–

za Brillen Rottler GmbH & Co. KG: J. Tröber, Rechtsanwalt,

–

za TC: P. Brandt, Rechtsanwalt,

–

za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 4 bodu 2, čl. 12 odst. 5 a čl. 82 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a opravy Úř. věst. 2018, L 127, s. 2, Úř. věst. 2021, L 074, s. 35, dále jen „GDPR“).

2

Tato žádost byla předložena v rámci sporu mezi společností Brillen Rottler GmbH & Co. KG, rodinnou optikou, a TC, fyzickou osobou, ve věci odmítnutí této společnosti vyhovět žádosti TC o přístup k jeho osobním údajům podané na základě článku 15 GDPR.

3

Body 4, 10, 11, 63, 85, 141 a 146 odůvodnění GDPR uvádějí:

[…]

[…]

[…]

[…]

4

Článek 4 tohoto nařízení, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]“

5

Článek 12 uvedeného nařízení, nadepsaný „Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů“ v odstavcích 1, 2 a 5 stanoví:

„1.   Správce přijme vhodná opatření, aby poskytl subjektu údajů […] veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování […]

2.   Správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22. […]

[…]

5.   Informace podle článků 13 a 14 a veškerá sdělení se poskytují a veškerá opatření podle článků 15 až 22 a 34 se přijímají bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:

Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.“

6

Článek 15 téhož nařízení, nadepsaný „Právo subjektu údajů na přístup“, v odstavci 1 stanoví:

„Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

[…]“

7

Článek 26 GDPR, nadepsaný „Společní správci“, v odstavci 1 stanoví:

„Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, jsou společnými správci. […]“

8

Článek 30 tohoto nařízení, nadepsaný „Záznamy o činnostech zpracování“, v odstavci 1 stanoví:

„Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. […]“

9

Článek 57 uvedeného nařízení, nadepsaný „Úkoly“, v odstavcích 1 a 4 stanoví:

„1.   Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

[…]

[…]

4.   Jestliže jsou požadavky zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.“

10

Článek 79 téhož nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

11

Článek 82 GDPR, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavcích 1, 2 a 4 stanoví:

„1.   Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2.   Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. […]

[…]

4.   Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce i zpracovatel, a nesou-li podle odstavců 2 a 3 odpovědnost za jakoukoliv škodu způsobenou daným zpracováním, nese každý správce nebo zpracovatel odpovědnost za celou újmu, tak aby byla zajištěna účinná náhrada újmy subjektu údajů.“

12

V březnu 2023 se TC, fyzická osoba s bydlištěm v Rakousku, registroval k odběru informačního bulletinu společnosti Brillen Rottler, která je rodinnou optikou se sídlem v Arnsbergu (Německo), přičemž do registračního formuláře dostupného na internetové stránce této společnosti zadal své osobní údaje a udělil souhlas s jejich zpracováním. Po třinácti dnech zaslal TC společnosti Brillen Rottler žádost o přístup podle článku 15 GDPR.

13

Společnost Brillen Rottler v zákonné lhůtě jednoho měsíce odmítla žádosti o přístup vyhovět, neboť ji kvalifikovala jako zneužívající ve smyslu čl. 12 odst. 5 prvního pododstavce druhé věty GDPR. TC byl vyzván, aby s konečnou platností upustil od své žádosti.

14

Avšak vzhledem k tomu, že TC na své žádosti o přístup trval a připojil k ní žádost o náhradu újmy podle článku 82 GDPR ve výši 1000 eur, podala společnost Brillen Rottler k Amtsgericht Arnsberg (Okresní soud v Arnsbergu, Německo), který je předkládajícím soudem, návrh na určení, že TC nevznikl nárok na náhradu újmy.

15

Na podporu svého návrhu společnost Brillen Rottler tvrdí, že z různých reportáží, příspěvků z blogů a bulletinů advokátů vyplývá, že TC systematicky a zneužívajícím způsobem podává žádosti o přístup ke svým osobním údajům pouze s cílem obdržet náhradu újmy za údajné porušení práv vyplývajících z GDPR, které záměrně způsobuje. Modus operandi TC spočívá v tom, že se nejprve registruje k odběru informačního bulletinu, poté podá žádost o přístup, a nakonec podá žádost o náhradu újmy.

