CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:531

ROZSUDOK SÚDNEHO DVORA (tretia komora)

z 20. júna 2024 (*)

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 82 – Právo na náhradu škody spôsobenej spracovaním údajov vykonaným v rozpore s týmto nariadením – Pojem ‚nemajetková ujma‘ – Náhrada škody, ktorá má sankčnú povahu alebo čisto kompenzačnú a satisfakčnú povahu – Minimálna alebo symbolická náhrada škody – Krádež osobných údajov uložených v aplikácii na obchodovanie – Krádež totožnosti alebo podvod“

V spojených veciach C‑182/22 a C‑189/22,

ktorej predmetom sú návrhy na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podané rozhodnutiami Amtsgericht München (Okresný súd Mníchov, Nemecko) z 3. marca 2022 a doručené Súdnemu dvoru 10 a 11. marca 2022, ktoré súvisia s konaním:

JU (C‑182/22),

SO (C‑189/22)

proti

Scalable Capital GmbH,

SÚDNY DVOR (tretia komora),

v zložení: predsedníčka tretej komory K. Jürimäe, sudcovia N. Piçarra a N. Jääskinen (spravodajca),

generálny advokát: A. M. Collins,

tajomník: A. Calot Escobar,

so zreteľom na písomnú časť konania,

so zreteľom na pripomienky, ktoré predložili:

– SO, v zastúpení: M. Ruigrok van de Werve, Rechtsanwalt,

– Scalable Capital GmbH, v zastúpení: C. Mekat, Rechtsanwalt,

– Írsko, v zastúpení: M. Browne, Chief State Solicitor, A. Joyce a M. Tierney, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,

– Európska komisia, v zastúpení: A. Bouchagiar, M. Heller a H. Kranenborg, splnomocnení zástupcovia,

po vypočutí návrhov generálneho advokáta na pojednávaní 26. októbra 2023,

vyhlásil tento

Rozsudok

1 Návrhy na začatie prejudiciálneho konania sa týkajú výkladu článku 82 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).

2 Tieto návrhy boli podané v rámci dvoch sporov medzi JU a SO a spoločnosťou Scalable Capital GmbH, ktoré sa týkajú náhrady nemajetkovej ujmy údajne spôsobenej žalobcom krádežou ich osobných údajov uložených v aplikácii na obchodovanie spravovanej touto spoločnosťou, ktorej sa dopustili neznáme tretie strany.

Právny rámec

3 Odôvodnenia 75, 85 a 146 GDPR znejú takto:

„(75) Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory a členstvo v odborových organizáciách, a ak sa spracúvajú genetické údaje, údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života alebo uznania viny zo spáchania trestného činu a priestupku či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú alebo predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu, s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky na veľký počet dotknutých osôb.

…

(85) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. …

…

(146) … Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia. … Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu. …“

4 Článok 4 tohto nariadenia s názvom „Vymedzenie pojmov“ stanovuje:

„Na účely tohto nariadenia:

1. ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘);

…

7. ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov;

…

10. ‚tretia strana‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

…

12. ‚porušenie ochrany osobných údajov‘ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

…“

5 Článok 82 tohto nariadenia, nazvaný „Právo na náhradu škody a zodpovednosť“, v odsekoch 1 až 3 stanovuje:

„1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.

3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.“

Spory vo veciach samých a prejudiciálne otázky

6 Scalable Capital, spoločnosť založená podľa nemeckého práva, spravuje trading app (aplikácia na obchodovanie), na ktorej si žalobcovia vo veci samej JU a SO založili účet. Na tieto účty uložili určité osobné údaje, najmä meno, dátum narodenia, poštovú adresu, e‑mailovú adresu, ako aj digitálnu kópiu preukazov totožnosti. Žalobcovia vo veci samej zaplatili sumu vo výške niekoľko tisíc eur potrebnú na založenie týchto účtov.

7 V priebehu roka 2020 získali k osobným údajom a údajom týkajúcim sa portfólia cenných papierov žalobcov vo veci samej neoprávnený prístup tretie strany, ktorých totožnosť je neznáma. Podľa Scalable Capital neboli uvedené osobné údaje doteraz použité podvodným spôsobom.

8 V tomto kontexte žalobcovia vo veci samej podali na vnútroštátny súd Amtsgericht München (Okresný súd Mníchov, Nemecko) žalobu, ktorou sa domáhali, aby im bola nahradená nemajetková ujma, ktorú údajne utrpeli v dôsledku krádeže ich osobných údajov.

9 Otázky vnútroštátneho súdu po prvé vyplývajú z rozdielnych prístupov nemeckých súdov k posúdeniu náhrady škody, ktorú treba priznať v takejto situácii. To predurčuje významné rozdiely vo výške peňažnej náhrady priznanej v podobných prípadoch, ako sú prípady vo veci samej, najmä podľa toho, či sa zohľadnil alebo nezohľadnil prípadný odstrašujúci účinok. Vnútroštátny súd uvádza, že v prejednávanej veci je stratou predmetných údajov ovplyvnených niekoľko desiatok tisíc osôb, a preto je potrebné prijať jednotný spôsob posúdenia.

10 Po druhé, pokiaľ ide o posúdenie nemajetkovej ujmy, na účely odlíšenia „kompenzačnej“ funkcie od funkcie „osobnej satisfakcie“ sa vnútroštátny súd opiera o nemecké právo. Účelom kompenzačnej funkcie je odškodniť spôsobené a predvídateľné následky údajnej ujmy, zatiaľ čo účelom funkcie osobnej satisfakcie je neutralizovať pocit nespravodlivosti pociťovaný v dôsledku vzniku tejto ujmy. Vnútroštátny súd poukazuje na to, že v nemeckom práve má funkcia satisfakcie len vedľajšiu úlohu, a domnieva sa, že v prejednávanej veci by táto funkcia nemala mať žiadny vplyv na výpočet náhrady škody požadovanej žalobcami.

11 Po tretie nemecké právo nestanovuje stupnicu na určenie výšky náhrady škody, ktorá sa má priznať podľa situácií, v ktorých sa požaduje. Veľký počet vydaných individuálnych rozhodnutí však umožňuje stanoviť rámec, na ktorý sa dá odkázať, čo vedie k určitej forme systematizácie náhrady škody. V tejto súvislosti sa v nemeckom právnom poriadku peňažná náhrada priznáva na kompenzáciu porušení práv na ochranu osobnosti len vtedy, ak sú obzvlášť závažné. Peňažné ohodnotenie pri náhrade ujmy na zdraví možno uskutočniť objektívnejšie. Vnútroštátny súd sa preto domnieva, že strata údajov by mala mať menšiu váhu ako zásahy do fyzickej integrity.

12 Po štvrté sa tento súd pýta na možnosť priznať nízku náhradu škody, ktorá by mohla byť vnímaná ako symbolická v prípadoch, keď je ujma spojená s porušením GDPR minimálna.

13 Po piate vnútroštátny súd poznamenáva, že účastníci konania vo veci samej vykladajú pojem „krádež totožnosti“ odlišným spôsobom. V tejto súvislosti sa domnieva, že o krádež totožnosti ide len vtedy, ak nezákonne získané údaje tretia strana použije s cieľom prisvojiť si totožnosť dotknutej osoby.

14 Za týchto podmienok Amtsgericht München (Okresný súd Mníchov) rozhodol vo veciach C‑182/22 a C‑189/22 prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky, ktoré majú v oboch veciach rovnaké znenie:

„1. Má sa článok 82 [GDPR] vykladať v tom zmysle, že nárok na náhradu škody nemá ani v rámci určovania jeho výšky sankčný charakter, a najmä nemá všeobecnú alebo špeciálnu odstrašujúcu funkciu, ale má len kompenzačnú a prípadne satisfakčnú funkciu?

2. Má sa pri určovaní výšky nároku na náhradu nemajetkovej ujmy vychádzať z toho, že tento nárok má tiež individuálnu satisfakčnú funkciu – v tomto prípade chápanú ako súkromný záujem poškodeného na tom, aby správanie, ktoré mu spôsobilo ujmu, bolo potrestané –, alebo má tento nárok na náhradu škody len kompenzačnú funkciu – v tomto prípade chápanú ako funkciu spočívajúcu v kompenzácii vzniknutej ujmy?

Ak sa má vychádzať z toho, že nárok na náhradu nemajetkovej ujmy má tak kompenzačnú, ako aj satisfakčnú funkciu, treba pri určovaní jeho výšky vychádzať z toho, že kompenzačná funkcia má systematickú prednosť alebo aspoň prednosť, ktorá sa má chápať v zmysle vzťahu medzi pravidlom a výnimkou, pred satisfakčnou funkciou? Má to za následok, že satisfakčná funkcia prichádza do úvahy len v prípade úmyselných porušení alebo porušení spôsobených z hrubej nedbanlivosti?

Ak nárok na náhradu nemajetkovej ujmy nemá satisfakčnú funkciu, vyplýva dodatočná závažnosť pri určovaní jeho výšky v rámci posudzovania faktorov, ktoré prispeli ku vzniku ujmy, len z úmyselných porušení alebo porušení spôsobených z hrubej nedbanlivosti, ktoré sa týkajú ochrany údajov?

3. Má sa pri určovaní výšky náhrady nemajetkovej ujmy vychádzať zo systematického hierarchického vzťahu alebo aspoň hierarchického vzťahu medzi pravidlom a výnimkou, pri ktorom je ujma spôsobená porušením práva na ochranu údajov menej závažná, ako je ujma a bolesť spôsobená zásahom do fyzickej integrity?

4. Môže vnútroštátny súd v prípade, ak sa má vychádzať z toho, že vznikla škoda, vzhľadom na jej nedostatočnú závažnosť priznať nárok na náhradu škody, ktorý je z materiálneho hľadiska len nepatrný, a preto ho prípadne poškodený vníma len ako symbolický alebo sa všeobecne vníma ako symbolický?

5. Má sa pri posudzovaní následkov náhrady nemajetkovej ujmy vychádzať z toho, že o krádež totožnosti v zmysle odôvodnenia 75 [GDPR] ide až vtedy, keď páchateľ skutočne prijal totožnosť dotknutej osoby, teda v akejkoľvek podobe sa vydával za dotknutú osobu, alebo taká krádež totožnosti spočíva už v tom, že páchatelia medzitým disponujú údajmi, ktoré umožňujú identifikovať dotknutú osobu?“

Konanie na Súdnom dvore

15 Rozhodnutím predsedu Súdneho dvora z 19. apríla 2022 boli veci C‑182/22 a C‑189/22 spojené na spoločné konanie na účely písomnej časti konania, ústnej časti konania a rozsudku.

16 Dňa 1. júna 2022 predseda Súdneho dvora zamietol návrh spoločnosti Scalable Capital na anonymizáciu tohto konania podľa článku 95 ods. 2 Rokovacieho poriadku Súdneho dvora.

O prípustnosti návrhov na začatie prejudiciálneho konania

17 Scalable Capital v podstate tvrdí, že prejednávané návrhy na začatie prejudiciálneho konania nie sú prípustné, keďže nemajú vplyv na riešenie sporov vo veci samej. Domnieva sa, že abstraktnú stratu kontroly nad údajmi, ako je to v prejednávanej veci, nemožno kvalifikovať ako „ujmu“ v zmysle článku 82 ods. 1 GDPR, ak takáto strata kontroly nemá konkrétne dôsledky, a teda nie sú splnené podmienky uplatnenia uvedeného článku 82. Takáto kvalifikácia by totiž viedla k záveru, že každé porušenie nariadenia zakladá domnienku vzniku ujmy, čo je v rozpore so znením, všeobecnou systematikou a genézou článku 82 GDPR.

18 V tejto súvislosti podľa ustálenej judikatúry prináleží len vnútroštátnemu súdu, ktorému bol spor predložený a ktorý musí niesť zodpovednosť za prijaté súdne rozhodnutie, aby s prihliadnutím na konkrétne okolnosti veci posúdil tak nevyhnutnosť prejudiciálneho rozhodnutia na vydanie svojho rozsudku, ako aj relevantnosť otázok, ktoré predkladá Súdnemu dvoru a vo vzťahu ku ktorým platí domnienka relevantnosti. Preto pokiaľ sa položená otázka týka výkladu alebo platnosti právneho predpisu Únie, Súdny dvor je v zásade povinný rozhodnúť, okrem prípadu, ak je zjavné, že požadovaný výklad nemá nijakú súvislosť s realitou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými a právnymi podkladmi potrebnými na užitočnú odpoveď na uvedenú otázku [pozri rozsudky z 5. mája 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, bod 43, a zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 23].

19 V tomto prípade stačí pripomenúť, že ak nie je zrejmé, že výklad ustanovenia práva Únie nijako nesúvisí s realitou alebo predmetom sporu vo veci samej, námietka založená na neuplatniteľnosti tohto ustanovenia na spor vo veci samej nemá vplyv na prípustnosť návrhu na začatie prejudiciálneho konania, ale patrí do vecného preskúmania položených otázok (pozri v tomto zmysle rozsudky z 13. júla 2006, Manfredi a i., C‑295/04 až C‑298/04, EU:C:2006:461, bod 30; zo 4. júla 2019, Kirschstein, C‑393/17, EU:C:2019:563, bod 28, a z 24. júla 2023, Lin, C‑107/23 PPU, EU:C:2023:606, bod 66).

20 Z toho vyplýva, že tieto návrhy na začatie prejudiciálneho konania sú prípustné.

O prejudiciálnych otázkach

O prvej otázke a prvej časti druhej otázky

21 Svojou prvou otázkou a prvou časťou druhej otázky, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že právo na náhradu škody stanovené v tomto ustanovení plní kompenzačnú funkciu, keďže peňažná náhrada založená na uvedenom ustanovení má umožniť nahradiť v celom rozsahu ujmu, ktorá vznikla v dôsledku porušenia tohto nariadenia, alebo či má aj sankčnú funkciu, ktorej cieľom je najmä uspokojiť individuálne záujmy dotknutej osoby.

22 V tejto súvislosti už Súdny dvor rozhodol, že článok 82 GDPR nemá sankčnú, ale kompenzačnú funkciu na rozdiel od iných ustanovení tohto nariadenia nachádzajúcich sa tiež v jeho kapitole VIII, a to článkov 83 a 84, ktoré majú v podstate sankčný účel, pretože umožňujú ukladať správne pokuty, ako aj iné sankcie. Vzťah medzi pravidlami stanovenými v článku 82 a pravidlami stanovenými v článkoch 83 a 84 preukazuje, že medzi týmito dvoma kategóriami ustanovení existuje rozdiel, ale aj sa vzájomne dopĺňajú, pokiaľ ide o motiváciu dodržiavať GDPR, pričom treba poznamenať, že právo každej osoby domáhať sa náhrady škody posilňuje vykonateľný charakter pravidiel ochrany stanovených týmto nariadením a môže odradiť od opakovaného protiprávneho konania [pozri najmä rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 38 a 40, ako aj z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 59].

23 Článok 82 ods. 1 GDPR sa preto vykladal v tom zmysle, že právo na náhradu škody stanovené v tomto ustanovení plní, najmä v prípade nemajetkovej ujmy, výhradne kompenzačnú funkciu, keďže peňažná náhrada založená na tomto ustanovení musí umožniť v plnej miere nahradiť ujmu, ktorá konkrétne vznikla z dôvodu porušenia tohto nariadenia, a nie odstrašujúcu alebo sankčnú funkciu [pozri v tomto zmysle rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 57 a 58, ako aj z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 61].

24 Preto treba na prvú otázku a prvú časť druhej otázky odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že právo na náhradu škody stanovené v tomto ustanovení plní výhradne kompenzačnú funkciu, keďže peňažná náhrada založená na uvedenom ustanovení musí umožniť úplnú náhradu utrpenej ujmy.

O druhej časti druhej otázky

25 Vzhľadom na odpoveď poskytnutú na prvú otázku a prvú časť druhej otázky nie je potrebné odpovedať na druhú časť tejto otázky.

O tretej časti druhej otázky

26 Vnútroštátny súd sa treťou časťou druhej otázky v podstate pýta, či sa článok 82 ods. 1 GDPR má vykladať v tom zmysle, že vyžaduje, aby na účely náhrady škody na základe tohto ustanovenia bol zohľadnený stupeň závažnosti a prípadná úmyselná povaha porušenia tohto nariadenia, ktorého sa dopustil prevádzkovateľ.

27 Pokiaľ ide o posúdenie prípadnej náhrady škody prislúchajúcej podľa článku 82 GDPR, musia vnútroštátne súdy, vzhľadom na to, že toto nariadenie neobsahuje ustanovenie v tomto zmysle, uplatniť vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady škody, a to pri dodržaní zásad ekvivalencie a efektivity práva Únie [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 53, 54 a 59, ako aj z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 53].

28 Treba však po prvé zdôrazniť, že vznik zodpovednosti prevádzkovateľa podľa článku 82 GDPR je podmienený existenciou jeho zavinenia, ktoré sa predpokladá, pokiaľ prevádzkovateľ nepreukáže, že udalosť, ktorá spôsobila škodu, mu nemožno nijako pripísať, a po druhé, že článok 82 nevyžaduje, aby sa pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe tohto ustanovenia zohľadnil stupeň závažnosti tohto zavinenia (rozsudky z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 103, a z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 52).

29 Okrem toho výlučne kompenzačná funkcia práva na náhradu škody stanovená v článku 82 ods. 1 GDPR vylučuje zohľadnenie prípadnej úmyselnej povahy porušenia tohto nariadenia, ktorého sa údajne dopustil prevádzkovateľ, pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy na základe uvedeného ustanovenia. Táto suma však musí byť určená tak, aby bola v celom rozsahu nahradená ujma, ktorá bola konkrétne spôsobená porušením uvedeného nariadenia (pozri analogicky rozsudky z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 102, a z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 54).

30 Vzhľadom na predchádzajúce dôvody treba na tretiu časť druhej otázky odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že nevyžaduje, aby sa na účely náhrady škody na základe tohto ustanovenia zohľadnil stupeň závažnosti a prípadná úmyselná povaha porušenia tohto nariadenia, ktorého sa dopustil prevádzkovateľ.

O tretej otázke

31 Svojou treťou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 nariadenia GDPR vykladať v tom zmysle, že v rámci stanovenia výšky náhrady škody, ktorá sa má zaplatiť na základe práva na náhradu nemajetkovej ujmy, sa treba domnievať, že takáto ujma spôsobená porušením ochrany osobných údajov je svojou povahou menej významná než ujma na zdraví.

32 V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry v prípade neexistencie pravidiel Únie v danej oblasti vnútroštátnemu právnemu poriadku každého členského štátu prináleží, aby na základe zásady procesnej autonómie upravil procesné náležitosti týkajúce sa žalôb určených na zaručenie ochrany práv osôb podliehajúcich súdnej právomoci, avšak pod podmienkou, že nesmú byť v situáciách, na ktoré sa vzťahuje právo Únie, menej priaznivé než pravidlá, ktoré upravujú podobné situácie podliehajúce vnútroštátnemu právu (zásada ekvivalencie), a že nesmú prakticky znemožniť alebo nadmerne sťažiť výkon práv, ktoré priznáva právo Únie (zásada efektivity) [pozri v tomto zmysle rozsudky z 13. decembra 2017, El Hassani, C‑403/16, EU:C:2017:960, bod 26, a zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 53].

33 V prejednávanej veci treba uviesť, že GDPR neobsahuje ustanovenie, ktorého predmetom by bolo vymedzenie pravidiel týkajúcich sa posúdenia náhrady škody, na ktorú má dotknutá osoba v zmysle článku 4 bodu 1 tohto nariadenia nárok podľa jeho článku 82, ak jej porušenie uvedeného nariadenia spôsobilo ujmu. Preto v prípade neexistencie pravidiel práva Únie v danej oblasti prináleží právnemu poriadku každého členského štátu, aby stanovil podmienky týkajúce sa žalôb určených na zaručenie ochrany práv, ktoré osobám podliehajúcim súdnej právomoci vyplývajú z tohto článku 82, a najmä kritériá umožňujúce určiť rozsah náhrady škody, ktorá sa má v tomto rámci vyplatiť, a to pod podmienkou dodržania uvedených zásad ekvivalencie a efektivity [rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 54].

34 Keďže zo spisu, ktorý má Súdny dvor k dispozícii, nevyplýva, že by zásada ekvivalencie mohla byť v kontexte prejednávaných vecí relevantná, je potrebné zamerať sa na zásadu efektivity. Z pohľadu tejto zásady prináleží vnútroštátnemu súdu, aby určil, či postupy stanovené v nemeckom práve na určenie výšky náhrady škody prislúchajúcej na základe práva na náhradu škody zakotveného v článku 82 GDPR nevedú k praktickej nemožnosti alebo nadmernému sťaženiu výkonu práv priznaných právom Únie, konkrétne týmto nariadením.

35 V tejto súvislosti z judikatúry pripomenutej v bode 23 tohto rozsudku vyplýva, že vzhľadom na výlučne kompenzačnú funkciu práva na náhradu škody stanoveného v článku 82 ods. 1 tohto nariadenia sa peňažná náhrada založená na tomto ustanovení musí považovať za „úplnú a účinnú“, ak umožňuje v celom rozsahu nahradiť ujmu, ktorá bola konkrétne spôsobená porušením uvedeného nariadenia.

36 V tejto súvislosti odôvodnenie 146 uvedeného nariadenia okrem iného uvádza, že „pojem škody [by sa mal] vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia“ a že „dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu“.

37 Treba tiež uviesť, že odôvodnenia 75 a 85 GDPR uvádzajú rôzne okolnosti, ktoré možno kvalifikovať ako „ujmu na zdraví, majetkovú ujmu alebo nemajetkovú ujmu“ bez toho, aby sa medzi nimi vytvárala hierarchia, alebo aby sa uvádzalo, že zásahy vyplývajúce z porušenia ochrany údajov sú svojou povahou menej závažné ako ujmy na zdraví.

38 Ak by sa v zásade predpokladalo, že ujma na zdraví je vo svojej podstate dôležitejšia ako nemajetková ujma, hrozilo by, že sa spochybní zásada úplnej a účinnej náhrady utrpenej škody.

39 Vzhľadom na vyššie uvedené dôvody treba na tretiu otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že v rámci stanovenia výšky náhrady škody prislúchajúcej na základe práva na náhradu nemajetkovej ujmy je potrebné dospieť k záveru, že takáto ujma spôsobená porušením ochrany osobných údajov nie je svojou povahou menej významná ako ujma na zdraví.

O štvrtej otázke

40 Svojou štvrtou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 nariadenia GDPR vykladať v tom zmysle, že v prípade zistenia ujmy môže vnútroštátny súd v prípade, že nie je závažná, priznať dotknutej osobe minimálnu náhradu tejto ujmy, ktorá by sa mohla vnímať ako symbolická.

41 Treba pripomenúť, že z ustálenej judikatúry vyplýva, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že samotné porušenie tohto nariadenia nestačí na priznanie práva na náhradu škody, keďže existencia majetkovej alebo nemajetkovej „ujmy“ alebo „škody“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v článku 82 ods. 1, rovnako ako aj existencia porušenia tohto nariadenia a príčinnej súvislosti medzi touto ujmou a týmto porušením, pričom uvedené tri podmienky sú kumulatívne [rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 32, a z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 34].

42 Osoba, ktorá sa domáha náhrady nemajetkovej ujmy na základe tohto ustanovenia, je preto povinná preukázať nielen porušenie ustanovení tohto nariadenia, ale aj to, že toto porušenie jej spôsobilo takúto ujmu, ktorá sa teda nemôže predpokladať len na základe výskytu tohto porušenia [pozri v tomto zmysle rozsudky zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 42 a 50, a z 11. apríla 2024, juris, C‑741/21, EU:C:2024:288, bod 35].

43 Ak sa osobe podarí preukázať, že porušením GDPR jej bola spôsobená ujma alebo škoda v zmysle článku 82 tohto nariadenia, z bodu 33 tohto rozsudku v podstate vyplýva, že kritériá na posúdenie prislúchajúcej náhrady škody v rámci žalôb určených na zaručenie ochrany práv, ktoré osobám podliehajúcim súdnej právomoci vyplývajú z tohto článku, musia byť stanovené v právnom poriadku každého členského štátu, aby táto náhrada škody bola úplná a účinná.

44 V tejto súvislosti Súdny dvor rozhodol, že článok 82 ods. 1 GDPR nevyžaduje, aby v nadväznosti na preukázané porušenie ustanovení tohto nariadenia musela ujma uvádzaná dotknutou osobou dosiahnuť „prahovú hodnotu de minimis“ na to, aby mohlo vzniknúť právo na náhradu škody (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 18).

45 Takéto úvahy však nebránia tomu, aby vnútroštátne súdy mohli priznať náhradu škody v malej výške za predpokladu, že táto náhrada plne kompenzuje uvedenú ujmu, čo musí overiť vnútroštátny súd v súlade so zásadami uvedenými v bode 43 tohto rozsudku.

46 Vzhľadom na vyššie uvedené dôvody treba na štvrtú otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že ak sa zistila ujma, vnútroštátny súd ju môže v prípade, že nie je závažná, nahradiť priznaním minimálnej náhrady škody dotknutej osobe za predpokladu, že uvedená náhrada môže v plnom rozsahu kompenzovať utrpenú ujmu.

O piatej otázke

O prípustnosti

47 Európska komisia sa vo svojich písomných pripomienkach pýtala na relevantnosť piatej otázky na účely vyriešenia sporov vo veci samej, keďže konštatuje, že vnútroštátny súd neuviedol nijaký odkaz na konkrétne ustanovenie práva Únie.

48 V tejto súvislosti sa piata otázka týka pojmu „krádež totožnosti“ v zmysle odôvodnenia 75 GDPR a formálne sa netýka článku 82 tohto nariadenia. Samotná skutočnosť, že Súdny dvor sa má vyjadriť vo všeobecných a abstraktných pojmoch, nemôže spôsobovať neprípustnosť návrhu na začatie prejudiciálneho konania (rozsudok z 15. novembra 2007, International Mail Spain, C‑162/06, EU:C:2007:681, bod 24).

49 Touto otázkou vnútroštátny súd žiada Súdny dvor o výklad pojmu „krádež totožnosti“, ako je uvedený v odôvodnení 75 GDPR, s cieľom určiť výšku peňažnej náhrady stanovenej v článku 82 GDPR. Uvedená otázka sa teda týka ustanovenia práva Únie. Navyše odpoveď na túto otázku je relevantná aj v tom zmysle, že ani vnútroštátny súd, ani účastníci konania vo veci samej sa nezhodujú na definícii tohto pojmu na účely posúdenia škody utrpenej vo veciach samých.

50 Za týchto podmienok je piata otázka prípustná.

O veci samej

51 Podľa ustálenej judikatúry je úlohou Súdneho dvora v rámci postupu spolupráce medzi ním a vnútroštátnymi súdmi, zavedeného článkom 267 ZFEÚ, aby poskytol vnútroštátnemu súdu užitočnú odpoveď, ktorá mu umožní rozhodnúť prejednávaný spor. V tomto smere Súdnemu dvoru v prípade potreby prináleží preformulovať položené otázky. Okrem toho môže Súdny dvor vziať do úvahy aj ustanovenia práva Únie, na ktoré sa vnútroštátny súd v znení svojej otázky neodvolával (rozsudok zo 7. septembra 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, bod 47 a citovaná judikatúra).

52 V tomto prípade sa piata otázka týka práva na náhradu škody podľa článku 82 ods. 1 GDPR, konkrétne pojmu „krádež totožnosti“ uvedeného v odôvodnení 75 GDPR. Treba však uviesť, že okrem tohto odôvodnenia je uvedený pojem spomenutý aj v odôvodnení 85 tohto nariadenia.

53 Vnútroštátny súd sa preto svojou piatou otázkou v podstate pýta, či sa článok 82 ods. 1 GDPR vo svetle odôvodnení 75 a 85 tohto nariadenia musí vykladať v tom zmysle, že aby bolo možné hovoriť o „krádeži totožnosti“, ktorá vedie ku vzniku práva na náhradu nemajetkovej ujmy podľa tohto ustanovenia, je potrebné, aby totožnosť osoby dotknutej krádežou osobných údajov bola skutočne zneužitá treťou stranou, alebo či k takejto krádeži totožnosti dochádza už vtedy, keď tretia strana disponuje údajmi, ktoré umožňujú identifikáciu dotknutej osoby.

54 Pojem krádež totožnosti nie je v GDPR definovaný. V odôvodnení 75 tohto nariadenia sa však uvádzajú výrazy „krádež“ alebo „podvod“, ktoré patria do neúplného zoznamu dôsledkov spracúvania osobných údajov zahŕňajúcich ujmu na zdraví, majetkovú alebo nemajetkovú ujmu. V odôvodnení 85 nariadenia sa opäť uvádza „krádež“ totožnosti alebo „podvod“ v rámci zoznamu prípadov ujmy na zdraví, majetkovej alebo nemajetkovej ujmy, ktoré môžu byť spôsobené porušením ochrany osobných údajov.

55 Ako uviedol generálny advokát v bode 29 svojich návrhov, v rôznych jazykových verziách odôvodnení 75 a 85 GDPR sa spomínajú pojmy „krádež totožnosti“, „podvod“, „podvod s totožnosťou“, „zneužitie totožnosti“ a „využitie totožnosti“, ktoré sa v nich používajú bez rozdielu. V dôsledku toho sú pojmy „krádež“ totožnosti a „podvod“ navzájom zameniteľné a nemožno medzi nimi rozlišovať. Tieto dva pojmy vedú k domnienke o snahe privlastniť si totožnosť osoby, ktorej osobné údaje boli predtým odcudzené.

56 Navyše, ako tiež uviedol generálny advokát v bode 30 svojich návrhov, v rámci rôznych pojmov uvedených v zoznamoch obsiahnutých v odôvodneniach 75 a 85 GDPR sa rozlišuje medzi príkladom „straty kontroly“ alebo bránenia „v kontrole“ nad osobnými údajmi a príkladom „krádeže totožnosti alebo podvodu“. Z toho vyplýva, že prístup k takýmto údajom a získanie kontroly nad nimi, ktoré by mohli byť považované za ich krádež, nemožno ako také prirovnať ku „krádeži totožnosti“ alebo „podvodu“. Inými slovami, krádež osobných údajov sama osebe nepredstavuje krádež totožnosti alebo podvod.

57 V tejto súvislosti však treba spresniť, že náhradu nemajetkovej ujmy spôsobenej krádežou osobných údajov podľa článku 82 ods. 1 GDPR nemožno obmedziť na prípady, keď sa preukáže, že takáto krádež údajov následne viedla ku krádeži totožnosti alebo k podvodu. Krádež osobných údajov dotknutej osoby totiž zakladá právo na náhradu nemajetkovej ujmy podľa článku 82 ods. 1 GDPR, ak sú splnené tri podmienky stanovené v tomto ustanovení, a to spracúvanie osobných údajov vykonané v rozpore s ustanoveniami GDPR, ujma alebo škoda, ktorú utrpela dotknutá osoba, a príčinná súvislosť medzi týmto nezákonným spracúvaním a touto ujmou [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 32 a 36].

58 Z týchto dôvodov treba na piatu otázku odpovedať tak, že článok 82 ods. 1 nariadenia GDPR v spojení s odôvodneniami 75 a 85 tohto nariadenia sa má vykladať v tom zmysle, že aby bolo možné hovoriť o „krádeži totožnosti“, ktorá vedie ku vzniku práva na náhradu nemajetkovej ujmy podľa tohto ustanovenia, je potrebné, aby totožnosť osoby dotknutej krádežou osobných údajov bola skutočne zneužitá treťou stranou. Náhrada nemajetkovej ujmy spôsobenej krádežou osobných údajov však podľa uvedeného ustanovenia nemôže byť obmedzená na prípady, keď sa preukáže, že takáto krádež údajov následne viedla ku krádeži totožnosti alebo k podvodu.

O trovách

59 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto:

1. Článok 82 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),