–

w imieniu GP – H. Schöning, Rechtsanwalt,

–

w imieniu juris GmbH – E. Brandt i C. Werkmeister, Rechtsanwälte,

–

w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce i M. Lane, w charakterze pełnomocników, których wspierał D. Fennelly, BL,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 82 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”) w związku z art. 29 i 83 tego rozporządzenia i w świetle jego motywów 85 i 146.

2

Wniosek ten został złożony w ramach sporu pomiędzy GP, osobą fizyczną, a juris GmbH, spółka z siedzibą w Niemczech, w przedmiocie odszkodowania za szkodę, jaką GP miał ponieść w wyniku przetwarzania jego danych osobowych przeprowadzonego do celów marketingu bezpośredniego, mimo sprzeciwów zgłaszanych przez niego wspomnianej spółce.

3

Motywy 85, 146 i 148 RODO mają następujące brzmienie:

[…]

[…]

4

Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

[…]

[…]”.

5

Artykuł 5 tego rozporządzenia wymienia szereg zasad dotyczących przetwarzania danych osobowych.

6

W rozdziale III tego rozporządzenia, odnoszącym się do „[praw] osoby, której dane dotyczą”, figuruje jego art. 21 tego rozporządzenia, zatytułowany „Prawo do sprzeciwu”, który w ust. 3 przewiduje:

„Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów”.

7

Rozdział IV RODO, zatytułowany „Administrator i podmiot przetwarzający”, zawiera art. 24–43.

8

Artykuł 24 wspomnianego rozporządzenia, zatytułowany „Obowiązki administratora”, stanowi w ust. 1 i 2:

„1.   Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2.   Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych”.

9

Artykuł 25 wspomnianego rozporządzenia, zatytułowany „Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”, stanowi w ust. 1:

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.

10

Artykuł 29 RODO, zatytułowany „Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego”, stanowi:

„Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.

11

Artykuł 32 tego rozporządzenia, zatytułowany „Bezpieczeństwo przetwarzania”, stanowi:

„1.   Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

[…]

[…]

2.   Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

[…]

4.   Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

12

Rozdział VIII RODO, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, obejmuje art. 77–84 tego rozporządzenia.

13

Artykuł 79 owego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, stanowi w ust. 1:

„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia”.

14

Artykuł 82 rzeczonego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, przewiduje w ust. 1–3:

„1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. […]

3.   Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”.

15

Artykuł 83 RODO, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, stanowi w ust. 2, 3 i 5:

„2.   […] Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

[…]

3.   Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

[…]

5.   Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

[…]”.

16

Artykuł 84 tego rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1:

„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.

17

Powód w postępowaniu głównym, wykonujący na własny rachunek zawód adwokata, był klientem juris – spółki prowadzącej prawniczą bazę danych.

18

Po otrzymaniu informacji, że jego dane były wykorzystywane przez juris również do marketingu bezpośredniego, powód w postępowaniu głównym – pismem z dnia 6 listopada 2018 r. – wycofał wszystkie swoje zgody na otrzymywanie od tej spółki informacji z pośrednictwem poczty elektronicznej lub telefonicznie i sprzeciwił się przetwarzaniu tych danych z wyjątkiem przetwarzania niezbędnego do przesyłania newslettera, który nadal chciał otrzymywać.

19

Mimo to w styczniu 2019 r. powód w postępowaniu głównym ponownie otrzymał dwa pisma reklamowe, wysłane imiennie na jego adres zawodowy. Pismem skierowanym do juris w dniu 18 kwietnia 2019 r. przypomniał on spółce o swoim wcześniejszym sprzeciwie wobec wszelkiego marketingu bezpośredniego, wskazał, że generowanie pism reklamowych wiązało się z niezgodnym z prawem przetwarzaniem jego danych osobowych, oraz zażądał od spółki odszkodowania na podstawie art. 82 RODO. Po otrzymaniu kolejnego pisma reklamowego w dniu 3 maja 2019 r. ponowił swój sprzeciw, który tym razem został doręczony juris przez komornika.

