Tento dokument je výňatok z webového sídla EUR-Lex
Dokument 62021CJ0667
Judgment of the Court (Third Chamber) of 21 December 2023.#ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.#Request for a preliminary ruling from the Bundesarbeitsgericht.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 6(1) – Conditions for lawful processing – Article 9(1) to (3) – Processing of special categories of data – Data concerning health – Assessment of an employee’s working capacity – Health insurance medical service processing data concerning the health of its own employees – Conditions for such processing and whether permissible – Article 82(1) – Right to compensation and liability – Compensation for non-material damage – Compensatory function – Impact of negligence on the part of the data controller.#Case C-667/21.
Rozsudok Súdneho dvora (tretia komora) z 21. decembra 2023.
ZQ proti Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Návrh na začatie prejudiciálneho konania, ktorý podal Bundesarbeitsgericht.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 6 ods. 1 – Podmienky zákonnosti spracúvania – Článok 9 ods. 1 až 3 – Spracúvanie osobitných kategórií údajov – Údaje týkajúce sa zdravia – Posúdenie pracovnej schopnosti zamestnanca – Lekárska služba zdravotného poistenia spracúvajúca údaje týkajúce sa zdravia jej vlastných zamestnancov – Prípustnosť a podmienky takéhoto spracúvania – Článok 82 ods. 1 – Právo na náhradu škody a zodpovednosť – Náhrada nemajetkovej ujmy – Kompenzačná funkcia – Vplyv zavinenia prevádzkovateľa.
Vec C-667/21.
Rozsudok Súdneho dvora (tretia komora) z 21. decembra 2023.
ZQ proti Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Návrh na začatie prejudiciálneho konania, ktorý podal Bundesarbeitsgericht.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 6 ods. 1 – Podmienky zákonnosti spracúvania – Článok 9 ods. 1 až 3 – Spracúvanie osobitných kategórií údajov – Údaje týkajúce sa zdravia – Posúdenie pracovnej schopnosti zamestnanca – Lekárska služba zdravotného poistenia spracúvajúca údaje týkajúce sa zdravia jej vlastných zamestnancov – Prípustnosť a podmienky takéhoto spracúvania – Článok 82 ods. 1 – Právo na náhradu škody a zodpovednosť – Náhrada nemajetkovej ujmy – Kompenzačná funkcia – Vplyv zavinenia prevádzkovateľa.
Vec C-667/21.
Zbierka rozhodnutí – Všeobecná zbierka – časť „Informácie o neuverejnených rozhodnutiach“
Identifikátor ECLI: ECLI:EU:C:2023:1022
ROZSUDOK SÚDNEHO DVORA (tretia komora)
z 21. decembra 2023 ( *1 )
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 6 ods. 1 – Podmienky zákonnosti spracúvania – Článok 9 ods. 1 až 3 – Spracúvanie osobitných kategórií údajov – Údaje týkajúce sa zdravia – Posúdenie pracovnej schopnosti zamestnanca – Lekárska služba zdravotného poistenia spracúvajúca údaje týkajúce sa zdravia jej vlastných zamestnancov – Prípustnosť a podmienky takéhoto spracúvania – Článok 82 ods. 1 – Právo na náhradu škody a zodpovednosť – Náhrada nemajetkovej ujmy – Kompenzačná funkcia – Vplyv zavinenia prevádzkovateľa“
Vo veci C‑667/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko) z 26. augusta 2021 a doručený Súdnemu dvoru 8. novembra 2021, ktorý súvisí s konaním:
ZQ
proti
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,
SÚDNY DVOR (tretia komora),
v zložení: predsedníčka tretej komory K. Jürimäe, sudcovia N. Piçarra, M. Safjan, N. Jääskinen (spravodajca) a M. Gavalec,
generálny advokát: M. Campos Sánchez‑Bordona,
tajomník: A. Calot Escobar,
so zreteľom na písomnú časť konania,
so zreteľom na pripomienky, ktoré predložili:
– |
ZQ, v zastúpení: E. Daun, Rechtsanwalt, |
– |
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, v zastúpení: M. Wehner, Rechtsanwalt, |
– |
Írsko, v zastúpení: M. Browne, Chief State Solicitor, A. Joyce a M. Lane, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL, |
– |
talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci M. Russo, avvocato dello Stato, |
– |
Európska komisia, v zastúpení: A. Bouchagiar, M. Heller a H. Kranenborg, splnomocnení zástupcovia, |
po vypočutí návrhov generálneho advokáta na pojednávaní 25. mája 2023,
vyhlásil tento
Rozsudok
1 |
Návrh na začatie prejudiciálneho konania sa týka výkladu článku 9 ods. 1, článku 9 ods. 2 písm. h) a článku 9 ods. 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), v spojení s článkom 6 ods. 1 tohto nariadenia, ako aj výkladu jeho článku 82 ods. 1. |
2 |
Tento návrh bol podaný v rámci sporu medzi ZQ a jeho zamestnávateľom Medizinischer Dienst der Krankenversicherung Nordrhein (Lekárska služba zdravotného poistenia v Severnom Porýní, Nemecko) (ďalej len „MDK Nordrhein“) vo veci náhrady škody, ktorá bola údajne ZQ spôsobená spracovaním údajov týkajúcich sa jeho zdravia, ktoré bolo protiprávne vykonané uvedeným zamestnávateľom. |
Právny rámec
Právo Únie
3 |
Odôvodnenia 4 až 8, 10, 35, 51 až 53, 75 a 146 GDPR znejú takto:
…
…
…
…
…
|
4 |
Článok 2 tohto nariadenia, nazvaný „Vecná pôsobnosť“, ktorý sa nachádza v kapitole I tohto právneho aktu, nazvanej „Všeobecné ustanovenia“, vo svojom odseku 1 stanovuje: „Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.“ |
5 |
Článok 4 uvedeného nariadenia, nazvaný „Vymedzenie pojmov“, stanovuje: „Na účely tohto nariadenia:
…
…
…“ |
6 |
Kapitola II GDPR, ktorá upravuje „Zásady“ stanovené týmto nariadením, obsahuje články 5 až 11. |
7 |
Článok 5 tohto nariadenia, nazvaný „Zásady spracúvania osobných údajov“, stanovuje: „1. Osobné údaje musia byť:
…
2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“ |
8 |
Článok 6 uvedeného nariadenia, nazvaný „Zákonnosť spracúvania“, v odseku 1 stanovuje: „Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.“ |
9 |
Článok 9 toho istého nariadenia, nazvaný „Spracúvanie osobitných kategórií osobných údajov“, znie: „1. Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. 2. Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok: …
…
… 3. Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie alebo práva členského štátu alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány. 4. Členské štáty môžu zachovať alebo zaviesť ďalšie podmienky vrátane obmedzení týkajúce sa spracúvania genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia.“ |
10 |
V kapitole IV GDPR, nazvanej „Prevádzkovateľ a sprostredkovateľ“, sa nachádzajú články 24 až 43. |
11 |
Článok 24 tohto nariadenia, nazvaný „Zodpovednosť prevádzkovateľa“, spadá do oddielu 1 tejto kapitoly, nazvanom „Všeobecné povinnosti“, a vo svojom odseku 1 stanovuje: „S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.“ |
12 |
Článok 32 uvedeného nariadenia, nazvaný „Bezpečnosť spracúvania“, ktorý sa nachádza v oddiele 2 uvedenej kapitoly s názvom „Bezpečnosť osobných údajov“, vo svojom odseku 1 stanovuje: „1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:
…“ |
13 |
Kapitola VIII GDPR s názvom „Prostriedky nápravy, zodpovednosť a sankcie“, obsahuje články 77 až 84. |
14 |
Podľa článku 82 uvedeného nariadenia s názvom „Právo na náhradu škody a zodpovednosť“: „1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa. 2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. … 3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu. …“ |
15 |
Článok 83 GDPR, nazvaný „Všeobecné podmienky ukladania správnych pokút“, stanovuje: „1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce. 2. … Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:
…
…
3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie. …“ |
16 |
Článok 84 tohto nariadenia s názvom „Sankcie“ v odseku 1 stanovuje: „Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“ |
Nemecké právo
17 |
Podľa § 275 ods. 1 Sozialgesetzbuch, Fünftes Buch (Zákonník sociálneho zabezpečenia, piata kniha), v znení uplatniteľnom na spor vo veci samej, sú poisťovne poskytujúce povinné zdravotné poistenie povinné požiadať Medizinischer Dienst (lekárska služba), ktorá im asistuje, najmä o vypracovanie posudku na odstránenie pochybností o práceneschopnosti poistenca v prípadoch stanovených zákonom, alebo ak si to jeho choroba vyžaduje. |
18 |
Ustanovenie § 278 ods. 1 tohto zákonníka stanovuje, že takáto lekárska služba sa zriaďuje v každej zo spolkových krajín ako verejnoprávny subjekt. |
Spor vo veci samej a prejudiciálne otázky
19 |
MDK Nordrhein je verejnoprávnym subjektom, ktorý je lekárskou službou zdravotných poisťovní. Ako lekárska služba má zákonnú úlohu okrem iného vykonávať lekárske posudky, ktoré majú odstrániť pochybnosti o práceneschopnosti poistencov v poisťovniach povinného zdravotného poistenia patriacich do jej pôsobnosti, a to aj v prípade, keď sa tieto posudky týkajú jej vlastných zamestnancov. |
20 |
V takom prípade môžu spracúvať tzv. „sociálne“ údaje tohto zamestnanca len členovia osobitnej organizačnej jednotky, tzv. „jednotky pre špeciálne prípady“, a to použitím blokovanej domény informatického systému tohto orgánu, pričom len oni majú prístup k digitálnym archívom po uzavretí posudkového spisu. Interný služobný predpis týkajúci sa týchto prípadov najmä stanovuje, že k uvedeným údajom má prístup obmedzený počet oprávnených zamestnancov, vrátane niektorých zamestnancov oddelenia IT. |
21 |
Žalobca vo veci samej pracoval na IT oddelení MDK Nordrhein predtým, ako bol zo zdravotných dôvodov uznaný za práceneschopného. Na konci šesťmesačného obdobia, počas ktorého mu táto organizácia ako jeho zamestnávateľ naďalej vyplácala mzdu, mu poisťovňa povinného zdravotného poistenia, v ktorej bol poistený, začala vyplácať nemocenské dávky. |
22 |
Táto poisťovňa preto požiadala MDK Nordrhein o vypracovanie posudku týkajúceho sa práceneschopnosti žalobcu vo veci samej. Lekár pracujúci v „jednotke pre špeciálne prípady“ MDK Nordrhein vypracoval posudok, pričom vychádzal najmä z informácií od ošetrujúceho lekára žalobcu vo veci samej. Keď bol o tom žalobca svojím ošetrujúcim lekárom informovaný, kontaktoval jednu zo svojich kolegýň z oddelenia IT a požiadal ju, aby vyhotovila a následne mu zaslala fotografie posudku, ktorý sa nachádzal v digitálnom archíve MDK Nordrhein. |
23 |
Keďže sa žalobca vo veci samej domnieval, že údaje týkajúce sa jeho zdravia tak boli predmetom nezákonného spracovania zo strany jeho zamestnávateľa, žiadal ho o zaplatenie náhrady škody vo výške 20000 eur, čo MDK Nordrhein odmietla. |
24 |
Žalobca vo veci samej následne podal na Arbeitsgericht Düsseldorf (Pracovný súd Düsseldorf, Nemecko) žalobu, ktorou sa na základe článku 82 ods. 1 GDPR a ustanovení nemeckého práva domáhal, aby bola MDK Nordrhein uložená povinnosť nahradiť škodu, ktorá mu údajne vznikla v dôsledku takto vykonaného spracovania osobných údajov. V podstate tvrdil na jednej strane, že predmetný posudok mala vykonať iná lekárska služba, aby jeho kolegovia nemali prístup k údajom týkajúcim sa jeho zdravia, a na druhej strane, že bezpečnostné opatrenia súvisiace s archiváciou správy týkajúcej sa tohto posudku boli nedostatočné. Takisto uviedol, že uvedené spracovanie predstavuje porušenie právnych predpisov chrániacich takéto údaje, ktoré mu spôsobilo tak nemajetkovú, ako aj majetkovú ujmu. |
25 |
MDK Nordrhein na svoju obranu predovšetkým tvrdila, že získavanie a uchovávanie údajov týkajúcich sa zdravia žalobcu vo veci samej sa uskutočnilo v súlade s ustanoveniami o ochrane takýchto údajov. |
26 |
Keďže žaloba bola na prvom stupni zamietnutá, žalobca vo veci samej podal odvolanie na Landesarbeitsgericht Düsseldorf (Krajinský pracovný súd Düsseldorf, Nemecko), ktorý jeho odvolanie takisto zamietol. Podal teda opravný prostriedok „Revision“ na Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko), ktorý je v prejednávanej veci vnútroštátnym súdom. |
27 |
Tento súd vychádza z predpokladov, podľa ktorých v spore vo veci samej posudok, ktorý vypracovala MDK Nordrhein ako lekárska služba, predstavuje „spracúvanie“„osobných údajov“, a konkrétne „údajov týkajúcich sa zdravia“ v zmysle článku 4 bodov 1, 2 a 15 GDPR, takže uvedený postup patrí do vecnej pôsobnosti tohto nariadenia, ako je vymedzená v jeho článku 2 ods. 1 Okrem toho sa vnútroštátny súd domnieva, že MDK Nordrhein je príslušným „prevádzkovateľom“ v zmysle článku 4 bodu 7 uvedeného nariadenia. |
28 |
Otázky tohto súdu sa v prvom rade týkajú výkladu viacerých ustanovení článku 9 GDPR, ktorý sa vzťahuje na spracúvanie osobitných kategórií osobných údajov, najmä vzhľadom na skutočnosť, že spracúvanie vo veci samej vykonala organizácia, ktorá je zároveň zamestnávateľom dotknutej osoby, ako je definovaná v článku 4 bode 1 tohto nariadenia. |
29 |
Vnútroštátny súd predovšetkým pochybuje, že by sa na spracúvanie údajov týkajúcich sa zdravia, o ktoré ide vo veci samej, mohla vzťahovať niektorá z výnimiek stanovených v článku 9 ods. 2 GDPR. Podľa tohto súdu sú v prejednávanej veci relevantné len výnimky uvedené v písmenách b) a h) tohto odseku 2. Od začiatku však vylučuje uplatnenie výnimky stanovenej v tomto písmene b) v prejednávanej veci, pretože spracúvanie, o ktoré ide vo veci samej, nebolo nevyhnutné na účely práv a povinností prevádzkovateľa ako zamestnávateľa dotknutej osoby. Toto spracúvanie bolo totiž iniciované iným orgánom, ktorý požiadal MDK Nordrhein o vykonanie kontroly v rámci jej funkcie lekárskej služby. Na druhej strane, hoci sa vnútroštátny súd prikláňa k tomu, aby sa neuplatnila ani výnimka uvedená v písmene h), keďže sa mu zdá, že by sa mala vzťahovať len na spracúvanie vykonávané „neutrálnou treťou osobou“ a že organizácia sa nemôže odvolávať na svoju „dvojitú funkciu“ zamestnávateľa a lekárskej služby, aby sa vyhla zákazu takého spracúvania, jeho postoj v tejto súvislosti nie je kategorický. |
30 |
Za predpokladu, že by spracúvanie údajov týkajúcich sa zdravia bolo za takýchto okolností povolené podľa článku 9 ods. 2 písm. h) GDPR, vnútroštátny súd sa pýta na pravidlá, ktoré sa vzťahujú na ochranu údajov týkajúcich sa zdravia, ktoré sa musia v tejto súvislosti dodržiavať. Podľa tohto súdu z nariadenia vyplýva, že nestačí, aby prevádzkovateľ splnil požiadavky článku 9 ods. 3 nariadenia. Mal by tiež zabezpečiť, aby nikto z kolegov dotknutej osoby nemal prístup k údajom o jej zdravotnom stave. |
31 |
Vychádzajúc z toho istého predpokladu, tento súd chce napokon vedieť, či na to, aby bolo takéto spracúvanie zákonné, musí byť navyše splnená aspoň jedna z podmienok uvedených v článku 6 ods. 1 GDPR. Podľa neho by to tak malo byť a v rámci sporu vo veci samej by mohli byť a priori relevantné iba písmená c) a e) tohto článku 6 ods. 1 prvého pododseku. Uvedené dve písmená c) a e) by sa však nemali uplatňovať z dôvodu, že predmetné spracúvanie nie je „nevyhnutné“ v zmysle týchto ustanovení, pretože by ho mohla uskutočniť aj iná lekárska služba ako MDK Nordrhein. |
32 |
V druhom rade za predpokladu, že by v prejednávanej veci došlo k porušeniu GDPR, vnútroštátny súd sa pýta na možnú náhradu škody, na ktorú má žalobca vo veci samej právo podľa článku 82 tohto nariadenia. |
33 |
Na jednej strane chce vnútroštátny súd vedieť, či pravidlo stanovené v článku 82 ods. 1 GDPR má okrem svojej nápravnej funkcie odrádzajúcu alebo sankčnú povahu, a prípadne, či treba uvedenú povahu zohľadniť pri stanovení výšky náhrady škody priznanej z dôvodu nemajetkovej ujmy, najmä vzhľadom na zásady efektivity, proporcionality a ekvivalencie zakotvené v iných oblastiach práva Únie. |
34 |
Na druhej strane sa tento súd prikláňa k názoru, že zodpovednosť prevádzkovateľa môže vzniknúť na základe uvedeného článku 82 ods. 1 bez toho, aby bolo potrebné preukázať jeho zavinenie. Vzhľadom na to, že vnútroštátny súd má pochybnosti, najmä vzhľadom na normy nemeckého práva, sa však pýta, či je potrebné overiť, či predmetné porušenie GDPR možno pripísať prevádzkovateľovi z dôvodu jeho úmyselného konania alebo nedbanlivosti a či by miera závažnosti prípadného zavinenia tohto prevádzkovateľa mala mať vplyv na náhradu škody priznanú ako náhrada nemajetkovej ujmy. |
35 |
Za týchto podmienok Bundesarbeitsgericht (Spolkový pracovný súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
|
O prejudiciálnych otázkach
O prvej otázke
36 |
Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či vzhľadom na zákaz spracúvať údaje týkajúce sa zdravia stanovený v článku 9 ods. 1 GDPR sa má odsek 2 písm. h) tohto článku vykladať v tom zmysle, že výnimka, ktorú stanovuje, sa uplatňuje na situácie, v ktorých organizácia lekárskeho dohľadu spracúva údaje týkajúce sa zdravia jedného zo svojich zamestnancov nie ako zamestnávateľ, ale ako lekárska služba, s cieľom posúdiť pracovnú schopnosť tohto zamestnanca. |
37 |
Podľa ustálenej judikatúry vyžaduje výklad ustanovenia práva Únie zohľadniť nielen jeho znenie, ale aj kontext, do ktorého patrí, ako aj ciele a účel, ktoré sleduje akt, ktorého je súčasťou. Genéza ustanovenia práva Únie môže tiež poskytnúť informácie relevantné pre jeho výklad (rozsudok zo 16. marca 2023, Towercast, C‑449/21, EU:C:2023:207, bod 31 a citovaná judikatúra). |
38 |
V prvom rade treba pripomenúť, že článok 9 nariadenia GDPR sa týka, ako uvádza jeho názov, „osobitných kategórií osobných údajov“, ktoré sú tiež v odôvodneniach 10 a 51 tohto nariadenia kvalifikované ako „citlivé“ údaje. |
39 |
V odôvodnení 51 GDPR sa uvádza, že osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre tieto základné práva a slobody vyplývať významné riziká. |
40 |
V tejto súvislosti článok 9 ods. 1 GDPR zakotvuje zásadu zákazu spracúvania osobitných kategórií osobných údajov, ktoré sú v ňom vymenované. Medzi nimi sa nachádzajú „údaje týkajúce sa zdravia“, ako sú definované v článku 4 bode 15 tohto nariadenia v spojení s jeho odôvodnením 35, teda údaje, na ktoré sa vzťahuje prejednávaná vec. |
41 |
Súdny dvor spresnil, že účelom článku 9 ods. 1 tohto nariadenia je zaručiť zvýšenú ochranu proti spracúvaniu, ktoré z dôvodu osobitnej citlivosti údajov, ktoré sú jeho predmetom, môže predstavovať obzvlášť závažný zásah do základných práv na rešpektovanie súkromného života a na ochranu osobných údajov, zaručených článkami 7 a 8 Charty základných práv [pozri v tomto zmysle rozsudok z 5. júna 2023, Komisia/Poľsko (Nezávislosť a súkromný život sudcov), C‑204/21, EU:C:2023:442, bod 345 a citovanú judikatúru]. |
42 |
Článok 9 ods. 2 písm. a) až j) GDPR však stanovuje taxatívny zoznam výnimiek zo zásady zákazu spracúvania týchto citlivých údajov. |
43 |
Takéto spracúvanie umožňuje konkrétne článok 9 ods. 2 písm. h) GDPR, ak je „nevyhnutné [najmä] na účely posúdenia pracovnej schopnosti zamestnanca… na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom“. Toto ustanovenie spresňuje, že každé spracúvanie, ktoré je na ňom založené, navyše osobitne „podlieha podmienkam a zárukám uvedeným v odseku 3“ tohto článku 9. |
44 |
Z článku 9 ods. 2 písm. h) GDPR v spojení s odsekom 3 tohto článku vyplýva, že možnosť spracúvať citlivé údaje, ako sú údaje týkajúce sa zdravia, je prísne vymedzená sériou kumulatívnych podmienok. Tieto podmienky sa týkajú po prvé účelov vymenovaných v uvedenom písmene h), medzi ktoré patrí posúdenie pracovnej schopnosti pracovníka, po druhé právneho základu tohto spracúvania, či už ide o právo Únie, právo členského štátu alebo zmluvu uzavretú so zdravotníckym pracovníkom podľa toho istého písmena h), a napokon po tretie povinnosti zachovávať mlčanlivosť, ktorá sa vzťahuje na osoby oprávnené vykonávať takéto spracúvanie podľa tohto článku 9 ods. 3, pričom všetky tieto osoby musia podliehať povinnosti mlčanlivosti v súlade s týmto posledným uvedeným ustanovením. |
45 |
Ako v podstate uviedol generálny advokát v bodoch 32 a 33 svojich návrhov, ani znenie článku 9 ods. 2 písm. h) GDPR, ani genéza tohto ustanovenia nesvedčia o tom, že by bolo možné domnievať sa, že uplatnenie výnimky upravenej v tomto ustanovení je vyhradené pre prípady, keď spracúvanie uskutočňuje „neutrálna tretia strana, a nie zamestnávateľ“ dotknutej osoby, ako je vymedzená v článku 4 bode 1 tohto nariadenia. |
46 |
Vzhľadom na názor vnútroštátneho súdu, podľa ktorého by orgán v podstate nemal mať možnosť vychádzať zo svojej „dvojitej funkcie“ zamestnávateľa dotknutej osoby a lekárskej služby, aby sa vyhol zásade zákazu spracúvania údajov týkajúcich sa zdravia uvedenej v článku 9 ods. 1 GDPR, treba spresniť, že rozhodujúce je zohľadniť právny titul, na základe ktorého sa tieto údaje spracúvajú. |
47 |
Hoci totiž uvedený článok 9 ods. 1 v zásade zakazuje spracúvanie údajov týkajúcich sa zdravia, odsek 2 uvedeného článku stanovuje vo svojich písmenách a) až j) desať výnimiek, ktoré sú navzájom nezávislé, a preto ich treba posudzovať samostatne. To znamená, že skutočnosť, že podmienky uplatnenia jednej z výnimiek stanovených v tomto odseku 2 nie sú splnené, nemôže brániť tomu, aby sa prevádzkovateľ mohol odvolávať na inú výnimku uvedenú v tomto ustanovení. |
48 |
Z vyššie uvedeného vyplýva, že článok 9 ods. 2 písm. h) GDPR v spojení s odsekom 3 tohto článku nijako nevylučuje uplatniteľnosť výnimky uvedenej v tomto písmene h) na situácie, v ktorých lekárska služba spracúva údaje týkajúce sa zdravia jedného zo svojich zamestnancov ako lekárska služba, a nie ako zamestnávateľ, s cieľom posúdiť pracovnú schopnosť tohto zamestnanca. |
49 |
V druhom rade má takýto výklad oporu v zohľadnení systému, do ktorého patrí článok 9 ods. 2 písm. h) GDPR, ako aj v cieľoch, ktoré toto nariadenie a ustanovenie sledujú. |
50 |
Po prvé nie sú pochybnosti o tom, že keďže článok 9 ods. 2 GDPR stanovuje výnimku zo zásady zákazu spracúvania osobitných kategórií osobných údajov, treba ho vykladať reštriktívne [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 76]. |
51 |
Dodržanie zásady zákazu uvedenej v článku 9 ods. 1 GDPR však nemôže viesť k zúženiu pôsobnosti iného ustanovenia tohto nariadenia spôsobom, ktorý by bol v rozpore s jeho jasným znením. Navrhovaný výklad, podľa ktorého by sa pôsobnosť výnimky stanovenej v tomto článku 9 ods. 2 písm. h) mala obmedziť na prípady, keď „neutrálna tretia osoba“ spracúva údaje týkajúce sa zdravia na účely posúdenia pracovnej schopnosti pracovníka, by vytvoril ďalšiu požiadavku, ktorá vôbec nevyplýva z jasného znenia tohto posledného uvedeného ustanovenia. |
52 |
V tejto súvislosti je irelevantné, že v prejednávanej veci by za predpokladu, že by sa MDK Nordrhein zakázalo plniť si úlohy lekárskej služby, pokiaľ ide o jedného z jej vlastných zamestnancov, mohla by tieto úlohy plniť iná lekárska služba. Treba zdôrazniť, že táto alternatíva, na ktorú poukazuje vnútroštátny súd, nie je nevyhnutne prítomná alebo uskutočniteľná vo všetkých členských štátoch a vo všetkých situáciách, na ktoré sa môže vzťahovať článok 9 ods. 2 písm. h) GDPR. Výklad tohto ustanovenia sa však nemôže riadiť úvahami založenými na systéme zdravotnej starostlivosti jediného členského štátu alebo úvahami vychádzajúcimi z okolností vlastných sporu vo veci samej. |
53 |
Po druhé výklad uvedený v bode 48 tohto rozsudku je v súlade s cieľmi GDPR a článku 9 tohto nariadenia. |
54 |
Podľa odôvodnenia 4 GDPR totiž právo na ochranu osobných údajov nie je absolútnym právom, pretože sa musí posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť podľa zásady proporcionality v rovnováhe s ostatnými základnými právami (pozri v tomto zmysle rozsudok z 22. júna 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 78). Okrem toho už Súdny dvor zdôraznil, že mechanizmy umožňujúce dosiahnuť primeranú rovnováhu medzi rôznymi prítomnými právami a záujmami sú zakotvené v samotnom GDPR (pozri v tomto zmysle rozsudok zo 17. júna 2021, M.I.C.M., C‑597/19, EU:C:2021:492, bod 112). |
55 |
Tieto úvahy platia aj v prípade, keď dotknuté údaje patria do osobitných kategórií uvedených v článku 9 tohto nariadenia [pozri v tomto zmysle rozsudok z 24. septembra 2019, GC a i. (Odstránenie odkazu na citlivé údaje), C‑136/17, EU:C:2019:773, body 57 a 66 až 68], akými sú údaje týkajúce sa zdravia. |
56 |
Konkrétne z odôvodnenia 52 GDPR vyplýva, že „výnimka zo zákazu spracúvania osobitných kategórií… údajov“ by sa mala povoliť, „ak to odôvodňuje verejný záujem, najmä… v oblasti pracovného práva, práva sociálnej ochrany“, ako aj „na zdravotné účely…, najmä s cieľom zabezpečiť kvalitu a nákladovú efektívnosť postupov používaných na uspokojovanie nárokov na plnenie a služby v systéme zdravotného poistenia“. Odôvodnenie 53 tohto nariadenia tiež stanovuje, že spracúvanie „na zdravotné účely“ by malo byť možné, „ak je to potrebné na dosiahnutie týchto účelov v prospech fyzických osôb a spoločnosti ako celku, najmä v súvislosti s riadením služieb a systémov zdravotnej alebo sociálnej starostlivosti“. |
57 |
Práve z tohto celkového hľadiska a vzhľadom na rôzne dotknuté legitímne záujmy normotvorca Únie stanovil v článku 9 ods. 2 písm. h) GDPR možnosť odchýliť sa od zásady zákazu spracúvania údajov týkajúcich sa zdravia uvedenej v odseku 1 tohto článku pod podmienkou, že dotknuté spracúvanie spĺňa podmienky a záruky výslovne stanovené v tomto písmene h) a v iných relevantných ustanoveniach tohto nariadenia, najmä v odseku 3 uvedeného článku 9, pričom v týchto ustanoveniach nie je uvedená požiadavka, aby lekárska služba, ktorá spracúva takéto údaje podľa uvedeného písmena h), bola subjektom odlišným od zamestnávateľa dotknutej osoby. |
58 |
Vzhľadom na vyššie uvedené dôvody a bez toho, aby boli dotknuté odpovede na druhú a tretiu otázku, treba na prvú otázku odpovedať tak, že článok 9 ods. 2 písm. h) GDPR sa má vykladať v tom zmysle, že výnimka stanovená v tomto ustanovení sa uplatňuje na situácie, v ktorých lekárska služba spracúva údaje týkajúce sa zdravia jedného zo svojich zamestnancov nie ako zamestnávateľ, ale ako lekárska služba, s cieľom posúdiť pracovnú schopnosť tohto zamestnanca, pod podmienkou, že dotknuté spracúvanie spĺňa podmienky a záruky výslovne stanovené v tomto písmene h) a odseku 3 uvedeného článku 9. |
O druhej otázke
59 |
Podľa vnútroštátneho súdu z odôvodnení 35, 51, 53 a 75 GDPR vyplýva, že v situácii, o akú ide vo veci samej, keď je prevádzkovateľ zároveň zamestnávateľom osoby, ktorej pracovná schopnosť sa posudzuje, nestačí splniť požiadavky článku 9 ods. 3 tohto nariadenia. Toto nariadenie okrem toho ukladá povinnosť vylúčiť zo spracovania údajov týkajúcich sa zdravia všetkých zamestnancov prevádzkovateľa, ktorí majú s touto osobou akýkoľvek profesionálny kontakt. Podľa tohto súdu by mal každý prevádzkovateľ s viacerými pobočkami, akým je MDK Nordrhein, zabezpečiť, aby subjekt zodpovedný za spracovanie údajov týkajúcich sa zdravia zamestnancov tohto prevádzkovateľa vždy patril do inej pobočky, než v ktorej pracuje dotknutý zamestnanec. Navyše povinnosť zachovávať profesijné tajomstvo, ktorú majú zamestnanci oprávnení spracúvať takéto údaje, v skutočnosti nebráni tomu, aby kolega dotknutej osoby mohol mať prístup k údajom, ktoré sa jej týkajú, čo so sebou prináša nebezpečenstvo vzniku škody, akým je poškodenie dobrého mena tejto osoby. |
60 |
Za týchto podmienok sa vnútroštátny súd svojou druhou otázkou v podstate pýta, či sa ustanovenia GDPR majú vykladať v tom zmysle, že prevádzkovateľ spracúvajúci údaje týkajúce sa zdravia na základe článku 9 ods. 2 písm. h) tohto nariadenia je povinný zabezpečiť, aby nijaký kolega dotknutej osoby nemal prístup k údajom týkajúcim sa jej zdravotného stavu. |
61 |
Treba pripomenúť, že podľa článku 9 ods. 3 GDPR spracúvanie údajov týkajúce sa účelov uvedených v odseku 1 a odseku 2 písm. h) tohto článku 9, v tomto prípade údajov týkajúcich sa zdravia pracovníka na účely posúdenia jeho pracovnej schopnosti, možno vykonať len vtedy, ak tieto údaje spracúva odborník alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie alebo práva členského štátu, alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu, alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány. |
62 |
Normotvorca Únie však prijatím článku 9 ods. 3 tohto nariadenia, ktorý odkazuje práve na odsek 2 písm. h) tohto článku, vymedzil osobitné ochranné opatrenia, ktoré zamýšľal uložiť prevádzkovateľom vykonávajúcim takéto spracúvanie, a spočívajú v tom, že uvedené spracúvanie je vyhradené osobám podliehajúcim povinnosti mlčanlivosti v súlade s podmienkami stanovenými v odseku 3. Znenie tohto ustanovenia preto nie je potrebné rozširovať o požiadavky, ktoré sa v ňom neuvádzajú. |
63 |
Z toho vyplýva, ako v podstate uviedol generálny advokát v bode 43 svojich návrhov, že článok 9 ods. 3 GDPR nemôže slúžiť ako právny základ opatrenia, ktoré zaručuje, že žiadny kolega dotknutej osoby nemôže mať prístup k údajom týkajúcim sa jej zdravotného stavu. |
64 |
Treba však posúdiť, či požiadavku spočívajúcu v zabezpečení, aby nijaký kolega dotknutej osoby nemal prístup k údajom týkajúcim sa jej zdravotného stavu, možno uložiť prevádzkovateľovi, ktorý spracúva zdravotné údaje podľa článku 9 ods. 2 písm. h) GDPR, na základe iného ustanovenia tohto nariadenia. |
65 |
V tejto súvislosti treba spresniť, že jediná možnosť členských štátov doplniť takúto požiadavku v porovnaní s požiadavkami uvedenými v odsekoch 2 a 3 článku 9 tohto nariadenia spočíva v možnosti, ktorú im výslovne priznáva odsek 4 tohto článku, a to „zachovať alebo zaviesť dodatočné podmienky vrátane obmedzení, týkajúce sa spracúvania… údajov týkajúcich sa zdravia“. |
66 |
Tieto prípadné dodatočné podmienky však nevyplývajú zo samotných ustanovení GDPR, ale, podľa okolností, z pravidiel vnútroštátneho práva upravujúcich spracúvanie tohto druhu, vo vzťahu ku ktorým toto nariadenie výslovne ponecháva členským štátom mieru voľnej úvahy (pozri v tomto zmysle rozsudok z 30. marca 2023, Hauptpersonalrat der Lehrernen und Lehrer, C‑34/21, EU:C:2023:270, body 51 a 78). |
67 |
Okrem toho treba zdôrazniť, že členský štát, ktorý by chcel využiť možnosť stanovenú v článku 9 ods. 4 uvedeného nariadenia, by mal v súlade so zásadou proporcionality zabezpečiť, aby praktické dôsledky, najmä organizačné, hospodárske a lekárske, vyplývajúce z dodatočných požiadaviek, ktoré chce tento členský štát uložiť, neboli neprimerane zaťažujúce pre prevádzkovateľov takéhoto spracovania, ktorí nemusia mať dostatočnú veľkosť alebo technické a ľudské zdroje postačujúce na splnenie týchto požiadaviek. Uvedené požiadavky totiž nemôžu ohroziť potrebný účinok povolenia spracúvania, ktoré je výslovne stanovené v článku 9 ods. 2 písm. h) toho istého nariadenia a je vymedzené v odseku 3 tohto článku. |
68 |
Napokon treba zdôrazniť, že podľa článku 32 ods. 1 písm. a) a b) GDPR, ktorý konkretizuje zásady integrity a dôvernosti uvedené v článku 5 ods. 1 písm. f) tohto nariadenia, je každý prevádzkovateľ povinný prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej riziku, najmä pseudonymizáciu a šifrovanie takýchto údajov, ako aj prostriedky na zabezpečenie najmä dôvernosti a integrity systémov a služieb spracúvania. Pri určovaní praktických spôsobov tejto povinnosti musí prevádzkovateľ v súlade s uvedeným článkom 32 ods. 1 zohľadniť najnovšie poznatky, náklady na vykonanie opatrení a povahu, rozsah, kontext a účely spracúvania, ako aj riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb. |
69 |
Vnútroštátnemu súdu však prináleží, aby posúdil, či sú všetky technické a organizačné opatrenia, ktoré v prejednávanej veci vykonala MDK Nordrhein, v súlade s požiadavkami článku 32 ods. 1 písm. a) a b) GDPR. |
70 |
Na druhú otázku teda treba odpovedať tak, že článok 9 ods. 3 GDPR sa má vykladať v tom zmysle, že prevádzkovateľ spracúvajúci údaje týkajúce sa zdravia na základe článku 9 ods. 2 písm. h) tohto nariadenia nie je podľa týchto ustanovení povinný zabezpečiť, aby nijaký kolega dotknutej osoby nemal prístup k údajom týkajúcim sa jej zdravotného stavu. Takúto povinnosť však možno uložiť prevádzkovateľovi uvedeného spracúvania buď na základe právnej úpravy prijatej členským štátom podľa článku 9 ods. 4 uvedeného nariadenia, alebo na základe zásad integrity a dôvernosti uvedených v článku 5 ods. 1 písm. f) toho istého nariadenia a konkretizovaných v článku 32 ods. 1 písm. a) a b) tohto nariadenia. |
O tretej otázke
71 |
Svojou treťou otázkou sa vnútroštátny súd v podstate pýta, či sa článok 9 ods. 2 písm. h) a článok 6 ods. 1 GDPR majú vykladať v tom zmysle, že na to, aby bolo spracúvanie údajov týkajúcich sa zdravia založené na tomto prvom uvedenom ustanovení zákonné, musí spĺňať nielen požiadavky vyplývajúce z tohto ustanovenia, ale aj aspoň jednu z podmienok zákonnosti uvedených v článku 6 ods. 1. |
72 |
V tejto súvislosti treba pripomenúť, že články 5, 6 a 9 GDPR sa nachádzajú v kapitole II tohto nariadenia, nazvanej „Zásady“, a týkajú sa zásad spracúvania osobných údajov, podmienok zákonnosti spracúvania a spracúvania osobitných kategórií osobných údajov. |
73 |
Okrem toho treba uviesť, že odôvodnenie 51 GDPR výslovne uvádza, že „okrem osobitných požiadaviek“ uplatniteľných na spracúvanie „osobitne citlivých“ údajov, ktoré sú uvedené v článku 9 ods. 2 a 3 tohto nariadenia, bez toho, aby boli dotknuté prípadné opatrenia prijaté členským štátom na základe odseku 4 tohto článku, by sa „na takéto spracúvanie… mali uplatňovať [aj] všeobecné zásady a iné pravidlá [tohto nariadenia], najmä pokiaľ ide o podmienky pre zákonné spracúvanie“, ako vyplývajú z článku 6 toho istého nariadenia. |
74 |
Preto je v súlade s článkom 6 ods. 1 prvým pododsekom GDPR spracúvanie „obzvlášť citlivých“ údajov, ako sú údaje týkajúce sa zdravia, zákonné len vtedy, ak je splnená aspoň jedna z podmienok uvedených v uvedenom odseku 1 prvom pododseku písm. a) až f). |
75 |
Článok 6 ods. 1 prvý pododsek uvedeného nariadenia upravuje taxatívny a obmedzujúci zoznam prípadov, v ktorých možno spracovanie osobných údajov považovať za zákonné. To znamená, že na to, aby sa spracúvanie mohlo považovať za zákonné, musí sa naň vzťahovať jeden z prípadov stanovených v tomto ustanovení [rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 90, ako aj citovaná judikatúra]. |
76 |
Súdny dvor preto opakovane rozhodol, že každé spracúvanie osobných údajov musí byť v súlade so zásadami týkajúcimi sa spracúvania údajov uvedenými v článku 5 ods. 1 GDPR a musí spĺňať podmienky zákonnosti spracúvania vymenované v článku 6 tohto nariadenia [rozsudok zo 4. mája 2023, Bundesrepublik Deutschland (Elektronická súdna schránka), C‑60/22, EU:C:2023:373, bod 57 a citovaná judikatúra]. |
77 |
Okrem toho vzhľadom na to, že cieľom článkov 7 až 11 GDPR, ktoré sa podobne ako jeho články 5 a 6 nachádzajú v kapitole II tohto nariadenia, je spresniť rozsah povinností, ktoré prevádzkovateľovi vyplývajú z článku 5 ods. 1 písm. a) a článku 6 ods. 1 uvedeného nariadenia, spracúvanie osobných údajov, aby bolo zákonné, musí byť, ako vyplýva z judikatúry Súdneho dvora, v súlade s ostatnými ustanoveniami uvedenej kapitoly, ktoré sa v podstate týkajú súhlasu, spracúvania osobitných kategórií citlivých osobných údajov a spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky [rozsudok zo 4. mája 2023, Bundesrepublik Deutschland (Elektronická súdna schránka), C‑60/22, EU:C:2023:373, bod 58 a citovaná judikatúra]. |
78 |
Z toho najmä vyplýva, že vzhľadom na to, že cieľom článku 9 ods. 2 písm. h) GDPR je spresniť rozsah povinností prevádzkovateľa podľa článku 5 ods. 1 písm. a) a článku 6 ods. 1 tohto nariadenia, spracúvanie údajov týkajúcich sa zdravia, ktoré je založené na prvom uvedenom ustanovení, musí na to, aby bolo zákonné, rešpektovať tak požiadavky vyplývajúce z tohto ustanovenia, ako aj povinnosti vyplývajúce z dvoch posledných uvedených ustanovení, a najmä spĺňať aspoň jednu z podmienok zákonnosti uvedených v článku 6 ods. 1. |
79 |
Vzhľadom na vyššie uvedené treba na tretiu otázku odpovedať tak, že článok 9 ods. 2 písm. h) a článok 6 ods. 1 GDPR sa majú vykladať v tom zmysle, že spracúvanie údajov týkajúcich sa zdravia založené na prvom uvedenom ustanovení musí na to, aby bolo zákonné, spĺňať nielen požiadavky vyplývajúce z tohto ustanovenia, ale aj aspoň jednu z podmienok zákonnosti stanovených v uvedenom článku 6 ods. 1. |
O štvrtej otázke
80 |
Svojou štvrtou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že právo na náhradu škody stanovené v tomto ustanovení má nielen kompenzačnú funkciu, ale aj odrádzajúcu alebo sankčnú funkciu, a ak áno, či sa má prípadne zohľadniť pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe tohto ustanovenia. |
81 |
Je potrebné pripomenúť, že podľa článku 82 ods. 1 GDPR „má každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa“. |
82 |
Súdny dvor vyložil toto ustanovenie v tom zmysle, že samotné porušenie GDPR nestačí na priznanie práva na náhradu škody po tom, čo najmä zdôraznil, že existencia „ujmy“ alebo „škody“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v článku 82 ods. 1, rovnako ako aj existencia porušenia tohto nariadenia a príčinnej súvislosti medzi touto ujmou a týmto porušením, pričom tieto tri podmienky sú kumulatívne [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 32 a 42]. |
83 |
Okrem toho Súdny dvor rozhodol, že vzhľadom na to, že GDPR neobsahuje ustanovenie, ktorého predmetom by bolo vymedzenie pravidiel týkajúcich sa určenia výšky náhrady škody, na ktorú existuje nárok v zmysle práva na náhradu škody stanoveného v článku 82 tohto nariadenia, musia vnútroštátne súdy uplatniť v zmysle zásady procesnej autonómie vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady škody, a to pri dodržaní zásad ekvivalencie a efektivity práva Únie, ako ich definuje ustálená judikatúra Súdneho dvora [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 53, 54 a 59]. |
84 |
V tomto kontexte a vzhľadom na odôvodnenie 146 šiestu vetu GDPR, podľa ktorého má tento nástroj zabezpečiť „úplnú a účinnú náhradu [za utrpenú škodu]“, Súdny dvor uviedol, že vzhľadom na kompenzačnú funkciu práva na náhradu škody, ktoré je stanovené v článku 82 tohto nariadenia, peňažná náhrada založená na tomto článku sa musí považovať za „úplnú a účinnú“, ak umožňuje v celom rozsahu kompenzovať škodu, ktorá bola konkrétne utrpená v dôsledku porušenia tohto nariadenia, bez toho, aby bolo na účely takejto úplnej kompenzácie potrebné uložiť povinnosť zaplatiť sankčnú náhradu škody [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 57 a 58]. |
85 |
V tejto súvislosti treba zdôrazniť, že článok 82 GDPR nemá sankčnú, ale kompenzačnú funkciu, na rozdiel od iných ustanovení tohto nariadenia nachádzajúcich sa tiež v jeho kapitole VIII, a to jeho článkov 83 a 84, ktoré majú v podstate sankčný účel, pretože umožňujú ukladať správne pokuty, ako aj iné sankcie. Vzťah medzi pravidlami stanovenými v článku 82 a pravidlami stanovenými v uvedených článkoch 83 a 84 preukazuje, že medzi týmito dvoma kategóriami ustanovení existuje rozdiel, ale aj sa vzájomne dopĺňajú, pokiaľ ide o motiváciu dodržiavať GDPR, pričom treba poznamenať, že právo každej osoby domáhať sa náhrady škody posilňuje vykonateľný charakter pravidiel ochrany stanovených týmto nariadením a môže odradiť od opakovaného protiprávneho konania [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 38 a 40]. |
86 |
Keďže právo na náhradu škody stanovené v článku 82 ods. 1 GDPR nemá odrádzajúcu, alebo dokonca sankčnú funkciu, ako to predpokladá vnútroštátny súd, závažnosť porušenia tohto nariadenia, ktoré spôsobilo dotknutú ujmu, nemôže mať vplyv na výšku náhrady škody priznanej na základe tohto ustanovenia, aj keď nejde o majetkovú, ale nemajetkovú ujmu. Z toho vyplýva, že táto suma nemôže byť stanovená na úrovni presahujúcej úplnú náhradu tejto ujmy. |
87 |
Preto treba na štvrtú otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že právo na náhradu škody stanovené v tomto ustanovení plní kompenzačnú funkciu, keďže peňažná náhrada založená na uvedenom ustanovení musí umožniť úplnú náhradu škody, ktorá bola konkrétne spôsobená porušením tohto nariadenia, a nie odrádzajúcu alebo sankčnú funkciu. |
O piatej otázke
88 |
Z informácií poskytnutých vnútroštátnym súdom v odpovedi na žiadosť o vysvetlenie, ktorá mu bola zaslaná v súlade s článkom 101 Rokovacieho poriadku Súdneho dvora, vyplýva, že cieľom piatej otázky je jednak zistiť, či existencia a/alebo dôkaz o zavinení sú podmienkami požadovanými na to, aby mohla vzniknúť zodpovednosť prevádzkovateľa alebo sprostredkovateľa, a jednak objasniť, aký vplyv môže mať stupeň závažnosti zavinenia prevádzkovateľa alebo sprostredkovateľa na skutočné posúdenie náhrady škody, ktorá má byť zaplatená ako náhrada utrpenej nemajetkovej ujmy. |
89 |
Vzhľadom na túto odpoveď vnútroštátneho súdu treba piatu otázku chápať tak, že sa v podstate týka po prvé toho, či sa má článok 82 GDPR vykladať v tom zmysle, že vznik zodpovednosti prevádzkovateľa je podmienený existenciou jeho zavinenia, a po druhé toho, či sa má stupeň závažnosti tohto zavinenia zohľadniť pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe tohto ustanovenia. |
90 |
Pokiaľ ide o prvú časť tejto otázky, treba poznamenať, ako bolo pripomenuté v bode 82 tohto rozsudku, že článok 82 ods. 1 GDPR podmieňuje právo na náhradu škody splnením troch podmienok, a to existencie porušenia tohto nariadenia, existencie vzniknutej škody, ako aj existencie príčinnej súvislosti medzi porušením a škodou. |
91 |
Článok 82 ods. 2 GDPR stanovuje, že každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré predstavuje porušenie tohto nariadenia. Znenie tohto ustanovenia v niektorých jeho jazykových verziách, najmä v nemeckej, ktorá je jazykom konania v prejednávanej veci, však neumožňuje s istotou určiť, či na to, aby mohla vzniknúť zodpovednosť prevádzkovateľa, musí byť možné mu predmetné porušenie pripísať. |
92 |
V tejto súvislosti z analýzy rôznych jazykových verzií prvej vety článku 82 ods. 2 GDPR vyplýva, že sa predpokladá, že prevádzkovateľ sa podieľal na spracovaní, ktoré predstavuje predmetné porušenie tohto nariadenia. Zatiaľ čo nemecká, francúzska alebo fínska jazyková verzia sú formulované otvoreným spôsobom, niektoré iné jazykové verzie sa zdajú byť presnejšie a používajú ukazovacie zámená pri tretej zmienke slova „spracúvanie“ alebo pri treťom odkaze na tento pojem, aby bolo jasné, že táto tretia zmienka alebo tretí odkaz sa vzťahuje na to isté spracúvanie ako pri druhom použití tohto slova. Tak je to v prípade španielskej, estónskej, gréckej, talianskej alebo rumunskej jazykovej verzie. |
93 |
Článok 82 ods. 3 GDPR v tejto súvislosti spresňuje, že prevádzkovateľ je zbavený zodpovednosti podľa článku 82 ods. 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu. |
94 |
Z kombinovanej analýzy týchto rôznych ustanovení článku 82 GDPR tak vyplýva, že tento článok stanovuje režim zodpovednosti za zavinenie, v ktorom dôkazné bremeno nenesie osoba, ktorá utrpela škodu, ale prevádzkovateľ. |
95 |
Takýto výklad je podporený kontextom, do ktorého patrí tento článok 82, ako aj cieľmi sledovanými normotvorcom Únie v GDPR. |
96 |
V tejto súvislosti po prvé zo znenia článkov 24 a 32 GDPR vyplýva, že tieto ustanovenia sa obmedzujú len na to, že prevádzkovateľovi ukladajú povinnosť prijať technické a organizačné opatrenia, aby sa v čo najväčšej miere zabránilo akémukoľvek zasahovaniu do osobných údajov. Primeranosť takýchto opatrení sa musí posúdiť konkrétnym spôsobom, a to preskúmaním, či prevádzkovateľ tieto opatrenia vykonal s prihliadnutím na rôzne kritériá uvedené v týchto článkoch a na potreby ochrany údajov, ktoré sú špecifické pre príslušné spracúvanie, ako aj na riziká, ktoré toto spracúvanie vyvoláva (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 30). |
97 |
Takáto povinnosť by však bola spochybnená, ak by bol prevádzkovateľ následne povinný nahradiť akúkoľvek škodu spôsobenú spracúvaním vykonaným v rozpore s GDPR. |
98 |
Po druhé, pokiaľ ide o ciele GDPR, z odôvodnení 4 až 8 tohto nariadenia vyplýva, že jeho cieľom je dosiahnuť rovnováhu medzi záujmami prevádzkovateľov osobných údajov a právami osôb, ktorých údaje sa spracúvajú. Cieľom je umožniť rozvoj dátového hospodárstva pri súčasnom zabezpečení zvýšenej úrovne ochrany jednotlivcov. Ide teda o vyváženie záujmov prevádzkovateľa a osôb, ktorých osobné údaje sa spracúvajú. Mechanizmus zodpovednosti za zavinenie spojený s prenesením dôkazného bremena, ako to stanovuje článok 82 GDPR, pritom umožňuje zabezpečiť práve takúto rovnováhu. |
99 |
Na jednej strane, ako v podstate uviedol generálny advokát v bode 93 svojich návrhov, by nebolo v súlade s cieľom takejto zvýšenej ochrany zvoliť výklad, podľa ktorého by dotknuté osoby, ktorým bola spôsobená škoda v dôsledku porušenia GDPR, mali v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia niesť nielen dôkazné bremeno o existencii tohto porušenia a škody, ktorá im z neho vznikla, ale aj o existencii zavinenia prevádzkovateľa, ku ktorému došlo úmyselne alebo z nedbanlivosti, či dokonca o stupni závažnosti tohto zavinenia, hoci uvedený článok 82 takéto požiadavky nestanovuje (pozri analogicky rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 56). |
100 |
Na druhej strane by režim objektívnej zodpovednosti nezaručoval dosiahnutie cieľa právnej istoty, ktorý sleduje normotvorca, ako to vyplýva z odôvodnenia 7 GDPR. |
101 |
Pokiaľ ide o druhú časť piatej otázky týkajúcu sa určenia výšky prípadnej náhrady škody podľa článku 82 GDPR, treba pripomenúť, ako bolo zdôraznené v bode 83 tohto rozsudku, že vnútroštátne súdy musia pri určení tejto náhrady škody uplatniť vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady škody, a to pri dodržaní zásad ekvivalencie a efektivity práva Únie, ako ich definuje ustálená judikatúra Súdneho dvora. |
102 |
Treba spresniť, že vzhľadom na svoju kompenzačnú funkciu článok 82 GDPR nevyžaduje, aby sa pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe tohto ustanovenia zohľadnil stupeň závažnosti porušenia tohto nariadenia, ktorého sa prevádzkovateľ údajne dopustil, ale vyžaduje, aby bola táto suma stanovená tak, aby v celom rozsahu nahradila ujmu, ktorá bola konkrétne spôsobená porušením uvedeného nariadenia, ako to vyplýva z bodov 84 a 87 tohto rozsudku. |
103 |
Z tohto dôvodu treba na piatu otázku odpovedať tak, že článok 82 GDPR sa má vykladať v tom zmysle, že po prvé vznik zodpovednosti prevádzkovateľa je podmienený existenciou jeho zavinenia, ktoré sa predpokladá, pokiaľ prevádzkovateľ nepreukáže, že udalosť, ktorá spôsobila škodu, mu nemožno nijako pripísať, a po druhé tento článok 82 nevyžaduje, aby sa pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe tohto ustanovenia zohľadnil stupeň závažnosti tohto zavinenia. |
O trovách
104 |
Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené. |
Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto: |
|
|
|
|
|
Podpisy |
( *1 ) Jazyk konania: nemčina.