, zohlednit řadu hodnotících faktorů uvedených v těchto článcích a připomenutých výše.

31.

Správce má určitý manévrovací prostor při určování nejvhodnějších opatření s ohledem na svou konkrétní situaci, nicméně tato volba podléhá případnému soudnímu přezkumu souladu použitých opatření se všemi povinnostmi a cíli samotného nařízení.

32.

Zejména pokud jde o bezpečnostní opatření, čl. 32 odst. 1 vyžaduje, aby správce zohlednil „stav techniky“. To znamená omezení technologické úrovně opatření, která mají být provedena, na to, co je v době přijetí opatření rozumně možné: vhodnost opatření k předcházení riziku tedy musí odpovídat řešením, která nabízí současný stav vědy, techniky, technologie a výzkumu, a to i s ohledem, jak bude uvedeno dále, na náklady na provedení.

33.

Opatření mohou být v daném okamžiku „vhodná“, a přesto je mohou kyberzločinci obejít pomocí velmi sofistikovaných nástrojů, které dokážou prolomit i nejmodernější bezpečnostní opatření.

34.

Na druhou stranu se zdá nelogické předpokládat, že záměrem unijního normotvůrce bylo uložit správci povinnost zabránit jakémukoli porušení zabezpečení osobních údajů bez ohledu na pečlivost při zavádění bezpečnostních opatření ( 13 ).

35.

Jak bylo uvedeno výše, nařízení se odklání od automatismu a vyžaduje vysokou míru odpovědnosti správce, což však nemůže vést k nemožnosti správce prokázat, že řádně splnil povinnosti, které mu byly uloženy.

36.

Kromě toho čl. 32 odst. 1 vyžaduje, aby bylo přihlédnuto k „nákladům na provedení“ posuzovaných technických a organizačních opatření. Z toho vyplývá, že posouzení vhodnosti takových opatření musí být založeno na rovnováze mezi zájmy subjektu údajů, které obecně směřují k vyšší úrovni ochrany, a ekonomickými zájmy a technologickými možnostmi správce, které někdy směřují k nižší úrovni ochrany. Toto vyvažování musí splňovat požadavky obecné zásady proporcionality.

37.

K tomu je třeba s ohledem na systematický výklad dodat, že normotvůrce počítá s možností narušení systémů; v čl. 32 odst. 1 písm. c) je mezi navrhovanými opatřeními uvedena schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů. Zavedení bezpečnostních opatření, která zaručují úroveň bezpečnosti odpovídající riziku takové schopnosti, by nemělo smysl, pokud by se mělo za to, že samotné narušení systémů je důkazem nevhodnosti těchto opatření.

38.

Podstatou druhé předběžné otázky předkládajícího soudu je, jaký by měl být předmět a rozsah soudního přezkumu při ověřování vhodnosti technických a organizačních opatření zavedených správcem ve smyslu článku 32 nařízení.

39.

Vzhledem k různorodosti situací, které mohou v praxi nastat, nařízení – jak již bylo uvedeno – nestanoví závazná ustanovení pro určení technických a organizačních opatření, která musí správce přijmout, aby splnil požadavky nařízení. Vhodnost přijatých opatření bude proto třeba posoudit konkrétně a ověřit, zda byla konkrétní opatření vhodná k přiměřenému předcházení riziku a minimalizaci negativních dopadů porušení.

40.

Ačkoli je nepochybně pravda, že výběr a provádění takových opatření spadá do subjektivního posouzení správce, protože opatření uvedená v nařízení jsou pouze příklady, nemůže se soud při přezkumu omezit na kontrolu toho, zda správce plní své povinnosti podle článků 24 a 32, tedy zda (formálně) stanovil určitá technická a organizační opatření. Soud musí provést konkrétní analýzu obsahu těchto opatření, způsobu jejich uplatnění a jejich praktických účinků na základě důkazů, které má k dispozici, a okolností konkrétní věci. Jak správně uvedla portugalská vláda, „způsob, jakým splnil své povinnosti, se jeví jako neoddělitelný od obsahu přijatých opatření, aby správce prokázal, že s ohledem na konkrétní zpracování údajů (jeho povahu, rozsah, kontext a účely), stav dostupných technologií a jejich náklady, jakož i rizika pro práva a svobody občanů, přijal veškerá nezbytná a vhodná opatření k zajištění úrovně bezpečnosti odpovídající souvisejícímu riziku“ ( 14 ).

