CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:531

ROZSUDEK SOUDNÍHO DVORA (třetího senátu)

20. června 2024(*)

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 82 – Právo na náhradu újmy způsobené zpracováním údajů v rozporu s tímto nařízením – Pojem ‚nehmotná újma‘ – Odškodnění sankční povahy nebo čistě kompenzační náhrada a zadostiučinění – Odškodnění minimální nebo symbolické – Krádež osobních údajů uložených v aplikaci pro obchodování – Krádež nebo zneužití identity“

Ve spojených věcech C‑182/22 a C‑189/22,

jejichž předmětem jsou žádosti o rozhodnutí o předběžné otázce podané na základě článku 267 SFEU rozhodnutími Amtsgericht München (okresní soud v Mnichově, Německo) ze dne 3. března 2022, došlými Soudnímu dvoru dne 10. a 11. března 2022, v řízení

JU (C‑182/22),

SO (C‑189/22)

proti

Scalable Capital GmbH,

SOUDNÍ DVŮR (třetí senát),

ve složení: K. Jürimäe, předsedkyně senátu, N. Piçarra a N. Jääskinen (zpravodaj), soudci,

generální advokát: A. M. Collins,

za soudní kancelář: A. Calot Escobar, vedoucí,

s přihlédnutím k písemné části řízení,

s ohledem na vyjádření, která předložili:

– za SO: M. Ruigrok van de Werve, Rechtsanwalt,

– za Scalable Capital GmbH: M. C. Mekat, Rechtsanwalt,

– za Irsko: M. Browne, Chief State Solicitor, A. Joyce a M. Tierney, jako zmocněnci, ve spolupráci s: D. Fennelly, BL,

– za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci,

po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 26. října 2023,

vydává tento

Rozsudek

1 Žádosti o rozhodnutí o předběžné otázce se týkají výkladu článku 82 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

2 Tyto žádosti byly předloženy v rámci dvou sporů mezi JU a SO na straně jedné a Scalable Capital GmbH na straně druhé ve věci náhrady nehmotné újmy, kterou žalobci, jak tvrdí, utrpěli v důsledku krádeže jejich osobních údajů, které byly uloženy v aplikaci pro obchodování spravované touto společnosti, třetími stranami.

Právní rámec

3 Body 75, 85 a 146 odůvodnění GDPR zní takto:

„(75) Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech: kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

[…]

(85) Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. […]

[…]

(146) […] Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost. Výklad pojmu ‚újma‘ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení. […] Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly. […]“

4 V článku 4 tohoto nařízení, nadepsaném „Definice“, je stanoveno:

„Pro účely tohoto nařízení se rozumí:

1) ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘);

[…]

7) ‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;

[…]

10) ‚třetí stranou‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;

[…]

12) ‚porušením zabezpečení osobních údajů‘ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

[…]“

5 V článku 82 uvedeného nařízení, nadepsaném „Právo na náhradu újmy a odpovědnost“, je v odstavcích 1 až 3 stanoveno:

„1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.

3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.“

Spory v původním řízení a předběžné otázky

6 Společnost Scalable Capital, založená podle německého práva, spravuje aplikaci pro obchodování, na níž si žalobci v původním řízení JU a SO založili účet. Za tímto účelem registrovali na svých příslušných účtech určité osobní údaje, zejména své jméno, datum narození, poštovní adresu, e-mailovou adresu, jakož i digitální kopii průkazu totožnosti. Žalobci v původním řízení zaplatili částku několika tisíc eur, jež byla nezbytná k otevření těchto účtů.

7 V průběhu roku 2020 získali k osobním údajům a k údajům týkajícím se portfolia cenných papírů žalobců v původním řízení neoprávněný přístup třetí osoby, jejichž totožnost není známa. Podle Scalable Capital nebyly uvedené osobní údaje dosud zneužity podvodným způsobem.

8 V této souvislosti žalobci v původním řízení podali k Amtsgericht München (okresní soud v Mnichově, Německo), který je předkládajícím soudem, žalobu znějící na náhradu nehmotné újmy, kterou údajně utrpěli v důsledku krádeže osobních údajů.

9 Zaprvé otázky předkládajícího soudu vyplývají z rozdílných přístupů německých soudů při posuzování náhrady újmy, kterou je třeba v takové situaci přiznat. Z nich vyplývají značné rozdíly ve výši peněžité náhrady přiznávané v případech, jež se nicméně podobají případům dotčeným v původním řízení, zejména v závislosti na tom, zda byl zohledněn případný odrazující účinek. Předkládající soud uvádí, že v projednávané věci je ztrátou osobních údajů dotčeno několik desítek tisíc osob, a že je tedy třeba přijmout jednotný způsob posuzování.

10 Zadruhé, pokud jde o posouzení nehmotné újmy, předkládající soud se opírá o německé právo, aby odlišil funkci „kompenzační“ od funkce „osobního zadostiučinění“. Kompenzační funkce má podle předkládajícího soudu kompenzovat vzniklé a předvídatelné následky tvrzené újmy, kdežto funkce osobního zadostiučinění má za cíl neutralizovat pocit nespravedlnosti pociťovaný kvůli vzniku uvedené újmy. Předkládající soud uvádí, že v německém právu hraje tato funkce zadostiučinění pouze podpůrnou roli, a domnívá se, že v projednávané věci by tato funkce neměla mít žádný vliv na výpočet náhrady újmy požadované žalobci.

11 Zatřetí v německém právu podle předkládajícího soudu neexistuje sazebník, jenž by umožnil stanovit výši náhrady újmy, kterou je třeba přiznat v závislosti na okolnostech, za nichž je požadována. Značný počet vydaných individuálních rozhodnutí nicméně umožňuje stanovit rámec, z něhož lze vycházet, což vede k určité systematizaci odškodnění. V tomto ohledu se v německém právním řádu přiznává peněžitá náhrada za účelem kompenzace zásahů do osobnostních práv pouze tehdy, jsou-li tyto zásahy obzvláště závažné. V případě náhrady újmy na zdraví lze podle předkládajícího soudu posouzení finanční povahy učinit objektivnějším. Předkládající soud má tudíž za to, že ztráta údajů by měla mít nižší váhu než fyzická újma.

12 Začtvrté se předkládající soud táže, zda lze v případech, v nichž je újma způsobená v důsledku porušení GDPR minimální, přiznat nízké odškodnění, jež by mohlo být vnímáno jako symbolické.

13 Zapáté předkládající soud uvádí, že účastníci původního řízení vykládají odlišně pojem „krádež identity“. V tomto ohledu má za to, že ke krádeži identity dochází pouze tehdy, jsou-li protiprávně získané údaje použity třetí osobou za účelem zneužití identity subjektu údajů.

14 Za těchto podmínek se Amtsgericht München (okresní soud v Mnichově) rozhodl přerušit řízení ve věcech C‑182/22 a C‑189/22 a položit Soudnímu dvoru následující předběžné otázky, jež zní v obou těchto věcech stejně:

„1) Musí být článek 82 [GDPR] vykládán v tom smyslu, že nárok na náhradu újmy nemá, ani pokud jde o stanovení jeho výše, sankční povahu a zejména nemá obecnou odrazující funkci ani odrazující funkci vůči konkrétní osobě, nýbrž pouze funkci kompenzační a případně satisfakční?

2) Je pro účely stanovení výše nároku na náhradu nehmotné újmy třeba vycházet z toho, že nárok na náhradu této újmy má i funkci individuální satisfakce – v projednávané věci se tím rozumí soukromý zájem poškozeného na tom, aby bylo potrestáno jednání, které mu újmu způsobilo, nebo má nárok na náhradu újmy pouze funkci kompenzační – čímž se v tomto případě rozumí funkce spočívající v kompenzaci vzniklé újmy?

Jestliže se má za to, že nárok na náhradu nehmotné újmy má jak kompenzační, tak satisfakční funkci: je při stanovení jeho výše třeba vycházet z toho, že kompenzační funkce má přednost před satisfakční funkcí z podstaty věci, nebo alespoň přednost vyplývající ze vztahu pravidla a výjimky? Znamená to, že satisfakční funkce přichází v úvahu pouze v případě úmyslného nebo hrubě nedbalostního protiprávního jednání?

Jestliže nárok na náhradu nehmotné újmy nemá satisfakční funkci: Hodnotí se při stanovení výše tohoto nároku v rámci posouzení okolností, které přispěly ke vzniku újmy, jako závažnější pouze úmyslná nebo hrubě nedbalostní porušení předpisů o ochraně údajů?

3) Je v zájmu správného pojetí náhrady nehmotné újmy při stanovení její výše třeba vycházet z pořadí přednosti vyplývajícího z podstaty věci nebo alespoň ze vztahu pravidla a výjimky, podle kterého je újma pociťovaná v souvislosti s narušením údajů považována za méně závažnou než újma a bolest, které jsou pociťovány v souvislosti s újmou na zdraví?

4) Může vnitrostátní soud v případě, že je třeba mít za to, že újma skutečně vznikla, s ohledem na její nedostatečnou závažnost přiznat náhradu, která je z materiálního hlediska jen nepatrná, a může být tedy poškozenou stranou nebo všeobecně vnímána jako pouze symbolická?

5) Je v zájmu správného pojetí náhrady nehmotné újmy při posuzování jejích následků třeba mít za to, že ke krádeži identity ve smyslu bodu 75 odůvodnění [GDPR] dochází teprve v okamžiku, kdy se pachatel skutečně zmocní identity subjektu údajů, tj. když se v nějaké formě vydává za subjekt údajů, nebo taková krádež identity spočívá již v tom, že pachatelé disponují údaji, z nichž lze subjekt údajů identifikovat?“

Řízení před Soudním dvorem

15 Rozhodnutím předsedy Soudního dvora ze dne 19. dubna 2022 byly věci C‑182/22 a C‑189/22 spojeny pro účely písemné i ústní části řízení, jakož i pro účely rozsudku.

16 Dne 1. června 2022 zamítl předseda Soudního dvora žádost společnosti Scalable Capital o anonymizaci tohoto řízení podle čl. 95 odst. 2 jednacího řádu Soudního dvora.

K přípustnosti žádostí o rozhodnutí o předběžné otázce

17 Společnost Scalable Capital v podstatě tvrdí, že projednávané žádosti o rozhodnutí o předběžné otázce nejsou přípustné, neboť nemají vliv na výsledek sporů v původním řízení. Má za to, že abstraktní ztráta kontroly nad údaji, jako je tomu v projednávaném případě, nesmí být kvalifikována jako „újma“ ve smyslu čl. 82 odst. 1 GDPR, nemá-li taková ztráta kontroly nad údaji konkrétní důsledek, a nejsou-li tedy splněny podmínky pro použití uvedeného článku 82. Taková kvalifikace by totiž podle uvedené společnosti znamenala, že každé porušení nařízení by zakládalo domněnku vzniku újmy, v rozporu se zněním, obecnou systematikou i historií vzniku článku 82 GDPR.

18 V této souvislosti podle ustálené judikatury přísluší pouze vnitrostátnímu soudu, kterému byl spor předložen a který nese odpovědnost za soudní rozhodnutí, jež bude vydáno, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání rozsudku, tak relevanci otázek, které Soudnímu dvoru klade a na které se v tomto ohledu vztahuje domněnka relevance. Proto když se položená otázka týká výkladu nebo platnosti pravidla unijního práva, Soudní dvůr je v zásadě povinen rozhodnout, s výjimkou situace, kdy je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo dále pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na uvedenou otázku [viz rozsudky ze dne 5. května 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, bod 43 a ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 23].

19 V projednávané věci stačí připomenout, že pokud není zjevné, že výklad ustanovení unijního práva nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, námitka vycházející z nepoužitelnosti tohoto ustanovení na věc v původním řízení se nedotýká přípustnosti žádosti o rozhodnutí o předběžné otázce, nýbrž meritorní stránky otázek (v tomto smyslu viz rozsudky ze dne 13. července 2006, Manfredi a další, C‑295/04 až C‑298/04, EU:C:2006:461, bod 30; ze dne 4. července 2019, Kirschstein, C‑393/17, EU:C:2019:563, bod 28, a ze dne 24. července 2023, Lin, C‑107/23 PPU, EU:C:2023:606, bod 66).

20 Z toho plyne, že projednávané žádosti o rozhodnutí o předběžné otázce jsou přípustné.

K předběžným otázkám

K první otázce a první části druhé otázky

21 Podstatou první otázky a první části druhé otázky předkládajícího soudu, které je třeba zkoumat společně, je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní kompenzační funkci v tom smyslu, že peněžitá náhrada újmy na základě uvedeného ustanovení musí umožnit, aby byla plně nahrazena újma, jež vznikla v důsledku porušení tohoto nařízení, nebo že plní rovněž sankční funkci, jejímž cílem je zejména uspokojit osobní zájmy subjektu údajů.

22 V této souvislosti Soudní dvůr již konstatoval, že článek 82 GDPR nemá sankční, ale kompenzační funkci na rozdíl od jiných ustanovení tohoto nařízení, která jsou rovněž obsažena v kapitole VIII tohoto nařízení, a sice jeho článků 83 a 84, které mají v zásadě sankční účel, neboť umožňují uložit správní pokuty, jakož i jiné sankce. Vztah mezi pravidly stanovenými v článku 82 a pravidly stanovenými v článcích 83 a 84 uvedeného nařízení ukazuje, že mezi těmito dvěma kategoriemi ustanovení existuje rozdíl, ale také komplementarita, pokud jde o motivaci k dodržování GDPR, přičemž je třeba poznamenat, že právo každého požadovat náhradu újmy posiluje vymahatelnost pravidel ochrany stanovených tímto nařízením a může odrazovat od opakování protiprávního jednání [viz zejména rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 38 a 40, jakož i ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 59].

23 Článek 82 odst. 1 GDPR byl tudíž vyložen v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní, zejména v případě nehmotné újmy, výlučně kompenzační funkci v tom smyslu, že peněžitá náhrada na základě uvedeného ustanovení musí umožnit plnou náhradu újmy, která konkrétně vznikla v důsledku porušení tohoto nařízení, a nikoli odrazující či sankční funkci [viz zejména rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 57 a 58, jakož i ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 61].

24 Z toho důvodu je třeba na první otázku a na první část druhé otázky odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní výlučně kompenzační funkci v tom smyslu, že peněžitá náhrada na základě uvedeného ustanovení musí umožnit plnou náhradu újmy, která vznikla.

Ke druhé části druhé otázky

25 S ohledem na odpověď na první otázku a první část druhé otázky není třeba odpovídat na druhou část druhé otázky.

Ke třetí části druhé otázky

26 Podstatou třetí části druhé otázky předkládajícího soudu je, zda musí být čl. 82 odst. 1 GDPR vykládán v tom smyslu, že vyžaduje, aby byl pro účely náhrady újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení tohoto nařízení správcem a jeho případná úmyslná povaha.

27 Pokud jde o posouzení případné náhrady újmy, která má být přiznána na základě článku 82 GDPR, musí vnitrostátní soudy vzhledem k tomu, že GDPR neobsahuje ustanovení, které by tuto otázku upravovalo, za účelem tohoto posouzení uplatnit vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 53, 54 a 59, jakož i ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 53].

28 Je třeba ovšem zdůraznit, že vznik odpovědnosti správce na základě článku 82 GDPR je podmíněn existencí jeho zavinění, které se předpokládá, pokud tento správce neprokáže, že skutečnost, která způsobila újmu, mu není nijak přičitatelná, a že tento článek 82 nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě tohoto ustanovení zohledněn stupeň závažnosti tohoto zavinění (rozsudky ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 103, a ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 52).

29 Mimoto výlučně kompenzační funkce práva na náhradu škody stanoveného v čl. 82 odst. 1 GDPR vylučuje, aby byla zohledněna případná úmyslná povaha porušení tohoto nařízení, jehož zavinění správcem se předpokládá, při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě uvedeného ustanovení. Tato částka však musí být stanovena tak, aby v plném rozsahu nahradila újmu, která konkrétně vznikla v důsledku porušení uvedeného nařízení (obdobně viz rozsudky ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 102, a ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 54).

30 S ohledem na výše uvedené důvody je třeba na třetí část druhé otázky odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že nevyžaduje, aby byl pro účely náhrady újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení tohoto nařízení správcem a jeho případná úmyslná povaha.

K třetí otázce

31 Podstatou třetí otázky předkládajícího soudu je, zda musí být čl. 82 odst. 1 GDPR vykládán v tom smyslu, že v rámci stanovení výše náhrady újmy, která má být zaplacena na základě práva na náhradu nehmotné újmy, je třeba mít za to, že taková újma způsobená porušením zabezpečení osobních údajů je ze své povahy méně závažná než újma na zdraví.

32 V tomto ohledu je nutno připomenout, že podle ustálené judikatury je při neexistenci unijních pravidel v dané oblasti na vnitrostátním právním řádu každého členského státu, aby na základě zásady procesní autonomie upravil procesní podmínky soudních řízení určených k zajištění ochrany práv jednotlivců, avšak za podmínky, že tyto podmínky nejsou v situacích, na které se uplatní unijní právo, méně příznivé než v podobných situacích podléhajících vnitrostátnímu právu (zásada rovnocennosti) a v praxi neznemožňují nebo nadměrně neztěžují výkon práv přiznaných unijním právem (zásada efektivity) [v tomto smyslu viz rozsudky ze dne 13. prosince 2017, El Hassani, C‑403/16, EU:C:2017:960, bod 26, a ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 53].

33 V projednávané věci je třeba podotknout, že GDPR neobsahuje ustanovení, jehož cílem by bylo stanovit pravidla pro posuzování náhrady újmy, které se může subjekt údajů ve smyslu čl. 4 bodu 1 uvedeného nařízení domáhat na základě článku 82 tohoto nařízení, pokud mu byla v důsledku porušení uvedeného nařízení způsobena újma. Při neexistenci pravidel unijního práva v dané oblasti je tedy na právním řádu každého členského státu, aby stanovil podmínky žalob určených k zajištění ochrany práv, která jednotlivcům vyplývají z tohoto článku 82, a zejména kritéria umožňující určit rozsah náhrady újmy, která má být v tomto rámci zaplacena, s výhradou dodržení uvedených zásad rovnocennosti a efektivity (rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 54].

34 Vzhledem k tomu, že nic ze spisu, který má Soudní dvůr k dispozici, nenasvědčuje tomu, že by v souvislosti se skutkovým stavem věcí v původních řízeních mohla být relevantní zásada rovnocennosti, je třeba se zaměřit na zásadu efektivity. Z tohoto hlediska je na předkládajícím soudu, aby určil, zda podmínky stanovené v německém právu pro určení náhrady újmy, jež má být přiznána na základě práva na náhradu újmy zakotveného v článku 82 GDPR, soudem v praxi neznemožňují nebo nadměrně neztěžují výkon práv přiznaných unijním právem, konkrétně tímto nařízením.

35 V této souvislosti z judikatury, jež byla připomenuta v bodě 23 tohoto rozsudku, vyplývá, že s ohledem na výlučně kompenzační funkci práva na náhradu újmy stanoveného v článku 82 odst. 1 GDPR musí být peněžitá náhrada založená na tomto ustanovení považována za „plnou a účinnou“, pokud umožňuje plně nahradit újmu, která konkrétně vznikla v důsledku porušení uvedeného nařízení.

36 V tomto ohledu je v bodě 146 odůvodnění uvedeného nařízení ostatně uvedeno, že „[v]ýklad pojmu ‚újma‘ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení“ a že „[s]ubjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly“.

37 Je třeba rovněž uvést, že v bodech 75 a 85 odůvodnění GDPR jsou uvedeny různé okolnosti, které mohou být kvalifikovány jako „fyzická, hmotná či nehmotná újma“, aniž by byla uváděna jakákoli vzájemná hierarchie či skutečnost, že újma v důsledku porušení zabezpečení osobních údajů je méně závažná než újma na zdraví.

38 Pokud bychom ovšem vycházeli z předpokladu, že újma na zdraví je ze své podstaty závažnější než nehmotná újma, mohla by tím být zpochybněna zásada plného a účinného nahrazení utrpěné újmy.

39 S ohledem na výše uvedené důvody je třeba na třetí otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že v rámci stanovení výše náhrady újmy, která má být zaplacena na základě práva na náhradu nehmotné újmy, je třeba mít za to, že taková újma způsobená porušením zabezpečení osobních údajů není ze své povahy méně závažná než újma na zdraví.

Ke čtvrté otázce

40 Podstatou čtvrté otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že v případě, že dojde k újmě, může vnitrostátní soud, není-li tato újma závažná, přiznat minimální náhradu, kterou lze vnímat jako symbolickou.

41 Je třeba připomenout, že podle ustálené judikatury musí být čl. 82 odst. 1 GDPR vykládán v tom smyslu, že pouhé porušení GDPR nestačí k přiznání práva na náhradu újmy, jelikož existence „utrpěné hmotné či nehmotné „újmy“ je jednou z podmínek práva na náhradu újmy stanoveného v tomto čl. 82 odst. 1 stejně jako existence porušení tohoto nařízení a příčinná souvislost mezi touto újmou a tímto porušením, přičemž tyto tři podmínky jsou kumulativní [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 32 a ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 34].

42 Osoba, která se domáhá náhrady nehmotné újmy podle tohoto ustanovení, je tedy povinna prokázat nejen porušení ustanovení tohoto nařízení, ale rovněž že tímto porušením byla taková újma zapříčiněna, takže uvedená újma nemůže být újmou pouze předpokládanou z toho důvodu, že došlo k uvedenému porušení [v tomto smyslu viz zejména rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 42 a 50 a ze dne 11. dubna 2024, juris, C‑741/21, EU:C:2024:288, bod 35].

43 Pokud osoba prokáže, že v důsledku porušení GDPR utrpěla újmu ve smyslu článku 82 uvedeného nařízení, z bodu 33 tohoto rozsudku v podstatě vyplývá, že kritéria pro hodnocení dlužné náhrady újmy v rámci žalob určených k zajištění práv, jež jsou jednotlivcům přiznána na základě tohoto článku, musí být stanovena v rámci právního řádu každého členského státu tak, aby byla uvedená náhrada újmy plná a účinná.

44 V tomto ohledu Soudní dvůr konstatoval, že čl. 82 odst. 1 GDPR ke vzniku práva na náhradu újmy nevyžaduje, aby v případě, že je prokázáno porušení ustanovení tohoto nařízení musela újma tvrzená subjektem údajů dosáhnout určité „prahové hodnoty de minimis“ (v tomto smyslu viz rozsudek ze dne 14. prosince 2023 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 18).

45 Takové úvahy nicméně nevylučují, že vnitrostátní soudy mohou přiznat vyšší částku odškodnění, aby tím byla tato újma plně nahrazena, což musí ověřit předkládající soud při dodržení zásad připomenutých v bodě 43 tohoto rozsudku.

46 Z výše uvedených důvodů je třeba na čtvrtou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že v případě, že dojde k újmě, může vnitrostátní soud tuto újmu, není-li závažná, nahradit tím, že přizná subjektu údajů minimální odškodnění, může-li toto odškodnění způsobenou újmu plně nahradit.

K páté otázce

K přípustnosti

47 Evropská komise se v písemných vyjádřeních zabývala otázkou relevance páté otázky pro účely poskytnutí odpovědi ve věcech v původních řízeních, když uvádí, že předkládající soud neodkazuje na žádné konkrétní ustanovení unijního práva.

48 V tomto ohledu se pátá otázka týká pojmu „krádež identity“ ve smyslu bodu 75 odůvodnění GDPR a formálně se netýká článku 82 uvedeného nařízení. Nicméně platí, že pouhá skutečnost, že Soudní dvůr je vyzván, aby se vyslovil abstraktně a obecně, nemůže způsobit nepřípustnost žádosti o rozhodnutí o předběžné otázce (rozsudek ze dne 15. listopadu 2007, International Mail Spain, C‑162/06, EU:C:2007:681, bod 24).

49 V této otázce přitom předkládající soud žádá Soudní dvůr o výklad pojmu „krádež identity“, který je uveden v bodě 75 odůvodnění GDPR, za účelem určení výše peněžité náhrady podle článku 82 GDPR. Uvedená otázka se tedy zjevně týká ustanovení unijního práva. Ostatně odpověď na tuto otázku je relevantní i proto, že se předkládající soud ani účastníci původního řízení neshodují na definici tohoto pojmu pro účely vyčíslení újmy vzniklé ve věcech v původních řízeních.

50 Za těchto podmínek je pátá otázka přípustná.

K věci samé

51 Podle ustálené judikatury platí, že v rámci postupu spolupráce mezi vnitrostátními soudy a Soudním dvorem zavedeného článkem 267 SFEU přísluší Soudnímu dvoru poskytnout vnitrostátnímu soudu užitečnou odpověď, která mu umožní rozhodnout spor, jenž mu byl předložen. Z tohoto hlediska Soudnímu dvoru přísluší, aby otázky, které jsou mu položeny, případně přeformuloval. Soudní dvůr kromě toho může zohlednit i normy unijního práva, na které vnitrostátní soud ve své otázce neodkázal (rozsudek ze dne 7. září 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, bod 47 a citovaná judikatura).

52 V projednávané věci se pátá otázka týká práva na náhradu újmy stanoveného v čl. 82 odst. 1 GDPR, a konkrétně pojmu „krádež identity“ uvedeného v bodě 75 odůvodnění GDPR. Je přitom třeba uvést, že vedle tohoto bodu odůvodnění je tento pojem rovněž zmíněn v bodě 85 odůvodnění tohoto nařízení.

53 Proto je třeba mít za to, že předkládající soud se v páté otázce v podstatě táže, zda musí být čl. 82 odst. 1 GDPR ve spojení s body 75 a 85 odůvodnění tohoto nařízení vykládán v tom smyslu, že k tomu, aby byl skutek kvalifikován jako „krádež identity“ a zakládal právo na náhradu nehmotné újmy podle tohoto ustanovení, je třeba, aby byla identita osoby, které se krádež osobních údajů týká, skutečně zneužita třetí osobou, nebo zda k takové krádeži dochází již tím, že tato třetí osoba disponuje údaji, které umožňují identifikovat subjekt údajů.

54 Pojem krádež identity není v nařízení GDPR definován. Výrazy „krádež“ či „zneužití“ identity jsou uvedeny v bodě 75 odůvodnění v rámci demonstrativního výčtu důsledků zpracování osobních údajů, jež mohou vést ke vzniku fyzické, hmotné či nehmotné újmy. V bodě 85 uvedeného nařízení jsou „krádež“ a „zneužití“ identity uvedeny mezi výčtem případů fyzické, hmotné či nehmotné újmy, jež může být způsobena porušením zabezpečení osobních údajů.

55 Jak uvedl generální advokát v bodě 29 svého stanoviska, jednotlivé jazykové verze bodů 75 a 85 odůvodnění GDPR uvádějí výrazy „krádež identity“, „zneužití identity“, „podvod s identitou“, „neoprávněné užití identity“ a „zpronevěra identity“, které jsou v nich zaměnitelně používány. V důsledku toho jsou pojmy „krádež“ a „zneužití“ identity vzájemně zaměnitelné a nelze mezi nimi rozlišovat. Tyto dva posledně uvedené pojmy zakládají domněnku vůle přivlastnit si identitu osoby, jejíž osobní údaje byly předtím odcizeny.

56 Navíc, jak uvedl generální advokát v bodě 30 svého stanoviska, mezi pojmy zmíněnými ve výčtech, jež jsou uvedeny v bodech 75 a 85 odůvodnění GDPR, je rozlišováno mezi případem „ztráty kontroly“ nebo zbavení možnosti „kontrolovat“ své osobní údaje a případem „krádeže či zneužití identity“. Z toho důvodu získání přístupu k údajům a nabytí kontroly nad nimi, jež lze považovat za krádež osobních údajů, nepředstavují bez dalšího „krádež či zneužití“ identity. Jinými slovy, krádež osobních údajů nepředstavuje sama o sobě krádež nebo zneužití identity.

57 V tomto ohledu je nicméně třeba upřesnit, že náhrada nehmotné újmy, způsobené krádeží osobních údajů, na základě čl. 82 odst. 1 GDPR nemůže být omezena na případy, kdy je prokázáno, že taková krádež údajů následně vedla ke krádeži nebo ke zneužití identity. V důsledku krádeže osobních údajů subjektu údajů totiž vzniká podle čl. 82 odst. 1 GDPR právo na náhradu způsobené nehmotné újmy, jsou-li naplněny tři podmínky, jež jsou stanoveny v uvedeném ustanovení, a sice že zpracování osobních údajů porušuje ustanovení GDPR, subjektu údajů je způsobena újma a mezi tímto protiprávním zpracováním a touto újmou existuje příčinná souvislost [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 32 a 36)].

58 Z těchto důvodů je třeba na pátou otázku odpovědět tak, že čl. 82 odst. 1 GDPR ve spojení s body 75 a 85 odůvodnění tohoto nařízení musí být vykládán v tom smyslu, že k tomu, aby byl skutek kvalifikován jako „krádež identity“ a zakládal právo na náhradu nehmotné újmy podle tohoto ustanovení, je třeba, aby třetí osoba skutečně zneužila identitu subjektu údajů dotčeného krádeží osobních údajů. Náhrada nehmotné újmy způsobené krádeží osobních údajů však nemůže být na základě uvedeného ustanovení omezena na případy, kdy je prokázáno, že taková krádež údajů následně vedla ke krádeži nebo ke zneužití identity.

K nákladům řízení

59 Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto:

1) Článek 82 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)