–

w imieniu Brillen Rottler GmbH & Co. KG – J. Tröber, Rechtsanwalt,

–

w imieniu TC – P. Brandt, Rechtsanwalt,

–

w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller oraz H. Kranenborg, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 pkt 2, art. 12 ust. 5 oraz art. 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu pomiędzy Brillen Rottler GmbH & Co. KG, rodzinnym przedsiębiorstwem optycznym, a TC, osobą fizyczną, w przedmiocie odrzucenia przez to przedsiębiorstwo wniosku TC o udzielenie dostępu do danych osobowych złożonego przez niego na podstawie art. 15 RODO.

3

Motywy 4, 10, 11, 63, 85, 141 i 146 RODO głoszą:

[…]

[…]

[…]

[…]

[…]

4

Zgodnie z art. 4 tego rozporządzenia, zatytułowanym „Definicje”:

„Na użytek niniejszego rozporządzenia:

[…]

[…]”.

5

Artykuł 12 wspomnianego rozporządzenia, zatytułowany „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, stanowi w ust. 1, 2 i 5:

„1.   Administrator podejmuje odpowiednie środki, aby […] udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. […]

2.   Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22. […]

[…]

5.   Informacje podawane na mocy art. 13 i 14 oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze”.

6

Artykuł 15 tego rozporządzenia, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, przewiduje w ust. 1:

„Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

[…]”.

7

Artykuł 26 RODO zatytułowany „Współadministratorzy”, stanowi w ust. 1:

„Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. […]”.

8

Artykuł 30 tego rozporządzenia, zatytułowany „Rejestrowanie czynności przetwarzania”, stanowi w ust. 1:

„Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. […]”.

9

Artykuł 57 wspomnianego rozporządzenia, zatytułowany „Zadania”, stanowi w ust. 1 i 4:

„1.   Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:

[…]

[…]

4.   Jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, organ nadzorczy może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić podjęcia żądanych działań. Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na organie nadzorczym”.

10

Artykuł 79 owego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, stanowi w ust. 1:

„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia”.

11

Artykuł 82 RODO, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi w ust. 1, 2 i 4:

„1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. […]

[…]

4.   Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania”.

12

W marcu 2023 r. TC, będący osobą fizyczną zamieszkałą w Austrii, zaprenumerował biuletyn informacyjny Brillen Rottler, rodzinnego przedsiębiorstwa optycznego z siedzibą w Arnsbergu (Niemcy), podając swoje dane osobowe w formularzu zgłoszeniowym dostępnym na stronie internetowej tego przedsiębiorstwa i wyrażając zgodę na przetwarzanie tych danych. Trzynaście dni później TC skierował do Brillen Rottler wniosek o udzielenie dostępu na podstawie art. 15 RODO.

13

Przedsiębiorstwo Brillen Rottler odrzuciło w ustawowym terminie jednego miesiąca wniosek o udzielenie dostępu, uznając go za nadmierny w rozumieniu art. 12 ust. 5 akapit pierwszy zdanie drugie RODO. Wezwało ono TC do ostatecznego odstąpienia od jego żądania.

14

Ponieważ TC podtrzymał swoje żądanie udzielenia dostępu, dodając jednocześnie żądanie odszkodowania na podstawie art. 82 RODO na kwotę 1000 EUR, przedsiębiorstwo Brillen Rottler wniosło do Amtsgericht Arnsberg (sądu rejonowego w Arnsbergu, Niemcy), który jest sądem odsyłającym, powództwo o stwierdzenie, że TC nie ma prawa do żadnego odszkodowania.

15

Na poparcie swojego żądania przedsiębiorstwo Brillen Rottler podnosi, że z różnych relacji, artykułów blogowych i biuletynów adwokackich wynika, iż TC systematycznie i w sposób stanowiący nadużycie składa wnioski o udzielenie dostępu do jego danych osobowych wyłącznie w celu uzyskania odszkodowania z tytułu domniemanego umyślnego naruszenia praw, które wywodzi z RODO. Modus operandi TC polega przede wszystkim na zaprenumerowaniu biuletynu informacyjnego, następnie na złożeniu wniosku o udzielenie dostępu i wreszcie na złożeniu żądania naprawienia szkody.

16

TC podnosi przed sądem odsyłającym, że złożony przez niego do przedsiębiorstwa Brillen Rottler wniosek o udzielenie dostępu jest zgodny z prawem, że jest wyrazem prawa dostępu przyznanego mu w art. 15 RODO oraz że przedsiębiorstwo to zmierza do niezgodnego z prawem ograniczenia praw przyznanych TC na mocy tego rozporządzenia. W powództwie wzajemnym wnosi on o zasądzenie od przedsiębiorstwa Brillen Rottler na jego rzecz odszkodowania w wysokości co najmniej 1000 EUR tytułem zadośćuczynienia za krzywdę doznaną z tytułu odmowy przez tę spółkę udzielenia mu dostępu do jego danych osobowych.

17

Sąd odsyłający zastanawia się w pierwszej kolejności nad kwestią, czy pierwszy wniosek o udzielenie dostępu złożony przez osobę, której dane dotyczą, można uznać za „nadmierne żądanie” w rozumieniu art. 12 ust. 5 RODO, a zatem czy stanowi on nadużycie prawa, a także jakie są okoliczności pozwalające na stwierdzenie takiego nadmiernego charakteru. Sąd ten zastanawia się w szczególności, czy w celu oddalenia wniosku o udzielenie dostępu na podstawie tego przepisu administrator może oprzeć się na publicznie dostępnych informacjach ujawniających istnienie licznych wniosków o udzielenie dostępu i o odszkodowanie wniesionych przez tę samą osobę do innych administratorów.

18

W drugiej kolejności sąd ten zastanawia się nad tym, czy wniosek o udzielenie dostępu złożony na podstawie art. 15 ust. 1 RODO lub odpowiedź na taki wniosek stanowią „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO.

19

W trzeciej kolejności wspomniany sąd wyraża wątpliwości co do kryteriów identyfikacji szkód podlegających naprawieniu na podstawie art. 82 ust. 1 RODO, a w szczególności co do tego, czy nawet w braku przetwarzania artykuł ten przyznaje takie prawo wyłącznie ze względu na naruszenie prawa dostępu przewidzianego w art. 15 ust. 1 tego rozporządzenia.

20

W tych okolicznościach Amtsgericht Arnsberg (sąd rejonowy w Arnsbergu) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

21

Poprzez pytania od pierwszego do trzeciego i poprzez pytanie siódme, które należy rozpatrzyć łącznie i w pierwszej kolejności, sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 12 ust. 5 RODO należy interpretować w ten sposób, że pierwszy wniosek o udzielenie dostępu złożony przez osobę, której dane dotyczą, do administratora na podstawie art. 15 tego rozporządzenia może zostać uznany „nadmierny” w rozumieniu tego art. 12 ust. 5, a jeśli tak, to jakie okoliczności pozwalają w danym wypadku na stwierdzenie takiego nadmiernego charakteru.

22

W tym względzie art. 15 ust. 1 RODO gwarantuje osobie, której dane dotyczą, prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce – prawo tej osoby do uzyskania dostępu do tych danych i związanych z nimi informacji [zob. podobnie wyrok z dnia 26 października 2023 r., FT (Kopie dokumentacji medycznej), C‑307/22, EU:C:2023:811, pkt 31].

23

Ponadto art. 12 ust. 5 RODO ustanawia zasadę, zgodnie z którą korzystanie z tego prawa dostępu nie pociąga za sobą żadnych kosztów dla osoby, której dane dotyczą. Niemniej jednak przepis ten przewiduje dwa powody, dla których administrator może albo pobrać rozsądną opłatę uwzględniającą koszty administracyjne, albo odmówić podjęcia działań w związku z żądaniem udzielenia dostępu. Powody te odnoszą się do przypadków nadużycia prawa, w których wnioski osoby, której dane dotyczą, są „ewidentnie nieuzasadnione” lub „nadmierne”, w szczególności ze względu na swój ustawiczny charakter [wyrok z dnia 26 października 2023 r., FT (Kopie dokumentacji medycznej), C‑307/22, EU:C:2023:811, pkt 31].

24

Jeżeli chodzi, po pierwsze, o to, czy pierwszy wniosek o udzielenie dostępu złożony przez osobę, której dane dotyczą, do administratora na podstawie art. 15 RODO można uznać za „nadmierny”, należy zauważyć, że ponieważ pojęcie „nadmiernych żądań” nie zostało zdefiniowane w tym rozporządzeniu, należy zgodnie z utrwalonym orzecznictwem przy jego wykładni uwzględnić zarówno brzmienie art. 12 ust. 5 wspomnianego rozporządzenia zgodnie z jego zwyczajowym znaczeniem w języku potocznym, jak i kontekst tego przepisu oraz cele regulacji, której część on stanowi [zob. wyroki: z dnia 17 listopada 1983 r., Merck, 292/82, EU:C:1983:335, pkt 12; z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 24 i przytoczone tam orzecznictwo].

25

W tym względzie, jeżeli chodzi o brzmienie tego art. 12 ust. 5, a w szczególności o zwykłe znaczenie pojęcia „nadmiernych żądań” w języku potocznym, przymiotnik „nadmierny” oznacza coś, co wychodzi poza zwykły lub rozsądny środek, lub coś, co wykracza poza pożądany lub dozwolony zakres [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 43]. Samo użycie tego przymiotnika, który odnosi się zarówno do cech jakościowych, jak i do cech ilościowych, nie pozwala zatem wykluczyć, że pierwszy wniosek o udzielenie dostępu będzie nadmierny.

26

Ponadto z brzmienia art. 12 ust. 5 akapit pierwszy zdanie drugie RODO wynika, że żądania mogą być „nadmierne”„w szczególności ze względu na swój ustawiczny charakter”. Mnożenie wniosków złożonych przez daną osobę może zatem wskazywać na ich nadmierny charakter [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 57]. Jednakże, jak podkreślił w istocie rzecznik generalny w pkt 28 opinii, ponieważ powtarzalny charakter został wymieniony w tym przepisie jedynie tytułem przykładu, zakwalifikowanie wniosku o udzielenie dostępu jako „nadmiernego” nie wymaga, aby wniosek ten wpisywał się koniecznie w kontekst złożenia kilku wniosków przez tę samą osobę, której dane dotyczą.

27

W świetle wykładni literalnej art. 12 ust. 5 RODO nie można zatem wykluczyć, że pierwszy wniosek o udzielenie dostępu będzie można uznać za „nadmierny” w rozumieniu tego przepisu.

28

Wniosek ten potwierdzany jest przez kontekst, w jaki wpisuje się art. 12 ust. 5 akapit pierwszy zdanie drugie RODO. W tym względzie należy przypomnieć, że ów art. 12, który znajduje się w rozdziale III tego rozporządzenia, określającym prawa osoby, której dane dotyczą, ustanawia ogólne obowiązki spoczywające na administratorze w odniesieniu do przejrzystości informacji i komunikacji oraz określa tryb wykonywania praw przez osobę, której dane dotyczą. Zgodnie z ust. 2 zdanie pierwsze rzeczonego art. 12 administrator musi ułatwiać osobie, której dane dotyczą, wykonywanie praw przyznanych jej na mocy w szczególności art. 15 wspomnianego rozporządzenia, który uzupełnia ramy przejrzystości ustanowione w tym rozporządzeniu, przyznając tej osobie prawo dostępu do jej danych osobowych [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 45, 46].

29

W związku z tym, przewidując również możliwość pobierania przez administratorów, w przypadku gdy mają oni do czynienia z wnioskami, które są w sposób oczywisty nieuzasadnione lub nadmierne, opłaty w rozsądnej wysokości opartej na kosztach administracyjnych lub odmowy uwzględnienia takich żądań, ów art. 12 ust. 5 ustanawia wyjątek od obowiązku ułatwienia w szczególności prawa dostępu, który należy interpretować w sposób zawężający [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 33].

30

Niemniej jednak z orzecznictwa dotyczącego wykładni pojęcia „nadmiernych żądań” zawartego w art. 57 ust. 4 RODO, które ma zastosowanie do niniejszej sprawy, ponieważ przepis ten jest sformułowany w sposób zasadniczo analogiczny do brzmienia art. 12 ust. 5 tego rozporządzenia i realizuje ten sam cel co ten ostatni artykuł, wynika, że ów art. 57 ust. 4 stanowi wyraz ogólnej zasady prawa Unii, zgodnie z którą podmioty prawa nie mogą powoływać się na przepisy Unii w sposób oszukańczy lub stanowiący nadużycie [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 49]. Stosowanie przepisów Unii nie może bowiem zostać rozszerzone na transakcje, które są przeprowadzane w celu stanowiącym nadużycie (zob. wyrok z dnia 19 września 2024 r., Matmut, C‑236/23, EU:C:2024:761, pkt 52 i przytoczone tam orzecznictwo).

31

Tak więc liczba wniosków o udzielenie dostępu złożonych przez osobę, której dane dotyczą, do administratora nie przesądza sama w sobie o prawie tego ostatniego do skorzystania z możliwości nieuwzględnienia wniosku, która to możliwość została mu przyznana w art. 12 ust. 5 RODO, w związku z czym administrator ten może z niej skorzystać nawet w przypadku pierwszego wniosku o udzielenie dostępu, jeżeli na podstawie wszystkich istotnych okoliczności konkretnego przypadku wykaże istnienie zamiaru nadużycia ze strony tej osoby [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 50].

32

Ową wykładnię kontekstualną potwierdzają cele realizowane przez RODO. W tym względzie należy zauważyć, że celem tego rozporządzenia, jak wskazują jego motywy 10 i 11, jest zapewnienie spójnego i wysokiego stopnia ochrony osób fizycznych w Unii oraz wzmocnienie i doprecyzowanie praw osób, których dane dotyczą. Obowiązki administratora przewidziane w art. 12 wspomnianego rozporządzenia, dotyczące w szczególności komunikacji na podstawie art. 15 tego rozporządzenia, są zatem pomyślane jako mechanizm umożliwiający skuteczną ochronę praw i interesów osób, których dane dotyczą [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 38, 39 i przytoczone tam orzecznictwo].

33

Niemniej jednak motyw 4 RODO stanowi, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym, ponieważ należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Ponadto Trybunał podkreślił już, że mechanizmy umożliwiające znalezienie właściwej równowagi między poszczególnymi wchodzącymi w grę prawami i interesami są zawarte w samym RODO (wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 54 i przytoczone tam orzecznictwo).

34

W związku z tym w celu zapewnienia wprowadzenia w życie tej właściwej równowagi w drodze tego wyjątku oraz jej skuteczności (effet utile) właściwym kryterium dla stwierdzenia takiego zachowania stanowiącego nadużycie jest nadmierny charakter wniosku o udzielenie dostępu ocenianego pod względem jakościowym, zgodnie z pkt 25 niniejszego wyroku, który nie może zależeć wyłącznie od liczby wniosków o udzielenie dostępu złożonych przez zainteresowaną osobę, a zatem od tego, czy chodzi o pierwszy wniosek tej osoby.

35

Wynika z tego, że pierwszy wniosek o udzielenie dostępu do administratora na podstawie art. 15 RODO może zostać uznany za „nadmierny” w rozumieniu art. 12 ust. 5 tego rozporządzenia. Niemniej jednak, ponieważ pojęcie „nadmiernych żądań” należy interpretować w sposób zawężający, jak wynika z pkt 29 niniejszego wyroku, administrator może powoływać się na taki nadmierny charakter jedynie wyjątkowo i, jak wskazał rzecznik generalny w pkt 34 opinii, kryteria uznania pierwszego wniosku o udzielenie dostępu za „nadmierny” powinny być wysokie. Należy również podkreślić, że z art. 12 ust. 5 akapit drugi RODO wyraźnie wynika, iż do administratora danych należy wykazanie tego nadmiernego charakteru.

36

Po drugie, jeżeli chodzi o okoliczności, w których pierwszy wniosek o udzielenie dostępu złożony przez osobę, której dane dotyczą, można uznać za „nadmierny” w rozumieniu art. 12 ust. 5 RODO, a zatem jako stanowiący nadużycie prawa w rozumieniu orzecznictwa przytoczonego w pkt 23 i 30 niniejszego wyroku, należy zauważyć, że dowód praktyki stanowiącej nadużycie wymaga z jednej strony zaistnienia ogółu obiektywnych okoliczności, z których wynika, że pomimo formalnego spełnienia przesłanek przewidzianych w uregulowaniach Unii cel realizowany przez to uregulowanie nie został osiągnięty, a z drugiej strony elementu subiektywnego polegającego na woli uzyskania przez daną osobę korzyści wynikającej z uregulowań Unii poprzez sztuczne stworzenie warunków wymaganych do jej uzyskania. Taka kwalifikacja wymaga ponadto uwzględnienia wszystkich faktów i okoliczności danej sprawy (zob. podobnie wyrok z dnia 21 grudnia 2023 r., BMW Bank i in., C‑38/21, C‑47/21 i C‑232/21, EU:C:2023:1014, pkt 285, 286 i przytoczone tam orzecznictwo).

37

Odnosząc się w pierwszej kolejności do obiektywnego elementu praktyki stanowiącej nadużycie, należy zauważyć, że art. 15 RODO w związku z jego motywem 63 ma na celu przyznanie osobie, której dane dotyczą, prawa dostępu do zebranych w jej sprawie danych osobowych oraz do łatwego wykonywania tego prawa w rozsądnych odstępach czasu, w szczególności w celu zapoznania się z przetwarzaniem tych danych i sprawdzenia ich zgodności z prawem, tak aby mogła ona w stosownym przypadku skorzystać z prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, prawa do sprzeciwu i prawa do środka ochrony prawnej w przypadku poniesionej szkody [zob. podobnie wyrok z dnia 12 stycznia 2023 r., Österreichische Post (Informacje dotyczące odbiorców danych osobowych)C‑154/21, EU:C:2023:3, pkt 37, 38].

38

W niniejszym przypadku, jak wynika z akt sprawy, którymi dysponuje Trybunał, TC złożył rozpatrywany w postępowaniu głównym wniosek o udzielenie dostępu po zaprenumerowaniu biuletynu informacyjnego przedsiębiorstwa Brillen Rottler i przekazaniu temu przedsiębiorstwu przy okazji tej subskrypcji pewnych danych osobowych, w związku z czym ów wniosek o udzielenie dostępu mógłby stanowić formalnie wykonanie prawa dostępu TC, aby osiągnąć cel tego uregulowania.

39

Jednakże w świetle orzecznictwa przytoczonego w pkt 36 niniejszego wyroku formalne spełnienie przesłanek stosowania art. 15 RODO nie pozwala samo w sobie wykluczyć „nadmiernego” charakteru wniosku o udzielenie dostępu, a tym samym istnienia nadużycia prawa.

40

W tym względzie, odnosząc się w drugiej kolejności do subiektywnego elementu praktyki stanowiącej nadużycie, należy zauważyć, że aby móc zakwalifikować wniosek o udzielenie dostępu jako „nadmierny” w rozumieniu art. 12 ust. 5 RODO, administrator musi wykazać, z uwzględnieniem wszystkich istotnych okoliczności każdego przypadku, istnienie zamiaru nadużycia ze strony osoby, której dane dotyczą, przy czym taki zamiar można stwierdzić, gdy osoba ta składa ten wniosek w innym celu niż zapoznanie się z przetwarzaniem tych danych i sprawdzenie jego zgodności z prawem, aby móc następnie uzyskać ochronę praw, które wywodzi ona z tego rozporządzenia [zob. podobnie wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania), C‑416/23, EU:C:2025:3, pkt 50, 56].

41

W ten sposób w niniejszym przypadku, biorąc pod uwagę w szczególności to, co wynika z pkt 35 niniejszego wyroku, do administratora należy wykazanie w sposób jednoznaczny, że osoba, której dane dotyczą, złożyła wniosek o udzielenie dostępu na podstawie art. 15 RODO nie w celu zapoznania się z tym przetwarzaniem, lecz w celu sztucznego stworzenia warunków wymaganych do uzyskania odszkodowania od wspomnianego administratora.

42

W tym względzie należy wziąć pod uwagę wszystkie okoliczności sprawy, w szczególności okoliczność, że osoba, której dane dotyczą, dostarczyła dane osobowe, nie będąc do tego zobowiązana, cel dostarczenia tych danych, czas, jaki upłynął między tym dostarczeniem a wnioskiem o udzielenie dostępu, a także zachowanie tej osoby.

43

Sąd odsyłający w kontekście rozpatrywanego przezeń sporu zastanawia się nad możliwością uwzględnienia, do celów oceny istnienia nadużycia prawa, informacji publicznych, które wskazywałyby na systematyczne kierowanie przez TC wniosków o udzielenie dostępu do jego danych osobowych i roszczeń odszkodowawczych do różnych administratorów w sposób porównywalny z modus operandi w niniejszej sprawie. W tym względzie należy zauważyć, że okoliczność ta może oczywiście zostać uwzględniona w celu wykazania stanowiących nadużycie zamiarów danej osoby, o ile zostanie ona potwierdzona przez inne istotne okoliczności.

44

Tak więc w niniejszej sprawie do sądu odsyłającego należy zbadanie, czy w świetle wszystkich istotnych okoliczności przedsiębiorstwo Brillen Rottler wykazało istnienie zamiaru nadużycia po stronie TC w odniesieniu do złożenia odnośnego wniosku o udzielenie dostępu.

45

Z uwagi na powyższe rozważania na pytania od pierwszego do trzeciego i na pytanie siódme trzeba odpowiedzieć, iż art. 12 ust. 5 RODO należy interpretować w ten sposób, że pierwszy wniosek o udzielenie dostępu do danych osobowych złożony przez osobę, której dane dotyczą, do administratora na podstawie art. 15 tego rozporządzenia można uznać za „nadmierny” w rozumieniu tego art. 12 ust. 5, jeżeli ów administrator wykaże z uwzględnieniem wszystkich istotnych okoliczności sprawy, że mimo formalnego spełnienia przesłanek przewidzianych w tych przepisach wniosek ten został złożony przez osobę, której dane dotyczą, nie w celu zapoznania się z przetwarzaniem tych danych i sprawdzenia jego zgodności z prawem, po to, by następnie móc uzyskać ochronę praw, które osoba ta wywodzi ze wspomnianego rozporządzenia, lecz z zamiarem nadużycia, takim jak zamiar sztucznego stworzenia warunków wymaganych do uzyskania korzyści wynikającej z tego rozporządzenia. Okoliczność, że zgodnie z publicznie dostępnymi informacjami osoba, której dane dotyczą, wystąpiła z kilkoma wnioskami o udzielenie dostępu do swoich danych osobowych, a następnie wystąpiła z roszczeniami odszkodowawczymi do różnych administratorów, może zostać uwzględniona w celu ustalenia istnienia takiego zamiaru nadużycia.

46

Poprzez pytania piąte i szóste, które należy rozpatrzyć łącznie i w drugiej kolejności, sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że przyznaje on osobie, której dane dotyczą, prawo do odszkodowania za szkodę wynikającą z naruszenia prawa dostępu przewidzianego w art. 15 ust. 1 tego rozporządzenia.

47

Jak przypomniano w pkt 24 niniejszego wyroku, zgodnie z utrwalonym orzecznictwem przy dokonywaniu wykładni przepisu prawa Unii należy brać pod uwagę nie tylko jego brzmienie, lecz także jego kontekst oraz cele, do których on zmierza.

48

Z brzmienia art. 82 ust. 1 RODO wynika, że każda osoba, która poniosła szkodę majątkową lub niemajątkową „w wyniku naruszenia [tego] rozporządzenia”, ma prawo uzyskać od administratora odszkodowanie za poniesioną szkodę. Należy stwierdzić, że przepis ten nie zawiera żadnego odniesienia do „przetwarzania”, w związku z czym owo prawo do odszkodowania nie może być ograniczone do szkód wynikających z przetwarzania danych osobowych.

49

Stwierdzenie to znajduje potwierdzenie, po pierwsze, w analizie kontekstualnej wspomnianego przepisu, interpretowanego w świetle motywu 141 RODO, który przewiduje, że każda osoba, której dane dotyczą, powinna mieć prawo do skutecznego środka ochrony prawnej przed sądem zgodnie z art. 47 Karty, „jeżeli uzna, że jej prawa wynikające [ze wspomnianego] rozporządzenia są naruszane”. Artykuł 82 ust. 1 RODO znajduje się bowiem w rozdziale VIII tego rozporządzenia, który reguluje środki ochrony prawnej, zasady odpowiedzialności i sankcje umożliwiające ochronę tych praw. Tymczasem prawa te obejmują zarówno przewidziane w art. 12 wspomnianego rozporządzenia prawo osoby, której dane dotyczą, do informacji, jak i jej prawo dostępu na podstawie art. 15 ust. 1 tego rozporządzenia, w związku z czym prawa te powinny być chronione przez art. 82 tego rozporządzenia, który to przepis należy zatem interpretować w ten sposób, że ma on zastosowanie również do szkód wynikających z naruszeń owych art. 12 i 15.

50

Takiej wykładni nie może podważyć okoliczność, po pierwsze, że z motywu 146 RODO wynika, iż administrator powinien naprawić wszelkie szkody, jakie dana osoba poniosła „wskutek przetwarzania” z naruszeniem tego rozporządzenia, a po drugie, że art. 82 wspomnianego rozporządzenia wymienia w ust. 2 i 4 „szkody spowodowane przetwarzaniem”.

51

Jak bowiem zasadniczo podnosi Komisja w swoich uwagach na piśmie, w przypadku naruszenia praw przewidzianych w przepisach rozdziału III RODO, w szczególności prawa dostępu do danych i prawa do sprostowania danych oraz prawa do usunięcia danych, ograniczenia przetwarzania i możliwości przenoszenia, podnoszone naruszenie może wynikać nie z faktycznego przetwarzania danych osobowych jako takiego, lecz raczej z odmowy uwzględnienia wniosku osoby, której dane dotyczą, odnoszącego się do wykonywania tych praw. W związku z tym uzależnienie prawa do odszkodowania na podstawie art. 82 ust. 1 RODO od istnienia szkód wynikających z przetwarzania jako takiego skutkowałoby wyłączeniem takich przypadków z zakresu stosowania tego przepisu, a tym samym naruszeniem jego skuteczności (effet utile).

52

Ponadto Trybunał orzekł już, że naruszenie przez administratora art. 26 i 30 RODO, dotyczących, po pierwsze, uzgodnień odzwierciedlających odpowiednie zakresy obowiązków administratorów oraz ich relacje z podmiotami, których dane dotyczą, a po drugie, prowadzenia rejestru czynności przetwarzania, nie stanowi „przetwarzania niezgodnego z prawem”, przyznającego osobie, której dane dotyczą, prawo do usunięcia lub ograniczenia przetwarzania. Takiemu naruszeniu należy zatem zaradzić za pomocą innych środków przewidzianych w RODO, w szczególności poprzez naprawienie na podstawie art. 82 tego rozporządzenia szkody ewentualnie wyrządzonej przez administratora [zob. podobnie wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 66, 67].

53

Stwierdzenie zawarte w pkt 48 niniejszego wyroku znajduje potwierdzenie, po drugie, w wykładni celowościowej art. 82 ust. 1 RODO, ponieważ artykuł ten zmierza do zapewnienia realizacji celów tego rozporządzenia, w tym w szczególności celu polegającego na wzmocnieniu praw osób, których dane dotyczą, oraz obowiązków podmiotów przetwarzających dane osobowe i decydujących o ich przetwarzaniu, o którym to celu mowa w motywie 11 wspomnianego rozporządzenia. Tymczasem, jak zasadniczo wskazał rzecznik generalny w pkt 72 opinii, prawa te, wśród których znajduje się właśnie prawo dostępu, do którego odnosi się sąd odsyłający, zostałyby znacząco osłabione, gdyby art. 82 ust. 1 należało interpretować w ten sposób, że ogranicza się on wyłącznie do szkód wynikających z niezgodnych z prawem czynów polegających na przetwarzaniu danych.

54

Wynika z tego, że nawet w przypadku naruszenia RODO, które jako takie nie wiąże się z przetwarzaniem danych, osoba, której dane dotyczą, może powołać się na przewidziane w art. 82 tego rozporządzenia prawo do odszkodowania.

55

Z uwagi na powyższe na pytania piąte i szóste należy odpowiedzieć, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że przyznaje on osobie, której dane dotyczą, prawo do odszkodowania za szkodę wynikającą z naruszenia prawa dostępu przewidzianego w art. 15 ust. 1 tego rozporządzenia.

56

Z uwagi na odpowiedź udzieloną na pytania piąte i szóste nie ma potrzeby odpowiadania na pytanie czwarte.

57

Poprzez pytanie ósme, które należy rozpatrzyć w trzeciej i ostatniej kolejności, sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że szkoda niemajątkowa doznana przez osobę, której dane dotyczą, obejmuje utratę kontroli nad jej danymi osobowymi lub jej niepewność co do tego, czy dane te były przetwarzane.

58

Ponieważ RODO nie zawiera odesłania do prawa państw członkowskich w odniesieniu do znaczenia i zakresu pojęć zawartych w tym przepisie, w szczególności w odniesieniu do pojęć „szkody majątkowej lub niemajątkowej” i „odszkodowania za poniesioną szkodę”, do celów stosowania tego rozporządzenia wyrażenia te należy uznać za autonomiczne pojęcia prawa Unii, które należy interpretować w sposób jednolity we wszystkich państwach członkowskich [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 30; a także z dnia 4 września 2025 r., Quirin Privatbank, C‑655/23, EU:C:2025:655, pkt 55 i przytoczone tam orzecznictwo].

59

W tym względzie należy przypomnieć, że nie można uznać, iż każde „naruszenie” przepisów RODO samo w sobie rodzi prawo do odszkodowania na rzecz osoby, której dane dotyczą. Artykuł 82 ust. 1 RODO stanowi bowiem, że „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”. Z brzmienia tego przepisu jasno wynika, że istnienie „szkody”, która została „poniesiona”, stanowi jedną z przesłanek przewidzianego we wspomnianym przepisie prawa do odszkodowania, podobnie jak istnienie naruszenia RODO i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 31–33; z dnia 4 września 2025 r., Quirin Privatbank, C‑655/23, EU:C:2025:655, pkt 56 i przytoczone tam orzecznictwo].

60

Tym samym osoba domagająca się naprawienia szkody majątkowej lub niemajątkowej na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów rozporządzenia RODO, lecz również okoliczność, że to naruszenie wyrządziło jej taką szkodę majątkową lub niemajątkową. Takiej szkody majątkowej lub niemajątkowej nie można zatem jedynie domniemywać ze względu na zaistnienie wspomnianego naruszenia (wyrok z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 141 i przytoczone tam orzecznictwo).

61

W szczególności Trybunał podkreślił, że z przedstawionej w motywie 85 zdanie pierwsze RODO przykładowej listy „szkód” lub „uszczerbków”, jakie mogą ponieść osoby, których dane dotyczą, wynika, że prawodawca Unii zamierzał włączyć do tych dwóch pojęć w szczególności zwykłą „utratę kontroli” nad własnymi danymi osobowymi tych osób w następstwie naruszenia owego rozporządzenia, nawet gdyby nie doszło konkretnie do wykorzystania rozpatrywanych danych w sposób stanowiący nadużycie (wyrok z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 145 i przytoczone tam orzecznictwo).

62

Trybunał uznał również, że pojęcie „szkody niemajątkowej” nie może być ograniczone wyłącznie do szkód o określonej wadze. W szczególności przepisy krajowe lub praktyka krajowa nie mogą zgodnie z prawem ustalić „progu de minimis” w celu określenia szkody niemajątkowej spowodowanej naruszeniem RODO. Jednakże osoba, której dane dotyczą, jest zobowiązana wykazać, po pierwsze, że rzeczywiście poniosła taką szkodę, choćby niewielką, a po drugie, że konsekwencje tego naruszenia, które – jak twierdzi – poniosła, stanowią szkodę odrębną od zwykłego naruszenia przepisów tego rozporządzenia (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, pkt 22, 23).

63

W związku z tym samo twierdzenie osoby, której dane dotyczą, o obawie wywołanej utratą kontroli nad jej danymi osobowymi nie może stanowić podstawy do odszkodowania na podstawie art. 82 ust. 1 RODO [zob. podobnie wyrok z dnia 20 czerwca 2024 r., PS (Nieprawidłowy adres), C‑590/22, EU:C:2024:536, pkt 33, 35]. A zatem jeżeli osoba domagająca się odszkodowania na podstawie tego przepisu powołuje się na obawę, że w przyszłości dojdzie do wykorzystania w sposób stanowiący nadużycie jej danych osobowych ze względu na istnienie takiego naruszenia, to sąd krajowy rozpatrujący sprawę powinien zbadać, czy obawę tę należy uznać za uzasadnioną w rozpatrywanych szczególnych okolicznościach i w odniesieniu do osoby, której dane dotyczą (zob. podobnie wyrok z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 143 i przytoczone tam orzecznictwo).

64

Rozważania przedstawione w pkt 59–63 niniejszego wyroku mają również zastosowanie w sytuacji, gdy osoba, której dane dotyczą, uważa, że zachodzi niepewność co do tego, czy jej dane osobowe były przetwarzane.

65

Aby udzielić sądowi odsyłającemu użytecznej odpowiedzi, należy jeszcze zauważyć, że związek przyczynowy między zarzucanym naruszeniem a podnoszoną szkodą może zostać przerwany przez zachowanie danej osoby, jeżeli zachowanie to stanowi, jak się okazuje, decydującą przyczynę szkody. Taka czynność może polegać między innymi na decyzji poszkodowanego, pod warunkiem jednak, że decyzja ta nie była mu narzucona [zob. analogicznie wyrok z dnia 18 grudnia 2025 r., WS i in./Frontex (Wspólna operacja powrotowa), C‑679/23 P, EU:C:2025:976, pkt 151, 152 i przytoczone tam orzecznictwo].

66

Ponadto z orzecznictwa przypomnianego w pkt 60 niniejszego wyroku wynika, że istnienie związku przyczynowego między zarzucanym naruszeniem RODO a szkodą, jaką miała ponieść osoba, której dane dotyczą, jest warunkiem sine qua non prawa do odszkodowania na podstawie art. 82 ust. 1 tego rozporządzenia. W związku z tym osobie, której dane dotyczą, nie można przyznać na podstawie tego przepisu odszkodowania za szkody, jakie miała ona rzekomo ponieść w wyniku utraty kontroli nad jej danymi osobowymi lub w wyniku jej niepewności co do istnienia ich przetwarzania, jeżeli związek przyczynowy zostaje przerwany z powodu zachowania tej osoby, o ile owa utrata kontroli lub niepewność zostały spowodowane decyzją wspomnianej osoby o przekazaniu tych danych administratorowi w celu sztucznego stworzenia warunków wymaganych do celów zastosowania wspomnianego przepisu.

67

Z uwagi na powyższe rozważania na pytanie ósme trzeba odpowiedzieć, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że szkoda niemajątkowa doznana przez osobę, której dane dotyczą, obejmuje utratę kontroli nad jej danymi osobowymi lub jej niepewność co do tego, czy jej dane były przetwarzane, o ile zostanie wykazane w szczególności, że osoba ta rzeczywiście poniosła taką szkodę, a jej zachowanie nie stanowiło decydującej przyczyny tej szkody.

68

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (czwarta izba) orzeka, co następuje: