62024CC0526

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
EUR-Lex - 62024CC0526 - EN

Help

Search tips

Need more search options? Use the Advanced search

Document 62024CC0526

Help

Sklepni predlogi generalnega pravobranilca M. Szpunarja, predstavljeni 18. septembra 2025.

ECLI identifier: ECLI:EU:C:2025:723

Language of the case

HTML

Začasna izdaja

SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA

MACIEJA SZPUNARJA,

predstavljeni 18. septembra 2025(1)

Zadeva C‑526/24

Brillen Rottler GmbH & Co. KG

proti

(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Amtsgericht Arnsberg (okrajno sodišče v Arnsbergu, Nemčija))

„ Predhodno odločanje – Uredba (EU) 2016/679 – Varstvo osebnih podatkov – Zahteva posameznika za dostop do osebnih podatkov, ki se nanašajo nanj – Pravica upravljavca, da zavrne ukrepanje v zvezi z zahtevo – Pretirana narava zahteve – Zloraba pravice – Pravica do odškodnine – Dogodek, zaradi katerega je škoda nastala “

I. Uvod

1. Kadar pravni red posamezniku podeljuje subjektivno pravico, se mora uresničevanje te pravice načeloma šteti za zakonito. Če pa način uresničevanja te pravice ni združljiv s cilji določbe, ki to pravico potrjuje, se v pravnem redu lahko določijo omejitve, med drugim z mehanizmom zlorabe pravice.(2)

2. S tega vidika v pravu Unije obstaja splošno pravno načelo, v skladu s katerim se pravni subjekti ne morejo z namenom goljufije ali zlorabe sklicevati na določbe prava Unije in ki se uporablja tudi v zasebnopravnih razmerjih.(3)

3. Ta zadeva se nanaša na poseben izraz tega načela v sekundarni zakonodaji in, natančneje, v okviru private enforcement Uredbe (EU) 2016/679(4) (v nadaljevanju: SUVP). Sodišče je pozvano, naj pojasni med drugim omejitve uresničevanja pravice dostopa in pravice do odškodnine, na kateri se posameznik, na katerega se nanašajo osebni podatki, v razmerju do podjetja zasebnega prava kot upravljavca sklicuje domnevno z namenom zlorabe.

II. Pravo Unije: SUVP

4. V uvodnih izjavah 10, 11, 60, 63, 141 in 146 SUVP je navedeno:

„(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]

(11) Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke […]

[…]

(60) Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih. Upravljavec bi moral posamezniku, na katerega se nanašajo osebni podatki, zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov. […]

[…]

(63) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. […] Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave. […]

[…]

(141) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu, zlasti v državi članici svojega običajnega prebivališča, in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine [Evropske unije o temeljnih pravicah], kadar meni, da so njegove pravice iz te uredbe kršene […]

[…]

(146) Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo. Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo. Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki, v celoti odraža cilje te uredbe. […] Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli. […]“

5. V členu 4, točka 2, te uredbe je pojem „obdelava“ opredeljen kot „vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje“.

6. Člen 12 navedene uredbe, naslovljen „Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki“, v odstavkih 1 in 5 določa:

„1. Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo […].

[…]

5. Informacije, zagotovljene na podlagi členov 13 in 14, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 15 do 22 in 34, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko upravljavec:

(a) zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali

(b) zavrne ukrepanje v zvezi z zahtevo.

Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

[…]“

7. Člen 15 te uredbe, naslovljen „Pravica dostopa posameznika, na katerega se nanašajo osebni podatki“, v odstavku 1 določa:

„Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu [to] tako, dostop do osebnih podatkov […].“

8. Člen 57 SUVP, naslovljen „Naloge“, v odstavku 4 določa:

„Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na administrativne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.“

9. Člen 79 te uredbe, naslovljen „Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca“, v odstavku 1 določa:

„Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.“

10. Člen 80 navedene uredbe, naslovljen „Zastopanje posameznikov, na katere se nanašajo osebni podatki“, v odstavku 2 določa:

„Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.“

11. Člen 82 te uredbe, naslovljen „Pravica do odškodnine in odgovornost“, v odstavkih od 1 do 3 določa:

„1. Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2. Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.

3. Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.“

III. Spor o glavni stvari, vprašanja za predhodno odločanje in postopek pred Sodiščem

12. TC, tožena stranka v postopku v glavni stvari, je fizična oseba, ki živi na Dunaju (Avstrija), in se je marca 2023 prijavila na elektronske novice družbe Brillen Rottler GmbH & Co. KG (v nadaljevanju: Brillen Rottler), družinske optike s sedežem v Arnsbergu (Nemčija). Osebne podatke je vnesla v obrazec za prijavo na spletni strani podjetja in privolila v njihovo obdelavo. Trinajst dni pozneje je tožena stranka v postopku v glavni stvari družbi Brillen Rottler poslala zahtevo za dostop na podlagi člena 15 SUVP.

13. Družba Brillen Rottler je to zahtevo pravočasno zavrnila, ker je menila, da gre za zlorabo v smislu člena 12(5), drugi stavek, SUVP, in toženo stranko v postopku v glavni stvari pozvala, naj se ji dokončno odpove. Ta je vztrajala pri svoji zahtevi za dostop, ki ji je dodala odškodninski zahtevek na podlagi člena 82 te uredbe v višini 1000 EUR.

14. Družba Brillen Rottler je pri predložitvenem sodišču vložila predlog za ugotovitev, da tožena stranka v postopku v glavni stvari nima pravice zahtevati odškodnino. Trdila je, da je iz različnih spletnih poročil in člankov na odvetniških blogih razvidno, da tožena stranka v postopku v glavni stvari sistematično in z namenom zlorabe vlaga zahteve za dostop zgolj z namenom, da bi dobila odškodnino zaradi kršitve SUVP, ki jo sama namerno povzroča z enakim načinom delovanja: prijavi se na elektronske novice, najprej vloži zahtevo za dostop in nato odškodninski zahtevek.

15. Tožena stranka v postopku v glavni stvari je 25. septembra 2023 pri predložitvenem sodišču vložila nasprotno tožbo, v kateri je predlagala, naj se družbi Brillen Rottler naloži, da ji omogoči dostop do informacij o obdelavi njenih podatkov in plača odškodnino na podlagi člena 82 SUVP za nepremoženjsko škodo, ki jo je utrpela. Trdila je, da se pravica dostopa, ki ji jo podeljuje člen 15 te uredbe, lahko uresničuje brezpogojno in da je redno v Nemčiji, tako da ima legitimen interes za prijavo na elektronske novice družbe Brillen Rottler.

16. Predložitveno sodišče meni, da bi ob upoštevanju načela preglednosti obdelave osebnih podatkov omejitev pravice dostopa v primeru prve zahteve morala ostati izjema in da to, da je namen vložnika, da bi nato lahko dobil odškodnino, ne more biti zadosten razlog za zavrnitev. Po presoji tega sodišča ob upoštevanju tveganja, da bi upravljavec lahko zlorabil to možnost zavrnitve, uporaba javnih informacij, ki kažejo, da posameznik, na katerega se nanašajo osebni podatki, vlaga številne zahteve, sama po sebi ne more zadostovati za utemeljitev zavrnitve zahteve za dostop.

17. Predložitveno sodišče glede odškodninskega zahtevka meni, da lahko vsaka kršitev SUVP s strani upravljavca daje pravico do odškodnine, tudi če ni bilo obdelave podatkov. Posameznik, na katerega se nanašajo osebni podatki, bi torej lahko imel pravico do odškodnine na podlagi člena 82(1) SUVP tudi zaradi kršitve njegove pravice dostopa.

18. V teh okoliščinah je Amtsgericht Arnsberg (okrajno sodišče v Arnsbergu, Nemčija) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1. Ali je treba člen 12(5), drugi stavek, [SUVP] razlagati tako, da zahteva za dostop posameznika, na katerega se nanašajo osebni podatki, ne more biti pretirana, če gre za prvo zahtevo, ki je naslovljena na upravljavca?

2. Ali je treba člen 12(5), drugi stavek, SUVP razlagati tako, da lahko upravljavec zavrne zahtevo posameznika, na katerega se nanašajo osebni podatki, za dostop, če je ta posameznik tako zahtevo vložil z namenom, da bi nato zoper upravljavca vložil odškodninski zahtevek?

3. Ali je treba člen 12(5), drugi stavek, SUVP razlagati tako, da lahko javno dostopne informacije o posamezniku, na katerega se nanašajo osebni podatki, na podlagi katerih je mogoče sklepati, da ta posameznik proti upravljavcem pogosto uveljavlja odškodninske zahtevke zaradi kršitve varstva podatkov, upravičijo zavrnitev dostopa do informacij?

4. Ali je treba člen 4, točka 2, SUVP razlagati tako, da zahteva za dostop, ki jo v skladu s členom 15(1) SUVP posameznik, na katerega se nanašajo osebni podatki, naslovi na upravljavca, in/ali odgovor nanjo pomeni obdelavo v smislu člena 4, točka 2, SUVP?

5. Ali je treba člen 82(1) SUVP v povezavi z uvodno izjavo 146, prvi stavek, SUVP razlagati tako, da se lahko povrne le škoda, ki jo posameznik, na katerega se nanašajo osebni podatki, utrpi ali jo je utrpel zaradi obdelave? Ali to pomeni, da je pogoj za uveljavljanje pravice do odškodnine na podlagi člena 82(1) SUVP – ob predpostavki obstoja vzročne škode za posameznika, na katerega se nanašajo osebni podatki – ta, da je prišlo do obdelave osebnih podatkov posameznika, na katerega se nanašajo osebni podatki?

6. Če je odgovor na peto vprašanje pritrdilen: ali to pomeni, da posameznik, na katerega se nanašajo osebni podatki – ob predpostavki obstoja vzročne škode – nima pravice do odškodnine na podlagi člena 82(1) SUVP, če je bila kršena le njegova pravica do dostopa iz člena 15(1) SUVP?

7. Ali je treba člen 82(1) SUVP razlagati tako, da ugovor upravljavca, da gre pri zahtevi za dostop, ki jo je vložil posameznik, na katerega se nanašajo osebni podatki, za zlorabo pravice, glede na pravo Unije ne more temeljiti na dejstvu, da je posameznik, na katerega se nanašajo osebni podatki, povzročil obdelavo svojih osebnih podatkov izključno ali med drugim zato, da bi uveljavljal odškodninske zahtevke?

8. Če je odgovor na peto in šesto vprašanje nikalen: ali izguba nadzora in/ali negotovost glede obdelave osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ki izhajata iz kršitve člena 15(1) SUVP, sami po sebi zadostujeta za to, da posamezniku, na katerega se nanašajo osebni podatki, nastane nepremoženjska škoda v smislu člena 82(1) SUVP, ali pa morata biti za nastanek take škode podana še dodatna (objektivna ali subjektivna) omejitev in/ali (občuten) poseg v položaj posameznika, na katerega se nanašajo osebni podatki?“

19. Družba Brillen Rottler, tožena stranka v postopku v glavni stvari in Evropska komisija so predložile pisna stališča in se udeležile obravnave z dne 5. junija 2025.

20. V skladu z zahtevo Sodišča bodo ti sklepni predlogi omejeni na analizo prvega do sedmega vprašanja za predhodno odločanje.

IV. Analiza

A. Prvo, drugo, tretje in sedmo vprašanje za predhodno odločanje

1. Preoblikovanje vprašanj

21. Predložitveno sodišče želi s prvim, drugim in tretjim vprašanjem, ki jih je po mojem mnenju mogoče obravnavati skupaj, v bistvu izvedeti, ali je prva zahteva za dostop lahko opredeljena kot „pretirana“ v smislu člena 12(5), drugi stavek, SUVP, če jo je posameznik, na katerega se nanašajo osebni podatki, vložil, da bi lahko nato dobil odškodnino od upravljavca, in je iz javno dostopnih informacij razvidno, da ta posameznik proti upravljavcem pogosto uveljavlja odškodninske zahtevke zaradi kršitve varstva podatkov.

22. To sodišče s sedmim vprašanjem v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da ugovor upravljavca, da gre pri zahtevi za dostop, ki jo je vložil posameznik, na katerega se nanašajo osebni podatki, za zlorabo pravice, ne more temeljiti na dejstvu, da je posameznik, na katerega se nanašajo osebni podatki, povzročil obdelavo svojih osebnih podatkov izključno ali med drugim zato, da bi uveljavljal odškodninske zahtevke.

23. Čeprav se to vprašanje formalno nanaša na razlago člena 82(1) SUVP, menim, da njegov namen ni razlaga pogojev za pravico do odškodnine, določeno v tem členu. Ne nanaša se namreč na nobenega od teh pogojev, v nasprotju s četrtim, petim, šestim in osmim vprašanjem za predhodno odločanje, ki se nanašajo prav na navedeno določbo. Namen sedmega vprašanja, kot je oblikovano, je po mojem mnenju razjasniti, ali se upravljavec lahko sklicuje na pretirano naravo zahteve za dostop v smislu člena 12(5), drugi stavek, te uredbe, če je namen posameznika, na katerega se nanašajo osebni podatki, „povzročiti“ obdelavo njegovih podatkov, da bi uveljavljal odškodninske zahtevke.

24. Zato je treba ugotoviti, da se predložitveno sodišče s sedmim vprašanjem sklicuje na „način delovanja“, ki ga družba Brillen Rottler zatrjuje v zvezi s toženo stranko v postopku v glavni stvari, in sicer da s prijavo na elektronske novice privoli v obdelavo svojih podatkov, da bi lahko vložila zahtevo za dostop in nato odškodninski zahtevek. S tega vidika se to vprašanje nanaša na razlago člena 12(5), drugi stavek, SUVP, ki je predmet prvega, drugega in tretjega vprašanja za predhodno odločanje.

25. Zato predlagam, naj se prvo, drugo, tretje in sedmo vprašanje za predhodno odločanje obravnavajo skupaj, kot da je njihov namen ugotoviti, ali je treba člen 12(5), drugi stavek, SUVP razlagati tako, da se prva zahteva za dostop, ki se na podlagi člena 15 te uredbe vloži pri upravljavcu, lahko opredeli kot „pretirana“, če je:

– posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih podatkov, da bi lahko vložil to zahtevo za dostop in nato odškodninski zahtevek;

– iz javno dostopnih informacij o posamezniku, na katerega se nanašajo osebni podatki, razvidno, da posameznik, na katerega se nanašajo osebni podatki, pogosto uveljavlja odškodninske zahtevke proti upravljavcem zaradi kršitve varstva podatkov.

2. Analiza

a) Pretirana narava prve zahteve za dostop

26. V skladu s členom 12(5), prvi stavek, SUVP se „[i]nformacije, zagotovljene na podlagi členov 13 in 14, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 15 do 22 in 34, […] zagotovijo brezplačno“. Kot je Sodišče ugotovilo v sodbi FT (Kopije zdravstvene dokumentacije)(5), ta določba postavlja načelo, v skladu s katerim med drugim uresničevanje pravice dostopa posameznika, na katerega se nanašajo osebni podatki, do njegovih osebnih podatkov, ki se obdelujejo, in do z njimi povezanih informacij na podlagi člena 15 te uredbe posamezniku, na katerega se nanašajo osebni podatki, ne povzroči nobenega stroška.

27. Člen 12(5), drugi in tretji stavek, SUVP nato določa dva razloga, iz katerih lahko upravljavec bodisi zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške, bodisi zavrne ukrepanje v zvezi z zahtevo za dostop: če dokaže, da so zahteve posameznika, na katerega se nanašajo osebni podatki, „očitno neutemeljene ali pretirane, zlasti ker se ponavljajo“.

28. Iz besedila te določbe tako izhaja, da zahteva za dostop ne more biti pretirana izključno takrat, kadar se vloži več zahtev, saj je ponavljanje navedeno le informativno.

29. Čeprav torej po mojem mnenju ni mogoče izključiti, da se prva zahteva za dostop lahko šteje za pretirano, se vseeno strinjam z mnenjem predložitvenega sodišča, da se upravljavec na tako pretirano naravo lahko sklicuje le izjemoma.

30. Na prvem mestu, ker drugi stavek člena 12(5) SUVP uvaja izjemo od načela brezplačnega uresničevanja pravice dostopa, je treba možnost upravljavca, da zaračuna razumno pristojbino ali zavrne ukrepanje v zvezi z zahtevo za dostop, v skladu s splošnim načelom razlage(6) razlagati ozko.(7)

31. Na drugem mestu, opozoriti moram na temeljni pomen, ki ga ima pravica dostopa iz člena 15 SUVP pri zagotavljanju preglednosti načinov obdelave osebnih podatkov in posledično pri uresničevanju številnih drugih pravic, ki so s to uredbo podeljene posameznikom, na katere se nanašajo osebni podatki.(8) Poleg tega člen 8(2), drugi stavek, Listine o temeljnih pravicah določa načelo, v skladu s katerim ima „[v]sakdo […] pravico dostopa do podatkov, zbranih o njem, in pravico zahtevati, da se ti podatki popravijo“. Zato za uresničevanje pravice dostopa ne smejo veljati prestrogi pogoji.(9)

32. Pravica dostopa je namreč nujna, da bi lahko posameznik, na katerega se nanašajo osebni podatki, po potrebi uveljavljal pravico do popravka, pravico do izbrisa („pravica do pozabe“) in pravico do omejitve obdelave, ki jih ima na podlagi členov 16, 17 in 18 SUVP, pravico do ugovora obdelave osebnih podatkov, določeno v členu 21 te uredbe, ter pravico do pravnega sredstva in pravico do odškodnine iz člena 79 oziroma člena 82 navedene uredbe.(10)

33. Na tretjem mestu, izredna narava možnosti, da se zaračuna razumna pristojbina ali zavrne ukrepanje v zvezi z zahtevo za dostop na podlagi člena 12(5), drugi stavek, SUVP, je po mojem mnenju skladna s ciljem te uredbe. Kot je navedeno v uvodnih izjavah 10 in 11 navedene uredbe, je njen cilj zagotoviti dosledno in visoko raven varstva posameznikov v Uniji ter okrepiti in podrobneje opredeliti ne le pravice posameznikov, na katere se nanašajo osebni podatki,(11) temveč tudi obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov.

34. Glede na navedeno menim, da morajo biti merila za opredelitev prve zahteve za dostop kot „pretirane“ visoka.

b) Okoliščine, ki omogočajo opredelitev zahteve kot „pretirane“

35. Iz sodbe FT(12) je razvidno, da se oba razloga, ki uvajata izjemo od načela brezplačnosti – med drugim – uresničevanja pravice dostopa, nanašata na primere „zlorabe pravice“.

36. Vendar Sodišče v tej sodbi ni pojasnilo obsega tega pojma. V navedeni zadevi namreč ni bilo sporno, da posameznik, na katerega se nanašajo osebni podatki, zahteve za dostop ni vložil z namenom zlorabe.(13)

37. Sodba FT je temeljila na zahtevi pacienta, da od svoje doktorice dentalne medicine brezplačno pridobi prvo kopijo svoje zdravstvene kartoteke, da bi uveljavljal odgovornost te zdravnice zaradi domnevnih napak, storjenih pri zdravljenju.(14) Povsem legitimen namen pacienta je bil torej pridobiti dostop do svojih podatkov, da bi po potrebi lahko uveljavljal pravice, ki izhajajo iz pogodbe o zdravljenju v primeru zdravniških napak. V tem kontekstu je Sodišče na podlagi jezikovne, kontekstualne in teleološke razlage člena 12(5) in člena 15 SUVP ugotovilo, da ni nujno, da se navede eden od posebnih razlogov za utemeljitev zahteve za dostop, omenjenih v uvodni izjavi 63, prvi stavek, te uredbe, in sicer da se posameznik seznani z obdelavo podatkov in preveri njeno zakonitost.(15)

38. Čeprav posamezniku, na katerega se nanašajo osebni podatki, torej ni treba obrazložiti zahteve za dostop, to ne pomeni, da je upoštevanje njegovega namena vedno izključeno.

39. Sodišče je namreč v sodbi Österreichische Datenschutzbehörde na podlagi jezikovne, kontekstualne in teleološke razlage člena 57(4) SUVP razsodilo, da ugotovitev obstoja pretiranih pritožb zahteva, da se glede na vse upoštevne okoliščine vsakega obravnavanega primera dokaže namen zlorabe pri posamezniku, ki vloži pritožbo pri nadzornem organu.(16)

40. Ugotavljam, da imata člen 57(4) in člen 12(5), drugi stavek, SUVP enako besedilo in sledita istemu cilju, in sicer določiti izjemo od načela brezplačnosti nalog, ki jih opravljajo nadzorni organi, in uresničevanja med drugim pravice dostopa s strani posameznika, na katerega se nanašajo osebni podatki. Zato menim, da se razlaga iz prejšnje točke po analogiji uporablja za zadnjenavedeno določbo.(17)

41. Iz tega izhaja, da mora upravljavec, da bi lahko uporabil možnost iz člena 12(5), drugi stavek, SUVP, da zavrne ukrepanje v zvezi s pretirano zahtevo za dostop – ali glede na posamezen primer zaračuna razumno pristojbino – v skladu s tretjim stavkom te določbe glede na vse upoštevne okoliščine posamezne zahteve dokazati namen zlorabe pri posamezniku, na katerega se nanašajo osebni podatki.

42. Zloraba pravice je mehanizem, ki se izvaja v danih okoliščinah obravnavane zadeve. Tako bo predložitveno sodišče moralo preveriti, ali je družba Brillen Rottler ob upoštevanju okoliščin obravnavane zadeve dokazala, da je zahteva za dostop, ki jo je vložila tožena stranka v postopku v glavni stvari, pretirana.(18)

43. Nasprotno pa mora Sodišče pri svoji razlagi pojasniti, ali so nekatere okoliščine zajete s splošnim pravnim pojmom „pretirana narava“.

44. Predložitveno sodišče v konkretnem primeru sprašuje, ali je prvo zahtevo za dostop mogoče šteti za pretirano, če na eni strani posameznik, na katerega se nanašajo osebni podatki, sledi „načinu delovanja“, pri katerem dovoli obdelavo svojih podatkov in nato vloži zahtevo za dostop izključno – ali predvsem – z namenom uveljavljanja odškodninskih zahtevkov, in če je na drugi strani iz javno dostopnih informacij o posamezniku, na katerega se nanašajo osebni podatki, razvidno, da ta posameznik pogosto uveljavlja odškodninske zahtevke proti upravljavcem zaradi kršitve varstva podatkov.

45. V zvezi s tem je Sodišče v sodbi Österreichische Datenschutzbehörde ugotovilo, da člen 57(4) SUVP odraža ustaljeno sodno prakso o splošnem pravnem načelu, na podlagi katerega se pravni subjekti ne morejo sklicevati na določbe prava Unije z namenom goljufije ali zlorabe.(19) Ta sodna praksa določa preizkus v dveh fazah, ki za ugotovitev obstoja zlorabe zahteva, da sta podana objektivni in subjektivni element.(20) Kot sem že imel priložnost pojasniti,(21) kadar se zdi, da je cilj, zastavljen z ureditvijo Unije, a priori dosežen, je primerno analizo začeti ne z objektivnim, ampak s subjektivnim elementom, in torej opredeliti, kakšen namen je imela zadevna oseba. Ker je namen člena 15 SUVP zagotoviti dostop do podatkov, ki se obdelujejo, in do z njimi povezanih informacij, se mi ta cilj v obravnavanem primeru zdi a priori dosežen, ker je tožena stranka v postopku v glavni stvari vložila zahtevo za dostop do podatkov, ki so bili obdelani po njeni prijavi na elektronske novice družbe Brillen Rottler.

46. Sodišče je v sodbi Österreichische Datenschutzbehörde, da bi podalo razlago pojma „pretirana narava“ pritožbe, ugotovilo, da se namen zlorabe pri uresničevanju pravice do pritožbe lahko ugotovi, „kadar posameznik vloži pritožbe, ne da bi bilo to objektivno potrebno za varstvo pravic, ki jih ima na podlagi [SUVP]“.(22) Če je posameznik, na katerega se nanašajo osebni podatki, pri nadzornem organu vložil veliko pritožb, mora ta organ dokazati, da „tega števila ne pojasnjuje volja posameznika, na katerega se nanašajo osebni podatki, da doseže varstvo pravic, ki jih ima na podlagi SUVP, ampak drug cilj, ki ni povezan s tem varstvom“.(23)

47. Če se vrnem k pravici dostopa in, na prvem mestu, namenu posameznika, na katerega se nanašajo osebni podatki, da „povzroči“ pravico do odškodnine z vložitvijo zahteve za dostop, ugotavljam, kot je razvidno iz uvodne izjave 63 SUVP, da je lahko povsem legitimno in skladno s cilji, ki jim sledi člen 15 SUVP, vložiti na primer zahtevo za dostop, da bi se preverilo, ali je upravljavec podatke obdeloval nezakonito.(24) Poleg tega, kot je razvidno iz točke 32 teh sklepnih predlogov, je pravica dostopa nujna, da se posamezniku, na katerega se nanašajo osebni podatki, omogoči, da po potrebi uveljavlja tudi pravico do odškodnine.

48. Na drugem mestu, ugotavljam, da je obrazložitev sedmega vprašanja v zvezi z namenom posameznika, na katerega se nanašajo osebni podatki, da „povzroči“ obdelavo svojih osebnih podatkov izključno – ali predvsem – za namene pridobitve odškodnine, zelo jedrnata. Ta obrazložitev namiguje bolj na predpostavko, da naj bi bil resnični namen posameznika, na katerega se nanašajo osebni podatki, ki privoli v obdelavo svojih podatkov, „odkriti“ kršitev SUVP s tem, da vloži zahtevo za dostop, da bi nato vložil odškodninske zahtevke.

49. Ob upoštevanju te predpostavke se mi zdi, da posameznik, na katerega se nanašajo osebni podatki, z vložitvijo zahteve za dostop, potem ko je privolil v obdelavo svojih podatkov, v resnici ne želi dobiti dostopa do teh podatkov ali informacij iz člena 15 SUVP, temveč konfiguracijo pravic in obveznosti, ki izhajajo iz te uredbe – ki je najprej ugodna za posameznike, na katere se nanašajo osebni podatki – izrabiti kot instrument za druge namene, in ne za varstvo svojih podatkov.

50. Tako je zlasti lahko, kadar je namen posameznika, na katerega se nanašajo osebni podatki, pravzaprav doseči, da upravljavec zavrne zahtevo za dostop, da bi od njega zahteval takojšnje plačilo odškodnine, po potrebi ob grožnji, da bo vložil odškodninski zahtevek pri sodišču. Ob upoštevanju teh okoliščin bi tak namen po mojem mnenju pomenil zlorabo in ne bi smel biti varovan s SUVP. Na to kažejo tudi primeri zlorab sklicevanj na to uredbo, navedeni v Smernicah Evropskega odbora za varstvo podatkov.(25)

51. Na tretjem mestu, kar zadeva okoliščino, da je iz javno dostopnih informacij o posamezniku, na katerega se nanašajo osebni podatki, razvidno, da ta posameznik pogosto uveljavlja odškodninske zahtevke proti upravljavcem zaradi kršitve varstva podatkov, menim, da sama po sebi brez drugih elementov ni dovolj za dokaz namena zlorabe. Člen 82 SUVP podeljuje prav pravico zahtevati odškodnino v primeru kršitve te uredbe, tako da ni mogoče domnevati, da uresničevanje te pravice pomeni zlorabo.

52. Ugotavljam, da Sodišče v sodbi Österreichische Datenschutzbehörde tudi zgolj količine zahtev ni štelo za zadostno merilo za dokaz „pretirane“ narave. Sodišče je do te ugotovitve prišlo na podlagi razlage tega pojma ob upoštevanju posebnega konteksta nalog, ki jih opravljajo nadzorni organi, da bi zagotovili visoko raven varstva osebnih podatkov.(26) Objektivne okoliščine, ki jih je treba upoštevati, torej po mojem mnenju niso iste pri pritožbah in pri zahtevah za dostop, saj slednje niso naslovljene na nadzorni organ.

53. V zvezi s tem ugotavljam, da mora upravljavec dokazati namen zlorabe v primeru spora pred sodiščem ali pritožbe pred nadzornim organom, to je po tem, ko je zavrnil ukrepanje v zvezi z zahtevo posameznika, na katerega se nanašajo osebni podatki. V fazi, ko posameznik, na katerega se nanašajo osebni podatki, vloži zahtevo za dostop, pa mora presoditi, ali glede na okoliščine posameznik tako zahtevo vlaga z namenom zlorabe.

54. Da bi upravljavec glede na vse upoštevne okoliščine obravnavanega primera dokazal, da je namen posameznika, na katerega se nanašajo osebni podatki, zloraba, bi torej moral imeti možnost opreti se zlasti na predmet zahteve za dostop, čas, ki je pretekel od privolitve v obdelavo do te zahteve, število in naravo osebnih podatkov, na katere se nanaša navedena zahteva, ter dejavnost, v okviru katere te podatke po potrebi obdeluje.(27)

55. Ob upoštevanju navedenega predlagam, naj se na prvo, drugo, tretje in sedmo vprašanje za predhodno odločanje odgovori, da je treba člen 12(5), drugi stavek, SUVP razlagati tako, da:

– je prva zahteva za dostop, vložena na podlagi člena 15 SUVP pri upravljavcu, lahko opredeljena kot „pretirana“, če ta upravljavec glede na vse upoštevne okoliščine obravnavanega primera dokaže namen zlorabe pri posamezniku, na katerega se nanašajo osebni podatki, pri čemer se tak namen lahko ugotovi, če je ta posameznik privolil v obdelavo svojih osebnih podatkov, da bi lahko vložil to zahtevo za dostop in nato odškodninski zahtevek;

– za opredelitev take zahteve kot „pretirane“ ne zadostuje zgolj, da je iz javno dostopnih informacij o posamezniku, na katerega se nanašajo osebni podatki, razvidno, da ta posameznik pogosto uveljavlja odškodninske zahtevke proti upravljavcem zaradi kršitve varstva podatkov.

B. Četrto, peto in šesto vprašanje za predhodno odločanje

1. Vrstni red analize vprašanj in preoblikovanje vprašanj

56. Najprej poudarjam, da če bi predložitveno sodišče ugotovilo, da je bila zahteva za dostop pretirana v smislu člena 12(5), drugi stavek, SUVP, je družba Brillen Rottler dejansko upravičeno lahko ne ukrepala v zvezi s to zahtevo. V tem primeru trditve tožene stranke v postopku v glavni stvari, ki se nanaša na kršitev člena 15 SUVP, da bi dobila pravico do odškodnine na podlagi člena 82 te uredbe, ne bi bilo mogoče sprejeti.

57. Ne glede na to želi predložitveno sodišče s četrtim vprašanjem izvedeti, ali je treba člen 4, točka 2, SUVP razlagati tako, da zahteva za dostop, ki jo v skladu s členom 15(1) te uredbe posameznik, na katerega se nanašajo osebni podatki, naslovi na upravljavca, in/ali odgovor nanjo pomeni „obdelavo“ v smislu člena 4, točka 2, navedene uredbe.

58. To sodišče želi s petim vprašanjem v bistvu izvedeti, ali je treba člen 82(1) SUVP razlagati tako, da se lahko povrne le škoda, ki jo posameznik, na katerega se nanašajo osebni podatki, utrpi ali jo je utrpel zaradi obdelave svojih osebnih podatkov. Če je odgovor pritrdilen, želi navedeno sodišče s šestim vprašanjem izvedeti, ali ima posameznik, na katerega se nanašajo osebni podatki, pravico do odškodnine na podlagi člena 82(1) te uredbe zgolj zaradi kršitve njegove pravice dostopa iz člena 15(1) navedene uredbe.

59. Peto vprašanje je po mojem mnenju premisa, na kateri temeljita četrto in šesto vprašanje. Samo če je odgovornost za škodo na podlagi člena 82(1) SUVP odvisna od pogoja, da je ta škoda nastala „kot posledica“ obdelave, kot je opredeljena v členu 4, točka 2, te uredbe, je namreč treba pojasniti, ali je ob kršitvi pravice dostopa iz člena 15(1) navedene uredbe ta pogoj izpolnjen.

60. Zato bom najprej analiziral peto vprašanje in nato, če bo primerno, četrto in šesto vprašanje skupaj, da bi ugotovil, ali je treba člen 82(1) SUVP razlagati tako, da je škoda zaradi kršitve pravice dostopa „nastala zaradi obdelave“ podatkov.

2. Analiza

a) Dogodek, zaradi katerega je škoda nastala, v smislu člena 82 SUVP

61. V skladu s členom 82(1) SUVP ima „[v]sak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, […] pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo“.(28)

62. Sodišče je to določbo večkrat razlagalo tako, da zgolj kršitev SUVP ne zadostuje za priznanje pravice do odškodnine posamezniku, na katerega se nanašajo osebni podatki, na tej podlagi, ker morajo biti za to pravico izpolnjeni trije kumulativni pogoji, in sicer obstoj „škode“, bodisi premoženjske bodisi nepremoženjske, kršitev določb te uredbe ter obstoj vzročne zveze med to škodo in to kršitvijo.(29)

63. Predložitveno sodišče vseeno izraža pomisleke glede uvodne izjave 146 SUVP, v kateri je navedeno, da bi moral upravljavec ali obdelovalec povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo. Ugotoviti je treba, da se ta uvodna izjava, kot se pogosto dogaja,(30) odraža tudi v samem besedilu navedene uredbe, in sicer njenem členu 82(2), ki med drugim določa, da je vsak upravljavec, vključen v obdelavo, odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo.

64. Poleg tega je v skladu z odstavkom 3 te določbe upravljavec ali, glede na posamezen primer, obdelovalec izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki je povzročil škodo.

65. Ob branju teh določb se dejansko pojavljajo težave pri razumevanju njihovega medsebojnega razmerja in obsega člena 82 SUVP.

66. Ob upoštevanju besedila člena 82 SUVP bi bilo mogoče razumeti, da v nasprotju s tem, kar določa odstavek 1 tega člena, vsaka kršitev te uredbe ne daje pravice do odškodnine za škodo, nastalo zaradi te kršitve, da pa je morala, natančneje, škoda nastati zaradi obdelave podatkov, ki je v nasprotju s to uredbo, kot je navedeno v odstavku 2 tega člena.

67. Zdi se mi, da je to razlaga, ki jo je Sodišče podalo v več sodbah, začenši s sodbo Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov).(31) Vendar moram pojasniti, da so bili v zadevah, v katerih so bile izdane te sodbe, podatki posameznikov, na katere se nanašajo osebni podatki, dejansko obdelani, tako da vprašanje nujnosti obdelave, ki je povzročila škodo, ni bilo upoštevno.

68. Vendar zgodovina, cilji in kontekst člena 82 SUVP po mojem mnenju govorijo proti ozki razlagi pojma „dogodek, zaradi katerega je škoda nastala“ kot obdelave podatkov, ki je v nasprotju s to uredbo, in ne kot vsake kršitve te uredbe.

69. Na prvem mestu, ugotavljam, da je ustrezna določba Direktive 95/46/ES(32), in sicer člen 23, državam članicam nalagala, da določijo, da je katera koli oseba, ki je utrpela škodo kot posledico nezakonitega postopka obdelave ali katerega koli dejanja, ki je nezdružljivo z nacionalnimi določbami, sprejetimi v skladu s to direktivo, upravičena od upravljavca zahtevati odškodnino za to škodo.

70. Zakonodajalec Unije je tako v členu 82 SUVP na eni strani natančneje določil naravo nastale škode (premoženjska ali nepremoženjska) in na drugi strani uvedel odgovornost obdelovalca, ki v členu 23 Direktive 95/46 ni bil omenjen.

71. Če pa bi bilo treba člen 82(1) SUVP razlagati v smislu, navedenem v točki 66 teh sklepnih predlogov, bi to pomenilo, da je zakonodajalec Unije v primerjavi s to direktivo v SUVP omejil obseg odgovornosti za škodo le na nezakonito dejanje obdelave podatkov v nasprotju s to uredbo. Vendar menim, da če bi zakonodajalec želel znižati raven varstva podatkov v okviru private enforcement na podlagi navedene uredbe, bi bilo to jasneje izraženo v samem besedilu te uredbe.

72. Na drugem mestu, ogrožanje ravni varstva bi bilo v nasprotju s ciljem SUVP, ki je okrepiti in natančneje določiti pravice posameznikov, na katere se nanašajo osebni podatki, zlasti s krepitvijo orodij za zagotavljanje učinkovitosti določb te uredbe.(33)

73. Posledično zgodovina in cilj ureditve, v katero je umeščen člen 82 SUVP, po mojem mnenju kažeta na to, da se odstavek 2 tega člena ne razume kot omejitev odstavka 1, temveč kot dodatno pravilo. Tako menim, da pravica do odškodnine obstaja, če nastala škoda izhaja ali iz obdelave podatkov, ki krši to uredbo, ali iz druge kršitve navedene uredbe, pod pogojem, da je obstoj take škode dokazan.

74. Ta razlaga je združljiva tudi z ugotovitvijo, ki jo je Sodišče izpeljalo iz povezane razlage odstavkov od 1 do 3 člena 82 SUVP z vidika konteksta, v katerega je umeščen ta člen, in ciljev, ki jim sledi ta uredba, in sicer da ta člen določa ureditev krivdne odgovornosti, pri kateri dokazno breme nosi upravljavec.(34) Ker po mojem mnenju odstavek 2 člena 82 navedene uredbe namreč dopolnjuje odstavek 1, napotitev v odstavku 3, ki dokazno breme nalaga upravljavcu, na ta odstavek 2 implicitno pomeni napotitev tudi na odstavek 1. Če je škoda posledica kršitve SUVP ali, natančneje, obdelave v nasprotju s to uredbo, se torej uporabljajo ista pravila.

75. Na tretjem mestu, to ugotovitev potrjuje dejstvo, da je Sodišče dokaj široko razlagalo druge določbe SUVP, ki so tako kot člen 82 te uredbe del njenega poglavja VIII, naslovljenega „Pravna sredstva, odgovornost in kazni“, in v katerih je omenjena kršitev pravic, podeljenih z navedeno uredbo, „zaradi obdelave“. Kar zadeva člen 80(2) navedene uredbe, ki ureja procesno upravičenje za vložitev zastopniške tožbe neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, je Sodišče to določbo razlagalo tako, da mora biti zatrjevano, da je do kršitve pravic, podeljenih s SUVP, prišlo „pri“ obdelavi.(35)

76. Poleg tega člen 79(1) SUVP določa, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo. Iz sodne prakse Sodišča izhaja, da morajo biti konkretna podrobna pravila za uveljavljanje tega pravnega sredstva določena v skladu s pravico do učinkovitega sodnega varstva(36), kot je razvidno tudi iz uvodne izjave 141 te uredbe. Cilj učinkovitega sodnega varstva pravic, ki izhajajo iz SUVP, po mojem mnenju govori proti ozki razlagi pogojev za uveljavljanje navedenega pravnega sredstva, med drugim kršitve pravic posameznikov, na katere se nanašajo osebni podatki, „zaradi obdelave“.(37)

77. Ob upoštevanju navedenega predlagam, naj se na peto vprašanje za predhodno odločanje odgovori, da je treba člen 82(1) SUVP razlagati tako, da se lahko povrne škoda, ki jo posameznik, na katerega se nanašajo osebni podatki, utrpi zaradi kršitve te uredbe, tudi če ta škoda ni nastala zaradi obdelave osebnih podatkov tega posameznika.

b) Pojem „obdelava“ za namene pravice do odškodnine

78. Ob upoštevanju predlaganega odgovora na peto vprašanje za predhodno odločanje na četrto in šesto vprašanje za predhodno odločanje ni treba odgovoriti. Če pa Sodišče ne bi sledilo tej razlagi in bi ugotovilo, da mora škoda nujno nastati zaradi obdelave podatkov, ki pomeni kršitev SUVP, bom preučil, koliko bi bil pogoj iz petega vprašanja za predhodno odločanje(38) izpolnjen v primeru kršitve pravice dostopa v položaju, kot je obravnavani, da bom lahko predlagal odgovor na ti vprašanji.

79. Na prvem mestu, opozoriti moram, da člen 2(1) SUVP določa, da se ta uredba uporablja za „obdelavo“ osebnih podatkov. Ni sporno, da ima ta pojem, ki je v členu 4, točka 2, navedene uredbe opredeljen kot „vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih“, širok obseg.(39)

80. Na drugem mestu, glede na širok obseg navedenega pojma se v veliki večini primerov vprašanje, ali je kršitev SUVP, zaradi katere nastane odgovornost na podlagi člena 82 te uredbe, posledica obdelave osebnih podatkov, po mojem mnenju sploh ne postavlja. Vendar ta ugotovitev ni očitna v zvezi s kršitvijo pravice dostopa na podlagi člena 15(1) te uredbe.

81. Na spomnim, da člen 15(1) SUVP določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je to tako, dostop do teh podatkov in informacije, naštete v tej določbi. Poleg tega je v uvodni izjavi 60 te uredbe navedeno, da načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih.

82. Iz tega sledi, da je namen člena 15 SUVP, kot v bistvu trdi Komisija, posamezniku, na katerega se nanašajo osebni podatki, omogočiti, da dobi informacije o obdelavi, ki jo je – ali ni – v zvezi z njegovimi osebnimi podatki opravil upravljavec. Zato zahteva za dostop do teh podatkov, naslovljena na upravljavca, ne pomeni „obdelave“, ki spada na področje te uredbe, v smislu člena 4, točka 2, te uredbe.

83. Na tretjem mestu, poudarjam, da se ta zadeva nanaša na zavrnitev upravljavca, ki upravlja elektronske novice, na katere se je prijavila tožena stranka v postopku v glavni stvari, da ukrepa v zvezi z zahtevo za dostop, ki jo je ta stranka vložila. Da pa bi lahko upravljavec na tako zahtevo odgovoril (pritrdilno ali nikalno), nujno uporabi nekatere osebne podatke vložnika, vsaj fizični ali elektronski naslov ali telefonsko številko (v primeru odgovora po telefonu/telefaksu), ki so povezani z njegovim imenom. Uporaba teh podatkov pomeni ločeno obdelavo, za katero se uporablja SUVP.(40)

84. Vendar menim, da škode ne bi povzročila obdelava podatkov, ki bi bila opravljena za sporočitev te zavrnitve, temveč bi jo povzročila neutemeljena zavrnitev ukrepanja v zvezi z zahtevo za dostop.

85. Kot pravilno trdi Komisija, bi bilo pravno varstvo pravice dostopa, ki ima strukturni pomen v sistemu SUVP, torej znatno omejeno, če taka kršitev pravice do dostopa ne bi mogla privesti do pravice do odškodnine.

86. Zato za zagotovitev ciljev, ki jim sledi SUVP, navedenih v točkah 33 in 72 teh sklepnih predlogov, in polnega učinka pravice dostopa menim, da čeprav je pogoj iz člena 82(2) te uredbe v zvezi z obdelavo, ki je povzročila škodo, nujen, ga je treba razlagati široko. Taka rešitev bi pripeljala do oblikovanja širokega pojma vzročnosti v smislu člena 82 navedene uredbe. V prid tej razlagi govori argument, da bi bila v kontekstu pravnih sredstev ozka razlaga pogojev za uveljavljanje teh pravnih sredstev v nasprotju s ciljem učinkovitega sodnega varstva pravic, ki izhajajo iz SUVP.(41)

c) Obstoj nepremoženjske škode

87. V zvezi z razlago, ki jo predlagam za izraz „dogodek, zaradi katerega je škoda nastala“, naj pojasnim, da nikakor ne posega v druge pogoje, ki se v primeru kršitve člena 15 SUVP zahtevajo za uveljavljanje pravice do odškodnine na podlagi člena 82 te uredbe. Natančneje, posameznik, na katerega se nanaša kršitev SUVP, mora dokazati, da gre pri negativnih posledicah, ki jih je utrpel, za nepremoženjsko škodo v smislu člena 82 te uredbe, ker zgolj kršitev določb te uredbe ne zadostuje za priznanje pravice do odškodnine.(42)

88. Poleg tega bo odgovor, ki ga predlagam na peto vprašanje za predhodno odločanje, zahteval, da se odgovori tudi na osmo vprašanje za predhodno odločanje, ki se nanaša na nepremoženjsko škodo, ki jo je treba povrniti, zaradi izgube nadzora nad osebnimi podatki zaradi kršitve člena 15(1) SUVP ali obstoja negotovosti glede morebitne obdelave teh podatkov.

89. V zvezi s tem želim poudariti, da je Sodišče, čeprav osmo vprašanje ni predmet teh sklepnih predlogov, večkrat ugotovilo, da izguba nadzora nad osebnimi podatki, tudi v kratkem času, lahko pomeni nepremoženjsko škodo v smislu člena 82(1) SUVP, ki daje pravico do odškodnine, če posameznik, na katerega se nanašajo osebni podatki, dokaže, da je dejansko utrpel tako škodo,(43) ne da bi se zahteval „prag de minimis“.(44)

90. Vendar je Sodišče razsodilo tudi, da kadar je škoda določena, lahko nacionalno sodišče, če škoda ni resna, odredi njeno povračilo tako, da posamezniku, na katerega se nanašajo osebni podatki, prisodi minimalno odškodnino, če je to povračilo tako, da lahko v celoti nadomesti nastalo škodo.(45)

91. V obravnavani zadevi tožena stranka v postopku v glavni stvari zahteva plačilo odškodnine v višini 1000 EUR za nastalo nepremoženjsko škodo, ki po njenem mnenju izhaja iz domnevne izgube nadzora nad osebnimi podatki, ki jih je vnesla v obrazec za prijavo na elektronske novice družbe Brillen Rottler 13 dni pred vložitvijo zahteve za dostop. Predložitveno sodišče mora presoditi, ali je tožena stranka v postopku v glavni stvari dokazala, da je ta morebitna kršitev pravice dostopa imela negativne posledice zanjo in da gre pri teh posledicah za nepremoženjsko škodo v smislu člena 82 SUVP.

V. Predlog

92. Ob upoštevanju vsega navedenega Sodišču predlagam, naj na prvo, drugo, tretje, četrto, peto, šesto in sedmo vprašanje za predhodno odločanje, ki jih je predložilo Amtsgericht Arnsberg (okrajno sodišče v Arnsbergu, Nemčija), odgovori:

1. Člen 12(5), drugi stavek, Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES

je treba razlagati tako, da

– je prva zahteva za dostop, vložena na podlagi člena 15 Uredbe 2016/679 pri upravljavcu, lahko opredeljena kot „pretirana“, če ta upravljavec glede na vse upoštevne okoliščine obravnavanega primera dokaže namen zlorabe pri posamezniku, na katerega se nanašajo osebni podatki, ki se lahko ugotovi, če je ta posameznik privolil v obdelavo svojih osebnih podatkov, da bi lahko vložil to zahtevo za dostop in nato odškodninski zahtevek;

2. Člen 82(1) Uredbe 2016/679

je treba razlagati tako, da

se lahko povrne škoda, ki jo posameznik, na katerega se nanašajo osebni podatki, utrpi zaradi kršitve te uredbe, tudi če ta škoda ni nastala zaradi obdelave osebnih podatkov tega posameznika.

1 Jezik izvirnika: francoščina.

2 Glej Basedow, J., EU Private Law – Anatomy of a Growing Legal Order, Intersentia, Cambridge, 2021, točki 98 in 99.

3 Glej na primer na področju potrošniških kreditnih pogodb sodbo z dne 21. decembra 2023, BMW Bank in drugi (C‑38/21, C‑47/21 in C‑232/21, EU:C:2023:1014, točke od 280 do 282 in navedena sodna praksa).

4 Uredba Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1).

5 Sodba z dne 26. oktobra 2023 (C‑307/22, v nadaljevanju: sodba FT, EU:C:2023:811, točka 31).

6 Glej v tem smislu sodbo z dne 30. aprila 2025, Generalstaatsanwaltschaft Frankfurt am Main (Izvoz gotovine v Rusijo) (C‑246/24, EU:C:2025:295, točka 27 in navedena sodna praksa).

7 Glej po analogiji v zvezi s členom 57(4) SUVP sodbo z dne 9. januarja 2025, Österreichische Datenschutzbehörde (Pretirane zahteve) (C‑416/23, v nadaljevanju: sodba Österreichische Datenschutzbehörde, EU:C:2025:3, točki 33 in 48).

8 Glej v tem smislu sodbo z dne 22. junija 2023, Pankki S (C‑579/21, EU:C:2023:501, točka 59).

9 Glej v tem smislu sklepne predloge generalnega pravobranilca J. Richarda de la Toura v zadevi Österreichische Datenschutzbehörde (Pretirane zahteve) (C‑416/23, EU:C:2024:701, točka 62).

10 Sodba z dne 27. februarja 2025, Dun & Bradstreet Austria in drugi (C‑203/22, EU:C:2025:117, točka 54 in navedena sodna praksa).

11 Glej v tem smislu sodbi FT (točka 47) in Österreichische Datenschutzbehörde (točka 38).

12 Točka 31.

13 Točki 31 in 32.

14 Točki 18 in 23.

15 Sodba FT (točke od 35 do 51 ter zlasti točke 38, 43, 50 in 51). Sodišče je to razumevanje potrdilo v sklepu z dne 27. maja 2024, Addiko Bank (C‑312/23, EU:C:2024:458), ki se je nanašal na zavrnitev banke, da svojim strankam, med katerimi so nekatere načrtovale vložitev pritožbe ali tožbe zoper to banko, izroči kopije kreditne dokumentacije, ki se je nanašala nanje.

16 Glej v tem smislu sodbo Österreichische Datenschutzbehörde (točka 50).

17 Sodišče je v točki 48 sodbe Österreichische Datenschutzbehörde že po analogiji uporabilo razlago iz točke 31 sodbe FT.

18 Glej v zvezi z vrnitvijo v razsojanje nacionalnemu sodišču sodbo z dne 12. januarja 2023, Österreichische Post (Informacije o prejemnikih osebnih podatkov) (C‑154/21, EU:C:2023:3, točka 50).

19 Sodba Österreichische Datenschutzbehörde (točka 49).

20 Glej na primer v zadevah zasebnega prava sodbi z dne 21. decembra 2023, BMW Bank in drugi (C‑38/21, C‑47/21 in C‑232/21, EU:C:2023:1014, točki 284 in 285 ter navedena sodna praksa), in z dne 19. septembra 2024, Matmut (C-236/23, EU:C:2024:761, točka 54).

21 Glej moje sklepne predloge v zadevi Matmut (C‑236/23, EU:C:2024:560, točka 67).

22 Sodba Österreichische Datenschutzbehörde (točka 50).

23 Glej v tem smislu sodbo Österreichische Datenschutzbehörde (točka 56).

24 Glej med drugim sodbo z dne 4. maja 2023, Österreichische Datenschutzbehörde in CRIF (C‑487/21, EU:C:2023:369, točke od 33 do 35).

25 In sicer kadar posamezniki čezmerno uresničujejo pravico do dostopa zgolj zato, da upravljavcu povzročijo škodo, ali kadar posameznik vloži zahtevo, vendar hkrati ponudi, da jo bo umaknil, če od upravljavca prejme določeno korist: glej Smernice 01/2022 o pravicah posameznikov, na katere se nanašajo osebni podatki – pravica do dostopa, različica 2.1, sprejete 28. marca 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_sl, točki 188 in 190.

26 Glej v tem smislu sodbo Österreichische Datenschutzbehörde (točke od 51 do 57).

27 Glej tudi primere, navedene v Smernicah 01/2022 Evropskega odbora za varstvo podatkov o pravicah posameznikov, na katere se nanašajo osebni podatki – pravica do dostopa, različica 2.1, sprejete 28. marca 2023, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_sl, točke 13, 185, 188 in 190.

28 Moj poudarek.

29 Glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov) (C‑300/21, EU:C:2023:370, točke od 32 do 34), in nazadnje sodbo z dne 4. oktobra 2024, Patērētāju tiesību aizsardzības centrs (C‑507/23, EU:C:2024:854, točka 24).

30 Glej v zvezi s tem moje sklepne predloge v združenih zadevah X in Visser (C‑360/15 in C‑31/16, EU:C:2017:397, točka 132).

31 V točki 36 sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov) (C‑300/21, EU:C:2023:370), je Sodišče ugotovilo, da so „[v] členu 82(2) SUVP, ki določa ureditev odgovornosti – za katero je načelo določeno v odstavku 1 tega člena – […] namreč povzeti trije pogoji za nastanek pravice do odškodnine, in sicer obdelava osebnih podatkov, ki se izvede v nasprotju z določbami SUVP, škoda, ki je nastala posamezniku, na katerega se nanašajo osebni podatki, ter vzročna zveza med to nezakonito obdelavo in to škodo“ (moj poudarek). Ta razlaga je bila ponovljena v točki 159 sodbe z dne 4. oktobra 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827). Glej tudi sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, točke od 92 do 97), v kateri se dozdevno ne razlikuje med kršitvijo SUVP in obdelavo, ki pomeni kršitev te uredbe.

32 Direktiva Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355).

33 Glej v tem smislu sklepne predloge generalnega pravobranilca M. Camposa Sánchez-Bordone v zadevi Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov) (C‑300/21, EU:C:2022:756, točka 41).

34 Sodba z dne 21. decembra 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, točki 94 in 95).

35 Glej sodbo z dne 11. julija 2024, Meta Platforms Ireland (Zastopniška tožba) (C‑757/22, EU:C:2024:598, točke 40 in 42 ter od 59 do 64), v kateri je Sodišče podalo razlago zahteve po kršitvi pravic posameznika, na katerega se nanašajo osebni podatki, „zaradi obdelave“ z vidika preventivne funkcije zastopniške tožbe. Glej tudi sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov) (C‑300/21, EU:C:2023:370, točka 39), v skladu s katero „člena 77 in 78 SUVP, ki sta v [poglavju VIII], določata pravna sredstva pri nadzornem organu ali proti njemu v primeru domnevne kršitve te uredbe […]“.

36 Glej nazadnje sodbo z dne 30. aprila 2025, Inspektorat kam Visshia sadeben savet (C‑313/23, C‑316/23 in C‑332/23, EU:C:2025:303, točka 136 in navedena sodna praksa).

37 Glej v tem smislu Martini, M., „Article 79“, DSGVO BDSG, v Paal, B. P., in Pauly, D. A. (ur.), 3. izdaja, München, 2021, točka 22a.

38 In sicer pogoj, da je prišlo do obdelave osebnih podatkov posameznika, na katerega se nanašajo osebni podatki.

39 Glej nazadnje sodbo z dne 3. aprila 2025, Ministerstvo zdravotnictví (Podatki o zastopniku pravne osebe) (C‑710/23, EU:C:2025:231, točka 27).

40 Kot sta pravilno ugotovila predložitveno sodišče in Komisija, bi bila obdelava osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, za namene odgovora na zahtevo za dostop, vloženo na podlagi člena 15 SUVP, zakonita v smislu člena 6(1)(c) in člena 6(3) te uredbe ne glede na to, ali je upravljavec podatke tega posameznika že obdelal ali ne. Ta obdelava je namreč potrebna – v smislu navedenih določb – za izpolnitev zakonske obveznosti, ki velja za upravljavca na podlagi prava Unije.

41 Glej v zvezi s členom 79 SUVP Martini, M., „Article 79“, DSGVO BDSG, v Paal, B. P., in Pauly, D. A. (ur.), 3. izdaja, München, 2021, točka 22a.

42 Sodba z dne 4. oktobra 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, točka 142 in navedena sodna praksa).

43 Glej med drugim sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov) (C‑300/21, EU:C:2023:370, točke od 32 do 36); z dne 20. junija 2024, PS (Napačen naslov) (C‑590/22, EU:C:2024:536, točka 33), in z dne 4. septembra 2025, Quirin Privatbank (C-655/23, EU:C:2025:655, točki 62 in 64).

44 Glej v tem smislu sodbe z dne 14. decembra 2023, Gemeinde Ummendorf (C‑456/22, EU:C:2023:988, točka 18); z dne 20. junija 2024, Scalable Capital (C‑182/22 in C‑189/22, EU:C:2024:531, točka 44), in z dne 4. oktobra 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, točka 149).

45 Sodba z dne 20. junija 2024, Scalable Capital (C‑182/22 in C‑189/22, EU:C:2024:531, točka 46).

Top

Choose the experimental features you want to try