EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CJ0687
Judgment of the Court (Third Chamber) of 25 January 2024.#BL v MediaMarktSaturn Hagen-Iserlohn GmbH.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Interpretation of Articles 5, 24, 32 and 82 – Assessment of the validity of Article 82 – Inadmissibility of the request for an assessment of validity – Right to compensation for damage caused by data processing which infringes that regulation – Transmission of data to an unauthorised third party on account of an error made by the employees of the controller – Assessment of the appropriateness of the protective measures implemented by the controller – Compensatory function fulfilled by the right to compensation – Effect of the severity of the infringement – Whether necessary to establish the existence of damage caused by that infringement – Concept of ‘non-material damage’.#Case C-687/21.
Rozsudok Súdneho dvora (tretia komora) z 25. januára 2024.
BL v. MediaMarktSaturn Hagen-Iserlohn GmbH, anciennement Saturn Electro-Handelsgesellschaft mbH Hagen.
Návrh na začatie prejudiciálneho konania podaný/á/é Amtsgericht Hagen.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Výklad článkov 5, 24, 32 a 82 – Posúdenie platnosti článku 82 – Neprípustnosť návrhu na posúdenie platnosti – Právo na náhradu škody spôsobenej spracovaním týchto údajov v rozpore s týmto nariadením – Poskytnutie údajov neoprávnenej tretej strane z dôvodu pochybenia spôsobeného zamestnancami prevádzkovateľa – Posúdenie primeraného charakteru ochranných opatrení prijatých prevádzkovateľom – Kompenzačná funkcia, ktorú plní právo na náhradu škody – Vplyv závažnosti porušenia – Potreba preukázať existenciu škody spôsobenej týmto porušením – Pojem ‚nemajetková ujma‘.
Vec C-687/21.
Rozsudok Súdneho dvora (tretia komora) z 25. januára 2024.
BL v. MediaMarktSaturn Hagen-Iserlohn GmbH, anciennement Saturn Electro-Handelsgesellschaft mbH Hagen.
Návrh na začatie prejudiciálneho konania podaný/á/é Amtsgericht Hagen.
Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Výklad článkov 5, 24, 32 a 82 – Posúdenie platnosti článku 82 – Neprípustnosť návrhu na posúdenie platnosti – Právo na náhradu škody spôsobenej spracovaním týchto údajov v rozpore s týmto nariadením – Poskytnutie údajov neoprávnenej tretej strane z dôvodu pochybenia spôsobeného zamestnancami prevádzkovateľa – Posúdenie primeraného charakteru ochranných opatrení prijatých prevádzkovateľom – Kompenzačná funkcia, ktorú plní právo na náhradu škody – Vplyv závažnosti porušenia – Potreba preukázať existenciu škody spôsobenej týmto porušením – Pojem ‚nemajetková ujma‘.
Vec C-687/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:72
ROZSUDOK SÚDNEHO DVORA (tretia komora)
z 25. januára 2024 ( *1 )
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Výklad článkov 5, 24, 32 a 82 – Posúdenie platnosti článku 82 – Neprípustnosť návrhu na posúdenie platnosti – Právo na náhradu škody spôsobenej spracovaním týchto údajov v rozpore s týmto nariadením – Poskytnutie údajov neoprávnenej tretej strane z dôvodu pochybenia spôsobeného zamestnancami prevádzkovateľa – Posúdenie primeraného charakteru ochranných opatrení prijatých prevádzkovateľom – Kompenzačná funkcia, ktorú plní právo na náhradu škody – Vplyv závažnosti porušenia – Potreba preukázať existenciu škody spôsobenej týmto porušením – Pojem ‚nemajetková ujma‘“
Vo veci C‑687/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Amtsgericht Hagen (Okresný súd Hagen, Nemecko) z 11. októbra 2021 a doručený Súdnemu dvoru 16. novembra 2021, ktorý súvisí s konaním:
BL
proti
MediaMarktSaturn Hagen‑Iserlohn GmbH, predtým Saturn Electro‑Handelsgesellschaft mbH Hagen,
SÚDNY DVOR (tretia komora),
v zložení: predsedníčka tretej komory K. Jürimäe, sudcovia N. Piçarra, M. Safjan, N. Jääskinen (spravodajca) a M. Gavalec,
generálny advokát: M. Campos Sánchez‑Bordona,
tajomník: A. Calot Escobar,
so zreteľom na písomnú časť konania,
so zreteľom na pripomienky, ktoré predložili:
|
– |
BL, v zastúpení: D. Pudelko, Rechtsanwalt, |
|
– |
MediaMarktSaturn Hagen‑Iserlohn GmbH, predtým Saturn Electro‑Handelsgesellschaft mbH Hagen, v zastúpení: B. Hackl, Rechtsanwalt, |
|
– |
Írsko, v zastúpení: M. Browne, Chief State Solicitor, A. Joyce a M. Lane, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL, |
|
– |
Európsky parlament, v zastúpení: O. Hrstková Šolcová a J.‑C. Puffer, splnomocnení zástupcovia, |
|
– |
Európska komisia, v zastúpení: A. Bouchagiar, M. Heller a H. Kranenborg, splnomocnení zástupcovia, |
so zreteľom na rozhodnutie prijaté po vypočutí generálneho advokáta, že vec bude prejednaná bez jeho návrhov,
vyhlásil tento
Rozsudok
|
1 |
Návrh na začatie prejudiciálneho konania sa týka výkladu článku 2 ods. 1, článku 4 bodu 7, článku 5 ods. 1 písm. f), článku 6 ods. 1, článku 24, článku 32 ods. 1 písm. b) a odseku 2, ako aj článku 82 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), a posúdenia platnosti tohto článku 82. |
|
2 |
Tento návrh bol podaný v rámci sporu medzi BL, fyzickou osobou, a spoločnosťou MediaMarktSaturn Hagen‑Iserlohn GmbH, predtým Saturn Electro‑Handelsgesellschaft mbH Hagen (ďalej len „Saturn“), vo veci náhrady nemajetkovej ujmy, ktorá bola tejto osobe údajne spôsobená z dôvodu poskytnutia niektorých jej osobných údajov tretej strane v dôsledku pochybenia spôsobeného zamestnancami tejto spoločnosti. |
Právny rámec
|
3 |
Odôvodnenia 11, 74, 76, 83, 85 a 146 GDPR stanovujú:
…
…
…
…
…
|
|
4 |
Článok 2 tohto nariadenia s názvom „Vecná pôsobnosť“, nachádzajúci sa v kapitole I tohto nariadenia obsahujúcej „všeobecné ustanovenia“, stanovuje v odseku 1: „Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.“ |
|
5 |
Článok 4 tohto nariadenia s názvom „Vymedzenie pojmov“ stanovuje: „Na účely tohto nariadenia:
…
…
…
…“ |
|
6 |
Kapitola II GDPR s názvom „Zásady“ obsahuje články 5 až 11. |
|
7 |
Článok 5 tohto nariadenia s názvom „Zásady spracúvania osobných údajov“ stanovuje: „1. Osobné údaje musia byť: …
2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“ |
|
8 |
Článok 6 tohto nariadenia s názvom „Zákonnosť spracúvania“ definuje v odseku 1 podmienky, ktoré musia byť splnené na účely toho, aby bolo spracúvanie zákonné. |
|
9 |
Kapitola IV GDPR s názvom „Prevádzkovateľ a sprostredkovateľ“ obsahuje články 24 až 43. |
|
10 |
Článok 24 s názvom „Zodpovednosť prevádzkovateľa“, nachádzajúci sa v oddiele 1 tejto kapitoly IV nazvanom „Všeobecné povinnosti“, stanovuje v odsekoch 1 a 2: „1. S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú. 2. Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.“ |
|
11 |
Článok 32 GDPR s názvom „Bezpečnosť spracúvania“, nachádzajúci sa v oddiele 2 tejto kapitoly IV nazvanom „Bezpečnosť osobných údajov“, stanovuje v odseku 1 písm. b) a odseku 2: „1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj: …
… 2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.“ |
|
12 |
Kapitola VIII GDPR s názvom „Prostriedky nápravy, zodpovednosť a sankcie“ obsahuje články 77 až 84 tohto nariadenia. |
|
13 |
Článok 82 tohto nariadenia s názvom „Právo na náhradu škody a zodpovednosť“ stanovuje: „1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa. 2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. … 3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu. …“ |
|
14 |
Článok 83 GDPR s názvom „Všeobecné podmienky ukladania správnych pokút“ stanovuje: „1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce. 2. … Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:
…
…
3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie. …“ |
|
15 |
Článok 84 tohto nariadenia s názvom „Sankcie“ stanovuje v odseku 1: „Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“ |
Spor vo veci samej a prejudiciálne otázky
|
16 |
Žalobca vo veci samej navštívil obchodné priestory spoločnosti Saturn, kde si kúpil elektrospotrebič. Na tento účel vyhotovil zamestnanec tohto podniku kúpnu zmluvu a zmluvu o úvere. Pri tejto príležitosti vložil do informačného systému podniku Saturn viacero osobných údajov tohto zákazníka, a to jeho meno a priezvisko, adresu, miesto bydliska, názov zamestnávateľa, jeho príjmy, ako aj bankové údaje. |
|
17 |
Zmluvné dokumenty obsahujúce tieto osobné údaje boli vytlačené a podpísané oboma zmluvnými stranami. Žalobca vo veci samej ich následne odovzdal zamestnancom Saturnu pracujúcim na výdajnom mieste. Iný zákazník, ktorý nenápadne predbehol žalobcu vo veci samej, vtedy omylom prevzal tak spotrebič, ktorý si žalobca objednal, ako aj dotknuté dokumenty a všetko odniesol. |
|
18 |
Vzhľadom na to, že omyl bol rýchlo zistený, zamestnanec Saturnu dosiahol vrátenie prístroja a dokumentov a ich odovzdanie žalobcovi vo veci samej do polhodiny od ich vydania druhému zákazníkovi. Podnik chcel odškodniť žalobcu vo veci samej za toto pochybenie tým, že mu bezodplatne doručí dotknutý spotrebič na adresu jeho bydliska, ale žalobca považoval túto náhradu škody za nedostatočnú. |
|
19 |
Žalobca vo veci samej podal na Amtsgericht Hagen (Okresný súd Hagen, Nemecko), ktorý je v prejednávanej veci vnútroštátnym súdom, žalobu smerujúcu k získaniu náhrady nemajetkovej ujmy najmä na základe ustanovení GDPR, ktorú údajne utrpel z dôvodu pochybenia spôsobeného zamestnancami Saturnu a z toho vyplývajúceho rizika straty kontroly nad svojimi osobnými údajmi. |
|
20 |
Saturn na svoju obranu na jednej strane uvádza, že nedošlo k porušeniu GDPR a že k tomuto porušeniu by mohlo dôjsť len v prípade, ak by sa prekročila určitá miera závažnosti, ktorá v danom prípade nebola dosiahnutá. Tento podnik na druhej strane uvádza, že žalobca vo veci samej neutrpel žiadnu ujmu, keďže nebolo zistené a ani len tvrdené, že by dotknutá tretia strana zneužila osobné údaje žalobcu. |
|
21 |
Vnútroštátny súd sa po prvé pýta na platnosť článku 82 GDPR, lebo tento článok sa mu zdá byť neurčitý, pokiaľ ide o jeho právne účinky v prípade náhrady nemajetkovej ujmy. |
|
22 |
Po druhé vnútroštátny súd sa pýta, že ak by Súdny dvor nevyhlásil článok 82 za neplatný, či výkon práva na náhradu škody, ktoré stanovuje, predpokladá preukázanie nielen existencie porušenia GDPR, ale aj ujmy, konkrétne nemajetkovej, ktorú utrpela osoba žiadajúca náhradu. |
|
23 |
Po tretie vnútroštátny súd sa pýta, či samotná skutočnosť, že vytlačené dokumenty obsahujúce osobné údaje boli neoprávnene poskytnuté tretej strane v dôsledku pochybenia spôsobeného zamestnancami prevádzkovateľa, môže predstavovať porušenie GDPR. |
|
24 |
Po štvrté domnievajúc sa, že „[žalovaný] podnik musí niesť dôkazné bremeno o svojej nevine“, sa tento súd pýta, či na to, aby došlo k porušeniu GDPR, stačí konštatovať, že k takémuto odovzdaniu dokumentov došlo z nedbanlivosti, osobitne so zreteľom na povinnosť prevádzkovateľa prijať primerané opatrenia na zaistenie bezpečnosti spracúvaných údajov podľa článkov 2, 5, 6 a 24 tohto nariadenia. |
|
25 |
Po piate sa vnútroštátny súd pýta, či aj v prípade, keď sa zdá, že neoprávnená tretia strana sa neoboznámila s dotknutými osobnými údajmi pred vrátením dokumentov, v ktorých sa tieto údaje nachádzali, možno preukázať existenciu „nemajetkovej ujmy“ v zmysle článku 82 GDPR na základe samotnej skutočnosti, že osoba, ktorej údaje boli takto poskytnuté, má obavy vo vzťahu k riziku, ktoré podľa tohto súdu nemožno vylúčiť, že tieto údaje budú v budúcnosti touto treťou stranou sprístupnené ďalším osobám, či dokonca zneužité. |
|
26 |
Po šieste tento súd sa pýta na prípadný vplyv, ktorý má v rámci žaloby na náhradu nemajetkovej ujmy založenej na článku 82 miera závažnosti porušenia spáchaného za takých okolností, o aké ide vo veci samej, vzhľadom na skutočnosť, že podľa jeho názoru mohol prevádzkovateľ prijať účinnejšie bezpečnostné opatrenia. |
|
27 |
Napokon po siedme sa vnútroštátny súd pýta na účel náhrady nemajetkovej ujmy stanovenej podľa GDPR, naznačujúc, že by mohla mať charakter sankcie zodpovedajúcej zmluvnej pokute. |
|
28 |
Za týchto podmienok Amtsgericht Hagen (Okresný súd Hagen) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
|
O prejudiciálnych otázkach
O prvej otázke
|
29 |
Vnútroštátny súd sa svojou prvou otázkou pýta, či je článok 82 GDPR neplatný, keďže nespresňuje právne následky, ktoré vyplývajú z titulu náhrady nemajetkovej ujmy. |
|
30 |
Európsky parlament tvrdí, že táto otázka je neprípustná, pretože vnútroštátny súd nesplnil požiadavky článku 94 písm. c) Rokovacieho poriadku Súdneho dvora, pričom tento vnútroštátny súd vznáša osobitne komplexnú otázku, a to posúdenie platnosti ustanovenia práva Únie. |
|
31 |
Podľa článku 94 písm. c) rokovacieho poriadku má návrh na začatie prejudiciálneho konania obsahovať okrem znenia prejudiciálnych otázok položených Súdnemu dvoru uvedenie dôvodov, pre ktoré sa vnútroštátny súd rozhodol položiť otázku o výklade alebo platnosti určitých ustanovení práva Únie. |
|
32 |
V tejto súvislosti je uvedenie dôvodov podania návrhu na začatie prejudiciálneho konania nevyhnutné nielen na to, aby Súdnemu dvoru umožnilo poskytnúť užitočné odpovede, ale aj na to, aby vládam členských štátov, ako aj ďalším dotknutým subjektom bola poskytnutá možnosť predložiť pripomienky v súlade s článkom 23 Štatútu Súdneho dvora Európskej únie. Konkrétnejšie, Súdny dvor skúma platnosť ustanovenia práva Únie vzhľadom na dôvody neplatnosti uvedené v návrhu na začatie prejudiciálneho konania, na základe čoho absencia uvedenia presných dôvodov, pre ktoré si vnútroštátny súd kladie otázku v tejto súvislosti, spôsobuje neprípustnosť otázok týkajúcich sa tejto platnosti (pozri v tomto zmysle rozsudky z 15. júna 2017, T.KUP,C‑349/16, EU:C:2017:469, body 16 až 18, a z 22. júna 2023, Vitol,C‑268/22, EU:C:2023:508, body 52 až 55). |
|
33 |
V prejednávanej veci však vnútroštátny súd neuvádza žiadnu konkrétnu skutočnosť, ktorá by Súdnemu dvoru umožnila preskúmať platnosť článku 82 GDPR. |
|
34 |
Prvú otázku preto treba vyhlásiť za neprípustnú. |
O tretej a štvrtej otázke
|
35 |
Vnútroštátny súd sa svojou treťou a štvrtou otázkou, ktoré treba preskúmať spoločne a v prvom rade, v podstate pýta, či sa články 5, 24, 32 a 82 GDPR majú pri spojenom čítaní vykladať v tom zmysle, že v rámci žaloby na náhradu škody založenej na tomto článku 82 skutočnosť, že zamestnanci prevádzkovateľa omylom poskytli neoprávnenej tretej strane dokument obsahujúci osobné údaje, postačuje sama osebe na prijatie záveru, že technické a organizačné opatrenia prijaté dotknutým prevádzkovateľom neboli „primerané“ v zmysle týchto článkov 24 a 32. |
|
36 |
Článok 24 GDPR stanovuje všeobecnú povinnosť prevádzkovateľa osobných údajov prijať primerané technické a organizačné opatrenia na zabezpečenie toho, aby sa uvedené spracúvanie vykonávalo v súlade s týmto nariadením a aby to bol schopný preukázať (rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, bod 24). |
|
37 |
Pokiaľ ide o článok 32 GDPR, ten spresňuje povinnosti prevádzkovateľa a prípadného sprostredkovateľa, pokiaľ ide o bezpečnosť tohto spracúvania. Odsek 1 tohto článku tak stanovuje, že tieto posledné uvedené subjekty musia prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú rizikám súvisiacim s týmto spracúvaním, pričom zohľadnia najnovšie poznatky, náklady na vykonanie, ako aj povahu, rozsah, kontext a účely dotknutého spracúvania. Rovnako odsek 2 uvedeného článku stanovuje, že pri posudzovaní primeranej úrovne bezpečnosti sa prihliada najmä na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov alebo neoprávneného prístupu k takýmto údajom (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, body 26 a 27). |
|
38 |
Zo znenia článkov 24 a 32 GDPR tak vyplýva, že primeranosť takýchto opatrení sa musí konkrétne posúdiť tak, že sa preskúma, či tieto opatrenia prijal prevádzkovateľ s prihliadnutím na jednotlivé kritériá stanovené v uvedených článkoch a na potreby ochrany údajov, ktoré sú osobitne vlastné dotknutému spracúvaniu, ako aj na riziká, ktoré toto spracúvanie prináša, a to o to viac, že uvedený prevádzkovateľ musí byť schopný preukázať súlad opatrení, ktoré prijal, s týmto nariadením, čo je možnosť, o ktorú by prišiel, ak by sa pripustila nevyvrátiteľná domnienka (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, body 30 až 32). |
|
39 |
Tento doslovný výklad je podporený výkladom uvedených článkov 24 a 32 v spojení s článkom 5 ods. 2 a článkom 82 tohto nariadenia so zreteľom na odôvodnenia 74, 76 a 83, z ktorého predovšetkým vyplýva, že prevádzkovateľ je povinný zmierniť riziká porušenia osobných údajov, a nie zabrániť akémukoľvek porušeniu týchto údajov (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, body 33 až 38). |
|
40 |
Súdny dvor preto vykladal články 24 a 32 GDPR v tom zmysle, že neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k takýmto údajom „tretími stranami“ v zmysle článku 4 bodu 10 tohto nariadenia samy osebe nepostačujú na konštatovanie, že technické a organizačné opatrenia prijaté daným prevádzkovateľom neboli „primerané“ v zmysle týchto článkov 24 a 32 (rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, bod 39). |
|
41 |
Pokiaľ ide o prejednávanú vec, skutočnosť, že zamestnanci prevádzkovateľa omylom poskytli neoprávnenej tretej strane dokument obsahujúci osobné údaje, môže naznačovať, že technické a organizačné opatrenia prijaté dotknutým prevádzkovateľom neboli „primerané“ v zmysle uvedených článkov 24 a 32. Táto okolnosť môže predovšetkým vyplývať z nedbanlivosti alebo z nedostatkov v organizácii prevádzkovateľa, ktorý konkrétnym spôsobom nezohľadňuje riziká spojené s daným spracúvaním údajov. |
|
42 |
V tejto súvislosti treba zdôrazniť, že z výkladu článkov 5, 24 a 32 GDPR v spojení s odôvodnením 74 vyplýva, že v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia dôkazné bremeno, pokiaľ ide o preukázanie toho, že osobné údaje sa spracúvajú tak, aby sa zaručila primeraná bezpečnosť osobných údajov v zmysle článku 5 ods. 1 písm. f) a článku 32 tohto nariadenia, nesie dotknutý prevádzkovateľ. Takéto rozloženie dôkazného bremena môže nielen motivovať prevádzkovateľov údajov k prijatiu bezpečnostných opatrení požadovaných v GDPR, ale aj zabezpečiť potrebný účinok práva na náhradu škody staveného v článku 82 tohto nariadenia a rešpektovať zámery normotvorcu Únie uvedené v jeho odôvodnení 11 (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, body 49 až 56). |
|
43 |
Súdny dvor preto vykladal zásadu zodpovednosti prevádzkovateľa stanovenú v článku 5 ods. 2 GDPR a konkretizovanú v článku 24 v tom zmysle, že v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia dotknutý prevádzkovateľ nesie dôkazné bremeno, pokiaľ ide o preukázanie primeranosti bezpečnostných opatrení, ktoré prijal na základe článku 32 uvedeného nariadenia (rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, bod 57). |
|
44 |
Vnútroštátny súd, na ktorý bola podaná takáto žaloba o náhradu škody založená na článku 82 GDPR, preto na účely určenia, či došlo k porušeniu povinnosti stanovenej týmto nariadením, nemôže prihliadať len na okolnosť, že zamestnanci prevádzkovateľa omylom poskytli neoprávnenej tretej strane dokument obsahujúci osobné údaje. Tento súd totiž musí zohľadniť aj všetky dôkazy, ktoré prevádzkovateľ predložil na preukázanie primeranej povahy technických a organizačných opatrení, ktoré prijal na účely splnenia svojich povinností podľa článkov 24 a 32 tohto nariadenia. |
|
45 |
Vzhľadom na predchádzajúce dôvody treba na tretiu a štvrtú otázku odpovedať tak, že články 5, 24, 32 a 82 GDPR sa majú spoločne vykladať v tom zmysle, že v rámci žaloby o náhradu škody založenej na článku 82 skutočnosť, že zamestnanci prevádzkovateľa omylom poskytli neoprávnenej tretej strane dokument obsahujúci osobné údaje, sama osebe nestačí na vyjadrenie záveru, že technické a organizačné opatrenia prijaté dotknutým prevádzkovateľom neboli „primerané“ v zmysle týchto článkov 24 a 32. |
O siedmej otázke
|
46 |
Vnútroštátny súd sa svojou siedmou otázkou v podstate pýta, či sa článok 82 GDPR má vykladať v tom zmysle, že právo na náhradu škody stanovené v tomto ustanovení plní, najmä v prípade nemajetkovej ujmy, sankčnú funkciu. |
|
47 |
Súdny dvor v tejto súvislosti rozhodol, že článok 82 GDPR nemá sankčnú, ale kompenzačnú funkciu na rozdiel od ostatných ustanovení tohto nariadenia, ktoré sa tiež nachádzajú v jeho kapitole VIII, a to článkov 83 a 84, ktoré majú v podstate sankčný účel, keďže umožňujú ukladať správne pokuty, ako aj iné sankcie. Vzťah medzi pravidlami stanovenými v tomto článku 82 a pravidlami stanovenými v uvedených článkoch 83 a 84 preukazuje, že medzi týmito dvoma kategóriami ustanovení existuje rozdiel, ale tiež sa vzájomne dopĺňajú, pokiaľ ide o motiváciu dodržiavať GDPR, pričom treba poznamenať, že právo každej osoby domáhať sa náhrady škody posilňuje vykonateľný charakter pravidiel ochrany stanovených týmto nariadením a môže odradiť od opakovaného protiprávneho konania [pozri v tomto zmysle rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracúvaním osobných údajov),C‑300/21, EU:C:2023:370, body 38 a 40, ako aj z 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, bod 85]. |
|
48 |
Súdny dvor spresnil, že keďže právo na náhradu škody stanovené v článku 82 ods. 1 GDPR nemá odrádzajúcu, ani dokonca sankčnú funkciu, ale plní kompenzačnú funkciu, závažnosť porušenia tohto nariadenia, ktoré spôsobilo dotknutú ujmu, nemôže mať vplyv na výšku náhrady škody priznanej na základe tohto ustanovenia, aj keď nejde o majetkovú, ale nemajetkovú ujmu, na základe čoho táto suma nemôže byť stanovená na úrovni presahujúcej úplnú náhradu tejto ujmy (pozri v tomto zmysle rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, body 86 a 87). |
|
49 |
Z vyššie uvedeného vyplýva, že nie je potrebné rozhodnúť o priblížení, o ktorom uvažuje vnútroštátny súd, medzi účelom sledovaným právom na náhradu škody zakotveným v tomto článku 82 ods. 1 a sankčnou funkciou zmluvnej pokuty. |
|
50 |
Z tohto dôvodu treba na siedmu otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že právo na náhradu škody stanovené v tomto ustanovení plní, najmä v prípade nemajetkovej ujmy, kompenzačnú a nie sankčnú funkciu v tom zmysle, že peňažná náhrada založená na tomto ustanovení musí umožniť v plnej miere nahradiť škodu, ktorá konkrétne vznikla z dôvodu porušenia tohto nariadenia. |
O šiestej otázke
|
51 |
Vnútroštátny súd sa svojou šiestou otázkou v podstate pýta, či sa článok 82 GDPR má vykladať v tom zmysle, že tento článok vyžaduje, aby na účely náhrady škody na základe tohto ustanovenia bola zohľadnená miera závažnosti porušenia tohto nariadenia spôsobeného prevádzkovateľom. |
|
52 |
V tejto súvislosti z článku 82 GDPR vyplýva, že na jednej strane vznik zodpovednosti prevádzkovateľa je podmienený najmä existenciou jeho zavinenia, ktoré sa predpokladá, pokiaľ prevádzkovateľ nepreukáže, že udalosť, ktorá spôsobila škodu, mu nemožno nijako pripísať, a na druhej strane že článok 82 nevyžaduje, aby sa pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe tohto ustanovenia zohľadnil stupeň závažnosti tohto zavinenia (rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, bod 103). |
|
53 |
Pokiaľ ide o určenie výšky prípadnej náhrady škody podľa článku 82 GDPR, vzhľadom na to, že toto nariadenie neobsahuje ustanovenie, ktoré by to upravovalo, vnútroštátne súdy musia na účely tohto posúdenia uplatniť vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady škody, a to pri dodržaní zásad ekvivalencie a efektivity práva Únie (pozri v tomto zmysle rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, body 83 a 101, ako aj citovanú judikatúru). |
|
54 |
Súdny dvor okrem toho spresnil, že vzhľadom na kompenzačnú funkciu práva na náhradu škody, ktoré je stanovené v článku 82 GDPR, toto ustanovenie nevyžaduje, aby sa pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe tohto ustanovenia zohľadnil stupeň závažnosti porušenia tohto nariadenia, ktorého sa údajne dopustil prevádzkovateľ, ale vyžaduje, aby bola táto suma stanovená tak, aby v celom rozsahu nahradila ujmu, ktorá bola konkrétne spôsobená porušením uvedeného nariadenia (pozri v tomto zmysle rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, body 84 až 87 a 102, ako aj citovanú judikatúru). |
|
55 |
Vzhľadom na predchádzajúce dôvody treba na šiestu otázku odpovedať tak, že článok 82 GDPR sa má vykladať v tom zmysle, že tento článok nevyžaduje, aby sa na účely náhrady škody na základe tohto ustanovenia zohľadnil stupeň závažnosti porušenia spôsobeného prevádzkovateľom. |
O druhej otázke
|
56 |
Vnútroštátny súd sa svojou druhou otázkou v podstate pýta, či sa článok 82 ods. 1 GDPR má vykladať v tom zmysle, že osoba žiadajúca náhradu škody podľa tohto ustanovenia je povinná preukázať nielen porušenie ustanovení tohto nariadenia, ale aj to, že toto porušenie jej spôsobilo majetkovú alebo nemajetkovú ujmu. |
|
57 |
V tejto súvislosti treba pripomenúť, že podľa článku 82 ods. 1 GDPR „každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa“. |
|
58 |
Zo znenia tohto ustanovenia vyplýva, že samotné porušenie GDPR nestačí na priznanie práva na náhradu škody. Existencia „ujmy“ alebo „škody“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v článku 82 ods. 1, rovnako ako aj existencia porušenia tohto nariadenia a príčinná súvislosť medzi touto ujmou a týmto porušením, pričom tieto tri podmienky sú kumulatívne [pozri v tomto zmysle rozsudky zo 4. mája 2023,Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov),C‑300/21, EU:C:2023:370, body 32 a 42; zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, bod 77; zo 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, bod 14, ako aj z 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, bod 82]. |
|
59 |
Pokiaľ ide konkrétne o nemajetkovú ujmu, Súdny dvor tiež rozhodol, že článok 82 ods. 1 GDPR bráni vnútroštátnej norme alebo praxi, ktorá podmieňuje náhradu nemajetkovej ujmy v zmysle tohto ustanovenia tým, že ujma spôsobená dotknutej osobe, tak ako je definovaná v článku 4 bode 1 tohto nariadenia, musí dosiahnuť určitý stupeň závažnosti [pozri v tomto zmysle rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov),C‑300/21, EU:C:2023:370, bod 51; zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, bod 78, ako aj zo 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, bod 16]. |
|
60 |
Súdny dvor spresnil, že osoba dotknutá porušením GDPR, ktoré malo pre ňu negatívne dôsledky, je však povinná preukázať, že tieto dôsledky predstavujú nemajetkovú ujmu v zmysle článku 82 tohto nariadenia, pretože samotné porušenie ustanovení tohto nariadenia nestačí na priznanie práva na náhradu škody [pozri v tomto zmysle rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov),C‑300/21, EU:C:2023:370, body 42 a 50; zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, bod 84, ako aj zo 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, body 21 a 23]. |
|
61 |
Vzhľadom na predchádzajúce dôvody treba na druhú otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že osoba žiadajúca náhradu škody na základe tohto ustanovenia musí preukázať nielen porušenie ustanovení tohto nariadenia, ale aj to, že toto porušenie jej spôsobilo majetkovú alebo nemajetkovú ujmu. |
O piatej otázke
|
62 |
Vnútroštátny súd sa svojou piatou otázkou v podstate pýta, či sa článok 82 ods. 1 GDPR má vykladať v tom zmysle, že v prípade, keď bol dokument obsahujúci osobné údaje poskytnutý neoprávnenej tretej strane, o ktorej je preukázané, že sa s týmito údajmi neoboznámila, „nemajetková ujma“ v zmysle tohto ustanovenia môže vzniknúť na základe samotnej skutočnosti, že dotknutá osoba sa obáva, že v dôsledku tohto poskytnutia, pri ktorom mohlo dôjsť k vytvoreniu kópie daného dokumentu pred jeho vrátením, by v budúcnosti mohlo dôjsť k rozšíreniu alebo dokonca k zneužitiu jej údajov. |
|
63 |
Treba spresniť, že tento súd uvádza, že v prejednávanej veci bol dokument obsahujúci dotknuté údaje vrátený žalobcovi vo veci samej do polhodiny od poskytnutia dokumentu neoprávnenej tretej strane a že táto sa neoboznámila s danými údajmi pred vrátením dokumentu, ale daný žalobca uvádza, že toto poskytnutie umožnilo tejto tretej strane vytvoriť kópie dokumentu pred jeho vrátením, čo v ňom teda vyvolalo obavu súvisiacu s rizikom, že v budúcnosti dôjde k zneužitiu týchto údajov. |
|
64 |
Vzhľadom na to, že článok 82 ods. 1 GDPR neobsahuje nijaký odkaz na vnútroštátne právo členských štátov, pojem „nemajetková ujma“ v zmysle tohto ustanovenia musí mať autonómnu a jednotnú definíciu vlastnú právu Únie [pozri v tomto zmysle rozsudky zo 4. mája 2023,Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov),C‑300/21, EU:C:2023:370, body 30 a 44, ako aj zo 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, bod 15]. |
|
65 |
Súdny dvor rozhodol, že nielen zo znenia článku 82 ods. 1 GDPR v spojení s odôvodneniami 85 a 146 tohto nariadenia, ktoré vyzývajú prijať širší význam pojmu „nemajetková ujma“ v zmysle tohto prvého uvedeného ustanovenia, ale tiež z cieľa pozostávajúceho zo zabezpečenia vysokej úrovne ochrany fyzických osôb pri spracúvaní ich osobných údajov, ktorý je sledovaný týmto nariadením, vyplýva, že obava z možného zneužitia osobných údajov tretími stranami, ktorú má dotknutá osoba v dôsledku porušenia tohto nariadenia, môže sama osebe predstavovať „nemajetkovú ujmu“ v zmysle tohto článku 82 ods. 1 (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite,C‑340/21, EU:C:2023:986, body 79 až 86). |
|
66 |
Okrem toho Súdny dvor sa na základe doslovného, systematického a teleologického výkladu domnieval, že strata kontroly nad osobnými údajmi počas krátkeho časového obdobia môže dotknutej osobe spôsobiť „nemajetkovú ujmu“ v zmysle článku 82 ods. 1 GDPR, ktorá zakladá právo na náhradu ujmy, za podmienky, že táto osoba preukáže, že skutočne utrpela takúto ujmu, hoci aj minimálnu, keďže samotné porušenie ustanovení tohto nariadenia nestačí na priznanie práva na náhradu škody na tomto základe (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, body 18 až 23). |
|
67 |
Rovnako treba v prejednávanej veci uviesť, že je v súlade so znením článku 82 ods. 1 GDPR, ako aj s cieľom ochrany sledovaným týmto nariadením, že pojem „nemajetková ujma“ zahŕňa situáciu, v ktorej dotknutá osoba cíti odôvodnené znepokojenie – čo prináleží overiť vnútroštátnemu súdu, ktorému bola vec predložená –, že niektoré z jej osobných údajov budú v budúcnosti rozšírené alebo zneužité tretími stranami, z dôvodu, že dokument obsahujúci dané údaje bol poskytnutý neoprávnenej tretej strane, ktorá si pred vrátením dokumentu mohla urobiť jeho kópie. |
|
68 |
Platí však, že osoba, ktorá podala žalobu o náhradu škody na základe článku 82 GDPR, musí preukázať existenciu tejto škody. Konkrétne, čisto hypotetické riziko zneužitia neoprávnenými tretími stranami nemôže viesť k náhrade škody. Je to tak v prípade, keď sa žiadna tretia strana neoboznámila s dotknutými osobnými údajmi. |
|
69 |
Na piatu otázku treba preto odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že v prípade, keď bol dokument obsahujúci osobné údaje poskytnutý neoprávnenej tretej strane, o ktorej je preukázané, že sa s týmito údajmi neoboznámila, „nemajetková ujma“ v zmysle tohto ustanovenia nevznikne len na základe samotnej skutočnosti, že dotknutá osoba sa obáva, že v dôsledku tohto poskytnutia, umožňujúceho vykonať kópiu daného dokumentu pred jeho vrátením, dôjde v budúcnosti k šíreniu alebo dokonca zneužitiu jej údajov. |
O trovách
|
70 |
Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené. |
|
Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto: |
|
|
|
|
|
|
Podpisy |
( *1 ) Jazyk konania: nemčina.