Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CJ0687

Wyrok Trybunału (trzecia izba) z dnia 25 stycznia 2024 r.
BL przeciwko MediaMarktSaturn Hagen-Iserlohn GmbH.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Amtsgericht Hagen.
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Wykładnia art. 5, 24, 32 i 82 – Ocena ważności art. 82 – Niedopuszczalność pytania dotyczącego oceny ważności – Prawo do odszkodowania za szkodę spowodowaną przetwarzaniem takich danych z naruszeniem tego rozporządzenia – Przekazanie danych nieupoważnionej stronie trzeciej z powodu błędu popełnionego przez pracowników administratora – Ocena stosowności środków ochrony wdrożonych przez administratora – Funkcja kompensacyjna spełniana przez prawo do odszkodowania – Wpływ wagi naruszenia – Konieczność wykazania wystąpienia szkody spowodowanej tym naruszeniem – Pojęcie „szkody niemajątkowej”.
Sprawa C-687/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2024:72

 WYROK TRYBUNAŁU (trzecia izba)

z dnia 25 stycznia 2024 r. ( *1 )

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Wykładnia art. 5, 24, 32 i 82 – Ocena ważności art. 82 – Niedopuszczalność pytania dotyczącego oceny ważności – Prawo do odszkodowania za szkodę spowodowaną przetwarzaniem takich danych z naruszeniem tego rozporządzenia – Przekazanie danych nieupoważnionej stronie trzeciej z powodu błędu popełnionego przez pracowników administratora – Ocena stosowności środków ochrony wdrożonych przez administratora – Funkcja kompensacyjna spełniana przez prawo do odszkodowania – Wpływ wagi naruszenia – Konieczność wykazania wystąpienia szkody spowodowanej tym naruszeniem – Pojęcie „szkody niemajątkowej”

W sprawie C‑687/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Amtsgericht Hagen (sąd rejonowy w Hagen, Niemcy) postanowieniem z dnia 11 października 2021 r., które wpłynęło do Trybunału w dniu 16 listopada 2021 r., w postępowaniu:

BL

przeciwko

MediaMarktSaturn Hagen-Iserlohn GmbH, dawniej Saturn Electro-Handelsgesellschaft mbH Hagen,

TRYBUNAŁ (trzecia izba),

w składzie: K. Jürimäe, prezes izby, N. Piçarra, M. Safjan, N. Jääskinen (sprawozdawca) i M. Gavalec, sędziowie,

rzecznik generalny: M. Campos Sánchez-Bordona,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

w imieniu BL – D. Pudelko, Rechtsanwalt,

w imieniu MediaMarktSaturn Hagen-Iserlohn GmbH, dawniej Saturn Electro-Handelsgesellschaft mbH Hagen – B. Hackl, Rechtsanwalt,

w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce i M. Lane, w charakterze pełnomocników, których wspierał D. Fennelly, BL,

w imieniu Parlamentu Europejskiego – O. Hrstková Šolcová i J.‑C. Puffer, w charakterze pełnomocników,

w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,

podjąwszy, po wysłuchaniu rzecznika generalnego, decyzję o rozstrzygnięciu sprawy bez opinii,

wydaje następujący

Wyrok

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 2 ust. 1, art. 4 pkt 7, art. 5 ust. 1 lit. f), art. 6 ust. 1, art. 24, art. 32 ust. 1 lit. b), art. 32 ust. 2 i art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”), a także oceny ważności owego art. 82.

2

Wniosek ten został złożony w ramach sporu pomiędzy BL, osobą fizyczną, a MediaMarktSaturn Hagen-Iserlohn GmbH, dawniej Saturn Electro-Handelsgesellschaft mbH Hagen (zwaną dalej „spółką Saturn”), w przedmiocie naprawienia szkody niemajątkowej, której wspomniana osoba miała doznać w wyniku przekazania stronie trzeciej niektórych jej danych osobowych w wyniku błędu popełnionego przez pracowników tej spółki.

Ramy prawne

3

Motywy 11, 74, 76, 83, 85 i 146 RODO mają następujące brzmienie:

„(11)

Aby ochrona danych osobowych w Unii [Europejskiej] była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu […].

[…]

(74)

Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

[…]

(76)

Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

[…]

(83)

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

[…]

(85)

Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. […]

[…]

(146)

Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. Przetwarzanie dokonywane w sposób naruszający niniejsze rozporządzenie obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody. […]”.