20

Każde z tych pism reklamowych zawierało „osobisty kod testowy” umożliwiający dostęp – w witrynie internetowej juris – do formularza zamówienia produktów tej spółki, zawierającego informacje dotyczące powoda w postępowaniu głównym. Na jego prośbę zostało to stwierdzone przez notariusza w dniu 7 czerwca 2019 r.

21

Powód w postępowaniu głównym wystąpił do Landgericht Saarbrücken (sądu krajowego w Saarbrücken, Niemcy), który jest sądem odsyłającym w niniejszej sprawie, z powództwem na podstawie art. 82 ust. 1 RODO o zasądzenie odszkodowania za szkodę majątkową związaną z poniesieniem kosztów komornika i notariusza, a także za szkodę niemajątkową. Twierdzi on w szczególności, że w wyniku przetwarzania przez juris jego danych osobowych mimo jego sprzeciwów doświadczył utraty kontroli nad tymi danymi i że z tego tytułu może otrzymać odszkodowanie bez potrzeby wykazywania skutków lub wagi naruszenia jego praw, zagwarantowanych w art. 8 Karty praw podstawowych Unii Europejskiej i sprecyzowanych w tym rozporządzeniu.

22

W odpowiedzi juris kwestionuje wszelką odpowiedzialność, podnosząc, że wdrożyła system zarządzania sprzeciwami dotyczącymi marketingu bezpośredniego i opóźnione uwzględnienie sprzeciwów powoda w postępowaniu głównym wynikało bądź z faktu, że jeden z jego pracowników zachował się niezgodnie z wydanymi mu poleceniami, bądź z faktu, że uwzględnienie tych sprzeciwów byłoby nadmiernie kosztowne. Podnosi ona, że samo naruszenie obowiązku wynikającego z RODO, takiego jak obowiązek wynikający z jego art. 21 ust. 3, nie stanowi samo w sobie „szkody” w rozumieniu art. 82 ust. 1 tego rozporządzenia.

23

W pierwszej kolejności sąd odsyłający wychodzi przede wszystkim z założenia, że prawo do odszkodowania przewidziane w art. 82 ust. 1 RODO jest uzależnione od spełnienia trzech przesłanek, którymi są: naruszenie rozporządzenia, szkoda majątkowa lub niemajątkowa, a także związek przyczynowy między tym naruszeniem i tą szkodą. Następnie, mając na względzie żądania powoda w postępowaniu głównym, sąd ten zastanawia się, czy nie należałoby jednak przyjąć, że naruszenie RODO samo w sobie stanowi szkodę niemajątkową dającą prawo do odszkodowania, w szczególności wtedy, gdy naruszony przepis tego rozporządzenia przyznaje osobie, której dane dotyczą, prawo podmiotowe. Wreszcie, skoro prawo niemieckie uzależnia odszkodowanie pieniężne za szkodę niemajątkową od spełnienia wymogu poważnego naruszenia chronionych praw, sąd ten zastanawia się, czy – w świetle wskazówek dotyczących pojęcia „szkody” zawartych w motywach 85 i 146 tego rozporządzenia – analogiczne ograniczenie może znaleźć zastosowanie do żądań odszkodowawczych na podstawie RODO.

24

W drugiej kolejności sąd ten uważa za możliwe, że z art. 82 RODO wynika, że w razie stwierdzenia istnienia naruszenia tego rozporządzenia uznaje się, że naruszenie to można przypisać administratorowi danych, w związku z czym byłby on odpowiedzialny na zasadzie domniemanej winy, a nawet niezależnie od winy. Ponadto, podkreśliwszy, że ust. 3 tego artykułu nie określa wymogów dowodowych konkretnie związanych ze zwolnieniem przewidzianym w tym ustępie, sąd ten zauważa, że gdyby administrator danych mógł uwolnić się od odpowiedzialności, ograniczając się do powołania się w sposób ogólny na zawinione zachowanie jednego ze swoich współpracowników, ograniczyłoby to w znacznym stopniu skuteczność prawa do odszkodowania przewidzianego w ust. 1 tego artykułu.

