Wydanie tymczasowe
WYROK TRYBUNAŁU (trzecia izba)
z dnia 20 czerwca 2024 r.(*)
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 82 ust. 1 – Prawo do odszkodowania za szkodę spowodowaną przetwarzaniem danych z naruszeniem tego rozporządzenia – Pojęcie „szkody niemajątkowej” – Wpływ wagi poniesionej szkody – Ustalenie wysokości odszkodowania – Żądanie zadośćuczynienia za szkodę niemajątkową wynikające z obawy – Brak możliwości zastosowania kryteriów przewidzianych w art. 83 dla administracyjnych kar pieniężnych – Funkcja odstraszająca – Ustalenie w przypadku jednocześnie popełnionych naruszeń tego rozporządzenia i prawa krajowego
W sprawie C‑590/22
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Amtsgericht Wesel (sąd rejonowy w Wesel, Niemcy) postanowieniem z dnia 5 sierpnia 2022 r., które wpłynęło do Trybunału w dniu 9 września 2022 r., w postępowaniu:
AT,
BT
przeciwko
PS GbR,
VG,
MB,
DH,
WB,
GS,
TRYBUNAŁ (trzecia izba),
w składzie: K. Jürimäe, prezes izby, K. Lenaerts, prezes Trybunału, pełniący obowiązki sędziego trzeciej izby, N. Piçarra, N. Jääskinen (sprawozdawca) i M. Gavalec, sędziowie,
rzecznik generalny: M. Campos Sánchez-Bordona,
sekretarz: A. Calot Escobar,
uwzględniając pisemny etap postępowania,
rozważywszy uwagi, które przedstawili:
– w imieniu Irlandii – M. Browne, Chief State Solicitor, oraz A. Joyce i M. Tierney, w charakterze pełnomocników, których wspierał D. Fennelly, BL,
– w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,
podjąwszy, po wysłuchaniu rzecznika generalnego, decyzję o rozstrzygnięciu sprawy bez opinii,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).
2 Wniosek ten został złożony w ramach sporu między, odpowiednio, AT i BT, którzy są skarżącymi w postępowaniu głównym, a PS GbR, spółką doradztwa podatkowego, oraz VG, MB, DH, WB i GS, wspólnikami PS, w przedmiocie prawa skarżących w postępowaniu głównym do odszkodowania na podstawie art. 82 ust. 1 RODO tytułem zadośćuczynienia za cierpienia, których, jak twierdzą, doznali z tego powodu, że ich deklaracja podatkowa zawierająca dane osobowe została ujawniona stronie trzeciej bez ich zgody w następstwie błędu popełnionego przez PS.
Ramy prawne
3 Motywy 85, 146 i 148 RODO mają następujące brzmienie:
„(85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne […].
[…]
(146) Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. Przetwarzanie dokonywane w sposób naruszający niniejsze rozporządzenie obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody […].
[…]
(148) Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne […]. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące […]”.
4 Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, stanowi:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); […]
[…]
7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; […]
[…]
10) »strona trzecia« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;
[…]
12) »naruszenie ochrony danych osobowych« oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
[…]”.
5 Zgodnie z art. 79 ust. 1 tego rozporządzenia:
„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia”.
6 Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, przewiduje w ust. 1–3:
„1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie […].
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”.
7 Artykuł 83 tego rozporządzenia, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, stanowi w ust. 2, 3 i 5:
„2. […] Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a) charakter, wagę i czas trwania naruszenia, przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
[…]
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
3. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
[…]
5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:
a) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;
b) praw osób, których dane dotyczą, o których mowa w art. 12–22;
[…]”.
Postępowanie główne i pytania prejudycjalne
8 Skarżący w postępowaniu głównym, AT i BT, są klientami PS, kancelarii doradztwa podatkowego. Poinformowali oni tę kancelarię o zmianie swego adresu pocztowego, co zostało odnotowane w informatycznym systemie przetwarzanie danych PS. Nowy adres skarżących w postępowaniu głównym został następnie wykorzystany przez PS do wysyłki szeregu pism.
9 W lipcu 2020 r. skarżący w postępowaniu głównym zlecili PS sporządzenie deklaracji podatkowej za 2019 r. Nie otrzymawszy żadnej odpowiedzi, skontaktowali się oni z PS, która poinformowała ich, że ta deklaracja podatkowa została im wysłana pismem z dnia 29 września 2020 r., bez wskazania adresu, na który pismo to zostało wysłane.
10 Nowi mieszkańcy zamieszkujący pod ich poprzednim adresem poinformowali ich, że na ten adres dotarła koperta skierowana do nich i że omyłkowo otworzyli ją. Jeden z tych nowych mieszkańców wskazał, że stwierdziwszy, iż przedmiotowa przesyłka pocztowa nie jest do niego adresowana, umieścił z powrotem dokumenty w kopercie. Następnie przekazał ją bliskim mieszkającym w pobliżu poprzedniego adresu skarżących w postępowaniu głównym, aby mogli oni ją otrzymać.
11 Gdy skarżący w postępowaniu głównym otrzymali odnośną kopertę, stwierdzili, że znajdowały się w niej jedynie kopia deklaracji podatkowej oraz pismo przewodnie. Zakładają oni jednak, że koperta zawierała również oryginał deklaracji podatkowej, zawierający dane osobowe, w tym ich nazwiska i daty urodzenia, a także nazwiska i daty urodzenia ich dzieci, ich numery identyfikacji podatkowej, dane ich rachunku bankowego, a także informacje dotyczące ich przynależności do wspólnoty wyznaniowej, informacje dotyczące statusu osoby niepełnosprawnej członka ich rodziny, ich zawodów i miejsc pracy lub różnych wydatków poniesionych przez nich.
12 W tym względzie sąd odsyłający wyjaśnia, że nie było możliwe ustalenie, jakie dokumenty znajdowały się początkowo w rzeczonej kopercie, ani ustalenie, w jakim zakresie nowi mieszkańcy poprzedniego adresu skarżących w postępowaniu głównym zapoznali się z treścią tej koperty. Wskazuje on również, że wysłanie odnośnego pisma na błędny adres wynikało z faktu, że PS wykorzystała dane pochodzące z bazy danych, w której znajdował się jeszcze poprzedni adres skarżących w postępowaniu głównym.
13 W tym kontekście skarżący w postępowaniu głównym wnieśli do Amtsgericht Wesel (sądu rejonowego w Wesel, Niemcy), który jest sądem odsyłającym, powództwo zmierzające do uzyskania, na podstawie art. 82 ust. 1 RODO, odszkodowania za szkodę niemajątkową, jakiej ich zdaniem doznali z powodu ujawnienia ich danych osobowych stronie trzeciej i którą szacują na 15 000 EUR.
14 Sąd odsyłający zastanawia się w pierwszej kolejności, czy w przypadku gdy powołano się na szkodę niemajątkową, prawo do odszkodowania na podstawie art. 82 RODO może być oparte na samym naruszeniu przepisów tego rozporządzenia, precyzując przy tym, że w prawie niemieckim można przyznać prawo do odszkodowania pieniężnego jedynie w przypadkach, w których wykazano istotną szkodę wykraczającą poza samo naruszenie przepisu prawa, pod warunkiem że szkoda ta nie może zostać naprawiona w inny sposób.
15 W drugiej kolejności sąd ten zastanawia się, czy obawa, że dane osobowe znalazły się w posiadaniu osób nieupoważnionych, może sama w sobie stanowić szkodę niemajątkową, mogącą rodzić prawo do odszkodowania pieniężnego na podstawie art. 82 RODO.
16 W trzeciej kolejności sąd ten zauważa, że art. 83 RODO ustanawia kryteria umożliwiające ustalenie w sposób jednolity kwoty administracyjnych kar pieniężnych nakładanych w przypadku naruszenia tego rozporządzenia. Tymczasem artykuł ten nie zawiera żadnego odpowiednika w odniesieniu do odszkodowania pieniężnego za szkodę niemajątkową. Sąd ten zastanawia się zatem, czy kryteria te mają zastosowanie do odszkodowania pieniężnego za szkodę niemajątkową należnego na podstawie art. 82 RODO.
17 W czwartej kolejności sąd odsyłający przypomina, że motyw 146 RODO stanowi, iż pojęcie „szkody” należy interpretować szeroko, tak aby zapewnić pełne i skuteczne odszkodowanie za poniesione szkody. Sąd ten zastanawia się jednak, czy odniesienie do „skutecznego” odszkodowania oznacza, że odszkodowanie, jakie należy wypłacić z tytułu szkody niemajątkowej, powinno być ustalone w sposób zapewniający skutek odstraszający. Stosownie do okoliczności administratorzy danych mogliby być skłonni do niewypełnienia obowiązków przewidzianych w RODO, w przypadku gdyby koszt ścisłego przestrzegania tego rozporządzenia okazał się wyższy niż kwoty odszkodowania, które mieliby zapłacić w przypadku naruszenia tego rozporządzenia.
18 W piątej i ostatniej kolejności sąd odsyłający zastanawia się nad kwestią, czy do celów ustalenia odszkodowania za szkodę niemajątkową na podstawie art. 82 RODO należy uwzględnić jednoczesne naruszenie przepisów zawartych w RODO i przepisów prawa niemieckiego, takich jak przepisy nakładające na niektórych przedsiębiorców obowiązki zachowania poufności. Wskazuje on, że ma wątpliwości w tym względzie, ponieważ właściwe przepisy prawa niemieckiego istotne w niniejszej sprawie obowiązywały już w chwili przyjęcia RODO, a zatem nie można ich uznać za akty delegowane lub wykonawcze przyjęte zgodnie z tym rozporządzeniem w rozumieniu jego motywu 146.
19 W tych okolicznościach Amtsgericht Wesel (sąd rejonowy w Wesel) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy dla powstania roszczenia o odszkodowanie na podstawie art. 82 ust. 1 [RODO] wystarczy, że został naruszony przepis [tego rozporządzenia] chroniący osobę występującą z roszczeniem, czy też jest konieczne, aby doszło do dalszego uszczerbku u osoby występującej z roszczeniem, wykraczającego poza naruszenie przepisów jako takie?
2) Czy zgodnie z prawem Unii dla powstania roszczenia o odszkodowanie za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO jest konieczne, aby uszczerbek miał określoną wagę?
3) W szczególności: czy do powstania roszczenia o odszkodowanie za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO wystarczy, że osoba występująca z roszczeniem obawia się, że w wyniku naruszeń RODO jej dane osobowe trafiły w obce ręce, przy czym nie można tego stwierdzić pozytywnie?
4) Czy jest zgodne z prawem Unii, jeśli sąd krajowy, ustalając wysokość odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO, stosuje odpowiednio kryteria określone w art. 83 ust. 2 zdanie drugie RODO, które zgodnie z brzmieniem tego przepisu obowiązują jedynie w odniesieniu do administracyjnych kar pieniężnych?
5) Czy wysokość odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO należy ustalać również tak, aby poprzez wysokość przyznanego odszkodowania osiągnąć skutek odstraszający i uniemożliwić »komercjalizację« (kalkulowane akceptowanie administracyjnych kar pieniężnych i zapłaty odszkodowań) naruszeń?
6) Czy jest zgodne z prawem Unii uwzględnianie przy ustalaniu wysokości odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO jednocześnie popełnionych naruszeń przepisów krajowych, których celem jest ochrona danych osobowych, ale które nie są aktami delegowanymi lub wykonawczymi przyjętymi na mocy tego rozporządzenia lub prawem państwa członkowskiego doprecyzowującym rzeczone rozporządzenie?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytań pierwszego i drugiego
20 Poprzez pytania pierwsze i drugie, które należy zbadać łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że naruszenie tego rozporządzenia samo w sobie nie wystarcza dla uzasadnienia prawa do odszkodowania na podstawie tego przepisu, czy też osoba, której dane dotyczą, powinna również wykazać istnienie szkody o określonej wadze, spowodowanej tym naruszeniem.
21 Artykuł 82 ust. 1 RODO stanowi, że „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
22 Trybunał stwierdził już, że z brzmienia tego przepisu jasno wynika, iż istnienie „szkody”, majątkowej lub niemajątkowej, lub „szkody”, która została „poniesiona”, stanowi jedną z przesłanek prawa do odszkodowania przewidzianego w tym art. 82 ust. 1, podobnie jak istnienie naruszenia wspomnianego rozporządzenia i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 32; z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 34].
23 W związku z tym nie można uznać, że każde „naruszenie” przepisów RODO przyznaje samo w sobie to prawo do odszkodowania osobie, której dane dotyczą, zdefiniowanej w art. 4 pkt 1 tego rozporządzenia. Ponadto odrębna wzmianka w art. 82 ust. 1 RODO o „szkodzie” i „naruszeniu” byłaby zbędna, gdyby prawodawca Unii uznał, że naruszenie przepisów tego rozporządzenia może samo w sobie i w każdym wypadku wystarczyć dla uzasadnienia prawa do odszkodowania [wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 33, 34].
24 Wynika stąd, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że samo naruszenie przepisów tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania [wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 42].
25 Osoba dochodząca odszkodowania za szkodę niemajątkową na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej taką szkodę [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 42, 50; z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 35].
26 Co się tyczy tej ostatniej przesłanki, art. 82 ust. 1 RODO sprzeciwia się przepisowi krajowemu lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za szkodę niemajątkową w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 51; z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 36].
27 Niemniej jednak osoba ta ma na podstawie art. 82 ust. 1 tego rozporządzenia obowiązek udowodnienia, że rzeczywiście poniosła szkodę majątkową lub niemajątkową (zob. podobnie wyrok z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 39).
28 W świetle powyższych rozważań odpowiedź na pytania pierwsze i drugie powinna brzmieć tak, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że naruszenie tego rozporządzenia samo w sobie nie wystarcza dla uzasadnienia prawa do odszkodowania na podstawie tego przepisu. Osoba, której dane dotyczą, powinna również wykazać istnienie szkody spowodowanej tym naruszeniem, przy czym nie jest konieczne, aby szkoda ta osiągnęła określony stopień wagi.
W przedmiocie pytania trzeciego
29 Poprzez pytanie trzecie sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że dla uzasadnienia prawa do odszkodowania za szkodę niemajątkową wystarcza wyrażona przez osobę obawa, że jej dane osobowe w wyniku naruszenia tego rozporządzenia zostały ujawnione stronie trzeciej, jeśli nie można przy tym wykazać, że rzeczywiście miało to miejsce.
30 Z postanowienia odsyłającego wynika, że skarżący w postępowaniu głównym chcą uzyskać na podstawie RODO odszkodowanie za szkodę niemajątkową z tytułu utraty kontroli nad ich danymi osobowymi poddanymi przetwarzaniu, w sytuacji gdy nie jest możliwe ustalenie, w jakim zakresie strona trzecia rzeczywiście zapoznała się z tymi danymi.
31 W tym względzie z uwagi na brak jakiegokolwiek odniesienia w art. 82 ust. 1 RODO do prawa krajowego państw członkowskich pojęcie „szkody niemajątkowej” w rozumieniu tego przepisu powinno otrzymać autonomiczną i jednolitą definicję, właściwą prawu Unii [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajatkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 30, 44; a także z dnia 25 stycznia 2024 r., MediaMarktSaturn, C‑687/21, EU:C:2024:72, pkt 64].
32 Trybunał orzekł, że jak wynika nie tylko z brzmienia art. 82 ust. 1 RODO w związku z motywami 85 i 146 tego rozporządzenia, które skłaniają do przyjęcia szerokiego rozumienia pojęcia „szkody niemajątkowej” w rozumieniu tego pierwszego przepisu, lecz również z celu, do którego zmierza to rozporządzenie, polegającego na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych, obawa przed potencjalnym nadużywaniem jej danych osobowych przez stronę trzecią, jaką osoba, której dane dotyczą, odczuwa w następstwie naruszenia tego rozporządzenia, może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu owego art. 82 ust. 1 [zob. podobnie wyroki: z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, pkt 79–86; a także z dnia 25 stycznia 2024 r., MediaMarktSaturn, C‑687/21, EU:C:2024:72, pkt 65].
33 Utrata kontroli nad danymi osobowymi, nawet przez krótki okres, może stanowić „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 tego rozporządzenia, dającą prawo do odszkodowania, pod warunkiem że osoba, której dane dotyczą, wykaże, iż rzeczywiście poniosła taką szkodę, chociażby była ona znikoma, przy czym należy przypomnieć, że samo naruszenie przepisów tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania na tej podstawie (zob. podobnie wyroki: z dnia 25 stycznia 2024 r., MediaMarktSaturn, C‑687/21, EU:C:2024:72, pkt 66; z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 42).
34 Osoba, która uważa, że jej dane osobowe zostały przetworzone z naruszeniem odpowiednich przepisów RODO, i żąda odszkodowania na podstawie art. 82 ust. 1 tego rozporządzenia, musi zatem udowodnić, że rzeczywiście poniosła szkodę majątkową lub niemajątkową.
35 Tym samym samo powołanie się na obawę, bez wykazania negatywnego skutku, nie może prowadzić do przyznania odszkodowania na podstawie tego przepisu.
36 W świetle powyższych rozważań odpowiedź na pytanie trzecie powinna brzmieć tak, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że dla uzasadnienia prawa do odszkodowania wystarcza wyrażona przez osobę obawa, że jej dane osobowe w wyniku naruszenia tego rozporządzenia zostały ujawnione stronie trzeciej, również jeśli nie można przy tym wykazać, że rzeczywiście miało to miejsce, pod warunkiem że obawa ta wraz z jej negatywnymi skutkami zostanie należycie udowodniona.
W przedmiocie pytań czwartego i piątego
37 Poprzez pytania czwarte i piąte, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że w celu ustalenia wysokości należnego na podstawie tego przepisu odszkodowania za szkodę, po pierwsze, należy stosować mutatis mutandis kryteria ustalania kwoty administracyjnych kar pieniężnych przewidziane w art. 83 tego rozporządzenia, a po drugie, należy przypisać temu prawu do odszkodowania funkcję odstraszającą.
38 W pierwszej kolejności, co się tyczy ewentualnego uwzględnienia kryteriów określonych w art. 83 RODO w celu ustalenia kwoty odszkodowania należnego na podstawie art. 82 tego rozporządzenia, bezsporne jest, że te dwa przepisy realizują różne cele. O ile bowiem art. 83 tego rozporządzenia określa „[o]gólne warunki nakładania administracyjnych kar pieniężnych”, o tyle art. 82 wspomnianego rozporządzenia reguluje „[p]rawo do odszkodowania i odpowiedzialność”.
39 Wynika z tego, że kryteria określone w art. 83 RODO w celu ustalenia kwoty administracyjnych kar pieniężnych, o których mowa również w motywie 148 tego rozporządzenia, nie mogą być wykorzystywane do ustalania wysokości odszkodowania na podstawie art. 82 tego rozporządzenia (wyrok z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 57).
40 RODO nie zawiera przepisu mającego na celu określenie zasad dotyczących ustalenia odszkodowania, którego osoba, której dane dotyczą, w rozumieniu art. 4 pkt 1 tego rozporządzenia, może dochodzić na podstawie art. 82 owego rozporządzenia, jeżeli naruszenie tego rozporządzenia wyrządziło jej szkodę. W związku z tym, w braku norm prawa Unii w tej dziedzinie, do porządku prawnego każdego państwa członkowskiego należy określenie zasad dotyczących działań mających na celu zapewnienie podmiotom prawa ochrony uprawnień wynikających ze wspomnianego art. 82, a w szczególności kryteriów pozwalających na określenie zakresu należnego w tych ramach odszkodowania, z zastrzeżeniem poszanowania zasad równoważności i skuteczności [wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 54; z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 58].
41 W drugiej kolejności – prawo do odszkodowania przewidziane w art. 82 ust. 1 RODO nie pełni funkcji odstraszającej czy represyjnej. Wynika z tego, że waga naruszenia tego rozporządzenia, które spowodowało podnoszoną szkodę majątkową lub niemajątkową, nie może mieć wpływu na wysokość odszkodowania przyznanego na podstawie tego przepisu i że kwota ta nie może zostać ustalona na poziomie przekraczającym całkowitą kompensatę tej szkody [zob. podobnie wyroki: z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, pkt 86; z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 60].
42 Ze względu na funkcję kompensacyjną prawa do odszkodowania przewidzianego w art. 82 RODO, o której mowa w motywie 146 zdanie szóste tego rozporządzenia, odszkodowanie pieniężne oparte na tym artykule należy uznać za „pełne i skuteczne”, jeżeli pozwala ono na pełną kompensatę szkody poniesionej konkretnie w wyniku naruszenia rzeczonego rozporządzenia, przy czym dla celów takiej pełnej kompensaty nie jest konieczne nakazanie zapłaty odszkodowania o charakterze represyjnym [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 57, 58; a także z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 61].
43 Tak więc z uwagi na różnice w brzmieniu i celach istniejące między art. 82 RODO w świetle motywu 146 tego rozporządzenia a art. 83 tego rozporządzenia w świetle jego motywu 148 nie można uznać, że kryteria ustalania kwoty wymienione konkretnie w tym art. 83 mają zastosowanie mutatis mutandis w ramach tego art. 82, niezależnie od faktu, że środki prawne przewidziane w tych dwóch przepisach są komplementarne w celu zapewnienia przestrzegania tego rozporządzenia (wyrok z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 62).
44 W świetle powyższych rozważań odpowiedź na pytania czwarte i piąte powinna brzmieć tak, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że do celów ustalenia wysokości należnego na podstawie tego przepisu odszkodowania za szkodę, po pierwsze, nie należy stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 tego rozporządzenia, a po drugie, nie należy przypisywać temu prawu do odszkodowania funkcji odstraszającej.
W przedmiocie pytania szóstego
45 Poprzez pytanie szóste sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że w celu ustalenia wysokości należnego na podstawie tego przepisu odszkodowania za szkodę należy uwzględnić jednocześnie popełnione naruszenia przepisów krajowych dotyczących ochrony danych osobowych, których celem nie jest jednak sprecyzowanie przepisów tego rozporządzenia.
46 Pytanie to zostało zadane z uwagi na fakt, że skarżący w postępowaniu głównym uważają, iż łączne naruszenie przepisów RODO oraz ustawodawstwa niemieckiego mającego zastosowanie do doradców podatkowych, które zostało przyjęte przed wejściem w życie tego rozporządzenia, a zatem nie ma na celu sprecyzowania jego przepisów, powinno skutkować zwiększeniem odszkodowania, którego domagają się oni na podstawie art. 82 ust. 1 RODO, tytułem zadośćuczynienia za podnoszoną przez nich szkodę niemajątkową.
47 W tym względzie rzeczywiście z motywu 146 zdanie piąte RODO wynika w istocie, iż przetwarzanie danych osobowych z naruszeniem tego rozporządzenia „obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie”.
48 Jednakże okoliczność, że takie przetwarzanie danych zostało również dokonane z naruszeniem przepisów prawa krajowego dotyczących ochrony danych osobowych, lecz niemających na celu doprecyzowania przepisów tego rozporządzenia, nie stanowi istotnej okoliczności dla potrzeb ustalenia odszkodowania przyznanego na podstawie art. 82 ust. 1 RODO. Naruszenie takich przepisów krajowych nie jest bowiem objęte zakresem art. 82 ust. 1 tego rozporządzenia w związku z jego motywem 146.
49 Nie zmienia to faktu, że jeżeli zezwala na to prawo krajowe, sąd krajowy może przyznać osobie, której dane dotyczą, odszkodowanie wyższe niż pełne i skuteczne odszkodowanie przewidziane w art. 82 ust. 1 RODO, w przypadku gdy – biorąc pod uwagę fakt, że szkoda została również spowodowana naruszeniem przepisów prawa krajowego, takich jak te, o których mowa w poprzednim punkcie – takie odszkodowanie nie zostanie uznane za wystarczające lub odpowiednie.
50 W świetle powyższych rozważań odpowiedź na pytanie szóste powinna brzmieć tak, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że do celów ustalenia wysokości należnego na podstawie tego przepisu odszkodowania za szkodę nie należy uwzględniać jednocześnie popełnionych naruszeń przepisów krajowych dotyczących ochrony danych osobowych, których celem nie jest jednak sprecyzowanie przepisów tego rozporządzenia.
W przedmiocie kosztów
51 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:
1) Artykuł 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że:
naruszenie tego rozporządzenia samo w sobie nie wystarcza dla uzasadnienia prawa do odszkodowania na podstawie tego przepisu. Osoba, której dane dotyczą, powinna również wykazać istnienie szkody spowodowanej tym naruszeniem, przy czym nie jest konieczne, aby szkoda ta osiągnęła określony stopień wagi.
2) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
dla uzasadnienia prawa do odszkodowania wystarcza wyrażona przez osobę obawa, że jej dane osobowe w wyniku naruszenia tego rozporządzenia zostały ujawnione stronie trzeciej, również jeśli nie można przy tym wykazać, że rzeczywiście miało to miejsce, pod warunkiem że obawa ta wraz z jej negatywnymi skutkami zostanie należycie udowodniona.
3) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
do celów ustalenia wysokości należnego na podstawie tego przepisu odszkodowania za szkodę, po pierwsze, nie należy stosować mutatis mutandis kryteriów ustalania kwoty administracyjnych kar pieniężnych przewidzianych w art. 83 tego rozporządzenia, a po drugie, nie należy przypisywać temu prawu do odszkodowania funkcji odstraszającej.
4) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
do celów ustalenia wysokości należnego na podstawie tego przepisu odszkodowania za szkodę nie należy uwzględniać jednocześnie popełnionych naruszeń przepisów krajowych dotyczących ochrony danych osobowych, których celem nie jest jednak sprecyzowanie przepisów tego rozporządzenia.
Podpisy