4

Zawarty w rozdziale I tego rozporządzenia, dotyczącym „[p]rzepis[ów] ogóln[ych]”, art. 2 rozporządzenia, zatytułowany „Materialny zakres stosowania”, w ust. 1 stanowi:

„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”.

5

Artykuł 4 wspomnianego rozporządzenia, zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

1)

»dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]

[…]

7)

»administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; […]

[…]

10)

»strona trzecia« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

[…]

12)

»naruszenie ochrony danych osobowych« oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

[…]”.

6

Rozdział II RODO, zatytułowany „Zasady”, zawiera art. 5–11.

7

Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1.   Dane osobowe muszą być:

[…]

f)

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

8

Artykuł 6 wspomnianego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, określa w ust. 1 warunki, które muszą zostać spełnione, aby przetwarzanie było zgodne z prawem.

9

Rozdział IV RODO, zatytułowany „Administrator i podmiot przetwarzający”, zawiera art. 24–43.

10

Zawarty w sekcji 1 tego rozdziału, noszącej tytuł „Obowiązki ogólne”, art. 24 tego rozporządzenia, sam zatytułowany „Obowiązki administratora”, w ust. 1 i 2 stanowi:

„1.   Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2.   Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych”.

11

Zawarty w sekcji 2 wspomnianego rozdziału, zatytułowanej „Bezpieczeństwo danych osobowych”, art. 32 RODO, sam zatytułowany „Bezpieczeństwo przetwarzania”, w ust. 1 lit. b) i w ust. 2 stanowi:

„1.   Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

[…]

b)

zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

[…]

2.   Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

12

Rozdział VIII RODO, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, obejmuje art. 77–84 tego rozporządzenia.

13

Zgodnie z art. 82 wspomnianego rozporządzenia, zatytułowanym „Prawo do odszkodowania i odpowiedzialność”:

„1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. […]

3.   Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

[…]”.

14

Artykuł 83 RODO, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, stanowi:

„1.   Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

2.   […] Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a)

charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b)

umyślny lub nieumyślny charakter naruszenia;

[…]

d)

stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

[…]

k)

wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

3.   Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

[…]”.

15

Artykuł 84 tego rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1:

„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.

Postępowanie główne i pytania prejudycjalne

16

Powód w postępowaniu głównym udał się do lokalu handlowego spółki Saturn, gdzie nabył urządzenie gospodarstwa domowego. W tym celu sporządzona została przez pracownika tej spółki umowa sprzedaży i kredytu. Przy tej okazji pracownik ten wprowadził do systemu informatycznego spółki Saturn szereg danych osobowych tego klienta, a mianowicie jego nazwisko i imię, adres, miejsce zamieszkania, nazwę pracodawcy, dochody oraz dane bankowe.

17

Dotyczące umowy dokumenty zawierające te dane osobowe zostały wydrukowane i podpisane przez obie strony. Powód w postępowaniu głównym przekazał je następnie pracownikom spółki Saturn pracującym w miejscu wydawania towarów. Inny klient, który niepostrzeżenie wsunął się przed powoda w postępowaniu głównym, otrzymał wówczas omyłkowo zarówno urządzenie zamówione przez skarżącego w postępowaniu głównym, jak i odnośne dokumenty, i wszystko to zabrał ze sobą.

18

Po szybkim wykryciu błędu pracownik spółki Saturn uzyskał zwrot urządzenia i dokumentów, a następnie zwrócił je powodowi w postępowaniu głównym w ciągu pół godziny od przekazania ich drugiemu klientowi. Przedsiębiorstwo chciało wypłacić powodowi w postępowaniu głównym odszkodowanie za ten błąd, dostarczając mu nieodpłatnie przedmiotowe urządzenie do jego miejsca zamieszkania, lecz uznał on to odszkodowanie za niewystarczające.

19

Powód w postępowaniu głównym wniósł do Amtsgericht Hagen (sądu rejonowego w Hagen, Niemcy), będącego sądem odsyłającym w niniejszej sprawie, powództwo zmierzające do uzyskania, w szczególności na podstawie przepisów RODO, odszkodowania za szkodę niemajątkową, której – jak twierdzi – doznał z powodu błędu popełnionego przez pracowników spółki Saturn i wynikającego z tego ryzyka utraty kontroli nad swoimi danymi osobowymi.

20

W odpowiedzi na skargę spółka Saturn podnosi z jednej strony, że nie doszło do naruszenia RODO i że naruszenie to może nastąpić tylko w wypadku przekroczenia pewnego progu wagi naruszenia, który w niniejszym przypadku nie został osiągnięty. Z drugiej strony spółka ta podnosi, że powód w postępowaniu głównym nie poniósł żadnej szkody, ponieważ nie zostało ani stwierdzone, ani nawet podniesione, że odnośna strona trzecia nadużyła jego danych osobowych.