25

W trzeciej kolejności sąd odsyłający zmierza w szczególności do ustalenia, czy w celu ustalenia kwoty odszkodowania pieniężnego za szkodę, w szczególności za szkodę niemajątkową, które byłoby należne na podstawie art. 82 RODO, kryteria przewidziane w art. 83 ust. 2 i 5 tego rozporządzenia w celu ustalenia wysokości administracyjnych kar pieniężnych można, a nawet należy uwzględnić również w ramach wspomnianego art. 82.

26

W czwartej i ostatniej kolejności sąd ten zauważa, że w zawisłym przed nim sporze dane osobowe powoda w postępowaniu głównym były wielokrotnie przetwarzane do celów marketingu bezpośredniego, pomimo jego powtarzających się sprzeciwów. Zmierza on zatem do ustalenia, czy w przypadku gdy istnieje taka wielość naruszeń RODO, w celu ustalenia kwoty odszkodowania ewentualnie należnego na podstawie art. 82 tego rozporządzenia należy je uwzględnić indywidualnie, czy też w sposób całościowy.

27

W tych okolicznościach Landgericht Saarbrücken (sąd krajowy w Saarbrücken) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

28

Na wstępie juris podnosi w istocie, że pytanie pierwsze jest niedopuszczalne w zakresie, w jakim zmierza do ustalenia, czy powstanie prawa do odszkodowania przewidzianego w art. 82 RODO jest uzależnione od wymogu, aby szkoda podnoszona przez osobę, której dane dotyczą, zdefiniowana w art. 4 pkt 1 tego rozporządzenia, osiągnęła pewną wagę. Pytanie to jest jej zdaniem pozbawione znaczenia dla rozstrzygnięcia sporu w postępowaniu głównym ze względu na to, że szkoda podnoszona przez powoda w postępowaniu głównym, a mianowicie utrata kontroli nad własnymi danymi osobowymi, nie wystąpiła, ponieważ dane te były przetwarzane zgodnie z prawem, jako wpisujące się w stosunek umowny łączący strony tego sporu.

29

W tym względzie należy przypomnieć, że wyłącznie do sądu krajowego, przed którym toczy się spór i który musi przyjąć odpowiedzialność za mające zapaść orzeczenie sądowe, należy – przy uwzględnieniu okoliczności konkretnej sprawy – zarówno ocena, czy do wydania wyroku jest mu niezbędne uzyskanie orzeczenia w trybie prejudycjalnym, jak i ocena przedstawionych Trybunałowi pytań, które korzystają z domniemania posiadania znaczenia dla sprawy. Wobec tego w sytuacji gdy zadane pytanie dotyczy wykładni lub ważności przepisu prawa Unii, Trybunał jest co do zasady zobowiązany orzec, chyba że oczywiste jest, że wykładnia, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia przydatnej odpowiedzi na dane pytanie [wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych)C‑300/21, EU:C:2023:370, pkt 23 i przytoczone tam orzecznictwo].

30

W tym przypadku pytanie pierwsze dotyczy warunków wymaganych do skorzystania z prawa do odszkodowania przewidzianego w art. 82 RODO. Ponadto nie wydaje się oczywiste, by wykładnia, o którą się zwrócono, była pozbawiona związku ze sporem w postępowaniu głównym lub by podniesiona kwestia miała charakter hipotetyczny. Po pierwsze bowiem, spór ten dotyczy żądania odszkodowawczego, które objęte jest systemem ochrony danych osobowych ustanowionym w RODO. Po drugie, pytanie to zmierza w istocie do ustalenia, czy do celów stosowania zasad odpowiedzialności ustanowionych w tym rozporządzeniu konieczne jest nie tylko istnienie szkody niemajątkowej odrębnej od naruszenia wspomnianego rozporządzenia, ale także to, czy szkoda ta przekracza określony próg wagi.

31

Pytanie pierwsze jest zatem dopuszczalne.

