CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:531

WYROK TRYBUNAŁU (trzecia izba)

z dnia 20 czerwca 2024 r.(*)

Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 82 – Prawo do odszkodowania za szkodę spowodowaną przetwarzaniem danych z naruszeniem tego rozporządzenia – Pojęcie „szkody niemajątkowej” – Odszkodowanie o charakterze sankcji lub wyłącznie tytułem wyrównania i rekompensaty – Minimalne lub symboliczne odszkodowanie – Kradzież danych osobowych zarejestrowanych w aplikacji handlowej – Kradzież tożsamości lub oszustwo dotyczące tożsamości

W sprawach połączonych C‑182/22 i C‑189/22

mających za przedmiot wnioski o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożone przez Amtsgericht München (sąd rejonowy w Monachium, Niemcy) postanowieniami z dnia 3 marca 2022 r., które wpłynęły do Trybunału w dniach 10 i 11 marca 2022 r., w postępowaniu:

JU (C‑182/22),

SO (C‑189/22)

przeciwko

Scalable Capital GmbH,

TRYBUNAŁ (trzecia izba),

w składzie: K. Jürimäe, prezes izby, N. Piçarra i N. Jääskinen (sprawozdawca), sędziowie,

rzecznik generalny: A.M. Collins,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

– w imieniu SO – M. Ruigrok van de Werve, Rechtsanwalt,

– w imieniu Scalable Capital GmbH – M.C. Mekat, Rechtsanwalt,

– w imieniu Irlandii – M. Browne, Chief State Solicitor, oraz A. Joyce i M. Tierney, w charakterze pełnomocników, których wspierał D. Fennelly, BL,

– w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 26 października 2023 r.,

wydaje następujący

Wyrok

1 Wnioski o wydanie orzeczenia w trybie prejudycjalnym dotyczą wykładni art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2 Wnioski te zostały złożone w ramach dwóch sporów pomiędzy, odpowiednio, JU i SO a spółką Scalable Capital GmbH, dotyczących odszkodowania za szkodę niemajątkową, której, jak twierdzą JU i SO, doznali z powodu kradzieży przez osoby trzecie, których tożsamość jest nieznana, ich danych osobowych zarejestrowanych w aplikacji handlowej zarządzanej przez tę spółkę.

Ramy prawne

3 Motywy 75, 85 i 146 RODO mają następujące brzmienie:

„(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych, oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

[…]

(85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne […].

[…]

(146) […] Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia […]. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody […]”.

4 Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

1) »dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]

[…]

7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; […]

[…]

10) »strona trzecia« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

[…]

12) »naruszenie ochrony danych osobowych« oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

[…]”.

5 Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, przewiduje w ust. 1–3:

„1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłącznie gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”.

Postępowania główne i pytania prejudycjalne

6 Scalable Capital, spółka prawa niemieckiego, zarządza trading app (aplikacją handlową), w której skarżący w postępowaniach głównych – JU i SO, otworzyli konto. W tym celu zapisali oni określone dane osobowe na swoich rachunkach, w szczególności nazwiska, daty urodzenia, adresy pocztowy, adresy poczty elektronicznej oraz cyfrowe kopie ich dowodów tożsamości. Skarżący w postępowaniu głównym wpłacili kwotę kilku tysięcy euro niezbędną do otwarcia tych rachunków.

7 W 2020 r. dane osobowe oraz dane dotyczące portfela papierów wartościowych skarżących w postępowaniach głównych zostały nielegalnie przejęte przez osoby trzecie, których tożsamość pozostaje nieznana. Zdaniem Scalable Capital wspomniane dane osobowe nie zostały dotychczas wykorzystywane w sposób noszący znamiona oszustwa.

8 W tym kontekście skarżący w postępowaniach głównych wnieśli do Amtsgericht München (sądu rejonowego w Monachium, Niemcy), który jest sądem odsyłającym, powództwo o zasądzenie odszkodowania za szkodę niemajątkową, której, jak twierdzą, doznali z uwagi na kradzież ich danych osobowych.

