This document is an excerpt from the EUR-Lex website
Document 62021CJ0687
Judgment of the Court (Third Chamber) of 25 January 2024.#BL v MediaMarktSaturn Hagen-Iserlohn GmbH.#Request for a preliminary ruling from the Amtsgericht Hagen.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Interpretation of Articles 5, 24, 32 and 82 – Assessment of the validity of Article 82 – Inadmissibility of the request for an assessment of validity – Right to compensation for damage caused by data processing which infringes that regulation – Transmission of data to an unauthorised third party on account of an error made by the employees of the controller – Assessment of the appropriateness of the protective measures implemented by the controller – Compensatory function fulfilled by the right to compensation – Effect of the severity of the infringement – Whether necessary to establish the existence of damage caused by that infringement – Concept of ‘non-material damage’.#Case C-687/21.
Rozsudek Soudního dvora (třetího senátu) ze dne 25. ledna 2024.
BL v. MediaMarktSaturn Hagen-Iserlohn GmbH.
Žádost o rozhodnutí o předběžné otázce podaná Amtsgericht Hagen.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Výklad článků 5, 24, 32 a 82 – Posouzení platnosti článku 82 – Nepřípustnost návrhu na posouzení platnosti – Právo na náhradu újmy způsobené zpracováním těchto údajů v rozporu s tímto nařízením – Předání údajů neoprávněné třetí straně z důvodu nedopatření zaměstnanců správce – Posouzení vhodnosti ochranných opatření zavedených správcem – Kompenzační funkce, kterou plní právo na náhradu újmy – Dopad závažnosti porušení – Nezbytnost prokázat existenci újmy způsobené uvedeným porušením – Pojem ‚nehmotná újma‘.
Věc C-687/21.
Rozsudek Soudního dvora (třetího senátu) ze dne 25. ledna 2024.
BL v. MediaMarktSaturn Hagen-Iserlohn GmbH.
Žádost o rozhodnutí o předběžné otázce podaná Amtsgericht Hagen.
Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Výklad článků 5, 24, 32 a 82 – Posouzení platnosti článku 82 – Nepřípustnost návrhu na posouzení platnosti – Právo na náhradu újmy způsobené zpracováním těchto údajů v rozporu s tímto nařízením – Předání údajů neoprávněné třetí straně z důvodu nedopatření zaměstnanců správce – Posouzení vhodnosti ochranných opatření zavedených správcem – Kompenzační funkce, kterou plní právo na náhradu újmy – Dopad závažnosti porušení – Nezbytnost prokázat existenci újmy způsobené uvedeným porušením – Pojem ‚nehmotná újma‘.
Věc C-687/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:72
ROZSUDEK SOUDNÍHO DVORA (třetího senátu)
25. ledna 2024 ( *1 )
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Výklad článků 5, 24, 32 a 82 – Posouzení platnosti článku 82 – Nepřípustnost návrhu na posouzení platnosti – Právo na náhradu újmy způsobené zpracováním těchto údajů v rozporu s tímto nařízením – Předání údajů neoprávněné třetí straně z důvodu nedopatření zaměstnanců správce – Posouzení vhodnosti ochranných opatření zavedených správcem – Kompenzační funkce, kterou plní právo na náhradu újmy – Dopad závažnosti porušení – Nezbytnost prokázat existenci újmy způsobené uvedeným porušením – Pojem ‚nehmotná újma‘“
Ve věci C‑687/21,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Amtsgericht Hagen (okresní soud v Hagenu, Německo) ze dne 11. října 2021, došlým Soudnímu dvoru dne 16. listopadu 2021, v řízení
BL
proti
MediaMarktSaturn Hagen-Iserlohn GmbH, dříve Saturn Electro-Handelsgesellschaft mbH Hagen,
SOUDNÍ DVŮR (třetí senát),
ve složení: K. Jürimäe, předsedkyně senátu, N. Piçarra, M. Safjan, N. Jääskinen (zpravodaj) a M. Gavalec, soudci,
generální advokát: M. Campos Sánchez-Bordona,
za soudní kancelář: A. Calot Escobar, vedoucí,
s přihlédnutím k písemné části řízení,
s ohledem na vyjádření, která předložili:
– |
za BL: D. Pudelko, Rechtsanwalt, |
– |
za MediaMarktSaturn Hagen-Iserlohn GmbH, dříve Saturn Electro – Handelsgesellschaft mbH Hagen: B. Hackl, Rechtsanwalt, |
– |
za Irsko: M. Browne, Chief State Solicitor, A. Joyce a M. Lane, jako zmocněnci, ve spolupráci s: D. Fennelly, BL, |
– |
za Evropský parlament: O. Hrstková Šolcová a J.-C. Puffer, jako zmocněnci, |
– |
za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci, |
s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generálního advokáta, rozhodnout věc bez stanoviska,
vydává tento
Rozsudek
1 |
Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 2 odst. 1, čl. 4 bodu 7, čl. 5 odst. 1 písm. f), čl. 6 odst. 1, článku 24, čl. 32 odst. 1 písm. b) a odst. 2, jakož i článku 82 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“), a posouzení platnosti tohoto článku 82. |
2 |
Tato žádost byla předložena v rámci sporu mezi BL, fyzickou osobou, a společností MediaMarktSaturn Hagen-Iserlohn GmbH, dříve Saturn Electro-Handelsgesellschaft mbH Hagen (dále jen „Saturn“), ve věci náhrady nemajetkové újmy, kterou uvedená osoba údajně utrpěla v důsledku předání některých svých osobních údajů třetí straně, k němuž došlo nedopatřením zaměstnanců této společnosti. |
Právní rámec
3 |
Body 11, 74, 76, 83, 85 a 146 odůvodnění GDPR znějí následovně:
[…]
[…]
[…]
[…]
[…]
|
4 |
Článek 2, nadepsaný „Věcná působnost“, obsažený v kapitole I tohoto nařízení, upravující „Obecná ustanovení“, v odstavci 1 stanoví: „Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.“ |
5 |
Článek 4 uvedeného nařízení, nadepsaný „Definice“, stanoví: „Pro účely tohoto nařízení se rozumí:
[…]
[…]
[…]
[…]“ |
6 |
Kapitola II GDPR, nadepsaná „Zásady“, obsahuje články 5 až 11 tohoto nařízení. |
7 |
Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví: „1. Osobní údaje musí být: […]
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“ |
8 |
Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, definuje v odstavci 1 podmínky, které musí být splněny, aby bylo zpracování zákonné. |
9 |
Kapitola IV GDPR, nadepsaná „Správce a zpracovatel“, obsahuje články 24 až 43 tohoto nařízení. |
10 |
Článek 24, nadepsaný „Odpovědnost správce“, obsažený v oddíle 1 této kapitoly IV, nadepsaném „Obecné povinnosti“, v odstavcích 1 a 2 stanoví: „1. S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována. 2. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.“ |
11 |
Článek 32 GDPR, nadepsaný „Zabezpečení zpracování“, obsažený v oddíle 2 uvedené kapitoly IV, nadepsaném „Zabezpečení osobních údajů“, v odst. 1 písm. b) a odst. 2 stanoví: „1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: […]
[…] 2. Při posuzování vhodné úrovně zabezpečení se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.“ |
12 |
Kapitola VIII GDPR, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84 tohoto nařízení. |
13 |
Článek 82 uvedeného nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, stanoví: „1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. 2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. […] 3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla. […]“ |
14 |
Článek 83 GDPR, nadepsaný „Obecné podmínky pro ukládání správních pokut“, stanoví: „1. Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující. 2. […] Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:
[…]
[…]
3. Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení. […]“ |
15 |
Článek 84 tohoto nařízení, nadepsaný „Sankce“, v odstavci 1 stanoví: „Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“ |
Spor v původním řízení a předběžné otázky
16 |
Žalobce v původním řízení navštívil obchodní prostory společnosti Saturn, kde si zakoupil domácí elektrický spotřebič. Za tímto účelem vyhotovil zaměstnanec této společnosti smlouvu o koupi a úvěru. Při této příležitosti zadal do počítačového systému společnosti Saturn několik osobních údajů tohoto zákazníka, a sice jeho příjmení a jméno, adresu, místo bydliště, název jeho zaměstnavatele, jeho příjmy a bankovní údaje. |
17 |
Smluvní dokumenty s těmito osobními údaji byly vytištěny a podepsány oběma stranami. Žalobce v původním řízení je následně předal zaměstnancům společnosti Saturn v místě výdeje zboží. Jiný zákazník, který nenápadně předběhl žalobce v původním řízení, obdržel omylem jak spotřebič objednaný žalobcem, tak předmětné dokumenty a vše si odnesl. |
18 |
Vzhledem k rychlému zjištění omylu obdržel zaměstnanec společnosti Saturn přístroj a dokumenty zpět; tyto byly do půl hodiny po jejich vydání druhému zákazníkovi vráceny žalobci v původním řízení. Podnik nabídl žalobci v původním řízení za toto nedopatření odškodnění v podobě bezplatného dodání předmětného spotřebiče do jeho bydliště, avšak dotyčný považoval toto odškodnění za nedostatečné. |
19 |
Žalobce v původním řízení podal k Amtsgericht Hagen (okresní soud v Hagenu, Německo), který je předkládajícím soudem v projednávané věci, žalobu, kterou se domáhal, zejména na základě ustanovení GDPR, náhrady nehmotné újmy, kterou podle svého tvrzení utrpěl v důsledku nedopatření zaměstnanců společnosti Saturn a z něj plynoucího rizika ztráty kontroly nad svými osobními údaji. |
20 |
Společnost Saturn na svou obranu zaprvé namítá, že nedošlo k porušení GDPR a že k takovému porušení může dojít pouze tehdy, je-li překročena určitá míra závažnosti, které nebylo v projednávané věci dosaženo. Zadruhé tato společnost tvrdí, že žalobci v původním řízení nevznikla žádná újma, neboť nebylo zjištěno, ba ani tvrzeno, že by dotyčná třetí strana zneužila osobní údaje žalobce. |
21 |
Předkládající soud si zaprvé klade otázku ohledně platnosti článku 82 GDPR, jelikož se mu tento článek jeví jako neurčitý z hlediska jeho právních účinků v případě náhrady nehmotné újmy. |
22 |
Zadruhé pro případ, že by tento článek 82 nebyl Soudním dvorem prohlášen za neplatný, si předkládající soud přeje vědět, zda uplatnění nároku na náhradu újmy stanoveného v tomto článku předpokládá prokázání nejen porušení GDPR, ale také toho, že osobě požadující náhradu újmy taková újma, a konkrétně újma nehmotné povahy, vznikla. |
23 |
Zatřetí se předkládající soud snaží zjistit, zda porušení GDPR může představovat pouhá skutečnost, že vytištěné dokumenty obsahující osobní údaje byly neoprávněně předány třetí straně z důvodu nedopatření, jehož se dopustili zaměstnanci správce. |
24 |
Začtvrté, i když má uvedený soud za to, že „důkazní břemeno ohledně své neviny musí nést [žalovaný] podnik“, táže se, zda k tomu, aby bylo možné mít za to, že došlo k porušení GDPR, zejména z hlediska povinnosti správce zavést vhodná opatření k zabezpečení zpracovávaných údajů podle článků 2, 5, 6 a 24 tohoto nařízení, postačí konstatovat, že k takovému předání dokumentů došlo z nedbalosti. |
25 |
Zapáté si předkládající soud klade otázku, zda i v případě, že se neoprávněná třetí strana podle všeho neseznámila s dotyčnými osobními údaji před vrácením dokumentů, v nichž byly obsaženy, může být existence „nehmotné újmy“ ve smyslu článku 82 GDPR prokázána na základě pouhé skutečnosti, že osoba, jejíž údaje byly takto předány, pociťuje obavu z rizika, které nelze podle tohoto soudu vyloučit, že tyto údaje budou v budoucnosti touto třetí stranou sděleny dalším osobám, či dokonce zneužity. |
26 |
Zašesté se uvedený soud táže, jaký případný dopad má v rámci žaloby na náhradu nehmotné újmy na základě tohoto článku 82 stupeň závažnosti porušení, k němuž došlo za takových okolností, jako jsou okolnosti v původním řízení, vzhledem k tomu, že správce mohl podle jeho názoru přijmout účinnější bezpečnostní opatření. |
27 |
A konečně zasedmé by chtěl předkládající soud znát účel náhrady nehmotné újmy, kterou stanoví GDPR, a naznačuje, že by tato újma mohla mít povahu sankce rovnocenné smluvní pokutě. |
28 |
Za těchto podmínek se Amtsgericht Hagen (okresní soud v Hagenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
|
K předběžným otázkám
K první otázce
29 |
Podstatou první otázky předkládajícího soudu je, zda je článek 82 GDPR neplatný, jelikož neupřesňuje právní následky, které je třeba vyvodit v případě náhrady nehmotné újmy. |
30 |
Evropský parlament tvrdí, že tato otázka je nepřípustná, neboť předkládající soud nedostál požadavkům čl. 94 písm. c) jednacího řádu Soudního dvora, přestože vznáší obzvláště složitou otázku, a sice posouzení platnosti ustanovení unijního práva. |
31 |
V souladu s čl. 94 písm. c) jednacího řádu musí žádost o rozhodnutí o předběžné otázce kromě znění předběžných otázek položených Soudnímu dvoru uvádět důvody, na základě kterých má předkládající soud pochybnosti o výkladu nebo platnosti určitých ustanovení práva Unie. |
32 |
V této souvislosti je uvedení důvodů žádosti o rozhodnutí o předběžné otázce nezbytné nejen k tomu, aby Soudní dvůr mohl podat užitečné odpovědi, ale rovněž k tomu, aby vlády členských států, jakož i ostatní zúčastněné strany mohly předložit vyjádření v souladu s článkem 23 statutu Soudního dvora Evropské unie. Konkrétně musí Soudní dvůr zkoumat platnost ustanovení unijního práva ve vztahu k důvodům neplatnosti uvedeným v předkládacím rozhodnutí, takže neuvedení konkrétních důvodů, které vedly předkládající soud k pochybnostem o této otázce, má za následek nepřípustnost otázek týkajících se uvedené platnosti (v tomto smyslu viz rozsudky ze dne 15. června 2017, T.KUP, C‑349/16, EU:C:2017:469, body 16 až 18, a ze dne 22. června 2023, Vitol, C‑268/22, EU:C:2023:508, body 52 až 55). |
33 |
V projednávané věci přitom předkládající soud neuvádí žádnou konkrétní skutečnost, která by Soudnímu dvoru umožnila zkoumat platnost článku 82 GDPR. |
34 |
První otázka musí být tedy prohlášena za nepřípustnou. |
K třetí a čtvrté otázce
35 |
Podstatou třetí a čtvrté otázky předkládajícího soudu, které je třeba zkoumat společně a na prvním místě, je, zda musí být články 5, 24, 32 a 82 GDPR ve vzájemném spojení vykládány v tom smyslu, že v rámci žaloby na náhradu újmy na základě tohoto článku 82 postačuje okolnost, že zaměstnanci správce předali omylem neoprávněné třetí straně dokument obsahující osobní údaje, sama o sobě k závěru, že technická a organizační opatření zavedená dotyčným správcem nebyla „vhodná“ ve smyslu těchto článků 24 a 32. |
36 |
Článek 24 GDPR stanoví obecnou povinnost správce osobních údajů zavést vhodná technická a organizační opatření, aby zajistil, že uvedené zpracování bude prováděno v souladu s tímto nařízením, a mohl to doložit (rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 24). |
37 |
Článek 32 GDPR pak upřesňuje povinnosti správce a případného zpracovatele, pokud jde o zabezpečení tohoto zpracování. Odstavec 1 tohoto článku stanoví, že posledně zmínění musí provést vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající rizikům spojeným s uvedeným zpracováním, a to s přihlédnutím ke stavu techniky, nákladům na provedení, jakož i k povaze, rozsahu, kontextu a účelům dotyčného zpracování. Stejně tak odstavec 2 uvedeného článku stanoví, že při posuzování vhodné úrovně zabezpečení se musí zohlednit zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů, nebo neoprávněný přístup k nim (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 26 a 27). |
38 |
Ze znění článků 24 a 32 GDPR vyplývá, že vhodnost opatření zavedených správcem musí být posouzena konkrétně, s přihlédnutím k jednotlivým kritériím stanoveným v těchto článcích a potřebám ochrany údajů, které jsou specificky spojeny s dotyčným zpracováním, jakož i s riziky plynoucími z tohoto zpracování, a to tím spíše, že uvedený správce musí být schopen doložit soulad uvedených opatření s tímto nařízením, což je možnost, o kterou by v případě připuštění nevyvratitelné domněnky přišel (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 30 až 32). |
39 |
Tento doslovný výklad je podpořen výkladem uvedených článků 24 a 32 ve spojení s čl. 5 odst. 2 a článkem 82 uvedeného nařízení, ve světle bodů 74, 76 a 83 odůvodnění tohoto nařízení, z nichž zejména vyplývá, že správce je povinen zmírnit rizika porušení zabezpečení osobních údajů, a nikoli zabránit jakémukoliv porušení jejich zabezpečení (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 33 až 38). |
40 |
Soudní dvůr tedy vyložil články 24 a 32 GDPR v tom smyslu, že samotná skutečnost, že došlo k neoprávněnému poskytnutí nebo zpřístupnění těchto údajů „třetími stranami“ ve smyslu čl. 4 bodu 10 tohoto nařízení nepostačuje k tomu, aby bylo možné mít za to, že technická a organizační opatření zavedená dotčeným správcem nejsou „vhodná“ ve smyslu těchto článků 24 a 32 (rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 39). |
41 |
Okolnost, že v projednávané věci zaměstnanci správce nedopatřením předali neoprávněné třetí straně dokument obsahující osobní údaje, by mohla naznačovat, že technická a organizační opatření zavedená dotyčným správcem nebyla „vhodná“ ve smyslu uvedených článků 24 a 32. Taková okolnost může vyplývat především z nedbalosti nebo organizačních nedostatků správce, který nezohledňuje rizika spojená se zpracováním předmětných údajů konkrétně. |
42 |
V tomto ohledu je třeba zdůraznit, že ze znění článků 5, 24 a 32 GDPR ve spojení s bodem 74 odůvodnění tohoto nařízení vyplývá, že v rámci žaloby na náhradu újmy na základě článku 82 tohoto nařízení nese důkazní břemeno ohledně toho, že osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení ve smyslu čl. 5 odst. 1 písm. f) a článku 32 uvedeného nařízení, příslušný správce. Takové rozložení důkazního břemene může nejen motivovat správce těchto údajů k přijetí bezpečnostních opatření požadovaných GDPR, ale rovněž zajistit užitečný účinek práva na náhradu újmy stanoveného v článku 82 tohoto nařízení a dostát záměrům unijního normotvůrce uvedeným v bodě 11 odůvodnění tohoto nařízení (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 49 až 56). |
43 |
Soudní dvůr tedy vyložil zásadu odpovědnosti správce, která je uvedena v čl. 5 odst. 2 GDPR a konkretizována v článku 24, v tom smyslu, že v rámci žaloby na náhradu újmy na základě článku 82 tohoto nařízení nese dotčený správce důkazní břemeno ohledně vhodnosti bezpečnostních opatření, která provedl podle článku 32 uvedeného nařízení (rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 57). |
44 |
Soud, k němuž byla podána taková žaloba na náhradu újmy na základě článku 82 GDPR, nemůže tedy za účelem určení, zda došlo k porušení povinnosti stanovené tímto nařízením, zohlednit pouze okolnost, že zaměstnanci správce omylem předali neoprávněné třetí straně dokument obsahující osobní údaje. Tento soud musí totiž zohlednit i veškeré důkazy, které správce předložil, aby prokázal vhodnost technických a organizačních opatření, která přijal za účelem splnění povinností podle článků 24 a 32 uvedeného nařízení. |
45 |
S ohledem na výše uvedené důvody je třeba na třetí a čtvrtou otázku odpovědět tak, že články 5, 24, 32 a 82 GDPR ve vzájemném spojení musí být vykládány v tom smyslu, že v rámci žaloby na náhradu újmy na základě tohoto článku 82 nepostačuje okolnost, že zaměstnanci správce předali omylem neoprávněné třetí straně dokument obsahující osobní údaje, sama o sobě k závěru, že technická a organizační opatření zavedená dotyčným správcem nebyla „vhodná“ ve smyslu těchto článků 24 a 32. |
K sedmé otázce
46 |
Podstatou sedmé otázky předkládajícího soudu je, zda článek 82 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní, zejména v případě nehmotné újmy, sankční funkci. |
47 |
V této souvislosti Soudní dvůr rozhodl, že článek 82 GDPR nemá sankční, ale kompenzační funkci, na rozdíl od jiných ustanovení tohoto nařízení, která jsou rovněž obsažena v kapitole VIII tohoto nařízení, a sice jeho článků 83 a 84, které mají v zásadě sankční účel, neboť umožňují uložit správní pokuty, jakož i jiné sankce. Vztah mezi pravidly stanovenými v uvedeném článku 82 a pravidly stanovenými v uvedených článcích 83 a 84 ukazuje, že mezi těmito dvěma kategoriemi ustanovení existuje rozdíl, ale také komplementarita, pokud jde o motivaci k dodržování GDPR, přičemž je třeba poznamenat, že právo každého požadovat náhradu újmy posiluje vymahatelnost pravidel ochrany stanovených tímto nařízením a může odrazovat od opakování protiprávního jednání [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 38 a 40, jakož i ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 85]. |
48 |
Soudní dvůr upřesnil, že vzhledem k tomu, že právo na náhradu újmy stanovené v čl. 82 odst. 1 GDPR neplní odrazující, či dokonce sankční funkci, nýbrž funkci kompenzační, závažnost porušení tohoto nařízení, které způsobilo dotyčnou újmu, nemůže mít vliv na výši náhrady újmy přiznané na základě tohoto ustanovení, a to ani v případě, že se nejedná o hmotnou, ale nehmotnou újmu, takže tato částka nemůže být stanovena na úrovni překračující plnou kompenzaci této újmy (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 86 až 87). |
49 |
Z výše uvedeného vyplývá, že není nutné se vyslovit ke spojitosti, o které uvažoval předkládající soud, mezi účelem sledovaným právem na náhradu újmy, které je zakotveno v tomto čl. 82 odst. 1, a sankční funkcí smluvní pokuty. |
50 |
Na sedmou otázku je tedy třeba odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní, zejména v případě nehmotné újmy, kompenzační funkci v tom smyslu, že peněžitá náhrada na základě uvedeného ustanovení musí umožnit plnou náhradu újmy, která konkrétně vznikla v důsledku porušení tohoto nařízení, a nikoli sankční funkci. |
K šesté otázce
51 |
Podstatou šesté otázky předkládajícího soudu je, zda musí být článek 82 GDPR vykládán v tom smyslu, že vyžaduje, aby byl pro účely náhrady újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení tohoto nařízení správcem. |
52 |
V tomto ohledu z článku 82 GDPR vyplývá, že vznik odpovědnosti správce je podmíněn zejména existencí jeho zavinění, které se předpokládá, pokud tento správce neprokáže, že skutečnost, která způsobila újmu, mu není nijak přičitatelná, a že tento článek 82 nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě tohoto ustanovení zohledněn stupeň závažnosti tohoto zavinění (rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 103). |
53 |
Pokud jde o posouzení případné náhrady újmy, která má být přiznána na základě článku 82 GDPR, musí vnitrostátní soudy, vzhledem k tomu, že GDPR neobsahuje ustanovení, které by tuto otázku upravovalo, za účelem tohoto posouzení uplatnit vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 83 a 101, jakož i citovaná judikatura). |
54 |
Soudní dvůr kromě toho upřesnil, že s ohledem na kompenzační funkci práva na náhradu újmy stanoveného v článku 82 GDPR toto ustanovení nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě uvedeného ustanovení zohledněn stupeň závažnosti porušení tohoto nařízení, kterého se správce údajně dopustil, ale vyžaduje, aby tato částka byla stanovena tak, aby v plném rozsahu nahradila újmu, která konkrétně vznikla v důsledku porušení uvedeného nařízení (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 84 až 87 a 102, jakož i citovaná judikatura). |
55 |
S ohledem na výše uvedené důvody je třeba na šestou otázku odpovědět tak, že článek 82 GDPR musí být vykládán v tom smyslu, že nevyžaduje, aby byl pro účely náhrady újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení správcem. |
K druhé otázce
56 |
Podstatou druhé otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že osoba, která se domáhá náhrady újmy podle tohoto ustanovení, je povinna prokázat nejen porušení ustanovení tohoto nařízení, ale rovněž to, že jí toto porušení způsobilo hmotnou či nehmotnou újmu. |
57 |
Je třeba připomenout, že čl. 82 odst. 1 GDPR stanoví, že „[k]dokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy“. |
58 |
Ze znění tohoto ustanovení vyplývá, že pouhé porušení GDPR nestačí k přiznání práva na náhradu újmy. Existence „utrpěné“„újmy“ je totiž jednou z podmínek práva na náhradu újmy stanoveného v tomto čl. 82 odst. 1, stejně jako existence porušení tohoto nařízení a příčinné souvislosti mezi touto újmou a tímto porušením, přičemž tyto tři podmínky jsou kumulativní [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 32 a 42; ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 77; ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 14, jakož i ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 82]. |
59 |
Pokud jde konkrétně o nehmotnou újmu, Soudní dvůr rozhodl, že čl. 82 odst. 1 GDPR brání vnitrostátnímu pravidlu nebo praxi, které náhradu nehmotné újmy ve smyslu tohoto ustanovení podmiňují tím, že taková újma, kterou utrpěl subjektu údajů, který je definován v článku 4 bodu 1 tohoto nařízení, dosáhla určité míry závažnosti [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 51; ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 78; jakož i ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 16]. |
60 |
Soudní dvůr upřesnil, že subjekt dotčený porušením GDPR, které pro něj mělo negativní důsledky, je nicméně povinen prokázat, že tyto důsledky představují nehmotnou újmu ve smyslu článku 82 tohoto nařízení, neboť pouhé porušení ustanovení tohoto nařízení nepostačuje k přiznání práva na náhradu újmy [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 42 a 50; ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 84; jakož i ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, body 21 a 23]. |
61 |
S ohledem na výše uvedené důvody je třeba na druhou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že osoba, která se domáhá náhrady podle tohoto ustanovení, je povinna prokázat nejen porušení ustanovení tohoto nařízení, ale rovněž to, že jí toto porušení způsobilo hmotnou či nehmotnou újmu. |
K páté otázce
62 |
Podstatou páté otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že v případě, že byl dokument obsahující osobní údaje předán neoprávněné třetí straně, která se s těmito údaji prokazatelně neseznámila, může „nehmotnou újmu“ ve smyslu tohoto ustanovení představovat pouhá skutečnost, že se subjekt údajů obává, že v důsledku tohoto předání, které před vrácením uvedeného dokumentu umožnilo pořídit si jeho kopii, mohou být jeho údaje v budoucnu šířeny, nebo dokonce zneužity. |
63 |
Je nutné upřesnit, že předkládající soud uvádí, že v projednávané věci byl dokument, v němž byly uvedeny předmětné údaje, vrácen žalobci v původním řízení do půl hodiny po předání neoprávněné třetí straně a že se tato osoba s těmito údaji před vrácením dokumentu neseznámila, avšak uvedený žalobce tvrdí, že toto předání poskytlo této třetí straně možnost pořídit si před vrácením dokumentu jeho kopie, což u něj vyvolalo obavu z rizika možného budoucího zneužití uvedených údajů. |
64 |
Pojem „nehmotná újma“ ve smyslu čl. 82 odst. 1 GDPR musí být vzhledem k neexistenci jakéhokoli odkazu na vnitrostátní právo členských států v uvedeném ustanovení definován autonomně a jednotně v unijním právu [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 30 a 44, jakož i ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 15]. |
65 |
Soudní dvůr rozhodl, že nejen ze znění čl. 82 odst. 1 GDPR ve spojení s body 85 a 146 odůvodnění tohoto nařízení, které vybízejí k širokému pojetí pojmu „nehmotná újma“ ve smyslu prvně uvedeného ustanovení, ale rovněž z cíle, jenž spočívá v zajištění vysoké úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů a sleduje uvedené nařízení, vyplývá, že obava z možného zneužití osobních údajů třetími stranami, kterou pociťuje subjekt údajů v důsledku porušení tohoto nařízení, může sama o sobě představovat „nehmotnou újmu“ ve smyslu tohoto čl. 82 odst. 1 (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 79 až 86). |
66 |
Kromě toho měl Soudní dvůr rovněž na základě jazykových, systematických a teleologických úvah za to, že krátkodobá ztráta kontroly nad osobními údaji může způsobit subjektu údajů „nehmotnou újmu“ ve smyslu čl. 82 odst. 1 GDPR, která zakládá nárok na náhradu újmy, za podmínky, že uvedený subjekt prokáže, že takovou újmu, byť jen minimální, skutečně utrpěl, přičemž pouhé porušení ustanovení tohoto nařízení nepostačuje k přiznání práva na náhradu újmy na tomto základě (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, body 18 až 23). |
67 |
Stejně tak je třeba v projednávané věci uvést, že je v souladu jak se zněním čl. 82 odst. 1 GDPR, tak s cílem ochrany sledovaným tímto nařízením, že pojem „nehmotná újma“ zahrnuje situaci, ve které má subjekt údajů důvodnou obavu, což přísluší ověřit vnitrostátnímu soudu, u něhož byla podána žaloba, že některé z jeho osobních údajů budou v budoucnu šířeny nebo zneužity třetími stranami, a to z důvodu, že dokument obsahující tyto údaje byl předán neoprávněné třetí straně, která měla možnost pořídit si před vrácením dokumentu jeho kopie. |
68 |
To však nemění nic na tom, že osoba, která podala žalobu na náhradu újmy na základě článku 82 GDPR, musí existenci takové újmy prokázat. K náhradě újmy nemůže konkrétně vést čistě hypotetické riziko zneužití neoprávněnou třetí stranou. Tak je tomu v případě, kdy se žádná třetí strana s dotyčnými osobními údaji neseznámila. |
69 |
Na pátou otázku je tedy třeba odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že v případě, že byl dokument obsahující osobní údaje předán neoprávněné třetí straně, která se s těmito údaji prokazatelně neseznámila, nepředstavuje „nehmotnou újmu“ ve smyslu tohoto ustanovení pouhá skutečnost, že se subjekt údajů obává, že v důsledku tohoto předání, které před vrácením uvedeného dokumentu umožnilo pořídit si jeho kopii, mohou být jeho údaje v budoucnu šířeny, nebo dokonce zneužity. |
K nákladům řízení
70 |
Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují. |
Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto: |
|
|
|
|
|
Podpisy |
( *1 ) – Jednací jazyk: němčina.