41.

Soudní přezkum tedy bude muset zohlednit všechny faktory obsažené v článcích 24 a 32, které, jak bylo uvedeno, uvádějí řadu kritérií pro posouzení vhodnosti a příklady opatření, která lze považovat za vhodná. Kromě toho, jak zdůraznila Komise a všechny členské státy, které předložily vyjádření k druhé otázce, čl. 32 odst. 1 až 3 zdůrazňuje potřebu „zajistit úroveň zabezpečení odpovídající danému riziku“ a poukazuje na další faktory, které jsou pro tento účel relevantní, například zda správce přijal schválený kodex chování nebo schválený systém pro vydávání osvědčení, které jsou stanoveny v článcích 40 a 42 nařízení.

42.

Přijetí kodexů chování nebo systémů pro vydávání osvědčení může být užitečným prvkem hodnocení pro účely unesení důkazního břemene a souvisejícího soudního přezkumu. Avšak s upřesněním, že nestačí, aby správce dodržoval kodex chování, ale že musí prokázat, že skutečně přijal opatření, která tento kodex stanoví, v souladu se zásadou odpovědnosti. Naopak vydávání osvědčení představuje „samo o sobě důkaz o souladu provedeného zpracování s nařízením, i když může být v praxi vyvrácen“ ( 15 ).

43.

Konečně je třeba uvést, že tato opatření mají být podle čl. 24 odst. 1 podle potřeby revidována a aktualizována. I to bude předmětem posouzení vnitrostátního soudu. Článek 32 odst. 1 nařízení ( 16 ) totiž ukládá správci povinnost neustálé kontroly a monitorování, a to jak před zpracováním, tak po něm, ale také udržování a případnou aktualizaci přijatých opatření, aby se předešlo porušování a případně omezily jeho účinky.

44.

Přikláním se však k vyloučení možnosti, aby nadcházející rozsudek obsahoval seznam podstatných prvků, jako je ten, který navrhuje portugalská vláda ( 17 ). To by mohlo nabídnout prostor pro protichůdné výklady, protože seznam samozřejmě nemůže být nikdy vyčerpávající.

45.

V rámci první části třetí otázky předkládající soud v podstatě žádá Soudní dvůr, aby určil, zda s ohledem na zásadu odpovědnosti stanovenou v čl. 5 odst. 2 a článku 24 ve spojení s bodem 74 odůvodnění ( 18 ) nařízení, v rámci žaloby na náhradu újmy podle článku 82, spočívá důkazní břemeno ohledně vhodnosti technických a organizačních opatření ve smyslu článku 32 na správci osobních údajů.

46.

Výše uvedené úvahy mi umožňují stručně odpovědět na tuto otázku kladně.

47.

Z litery právního předpisu, kontextu a účelu nařízení totiž jednoznačně vyplývá, že důkazní břemeno nese správce.

48.

Ze znění několika ustanovení nařízení vyplývá, že správce musí být „schopen“ nebo „způsobilý“„prokázat“, že plní své povinnosti podle nařízení, a zejména, že za tímto účelem zavedl vhodná opatření, jak je uvedeno v bodě 74 odůvodnění, čl. 5 odst. 2 a čl. 24 odst. 1. Jak zdůrazňuje portugalská vláda, výše uvedený bod 74 odůvodnění upřesňuje, že důkazní břemeno takto uložené správci musí zahrnovat důkaz „účinnosti dotčených opatření“.

49.

Tento doslovný výklad se mi zdá být podpořen následujícími praktickými a teleologickými úvahami.

50.

Pokud jde o rozložení důkazního břemene, v rámci žaloby na náhradu újmy na základě článku 82 musí subjekt údajů, který podává žalobu proti správci, prokázat, že zaprvé došlo k porušení nařízení, zadruhé utrpěl újmu a zatřetí mezi oběma předchozími prvky existuje příčinná souvislost, jak bylo uvedeno ve všech písemných vyjádřeních k páté předběžné otázce. Jedná se o tři kumulativní podmínky, jak vyplývá i z ustálené judikatury Soudního dvora a Tribunálu, v rámci mimosmluvní odpovědnosti v Unii ( 19 ).