9 W pierwszej kolejności wątpliwości sądu odsyłającego wynikają z rozbieżnych podejść sądów niemieckich co do ustalenia odszkodowania, jakie należy przyznać w tego rodzaju sytuacji. Wynikają z tego znaczne różnice w kwotach odszkodowania pieniężnego przyznawanego w przypadkach podobnych do tych rozpatrywanych w postępowaniach głównych, w szczególności w zależności od tego, czy uwzględniono ewentualny skutek odstraszający. Sąd odsyłający zauważa, że w niniejszej sprawie utrata odnośnych danych dotyczy kilkudziesięciu tysięcy osób, w związku z czym należałoby przyjąć jednolitą metodę oceny.

10 W drugiej kolejności, jeśli chodzi o ustalenie szkód niemajątkowych, sąd odsyłający opiera się na prawie niemieckim w celu odróżnienia funkcji „wyrównawczej” od funkcji „rekompensaty”. Funkcja wyrównawcza ma na celu wyrównanie doznanych i przewidywalnych skutków podnoszonej szkody, podczas gdy funkcja rekompensaty ma na celu zneutralizowanie poczucia niesprawiedliwości odczuwanego z powodu wystąpienia wspomnianej szkody. Sąd odsyłający wskazuje, że w prawie niemieckim ta funkcja rekompensaty odgrywa jedynie rolę pomocniczą, i uważa, że w niniejszej sprawie funkcja ta nie powinna mieć żadnego wpływu na obliczenie żądanego przez skarżących odszkodowania.

11 W trzeciej kolejności – w prawie niemieckim brak jest skali pozwalającej na ustalenie kwoty odszkodowania, które należy przyznać w zależności od sytuacji, w których jest ono dochodzone. Jednakże duża liczba wydanych indywidualnych orzeczeń pozwala na określenie ram odniesienia, co prowadzi do pewnej formy systematyzacji. W tym względzie w niemieckim porządku prawnym odszkodowanie pieniężne jest przyznawane w celu wyrównania naruszeń dóbr osobistych tylko wtedy, gdy są one szczególnie poważne. W przypadku zadośćuczynienia za uszkodzenia ciała wyliczenia pieniężne są bardziej możliwe do zobiektywizowania. Sąd odsyłający jest zatem zdania, że utrata danych powinna mieć mniejszą wagę niż uszkodzenia ciała.

12 W czwartej kolejności sąd ten zastanawia się nad możliwością przyznania niskich odszkodowań, które mogłyby być postrzegane jako symboliczne, w przypadkach gdy szkoda związana z naruszeniem RODO jest niewielka.

13 W piątej kolejności sąd ten zauważa, że strony w postępowaniach głównych interpretują w odmienny sposób pojęcie „kradzieży tożsamości”. W tym względzie uważa on, że kradzież tożsamości ma miejsce jedynie wtedy, gdy uzyskane bezprawnie dane są wykorzystywane przez osobę trzecią w celu podszycia się pod tożsamość osoby, której dane dotyczą.

14 W tych okolicznościach Amtsgericht München (sąd rejonowy w Monachium) postanowił, w sprawach C‑182/22 i C‑189/22, zawiesić postępowania i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi, które w dwóch badanych sprawach mają identyczne brzmienie:

„1) Czy art. 82 [RODO] należy interpretować w ten sposób, że roszczenie o odszkodowanie nie ma charakteru sankcji, zwłaszcza ogólnej lub szczególnej funkcji odstraszającej, także w kontekście określania jego wysokości, lecz roszczenie o odszkodowanie ma jedynie funkcję wyrównawczą i ewentualnie funkcję rekompensaty?

2) Czy przy określaniu wysokości roszczenia o odszkodowanie za szkody niemajątkowe należy przyjąć, że roszczenie o odszkodowanie pełni także funkcję indywidualnej rekompensaty – rozumianej tu jako pozostający w sferze prywatnej poszkodowanego interes polegający na postrzeganiu zachowania powodującego szkodę jako ukaranego, czy też roszczenie o odszkodowanie pełni jedynie funkcję wyrównawczą – rozumianą tu jako funkcja kompensacji doznanych naruszeń?

Przy założeniu, że roszczenie o odszkodowanie za szkodę niemajątkową pełni zarówno funkcję wyrównawczą, jak i rekompensaty: Czy przy określaniu jego wysokości należy przyjąć, że funkcja wyrównawcza ma pierwszeństwo strukturalne, a przynajmniej pierwszeństwo, które należy postrzegać jako relację reguła–wyjątek, przed funkcją rekompensaty? Czy oznacza to, że funkcja rekompensaty może być brana pod uwagę tylko w przypadku naruszenia umyślnego lub wynikającego z rażącego niedbalstwa?

Jeżeli roszczenie o odszkodowanie za szkody niemajątkowe nie pełni funkcji rekompensaty: Czy przy określaniu jego wysokości tylko umyślne lub wynikające z rażącego niedbalstwa naruszenia ochrony danych mają dodatkowe znaczenie dla oceny przyczynienia się do powstania szkody?

3) Czy dla rozumienia odszkodowania za szkody niemajątkowe przy określaniu jego wysokości należy przyjąć, że istnieje strukturalna hierarchia lub przynajmniej hierarchia oparta na zasadzie wyjątku od reguły, w którym doznanie naruszenia wynikające z naruszenia danych ma mniejszą wagę niż doznanie naruszenia i bólu związane z uszkodzeniem ciała?

4) Czy sąd odsyłający może, przy założeniu wystąpienia szkody o ograniczonej dolegliwości, zasądzić odszkodowanie, które pod względem materialnym jest niewielkie i tym samym w pewnych okolicznościach może być postrzegane przez poszkodowanego lub generalnie jako symboliczne?

5) Czy dla rozumienia odszkodowania za szkody niemajątkowe przy ocenie jego skutków należy przyjąć, że kradzież tożsamości w rozumieniu motywu 75 [RODO] ma miejsce tylko wtedy, gdy sprawca rzeczywiście przybrał tożsamość osoby, której dane dotyczą, tj. podszył się pod nią w jakiejkolwiek formie, czy też kradzież tożsamości polega już na tym, że w międzyczasie sprawcy dysponują danymi, które umożliwiają identyfikację osoby, której dane dotyczą?”.

Postępowanie przed Trybunałem

15 Postanowieniem prezesa Trybunału z dnia 19 kwietnia 2022 r. sprawy C‑182/22 i C‑189/22 zostały połączone do celów pisemnego i ustnego etapu postępowania oraz wydania wyroku.

16 W dniu 1 czerwca 2022 r. prezes Trybunału oddalił wniosek Scalable Capital o utajnienie tożsamości osób i podmiotów będących stronami niniejszego postępowania na podstawie art. 95 § 2 regulaminu postępowania przed Trybunałem.

W przedmiocie dopuszczalności wniosków o wydanie orzeczenia w trybie prejudycjalnym

17 Scalable Capital utrzymuje zasadniczo, że niniejsze wnioski o wydanie orzeczenia w trybie prejudycjalnym są niedopuszczalne, ponieważ nie mają one wpływu na rozstrzygnięcie sporów w postępowaniach głównych. Uważa ona, że abstrakcyjna utrata kontroli nad danymi, jak ma to miejsce w niniejszej sprawie, nie powinna być zakwalifikowana jako „szkoda” w rozumieniu art. 82 ust. 1 RODO, jeżeli taka utrata kontroli nie wywołała konkretnych skutków, a tym samym – że nie zostały spełnione przesłanki zastosowania wspomnianego art. 82. Taka kwalifikacja prowadziłaby bowiem do uznania, że każde naruszenie rozporządzenia prowadzi do powstania domniemania szkody, wbrew brzmieniu, ogólnej systematyce i genezie art. 82 RODO.

18 W tym względzie, zgodnie z utrwalonym orzecznictwem, wyłącznie do sądu krajowego, przed którym zawisł spór i na którym spoczywa odpowiedzialność za mające zapaść rozstrzygnięcie, należy ustalenie, czy, przy uwzględnieniu specyfiki danej sprawy, w celu wydania rozstrzygnięcia zachodzi potrzeba uzyskania orzeczenia w trybie prejudycjalnym, jak i ocena zasadności zadawanych Trybunałowi pytań, które korzystają w tym względzie z domniemania posiadania znaczenia dla sprawy. Wobec tego w sytuacji, gdy zadane pytanie dotyczy wykładni lub ważności przepisu prawa Unii, Trybunał jest co do zasady zobowiązany orzec, chyba że oczywiste jest, że wykładnia, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia przydatnej odpowiedzi na dane pytanie [zob. wyroki: z dnia 5 maja 2022 r., Zagrebačka banka, C‑567/20, EU:C:2022:352, pkt 43; z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 23].