32

Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że naruszenie przepisów tego rozporządzenia, które przyznają prawa osobie, której dane dotyczą, samo w sobie jest wystarczające, by stanowić „szkodę niemajątkową” w rozumieniu tego przepisu, niezależnie od stopnia wagi szkody poniesionej przez tę osobę.

33

Tytułem wstępu należy przypomnieć, że w art. 82 ust. 1 RODO wskazano, że „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

34

Trybunał dokonał już wykładni art. 82 ust. 1 RODO w ten sposób, że samo naruszenie tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania, ponieważ istnienie „szkody”, majątkowej lub niemajątkowej, lub „szkody”, która została „poniesiona”, stanowi jedną z przesłanek prawa do odszkodowania przewidzianego we wspomnianym art. 82 ust. 1, podobnie jak istnienie naruszenia wspomnianego rozporządzenia i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne (zob. podobnie wyrok z dnia 25 stycznia 2024 r., MediaMarktSaturn,C‑687/21, EU:C:2024:72, pkt 58 i przytoczone tam orzecznictwo).

35

Tak więc osoba dochodząca odszkodowania za szkodę niemajątkową na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej taką szkodę (zob. podobnie wyrok z dnia 25 stycznia 2024 r., MediaMarktSaturn,C‑687/21, EU:C:2024:72, pkt 60, 61 i przytoczone tam orzecznictwo).

36

W tej kwestii należy zauważyć, że Trybunał dokonał wykładni art. 82 ust. 1 RODO w ten sposób, że stoi on na przeszkodzie przepisowi krajowemu lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za „szkodę niemajątkową” w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi. Jednocześnie podkreślił, że osoba ta jest jednak zobowiązana do wykazania, iż naruszenie tego rozporządzenia wyrządziło jej taką szkodę niemajątkową (zob. podobnie wyrok z dnia 25 stycznia 2024 r., MediaMarktSaturn,C‑687/21, EU:C:2024:72, pkt 59, 60 i przytoczone tam orzecznictwo).

37

Nawet gdyby naruszony przepis RODO przyznawał prawa osobom fizycznym, takie naruszenie nie może samo w sobie stanowić „szkody niemajątkowej” w rozumieniu tego rozporządzenia.

38

Prawdą jest, że z art. 79 ust. 1 RODO wynika, że każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu, jeżeli uzna ona, że „prawa przysługujące jej na mocy [tego] rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem [wspomnianego] rozporządzenia”.

39

Jednakże przepis ten ogranicza się do przyznania prawa do środka prawnego osobie, która uważa się za pokrzywdzoną naruszeniem praw przyznanych jej w RODO, nie zwalniając tej osoby z ciążącego na niej na mocy art. 82 ust. 1 tego rozporządzenia obowiązku udowodnienia, że rzeczywiście poniosła szkodę majątkową lub niemajątkową.

40

Wynika z tego, że naruszenie przepisów RODO przyznających prawa osobie, której dane dotyczą, nie wystarcza samo w sobie do uzasadnienia materialnego prawa do odszkodowania na podstawie tego rozporządzenia, które wymaga spełnienia również dwóch pozostałych przesłanek powstania tego prawa wymienionych w pkt 34 niniejszego wyroku.

41

W niniejszej sprawie powód w postępowaniu głównym domaga się na podstawie RODO odszkodowania za szkodę niemajątkową, to jest utratę kontroli nad własnymi danymi osobowymi przetwarzanymi pomimo jego sprzeciwu, nie będąc zobowiązanym do udowodnienia, że szkoda ta przekroczyła pewien próg wagi.

42

W tym względzie należy zauważyć, że motyw 85 RODO wyraźnie wymienia „utratę kontroli” wśród szkód, które mogą powstać w wyniku naruszenia ochrony danych osobowych. Ponadto Trybunał orzekł, że utrata kontroli nad takimi danymi, nawet przez krótki okres, może stanowić „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 tego rozporządzenia, dającą prawo do odszkodowania, pod warunkiem że osoba, której dane dotyczą, wykaże, iż rzeczywiście poniosła taką szkodę, chociażby była ona znikoma (zob. podobnie wyrok z dnia 25 stycznia 2024 r., MediaMarktSaturn,C‑687/21, EU:C:2024:72, pkt 66 i przytoczone tam orzecznictwo).