51.

Domnívám se však, že povinnost žalobce prokázat existenci porušení nařízení nemůže jít tak daleko, aby musel prokázat, že technická a organizační opatření provedená správcem nejsou vhodná ve smyslu článků 24 a 32.

52.

Jak Komise zdůrazňuje, předložení takových důkazů by bylo v praxi často téměř nemožné, neboť subjekty údajů obvykle nemají dostatečné znalosti, aby mohly taková opatření analyzovat, ani přístup ke všem informacím, které má žalovaný správce k dispozici, zejména pokud jde o metody použité k zajištění bezpečnosti tohoto zpracování. Správce může navíc někdy tvrdit, že odmítnutí sdělit tyto skutečnosti subjektům údajů je založeno na legitimním důvodu nezveřejňovat své vnitřní záležitosti nebo dokonce informace, na které se vztahuje služební tajemství, mimo jiné právě z bezpečnostních důvodů.

53.

Pokud by se tedy mělo za to, že důkazní břemeno nese subjekt údajů, praktickým důsledkem by bylo, že by právo na podání žaloby podle čl. 82 odst. 1 ztratilo velkou část svého významu. Podle mého názoru by to nebylo v souladu se záměry unijního normotvůrce, který se přijetím tohoto nařízení snažil posílit práva subjektů údajů a povinnosti správců ve srovnání se směrnicí 95/46, kterou nahradilo. Je proto logičtější a právně udržitelnější, aby správce musel v rámci své obhajoby proti žalobě na náhradu újmy prokázat, že splnil své povinnosti vyplývající z článků 24 a 32 uvedeného nařízení přijetím účinných vhodných opatření.

54.

V rámci druhé části třetí otázky se předkládající soud v podstatě táže Soudního dvora, zda lze znalecký posudek považovat za nezbytný a dostatečný důkaz pro posouzení vhodnosti technických a organizačních opatření zavedených správcem osobních údajů v situaci, kdy k neoprávněnému přístupu k osobním údajům a jejich zpřístupnění došlo v důsledku hackerského útoku.

55.

Jak (v podstatě) zdůraznily bulharská a italská, jakož i irská vláda a Komise, domnívám se, že odpověď na tyto otázky musí vycházet z ustálené unijní judikatury, podle níž v souladu se zásadou procesní autonomie, při neexistenci unijních pravidel v dané oblasti, je na vnitrostátním právním řádu každého členského státu, aby upravil procesní podmínky soudních řízení určených k zajištění ochrany práv jednotlivců, avšak za podmínky, že nejsou méně příznivé než ty, kterými se řídí obdobné situace ve vnitrostátním právu (zásada rovnocennosti), a že v praxi neznemožňují nebo nadměrně neztěžují výkon práv přiznaných unijním právem (zásada efektivity).

56.

V projednávané věci uvádím, že nařízení neobsahuje žádné ustanovení, které by stanovilo přípustné způsoby dokazování a jejich důkazní hodnotu, zejména pokud jde o vyšetřovací úkony (jako je znalecký posudek), které vnitrostátní soudy mohou nebo musí nařídit za účelem posouzení, zda správce přijal vhodná opatření ve smyslu uvedeného nařízení. Domnívám se tedy, že vzhledem k neexistenci harmonizovaných pravidel v této oblasti je na vnitrostátním právním řádu každého členského státu, aby určil tyto procesní podmínky při dodržení zásad rovnocennosti a efektivity.

57.

Výše uvedená „zásada efektivity“, která vyžaduje, aby nezávislý soud provedl nestranné posouzení, by mohla být ohrožena, pokud by přídavné jméno „dostatečný“ bylo chápáno v tom smyslu, který mu podle mého názoru přikládá předkládající soud, a sice že ze znaleckého posudku může automaticky vyvodit, že opatření přijatá správcem jsou vhodná ( 20 ).

58.

Podstatou čtvrté otázky předkládajícího soudu je, zda musí být čl. 82 odst. 3 nařízení vykládán v tom smyslu, že pokud se porušení tohoto nařízení (spočívající, jako v projednávané věci, v „neoprávněném zpřístupnění“ nebo „neoprávněném přístupu“ k osobním údajům ve smyslu čl. 4 bodu 12) dopustily osoby, které nejsou zaměstnanci správce těchto údajů a nepodléhají jeho kontrole, představuje to událost, za kterou správce žádným způsobem nenese odpovědnost, a tudíž důvod pro zproštění odpovědnosti podle čl. 82 odst. 3.

59.

Odpověď na tuto otázku vyplývá lineárně z toho, co bylo řečeno výše o obecné filozofii nařízení: neexistují žádné automatismy, a proto pouhá skutečnost, že došlo k neoprávněnému zpřístupnění nebo neoprávněnému přístupu k osobním údajům vinou osob mimo sféru kontroly správce údajů, nezprošťuje správce odpovědnosti.

60.

Zaprvé je třeba z doslovného hlediska uvést, že čl. 82 odst. 3 ani bod 146 odůvodnění nestanoví žádné konkrétní podmínky, které mohou být splněny, aby byl správce zproštěn odpovědnosti, s výjimkou toho, že prokáže, že „za újmu nenese žádným způsobem odpovědnost“. Z této formulace vyplývá, že jednak se správce může zprostit odpovědnosti pouze tehdy, pokud prokáže, že za událost, která způsobila danou újmu, nenese odpovědnost, a jednak úroveň důkazů požadovaná tímto ustanovením je vysoká, vzhledem k použití pojmu „žádným způsobem“, jak zdůraznila Komise ( 21 ).

61.

Režim odpovědnosti stanovený v článku 82 a obecně v nařízení jako celku byl předmětem mnoha diskusí v doktríně různých členských států. Obsahuje totiž tradiční prvky typické pro mimosmluvní odpovědnost, ale také prvky, které jej ve struktuře ustanovení přibližují smluvní odpovědnosti, nebo dokonce formě objektivní odpovědnosti vzhledem k inherentní nebezpečnosti činnosti zpracování údajů. V tomto řízení není vhodné popisovat celou debatu, ale podle mého názoru se nezdá, že by článek 82 určoval režim objektivní odpovědnosti ( 22 ).

62.

Újma způsobená porušením zabezpečení osobních údajů může vzniknout jako zaviněný důsledek toho, že nebyla přijata přiměřená a v každém případě vhodná technická a organizační opatření, aby se jí zabránilo, s přihlédnutím k rizikům pro práva a svobody fyzických osob spojeným s danou činností zpracování. Tato rizika zpřísňují povinnost předcházet újmám a zabránit jim, čímž se rozšiřuje povinnost péče, kterou má správce. Ze společného výkladu povinností jednání, které mají správci, a ustanovení o zprošťujících důkazech, které má nést původce újmy, lze tedy vyvodit argument ve prospěch uznání povahy přitěžující odpovědnosti za předpokládané zavinění v případě odpovědnosti za protiprávní zpracování osobních údajů stanovené v článku 82 nařízení ( 23 ).

63.

Z toho vyplývá možnost správce předložit zprošťující důkazy (což v případě objektivní odpovědnosti není povoleno). Pokud jde o rozložení důkazního břemene, čl. 82 odst. 3 nařízení stanoví režim příznivý pro poškozenou osobu a stanoví formu obrácení důkazního břemene ohledně zavinění původce újmy ( 24 ) v plné symetrii s výše uvedeným obrácením důkazního břemene ohledně vhodnosti přijatých opatření. Normotvůrce tak dává najevo, že si je vědom nebezpečí spojeného s přijetím odlišného rozložení důkazního břemene, které by v případě, že by důkazní břemeno ohledně zavinění původce újmy přenesl na poškozeného, vedlo k nadměrnému zatížení jeho postavení, a tím vlastně k ohrožení funkčnosti ochrany náhrady újmy v kontextu pravidel spojených s používáním nových technologií. Pro subjekt údajů totiž může být obzvláště obtížné rekonstruovat a mít přístup ke způsobu vzniku újmy a následně prokázat zavinění správce. Naopak správce je v nejlepší pozici, aby předložil zprošťující důkazy, které prokáží, že škodnou událost v žádném případě nezavinil ( 25 ).

64.

Správce bude muset v souladu s výše popsanou zásadou odpovědnosti rovněž prokázat, že učinil vše pro včasné obnovení dostupnosti a přístupu k osobním údajům.

65.

Vrátíme-li se k otázce předkládajícího soudu na základě toho, co bylo dosud řečeno o povaze odpovědnosti správce, ačkoli, jak bylo uvedeno výše, se správce může zprostit odpovědnosti tím, že prokáže, že porušení bylo způsobeno příčinou, za kterou žádným způsobem nenese odpovědnost, nelze za ni považovat pouhou skutečnost, že událost byla způsobena osobou mimo jeho sféru kontroly.

66.

Pokud se správce stane obětí útoku kyberzločinců, lze mít za to, že událost, která vedla ke vzniku újmy, nelze přičítat správci, avšak nelze vyloučit, že k dotyčnému útoku vedla nedbalost správce, která jej usnadnila v důsledku neexistence nebo nevhodnosti opatření pro zabezpečení osobních údajů, která je správce povinen provést. Jedná se o skutkové posouzení, které je specifické pro každý případ a je ponecháno na vnitrostátním soudu, u něhož bylo řízení zahájeno, a to na základě důkazů, které mu byly předloženy.

67.

Je také běžnou zkušeností, že vnější útoky na systémy veřejných nebo soukromých subjektů, které uchovávají velké množství osobních údajů, jsou mnohem častější než interní útoky. Správce proto musí zavést vhodná opatření, aby se vypořádal zejména s vnějšími útoky.

68.

Závěrem je třeba z teleologického hlediska uvést, že nařízení sleduje cíl vysoké úrovně ochrany. V tomto ohledu Soudní dvůr již zdůraznil, že z čl. 1 odst. 2 nařízení ve spojení s jeho body 10, 11 a 13 odůvodnění vyplývá, že toto nařízení ukládá unijním orgánům, institucím a jiným subjektům, jakož i příslušným orgánům členských států povinnost zajistit vysokou úroveň ochrany práv týkajících se ochrany osobních údajů zaručených článkem 16 SFEU a článkem 8 Listiny ( 26 ).

69.

Pokud by se Soudní dvůr přiklonil k výkladu, podle něhož by v případě, že se porušení nařízení dopustila třetí osoba, měl být správce automaticky zproštěn odpovědnosti podle čl. 82 odst. 3, měl by takový výklad za následek neslučitelnost s cílem ochrany sledovaným tímto nástrojem, neboť by oslabil práva subjektů údajů, jelikož by omezil tuto odpovědnost na případy, kdy je porušení způsobeno osobami, které jsou podřízeny nebo kontrolovány tímto správcem.

70.

Svou pátou otázkou vnitrostátní soud v podstatě žádá Soudní dvůr, aby vyložil pojem „nemajetková újma“ (v jazyce nařízení „nehmotná“) ve smyslu článku 82 nařízení. Konkrétně se táže, zda musí být čl. 82 odst. 1 a 2 nařízení ve spojení s body 85 a 146 odůvodnění tohoto nařízení ( 27 ) vykládán v tom smyslu, že v situaci, kdy porušení tohoto nařízení spočívalo v neoprávněném přístupu k osobním údajům a jejich neoprávněném zpřístupnění ze strany kyberzločinců, může skutečnost, že se subjekt údajů obává možného zneužití svých osobních údajů v budoucnu, sama o sobě představovat (nemajetkovou) újmu opravňující jej k náhradě újmy.

71.

Článek 82 ani body odůvodnění týkající se náhrady újmy neposkytují jasnou odpověď na tuto otázku, ale lze z nich vyvodit některé užitečné prvky pro analýzu: nehmotná (nebo nemajetková) újma může být předmětem náhrady vedle hmotné (nebo majetkové) újmy; porušení nařízení nemá automaticky za následek vznik újmy, která je tímto porušením „způsobena“, nebo přesněji řečeno, porušení ochrany osobních údajů „může způsobit“ fyzickým osobám fyzickou, hmotnou nebo nehmotnou újmu; pojem „újma“ by měl být vykládán „široce“ ve světle judikatury Soudního dvora, tak aby plně odrážel cíle nařízení; náhrada „utrpěné“ újmy by měla být „plná a účinná“.

72.

Již doslovné znění ustanovení nařízení vylučuje jakýkoli náznak újmy z povahy věci: hlavním cílem občanskoprávní odpovědnosti stanovené nařízením je poskytnout subjektu údajů zadostiučinění, a to právě prostřednictvím „plné a účinné“ náhrady utrpěné újmy, a tedy obnovit rovnováhu právního stavu, který byl porušením práva negativně ovlivněn ( 28 ).

73.

Dále i ze systematického hlediska, stejně jako v právu hospodářské soutěže, nařízení stanoví dva pilíře ochrany: jeden veřejnoprávní, se stanovením sankcí v případě porušení ustanovení nařízení, a druhý soukromoprávní, stanovující občanskoprávní odpovědnost mimosmluvní povahy, kterou lze kvalifikovat jako přitěžující v důsledku předpokládaného zavinění s výše uvedenými charakteristikami, a to i s odkazem na zprošťující důkazy ( 29 ).

74.

Extenzivní výklad ( 30 ) pojmu „(nemajetková) újma“ tedy nemůže jít tak daleko, aby se mělo za to, že normotvůrce upustil od nutnosti, aby skutečná „újma“ byla konfigurovatelná.

75.

Skutečnou hmotněprávní otázkou je, zda po prokázání existence porušení a příčinné souvislosti může vzniknout právo na náhradu újmy z důvodu pouhého znepokojení, obav a úzkosti, které subjekt údajů pociťuje v souvislosti s možným budoucím zneužitím osobních údajů, pokud takové zneužití nebylo prokázáno nebo subjekt údajů neutrpěl žádnou další újmu.

76.

Podle ustálené judikatury Soudního dvora musí být pojmy ustanovení unijního práva, které za účelem vymezení svého smyslu a rozsahu výslovně neodkazuje na právo členských států, zpravidla vykládány autonomním a jednotným způsobem v celé Unii, přičemž tento výklad je třeba nalézt s přihlédnutím ke znění tohoto ustanovení, ke kontextu, do kterého je zasazeno, k cílům sledovaným dotčenou právní úpravou, jejíž je součástí, a k historii vzniku tohoto ustanovení ( 31 ).

77.

Jak připomněl generální advokát Manuel Campos Sánchez-Bordona ( 32 ), Soudní dvůr nevypracoval obecnou definici „újmy“, která by byla použitelná bez rozdílu v jakékoli oblasti ( 33 ). Pokud jde o nemajetkovou újmu, lze z jeho judikatury vyvodit, že je-li jedním z cílů vykládaného ustanovení ochrana jednotlivce nebo určité kategorie jednotlivců ( 34 ), musí být pojem „újma“ široký; v souladu s tímto kritériem se náhrada vztahuje i na nehmotnou újmu, i když není ve vykládaném ustanovení uvedena ( 35 ).

78.

Ačkoli judikatura Soudního dvora umožňuje tvrdit, že za výše uvedených podmínek existuje v unijním právu zásada náhrady nehmotné újmy, souhlasím s generálním advokátem Manuelem Campos Sánchez-Bordonou, že z ní nelze vyvodit pravidlo, podle něhož lze nahradit každou nehmotnou újmu, ať už je jakkoli závažná ( 36 ).

79.

V této souvislosti je relevantní rozlišení mezi nahraditelnou nehmotnou újmou a jinými nepříznivými důsledky nedodržení právní úpravy, které by pro svůj menší význam nemusely nutně zakládat právo na náhradu újmy ( 37 ).

80.

Soudní dvůr uznává tento rozdíl, když označuje potíže a nepohodlí za samostatnou kategorii ve vztahu k újmám, a to v oblastech, kde se domnívá, že by měly být nahrazeny ( 38 ).

81.

Empiricky lze uvést, že jakékoli porušení pravidla ochrany osobních údajů vyvolá určitou negativní reakci ze strany subjektu údajů. Náhrada odvozená z pouhého pocitu nelibosti nad nerespektováním práva druhou osobou je snadno zaměnitelná s náhradou bez vzniku újmy, která se nezdá být konfigurovatelná v případě uvedeném v článku 82 nařízení, jak již bylo uvedeno.

82.

Skutečnost, že za takových okolností, jako jsou okolnosti ve věci v původním řízení, je zneužití osobních údajů pouze potenciální, a nikoli skutečné, postačuje k tomu, aby bylo možné konstatovat, že subjektu údajů mohla vzniknout nemajetková újma způsobená porušením nařízení, pokud subjekt údajů prokáže, že obava z takového zneužití mu skutečně, a konkrétně způsobila skutečnou a určitou citovou újmu ( 39 ).

83.

Hranice mezi pouhým rozhořčením (které nelze nahradit) a skutečnou nehmotnou újmou (kterou lze nahradit) je nepochybně tenká, ale vnitrostátní soudy, jejichž úkolem je tuto hranici v každém jednotlivém případě vymezit, by měly pečlivě posoudit všechny skutečnosti, které subjekt údajů žádající o náhradu uvedl, který bude mít povinnost přesně, a nikoliv obecně, tvrdit konkrétní skutečnosti, které mohou vést ke vzniku „skutečně utrpěné nemajetkové újmy“ v důsledku porušení zabezpečení osobních údajů, i když nedosahuje předem stanovené hranice zvláštní závažnosti: důležité je, že se nejedná o pouhé subjektivní vnímání, které je proměnlivé a závisí také na charakterových a osobních prvcích, ale o objektivizaci nepříjemnosti, byť nepatrné, ale prokazatelné, pro fyzickou nebo psychickou sféru člověka nebo pro jeho mezilidské vztahy; povaha dotčených osobních údajů a jejich význam v životě dotčené osoby a možná také vnímání, které v daném okamžiku má společnost o této konkrétní nepříjemnosti spojené s porušením ochrany osobních údajů ( 40 ).

84.

Na základě všech výše uvedených úvah navrhuji, aby Soudní dvůr odpověděl na předběžné otázky takto:

„Články 5, 24, 32 a 82 nařízení 2016/679 musí být vykládány v tom smyslu, že

pouhá existence ‚porušení zabezpečení osobních údajů‘, jak je definováno v čl. 4 bodě 12, sama o sobě nestačí k závěru, že technická a organizační opatření zavedená správcem údajů nebyla ‚vhodná‘ k zajištění ochrany dotčených údajů;

při posuzování vhodnosti technických a organizačních opatření provedených správcem osobních údajů musí vnitrostátní soud, u něhož bylo řízení zahájeno, provést přezkum zahrnující konkrétní analýzu jak obsahu těchto opatření, tak způsobu jejich uplatnění a jejich praktických účinků;

v rámci žaloby na náhradu újmy podle článku 82 GDPR nese správce důkazní břemeno ohledně vhodnosti opatření, která provedl podle článku 32 uvedeného nařízení;

v souladu se zásadou procesní autonomie přísluší vnitrostátnímu právnímu řádu každého členského státu stanovit přípustné způsoby dokazování a jejich důkazní hodnotu, včetně vyšetřovacích úkonů, které vnitrostátní soudy mohou nebo musí nařídit za účelem posouzení, zda správce zavedl vhodná opatření ve smyslu uvedeného nařízení v souladu se zásadami rovnocennosti a efektivity zakotvenými unijním právem;

skutečnost, že se porušení tohoto nařízení, které způsobilo dotčenou újmu, dopustila třetí osoba, není sama o sobě důvodem pro to, aby byl správce zproštěn odpovědnosti, přičemž aby mohl využít zproštění stanoveného tímto ustanovením, musí správce prokázat, že za toto porušení žádným způsobem nenese odpovědnost;

újma spočívající v obavě z možného budoucího zneužití svých osobních údajů, jejíž existenci subjekt údajů prokázal, může představovat nemajetkovou újmu, která zakládá právo na náhradu újmy, pokud subjekt údajů prokáže, že individuálně utrpěl skutečnou a určitou citovou újmu, což přísluší ověřit v každém jednotlivém případě vnitrostátnímu soudu, u něhož bylo řízení zahájeno.“