16

TC před předkládajícím soudem tvrdí, že žádost o přístup, kterou podal společnosti Brillen Rottler, je legitimní, je vyjádřením práva na přístup, které mu přiznává článek 15 GDPR, a že se tato společnost snaží protiprávně omezit práva, která mu toto nařízení přiznává. Vzájemnou žalobou se domáhá, aby byla společnosti Brillen Rottler uložena povinnost zaplatit mu náhradu nehmotné újmy ve výši nejméně 1000 eur, která mu vznikla z důvodu odmítnutí této společnosti poskytnout mu přístup k jeho osobním údajům.

17

Předkládající soud si zaprvé klade otázku, zda lze první žádost subjektu údajů o přístup kvalifikovat jako „nepřiměřenou žádost“ ve smyslu čl. 12 odst. 5 GDPR, která tudíž může představovat zneužití práva, a za jakých okolností lze nepřiměřenost této žádosti konstatovat. Předkládající soud se konkrétně táže, zda se správce může při odmítnutí vyhovět žádosti o přístup na základě tohoto ustanovení opřít o veřejně dostupné informace, které poukazují na existenci mnoha žádostí o přístup a náhradu újmy, které tento subjekt údajů podal u jiných správců.

18

Zadruhé si tento soud klade otázku, zda žádost o přístup podaná podle čl. 15 odst. 1 GDPR nebo odpověď na ni představují „zpracování“ ve smyslu čl. 4 bodu 2 tohoto nařízení.

19

Zatřetí má uvedený soud pochybnosti o kritériích pro určení újmy, kterou lze podle čl. 82 odst. 1 GDPR nahradit, a zejména o tom, zda i v případě, že nedošlo ke zpracování, přiznává tento článek takový nárok z důvodu samotného porušení práva na přístup podle čl. 15 odst. 1 tohoto nařízení.

20

Za těchto podmínek se Amtsgericht Arnsberg (Okresní soud v Arnsbergu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

21

Podstatou první až třetí a sedmé otázky předkládajícího soudu, které je třeba zkoumat společně a na prvním místě, je, zda čl. 12 odst. 5 GDPR musí být vykládán v tom smyslu, že lze první žádost o přístup k osobním údajům, kterou subjekt údajů podá u správce podle článku 15 tohoto nařízení, kvalifikovat jako „nepřiměřenou“ ve smyslu tohoto čl. 12 odst. 5, a pokud ano, za jakých okolností lze případnou nepřiměřenost této žádosti konstatovat?

22

Článek 15 odst. 1 GDPR v tomto ohledu zaručuje právo subjektu údajů získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, právo tohoto subjektu údajů získat přístup k těmto údajům a informacím, které jsou s nimi spojeny [v tomto smyslu viz rozsudek ze dne 26. října 2023, FT (Kopie zdravotnické dokumentace), C‑307/22, EU:C:2023:811, bod 31].

23

Kromě toho čl. 12 odst. 5 GDPR stanoví zásadu, podle níž výkon tohoto práva na přístup není pro subjekt údajů spojen s žádnými poplatky. Toto ustanovení nicméně uvádí dva důvody, proč může správce buď účtovat přiměřený poplatek zohledňující administrativní náklady, nebo odmítnout žádosti o přístup vyhovět. Tyto důvody se týkají případů zneužití práva, v nichž musí být žádosti subjektu údajů považovány za „zjevně nedůvodné“ nebo „nepřiměřené“, zejména protože se opakují [rozsudek ze dne 26. října 2023, FT (Kopie zdravotnické dokumentace), C‑307/22, EU:C:2023:811, bod 31].

24

Pokud jde zaprvé o otázku, zda lze první žádost o přístup, kterou subjekt údajů podá u správce podle článku 15 GDPR, kvalifikovat jako „nepřiměřenou“, je nutno uvést, že pojem „nepřiměřené žádosti“ není v tomto nařízení definován, a proto je třeba podle ustálené judikatury při jeho výkladu zohlednit jak znění čl. 12 odst. 5 uvedeného nařízení podle jeho obvyklého smyslu v běžném jazyce, tak kontext tohoto ustanovení a cíle sledované právní úpravou, jejíž je součástí [viz rozsudky ze dne 17. listopadu 1983, Merck, 292/82, EU:C:1983:335, bod 12, a ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, bod 24, jakož i citovaná judikatura].

25

Pokud jde v tomto ohledu o znění tohoto čl. 12 odst. 5, a zejména o obvyklý smysl pojmu „nepřiměřené žádosti“ v běžném jazyce, přídavné jméno „nepřiměřený“ označuje něco, co přesahuje běžnou nebo rozumnou míru, nebo co přesahuje míru žádoucí nebo přípustnou [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, bod 43]. Samotné použití tohoto přídavného jména, které se týká jak kvalitativních, tak kvantitativních vlastností, tedy neumožňuje vyloučit, že první žádost o přístup může být nepřiměřená.

26

Kromě toho je pravda, že z čl. 12 odst. 5 prvního pododstavce druhé věty GDPR vyplývá, že žádosti mohou být nepřiměřené, „zejména protože se opakují“. Množící se žádosti podané subjektem údajů tedy mohou být známkou jejich nepřiměřené povahy [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, bod 57]. Jak v podstatě zdůraznil generální advokát v bodě 28 svého stanoviska, jelikož je opakující se povaha v tomto ustanovení uvedena pouze demonstrativně, kvalifikování žádosti o přístup jako „nepřiměřené“ nevyžaduje, aby nutně souvisela s více žádostmi podanými stejným subjektem údajů.

27

Z hlediska doslovného výkladu čl. 12 odst. 5 GDPR tedy nelze vyloučit, že první žádost o přístup může být ve smyslu tohoto ustanovení kvalifikována jako „nepřiměřená“.

28

Toto zjištění je potvrzeno kontextem, do něhož je zasazen čl. 12 odst. 5 první pododstavec druhá věta GDPR. V tomto ohledu je třeba připomenout, že tento článek 12, který je obsažen v kapitole III tohoto nařízení upravující práva subjektu údajů, stanoví obecné povinnosti správců, pokud jde o transparentní informace a sdělení, a uvádí postupy pro výkon práv subjektu údajů. Podle odst. 2 první věty uvedeného článku 12 musí správce usnadňovat výkon práv subjektu údajů mimo jiné podle článku 15 uvedeného nařízení, který doplňuje rámec transparentnosti téhož nařízení tím, že tomuto subjektu údajů přiznává právo na přístup k jeho osobním údajům [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, body 45 a 46].

29

Tím, že tento čl. 12 odst. 5 stanoví rovněž možnost správců uložit v případě zjevně nedůvodných nebo nepřiměřených žádostí přiměřený poplatek založený na administrativních nákladech, nebo odmítnout takovým žádostem vyhovět, zavádí výjimku z povinnosti usnadňovat mimo jiné výkon práva na přístup, která musí být vykládána restriktivně [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, bod 33].

30

Z judikatury Soudního dvora týkající se výkladu pojmu „nepřiměřené žádosti“ uvedeného v čl. 57 odst. 4 GDPR, který je použitelný na projednávanou věc, jelikož je toto ustanovení formulováno v podstatě obdobně jako znění čl. 12 odst. 5 tohoto nařízení a sleduje stejný cíl jako posledně uvedený článek, však vyplývá, že tento čl. 12 odst. 5 je výrazem obecné zásady unijního práva, podle níž se právní subjekty nemohou podvodně nebo zneužívajícím způsobem dovolávat unijních právních norem [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, bod 49]. Použití unijní právní úpravy totiž nemůže být rozšířeno až do té míry, že by zahrnovalo i úkony prováděné se zneužívajícím cílem (v tomto smyslu viz rozsudek ze dne 19. září 2024, Matmut, C‑236/23, EU:C:2024:761, bod 52 a citovaná judikatura).

31

Počet žádostí o přístup, které subjekt údajů u správce podá, tedy sám o sobě neurčuje právo tohoto správce využít možnosti nevyhovět žádosti, kterou mu nabízí čl. 12 odst. 5 GDPR, takže uvedený správce ji může využít i v případě první žádosti o přístup, pokud s ohledem na všechny relevantní okolnosti každého jednotlivého případu prokáže existenci zneužívajícího úmyslu ze strany tohoto subjektu údajů [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, bod 50].

32

Tento kontextuální výklad je v souladu s cíli sledovanými GDPR. V tomto ohledu je třeba uvést, že cílem tohoto nařízení je, jak uvádí body 10 a 11 jeho odůvodnění, zajistit soudržnou a vysokou úroveň ochrany fyzických osob v rámci Unie a posílit a podrobně vymezit práva subjektů údajů. Povinnosti správce stanovené v článku 12 uvedeného nařízení, které se týkají zejména sdělení podle článku 15 téhož nařízení, jsou tedy koncipovány jako mechanismus způsobilý účinně chránit práva a zájmy subjektů údajů [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, body 38 a 39, jakož i citovaná judikatura].

33

Bod 4 odůvodnění GDPR však uvádí, že právo na ochranu osobních údajů není právem absolutním, neboť musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Soudní dvůr již poukázal na to, že mechanismy umožňující nalézt spravedlivou rovnováhu mezi jednotlivými dotčenými právy a zájmy jsou zakotveny v samotném GDPR (rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 54 a citovaná judikatura).

34

Za účelem dosažení této spravedlivé rovnováhy prostřednictvím této výjimky a zároveň zachování jejího užitečného účinku je tedy relevantním kritériem pro zjištění zneužití nepřiměřená povaha žádosti o přístup posuzovaná v souladu s bodem 26 tohoto rozsudku z kvalitativního hlediska, jež nemůže záviset pouze na počtu žádostí o přístup podaných subjektem údajů, a tedy na tom, zda se jedná o jeho první žádost.

35

Z toho vyplývá, že první žádost předložená správci podle článku 15 GDPR může být kvalifikována jako „nepřiměřená“ ve smyslu čl. 12 odst. 5 tohoto nařízení. Pojem „nepřiměřené žádosti“ však musí být vykládán restriktivně, jak vyplývá z bodu 29 tohoto rozsudku, takže správce může nepřiměřenost takové žádosti uplatnit pouze výjimečně a kritéria pro kvalifikování první žádosti o přístup jako „nepřiměřené“ musí být přísná, jak uvedl generální advokát v bodě 34 svého stanoviska. Je třeba rovněž zdůraznit, že z čl. 12 odst. 5 druhého pododstavce GDPR výslovně vyplývá, že nepřiměřenost této žádosti dokládá správce.

36

Pokud jde zadruhé o okolnosti, za nichž lze první žádost subjektu údajů o přístup kvalifikovat jako „nepřiměřenou“ ve smyslu čl. 12 odst. 5 GDPR, která tudíž může představovat zneužití práva ve smyslu judikatury citované v bodech 23 a 30 tohoto rozsudku, je třeba uvést, že důkaz o zneužití vyžaduje soubor objektivních okolností, ze kterých vyplývá, že i přes formální dodržení podmínek stanovených unijní právní úpravou nebylo dosaženo cíle sledovaného touto právní úpravou, a dále subjektivní znak spočívající v záměru subjektu údajů získat výhodu vyplývající z unijní právní úpravy tím, že uměle vytvoří podmínky vyžadované pro její získání. Tato kvalifikace mimoto vyžaduje, aby byly zohledněny všechny skutečnosti a okolnosti projednávaného případu (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, BMW Bank a další, C‑38/21, C‑47/21 a C‑232/21, EU:C:2023:1014, body 285 a 286, jakož i citovaná judikatura).

37

Pokud jde v první řadě o objektivní znak zneužití, je třeba uvést, že cílem článku 15 GDPR vykládaného ve světle bodu 63 jeho odůvodnění je přiznat subjektu údajů právo na přístup ke shromážděným osobním údajům, které se ho týkají, a umožnit mu toto právo snadno a v přiměřených odstupech uplatňovat, zejména s cílem informovat se o zpracování těchto údajů a ověřit jeho zákonnost, aby mohl případně vykonat právo na opravu, právo na výmaz, právo na omezení zpracování, jakož i právo na námitku a právo na soudní ochranu pro případ utrpěné újmy [v tomto smyslu viz rozsudek ze dne 12. ledna 2023, Österreichische Post (Informace o příjemcích osobních údajů), C‑154/21, EU:C:2023:3, body 37 a 38].

38

V projednávané věci, jak vyplývá ze spisu, který má Soudní dvůr k dispozici, podal TC žádost o přístup dotčenou ve věci v původním řízení poté, co se registroval k odběru informačního bulletinu společnosti Brillen Rottler a v rámci této registrace jí sdělil některé osobní údaje, takže po formální stránce by tato žádost o přístup mohla představovat uplatnění práva TC na přístup k osobním údajům za účelem dosažení cíle této právní úpravy.

39

S ohledem na judikaturu citovanou v bodě 36 tohoto rozsudku však formální dodržení podmínek pro použití článku 15 GDPR samo o sobě neumožňuje vyloučit „nepřiměřenost“ žádosti o přístup, a tudíž ani zneužití práva.

40

Pokud jde ve druhé řadě o subjektivní znak zneužití, je třeba v tomto ohledu uvést, že k tomu, aby mohl správce žádost o přístup kvalifikovat jako „nepřiměřenou“ ve smyslu čl. 12 odst. 5 GDPR, musí s ohledem na všechny relevantní okolnosti každého jednotlivého případu prokázat existenci zneužívajícího úmyslu ze strany subjektu údajů, přičemž konstatovat takový úmysl lze, pokud tento subjekt údajů podá tuto žádost za jiným účelem, než je informovat se o zpracování těchto údajů a ověřit jeho zákonnost, aby mohl následně dosáhnout ochrany práv, která mu z tohoto nařízení vyplývají [v tomto smyslu viz rozsudek ze dne 9. ledna 2025, Österreichische Datenschutzbehörde (Nepřiměřené žádosti), C‑416/23, EU:C:2025:3, body 50 a 56].

41

V projednávané věci tedy správci zejména s ohledem na to, co vyplývá z bodu 35 tohoto rozsudku, přísluší, aby jednoznačně prokázal, že subjekt údajů podal žádost o přístup podle článku 15 GDPR nikoli s cílem informovat se o tomto zpracování, nýbrž s cílem uměle vytvořit podmínky, jejichž splnění je vyžadováno pro získání náhrady újmy od uvedeného správce.

42

V tomto ohledu bude třeba zohlednit všechny okolnosti projednávaného případu, zejména skutečnost, že subjekt údajů poskytl osobní údaje dobrovolně, účel poskytnutí těchto údajů, dobu, která uplynula mezi jejich poskytnutím a žádostí o přístup, jakož i jednání tohoto subjektu údajů.

43

Předkládající soud si v kontextu řízení, které je před ním vedeno, klade otázku, zda je možné při posuzování existence zneužití práva zohlednit veřejné dostupné informace o tom, že TC systematicky podává u různých správců žádosti o přístup ke svým osobním údajům a žádosti o náhradu újmy, přičemž používá modus operandi podobný tomu, který je použit v projednávané věci. V tomto ohledu je třeba poznamenat, že tuto skutečnost lze zajisté zohlednit při prokazování zneužívajících úmyslů subjektu údajů, je-li podložena dalšími relevantními okolnostmi.

44

V projednávané věci tedy předkládajícímu soudu přísluší, aby s ohledem na všechny relevantní okolnosti ověřil, zda společnost Brillen Rottler prokázala existenci zneužívajícího úmyslu TC při podání dotyčné žádosti o přístup.

45

S ohledem na výše uvedené úvahy je třeba na první až třetí a sedmou otázku odpovědět tak, že čl. 12 odst. 5 GDPR musí být vykládán v tom smyslu, že první žádost o přístup k osobním údajům, kterou subjekt údajů podá u správce podle článku 15 tohoto nařízení, lze kvalifikovat jako „nepřiměřenou“ ve smyslu tohoto čl. 12 odst. 5, pokud tento správce s ohledem na všechny relevantní okolnosti daného případu prokáže, že i přes formální dodržení podmínek stanovených těmito ustanoveními byla tato žádost subjektem údajů podána nikoli s cílem informovat se o zpracování těchto údajů a ověřit jeho zákonnost, aby mohl následně dosáhnout ochrany práv, která mu vyplývají z uvedeného nařízení, nýbrž se zneužívajícím úmyslem, jako je umělé vytvoření podmínek, jež jsou vyžadovány pro získání výhody vyplývající z téhož nařízení. Skutečnost, že podle veřejně dostupných informací subjekt údajů podal u různých správců několik žádostí o přístup ke svým osobním údajům, po nichž následovaly žádosti o náhradu újmy, může být zohledněna při prokazování jeho zneužívajícího úmyslu.

46

Podstatou páté a šesté otázky předkládajícího soudu, které je třeba zkoumat společně a na druhém místě, je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že přiznává subjektu údajů právo na náhradu újmy vyplývající z porušení práva na přístup podle čl. 15 odst. 1 tohoto nařízení.

47

Jak bylo připomenuto v bodě 24 tohoto rozsudku, podle ustálené judikatury je třeba při výkladu ustanovení unijního práva vzít v úvahu nejen jeho znění, ale i jeho kontext a cíle, které sleduje.

48

Ze znění čl. 82 odst. 1 GDPR vyplývá, že kdokoli, kdo „v důsledku porušení tohoto nařízení“ utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce náhradu utrpěné újmy. Je nutno konstatovat, že toto ustanovení neobsahuje žádný odkaz na „zpracování“, takže toto právo na náhradu újmy nemůže být omezeno na újmu vzniklou zpracováním osobních údajů.

49

Tento závěr je zaprvé podpořen kontextuální analýzou uvedeného ustanovení vykládaného ve světle bodu 141 odůvodnění GDPR, který stanoví, že každý subjekt údajů by měl mít právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, „jestliže se domnívá, že byla porušena jeho práva podle [uvedeného] nařízení“. Článek 82 odst. 1 GDPR je totiž uveden v kapitole VIII tohoto nařízení, která upravuje opravné prostředky, pravidla odpovědnosti a sankce umožňující ochranu těchto práv. Uvedená práva přitom zahrnují jak právo subjektu údajů na informace podle článku 12 uvedeného nařízení, tak jeho právo na přístup podle čl. 15 odst. 1 téhož nařízení, takže musí být chráněna článkem 82 GDPR, který je třeba vykládat tak, že se vztahuje i na újmu vyplývající z porušení těchto článků 12 a 15.

50

Takový výklad nemůže být zpochybněn skutečností, že z bodu 146 odůvodnění GDPR vyplývá, že veškerou újmu, která může osobám vzniknout „v důsledku zpracování“, které porušuje toto nařízení, by měl nahradit správce, a dále že článek 82 uvedeného nařízení v odstavcích 2 a 4 zmiňuje „újmu způsobenou zpracováním“.

51

Jak totiž v podstatě tvrdí Komise ve svém písemném vyjádření, v případě porušení práv stanovených v ustanoveních kapitoly III GDPR, zejména práv na přístup k údajům a na opravu, jakož i práv na výmaz, omezení zpracování a přenositelnost, může tvrzené porušení vyplývat nikoli ze skutečného zpracování osobních údajů jako takového, ale spíše z odmítnutí vyhovět žádosti subjektu údajů týkající se výkonu těchto práv. Podmínit právo na náhradu újmy podle čl. 82 odst. 1 GDPR existencí újmy vyplývající ze zpracování jako takového by tedy mělo za následek vyloučení uvedených případů z působnosti tohoto ustanovení, a tím narušení jeho užitečného účinku.

52

Soudní dvůr již rozhodl, že porušení článků 26 a 30 GDPR, které se týkají jednak uzavření ujednání o vymezení příslušných rolí správců a jejich vztahů vůči subjektům údajů a jednak vedení záznamů o činnostech zpracování, ze strany správce nepředstavuje „protiprávní zpracování“, které přiznává subjektu údajů právo na výmaz nebo omezení zpracování. Takové porušení tedy musí být napraveno použitím jiných opatření stanovených GDPR, zejména pak náhradou újmy případně způsobené správcem podle článku 82 tohoto nařízení [v tomto smyslu viz rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland (Elektronická soudní schránka), C‑60/22, EU:C:2023:373, body 66 a 67].

53

Závěr uvedený v bodě 48 tohoto rozsudku je zadruhé podpořen teleologickým výkladem čl. 82 odst. 1 GDPR, který má zajistit provádění cílů tohoto nařízení, mezi něž patří zejména posílení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, jak je uvedeno v bodě 11 odůvodnění uvedeného nařízení. Jak přitom v podstatě uvedl generální advokát v bodě 72 svého stanoviska, tato práva, mezi něž patří právě právo na přístup, o němž se zmiňuje předkládající soud, by byla významně oslabena, pokud by měl být tento čl. 82 odst. 1 vykládán tak, že se vztahuje pouze na újmu vyplývající z protiprávních jednání, která zahrnují zpracování údajů.

54

Z toho vyplývá, že i v případě porušení GDPR, které jako takové nezahrnuje zpracování údajů, se subjekt údajů může dovolávat práva na náhradu újmy podle článku 82 tohoto nařízení.

55

S ohledem na výše uvedené je třeba na pátou a šestou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že přiznává subjektu údajů právo na náhradu újmy vyplývající z porušení práva na přístup podle čl. 15 odst. 1 tohoto nařízení.

56

Vzhledem k odpovědi na pátou a šestou předběžnou otázku není na čtvrtou otázku třeba odpovídat.

57

Podstatou osmé otázky předkládajícího soudu, kterou je třeba zkoumat na třetím a posledním místě, je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že nehmotná újma, která subjektu údajů vznikla, zahrnuje ztrátu kontroly nad jeho osobními údaji nebo nejistotu tohoto subjektu údajů ohledně jejich zpracování.

58

Vzhledem k tomu, že GDPR neodkazuje na právo členských států, pokud jde o smysl a dosah výrazů uvedených v tomto ustanovení, zejména pokud jde o pojmy „hmotná či nehmotná újma“ a „náhrada utrpěné újmy“, musí být tyto výrazy pro účely použití tohoto nařízení považovány za autonomní pojmy unijního práva, které musí být ve všech členských státech vykládány jednotně [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 30, jakož i ze dne 4. září 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, bod 55 a citovaná judikatura].

59

V tomto ohledu je třeba připomenout, že nelze dovodit, že jakékoli „porušení“ ustanovení GDPR samo o sobě zakládá nárok na náhradu újmy ve prospěch subjektu údajů. Článek 82 odst. 1 GDPR totiž stanoví, že „[k]dokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy“. Z tohoto ustanovení jasně vyplývá, že existence „utrpěné“„újmy“ je jednou z podmínek práva na náhradu újmy stanoveného v uvedeném ustanovení, stejně jako existence porušení GDPR a příčinné souvislosti mezi touto újmou a tímto porušením, přičemž tyto tři podmínky jsou kumulativní [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 31 až 33, a ze dne 4. září 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, bod 56 a citovaná judikatura].

60

Osoba, která se domáhá náhrady nehmotné újmy podle tohoto ustanovení, je tedy povinna prokázat nejen porušení ustanovení GDPR, ale rovněž že jí toto porušení způsobilo takovou újmu. Takovou újmu tedy nelze předpokládat pouze z důvodu, že došlo k uvedenému porušení (rozsudek ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, bod 141 a citovaná judikatura).

61

Soudní dvůr však již rozhodl, že z demonstrativního výčtu „újem“, které mohou vzniknout subjektům údajů a jsou zahrnuty v bodě 85 první větě odůvodnění GDPR, vyplývá, že unijní normotvůrce měl v úmyslu zahrnout pod tento pojem zejména prostou „ztrátu kontroly“ nad jejich vlastními osobními údaji v důsledku porušení tohoto nařízení, a to i v případě, že nedošlo ke skutečnému zneužití dotčených údajů (rozsudek ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, bod 145 a citovaná judikatura).

62

Soudní dvůr měl rovněž za to, že pojem „nehmotná újma“ nelze omezit pouze na újmu určité závažnosti. Vnitrostátní právní úprava ani vnitrostátní praxe zejména nemohou platně stanovit „prahovou hodnotu de minimis“ k tomu, aby se jednalo o nehmotnou újmu způsobenou porušením GDPR. Subjekt údajů je však povinen prokázat, že takovou újmu, byť jen minimální, skutečně utrpěl, a že následky tohoto porušení, které údajně utrpěl, představují újmu, která se liší od pouhého porušení ustanovení tohoto nařízení (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, body 22 a 23).

63

Pouhé tvrzení subjektu údajů o obavě vyvolané ztrátou kontrolu nad jeho osobními údaji tedy nemůže vést k náhradě újmy podle čl. 82 odst. 1 GDPR [v tomto smyslu viz rozsudek ze dne 20. června 2024, PS (Nesprávná adresa), (C‑590/22, EU:C:2024:536, body 33 a 35]. Pokud tedy subjekt údajů domáhající se na základě tohoto ustanovení náhrady újmy argumentuje obavou, že v budoucnu dojde ke zneužití jeho osobních údajů v důsledku porušení tohoto nařízení, musí vnitrostátní soud, jemuž byla věc předložena, ověřit, že tato obava může být za konkrétních okolností věci a ve vztahu k subjektu údajů považována za opodstatněnou (v tomto smyslu viz rozsudek ze dne 4. října 2024, Agencia po vpisvanijata, C‑200/23, EU:C:2024:827, bod 143 a citovaná judikatura).

64

Úvahy uvedené v bodech 59 až 63 tohoto rozsudku se použijí rovněž v situaci, kdy má subjekt údajů za to, že existuje nejistota ohledně zpracování jeho osobních údajů.

65

Za účelem poskytnutí užitečné odpovědi předkládajícímu soudu je dále třeba uvést, že příčinná souvislost mezi tvrzeným porušením a údajnou újmou může být přerušena jednáním subjektu údajů, pokud se toto jednání jeví jako rozhodující příčina újmy. Takové jednání může mimo jiné spočívat v rozhodnutí poškozené osoby, avšak pouze za předpokladu, že jej nebyla nucena učinit [obdobně viz rozsudek ze dne 18. prosince 2025, WS a další v. Frontex (Společná návratová operace), C‑679/23 P, EU:C:2025:976, body 151 a 152, jakož i citovaná judikatura].

66

Z judikatury připomenuté v bodě 59 tohoto rozsudku kromě toho vyplývá, že existence příčinné souvislosti mezi tvrzeným porušením GDPR a újmou, která subjektu údajů údajně vznikla, je nezbytnou podmínkou pro vznik nároku na náhradu újmy podle čl. 82 odst. 1 tohoto nařízení. V důsledku toho nelze subjektu údajů podle tohoto ustanovení přiznat náhradu újmy, která mu údajně vznikla v důsledku ztráty kontroly nad jeho osobními údaji nebo nejistoty tohoto subjektu údajů ohledně jejich zpracování, pokud je příčinná souvislost jednáním uvedeného subjektu údajů přerušena, protože tato ztráta kontroly nebo tato nejistota byly způsobeny rozhodnutím téhož subjektu údajů poskytnout správci tyto údaje s cílem umělého vytvoření podmínek vyžadovaných pro použití uvedeného ustanovení.

67

S ohledem na výše uvedené úvahy je třeba na osmou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že nehmotná újma, která subjektu údajů vznikla, zahrnuje ztrátu kontroly nad jeho osobními údaji nebo nejistotu tohoto subjektu údajů ohledně jejich zpracování, je-li zejména prokázáno, že uvedený subjekt údajů takovou újmu skutečně utrpěl a jeho jednání nebylo rozhodující příčinou této újmy.

68

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (čtvrtý senát) rozhodl takto: