FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MANUEL CAMPOS SÁNCHEZ-BORDONA

föredraget den 6 oktober 2022(1)

Mål C‑300/21

UI

mot

Österreichische Post AG

(begäran om förhandsavgörande från Oberster Gerichtshof (Högsta domstolen, Österrike))

”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Ideell skada på grund av olaglig behandling av uppgifter – Villkor för rätt till ersättning – Skador som överstiger en viss grad av allvar”

1.        Enligt förordning (EU) 2016/679(2) har varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning rätt till ersättning för den uppkomna skadan från den personuppgiftsansvarige eller från personuppgiftsbiträdet.

2.        Möjligheten att göra denna rätt gällande i domstol fanns redan i det tidigare regelverket (artikel 23 i direktiv 95/46/EG),(3)men den utnyttjades sällan.(4) Såvitt jag inte misstar mig tolkade domstolen aldrig specifikt den artikeln.

3.        Sedan den allmänna dataskyddsförordningen trädde i kraft har talan om ersättning fått ökad betydelse.(5) Ökningen har märkts i medlemsstaternas domstolar, och det har i sin tur avspeglat sig i ett ökat antal mål om förhandsavgörande.(6) I förevarande mål vill Oberster Gerichtshof (Högsta domstolen, Österrike) att EU-domstolen ska klargöra vissa vanliga punkter i det system för skadeståndsansvar som införts genom den allmänna dataskyddsförordningen.

I.      Tillämpliga bestämmelser. Den allmänna dataskyddsförordningen

4.        I förevarande mål är i synnerhet skälen 75, 85 och 146 i den allmänna dataskyddsförordningen relevanta.

5.        Artikel 6 (”Laglig behandling av personuppgifter”) har följande lydelse:

”1.      Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)      Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

…”

6.        I artikel 79 (”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”) har punkt 1 följande lydelse:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

7.        I punkt 1 i artikel 82 (”Ansvar och rätt till ersättning”) föreskrivs följande:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

II.    Faktiska omständigheter, det nationella målet och tolkningsfrågor

8.        Österreichische Post AG, som är ett företag som ger ut adresslistor, inhämtade från år 2017 uppgifter om sannolika partisympatier hos den österrikiska befolkningen. Med hjälp av en algoritm tog företaget fram ”målgrupper” utifrån sociodemografiska egenskaper.

9.        UI är en fysisk person avseende vilken Österreichische Post gjorde en extrapolering för att avgöra om han kunde hänföras till någon av de möjliga målgrupperna för röstvärvning för olika politiska partier. Denna extrapolering visade att UI hade en hög sannolik benägenhet att rösta på ett av dem. Dessa uppgifter vidarebefordrades inte till tredje part.

10.      UI, som inte hade lämnat något samtycke till uppgiftsbehandlingen, var upprörd över att uppgifterna om honom vad avser sannolika sympatier i fråga om partival hade lagrats. Han var dessutom uppbragt och förnärmad över den höga sannolika benägenhet att rösta på ett visst parti som Österreichische Post tillskrivit honom.

11.      UI har yrkat ersättning på 1 000 euro för den immateriella skadan (förtret inombords). Han anser att den sannolika benägenhet i fråga om partival som tillskrivits honom utgjorde en förolämpning, var skymflig och i högsta grad misskrediterande. Österreichische Posts förfarande hade väckt stor förargelse hos honom och undergrävt hans tillit men även medfört att han kände sig exponerad.

12.      Domstolen i första instans ogillade UI:s yrkande om ersättning.(7)

13.      Appellationsdomstolen fastställde domen i första instans. Den fann att varje överträdelse av den allmänna dataskyddsförordningen inte med automatik medför en immateriell skada. Den slog vidare fast följande:

–      Eftersom österrikisk rätt bara är tillämplig som komplement till den allmänna dataskyddsförordningen, är endast en sådan skada som går utöver den förargelse och emotionella skada (”Gefühlsschaden”) som åsidosättandet av UI:s rättigheter har framkallat ersättningsgrundande.

–      Man bör följa den grundläggande principen i den österrikiska lagstiftningen att var och en utan ersättning måste uthärda vad som endast är obehag och rena olustkänslor. Med andra ord måste skadan vara av en viss betydelse för att rätt till ersättning ska föreligga.

14.      Appellationsdomstolens dom har överklagats till Oberster Gerichtshof (Högsta domstolen, Österrike), som har hänskjutit följande tolkningsfrågor till EU-domstolen:

”1)      Krävs det för att tillerkännas ersättning enligt artikel 82 i [den allmänna dataskyddsförordningen], utöver en överträdelse av bestämmelserna i dataskyddsförordningen, även att klaganden har lidit skada, eller är överträdelsen av bestämmelserna i dataskyddsförordningen i sig tillräcklig för tillerkännande av ersättning?

2)      Gäller vid beräkning av ersättningen ytterligare bestämmelser inom unionsrätten utöver effektivitetsprincipen och likvärdighetsprincipen?

3)      Är uppfattningen att det för att ideell skada ska anses föreligga krävs ett orsakssamband eller kausalitet med en lagöverträdelse av åtminstone viss allvarlighetsgrad, som går utöver den förargelse lagöverträdelsen har orsakat, förenlig med unionsrätten?”

III. Förfarandet

15.      Begäran om förhandsavgörande registrerades vid domstolen den 12 maj 2021.

16.      Skriftliga yttranden har inkommit från UI, Österreichische Post, den österrikiska, den tjeckiska och den irländska regeringen samt Europeiska kommissionen. Det har inte ansetts nödvändigt att hålla förhandling.

IV.    Bedömning

A.      Inledande anmärkningar

1.      Huruvida begäran om förhandsavgörande kan tas upp till sakprövning

17.      UI har gjort gällande att den första tolkningsfrågan inte är relevant för målet, eftersom hans talan inte ”enbart” byggde på en överträdelse av en bestämmelse i den allmänna dataskyddsförordningen, utan på konsekvenserna eller effekterna av den.

18.      Invändningen om rättegångshinder kan inte godtas. Även om det skulle medges att behandlingen av uppgifter åsidosatte den allmänna dataskyddsförordningen utan att det medförde någon skada för UI, skulle han kunna vara berättigad till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen, om det, vilket den hänskjutande domstolen frågar, bekräftas att åsidosättandet av en bestämmelse rörande behandling i sig är tillräckligt för att ge upphov till en sådan rätt.

19.      Enligt UI skulle EU-domstolen även kunna avvisa den andra tolkningsfrågan, eftersom den är mycket öppet hållen och alltför begränsad när det gäller unionsrättens krav och inte nämner något konkret sådant.

20.      Inte heller denna invändning kan godtas, även om den är mer välgrundad än den föregående. Det är legitimt att en domstol vill få reda på om den utöver att iaktta likvärdighetsprincipen och effektivitetsprincipen, även ska bedöma andra krav som föreskrivs i unionsrätten för att värdera skadan.

2.      Avgränsning av föremålet för detta förslag till avgörande

21.      Artikel 82 i den allmänna dataskyddsförordningen innehåller sex punkter. Den hänskjutande domstolen nämner inte någon särskild av dessa punkter, men underförstått hänvisar den till den första punkten. Den anger inte heller vilken bestämmelse som om den överträds ger rätt till ersättning.

22.      Mitt förslag till avgörande bygger på följande förutsättningar:

–      UI:s personuppgifter behandlades utan att hans samtycke hade inhämtats i enlighet med artikel 6.1 a i den allmänna dataskyddsförordningen.

–      Alla personer som har lidit skada har rätt till ersättning. I förevarande mål är UI ”registrerad”, eftersom han är en identifierad fysisk person som berörs av behandlingen.(8)

–      Den allmänna dataskyddsförordningen föreskriver ersättning för materiella och immateriella skador. UI:s anspråk avser bara immateriella skador och det har ett ekonomiskt innehåll.

B.      Fråga 1

23.      Med sin första tolkningsfråga vill den hänskjutande domstolen i korthet få klarlagt om det räcker att bestämmelserna i den allmänna dataskyddsförordningen har överträtts för att rätt till ersättning ska uppkomma, oavsett om det medfört skada eller inte.

24.      Av de uppgifter som den hänskjutande domstolen har lämnat och de yttranden som har getts in till EU-domstolen, kan slutsatsen dras att frågan även kan tolkas på ett annat, något mer komplext sätt: Enligt den tolkningen handlar det om att få klarlagt huruvida en överträdelse av bestämmelserna i den allmänna dataskyddsförordningen av nödvändighet ger upphov till en skada som ger rätt till ersättning och att svaranden inte har någon möjlighet att motbevisa det.

25.      Det finns en viss (teoretisk) skillnad mellan dessa två tolkningar. Enligt den förstnämnda utgör skadan inte en förutsättning för ersättningen, men det gör den däremot i det sistnämnda fallet. I praktiken bortfaller kravet att käranden ska styrka skadan i båda fallen och käranden behöver heller inte styrka orsakssambandet mellan överträdelsen och skadan.(9)

26.      Jag vill dock redan här klargöra att jag inte anser att frågan ska besvaras jakande, oavsett vilket av de två tolkningsalternativen man väljer. Jag ska behandla dessa alternativ vart och ett för sig.

1.      Ersättning utan skada?

27.      Att hävda att det föreligger rätt till ersättning även om den registrerade inte har lidit skada av överträdelsen av den allmänna dataskyddsförordningen är förknippat med vissa uppenbara svårigheter. Den första rör ordalydelsen av artikel 82.1 i förordningen.

28.      Enligt den bestämmelsen uppkommer rätten till ersättning(10) just på grund av att den har föregåtts av en skada. Det krävs således otvetydigt att den fysiska personen har lidit skada till följd av en överträdelse av den allmänna dataskyddsförordningen.

29.      En tolkning som automatiskt förknippar begreppet ”överträdelse” med begreppet ”ersättning” utan att det föreligger någon skada, är således inte förenlig med lydelsen av artikel 82 i den allmänna dataskyddsförordningen. Den är inte heller förenlig med det främsta syftet med det skadeståndsansvar som införs genom den allmänna dataskyddsförordningen, nämligen att gottgöra den registrerade, just genom en ”full och effektiv” ersättning för den skada som han eller hon har lidit.(11)

30.      Om det inte finns någon skada är ersättningens funktion inte längre att gottgöra de negativa följderna av överträdelsen utan en annan, som snarare liknar en påföljd.

31.      En medlemsstat får visserligen i sin lagstiftning föreskriva att ersättning ska betalas som straff.(12) Det innebär att den som vållat skadan kan dömas att betala ett högre belopp än den rena gottgörelsen för skadan.

32.      Vid straffliknande skadestånd förutsätts det i allmänhet att det finns en föregående skada. Med utgångspunkt i detta görs emellertid därefter åtskillnad mellan dess ekonomiska följdverkningar och det ersättningsbelopp som är anpassat efter skadan.

33.      Det är således omöjligt att tänka sig att man vid ett straffliknande skadestånd bortser från skadan eller anser den vara irrelevant för att gottgöra den som har yrkat skadeståndet.

34.      För att besvara den första tolkningsfrågan måste det undersökas om den här typen av skadestånd omfattas av den allmänna dataskyddsförordningen, inte minst med tanke på att det har hänvisats till dem i beslutet att begära förhandsavgörande och i parternas och intervenienternas yttranden.

2.      Straffliknande skadestånd?

a)      Bokstavstolkning

35.      Utöver skadeståndsansvarets klassiska funktion finns det en ”bestraffande” eller ”avskräckande” funktion. Den innebär som nämnts att skadeståndsbeloppet inte motsvarar den skada som uppkommit utan är högre, ibland flera gånger högre, än skadans belopp.

36.      I princip utgör unionsrätten inte hinder för den här typen av skadestånd, vid överträdelse av unionsrättsliga bestämmelser, om det kan utdömas i liknande förfaranden som bygger på den nationella rätten.(13)

37.      Straffliknande skadestånd har ett avskräckande syfte. Samma syfte kan föreligga när medlemsstaterna vid överträdelse av ett direktiv ska vidta åtgärder som syftar till att få ”en faktisk avskräckande verkan”.(14) I vissa direktiv föreskrivs uttryckligen att skadestånden, som är utformade som sanktioner, ska vara avskräckande.(15)

38.      I andra rättsakter har lagstiftaren däremot angett att syftet med ett direktiv ”inte [är] att införa ett straffliknande skadestånd”(16) eller att medlemsstaterna ska undvika den här typen av skadestånd när de införlivar direktivet.(17) I unionsrätten är det ovanligt att ”straffliknande skadestånd” direkt döms ut.(18)

39.      I den allmänna dataskyddsförordningen nämns inget om att skadeståndet ska vara av straffkaraktär eller att beräkningen av skadeståndsbeloppet ska avspegla det, eller att skadeståndet ska vara avskräckande (vilket däremot straffrättsliga påföljder och administrativa sanktionsavgifter ska vara enligt förordningen).(19) Sett till ordalydelsen kan således inte straffliknande skadestånd omfattas.

b)      Tolkning som bygger på bestämmelsens tillkomsthistoria

40.      Artikel 82.1 i den allmänna dataskyddsförordningen har sin föregångare i artikel 23.1 i direktiv 95/46. Den sistnämnda artikeln ingick i ett system vars effektivitet skulle säkerställas genom offentlig och privat tillämpning,(20) men där (den privata) ersättningen och (den offentliga) sanktionen inte blandades samman.(21) Övervakningen av att bestämmelserna efterlevdes anförtroddes i första hand oberoende tillsynsmyndigheter.(22)

41.      Den allmänna dataskyddsförordningen tar fasta på denna modell, men den förstärker verktygen för att säkerställa verkan av bestämmelserna i förordningen, som nu är mer detaljerade, och de reaktioner som föreskrivs, som nu är starkare, vid en överträdelse eller risk för överträdelse:

–      Dels utökar den tillsynsmyndigheternas funktioner och det ankommer nu bland annat på dessa att påföra de harmoniserade sanktionsavgifter som föreskrivs i själva förordningen.(23) På så sätt betonas inslaget av offentlig tillämpning av bestämmelserna.

–      Vidare föreskrivs att det ankommer på enskilda att försvara de rättigheter som den allmänna dataskyddsförordningen ger dem,(24) antingen genom att få tillsynsmyndigheterna att agera (artikel 77) eller genom att vända sig till domstol (artiklarna 79 och 82). Dessutom ger artikel 80 vissa organ rätt att inge klagomål för den registrerades räkning,(25) vilket främjar det skydd av allmänna intressen som är tillgängligt för enskilda.(26)

42.      Utvecklingen av det enhetliga systemet för skadeståndsansvar i den allmänna dataskyddsförordningen var begränsad. Aspekter som var tveksamma när det gällde direktiv 95/46, som frågan huruvida immateriella skador ska vara ersättningsgilla,(27) klargjordes snart.  Förhandlingarna inriktades på andra aspekter av det systemet.(28)

43.      Jag har i förarbetena inte hittat någon diskussion om en eventuell straffunktion för det skadeståndsansvar som föreskrivs i den allmänna dataskyddsförordningen. Det går således inte att dra slutsatsen att en sådan funktion omfattas av artikel 82, med tanke på det inte förekom någon debatt om denna, i synnerhet med tanke på att det diskuterades om den skulle införlivas i andra unionsrättsakter.(29)

44.      Mot bakgrund av detta anser jag att den talan som avses i artikel 82.1 i den allmänna dataskyddsförordningen utformades och reglerades för att användas för skadeståndsansvarets typiska funktioner, nämligen att gottgöra skada (för den skadelidande) och i andra hand att förebygga framtida skador (för den skadevållande).

c)      Kontextuell tolkning

45.      Som jag tidigare har nämnt ingår artikel 82 i den allmänna dataskyddsförordningen i ett system för att säkerställa bestämmelsernas ändamålsenliga verkan där privata initiativ kompletterar den offentliga tillämpningen av det. Ersättningsskyldigheten för personuppgiftsansvariga eller personuppgiftsbiträden bidrar till denna ändamålsenliga verkan.

46.      Ersättningsskyldigheten fungerar (i det ideala fallet) som incitament för att gå mer försiktigt till väga i framtiden, följa reglerna och undvika nya skador. Genom att kräva ersättning åt sig själv, bidrar således varje individ till att säkerställa bestämmelsernas allmänna ändamålsenliga verkan.

47.      Inom denna ram hålls den kompensatoriska och den bestraffande funktionen åtskilda:

–      Till den bestraffande funktionen kan de sanktionsavgifter som tillsynsmyndigheterna och domstolarna får påföra (artikel 83.1 och 83.9 i den allmänna dataskyddsförordningen) och andra sanktioner som medlemsstaterna inför i enlighet med artikel 84 i den allmänna dataskyddsförordningen hänföras.(30)

–      Till den kompensatoriska funktionen kan enskilda personers klagomål (artikel 77) och domstolsförfaranden (artikel 79) hänföras. Det ankommer emellertid inte på tillsynsmyndigheterna att avgöra om rätt till ersättning föreligger.

48.      I enlighet med denna åtskillnad mellan den kompensatoriska och den bestraffande funktionen gäller följande:

–      När myndigheten påför en sanktionsavgift och fastställer dess belopp ska den beakta de faktorer som räknas upp i artikel 83 i den allmänna dataskyddsförordningen, vilka inte ska beaktas när det gäller skadeståndsansvar och i princip inte kan tillämpas vid beräkningen av skadeståndet.(31)

–      Trots att den skada som den berörda personen har lidit är en faktor som påverkar sanktionsavgiftens storlek,(32) behöver ett eventuellt skadestånd som personen har erhållit inte beaktas vid beräkningen av den.(33)

49.      Rent teoretiskt medför en tolkning som innebär att skadeståndsansvaret får en bestraffande funktion när det inte föreligger någon skada, att ersättningsmekanismerna riskerar att underordnas sanktionsmekanismerna.

50.      I praktiken kan möjligheten att erhålla en ”straffliknande” vinning som skadestånd, få de berörda personerna att föredra denna väg framför den som föreskrivs i artikel 77 i den allmänna dataskyddsförordningen. Om detta skulle bli vanligt förekommande skulle tillsynsmyndigheterna berövas ett verktyg (klagomål från den registrerade) för att få kännedom om och därmed utreda och beivra överträdelser av den allmänna dataskyddsförordningen, vilket drabbar de instrument som är lämpligast för att försvara allmänintresset.

d)      Teleologisk tolkning

51.      Den allmänna dataskyddsförordningen har i huvudsak två mål: a) dels att skydda ”fysiska personer med avseende på behandlingen av personuppgifter” och b) dels att utforma detta skydd så att ”det fria flödet av sådana uppgifter” i unionen inte förbjuds eller begränsas.(34)

52.      Jag anser att den allmänna dataskyddsförordningen, för att dessa mål ska uppnås, inte kräver att skadeståndet enbart knyts till en överträdelse av den bestämmelse som reglerar behandlingen, vilket skulle innebära att skadeståndsansvaret fick en bestraffande funktion.

53.      Vad beträffar det första målet är det för att uppnå det inte nödvändigt att genom tolkning utöka tillämpningsområdet för artikel 82 i den allmänna dataskyddsförordningen och låta den omfatta fall där det skett en överträdelse av bestämmelsen men inte uppstått någon skada. En sådan utökning skulle däremot kunna påverka det andra målet negativt.

54.      Jag har tidigare betonat att den allmänna dataskyddsförordningen föreskriver flera mekanismer för att säkerställa att dess bestämmelser efterlevs, vilka samexisterar och kompletterar varandra. Det finns ingen anledning för medlemsstaterna att välja mellan mekanismerna i kapitel VIII för att säkerställa skyddet av uppgifter (och de får i själva verket inte heller göra det). Vid en överträdelse som inte ger upphov till skada, har den registrerade fortfarande (åtminstone) rätt att lämna in ett klagomål till en tillsynsmyndighet, i enlighet med artikel 77.1 i den allmänna dataskyddsförordningen.

55.      En möjlighet att erhålla ersättning oavsett eventuella skador skulle sannolikt främja civilrättsliga tvister där en talan kanske inte alltid är motiverad.(35) Samtidigt skulle det kunna avskräcka från att behandla personuppgifter.(36)

3.      Presumtion om skada?

56.      I några av yttrandena från parterna i målet förespråkas en annan tolkning av den första tolkningsfrågan än den som jag hittills har undersökt. Om jag förstår deras ståndpunkt rätt(37) tycks de mena att det föreligger en icke motbevisbar presumtion om skada, när bestämmelsen har överträtts.

57.      De menar vidare att en sådan överträdelse av nödvändighet medför att man förlorar kontrollen över uppgifterna, vilket i sig medför en skada som är ersättningsgill enligt artikel 82.1 i den allmänna dataskyddsförordningen.

58.      I teorin innebär en sådan presumtion inte att det går att bortse från skadan, och därmed skulle skadeståndsansvarets typiska uppbyggnad och ordalydelsen i bestämmelsen i den allmänna dataskyddsförordningen iakttas. För käranden och svaranden skulle emellertid konsekvenserna av att godta presumtionen i praktiken likna konsekvenserna av att enbart knyta ersättningen i artikel 82.1 i den allmänna dataskyddsförordningen till en överträdelse av förordningen.

59.      Jag ska även här använda mig av de sedvanliga tolkningskriterierna för att förklara varför jag anser att denna tolkning inte kan godtas.

a)      Bokstavstolkning

60.      När lagstiftaren inom andra områden av unionsrätten har ansett att en överträdelse av en bestämmelse automatiskt ska medföra en rätt till ersättning, har lagstiftaren inte dragit sig för att föreskriva det.(38) Så är inte fallet med den allmänna dataskyddsförordningen, i vilken det finns regler som rör bevisning eller som får direkta följder för denna,(39) men inte någon sådan automatisk koppling, vare sig direkt eller via en icke motbevisbar presumtion.

61.      Jag anser inte att hänvisningarna till kontrollen över uppgifterna (eller förlust av kontrollen) som finns i skälen 75(40) och 85(41) i den allmänna dataskyddsförordningen väger upp denna avsaknad. Förutom att dessa skäl saknar normativt värde, görs det inte i något av dem gällande att överträdelsen av en bestämmelse i sig medför en ersättningsgill skada:

–      I skäl 75 nämns hinder för att utöva kontroll över sina personuppgifter som en risk med behandlingen.

–      I skäl 85 nämns förlusten av kontroll som en av de konsekvenser som en personuppgiftsincident skulle kunna få.(42)

62.      En förlust av kontrollen över uppgifterna måste inte oundvikligen medföra en skada. Formuleringen kan uppfattas som ett sätt att hänvisa till skador till följd av en sådan förlust, om sådana skulle uppstå.(43)

b)      Tolkning som bygger på bestämmelsens tillkomsthistoria

63.      En granskning av bakgrunden ger heller inte stöd för att det skulle finnas en sådan presumtion. Den fanns inte i direktiv 95/46(44) och inte heller i de dokument från kommissionen, Europaparlamentet och rådet som föregick antagandet av den allmänna dataskyddsförordningen och som jag har granskat.

c)      Kontextuell tolkning

64.      Systemet i den allmänna dataskyddsförordningen innehåller inslag som talar emot att den skulle godta den omtvistade presumtionen och som utgår från den registrerades samtycke.(45) Som ett redskap för att kontrollera dessa uppgifter, legitimerar detta samtycke behandlingen av uppgifterna på samma nivå som andra rättsliga grunder (artikel 6 i den allmänna dataskyddsförordningen).(46)

65.      En laglig behandling av personuppgifter är tänkbar även utan den registrerades tillstånd och därmed utan den kontroll som möjligheten att lämna eller neka tillstånd innebär. Denna kontrolls betydelse inom ramen för systemet är med andra ord inte absolut.

66.      Dessutom föreskriver den allmänna dataskyddsförordningen andra möjligheter att utöva den kontrollen. Här ingår den rätt till radering som innebär att den registeransvarige är skyldig att ”utan onödigt dröjsmål” radera uppgifterna.(47)

67.      För den person vars uppgifter behandlas fungerar denna rättighet som en säkerhetsventil i skyddssystemet: den kvarstår (som huvudregel) när den personuppgiftsansvarige inte har inhämtat den registrerades samtycke och när det inte finns någon annan grund som berättigar behandlingen av uppgifter, och den är inte beroende av att det har uppkommit en skada.(48)

d)      Teleologisk tolkning

1)      Den registrerades kontroll över sina uppgifter – ett mål med den allmänna dataskyddsförordningen?

68.      För att en behandling av uppgifter som den registrerade inte har samtyckt till automatiskt ska likställas med en ersättningsgill skada, krävs det att kontrollen, för vilken samtycket utgör ett redskap, utgör ett värde i sig.

69.      Jag medger att det kan förefalla som om att det finns ett visst fog för en sådan uppfattning. Att medborgarna har kontroll över sina uppgifter är enligt kommissionens förslag ett av de viktigaste skälen till reformen.(49) I skäl 7 i den allmänna dataskyddsförordningen anges att ”[f]ysiska personer bör ha kontroll över sina egna personuppgifter”.

70.      Detta begrepp måste emellertid tolkas med försiktighet, oavsett de diskussioner inom doktrinen som den har gett upphov till. Det finns i den allmänna dataskyddsförordningen inte någon exakt definition av begreppet ”kontroll” (och jag har inte hittat det någon annanstans heller).(50) Ordet kan ha minst två betydelser, vilka inte utesluter varandra. Det kan antingen betyda ”makt” eller ”herravälde”, eller ”övervakning”.

71.      Lydelsen av skäl 7 i den allmänna dataskyddsförordningen ger upphov till en viss osäkerhet, eftersom den skiljer sig åt mellan olika språkversioner.(51) Mot bakgrund av dess innehåll anser jag att den allmänna dataskyddsförordningen ger den registrerade befogenheter att övervaka och ingripa i andras behandling av uppgifterna, som ett (av flera) instrument för att skydda dessa uppgifter.

72.      Den registrerade bidrar själv och har ansvar för att skydda den information som uppgifterna representerar, i den mån det föreskrivs i den allmänna dataskyddsförordningen (nivå och former). Individens handlingsutrymme är begränsat. När det gäller de rättigheter som räknas upp i den allmänna dataskyddsförordningen, begränsar det sig till att utöva dessa rättigheter under vissa villkor.

73.      Den registrerades samtycke, som det yttersta uttrycket för kontroll,(52) är bara en av de rättsliga grunderna för en laglig behandling, men det kan inte medföra att en bristande uppfyllelse av de övriga skyldigheter och villkor som åligger den personuppgiftsansvarige och personuppgiftsbiträdet godtas.

74.      Jag anser inte att man utan vidare kan dra slutsatsen att den allmänna dataskyddsförordningen syftar till att ge den registrerade kontroll över personuppgifterna som ett värde i sig och inte heller att den registrerade ska ha största möjliga kontroll över dessa uppgifter.

75.      Detta är inte särskilt förvånande. Dels är det inte uppenbart att kontrollen, i betydelsen herravälde över uppgifterna, ingår i det väsentliga innehållet i den grundläggande rätten till skydd av personuppgifter.(53) Dels är synen på denna rätt som en rätt till självbestämmande i fråga om information inte enhetlig: denna formulering finns inte i artikel 8 i stadgan.(54)

76.      Inte heller fördes ett skäl med lydelsen ”rätten till skydd av personuppgifter bygger på den registrerades rätt att utöva kontroll över personuppgifter som behandlas”(55) in i den slutliga texten i den allmänna dataskyddsförordningen.

77.      Mot bakgrund av ovanstående överväganden, vilka måhända är alltför abstrakta, anser jag att om den registrerade inte samtycker till en behandling och uppgifterna ändå behandlas utan någon annan legitim rättslig grund, behöver det inte leda till att en ekonomisk ersättning ska utgå på grund av att den registrerade har förlorat kontrollen över uppgifterna, som om denna förlust i sig skulle innebära en ersättningsgill skada.(56) Det återstår att se om huruvida denne dessutom har drabbats av en skada (vilken i så fall måste styrkas).(57)

2)      Den registrerades kontroll i sammanhanget

78.      Jag anser att det bör erinras om att syfte med den allmänna dataskyddsförordningen är att skydda personuppgifter och ett annat att säkerställa det fria flödet av sådana uppgifter.(58)

79.      En förstärkning av medborgarnas kontroll över sina personuppgifter i den digitala miljön är ett av de erkända syftena med moderniseringen av regelverket rörande skydd av personuppgifter, men det är inte ett självständigt eller isolerat syfte.

80.      I det meddelande som kommissionen bifogade sitt förslag till allmän dataskyddsförordning, angav den att ett starkt uppgiftsskydd är en förutsättning för att öka förtroendet för nättjänsterna och ta vara på den digitala ekonomins potential, och på så sätt uppmuntra ”ekonomisk tillväxt och EU-företagens konkurrenskraft”. Reformeringen (och den ökade harmoniseringen) av unionslagstiftningen ska ”främja den inre marknaden på dataskyddsområdet”.(59)

81.      Med tanke på hur viktiga uppgifter (personuppgifter och andra uppgifter) är för den ekonomiska och sociala utvecklingen i Europa, är syftet med den allmänna dataskyddsförordningen inte att öka den enskildes kontroll över uppgifter som rör honom eller henne, och utan vidare böja sig för den enskildes önskemål, utan att göra en avvägning mellan vars och en rätt till skydd av personuppgifter med tredje parts och samhällets intressen.(60)

82.      Den allmänna dataskyddsförordningen syftar således inte till att systematiskt begränsa behandlingen av personuppgifter, utan till att legitimera den på stränga villkor. Till detta syfte bidrar framför allt den registrerades tilltro till att behandlingen görs i ett säkert sammanhang,(61) vilket den registrerade själv bidrar till. På så sätt uppmuntras denne till att frivilligt tillåta åtkomst till och användning av hans eller hennes uppgifter, bland annat i samband med näthandel.

C.      Fråga 2

83.      Den hänskjutande domstolen vill veta om det ”vid beräkning av ersättningen [gäller] ytterligare bestämmelser inom unionsrätten utöver effektivitetsprincipen och likvärdighetsprincipen”.

84.      I själva verket förefaller det inte som om att likvärdighetsprincipen har någon relevant betydelse här. Den allmänna dataskyddsförordningens harmoniserade system tillämpas direkt på detta område och artikel 82 i förordningen gäller för alla immateriella skador som uppstår till följd av en överträdelse, oavsett vad de grundar sig i.

85.      Samma sak gäller effektivitetsprincipen. En annan fråga är vad ersättningen ska innehålla, om man ser till formuleringen i skäl 146 i den allmänna dataskyddsförordningen (registrerade bör få full och effektiv ersättning för den skada de lidit).

86.      Artikel 82 i den allmänna dataskyddsförordningen innehåller inget annat krav än att en överträdelse av bestämmelserna i förordningen ska ge rätt till ersättning för, materiell eller immateriell, skada som en person har lidit. När det gäller beräkningen av ersättningens storlek, innehåller förordningen ingen vägledning för de nationella domstolarna.

87.      Vad beträffar de två ovannämnda adjektiven (full och effektiv), är ersättningen i första hand beroende av den skadelidandes yrkanden.

88.      Om denne yrkar att det ska utdömas ett straffliknande skadestånd(62) är svaret på den första tolkningsfrågan tillräckligt: den typen av skadestånd regleras inte i den allmänna dataskyddsförordningen. Inom ramen för förordningen har skadeståndsansvaret en ”privat” kompensatorisk funktion, medan sanktionsavgifter och straffrättsliga påföljder har den offentliga funktionen att avskräcka och, i förekommande fall, bestraffa.

89.      Det kan inte uteslutas att en gottgörelse som yrkas för immateriell skada kan innehålla andra inslag än de rent ekonomiska, exempelvis ett erkännande av att överträdelsen har ägt rum, vilket kan innebära att sökanden ges någon form av moralisk tillfredsställelse. Genom en analog tillämpning av domstolens dom av den 15 april 2021,(63) vilken meddelades inom ett annat område än skydd av personuppgifter, skulle ett sådant yrkande kunna tillmötesgås.

90.      I de rättsordningar som föreskriver det kan regelverket rörande skadeståndsansvar möjliggöra domar som bygger på att en rättighet görs gällande (betalning av en symbolisk ersättning) eller att en otillbörlig fördel neutraliseras (överlämnande av den otillbörliga vinningen).

91.      De förstnämnda bygger på tanken att rättigheten ska fortsätta och förverkligas (”Rechtsfortsetzungsfunktion”) med hjälp av en rent symbolisk ersättning, utöver fastställandet att motparten har gjort något otillåtet och åsidosatt sökandens rättigheter. Artikel 82 i den allmänna dataskyddsförordningen innehåller inte någon sådan tanke och det finns heller inte ett spår av den i förarbetena, vilket inte är förvånande med tanke på att den inte förekommer i alla medlemsstaters rättssystem(64) och inte heller är oomtvistad i de medlemsstater där den förekommer.(65)

92.      Systemet i den allmänna dataskyddsförordningen och dess syften utgör emellertid inte hinder för att de medlemsstater som erkänner detta rättsmedel erbjuder det till den som har drabbats av en överträdelse av en bestämmelse, bland de rättsmedel som föreskrivs i artikel 79, om det inte föreligger någon som helst skada. När käranden däremot gör gällande att han eller hon har lidit en ekonomisk skada, regleras den situationen i artikel 82 i den allmänna dataskyddsförordningen och den omständigheten att det är svårt att styrka den får inte medföra ett symboliskt skadestånd.(66)

93.      Vad beträffar domar som innebär att det belopp som följer på åsidosättandet av en rättighet ska överlämnas, kan de ha till syfte att frånta gärningsmannen den vinning han eller hon har haft. Utanför området immateriella rättigheter(67) är detta syfte inte så vanligt inom skadeståndsrätten, vilken snarare ser till den skadelidandes förlust och inte till den skadevållandes vinning.(68) Det finns inte med i den allmänna dataskyddsförordningens bestämmelser.

94.      Jag tillhandahåller dessa överväganden för att underlätta den hänskjutande domstolens arbete, med tanke på den andra tolkningsfrågans omfattning. Jag är emellertid medveten om att de kan visa sig vara till begränsad nytta i ett mål där den registrerade yrkar en rent ekonomisk ersättning för den immateriella skadan.

D.      Fråga 3

95.      Den hänskjutande domstolen vill få klarlagt huruvida det krävs en ”lagöverträdelse av åtminstone viss allvarlighetsgrad, som går utöver den förargelse lagöverträdelsen har orsakat”, för att det enligt den allmänna dataskyddsförordningen ska anses föreligga en immateriell skada.

96.      Som grund för vad som är ersättningsgillt, beaktas i begäran om förhandsavgörande styrkan i den berörda personens upplevelse. Där efterfrågas däremot inte (åtminstone inte direkt) om en viss känsla hos denne är relevant eller irrelevant för tillämpningen av artikel 82.1 i den allmänna dataskyddsförordningen, med tanke på dess innehåll.(69)

97.      Frågan uppkommer således om medlemsstaterna kan låta ersättningen för den immateriella skadan vara beroende av omfattningen av konsekvenserna av överträdelsen av bestämmelsen och bara beakta de konsekvenser som överstiger en viss grad av allvar. Frågan handlar således inte om grunderna för skadestånd(70) eller skadeståndets storlek, utan huruvida det finns en nedre gräns för den berörda personens reaktion, under vilken han eller hon inte får någon ersättning.

98.      Artikel 82 i den allmänna dataskyddsförordningen ger inget direkt svar på frågan. Jag anser inte heller att skälen 75 och 85 gör det. Båda dessa innehåller en uppräkning av exempel på skador som mynnar ut i en öppen klausul som tycks begränsa de ersättningsgilla skadorna till de ”betydande”.

99.      Jag anser emellertid inte att de skälen är användbara för att besvara den hänskjutande domstolens fråga:

–      Det första handlar om fastställandet och bedömningen av riskerna med uppgiftsbehandlingen och åtgärder för att förhindra eller minska dem. Det belyser de oönskade konsekvenserna av behandling och betonar ”i synnerhet” vissa, säkerligen på grund av att de är av allvarligare karaktär.

–      Det andra rör personuppgiftsincidenter och där påpekas att konsekvenserna av dem kan vara betydande.

100. Den förklaring som finns i skäl 146 i den allmänna dataskyddsförordningen (den personuppgiftsansvarige bör ersätta ”all skada”)(71) innehåller inte heller några kriterier som gör det möjligt att besvara frågan.

101. Överföringen av detta skäl till artikeldelen i den allmänna dataskyddsförordningen, gjorde att förordningen uttryckligen kom att omfatta immateriella skador, i stället för den tystnad som fanns på denna punkt i direktiv 95/46.(72) Just den fråga som nu aktualiserats vid domstolen togs emellertid inte upp.

102. I samma skäl 146 i den allmänna dataskyddsförordningen anges att ”begreppet skada bör tolkas brett mot bakgrund av domstolens praxis på ett sätt som fullt ut återspeglar denna förordnings mål”.

103. Jag är inte säker på att detta påpekande var särskilt användbart när det gällde uppgiftsskydd, eftersom domstolen ännu inte hade uttalat sig om detta område när den allmänna dataskyddsförordningen antogs.(73) Om avsikten var hänvisa till domar rörande skadeståndsansvar som reglerades i andra direktiv eller förordningar, hade en hänvisning till analog tillämpning varit välkommen.

104. I själva verket har domstolen inte utvecklat någon allmän definition av begreppet ”skada” som är tillämplig inom alla områden.(74) Vad beträffar den skada som är aktuell här (immateriell skada), följer följande av domstolens rättspraxis:

–      När syftet (eller ett av syftena) med den bestämmelse som tolkas är att skydda individen, eller en viss kategori av individer,(75) bör begreppet skador ges en vid definition.

–      I överensstämmelse med detta kriterium omfattar skadeståndet immateriella skador, även om de inte nämns i den tolkade bestämmelsen.(76)

105. Trots att domstolens rättspraxis gör det möjligt att mot denna bakgrund hävda att det föreligger en princip om ersättning för immateriella skador i unionsrätten, anser jag emellertid inte att det ur detta kan härledas en regel som innebär att alla immateriella skador är ersättningsgilla, oavsett svårighetsgrad.

106. Domstolen har slagit fast att unionsrätten inte utgör hinder för en nationell lagstiftning som vid beräkningen av ersättningen gör skillnad mellan olika immateriella skador som är följden av personskador orsakade av olyckor beroende på vad som orsakat olyckan.(77)

107. Den har även prövat vilka omständigheter som kan ge upphov till immateriella skador, i enlighet med den bestämmelse som är tillämplig i varje enskilt mål,(78)men den har (såvitt jag inte misstar mig) inte uttryckligen uttalat sig om det rekvisit som rör skadornas svårighetsgrad.(79)

108. Mot bakgrund av detta anser jag att den tredje frågan ska besvaras jakande.

109. Till stöd för min ståndpunkt vill jag erinra om att den allmänna dataskyddsförordningen inte enbart syftar till att värna om den grundläggande rätten till skydd av personuppgifter(80) och att dess system med garantier innehåller mekanismer av olika slag.(81)

110. Såsom föreslagits för domstolen är det i detta sammanhang lämpligt att göra skillnad mellan immateriella skador som är ersättningsgilla och andra olägenheter som är en följd av bristande respekt för vad som är lagligt, vilka på grund av sin ringa omfattning inte nödvändigtvis ger rätt till ersättning.

111. En sådan åtskillnad finns i nationella rättsordningar, som en oundviklig följd av samhällslivet.(82) Domstolen är inte omedveten om denna åtskillnad och domstolen har godtagit denna skillnad när den har tagit upp problem och olägenheter som utgör en kategori som är självständig i förhållande till kategorin skador, inom områden där den anser att dessa ska kompenseras.(83) Det finns inget som hindrar att den tillämpas på den allmänna dataskyddsförordningen.

112. Vidare anser jag inte att rätten till ersättning enligt artikel 82.1 i den allmänna dataskyddsförordningen är ett lämpligt instrument för att motverka överträdelser vid behandling av personuppgifter, om de bara ger upphov till ilska eller förtret hos den registrerade.

113. Varje överträdelse av en bestämmelse om skydd för personuppgifter ger som regel upphov till en negativ reaktion från den registrerades sida. En ersättning som enbart grundar sig på en känsla av missnöje på grund av att någon annan inte har efterlevt lagen är lätt att förväxla med en ersättning utan skada, vilket jag tidigare har vänt mig mot.

114. I praktiskt hänseende är det inte effektivt att låta ren irritation ingå i de ersättningsgilla immateriella skadorna, med beaktande av de olägenheter och svårigheter som en domstolstalan brukar innebära för käranden(84) och för svarandens försvar.(85)

115. Att ersättning nekas för svaga och övergående känslor(86) till följd av överträdelser av regler om behandling, innebär inte att den registrerade blir helt skyddslös. Som jag påpekade i samband med den första frågan, erbjuder systemet i den allmänna dataskyddsförordningen den registrerade andra rättsmedel.

116. Jag betvivlar inte att gränsen mellan ren irritation (som inte är ersättningsgill) och verkliga immateriella skador (som är ersättningsgilla) är subtil och jag är inte omedveten om att det generellt är komplicerat att avgränsa de två kategorierna och konkret tillämpa dem på en tvist. Denna svåra uppgift faller på domstolarna i medlemsstaterna, vilka när de fäller sina avgöranden sannolikt inte kan bortse från den rådande uppfattningen i samhället om vad man får tåla när de subjektiva följderna av en överträdelse av en bestämmelse inom det här området inte överstiger en viss miniminivå.(87)

V.      Förslag till avgörande

117. Med hänsyn till vad som anförts ovan föreslår jag att domstolen besvarar de tolkningsfrågor som ställts av Oberster Gerichtshof (Högsta domstolen, Österrike) enligt följande:

Artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas på följande sätt:

För att en person ska ha rätt till ersättning för en skada som denne har lidit till följd av att den ovannämnda förordningen har åsidosatts, räcker det inte enbart att bestämmelsen har överträtts, utan det måste dessutom ha uppkommit en materiell eller immateriell skada.

Den ersättning för immateriella skador som föreskrivs i förordningen omfattar inte rent förtret som den person som berörs kan känna till följd av att bestämmelserna i förordning 2016/679 har överträtts. Det ankommer på de nationella domstolarna att i varje enskilt fall avgöra när den subjektiva olustkänslan till sin karaktär är sådan att den kan anses utgöra en immateriell skada.

1      Originalspråk: spanska.

2      Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1). Nedan kallad den allmänna dataskyddsförordningen.

3      Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

4      Enligt rapporten från Europeiska unionens byrå för grundläggande rättigheter (FRA), Access to data protection remedies in the EU Member States, Europeiska unionens publikationsbyrå, 2013, punkterna 3 och 4.

5      Erkännandet av denna rättighet i lagstiftningen är till stor del ett särdrag i unionens skyddssystem. Vid en bedömning av giltigheten av rättsliga instrument som rör överföring av personuppgifter till tredjeland, beaktas särskilt huruvida det finns en bestämmelse som har samma syfte eller inte. Se punkterna 226 och 227 i yttrande 1/15 (PNR-avtalet mellan EU och Kanada av den 26 juli 2017, EU:C:2017:592) samt dom av den 16 juli 2020, Facebook Ireland och Schrems (C‑311/18, EU:C:2020:559), och dom av den 21 juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6      När detta förslag till avgörande avfattas har förhandsavgörande begärts i ytterligare sju mål rörande detta område (mål C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22, C‑189/22 och C-456/22). Parallellt har Europaparlamentets utskott för framställningar ombetts att ”klargöra skälen i den allmänna dataskyddsförordningen, i synnerhet beträffande immateriella skador, för att förhindra fler orättvisa domar i tyska domstolar” (framställning nr 0386/2021).

7      Den biföll däremot ett förbudsyrkande och detta fastställdes av appellationsdomstolen. Oberster Gerichtshof (Högsta domstolen) har ogillat Österreichische Posts överklagande av förbudsföreläggandet.

8      Jag använder detta ord i den mening som avses i artikel 4.1 i den allmänna dataskyddsförordningen.

9      Ibland behöver den registrerade inte ens styrka att han eller hon inte lämnat sitt samtycke. I artikel 7.1 i den allmänna dataskyddsförordningen föreskrivs att ”[o]m behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter”. Det kan dock krävas att käranden tillhandahåller uppgifter som gör det möjligt att kvantifiera skadan.

10      Ordet ”indemnización” används i den spanska och den portugisiska versionen (”indemnização”). Mycket belysande är även ”Schadenersatz”, i den tyska versionen. I den franska används inte ”indemnisation”, utan ”réparation”; i den engelska, ”compensation”. Jag anser att resultatet är detsamma i alla dessa, och andra motsvarande, versioner: skadan är fortfarande en nödvändig förutsättning för skadeståndsansvaret.

11      Skäl 146 i den allmänna dataskyddsförordningen. Ersättningen syftar till att återställa jämvikten i den rättsliga situation som rubbats på ett negativt sätt (skadats) på grund av överträdelsen av lagstiftningen.

12      Straffliknande skadestånd (punitive damages) är utmärkande för den anglosaxiska rätten. Andra rättsordningar använder sig av skadestånd som en reaktion i vissa fall där någon handlat med särskilt uppsåt eller visat grov oaktsamhet. Ibland förknippas det med en värdering av den ideella skada som uppkommit efter skadan på hälsan eller den personliga integriteten.

13      Dom av den 13 juli 2006, Manfredi m.fl. (C‑295/04–C‑298/04, EU:C:2006:461, punkt 92). ”Vad gäller utdömandet av skadestånd och den eventuella möjligheten att utdöma skadestånd med karaktär av sanktionsåtgärd, skall, i avsaknad av gemenskapsrättsliga bestämmelser på området, varje medlemsstats interna rättsordning ange kriterierna för storleken på ersättningen, under förutsättning att likvärdighets- och effektivitetsprinciperna iakttas.”. Min kursivering.

14      Dom av den 11 oktober 2007, Paquay (C‑460/06, EU:C:2007:601, punkt 44 och följande punkter), med avseende på artikel 6 i rådets direktiv 76/207/EEG av den 9 februari 1976 om genomförandet av principen om likabehandling av kvinnor och män i fråga om tillgång till anställning, yrkesutbildning och befordran samt arbetsvillkor (EGT L 39, 1976, s. 40; svensk specialutgåva, område 5, volym 1, s. 191).

15      Artikel 28 i Europaparlamentets och rådets direktiv 2004/109/EG av den 15 december 2004 om harmonisering av insynskraven angående upplysningar om emittenter vars värdepapper är upptagna till handel på en reglerad marknad och om ändring av direktiv 2001/34/EG (EUT L 390, 2004, s. 38), eller artikel 25 i Europaparlamentets och rådets direktiv 2006/54/EG av den 5 juli 2006 om genomförandet av principen om lika möjligheter och likabehandling av kvinnor och män i arbetslivet (EUT L 204, 2006, s. 23).

16      Exempelvis skäl 26 i Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (EUT L 157, 2004, s. 45). I det fallet är det inte förbjudet att anta den straffliknande åtgärden, men medlemsstaterna är inte heller skyldiga att göra det: dom av den 25 januari 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, punkt 28).

17      Artikel 3.3 i Europaparlamentets och rådets direktiv 2014/104/EU av den 26 november 2014 om vissa regler som styr skadeståndstalan enligt nationell rätt för överträdelser av medlemsstaternas och Europeiska unionens konkurrensrättsliga bestämmelser (EUT L 349, 2014, s. 1), eller skälen 10 och 42 i Europaparlamentets och rådets direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22/EG (EUT L 409, 2020, s. 1), som omfattar dataskyddsområdet.

18      Som exempel brukar nämnas artikel 18.2 i kommissionens förordning (EG) nr 1768/95 av den 24 juli 1995 om införande av genomförandebestämmelser för det undantag i jordbruket som föreskrivs i artikel 14.3 i förordning (EG) nr 2100/94 (EGT L 173, 1995, s. 14): ”… skall skyldigheten att ersätta rättsinnehavaren för eventuella … skador … omfatta minst en klumpsumma beräknad på basis av det fyrdubbla genomsnittliga belopp som skall betalas …”.

19      Se nedan, punkt 47.

20      Jag använder här uttrycken ”offentlig tillämpning” och ”privat tillämpning” på samma sätt som de används i direktiv 2014/104.

21      Skäl 55 varslade om innehållet i kapitel III (”Rättslig prövning, ansvar och sanktioner”) i direktiv 95/46. Dessa begrepp behandlades i artiklarna 22, 23 respektive 24. Kapitel VI handlade om tillsynsmyndigheterna.

22      Domstolen har bekräftat att dessa myndigheter har en central roll i systemet, exempelvis i sin dom av den 9 mars 2010 kommissionen/Tyskland (C‑518/07, EU:C:2010:125, punkt 23). Det hänvisas till dessa i artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och i artikel 1.2 in fine FEUF.

23      Estland och Danmark har ett särskilt system, vilket nämns i skäl 151 i den allmänna dataskyddsförordningen.

24      Trots att den allmänna dataskyddsförordningen inte innehåller någon direkt formulering om betydelsen av den privata tillämpningen av bestämmelserna, som den som finns i skäl 3 i direktiv 2014/104.

25      Möjligheten att väcka grupptalan fanns redan före den allmänna dataskyddsförordningen: dom av den 29 juli 2019, Fashion ID (C‑40/17, EU:C:2019:629). Enligt artikel 80.1 i den allmänna dataskyddsförordningen får de organ som försvarar de registrerades rättigheter inte vidta åtgärder när det gäller ersättning om medlemsstaterna inte föreskriver det i sin nationella rätt och den registrerade samtycker till det. Situationen kan komma att ändras till följd av direktiv 2020/1828.

26      Såsom generaladvokat Richard de la Tour påpekade i sitt förslag till avgörande i målet Meta Platforms Ireland (C‑319/20, EU:C:2021:979), kan en talan enligt artikel 80 i den allmänna dataskyddsförordningen skydda enskilda och allmänna intressen. Det målet handlade om att föreläggande om upphörande.

27      I synnerhet i medlemsstater som inte ville godta domar om ersättning för immateriella skador utan att det föreskrevs i lag.

28      Som talerätt, skäl för undantag och ansvarssystemet för gemensamt personuppgiftsansvariga och gemensamma personuppgiftsbiträden. I ett dokument från rådet återges följande fråga från den belgiska delegationen: ”whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage”. Svaret från kommissionen var att det var nödvändigt att styrka skada: se första gången i not från ordförandeskapet nr 17831/13 av den 16 december 2013, not 541. Det finns ingen uppgift om att denna fråga skulle ha varit föremål för någon omfattande debatt.

29      Jag hänvisar till förarbetena inför antagandet av direktiven 2004/48 och 2014/104. En tolkning som innebär att straffliknande skadestånd skulle omfattas av artikel 82 i den allmänna dataskyddsförordningen skulle få stora konsekvenser för medlemsstaterna. De skulle då till exempel behöva ta ställning till vem som ska ta emot den ersättning som fungerar som påföljd, hur den ska beräknas för att uppfylla syftet och vilket samband den ska ha med de administrativa sanktionsavgifterna och de straffrättsliga påföljderna, för att undvika en alltför sträng bestraffning.

30      Dessa ”andra sanktioner”, som kan vara av straffrättslig eller förvaltningsrättslig art, har inte harmoniserats. I likhet med sanktionsavgifterna ska de vara ”effektiva, proportionella och avskräckande” (artikel 84.1 in fine).

31      Jag utesluter inte, i teorin, att några av dem även kan beaktas när det gäller skadeståndsansvar (jag tänker till exempel på ”[o]m överträdelsen skett med uppsåt eller genom oaktsamhet”, enligt artikel 83.2 b i den allmänna dataskyddsförordningen) eller avspeglas i skadeståndet (som ”[d]e kategorier av personuppgifter som påverkas av överträdelsen” enligt artikel 83.2 g). Inte ens i dessa fall kan dock var och en av dessa faktorer automatiskt överföras från ett område till ett annat.

32      Artikel 83.2 a i den allmänna dataskyddsförordningen.

33      Varken som beräkningsgrund eller för att dra av det från beloppet.

34      Artikel 1 i den allmänna dataskyddsförordningen samt skälen 6, 9 och 170. I skäl 9 erinras om att dessa var målen med direktiv 95/46 och att de fortfarande gäller. Det brukar betonas att i direktiv 95/46 gavs målet fri rörlighet för personuppgifter företräde framför skyddsmålet, medan det förhåller sig tvärtom i den allmänna dataskyddsförordningen. Förklaringen till detta skulle vara det formella erkännandet av denna rätt i artikel 8 i stadgan och att detta satt sin prägel på det nya regelverket. Artikel 1 i den allmänna dataskyddsförordningen visar emellertid tydligt att det funnits en vilja att göra en avvägning mellan skyddet av personuppgifter och deras fria rörlighet. Det innebär naturligtvis att man ska sträva efter att skyddsnivån ska vara likvärdig i samtliga medlemsstater och förhindra att hinder uppstår på grund av fragmentering av reglerna, men också motverka enskildas motvilja mot att dela eller tillhandahålla personuppgifter för att de ska behandlas, genom att skapa tilltro till att de är skyddade.

35      I punkt 53 i sitt skriftliga yttrande påpekar den irländska regeringen följande: ”… very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage” (min kursivering). I Tyskland varnas i vissa delar av doktrinen för risken för att möjligheten att väcka talan ska missbrukas och att det måste förhindras att det uppstår en ”datenschutzrechtliche Klageindustrie”: Wybitul, T., Neu, L., Strauch, M., ”Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen”, Zeitschrift für Datenschutz, 2018, sidan 202 och följande sidor, särskilt sidan 206. Paal, B.P., Kritzer, I., ”Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell”, Neue Juristische Wochenschrift, 2022, sidan 2433 och följande sidor.

36      Det kan inte uteslutas att det uppstår en spridningseffekt på grund av framgångarna med att väcka skadeståndstalan utan att det föreligger skada. Därmed ökar sannolikheten för att ekonomiska aktörer ställs inför fall med grupptalan eller en mängd enskilda stämningar (i förekommande fall mer eller mindre obefogade), utöver eventuella administrativa sanktionsavgifter eller straffrättsliga påföljder.

37      Den antyds bara i parternas yttranden men den utvecklas inte. Det klargörs till exempel inte om presumtionen är motbevisbar eller inte. Det sistnämnda alternativet överensstämmer bäst med den hänskjutande domstolens fråga och jag ska därför begränsa mig till det.

38      Se artikel 7 i Europaparlamentets och rådets förordning (EG) nr 261/2004 av den 11 februari 2004 om fastställande av gemensamma regler om kompensation och assistans till passagerare vid nekad ombordstigning och inställda eller kraftigt försenade flygningar och om upphävande av förordning (EEG) nr 295/91 (EUT L 46, 2004, s. 1), eller artikel 19 i Europaparlamentets och rådets förordning (EU) nr 1177/2010 av den 24 november 2010 om passagerares rättigheter vid resor till sjöss och på inre vattenvägar och om ändring av förordning (EG) nr 2006/2004 (EUT L 334, 2010, s. 1).

39      Det räcker att se till punkterna 3 och 4 i artikel 82 i den allmänna dataskyddsförordningen.

40      ”om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter”.

41      ”En personuppgiftsincident … kan för fysiska personer leda till … förlust av kontrollen över de egna personuppgifterna …”.

42      Konsekvenserna som räknas upp i det skälet är inte automatiska. Enligt artikel 34 i den allmänna dataskyddsförordningen ska den personuppgiftsansvarige i varje enskilt fall bedöma om det är nödvändigt att informera den registrerade om personuppgiftsincidenten.

43      De känslomässiga konsekvenserna av en förlust av kontrollen över uppgifterna, som rädsla eller oro för vad som kan hända med dem, är en följd av förlusten men de är inte identiska med den.

44      Vissa medlemsstater hade infört en presumtion om skada inom områden som låg nära dataskyddsområdet. I Spanien föreskrevs till exempel i artikel 9.3 i Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (lag 1/1982 av den 5 maj 1982 om civilrättsligt skydd av rätten till heder, rätten till privatliv och familjeliv och rätten till den egna bilden (BOE nr 115 av den 14 maj 1982, s. 12546–12548), att ”det presumeras att det föreligger en skada under förutsättning att det har skett ett otillåtet intrång [i de rättigheter som garanteras genom den lagen]”.

45      Jag vill erinra om att i förevarande mål är handlandets rättsstridighet just knuten till avsaknaden av samtycke från den registrerade. Argumenten om att rätten till ersättning ingår i garantierna för att bestämmelserna i den allmänna dataskyddsförordningen efterlevs är också tillämpliga här.

46      Det handlar emellertid bara om en grund för en laglig behandling och alla de grunder som räknas upp i den allmänna dataskyddsförordningen har samma värde. Se yttrande 6/2014 från Artikel 29-arbetsgruppen för skydd av personuppgifter om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG, antaget den 9 april 2014, s. 10. Den registeransvarige får emellertid inte ändra grunden för behandlingen, när den väl har påbörjats: Se Europeiska dataskyddsstyrelsens riktlinjer 05/2020 om samtycke enligt förordning (EU) 2016/679, punkterna 121–123.

47      Artikel 17.1 i den allmänna dataskyddsförordningen. Det innebär inte att det inte skulle föreligga rätt till ersättning för skador som behandlingen kan ha gett upphov till innan uppgifterna raderades.

48      Dom av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317, punkt 4 i domslutet).

49      Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM(2012) 011 final), s. 2 och skäl 6 i den föreslagna texten. Se även punkt 2 i Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén: ”Skydd av den personliga integriteten i en uppkopplad värld. En europeisk ram för personuppgiftsskydd för tjugohundratalet” (COM(2012) 9 final).

50      Mitt intryck är att denna tystnad inte är någon tillfällighet. Oavsett de begreppsmässiga analyserna rörande äganderätten till personuppgifterna, är frågan om det ska godtas att kontrollen över de egna uppgifterna innebär att fysiska personer har äganderättsbefogenheter rörande den information som berör dem (vilket sannolikt inte är förenligt med tredje parts intressen och inte heller med samhällets intressen som helhet). Rekommendationen att erkänna äganderätt till personuppgifterna finns i Yttrande från Europeiska ekonomiska och sociala kommittén om Förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten), COM(2020) 767 final, (EUT C 286, 2021, s. 38), i punkt 4.18: ”EESK rekommenderar … att man erkänner den europeiska äganderätten till digitala data, så att medborgarna (arbetstagare, konsumenter, företagare) kan kontrollera, hantera eller förbjuda användningen av sina data” (min kursivering). Däremot förnekas att uppgifterna skulle utgöra en vara, se fotnot 53 in fine.

51      I den spanska versionen står det att ”las personas físicas deben tener el control de sus propios datos personales” (min kursivering). I den engelska versionen anges det att ”natural persons should have control of their own personal data” (och inte the control). I andra versioner, som den portugisiska, är lydelsen ”as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”. Enligt artikel 4 i den allmänna dataskyddsförordningen handlar kontrollen över personuppgifterna om den information som de representerar. Kontrollen över hur uppgifterna används handlar snarare om behandlingen av dem.

52      I praktiken begränsar sig samtycket till att godkänna eller förkasta förslaget från den som vill behandla uppgifterna.

53      Jag utesluter inte att regelverkets kan komma att utvecklas i riktning mot att erkänna den registrerades äganderätt. Jag betvivlar emellertid att det kommer att leda till en maximering av den individuella kontrollen. Det är inte säkert att en ställning där den registrerade har äganderätt till personuppgifterna är helt förenlig med ekonomins och innovationernas utveckling; dess förenlighet med den grundläggande rättighetsdimensionen är diskutabel. Se skäl 24 i Europaparlamentets och rådets direktiv (EU) 2019/770 av den 20 maj 2019 om vissa aspekter på avtal om tillhandahållande av digitalt innehåll och digitala tjänster (EUT L 136, 2019, s. 1): ”Det är viktigt att till fullo erkänna att skyddet av personuppgifter är en grundläggande rättighet och att personuppgifter därför inte kan betraktas som en vara…” Min kursivering.

54      Inget gehör vanns för formuleringar som föreslogs för artikel 19 i Presidiets not – Projet de Charte des Droits Fondamentaux de l'Union Européenne, Charte 4284/1/00 REV 1, av den 11 maj 2000: ”Toute personne a le droit de décider elle-même de la divulgation et de l'utilisation de ses données personnelles”. Inte heller för den som finns för samma bestämmelse i Presidiets not – Projet de Charte des Droits Fondamentaux de l'Union Européenne, Charte 4333/00, av den 4 juni 2000: ”Toute personne a le droit de décider elle-même de la collecte, de l'utilisation et de la divulgation des données à caractère personnel la concernant”. På nationell nivå har tanken med självbestämmande i fråga om information slagit rot i vissa medlemsstater, exempelvis Tyskland, efter Bundesverfassungsgerichts (Författningsdomstolen) beslut av den 15 december 1983, 1 BvR 209/83. I Spanien, se exempelvis Tribunal Constitucionals (Federala författningsdomstolen) dom 292/2000 av den 30 november 2000 (BOE av den 4 januari 2001). Jag är inte säker på att det förhåller sig så när det gäller unionen, även om förslaget till avgörande av generaladvokaten Szpunar i målet Orange Romania (C‑61/19, EU:C:2020:158, punkt 37) pekar i den riktningen: ”Den grundläggande princip som ligger till grund för unionens dataskyddslagstiftning är en självständig enskild person som kan fatta beslut om användning och behandling av sina uppgifter”, just med hänvisning till den tyska rättspraxisen.

55      Utkast till rapport angående förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM(2012) 0011 final 2012/0011 (COD)), PE501.927v04–0, av den 16 januari 2013, ändring 29.

56      Jag menar inte att bestämmelsen får överträdas ostraffat. Vad jag syftar på är att en ersättning inte är ett lämpligt redskap om det inte har uppkommit någon skada.

57      Även om det utesluts att rätten för den enskilde att ha kontroll över sina uppgifter i sig är ett syfte med den allmänna dataskyddsförordningen, utesluter jag inte att förlusten av kontroll kan beaktas som vägledning för att fastställa de immateriella skadorna, på så sätt att reaktionerna på denna förlust beaktas.

58      Se punkt 51 i detta förslag till avgörande. Det fria flödet av uppgifter är det enda syftet när det gäller andra data än personuppgifter: artikel 1 i Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (EUT L 303, 2018, s. 59).

59      Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén: ”Skydd av den personliga integriteten i en uppkopplad värld. En europeisk ram för personuppgiftsskydd för tjugohundratalet” (COM(2012) 9 final), punkt 1. Längre fram, på sidan 5: ”… oro för den personliga integriteten [är] ett av de vanligaste skälen som nämns för att inte köpa varor eller tjänster över nätet”.

60      Skäl 2 i den allmänna dataskyddsförordningen: ”… bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande”. I skäl 4: ”… Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället …”. Se, för ett liknande resonemang, dom av den 24 september 2019, Google (Territoriell räckvidd för rätten till borttagande av länkar) (C‑507/17, EU:C:2019:772, punkt 60, med andra hänvisningar).

61      Detta syfte gäller även det regelverk som syftar till att stärka den inre datamarknaden. Se, för ett liknande resonemang, Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén ”En EU-strategi för data” (COM(2020) 66 final) punkt 1: ”I ett samhälle där enskilda personer genererar allt större datamängder måste data samlas in och användas på ett sätt som först och främst beaktar individens intressen, i enlighet med europeiska värden, grundläggande rättigheter och regler. Allmänheten kommer att lita på och ta till sig datadrivna innovationer först när de är övertygade om att all delning av personuppgifter inom EU sker i full överensstämmelse med unionens strikta dataskyddsregler.”

62      Det tycks bekymra den hänskjutande domstolen (beslutet att begära förhandsavgörande, skäl 5 i skälen till att förhandsavgörandet begärs) att skadeståndet blir straffliknande, eftersom den allmänna dataskyddsförordningen redan föreskriver höga sanktionsavgifter och det därför inte dessutom krävs hög ersättning för ideella skador för att säkerställa effektiviteten.

63      Mål C‑30/19, Braathens Regional Aviation (EU:C:2021:269, punkt 49): ”betalningen av ett penningbelopp [är] inte tillräcklig för att tillmötesgå de yrkanden som framställs av en person som i första hand, för att få upprättelse för den lidna ideella skadan, vill få fastställt att han eller hon har utsatts för diskriminering. Detta innebär att denna betalning, när det gäller att uppnå detta ändamål, inte kan anses ha en tillfredsställande reparativ funktion.” Det målet handlade om rådets direktiv 2000/43/EG av den 29 juni 2000 om genomförandet av principen om likabehandling av personer oavsett deras ras eller etniska ursprung (EGT L 180, 2000, s. 22)

64      Se Magnus, U., ”Comparative Report on the Law of Damages”, i Unification of Tort Law: Damages, Kluwer Law International, 2001, s. 187, avsnitt 14 och 15.

65      Vanligtvis i system som bygger på common law, i synnerhet i USA, där ett yrkande om symbolisk ersättning utgör den yttersta möjligheten att försvara grundlagsstadgade rättigheter. För en sammanfattning av diskussionerna kring dess nytta i det landet, se Grealish, M-B., ”A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion”, i Fordham L. Rev., vol. 87, s. 733; samt, på senare tid, USA:s högsta domstols avgörande av den 8 mars 2021 i målet Uzuegbunam mot Preczewski. Så kallade nominal damages är inte heller oomtvistade i Förenade kungariket. I praktiken antas intresset av en dom om nominellt skadestånd vara beroende av att mottagaren betraktas som vinnande part med avseende på rättegångskostnader, vilket inte automatiskt är fallet sedan avgörandet i målet Anglo-Cyprian Trade Agencies Ltd mot Paphos Wine Industries Ltd [1951] 1 All ER 873.

66      Domstolen krävde inom ramen för den (dåvarande) artikel 215 i EEG-fördraget att skadan skulle styrkas, även när käranden yrkade en symbolisk ersättning på grund av svårigheten att styrka skadan: dom av den 21 maj 1976, Roquette Frères/kommissionen (26/74, EU:C:1976:69, punkterna 23 och 24).

67      I samband med immateriella rättigheter är syftet med ersättningen, som en reaktion på överträdelsen av bestämmelsen, att uppnå själva målet, vilket är centralt inom detta område, att skydda rättighetens ekonomiska integritet. I artikel 13.1 a i direktiv 2004/48 nämns ”den otillbörliga vinst som intrångsgöranden har gjort” som en av de faktorer som de rättsliga myndigheterna ska beakta när de fastställer skadeståndet.

68      En motsvarande bestämmelse finns i artikel 94.2 i rådets förordning (EG) nr 2100/94 av den 27 juli 1994 om gemenskapens växtförädlarrätt (EGT L 227, 1994, s. 1; svensk specialutgåva; område 3, volym 60, s. 196): ”Vid ringa försumlighet kan sådana krav sänkas i förhållande till graden av ringa försumlighet, dock inte i sådan utsträckning att de blir lägre än den fördel som den överträdande parten haft till följd av överträdelsen.”

69      Känslornas obeskrivliga karaktär, i synnerhet om de knyts till risker om vad som kan hända med uppgifterna i framtiden, har gjort att de inte betraktas som skador, på grund av att de inte är tillräckligt precisa eller på grund av deras hypotetiska karaktär.

70      Det vill säga om chefs de préjudice eller heads of damage.

71      Enligt det skälet bör registrerade få ”full och effektiv” ersättning. Jag anser inte att denna utsaga är relevant för den tredje tolkningsfrågan, eftersom den inte handlar om vilka kategorier av skador som är ersättningsgilla utan beräkningen av ersättningen (eftersom det är en åtgärd som kommer efter fastställandet av vad som är ersättningsgillt och som inte ska blandas samman med det). Med beaktande av förarbetena till den allmänna dataskyddsförordningen, säkerställer betoningen av en ”full och effektiv” ersättning att den registrerade inte bara delvis får ersättning om flera personuppgiftsansvariga eller personuppgiftsbiträden är inblandade. Därför anges det i artikel 82.4 i den allmänna dataskyddsförordningen att ”… varje personuppgiftsansvarig eller personuppgiftsbiträde [ska] hållas ansvarig för hela skadan för att säkerställa att den registrerade får effektiv ersättning”.

72      I artikel 23 i direktiv 95/46 angavs inte uttryckligen vilka skador som är ersättningsgilla, vilket ledde till en diskussion om vilka som omfattades. De förhandlingar som föregick den allmänna dataskyddsförordningen inriktades på att skingra tvivlen om huruvida immateriella skador skulle inkluderas. I skäl 118 i kommissionens förslag som jag hänvisat till i fotnot 49, innehöll formuleringen ersättning för skada. I de efterföljande skedena av lagstiftningsförfarandet användes formuleringen ”ekonomisk skada eller annan skada”, vilket banade väg för uttrycket ”ideell skada” och slutligen mynnade ut i det nuvarande ”immateriella skador”.

73      Det hade den inte gjort med avseende på artikel 23 i direktiv 95/46, och den har ännu inte gjort det avseende artikel 82 i den allmänna dataskyddsförordningen. Såvitt jag inte misstar mig har den heller inte uttalat sig med avseende på artikel 56 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 19) eller artikel 19 i det upphävda rambeslutet.

74      Domstolen har heller inte angett någon tolkningsmetod – självständig eller genom hänvisning till de nationella rättsordningarna – som i första hand bör tillämpas, utan denna är beroende av vilket område som är föremål för prövning. Jämför dom av den 10 maj 2001, Veedfald (C‑203/99, EU:C:2001:258, punkt 27), rörande produkter med säkerhetsbrister, dom av den 6 maj 2010, Walz (C‑63/09, EU:C:2010:251, punkt 21), rörande lufttrafikföretags skadeståndsansvar, eller dom av den 10 juni 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, punkt 37 och följande punkter), rörande civilrättsligt skadeståndsansvar som ska tillämpas vid trafikolyckor. Dokument rörande förhandlingarna om den allmänna dataskyddsförordningen avspeglar medlemsstaternas osäkerhet om huruvida begreppen skador och skadestånd i (den dåvarande) artikel 77 skulle vara självständiga eller inte och de visar att olika ståndpunkter förekom rörande detta. Kommissionen ansåg att frågan skulle överlämnas till EU-domstolen. Se Europeiska unionens råd, Not från ordförandeskapet nr 17831/13 av den 16 december 2013, not 539.

75      Till exempel konsumenter av produkter eller skadelidande i trafikolyckor.

76      Inom området paketresor, dom av den 12 mars 2002, Leitner (C‑168/00, EU:C:2002:163), inom området civilrättsligt ansvar för motorfordon, dom av den 24 oktober 2013, Haasová (C‑22/12, EU:C:2013:692, punkterna 47–50), dom av den 24 oktober 2013, Drozdovs (C‑277/12, EU:C:2013:685, punkt 40), och dom av den 23 januari 2014, Petillo (C‑371/12, EU:C:2014:26, punkt 35).

77      Dom av den 23 januari 2014, Petillo (C‑371/12, EU:C:2014:26, domslutet): unionsrätten utgör inte hinder för ”en nationell lagstiftning … enligt vilken ett särskilt system för ersättning för immateriella skador som är följden av lindriga personskador, vilka orsakats av trafikolyckor, begränsar ersättningen för dessa skador i förhållande till den ersättning som beviljas för identiska skador som är följden av andra händelser än trafikolyckor”.

78      Till exempel dom av den 12 mars 2002, Leitner (C‑168/00, EU:C:2002:163), rörande utebliven semesterglädje, och dom av den 6 maj 2010, Walz (C‑63/09, EU:C:2010:251), rörande förlust av bagage i samband med paketresor.

79      I dom av den 17 mars 2016, Liffers (C‑99/15, EU:C:2016:173, punkt 17), som rörde tolkningen av direktiv 2004/48, underströk domstolen att en ideell skada utgör en del av den faktiska skada som har orsakats ”förutsatt att den har styrkts”. Logiskt sett måste det faktiskt föreligga en skada för att den ska kunna styrkas. Detta liknar i sin tur tanken om skadans svårighetsgrad, även om den inte är identisk med den.

80      Se punkt 51 ovan.

81      Se punkt 45 och följande punkter ovan.

82      Nyligen, inom området skydd av uppgifter, i Italien, Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 nr. 5261, samt Cass Civ. Ord. Sez 6, nr. 17383/2020. I Tyskland bland annat AG Diez, 07.11.2018–8 C‑130/18; LG Karlsruhe, 02.08.2019–8 O 26/19; och AG Frankfurt am Main, 10.07.2020–385 C‑155/19 (70). I Österrike, OGH 6 Ob 56/21k.

83      Se dom av den 23 oktober 2012, Nelson m.fl. (C‑581/10 och C‑629/10, EU:C:2012:657, punkt 51), rörande skillnaden mellan ”skador” i den mening som avses i artikel 19 i konventionen om vissa enhetliga regler för internationella lufttransporter, som ingicks i Montreal den 28 maj 1999, och ”olägenheter” i den mening som avses i förordning nr 261/2004, vilka är ersättningsgilla enligt artikel 7 i den förordningen, enligt dom av den 19 november 2009, Sturgeon m.fl. (C‑402/07 och C‑432/07, EU:C:2009:716). Inom detta område, liksom inom området passagerartrafik till sjöss eller på inre vattenvägar som förordning nr 1177/2010 handlar om, har lagstiftaren kunnat identifiera en abstrakt kategori tack vare att den faktor som ger upphov till problemet, och dess väsentliga innehåll, är identiska för alla som berörs. Jag anser inte att det går att dra en sådan slutsats när det gäller området dataskydd.

84      Den vanligaste mekanismen för att utöva rättigheten enligt artikel 82 i den allmänna dataskyddsförordningen är att väcka talan i allmän domstol. Effektivitetsprincipen kan naturligtvis villkora tillämpningen av nationella regler rörande aspekter som kostnader för rättegången eller för bevisningen. Svårigheten att godta att rena obehag skulle vara ersättningsgilla beror inte bara på bristen på proportion mellan dess ekonomiska värde och kostnaden för en tvist (förutom de kostnader för rättsväsendet som inte enbart faller på parterna). Jag anser att det mot bakgrund av att inget nämns i den allmänna dataskyddsförordningen, inte är berättigat att kräva att medlemsstaterna ska utforma ett ad hoc-förfarande.

85      Jag vill erinra om att den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82.3 i den allmänna dataskyddsförordningen, bara ska undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.

86      Syftet med dessa överväganden är inte att föregripa svaret på vilken kategori UI omfattades av i förevarande mål, vilket det ankommer på den hänskjutande domstolen att avgöra.

87      Samma sak gäller ersättningens storlek.