43

Z powyższych względów na pytanie pierwsze należy udzielić następującej odpowiedzi: art. 82 ust. 1 RODO należy interpretować w ten sposób, że naruszenie przepisów tego rozporządzenia, które przyznają prawa osobie, której dane dotyczą, samo w sobie nie jest wystarczające, by stanowić „szkodę niemajątkową” w rozumieniu tego przepisu, niezależnie od stopnia wagi szkody poniesionej przez tę osobę.

44

Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 82 RODO należy interpretować w ten sposób, że aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie ust. 3 tego artykułu, wystarczy powołanie się na to, że rozpatrywana szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia.

45

W tym względzie należy przypomnieć, że art. 82 RODO stanowi w ust. 2, że każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym to rozporządzenie, a w ust. 3, że administrator jest zwolniony z odpowiedzialności wynikającej z ust. 2, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

46

Trybunał stwierdził już, że z łącznej analizy ust. 2 i 3 tego art. 82 wynika, iż przewiduje on system odpowiedzialności na zasadzie winy, wiążący się z domniemaniem, że administrator uczestniczył w przetwarzaniu stanowiącym odnośne naruszenie RODO, w związku z czym ciężar dowodu spoczywa nie na osobie, która poniosła szkodę, lecz na administratorze (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, pkt 92–94).

47

Co się tyczy kwestii, czy administrator może zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO z tego tylko powodu, że szkoda ta została spowodowana zawinionym zachowaniem osoby działającej z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia, to po pierwsze, z art. 29 tego rozporządzenia wynika, że osoby działające z upoważnienia administratora, takie jak jego pracownicy, którzy mają dostęp do danych osobowych, mogą co do zasady przetwarzać te dane wyłącznie na polecenie tego administratora i zgodnie z tymi poleceniami (zob. podobnie wyrok z dnia 22 czerwca 2023 r., Pankki S,C‑687/21, EU:C:2023:501, pkt 73, 74).

48

Po drugie, art. 32 ust. 4 RODO, dotyczący bezpieczeństwa przetwarzania danych osobowych, przewiduje, że administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

49

Pracownik administratora jest zaś osobą fizyczną działającą z upoważnienia tego administratora. Tak więc zadaniem administratora jest upewnienie się, że jego polecenia są prawidłowo wykonywane przez jego pracowników. W związku z tym administrator nie może uchylić się od odpowiedzialności na podstawie art. 82 ust. 3 RODO, powołując się jedynie na niedbalstwo lub uchybienie osoby działającej z jego upoważnienia.

50

W tym przypadku w uwagach na piśmie przedstawionych Trybunałowi juris podnosi w istocie, że administrator powinien zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO, jeżeli naruszenie, które spowodowało daną szkodę, można przypisać zachowaniu jednego z jego pracowników, który nie zastosował się do poleceń tego administratora, i jeżeli naruszenie to nie wynika z uchybienia obowiązkom tego administratora określonym w szczególności w art. 24, 25 i 32 tego rozporządzenia.

51

W tym względzie należy podkreślić, że okoliczności zwolnienia przewidzianego w art. 82 ust. 3 RODO muszą być ściśle ograniczone do tych okoliczności, w których administrator danych jest w stanie wykazać brak możliwości przypisania szkody właśnie jemu (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, pkt 70). W związku z tym w przypadku naruszenia danych osobowych popełnionego przez osobę działającą z jego upoważnienia wspomniany administrator może skorzystać z tego zwolnienia tylko wtedy, gdy udowodni, że nie istnieje żaden związek przyczynowy między ewentualnym naruszeniem obowiązku ochrony danych, ciążącym na nim na mocy art. 5, 24 i 32 tego rozporządzenia, a szkodą poniesioną przez osobę, której dane dotyczą (zob. analogicznie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, pkt 72).