21

Sąd odsyłający zastanawia się, po pierwsze, nad ważnością art. 82 RODO, ponieważ artykuł ten wydaje mu się nieprecyzyjny co do skutków prawnych tego przepisu w przypadku odszkodowania za szkodę niemajątkową.

22

Po drugie, na wypadek gdyby Trybunał nie stwierdził nieważności tego art. 82, sąd odsyłający zastanawia się, czy skorzystanie z przewidzianego w tym artykule prawa do odszkodowania wymaga wykazania nie tylko naruszenia RODO, ale także szkody, w szczególności niemajątkowej, poniesionej przez osobę żądającą odszkodowania.

23

Po trzecie, sąd odsyłający dąży do ustalenia, czy sam fakt, że wydrukowane dokumenty zawierające dane osobowe zostały przekazane bez upoważnienia stronie trzeciej w wyniku błędu popełnionego przez pracowników administratora danych, pozwala stwierdzić naruszenie RODO.

24

Po czwarte, uznając, że „[pozwane] przedsiębiorstwo powinno ponosić ciężar dowodu swojej niewinności”, sąd ów zmierza do ustalenia, czy wystarczy stwierdzić, że nastąpiło takie przekazanie dokumentów w wyniku niedbalstwa, aby uznać, że doszło do naruszenia RODO, w szczególności w świetle ciążącego na administratorze obowiązku wdrożenia odpowiednich środków mających zapewnić bezpieczeństwo przetwarzanych danych, zgodnie z art. 2, 5, 6 i 24 tego rozporządzenia.

25

Po piąte, sąd odsyłający zastanawia się, czy nawet jeśli wydaje się, że nieupoważniona strona trzecia nie zapoznała się z danymi osobowymi przed zwróceniem dokumentów, w których się one znajdują, „szkodę niemajątkową” w rozumieniu art. 82 RODO można wykazać na tej tylko podstawie, że osoba, której dane zostały w ten sposób przekazane, odczuwa obawę przed ryzykiem – którego zdaniem owego sądu nie można wykluczyć – że dane te zostaną przekazane innym przez ową stronę trzecią, a nawet że zostaną w przyszłości wykorzystane w sposób stanowiący nadużycie.

26

Po szóste, wspomniany sąd zastanawia się nad ewentualnym wpływem, w ramach powództwa o odszkodowanie za szkodę niemajątkową opartego na tym art. 82, wagi naruszenia popełnionego w okolicznościach takich jak rozpatrywane w postępowaniu głównym, biorąc pod uwagę, że jego zdaniem administrator danych mógł zastosować bardziej skuteczne środki bezpieczeństwa.

27

Wreszcie, po siódme, sąd ów pragnie poznać cel odszkodowania za szkodę niemajątkową należnego na podstawie RODO, sugerując, że może ono mieć charakter sankcji równoważny z charakterem kary umownej.

28

W tych okolicznościach Amtsgericht Hagen (sąd rejonowy w Hagen) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)

Czy przepis dotyczący odszkodowania zawarty w [RODO] (art. 82 RODO) jest bezskuteczny z uwagi na brak określoności konsekwencji prawnych, jakie należy orzec w przypadku naprawienia szkody niematerialnej?

2)

Czy dla prawa do odszkodowania jest konieczne stwierdzenie, oprócz nieuprawnionego ujawnienia nieuprawnionej stronie trzeciej danych podlegających ochronie, szkody niemajątkowej podlegającej wykazaniu przez osobę dochodzącą odszkodowania?

3)

Czy dla naruszenia [RODO] wystarczy, że dane osobowe osoby, której dane dotyczą (imię i nazwisko, adres, zawód, dochód, pracodawca), zostaną omyłkowo przekazane w formie drukowanej, na papierze, stronie trzeciej w dokumencie papierowym w wyniku przeoczenia ze strony pracowników przedsiębiorstwa?

4)

Czy ma miejsce niezgodne z prawem dalsze przetwarzanie poprzez nieumyślne przekazanie (ujawnienie) osobie trzeciej, jeżeli przedsiębiorstwo przez omyłkę przekazało dane, które są poza tym wprowadzane do systemu elektronicznego przetwarzania danych, w formie drukowanej nieuprawnionej stronie trzeciej za pośrednictwem swoich pracowników {art. 2 ust. 1, art. 5 ust. 1 lit. f), art. 6 ust. 1, art. 24 [RODO]}?

5)

Czy szkoda niemajątkowa w rozumieniu art. 82 [RODO] występuje już w przypadku, gdy strona trzecia, która otrzymała dokument z danymi osobowymi, nie zapoznała się z tymi danymi przed zwróceniem dokumentu, w którym są zawarte informacje, czy też dla wystąpienia szkody niemajątkowej w rozumieniu art. 82 [RODO] wystarczy dyskomfort osoby, której dane osobowe zostały dalej przekazane niezgodnie z prawem, ponieważ przy każdym nieuprawnionym ujawnieniu danych osobowych istnieje niedająca się wykluczyć możliwość, że dane te mogą być mimo wszystko dalej rozpowszechniane wśród nieznanej liczby osób lub nawet nadużywane?

6)

Za jak poważne należy uznać naruszenie, w sytuacji gdy niezamierzonemu przekazaniu stronie trzeciej należy zapobiegać poprzez lepszą kontrolę pracowników zatrudnionych w przedsiębiorstwie lub lepszą organizację bezpieczeństwa danych na przykład poprzez oddzielną obsługę wydawania towarów i dokumentacji dotyczącej umowy, zwłaszcza finansowania, za pomocą osobnego pokwitowania wydania lub poprzez dalsze przekazanie wewnątrz przedsiębiorstwa personelowi wydającemu towar – bez angażowania klienta, któremu wręczono wydrukowane dokumenty, w tym upoważnienie do odbioru {art. 32 ust. 1 lit. b), art. 32 ust. 2 oraz art. 4 pkt 7 [RODO]}?

7)

Czy naprawienie szkody niemajątkowej oznacza zasądzenie kary jak w przypadku kary umownej?”.

W przedmiocie pytań prejudycjalnych

W przedmiocie pytania pierwszego

29

Poprzez pytanie pierwsze sąd odsyłający zmierza do ustalenia, czy art. 82 RODO jest bezskuteczny w zakresie, w jakim nie precyzuje konsekwencji prawnych, jakie należy orzec z tytułu odszkodowania za szkodę niemajątkową.

30

Parlament Europejski twierdzi, że pytanie to jest niedopuszczalne, ponieważ sąd odsyłający nie spełnił wymogów art. 94 lit. c) regulaminu postępowania przed Trybunałem, mimo że sąd ów porusza w tym miejscu szczególnie złożoną problematykę, a mianowicie ocenę ważności przepisu prawa Unii.

31

Zgodnie z art. 94 lit. c) regulaminu postępowania wniosek o wydanie orzeczenia w trybie prejudycjalnym powinien zawierać w szczególności, poza sformułowaniem pytań skierowanych do Trybunału w trybie prejudycjalnym, omówienie powodów, dla których sąd odsyłający rozpatruje kwestię wykładni lub ważności określonych przepisów prawa Unii.

32

W tym względzie uzasadnienie odesłania prejudycjalnego jest niezbędne, aby umożliwić nie tylko Trybunałowi udzielenie użytecznej odpowiedzi, lecz także rządom państw członkowskich oraz innym zainteresowanym podmiotom przedstawienie uwag zgodnie z art. 23 statutu Trybunału Sprawiedliwości Unii Europejskiej. Dokładniej rzecz ujmując, to właśnie w świetle podstaw nieważności wskazanych w postanowieniu odsyłającym Trybunał powinien zbadać ważność przepisu prawa Unii, wobec czego brak jakiejkolwiek wzmianki o dokładnych powodach, dla których sąd odsyłający żywi wątpliwości co do tej kwestii, powoduje niedopuszczalność pytań dotyczących wspomnianej ważności (zob. podobnie wyroki: z dnia 15 czerwca 2017 r., T.KUP, C‑349/16, EU:C:2017:469, pkt 1618; z dnia 22 czerwca 2023 r., Vitol, C‑268/22, EU:C:2023:508, pkt 5255).

33

W niniejszym przypadku sąd odsyłający nie przedstawia zaś żadnego konkretnego elementu pozwalającego Trybunałowi na zbadanie ważności art. 82 RODO.

34

W konsekwencji pytanie pierwsze należy uznać za niedopuszczalne.

W przedmiocie pytań trzeciego i czwartego

35

Poprzez pytania trzecie i czwarte, które powinno się rozpatrzyć łącznie i w pierwszej kolejności, sąd odsyłający dąży w istocie do ustalenia, czy art. 5, 24, 32 i 82 RODO należy interpretować łącznie w ten sposób, że w ramach powództwa o odszkodowanie opartego na owym art. 82 okoliczność, iż pracownicy administratora omyłkowo przekazali nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, wystarcza sama w sobie do uznania, że środki techniczne i organizacyjne wdrożone przez odnośnego administratora nie były „odpowiednie” w rozumieniu art. 24 i 32.

36

Artykuł 24 RODO przewiduje, że na administratorze danych osobowych ciąży ogólny obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić, by przetwarzanie to odbywało się zgodnie z tym rozporządzeniem, i być w stanie to wykazać (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 24).

37

Artykuł 32 RODO określa natomiast obowiązki administratora i ewentualnego podmiotu przetwarzającego w zakresie bezpieczeństwa tego przetwarzania. I tak ust. 1 tego artykułu stanowi, że powinni oni wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z tym przetwarzaniem, uwzględniając stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele danego przetwarzania. Podobnie ust. 2 tego artykułu stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 26, 27).

38

Z brzmienia art. 24 i 32 RODO wynika zatem, że odpowiedni charakter środków wdrożonych przez administratora należy oceniać w sposób konkretny, biorąc pod uwagę różne kryteria, o których mowa w tych artykułach, oraz potrzeby ochrony danych specyficznie związane z danym przetwarzaniem, a także wynikające z niego ryzyko, tym bardziej że wspomniany administrator musi być w stanie wykazać zgodność tych środków z tym rozporządzeniem, której to możliwości zostałby pozbawiony, gdyby dopuścić domniemanie niewzruszalne (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 3032).

39

Tę literalną wykładnię potwierdza lektura rzeczonych art. 24 i 32 w związku z art. 5 ust. 2 i art. 82 wspomnianego rozporządzenia w świetle jego motywów 74, 76 i 83, z których wynika w szczególności, że administrator jest zobowiązany do zminimalizowania ryzyka naruszenia danych osobowych, a nie do zapobieżenia ich naruszeniu (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 3338).

40

Wobec tego Trybunał dokonał wykładni art. 24 i 32 RODO w ten sposób, że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez „strony trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż wdrożone przez danego administratora środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu tych art. 24 i 32 (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 39).

41

W niniejszym przypadku okoliczność, że pracownicy administratora przekazali w wyniku błędu nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, może świadczyć o tym, że środki techniczne i organizacyjne wdrożone przez danego administratora nie były „odpowiednie” w rozumieniu wspomnianych art. 24 i 32. W szczególności taka okoliczność może wynikać z niedbalstwa lub niedostatków w organizacji administratora, który nie uwzględnia w sposób konkretny ryzyka związanego z przetwarzaniem odnośnych danych.

42

W tym względzie należy podkreślić, że z łącznej lektury art. 5, 24 i 32 RODO w świetle jego motywu 74 wynika, iż w ramach powództwa o odszkodowanie opartego na art. 82 tego rozporządzenia ciężar udowodnienia, że dane osobowe są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych w rozumieniu art. 5 ust. 1 lit. f) i art. 32 tego rozporządzenia, spoczywa na odnośnym administratorze. Taki rozkład ciężaru dowodu może nie tylko zachęcać administratorów tych danych do przyjęcia środków bezpieczeństwa wymaganych przez RODO, lecz również zapewniać skuteczność (effet utile) prawa do odszkodowania przewidzianego w art. 82 tego rozporządzenia i być zgodny z zamiarami prawodawcy Unii, o których mowa w motywie 11 tego rozporządzenia (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 4956).

43

Wobec tego Trybunał dokonał wykładni zasady rozliczalności administratora, wyrażonej w art. 5 ust. 2 RODO i skonkretyzowanej w art. 24 tego rozporządzenia, w ten sposób, iż w ramach powództwa o odszkodowanie opartego na art. 82 tego rozporządzenia na odnośnym administratorze spoczywa ciężar udowodnienia, że środki bezpieczeństwa, które wdrożył na podstawie art. 32 tego rozporządzenia, mają odpowiedni charakter (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 57).

44

Tym samym sąd rozpoznający takie powództwo o naprawienie szkody na podstawie art. 82 RODO nie może w celu ustalenia, czy doszło do naruszenia obowiązku przewidzianego w tym rozporządzeniu, uwzględnić jedynie okoliczności, że pracownicy administratora danych omyłkowo przekazali nieupoważnionej stronie trzeciej dokument zawierający dane osobowe. Sąd ten powinien bowiem również wziąć pod uwagę wszystkie dowody, które administrator przedstawił w celu wykazania odpowiedniego charakteru środków technicznych i organizacyjnych, jakie przyjął, aby wypełnić obowiązki wynikające z art. 24 i 32 wspomnianego rozporządzenia.

45

W świetle powyższych rozważań na pytania trzecie i czwarte trzeba odpowiedzieć, iż art. 5, 24, 32 i 82 RODO należy interpretować łącznie w ten sposób, że w ramach powództwa o odszkodowanie opartego na owym art. 82 okoliczność, iż pracownicy administratora omyłkowo przekazali nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, wystarcza sama w sobie do uznania, że środki techniczne i organizacyjne wdrożone przez odnośnego administratora nie były „odpowiednie” w rozumieniu art. 24 i 32.

W przedmiocie pytania siódmego

46

Poprzez pytanie siódme sąd odsyłający dąży w istocie do ustalenia, czy art. 82 RODO należy interpretować w ten sposób, że przewidziane w tym przepisie prawo do odszkodowania, w szczególności w przypadku szkody niemajątkowej, pełni funkcję represyjną.

47

W tym względzie Trybunał orzekł, że art. 82 RODO pełni funkcję nie represyjną, lecz kompensacyjną – w przeciwieństwie do innych przepisów tego rozporządzenia zawartych również w jego rozdziale VIII, a mianowicie jego art. 83 i 84, które, jeśli o nie chodzi, mają zasadniczo cel represyjny, ponieważ umożliwiają odpowiednio nakładanie grzywien administracyjnych i innych kar. Związek między przepisami ustanowionymi we wspomnianym art. 82 a przepisami zawartymi we wspomnianych art. 83 i 84 świadczy o tym, że istnieje różnica między tymi dwiema kategoriami przepisów, ale także komplementarność, jeśli chodzi o zachętę do przestrzegania RODO, przy czym prawo każdej osoby do żądania odszkodowania wzmacnia operacyjny charakter przepisów ochronnych przewidzianych w tym rozporządzeniu i może zniechęcać do powtarzania bezprawnych zachowań [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 38, 40; a także z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 85].

48

Trybunał wyjaśnił, że ponieważ prawo do odszkodowania przewidziane w art. 82 ust. 1 RODO nie pełni funkcji odstraszającej, czy też represyjnej, tylko pełni funkcję kompensacyjną, waga naruszenia tego rozporządzenia, które spowodowało daną szkodę, nie może mieć wpływu na wysokość odszkodowania przyznanego na podstawie tego przepisu, nawet jeśli chodzi nie o szkodę majątkową, lecz o szkodę niemajątkową, wobec czego kwota ta nie może zostać ustalona na poziomie przekraczającym całkowitą rekompensatę tej szkody (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 86, 87).

49

Z powyższego wynika, że nie ma potrzeby wypowiadania się w przedmiocie rozważanego przez sąd odsyłający podobieństwa pomiędzy celem, do którego zmierza prawo do odszkodowania ustanowione w owym art. 82 ust. 1, i funkcją represyjną kary umownej.

50

W konsekwencji na pytanie siódme trzeba odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że prawo do odszkodowania przewidziane w tym przepisie, w szczególności w przypadku szkody niemajątkowej, pełni funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, nie zaś funkcję represyjną.

W przedmiocie pytania szóstego

51

Poprzez pytanie szóste sąd odsyłający dąży w istocie do ustalenia, czy art. 82 RODO należy interpretować w ten sposób, że artykuł ten wymaga, aby stopień wagi naruszenia tego rozporządzenia popełnionego przez administratora został uwzględniony do celów naprawienia szkody na podstawie tego przepisu.

52

W tym względzie z art. 82 RODO wynika, że, po pierwsze, powstanie odpowiedzialności administratora danych jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody, i, po drugie, ten art. 82 nie wymaga wzięcia pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie tego przepisu (wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/12, EU:C:2023:1022, pkt 103).

53

Co się tyczy oceny odszkodowania ewentualnie należnego na podstawie art. 82 RODO, to ponieważ owo rozporządzenie nie zawiera przepisu w tym zakresie, sądy krajowe powinny do celów tej oceny stosować przepisy wewnętrzne każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, pod warunkiem że przestrzegane są zasady równoważności i skuteczności prawa Unii (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 83, 101 i przytoczone tam orzecznictwo).

54

Ponadto Trybunał uściślił, biorąc pod uwagę funkcję kompensacyjną przewidzianego w art. 82 RODO prawa do odszkodowania, że przepis ten nie wymaga, by stopień wagi naruszenia przepisów tego rozporządzenia, co do którego to naruszenia domniemywa się istnienie winy administratora, został uwzględniony przy określaniu kwoty odszkodowania przyznanego za szkodę niemajątkową na podstawie tego przepisu, lecz wymaga, by kwota ta została ustalona w taki sposób, aby w pełni zrekompensować konkretną szkodę poniesioną w wyniku naruszenia wspomnianego rozporządzenia (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 8487, 102 i przytoczone tam orzecznictwo).

55

W świetle powyższych rozważań na pytanie szóste trzeba odpowiedzieć, iż art. 82 RODO należy interpretować w ten sposób, że artykuł ten nie wymaga, aby stopień wagi naruszenia tego rozporządzenia popełnionego przez administratora został uwzględniony do celów naprawienia szkody na podstawie tego przepisu.

W przedmiocie pytania drugiego

56

Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że osoba dochodząca odszkodowania na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej szkodę majątkową lub niemajątkową.

57

Należy przypomnieć, że zgodnie z art. 82 ust. 1 RODO „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

58

Z brzmienia tego przepisu wynika, że samo naruszenie RODO nie wystarcza do przyznania prawa do odszkodowania. Istnienie „szkody”, która została „poniesiona”, stanowi bowiem jedną z przesłanek przewidzianego w art. 82 ust. 1 prawa do odszkodowania, podobnie jak istnienie naruszenia tego rozporządzenia i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 32, 42; z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 77; z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, pkt 14; a także z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 82].

59

Co się tyczy w szczególności szkód niemajątkowych, Trybunał orzekł również, że art. 82 ust. 1 RODO sprzeciwia się przepisowi krajowemu lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za szkodę niemajątkową w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, zgodnie z definicją zawartą w art. 4 pkt 1 tego rozporządzenia, osiągnęła pewien stopień wagi [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych),C‑300/21, EU:C:2023:370, pkt 51; z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 78; a także z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, pkt 16].

60

Trybunał wyjaśnił, że osoba, której dotyczy naruszenie RODO, które wywołało wobec niej negatywne konsekwencje, jest jednak zobowiązana wykazać, że konsekwencje te stanowią szkodę niemajątkową w rozumieniu art. 82 tego rozporządzenia, ponieważ samo naruszenie jego przepisów nie wystarcza do przyznania prawa do odszkodowania [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 42, 50; z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 84; a także z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, pkt 21, 23].

61

W świetle powyższych rozważań na pytanie drugie trzeba odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że osoba dochodząca odszkodowania na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej szkodę majątkową lub niemajątkową.

W przedmiocie pytania piątego

62

Poprzez pytanie piąte sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy dokument zawierający dane osobowe został przekazany nieupoważnionej stronie trzeciej, co do której wykazano, że nie zapoznała się z nimi, „szkodę niemajątkową” w rozumieniu tego przepisu może stanowić sam fakt, że osoba, której dane dotyczą, obawia się, iż w następstwie tego ujawnienia, które umożliwiało sporządzenie kopii tego dokumentu przed jego zwróceniem, w przyszłości dojdzie do rozpowszechnienia, lub nawet do nadużycia jej danych.

63

Należy uściślić, że sąd ów wskazuje, iż w niniejszym przypadku dokument, w którym znajdowały się odnośne dane, został zwrócony powodowi w postępowaniu głównym w ciągu pół godziny po przekazaniu go nieupoważnionej stronie trzeciej, która nie zapoznała się z tymi danymi przed zwróceniem dokumentu, lecz wspomniany powód podnosi, że przekazanie to dało owej stronie trzeciej możliwość sporządzenia kopii dokumentu przed jego zwróceniem i z tego względu wywołało w nim obawę związaną z ryzykiem, iż w przyszłości dojdzie do nadużycia wspomnianych danych.

64

Z uwagi na brak jakiegokolwiek odniesienia w art. 82 ust. 1 RODO do prawa krajowego państw członkowskich pojęcie „szkody niemajątkowej” w rozumieniu tego przepisu powinno otrzymać autonomiczną i jednolitą definicję, właściwą prawu Unii [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 30, 44; a także z dnia 14 grudnia 2023 r., Krankenversicherung Nordrhein, C‑456/22, EU:C:2023:988, pkt 15].

65

Trybunał orzekł, że jak wynika nie tylko z brzmienia art. 82 ust. 1 RODO w związku z motywami 85 i 146 tego rozporządzenia, które skłaniają do przyjęcia szerokiego rozumienia pojęcia „szkody niemajątkowej” w rozumieniu tego pierwszego przepisu, lecz również z celu, do którego zmierza to rozporządzenie, polegającego na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych, obawa przed potencjalnym nadużywaniem jej danych osobowych przez strony trzecie, jaką osoba, której dane dotyczą, odczuwa w następstwie naruszenia tego rozporządzenia, może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu owego art. 82 ust. 1 (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 7986).

66

Ponadto w oparciu również o względy o charakterze zarówno literalnym, systemowym, jak i celowościowym Trybunał uznał, że utrata kontroli nad danymi osobowymi przez krótki okres może spowodować po stronie osoby, której dane dotyczą, „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 RODO, rodzącą prawo do odszkodowania, pod warunkiem że osoba ta wykaże, iż rzeczywiście poniosła taką szkodę, chociażby była ona znikoma, przy czym należy przypomnieć, że samo naruszenie przepisów tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania na tej podstawie (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, pkt 1823).

67

Podobnie w niniejszym przypadku należy zauważyć, że zarówno z brzmieniem art. 82 ust. 1 RODO, jak i z celem polegającym na ochronie realizowanym przez to rozporządzenie zgodne jest to, iż pojęcie „szkody niemajątkowej” obejmuje sytuację, gdy osoba, której dane dotyczą, ma uzasadnioną obawę – czego sprawdzenie należy do sądu krajowego rozpatrującego sprawę – że niektóre jej dane osobowe zostaną w przyszłości rozpowszechnione lub wykorzystywane w sposób stanowiący nadużycie przez strony trzecie, ze względu na fakt, iż dokument zawierający wspomniane dane został przekazany nieupoważnionej stronie trzeciej, która miała możliwość sporządzenia jego kopii przed jego zwróceniem.

68

Nie zmienia to jednak faktu, że do osoby dochodzącej odszkodowania na podstawie art. 82 RODO należy wykazanie istnienia takiej szkody. W szczególności czysto hipotetyczne ryzyko nadużycia przez nieupoważnioną stronę trzecią nie może stanowić podstawy odszkodowania. Ma to miejsce w przypadku, gdy żadna strona trzecia nie zapoznała się z przedmiotowymi danymi osobowymi.

69

W związku z tym na pytanie piąte trzeba odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że w przypadku gdy dokument zawierający dane osobowe został przekazany nieupoważnionej stronie trzeciej, co do której wykazano, że nie zapoznała się z tymi danymi, „szkodę niemajątkową” w rozumieniu tego przepisu może stanowić sam fakt, iż osoba, której dane dotyczą, obawia się, że w następstwie tego ujawnienia umożliwiającego sporządzenie kopii tego dokumentu przed jego zwróceniem dojdzie w przyszłości do rozpowszechnienia, lub nawet do nadużycia jej danych.

W przedmiocie kosztów

70

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

 

Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:

 

1)

Artykuły 5, 24, 32 i 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować łącznie w ten sposób, że:

w ramach powództwa o odszkodowanie opartego na owym art. 82 okoliczność, iż pracownicy administratora omyłkowo przekazali nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, wystarcza sama w sobie do uznania, że środki techniczne i organizacyjne wdrożone przez odnośnego administratora nie były „odpowiednie” w rozumieniu art. 24 i 32.

 

2)

Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

prawo do odszkodowania przewidziane w tym przepisie, w szczególności w przypadku szkody niemajątkowej, pełni funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, nie zaś funkcję represyjną.

 

3)

Artykuł 82 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

artykuł ten nie wymaga, aby stopień wagi naruszenia tego rozporządzenia popełnionego przez administratora został uwzględniony do celów naprawienia szkody na podstawie tego przepisu.

 

4)

Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

osoba dochodząca odszkodowania na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej szkodę majątkową lub niemajątkową.

 

5)

Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

w przypadku gdy dokument zawierający dane osobowe został przekazany nieupoważnionej stronie trzeciej, co do której wykazano, że nie zapoznała się z tymi danymi, „szkodę niemajątkową” w rozumieniu tego przepisu może stanowić sam fakt, iż osoba, której dane dotyczą, obawia się, że w następstwie tego ujawnienia umożliwiającego sporządzenie kopii tego dokumentu przed jego zwróceniem dojdzie w przyszłości do rozpowszechnienia, lub nawet do nadużycia jej danych.

 

Podpisy


( *1 ) Język postępowania: niemiecki.

Top