19 W niniejszej sprawie wystarczy przypomnieć, że jeżeli nie jest oczywiste, że wykładnia przepisu prawa Unii nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, zarzut oparty na niemożności zastosowania tego przepisu w postępowaniu głównym nie ma związku z dopuszczalnością wniosku o wydanie orzeczenia w trybie prejudycjalnym, lecz dotyczy istoty pytań (zob. podobnie wyroki: z dnia 13 lipca 2006 r., Manfredi i in., od C‑295/04 do C‑298/04, EU:C:2006:461, pkt 30; z dnia 4 lipca 2019 r., Kirschstein, C‑393/17, EU:C:2019:563, pkt 28; a także z dnia 24 lipca 2023 r., Lin, C‑107/23 PPU, EU:C:2023:606, pkt 66).

20 Z powyższego wynika, że niniejsze wnioski o wydanie orzeczenia w trybie prejudycjalnym są dopuszczalne.

W przedmiocie pytań prejudycjalnych

W przedmiocie pytania pierwszego i pierwszej części pytania drugiego

21 Poprzez pytanie pierwsze i część pierwszą pytania drugiego, które należy zbadać łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że prawo do odszkodowania przewidziane w tym przepisie pełni funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej w wyniku naruszenia tego rozporządzenia, czy też pełni ono również funkcję represyjną, mającą na celu w szczególności zaspokojenie indywidualnych interesów osoby, której dane dotyczą.

22 W tym względzie Trybunał orzekł już, że art. 82 RODO pełni funkcję nie represyjną, lecz kompensacyjną – w przeciwieństwie do innych przepisów tego rozporządzenia zawartych również w jego rozdziale VIII, a mianowicie jego art. 83 i 84, które z kolei mają zasadniczo cel represyjny, ponieważ umożliwiają, odpowiednio, nakładanie grzywien administracyjnych i innych kar. Relacja między przepisami ustanowionymi we wspomnianym art. 82 a przepisami zawartymi we wspomnianych art. 83 i 84 świadczy o tym, że istnieje różnica między tymi dwiema kategoriami przepisów, ale także komplementarność, jeśli chodzi o zachętę do przestrzegania RODO, przy czym prawo każdej osoby do żądania odszkodowania wzmacnia operacyjny charakter przepisów ochronnych przewidzianych w tym rozporządzeniu i może zniechęcać do powtarzania bezprawnych zachowań [zob. w szczególności wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 38, 40; a także z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 59].

23 W konsekwencji art. 82 ust. 1 RODO należy interpretować w ten sposób, że prawo do odszkodowania przewidziane w tym przepisie, w szczególności w przypadku szkody niemajątkowej, pełni wyłącznie funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełną kompensację szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, nie zaś funkcję odstraszającą lub represyjną [zob. w szczególności wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 57, 58; a także z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 61].

24 W konsekwencji odpowiedź na pytanie pierwsze i część pierwszą pytania drugiego powinna brzmieć tak, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że przewidziane w tym przepisie prawo do odszkodowania pełni wyłącznie funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełną kompensację poniesionej szkody.

W przedmiocie części drugiej pytania drugiego

25 Z uwagi na odpowiedź udzieloną na pytanie pierwsze i część pierwszą pytania drugiego nie ma potrzeby udzielania odpowiedzi na część drugą pytania drugiego.

W przedmiocie części trzeciej pytania drugiego

26 Poprzez część trzecią pytania drugiego sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że wymaga on, aby do celów odszkodowania na podstawie tego przepisu uwzględniano wagę i ewentualny umyślny charakter naruszenia tego rozporządzenia przez administratora danych.

27 Co się tyczy ustalenia wysokości odszkodowania ewentualnie należnego na podstawie art. 82 RODO, w braku dotyczącego tej kwestii przepisu w tym rozporządzeniu sądy krajowe powinny stosować przepisy wewnętrzne każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, pod warunkiem że przestrzegane są zasady równoważności i skuteczności prawa Unii [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 53, 54, 59; a także z dnia 25 stycznia 2024 r., MediaMarkSaturn, C‑687/21, EU:C:2024:72, pkt 53].

28 Należy jednak podkreślić, że po pierwsze, powstanie odpowiedzialności administratora danych, na podstawie art. 82 RODO, jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody, i po drugie, ten art. 82 nie wymaga wzięcia pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie tego przepisu (wyroki: z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 103; z dnia 25 stycznia 2024 r., MediaMarktSaturn, C‑687/21, EU:C:2024:72, pkt 52).

29 Ponadto wyłącznie kompensacyjna funkcja prawa do odszkodowania przewidzianego w art. 82 ust. 1 RODO wyklucza uwzględnienie ewentualnie umyślnego charakteru naruszenia tego rozporządzenia, którego miałby dopuścić się administrator przy ustalaniu kwoty odszkodowania za szkodę niemajątkową na podstawie tego przepisu. Kwotę tę należy jednak ustalić w taki sposób, aby w pełni zrekompensować konkretną szkodę poniesioną w wyniku naruszenia wspomnianego rozporządzenia (zob. analogicznie wyroki: z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 102; z dnia 25 stycznia 2024 r., MediaMarktSaturn, C‑687/21, EU:C:2024:72, pkt 54).

30 W świetle powyższych rozważań odpowiedź na część trzecią pytania drugiego powinna brzmieć tak, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że nie wymaga on, aby do celów odszkodowania na podstawie tego przepisu uwzględniano wagę i ewentualny umyślny charakter naruszenia tego rozporządzenia przez administratora danych.

W przedmiocie pytania trzeciego

31 Poprzez pytanie trzecie sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że przy ustalaniu kwoty odszkodowania należnego z tytułu prawa do odszkodowania za szkodę niemajątkową należy uznać, iż taka szkoda spowodowana naruszeniem ochrony danych osobowych jest ze swej natury mniej istotna niż uszczerbek na zdrowiu.

32 W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem wobec braku norm Unii w danej dziedzinie do wewnętrznego porządku prawnego każdego państwa członkowskiego należy, na mocy zasady autonomii proceduralnej, uregulowanie szczegółowych aspektów proceduralnych dotyczących środków prawnych mających na celu ochronę uprawnień przysługujących podmiotom prawa, pod warunkiem jednak, że zasady te w sytuacjach objętych prawem Unii nie będą mniej korzystne niż te odnoszące się do podobnych sytuacji podlegających prawu krajowemu (zasada równoważności) oraz że w praktyce nie będą uniemożliwiały lub nie uczynią nadmiernie uciążliwym wykonywania uprawnień przyznanych w prawie Unii (zasada skuteczności) [zob. podobnie wyroki: z dnia 13 grudnia 2017 r., El Hassani, C‑403/16, EU:C:2017:960, pkt 26; z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 53].

33 W niniejszej sprawie należy zauważyć, że RODO nie zawiera przepisu mającego na celu określenie zasad dotyczących oszacowania odszkodowania, którego osoba, której dane dotyczą, w rozumieniu art. 4 pkt 1 tego rozporządzenia, może dochodzić na podstawie art. 82 owego rozporządzenia, jeżeli naruszenie tego rozporządzenia wyrządziło jej szkodę. W związku z tym, w braku norm prawa Unii w tej dziedzinie, do porządku prawnego każdego państwa członkowskiego należy określenie zasad dotyczących działań mających na celu zapewnienie podmiotom prawa ochrony uprawnień wynikających ze wspomnianego art. 82, a w szczególności kryteriów pozwalających na określenie zakresu należnego w tych ramach odszkodowania, z zastrzeżeniem poszanowania wspomnianych zasad równoważności i skuteczności [wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 54].

34 Ponieważ żaden element akt sprawy, którymi dysponuje Trybunał, nie wskazuje na to, by zasada równoważności mogła mieć znaczenie w kontekście niniejszych spraw rozstrzyganych w postępowaniach głównych, należy skupić się na zasadzie skuteczności. W tym kontekście do sądu odsyłającego należy ustalenie, czy przewidziane w prawie niemieckim zasady ustalania przez sąd odszkodowania należnego z tytułu ustanowionego w art. 82 RODO prawa do odszkodowania nie czynią praktycznie niemożliwym lub nadmiernie utrudnionym wykonywania praw przyznanych przez prawo Unii, a w szczególności przez to rozporządzenie.

35 W tym względzie z orzecznictwa przypomnianego w pkt 23 niniejszego wyroku wynika, że ze względu na wyłącznie kompensacyjną funkcję prawa do odszkodowania przewidzianego w art. 82 ust. 1 tego rozporządzenia odszkodowanie pieniężne oparte na tym przepisie należy uznać za „pełne i skuteczne”, jeżeli pozwala ono na pełną kompensację szkody poniesionej konkretnie w wyniku naruszenia wspomnianego rozporządzenia.

36 W tym kontekście motyw 146 wspomnianego rozporządzenia stanowi ponadto, że „[p]ojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni uwzględniający cele niniejszego rozporządzenia” oraz że „[o]soby, których dane dotyczą, powinny otrzymać pełne i skuteczne odszkodowanie za poniesioną szkodę”.

37 Należy również zauważyć, że motywy 75 i 85 RODO wymieniają różne okoliczności, które mogą zostać zakwalifikowane jako „uszczerbek fizyczny lub szkody majątkowe lub niemajątkowe”, bez wprowadzenia między nimi hierarchii ani bez wskazywania, że naruszenia wynikające z naruszenia ochrony danych są ze swej natury mniej istotne niż uszkodzenia ciała.

38 Tymczasem założenie, że co do zasady uszczerbek na zdrowiu jest ze swej natury ważniejszy niż szkoda niemajątkowa, mogłoby prowadzić do podważenia zasady pełnego i skutecznego odszkodowania za poniesioną szkodę.

39 W świetle powyższych rozważań odpowiedź na pytanie trzecie powinna brzmieć tak, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że przy ustalaniu kwoty odszkodowania należnego z tytułu prawa do odszkodowania za szkodę niemajątkową należy uznać, iż taka szkoda spowodowana naruszeniem ochrony danych osobowych nie jest ze swej natury mniej istotna niż uszczerbek na zdrowiu.

W przedmiocie pytania czwartego

40 Poprzez pytanie czwarte sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że w razie wystąpienia szkody sąd krajowy może, w sytuacji gdy nie jest ona poważna, skompensować szkodę przyznając osobie, której dane dotyczą minimalne odszkodowanie, które może być postrzegane jako symboliczne.

41 Należy na wstępie przypomnieć, że z utrwalonego orzecznictwa wynika, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że samo naruszenie tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania, ponieważ istnienie „szkody”, majątkowej lub niemajątkowej, lub „szkody”, która została „poniesiona”, stanowi jedną z przesłanek prawa do odszkodowania przewidzianego we wspomnianym art. 82 ust. 1, podobnie jak istnienie naruszenia wspomnianego rozporządzenia i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne [wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 32; a także z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 34].

42 Tak więc osoba domagająca się odszkodowania za szkodę niemajątkową na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, że owo naruszenie wyrządziło jej taką szkodę, której nie można zatem jedynie domniemywać ze względu na zaistnienie wspomnianego naruszenia [zob. w szczególności wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 42, 50; a także z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 35].

43 Jeżeli osoba zdoła wykazać, że naruszenie RODO wyrządziło jej szkodę w rozumieniu art. 82 tego rozporządzenia, z pkt 33 niniejszego wyroku wynika w istocie, że kryteria oceny należnego odszkodowania w ramach powództw mających na celu zachowanie praw jakie podmioty prawa wywodzą z tego artykułu powinny być określone w ramach porządku prawnego poszczególnych państw członkowskich, pod warunkiem, że takie odszkodowanie jest pełne i skuteczne.

44 W tym względzie Trybunał orzekł, że art. 82 ust. 1 RODO nie wymaga, żeby w następstwie dowiedzionego naruszenia przepisów tego rozporządzenia szkoda podnoszona przez osobę, której dane dotyczą, musiała osiągnąć „próg de minimis”, aby powstało prawa do odszkodowania (zob. podobnie, wyrok z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, pkt 18).

45 Jednakże nie wyklucza to, aby sądy krajowe mogły przyznać odszkodowanie w niewielkiej kwocie pod warunkiem, że takie odszkodowanie w pełni kompensuje rzeczoną szkodę, czego sprawdzenie należy do sądu odsyłającego, z zachowaniem zasad przypomnianych w pkt 43 niniejszego wyroku.

46 Z powyższych rozważań wynika, że odpowiedź na pytanie czwarte powinna brzmieć tak, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że w razie wystąpienia szkody sąd krajowy może, w sytuacji gdy nie jest ona poważna, skompensować szkodę przyznając osobie, której dane dotyczą minimalne odszkodowanie, pod warunkiem, że takie odszkodowanie w pełni kompensuje poniesioną szkodę.

W przedmiocie pytania piątego

W przedmiocie dopuszczalności

47 W swoich uwagach na piśmie Komisja Europejska rozważała znaczenie pytania piątego dla rozstrzygnięcia sporów w postępowaniach głównych, ponieważ stwierdza ona, że sąd odsyłający nie odwołał się do konkretnego przepisu prawa Unii.

48 W tym względzie pytanie piąte odnosi się do pojęcia „kradzieży tożsamości” w rozumieniu motywu 75 RODO i nie dotyczy formalnie art. 82 tego rozporządzenia. Jednakże sam fakt, iż Trybunał miałby się wypowiedzieć w sposób abstrakcyjny i ogólny, nie może powodować niedopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym (wyrok z dnia 15 listopada 2007 r., International Mail Spain, C‑162/06, EU:C:2007:681, pkt 24).

49 Otóż w pytaniu tym sąd odsyłający zwraca się do Trybunału o dokonanie wykładni pojęcia „kradzieży tożsamości” zawartego w motywie 75 RODO w celu ustalenia kwoty odszkodowania pieniężnego przewidzianego w art. 82 RODO. Pytanie to dotyczy zatem przepisu prawa Unii. Ponadto odpowiedź na to pytanie jest również istotna w zakresie, w jakim sąd odsyłający i strony w postępowaniach głównych nie zgadzają się co do definicji tego pojęcia dla celów oszacowania szkody poniesionej w sprawach rozstrzyganych w postępowaniach głównych.

50 W tych okolicznościach pytanie piąte jest dopuszczalne.

Co do istoty

51 Zgodnie z utrwalonym orzecznictwem w ramach ustanowionej w art. 267 TFUE procedury współpracy między sądami krajowymi a Trybunałem do tego ostatniego należy udzielenie sądowi krajowemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu. Mając to na uwadze, Trybunał powinien w razie potrzeby przeformułować przedłożone mu pytania. Ponadto Trybunał może wziąć pod rozwagę normy prawa Unii, na które sąd krajowy nie powołał się w swoich pytaniach prejudycjalnych (wyrok z dnia 7 września 2023 r., Groenland Poultry, C‑169/22, EU:C:2023:638, pkt 47 i przytoczone tam orzecznictwo).

52 W niniejszej sprawie pytanie piąte dotyczy prawa do odszkodowania przewidzianego w art. 82 ust. 1 RODO, a w szczególności pojęcia „kradzieży tożsamości” zawartego w motywie 75 RODO. Tymczasem należy zauważyć, że oprócz tego motywu pojęcie to jest również obecne w motywie 85 tego rozporządzenia.

53 W konsekwencji należy stwierdzić, że poprzez pytanie piąte sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO w związku z motywami 75 i 85 tego rozporządzenia należy interpretować w ten sposób, że pojęcie „kradzieży tożsamości” wymaga, by tożsamość osoby, której dotyczy kradzież danych osobowych, została rzeczywiście przywłaszczona przez osobę trzecią, aby można było uznać, że kradzież ta miała miejsce i że powstaje prawo do odszkodowania za szkodę niemajątkową na podstawie tego przepisu, czy też tego rodzaju kradzież tożsamości ma miejsce wówczas, gdy ta osoba trzecia dysponuje danymi pozwalającymi na identyfikację osoby, której dane dotyczą.

54 Pojęcie „kradzieży tożsamości” nie zostało zdefiniowane w RODO. Jednakże „kradzież” lub „oszustwo dotyczące” tożsamości są wymienione w motywie 75 tego rozporządzenia jako część niewyczerpującego wykazu skutków przetwarzania danych osobowych, które może spowodować uszczerbek fizyczny lub szkodę majątkową lub niemajątkową. W motywie 85 wspomnianego rozporządzenia „kradzież” lub „sfałszowanie” tożsamości są ponownie wymienione łącznie w wykazie obejmującym uszczerbek fizyczny lub szkodę majątkową lub niemajątkową, które mogą być spowodowane naruszeniem ochrony danych osobowych.

55 Jak zauważył rzecznik generalny w pkt 29 opinii, różne wersje językowe motywów 75 i 85 RODO wymieniają „kradzież tożsamości”, „oszustwo dotyczące tożsamości”, „nadużycie tożsamości”, „niewłaściwe wykorzystanie tożsamości” i „przywłaszczenie tożsamości”, które to terminy są tam używane bez rozróżnienia. W konsekwencji pojęcia „kradzież” i „oszustwo dotyczące” tożsamości są zamienne i nie można dokonywać między nimi żadnego rozróżnienia. Te dwa ostatnie pojęcia wskazują na wolę przywłaszczenia sobie tożsamości osoby, której dane osobowe zostały wcześniej skradzione.

56 Ponadto, jak zauważył również rzecznik generalny w pkt 30 opinii, wśród różnych pojęć wymienionych w wykazach zawartych w motywach 75 i 85 RODO „utrata kontroli” lub bycie pozbawionym możliwości „sprawowania kontroli” nad danymi osobowymi odróżnia się od „kradzieży” lub „oszustwa dotyczącego tożsamości”. Wynika z tego, że dostęp i przejęcie kontroli nad takimi danymi, które można by zrównać z ich kradzieżą, nie są same w sobie równoważne z „kradzieżą” lub „oszustwem dotyczącym” tożsamości. Innymi słowy, kradzież danych osobowych nie stanowi sama w sobie kradzieży tożsamości lub oszustwa dotyczącego tożsamości.

57 Należy jednak uściślić w tym względzie, że odszkodowanie za szkodę niemajątkową spowodowaną kradzieżą danych osobowych na podstawie art. 82 ust. 1 RODO nie może być ograniczone do przypadków, w których wykazano, że taka kradzież danych doprowadziła następnie do kradzieży tożsamości lub oszustwa dotyczącego tożsamości. Kradzież danych osobowych osoby, której dane dotyczą, rodzi bowiem prawo do odszkodowania za doznaną szkodę niemajątkową na podstawie art. 82 ust. 1 RODO, jeżeli zastosowanie mają trzy przesłanki określone w tym przepisie, obejmujące przetwarzanie danych osobowych z naruszeniem przepisów RODO, szkodę poniesioną przez osobę, której dane dotyczą, oraz związek przyczynowy między tym niezgodnym z prawem przetwarzaniem a tą szkodą [zob. wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 32, 36].

58 Z powyższych względów odpowiedź na pytanie piąte powinna brzmieć tak, że art. 82 ust. 1 RODO w związku z motywami 75 i 85 tego rozporządzenia należy interpretować w ten sposób, że pojęcie „kradzieży tożsamości” wymaga, by tożsamość osoby, której dotyczy kradzież danych osobowych, została rzeczywiście przywłaszczona przez osobę trzecią, aby można było uznać, że kradzież ta miała miejsce i że powstaje prawo do odszkodowania za szkodę niemajątkową na podstawie tego przepisu. Jednakże odszkodowanie za szkodę niemajątkową spowodowaną kradzieżą danych osobowych na podstawie tego przepisu nie może być ograniczone do przypadków, w których wykazano, że taka kradzież danych doprowadziła następnie do kradzieży tożsamości lub oszustwa dotyczącego tożsamości.

W przedmiocie kosztów

59 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:

1) Artykuł 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)