52

W związku z tym, aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie art. 82 ust. 3 RODO, nie wystarczy, by wykazał on, że wydał polecenia osobom działającym z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia i że jedna ze wspomnianych osób uchybiła ciążącemu na nim obowiązkowi stosowania się do tych poleceń, w związku z czym przyczyniła się ona do powstania rozpatrywanej szkody.

53

Gdyby bowiem przyjąć, że administrator może uwolnić się od odpowiedzialności, ograniczając się do powołania się na uchybienie osoby działającej z jego upoważnienia, zaszkodziłoby to skuteczności prawa do odszkodowania ustanowionego w art. 82 ust. 1 RODO, jak wskazał w istocie sąd odsyłający, i nie byłoby to zgodne z celem tego rozporządzenia polegającym na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych.

54

Z powyższych względów na pytanie drugie należy udzielić następującej odpowiedzi: art. 82 RODO należy interpretować w ten sposób, że aby administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie ust. 3 tego artykułu, nie jest wystarczające powołanie się na to, że rozpatrywana szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia.

55

Poprzez pytania trzecie i czwarte, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że w celu ustalenia wysokości odszkodowania z tytułu szkody należnego na podstawie tego przepisu należy, po pierwsze, zastosować mutatis mutandis kryteria ustalania kwoty administracyjnych kar pieniężnych przewidziane w art. 83 tego rozporządzenia, a po drugie, uwzględnić okoliczność, że na osobę dochodzącą odszkodowania wpływa kilka naruszeń tego rozporządzenia dotyczących tej samej operacji przetwarzania.

56

W pierwszej kolejności, co się tyczy ewentualnego uwzględnienia kryteriów określonych w art. 83 RODO w celu ustalenia kwoty odszkodowania należnego na podstawie art. 82 tego rozporządzenia, bezsporne jest, że te dwa przepisy realizują różne cele. O ile bowiem art. 83 tego rozporządzenia określa „[o]gólne warunki nakładania administracyjnych kar pieniężnych”, o tyle art. 82 wspomnianego rozporządzenia reguluje „[p]rawo do odszkodowania i odpowiedzialność”.

57

Wynika z tego, że kryteria określone w art. 83 RODO w celu ustalenia kwoty administracyjnych kar pieniężnych, o których mowa również w motywie 148 tego rozporządzenia, nie mogą być wykorzystywane do ustalania wysokości odszkodowania na podstawie art. 82 tego rozporządzenia.

58

Jak już podkreślił Trybunał, RODO nie zawiera przepisu dotyczącego ustalenia odszkodowania należnego z tytułu prawa do odszkodowania ustanowionego w art. 82 tego rozporządzenia. W związku z tym do celów tego ustalenia sądy krajowe powinny stosować, zgodnie z zasadą autonomii proceduralnej, przepisy wewnętrzne każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, pod warunkiem przestrzegania zasad równoważności i skuteczności prawa Unii, zdefiniowanych w utrwalonym orzecznictwie Trybunału (zob. podobnie wyroki: z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, pkt 83, 101 i przytoczone tam orzecznictwo; z dnia 25 stycznia 2024 r., MediaMarktSaturn,C‑687/21, EU:C:2024:72, pkt 53).

59

W tym kontekście Trybunał orzekł, że art. 82 RODO pełni funkcję nie represyjną, lecz kompensacyjną – w przeciwieństwie do innych przepisów tego rozporządzenia zawartych również w jego rozdziale VIII, a mianowicie jego art. 83 i 84, które z kolei mają zasadniczo cel represyjny, ponieważ umożliwiają odpowiednio nakładanie administracyjnych kar pieniężnych i innych kar. Relacja między przepisami ustanowionymi we wspomnianym art. 82 a przepisami zawartymi we wspomnianych art. 83 i 84 świadczy o tym, że istnieje różnica między tymi dwiema kategoriami przepisów, ale także komplementarność, jeśli chodzi o zachętę do przestrzegania RODO, przy czym prawo każdej osoby do żądania odszkodowania wzmacnia operacyjny charakter przepisów ochronnych przewidzianych w tym rozporządzeniu i może zniechęcać do powtarzania bezprawnych zachowań (wyrok z dnia 25 stycznia 2024 r., MediaMarktSaturn,C‑687/21, EU:C:2024:72, pkt 47 i przytoczone tam orzecznictwo).

60

Ponadto z faktu, że prawo do odszkodowania przewidziane w art. 82 ust. 1 RODO nie pełni funkcji odstraszającej czy represyjnej, Trybunał wywiódł, że waga naruszenia owego rozporządzenia, które to naruszenie spowodowało szkodę majątkową lub niemajątkową, nie może mieć wpływu na wysokość odszkodowania przyznanego na podstawie tego przepisu. Wynika stąd, że kwoty tej nie można ustalić na poziomie przekraczającym całkowitą kompensatę tej szkody (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, pkt 86).

61

Przywołując motyw 146 zdanie szóste RODO, zgodnie z którym instrument ten ma na celu zapewnienie „pełne[go] i skuteczne[go] odszkodowani[a] za poniesione szkody”, Trybunał zauważył, że ze względu na funkcję kompensacyjną prawa do odszkodowania przewidzianego w art. 82 tego rozporządzenia odszkodowanie pieniężne oparte na tym artykule należy uznać za „pełne i skuteczne”, jeżeli pozwala ono na pełną kompensatę szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, przy czym dla celów takiej pełnej kompensaty nie jest konieczne nakazanie zapłaty odszkodowania o charakterze represyjnym (wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, pkt 84 i przytoczone tam orzecznictwo).

62

Tak więc z uwagi na różnice w brzmieniu i celach istniejące między art. 82 RODO w świetle motywu 146 tego rozporządzenia a art. 83 tego rozporządzenia w świetle jego motywu 148 nie można uznać, że kryteria ustalania kwoty wymienione konkretnie w tym art. 83 mają zastosowanie mutatis mutandis w ramach tego art. 82, niezależnie od faktu, że środki prawne przewidziane w tych dwóch przepisach są komplementarne w celu zapewnienia przestrzegania tego rozporządzenia.

63

W drugiej kolejności, co się tyczy sposobu, w jaki sądy krajowe powinny ustalać kwotę odszkodowania pieniężnego na podstawie art. 82 RODO w przypadku wielokrotnych naruszeń tego rozporządzenia mających wpływ na tę samą osobę, której dane dotyczą, należy przede wszystkim podkreślić, że – jak wskazano w pkt 58 niniejszego wyroku – do każdego państwa członkowskiego należy ustalenie kryteriów umożliwiających ustalenie kwoty tego odszkodowania, z zastrzeżeniem poszanowania zasad skuteczności i równoważności prawa Unii.

64

Następnie, biorąc pod uwagę przypomnianą w pkt 60 i 61 niniejszego wyroku funkcję – nie represyjną, lecz kompensacyjną – art. 82 RODO, okoliczność, że administrator dopuścił się kilku naruszeń w odniesieniu do tej samej osoby, której dane dotyczą, nie może stanowić istotnego kryterium przy ustalaniu odszkodowania, jakie należy przyznać tej osobie na podstawie tego art. 82. W celu ustalenia kwoty odszkodowania pieniężnego należnego tytułem rekompensaty należy bowiem wziąć pod uwagę jedynie konkretnie poniesioną przez nią szkodę.

65

W konsekwencji na pytania trzecie i czwarte należy udzielić następującej odpowiedzi: art. 82 ust. 1 RODO należy interpretować w ten sposób, że w celu ustalenia wysokości odszkodowania z tytułu szkody należnego na podstawie tego przepisu nie należy, po pierwsze, stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 tego rozporządzenia, a po drugie, uwzględniać okoliczności, że na osobę dochodzącą odszkodowania wpływa kilka naruszeń tego rozporządzenia dotyczących tej samej operacji przetwarzania.

66

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje: