ROZSUDOK SÚDNEHO DVORA (tretia komora)
zo 14. decembra 2023 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 5 – Zásady týkajúce sa tohto spracúvania – Článok 24 – Zodpovednosť prevádzkovateľa – Článok 32 – Opatrenia prijaté na zaistenie bezpečnosti spracúvania – Posúdenie primeranosti takýchto opatrení – Rozsah súdneho preskúmania – Vykonávanie dôkazov – Článok 82 – Právo na náhradu škody a zodpovednosť – Prípadné zbavenie prevádzkovateľa zodpovednosti v prípade porušenia, ktorého sa dopustili tretie strany – Návrh na náhradu nemajetkovej ujmy založený na obave z možného zneužitia osobných údajov“
Vo veci C‑340/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Vărchoven administrativen săd (Najvyšší správny súd, Bulharsko) zo 14. mája 2021 a doručený Súdnemu dvoru 2. júna 2021, ktorý súvisí s konaním:
VB
proti
Nacionalna agencija za prichodite,
SÚDNY DVOR (tretia komora),
v zložení: predsedníčka tretej komory K. Jürimäe, sudcovia N. Piçarra, M. Safjan, N. Jääskinen (spravodajca) a M. Gavalec,
generálny advokát: G. Pitruzzella,
tajomník: A. Calot Escobar,
so zreteľom na písomnú časť konania,
so zreteľom na pripomienky, ktoré predložili:
– Nacionalna agencija za prichodite, v zastúpení: R. Spetsov,
– bulharská vláda, v zastúpení: M. Georgieva a L. Zaharieva, splnomocnené zástupkyne,
– česká vláda, v zastúpení: O. Serdula, M. Smolek a J. Vláčil, splnomocnení zástupcovia,
– Írsko, v zastúpení: M. Browne, Chief State Solicitor, A. Joyce, J. Quaney a M. Tierney, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,
– talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci E. De Bonis, avvocato dello Stato,
– portugalská vláda, v zastúpení: P. Barros da Costa, A. Pimenta, M. J. Ramos a C. Vieira Guerra, splnomocnené zástupkyne,
– Európska komisia, v zastúpení: A. Bouchagiar, H. Kranenborg a N. Nikolova, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 27. apríla 2023,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 5 ods. 2, článkov 24 a 32, ako aj článku 82 ods. 1 až 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
2 Tento návrh bol podaný v rámci sporu medzi VB, fyzickou osobou, na jednej strane a Nacionalna agencija za prichodite (Národná agentúra pre verejné príjmy, Bulharsko) (ďalej len „NAP“) na druhej strane vo veci náhrady nemajetkovej ujmy, o ktorej uvedená osoba tvrdí, že jej bola spôsobená v dôsledku toho, že tento verejný orgán si údajne nesplnil zákonné povinnosti, ktoré mu prislúchajú ako prevádzkovateľovi osobných údajov.
Právny rámec
3 Odôvodnenia 4, 10, 11, 74, 76, 83, 85 a 146 GDPR znejú:
„(4) … Toto nariadenie rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v Charte [základných práv Európskej únie], ako sú zakotvené v zmluvách, najmä rešpektovanie súkromného a rodinného života, obydlia a komunikácie, ochrana osobných údajov,… právo na účinný prostriedok nápravy a na spravodlivý proces…
…
(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci [Európskej únie], úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. …
(11) Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú…
…
(74) Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.
…
(76) Pravdepodobnosť a závažnosť rizika pre práva a slobody dotknutých osôb by sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov spracúvania. Riziko by sa malo posudzovať na základe objektívneho posúdenia, ktorým sa určí, či spracovateľské operácie obsahujú riziko alebo vysoké riziko.
…
(83) S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizika v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme.
…
(85) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu… toto porušenie oznámiť dozornému orgánu…
…
(146) Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením. Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia. Týmto nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu. Spracúvanie, ktoré je v rozpore s týmto nariadením, zahŕňa aj spracúvanie, ktoré je v rozpore s delegovanými a vykonávacími aktmi prijatými v súlade s týmto nariadením a právom členského štátu, ktorým sa podrobnejšie upravujú pravidlá z tohto nariadenia. Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu. …“
4 Článok 4 tohto nariadenia, nazvaný „Vymedzenie pojmov“, stanovuje:
„Na účely tohto nariadenia:
1. ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘);…
2. ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov,… bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;
…
7. ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov;…
…
10. ‚tretia strana‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;
…
12. ‚porušenie ochrany osobných údajov‘ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;
…“
5 Článok 5 uvedeného nariadenia s názvom „Zásady spracúvania osobných údajov“ stanovuje:
„1. Osobné údaje musia byť:
a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);
…
f) spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (‚integrita a dôvernosť‘).
2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“
6 Podľa článku 24 toho istého nariadenia s názvom „Zodpovednosť prevádzkovateľa“:
„1. S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, prevádzkovateľ prijme vhodné [primerané – neoficiálny preklad] technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie a vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.
2. Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.
3. Dodržiavanie schválených kódexov správania uvedených v článku 40 alebo schválených certifikačných mechanizmov uvedených v článku 42 sa môže použiť ako prvok na preukázanie splnenia povinností prevádzkovateľa.“
7 Článok 32 GDPR, nazvaný „Bezpečnosť spracúvania“, stanovuje:
„1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:
a) pseudonymizáciu a šifrovanie osobných údajov;
b) schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
c) schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.
2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.
3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.
…“
8 Článok 79 tohto nariadenia s názvom „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“ v odseku 1 stanovuje:
„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“
9 Článok 82 uvedeného nariadenia, nazvaný „Právo na náhradu škody a zodpovednosť“, v odsekoch 1 až 3 stanovuje:
„1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.
2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. …
3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže [ak preukáže – neoficiálny preklad], že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.“
Spor vo veci samej a prejudiciálne otázky
10 NAP je orgánom, ktorý spadá pod bulharského ministra financií. V rámci svojich úloh, ktoré spočívajú okrem iného v identifikácii, zabezpečení a vymáhaní verejných pohľadávok, je zodpovedná za spracúvanie osobných údajov v zmysle článku 4 bodu 7 GDPR.
11 Dňa 15. júla 2019 médiá odhalili, že došlo k neoprávnenému prístupu do informačného systému NAP a že v dôsledku tohto kybernetického útoku boli na internete zverejnené osobné údaje obsiahnuté v uvedenom systéme.
12 Tieto udalosti sa dotkli viac ako šiestich miliónov fyzických osôb bulharskej alebo cudzej štátnej príslušnosti. Niekoľko stoviek z nich, vrátane žalobkyne vo veci samej, podalo proti NAP žaloby o náhradu nemajetkovej ujmy, ktorá im údajne vznikla v dôsledku zverejnenia ich osobných údajov.
13 V tomto kontexte žalobkyňa vo veci samej podala na Administrativen săd Sofija‑grad (Správny súd Sofia, Bulharsko) žalobu, ktorou sa domáhala, aby jej NAP zaplatila sumu 1 000 bulharských levov (BGN) (približne 510 eur) ako náhradu škody na základe článku 82 GDPR a ustanovení bulharského práva. Na podporu tejto žaloby uviedla, že jej bola spôsobená nemajetková ujma v dôsledku porušenia osobných údajov v zmysle článku 4 bodu 12 GDPR, konkrétne porušenia bezpečnosti, ku ktorému údajne došlo v dôsledku toho, že NAP si nesplnila povinnosti, ktoré jej vyplývajú najmä z článku 5 ods. 1 písm. f) a článkov 24 a 32 tohto nariadenia. Jej nemajetková ujma spočívala v obave, že jej osobné údaje, ktoré boli zverejnené bez jej súhlasu, by mohli byť v budúcnosti zneužité alebo že by ona sama mohla byť vydieraná, napadnutá alebo dokonca unesená.
14 Na svoju obranu NAP najprv uviedla, že žalobkyňa vo veci samej od nej nepožadovala informácie týkajúce sa konkrétnych údajov, ktoré boli zverejnené. Následne NAP predložila dokumenty, ktorými sa snažila preukázať, že prijala všetky nevyhnutné opatrenia, aby zabránila porušovaniu osobných údajov obsiahnutých v jej informačnom systéme, ako aj následne aby obmedzila účinky tohto porušenia a upokojila občanov. Okrem toho podľa NAP neexistovala príčinná súvislosť medzi údajnou nemajetkovou ujmou a uvedeným porušením. Napokon uviedla, že keďže sama bola obeťou zlomyseľného zásahu zo strany osôb, ktoré neboli jej zamestnancami, nemôže byť zodpovedná za škodlivé následky tohto zásahu.
15 Rozhodnutím z 27. novembra 2020 Administrativen săd Sofija‑grad (Správny súd Sofia) zamietol žalobu žalobkyne vo veci samej. Tento súd na jednej strane konštatoval, že nepovolený prístup do databázy NAP bol výsledkom hackerského útoku tretích osôb, a na druhej strane, že žalobkyňa vo veci samej nepreukázala nečinnosť NAP, pokiaľ ide o prijatie bezpečnostných opatrení. Okrem toho usúdil, že tejto žalobkyni nevznikla nemajetková ujma zakladajúca nárok na náhradu škody.
16 Žalobkyňa vo veci samej podala proti uvedenému rozhodnutiu kasačný opravný prostriedok na Vărchoven administrativen săd (Najvyšší správny súd, Bulharsko), ktorý je v prejednávanej veci vnútroštátnym súdom, ktorý podal návrh na začatie prejudiciálneho konania. Na podporu svojho kasačného opravného prostriedku uvádza, že prvostupňový súd sa dopustil nesprávneho právneho posúdenia v súvislosti s bezpečnostnými opatreniami, ktoré prijala NAP, a že NAP v tejto súvislosti nepreukázala absenciu svojej nečinnosti. Okrem toho žalobkyňa vo veci samej tvrdí, že obava z možného zneužitia jej osobných údajov v budúcnosti predstavuje skutočnú, a nie hypotetickú nemajetkovú ujmu. NAP na svoju obranu spochybňuje každé z týchto tvrdení.
17 Vnútroštátny súd sa v prvom rade zaoberá možnosťou, že zistenie porušenia ochrany osobných údajov samo osebe umožňuje dospieť k záveru, že opatrenia prijaté prevádzkovateľom týchto údajov neboli „primerané“ v zmysle článkov 24 a 32 GDPR.
18 Za predpokladu, že by toto zistenie nebolo dostatočné na to, aby dospel k takémuto záveru, sa však pýta jednak na rozsah preskúmania, ktoré musia vnútroštátne súdy vykonať na účely posúdenie primeranosti dotknutých opatrení, a jednak na pravidlá týkajúce sa vykonávania dôkazov, ktoré sa majú v tomto rámci uplatniť, a to pokiaľ ide o dôkazné bremeno, ako aj o dôkazné prostriedky, najmä ak tieto súdy rozhodujú o žalobe o náhradu škody založenej na článku 82 tohto nariadenia.
19 Ďalej sa tento súd pýta, či vzhľadom na článok 82 ods. 3 uvedeného nariadenia skutočnosť, že k porušeniu osobných údajov došlo v dôsledku konania tretích osôb, v tomto prípade v dôsledku kybernetického útoku, predstavuje faktor, ktorý systematicky zbavuje prevádzkovateľa týchto údajov jeho zodpovednosti za ujmu spôsobenú dotknutej osobe.
20 Napokon sa uvedený súd pýta, či obava určitej osoby, že jej osobné údaje môžu byť v budúcnosti zneužité, v prejednávanej veci v nadväznosti na nepovolený prístup k nim a ich zverejnenie zo strany páchateľov počítačovej kriminality, môže sama osebe predstavovať „nemajetkovú ujmu“ v zmysle článku 82 ods. 1 GDPR. V prípade kladnej odpovede by táto osoba bola oslobodená od povinnosti preukázať, že tretie osoby sa pred podaním jej návrhu na náhradu škody dopustili takého neoprávneného použitia týchto údajov, akým je napríklad zneužitie jej totožnosti.
21 Za týchto podmienok Vărchoven administrativen săd (Najvyšší správny súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Majú sa články 24 a 32 [GDPR] vykladať v tom zmysle, že na to, aby sa dalo usúdiť, že prijaté technické a organizačné opatrenia nie sú vhodné, postačuje, že došlo k neoprávnenému poskytnutiu osobných údajov, resp. neoprávnenému prístupu k nim v zmysle článku 4 bodu 12 [GDPR] osobami, ktoré nie sú úradníkmi administratívy prevádzkovateľa a nepodliehajú jeho kontrole?
2. V prípade zápornej odpovede na prvú otázku: Aký predmet a rozsah by malo mať súdne preskúmanie zákonnosti pri skúmaní, či sú technické a organizačné opatrenia prijaté prevádzkovateľom primerané podľa článku 32 [GDPR]?
3. V prípade zápornej odpovede na prvú otázku: Má sa zásada zodpovednosti podľa článku 5 ods. 2 a článku 24 v spojení s odôvodnením 74 [GDPR] vykladať v tom zmysle, že v konaní o žalobe podľa článku 82 ods. 1 [uvedeného nariadenia] prevádzkovateľ nesie dôkazné bremeno s ohľadom na to, že prijaté technické a organizačné opatrenia podľa článku 32 [toho istého] nariadenia sú primerané?
Je možné považovať vypracovanie znaleckého posudku za nevyhnutný a dostatočný dôkazný prostriedok na účely zistenia, či v prípade ako je tento, boli technické a organizačné opatrenia prijaté prevádzkovateľom primerané, ak neoprávnený prístup k osobným údajom a neoprávnené poskytnutie osobných údajov je dôsledkom ‚hackerského útoku‘?
4. Má sa článok 82 ods. 3 [GDPR] vykladať v tom zmysle, že neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k nim v zmysle článku 4 bodu 12 [GDPR] – v tomto prípade prostredníctvom ‚hackerského útoku‘ spáchaného osobami, ktoré nie sú úradníkmi administratívy prevádzkovateľa a nepodliehajú jeho kontrole – predstavuje udalosť, za ktorú prevádzkovateľ nenesie žiadnu zodpovednosť a ktorá je základom pre zbavenie zodpovednosti?
5. Má sa článok 82 ods. 1 a 2 v spojení s odôvodneniami 85 a 146 [GDPR] vykladať v tom zmysle, že v prípade porušenia bezpečnosti osobných údajov, o aký ide vo veci samej, ku ktorému dôjde formou neoprávneného prístupu a šírenia osobných údajov prostredníctvom ‚hackerského útoku‘, pod pojem nemajetkovej ujmy, ktorý sa má vykladať extenzívne, spadajú a na náhradu škody oprávňujú iba starosti, obavy a strach dotknutej osoby pred možným budúcim zneužitím osobných údajov, ak také zneužitie nebolo zistené a/alebo dotknutej osobe nevznikla žiadna ďalšia škoda?“
O prejudiciálnych otázkach
O prvej otázke
22 Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa články 24 a 32 GDPR majú vykladať v tom zmysle, že neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k takýmto údajom „tretími stranami“ v zmysle článku 4 bodu 10 tohto nariadenia samy osebe postačujú na konštatovanie, že technické a organizačné opatrenia prijaté daným prevádzkovateľom neboli „primerané“ v zmysle týchto článkov 24 a 32.
23 Na úvod treba pripomenúť, že podľa ustálenej judikatúry znenie ustanovenia práva Únie, ktoré tak ako články 24 a 32 GDPR neobsahuje nijaký výslovný odkaz na právo členských štátov s cieľom určiť jeho zmysel a pôsobnosť, si v zásade vyžaduje v celej Únii autonómny a jednotný výklad, ktorý musí zohľadňovať najmä znenie dotknutého ustanovenia, ciele sledované týmto ustanovením a kontext, do ktorého patrí [pozri v tomto zmysle rozsudky z 18. januára 1984, Ekro, 327/82, EU:C:1984:11, bod 11; z 1. októbra 2019, Planet49, C‑673/17, EU:C:2019:801, body 47 a 48, ako aj zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 29].
24 V prvom rade, pokiaľ ide o znenie relevantných ustanovení, treba uviesť, že článok 24 GDPR stanovuje všeobecnú povinnosť prevádzkovateľa osobných údajov prijať primerané technické a organizačné opatrenia na zabezpečenie toho, aby sa uvedené spracúvanie vykonávalo v súlade s týmto nariadením a aby to bol schopný preukázať.
25 Na tento účel uvedený článok 24 vo svojom odseku 1 vymenúva určité kritériá, ktoré sa majú zohľadniť pri posudzovaní primeranosti takýchto opatrení, a to povahu, rozsah, kontext a účely spracúvania, ako aj riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb. V tomto ustanovení sa dodáva, že uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.
26 Z tohto hľadiska článok 32 GDPR spresňuje povinnosti prevádzkovateľa a prípadného sprostredkovateľa, pokiaľ ide o bezpečnosť tohto spracúvania. Odsek 1 tohto článku tak stanovuje, že tieto posledné uvedené subjekty musia prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú rizikám uvedeným v predchádzajúcom bode tohto rozsudku, pričom zohľadnia najnovšie poznatky, náklady na vykonanie, ako aj povahu, rozsah, kontext a účely dotknutého spracúvania.
27 Rovnako odsek 2 uvedeného článku stanovuje, že pri posudzovaní primeranej úrovne bezpečnosti sa prihliada najmä na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov alebo neoprávneného prístupu k takýmto údajom.
28 Okrem toho tak v článku 24 ods. 3 tohto nariadenia, ako aj v jeho článku 32 ods. 3 sa uvádza, že prevádzkovateľ alebo sprostredkovateľ môže preukázať, že splnil požiadavky príslušných odsekov 1 týchto článkov na základe toho, že uplatňuje schválený kódex správania alebo schválený certifikačný mechanizmus, ako sa stanovuje v článkoch 40 a 42 uvedeného nariadenia.
29 Odkaz uvedený v článku 32 ods. 1 a 2 GDPR na „úroveň bezpečnosti primeranú tomuto riziku“ a „primeranú úroveň bezpečnosti“ svedčí o tom, že toto nariadenie zavádza systém riadenia rizík a vôbec sa nesnaží odstrániť riziká porušenia osobných údajov.
30 Zo znenia článkov 24 a 32 GDPR tak vyplýva, že tieto ustanovenia sa obmedzujú na uloženie povinnosti prevádzkovateľovi prijať technické a organizačné opatrenia určené na to, aby sa v čo najväčšej možnej miere predišlo akémukoľvek porušeniu osobných údajov. Primeranosť takýchto opatrení sa musí konkrétne posúdiť tak, že sa preskúma, či tieto opatrenia prijal tento prevádzkovateľ s prihliadnutím na jednotlivé kritériá stanovené v uvedených článkoch a na potrebu ochrany údajov, ktoré sú osobitne vlastné dotknutému spracúvaniu, ako aj na riziká, ktoré toto spracúvanie prináša.
31 Články 24 a 32 GDPR preto nemožno chápať v tom zmysle, že neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k takýmto údajom treťou stranou stačia na vyvodenie záveru, že opatrenia prijaté dotknutým prevádzkovateľom neboli primerané v zmysle týchto ustanovení, bez toho, aby tomuto prevádzkovateľovi umožnili predložiť dôkaz o opaku.
32 Takýto výklad platí o to viac, že článok 24 GDPR výslovne stanovuje, že prevádzkovateľ musí byť schopný preukázať súlad opatrení, ktoré prijal, s týmto nariadením, čo je možnosť, o ktorú by prišiel, ak by sa pripustila nevyvrátiteľná domnienka.
33 V druhom rade kontextové a teleologické prvky podporujú tento výklad článkov 24 a 32 GDPR.
34 Na jednej strane, pokiaľ ide o kontext, do ktorého patria tieto dva články, treba uviesť, že z článku 5 ods. 2 GDPR vyplýva, že prevádzkovateľ musí byť schopný preukázať, že dodržal zásady týkajúce sa spracúvania osobných údajov stanovené v odseku 1 uvedeného článku. Táto povinnosť je prevzatá a spresnená v článku 24 ods. 1 a 3, ako aj v článku 32 ods. 3 tohto nariadenia, pokiaľ ide o povinnosť prijať technické a organizačné opatrenia na ochranu takýchto údajov pri spracúvaní vykonávanom týmto prevádzkovateľom. Takáto povinnosť preukázať primeranosť týchto opatrení by však nemala zmysel, ak by bol prevádzkovateľ povinný zabrániť akémukoľvek porušeniu uvedených údajov.
35 Okrem toho v odôvodnení 74 GDPR sa zdôrazňuje, že je dôležité, aby prevádzkovateľ bol povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením, vrátane účinnosti opatrení, ktoré by mali zohľadňovať kritériá uvedené aj v jeho článkoch 24 a 32 a súvisiace s charakteristikami dotknutého spracúvania a s rizikom, ktoré predstavuje.
36 Rovnako podľa odôvodnenia 76 tohto nariadenia pravdepodobnosť a závažnosť rizika závisia od osobitostí predmetného spracúvania a toto riziko by malo byť predmetom objektívneho posúdenia.
37 Okrem toho z článku 82 ods. 2 a 3 nariadenia GDPR vyplýva, že hoci je prevádzkovateľ zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením, je zbavený svojej zodpovednosti, ak preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.
38 Na druhej strane výklad uvedený v bode 31 tohto rozsudku je tiež podporený odôvodnením 83 GDPR, ktoré vo svojej prvej vete uvádza, že „s cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík“. Normotvorca Únie tým vyjadril svoj zámer „zmierniť“ riziká porušenia osobných údajov bez toho, aby tvrdil, že by bolo možné tieto riziká odstrániť.
39 Vzhľadom na vyššie uvedené dôvody treba na prvú otázku odpovedať tak, že články 24 a 32 GDPR sa majú vykladať v tom zmysle, že neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k takýmto údajom „tretími stranami“ v zmysle článku 4 bodu 10 tohto nariadenia samy osebe nepostačujú na konštatovanie, že technické a organizačné opatrenia prijaté daným prevádzkovateľom neboli „primerané“ v zmysle týchto článkov 24 a 32.
O druhej otázke
40 Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 32 GDPR vykladať v tom zmysle, že primeranosť technických a organizačných opatrení, ktoré prijal prevádzkovateľ podľa tohto článku, musia konkrétne posúdiť vnútroštátne súdy, a to najmä s prihliadnutím na riziká spojené s dotknutým spracúvaním.
41 V tejto súvislosti treba pripomenúť, že ako bolo zdôraznené v rámci odpovede na prvú otázku, článok 32 GDPR vyžaduje, aby prevádzkovateľ, prípadne sprostredkovateľ prijali primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej riziku s prihliadnutím na kritériá posudzovania stanovené v jeho odseku 1. Okrem toho odsek 2 tohto článku demonštratívne vymenúva určitý počet faktorov, ktoré sú relevantné na účely posúdenia úrovne bezpečnosti, ktorá je primeraná vzhľadom na riziká, ktoré predstavuje príslušné spracúvanie.
42 Z uvedeného článku 32 ods. 1 a 2 vyplýva, že primeranosť takýchto technických a organizačných opatrení sa musí posúdiť v dvoch fázach. Na jednej strane je potrebné identifikovať riziká porušenia osobných údajov vyplývajúce z dotknutého spracúvania a ich prípadné dôsledky na práva a slobody fyzických osôb. Toto posúdenie sa musí vykonať konkrétne a s prihliadnutím na stupeň pravdepodobnosti identifikovaných rizík, ako aj stupeň ich závažnosti. Na druhej strane treba overiť, či opatrenia prijaté prevádzkovateľom sú primerané týmto rizikám vzhľadom na najnovšie poznatky, náklady na vykonanie, ako aj povahu, rozsah, kontext a účely tohto spracúvania.
43 Je pravda, že prevádzkovateľ disponuje určitou mierou voľnej úvahy na určenie primeraných technických a organizačných opatrení na zaistenie úrovne bezpečnosti primeranej riziku, ako to vyžaduje článok 32 ods. 1 GDPR. Nič to však nemení na tom, že vnútroštátny súd musí mať možnosť preskúmať komplexné posúdenie, ktoré vykonal prevádzkovateľ, a tým sa uistiť, že opatrenia prijaté prevádzkovateľom môžu zaručiť takúto úroveň bezpečnosti.
44 Takýto výklad navyše môže zabezpečiť jednak účinnosť ochrany osobných údajov, ktorú zdôrazňujú odôvodnenia 11 a 74 tohto nariadenia, a jednak právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi, ako je chránené článkom 79 ods. 1 uvedeného nariadenia v spojení s odôvodnením 4 toho istého nariadenia.
45 Na účely preskúmania primeranosti technických a organizačných opatrení prijatých na základe článku 32 GDPR sa teda vnútroštátny súd nemusí obmedziť na konštatovanie, akým spôsobom dotknutý prevádzkovateľ zamýšľal splniť povinnosti, ktoré mu vyplývajú z tohto článku, ale musí vykonať vecné preskúmanie týchto opatrení vzhľadom na všetky kritériá uvedené v tomto článku, ako aj na osobitné okolnosti prejednávanej veci a dôkazy, ktoré má tento súd v tejto súvislosti k dispozícii.
46 Takéto preskúmanie si vyžaduje vykonať konkrétnu analýzu tak povahy, ako aj obsahu opatrení, ktoré prijal prevádzkovateľ, spôsobu, akým boli tieto opatrenia uplatnené, a ich praktických účinkov na úroveň bezpečnosti, ktorú bol prevádzkovateľ povinný zaručiť vzhľadom na riziká vlastné tomuto spracúvaniu.
47 V dôsledku toho treba na druhú otázku odpovedať tak, že článok 32 GDPR sa má vykladať v tom zmysle, že primeranosť technických a organizačných opatrení, ktoré prijal prevádzkovateľ podľa tohto článku, musia konkrétne posúdiť vnútroštátne súdy, a to s prihliadnutím na riziká spojené s dotknutým spracúvaním a na základe posúdenia, či sú povaha, obsah a vykonávanie týchto opatrení primerané týmto rizikám.
O tretej otázke
O prvej časti tretej otázky
48 Prvou časťou svojej tretej otázky sa vnútroštátny súd v podstate pýta, či sa má zásada zodpovednosti prevádzkovateľa uvedená v článku 5 ods. 2 GDPR a konkretizovaná v jeho článku 24 vykladať v tom zmysle, že v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia dotknutý prevádzkovateľ nesie dôkazné bremeno, pokiaľ ide o preukázanie primeranosti bezpečnostných opatrení, ktoré prijal na základe článku 32 uvedeného nariadenia.
49 V tejto súvislosti treba v prvom rade pripomenúť, že článok 5 ods. 2 GDPR zavádza zásadu zodpovednosti, podľa ktorej je prevádzkovateľ zodpovedný za dodržiavanie zásad týkajúcich sa spracúvania osobných údajov uvedených v odseku 1 tohto článku, a stanovuje, že uvedený prevádzkovateľ musí vedieť preukázať, že tieto zásady boli dodržané.
50 Konkrétne prevádzkovateľ musí v súlade so zásadou integrity a dôvernosti osobných údajov, ktorá je uvedená v článku 5 ods. 1 písm. f) tohto nariadenia, zabezpečiť, aby sa takéto údaje spracúvali spôsobom, ktorý zaručuje primeranú bezpečnosť týchto údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení, a musí byť schopný preukázať, že táto zásada bola dodržaná.
51 Treba tiež uviesť, že tak článok 24 ods. 1 GDPR v spojení s jeho odôvodnením 74, ako aj článok 32 ods. 1 tohto nariadenia ukladajú prevádzkovateľovi, aby v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene, prijal primerané technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s uvedeným nariadením.
52 Zo znenia článku 5 ods. 2, článku 24 ods. 1 a článku 32 ods. 1 GDPR jednoznačne vyplýva, že dôkazné bremeno, pokiaľ ide o preukázanie toho, že osobné údaje sa spracúvajú tak, aby sa zaručila primeraná bezpečnosť osobných údajov v zmysle článku 5 ods. 1 písm. f) a článku 32 tohto nariadenia, nesie dotknutý prevádzkovateľ [pozri analogicky rozsudky zo 4. mája 2023, Bundesrepublik Deutschland (Elektronická súdna schránka), C‑60/22, EU:C:2023:373, body 52 a 53, ako aj zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 95].
53 Tieto tri články tak stanovujú všeobecne záväzné pravidlo, ktoré treba uplatniť, pokiaľ v GDPR nie je uvedené inak, aj v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia.
54 V druhom rade treba konštatovať, že predchádzajúci doslovný výklad je podporený zohľadnením cieľov sledovaných GDPR.
55 Na jednej strane, keďže úroveň ochrany podľa GDPR závisí od bezpečnostných opatrení prijatých prevádzkovateľmi osobných údajov, títo prevádzkovatelia musia byť na základe toho, že nesú bremeno preukázania primeranosti týchto opatrení, motivovaní urobiť všetko, čo je v ich silách, aby zabránili výskytu spracovateľských operácií, ktoré nie sú v súlade s týmto nariadením.
56 Na druhej strane, ak by sa malo konštatovať, že dôkazné bremeno týkajúce sa primeranosti uvedených opatrení nesú dotknuté osoby, ako sú vymedzené v článku 4 bode 1 GDPR, vyplývalo by z toho, že právo na náhradu škody stanovené v jeho článku 82 ods. 1 by bolo zbavené značnej časti svojho potrebného účinku, hoci normotvorca Únie mal v úmysle posilniť tak práva týchto osôb, ako aj povinnosti prevádzkovateľov v porovnaní s ustanoveniami predchádzajúcimi tomuto nariadeniu, ako sa uvádza v jeho odôvodnení 11.
57 Na prvú časť tretej otázky treba teda odpovedať tak, že zásada zodpovednosti prevádzkovateľa uvedená v článku 5 ods. 2 GDPR a konkretizovaná v jeho článku 24 sa má vykladať v tom zmysle, že v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia dotknutý prevádzkovateľ nesie dôkazné bremeno, pokiaľ ide o preukázanie primeranosti bezpečnostných opatrení, ktoré prijal na základe článku 32 uvedeného nariadenia.
O druhej časti tretej otázky
58 Druhou časťou svojej tretej otázky sa vnútroštátny súd v podstate pýta, či sa článok 32 GDPR a zásada efektivity práva Únie majú vykladať v tom zmysle, že na účely posúdenia primeranosti bezpečnostných opatrení, ktoré prevádzkovateľ prijal podľa tohto článku, predstavuje znalecký posudok nevyhnutný a dostatočný dôkazný prostriedok.
59 V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry v prípade neexistencie pravidiel Únie v danej oblasti vnútroštátnemu právnemu poriadku každého členského štátu prináleží, aby na základe zásady procesnej autonómie upravil procesné náležitosti týkajúce sa žalôb určených na zaručenie ochrany práv osôb podliehajúcich súdnej právomoci, avšak pod podmienkou, že nesmú byť v situáciách, na ktoré sa vzťahuje právo Únie menej priaznivé než pravidlá, ktoré upravujú podobné situácie podliehajúce vnútroštátnemu právu (zásada ekvivalencie), a že nesmú prakticky znemožniť alebo nadmerne sťažiť výkon práv, ktoré priznáva právo Únie (zásada efektivity) [rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 53 a citovaná judikatúra].
60 V prejednávanej veci treba uviesť, že GDPR nestanovuje pravidlá týkajúce sa pripustenia a dôkaznej hodnoty takého dôkazného prostriedku, akým je znalecký posudok, ktoré musia uplatniť vnútroštátne súdy rozhodujúce o žalobe o náhradu škody založenej na článku 82 tohto nariadenia a poverené tým, aby vzhľadom na článok 32 tohto nariadenia posúdili primeranosť bezpečnostných opatrení, ktoré dotknutý prevádzkovateľ prijal. Preto v súlade s tým, čo bolo pripomenuté v predchádzajúcom bode tohto rozsudku, a vzhľadom na neexistenciu pravidiel práva Únie v danej oblasti prináleží vnútroštátnemu právnemu poriadku každého členského štátu, aby stanovil podmienky žalôb určených na zabezpečenie ochrany práv, ktoré osobám podliehajúcim súdnej právomoci vyplývajú z tohto článku 82, a najmä pravidlá týkajúce sa dôkazných prostriedkov, ktoré umožňujú posúdiť primeranosť takýchto opatrení v tomto kontexte, a to pod podmienkou dodržania uvedených zásad ekvivalencie a efektivity [pozri analogicky rozsudky z 21. júna 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, bod 297, ako aj zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 54].
61 V tomto konaní Súdny dvor nedisponuje žiadnou skutočnosťou, ktorá by mohla vyvolať pochybnosť o dodržaní zásady ekvivalencie. Situácia je odlišná, pokiaľ ide o dodržanie zásady efektivity, keďže samotné znenie druhej časti tretej otázky uvádza použitie znaleckého posudku ako „nevyhnutného a dostatočného dôkazného prostriedku“.
62 Konkrétne vnútroštátne procesné pravidlo, podľa ktorého by bolo systematicky „nevyhnutné“, aby vnútroštátne súdy nariadili vypracovanie znaleckého posudku, by mohlo byť v rozpore so zásadou efektivity. Systematické využívanie takéhoto znaleckého posudku sa totiž môže ukázať ako zbytočné vzhľadom na ostatné dôkazy, ktoré má k dispozícii rozhodujúci súd, najmä – ako uviedla bulharská vláda vo svojich písomných pripomienkach – vzhľadom na výsledky kontroly dodržiavania opatrení na ochranu osobných údajov, ktorú vykonal nezávislý orgán zriadený zákonom, pokiaľ bola táto kontrola nedávna, keďže tieto opatrenia sa musia v súlade s článkom 24 ods. 1 GDPR preskúmať a v prípade potreby aktualizovať.
63 Okrem toho, ako uviedla Európska komisia vo svojich písomných pripomienkach, zásada efektivity by mohla byť porušená za predpokladu, že by sa výraz „dostatočný“ mal chápať tak, že vnútroštátny súd musí výlučne alebo automaticky vyvodiť zo znaleckého posudku, že bezpečnostné opatrenia, ktoré prijal dotknutý prevádzkovateľ, sú „primerané“ v zmysle článku 32 GDPR. Ochrana práv priznaných týmto nariadením, na ktoré je zameraná zásada efektivity, a najmä právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi, ktoré je zaručené jeho článkom 79 ods. 1, si pritom vyžaduje, aby nestranný súd vykonal objektívne posúdenie primeranosti dotknutých opatrení, a nie aby sa obmedzil na takúto dedukciu (pozri v tomto zmysle rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, bod 50).
64 Vzhľadom na vyššie uvedené dôvody treba na druhú časť tretej otázky odpovedať tak, že článok 32 GDPR a zásada efektivity práva Únie sa majú vykladať v tom zmysle, že na účely posúdenia primeranosti bezpečnostných opatrení, ktoré prevádzkovateľ prijal podľa tohto článku, nemôže znalecký posudok predstavovať systematicky nevyhnutný a dostatočný dôkazný prostriedok.
O štvrtej otázke
65 Svojou štvrtou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 3 GDPR vykladať v tom zmysle, že prevádzkovateľ je zbavený svojej povinnosti nahradiť škodu spôsobenú osobe podľa článku 82 ods. 1 a 2 tohto nariadenia len preto, že táto škoda vznikla v dôsledku neoprávneného poskytnutia osobných údajov alebo neoprávneného sprístupnenia týchto údajov „tretími stranami“ v zmysle článku 4 bodu 10 uvedeného nariadenia.
66 Na úvod treba spresniť, že z článku 4 bodu 10 GDPR vyplýva, že postavenie „tretej strany“ majú najmä iné osoby ako tie, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov. Táto definícia sa vzťahuje na osoby, ktoré nie sú zamestnancami prevádzkovateľa a nie sú pod jeho kontrolou, ako sú osoby uvedené v položenej otázke.
67 Ďalej treba v prvom rade pripomenúť, že článok 82 ods. 2 GDPR stanovuje, že „každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením“, a že odsek 3 tohto článku stanovuje, že prevádzkovateľ prípadne sprostredkovateľ je zbavený takejto zodpovednosti, „[ak preukáže], že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu“.
68 Okrem toho odôvodnenie 146 GDPR, ktoré sa týka konkrétne článku 82 tohto nariadenia, vo svojej prvej a druhej vete stanovuje, že „prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením“ a „[mali by] byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť“.
69 Z týchto ustanovení na jednej strane vyplýva, že prevádzkovateľ musí v zásade nahradiť škodu spôsobenú porušením tohto nariadenia, ktoré súvisí s týmto spracúvaním, a na druhej strane, že môže byť zbavený svojej zodpovednosti, len ak preukáže, že za udalosť, ktorá spôsobila škodu, nenesie žiadnu zodpovednosť.
70 Ako teda vyplýva z výslovného doplnenia zámena „žiadnu“ počas legislatívneho procesu, okolnosti, za ktorých prevádzkovateľ môže tvrdiť, že je zbavený občianskoprávnej zodpovednosti, ktorá mu vzniká na základe článku 82 GDPR, musia byť prísne obmedzené na prípady, keď je tento prevádzkovateľ schopný preukázať, že zodpovednosť za škodu mu nemožno pripísať.
71 Ak sa, ako v prejednávanej veci, porušenia osobných údajov v zmysle článku 4 bodu 12 GDPR dopustili páchatelia počítačovej kriminality, a teda „tretie strany“ v zmysle článku 4 bodu 10 tohto nariadenia, toto porušenie nemožno pripísať prevádzkovateľovi, ibaže by umožnil uvedené porušenie tým, že si nesplnil povinnosť stanovenú v GDPR, a najmä povinnosť chrániť údaje, ktorú má podľa článku 5 ods. 1 písm. f) a článkov 24 a 32 toho istého nariadenia.
72 V prípade porušenia osobných údajov treťou stranou tak prevádzkovateľ môže byť zbavený svojej zodpovednosti na základe článku 82 ods. 3 GDPR tým, že preukáže, že neexistuje žiadna príčinná súvislosť medzi jeho prípadným porušením povinnosti chrániť údaje a škodou, ktorá bola spôsobená fyzickej osobe.
73 V druhom rade predchádzajúci výklad tohto článku 82 ods. 3 je tiež v súlade s cieľom GDPR, ktorý spočíva v zabezpečení vysokej úrovne ochrany fyzických osôb pri spracúvaní ich osobných údajov a ktorý je uvedený v odôvodneniach 10 a 11 tohto nariadenia.
74 Vzhľadom na všetky tieto úvahy treba na štvrtú otázku odpovedať tak, že článok 82 ods. 3 GDPR sa má vykladať v tom zmysle, že prevádzkovateľ nemôže byť zbavený svojej povinnosti nahradiť škodu spôsobenú osobe podľa článku 82 ods. 1 a 2 tohto nariadenia len preto, že táto škoda vznikla v dôsledku neoprávneného poskytnutia osobných údajov alebo neoprávneného sprístupnenia týchto údajov „tretími stranami“ v zmysle článku 4 bodu 10 uvedeného nariadenia, pričom uvedený prevádzkovateľ musí preukázať, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.
O piatej otázke
75 Svojou piatou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že obava z možného zneužitia osobných údajov tretími stranami, ktorú má dotknutá osoba v dôsledku porušenia tohto nariadenia, môže sama osebe predstavovať „nemajetkovú ujmu“ v zmysle tohto ustanovenia.
76 V prvom rade, pokiaľ ide o znenie článku 82 ods. 1 GDPR, treba poznamenať, že tento článok stanovuje, že „každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa“.
77 V tejto súvislosti Súdny dvor uviedol, že zo znenia článku 82 ods. 1 GDPR jasne vyplýva, že existencia „škody“ alebo „ujmy“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v uvedenom ustanovení, rovnako ako aj existencia porušenia tohto nariadenia a príčinnej súvislosti medzi touto ujmou a týmto porušením, pričom tieto tri podmienky sú kumulatívne [rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 32].
78 Okrem toho Súdny dvor na základe doslovného, systematického a teleologického výkladu podal výklad článku 82 ods. 1 GDPR v tom zmysle, že bráni vnútroštátnej norme alebo praxi, ktorá podmieňuje náhradu „nemajetkovej ujmy“ v zmysle tohto ustanovenia tým, že ujma spôsobená dotknutej osobe musí dosiahnuť určitý stupeň závažnosti [rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 51].
79 Po tomto pripomenutí treba v prejednávanej veci zdôrazniť, že článok 82 ods. 1 GDPR nerozlišuje medzi prípadmi, keď v dôsledku preukázaného porušenia ustanovení tohto nariadenia je „nemajetková ujma“, ktorú uvádza dotknutá osoba, na jednej strane spojená so zneužitím jej osobných údajov tretími stranami, ku ktorému už došlo v čase podania návrhu na náhradu škody, alebo na druhej strane s obavou tejto osoby, že k takémuto zneužitiu môže v budúcnosti dôjsť.
80 Znenie článku 82 ods. 1 GDPR preto nevylučuje, že pojem „nemajetková ujma“ uvedený v tomto ustanovení zahŕňa situáciu, akou je situácia uvedená vnútroštátnym súdom, a to keď sa dotknutá osoba s cieľom dosiahnuť náhradu škody na základe tohto ustanovenia odvoláva na svoju obavu, že jej osobné údaje budú v budúcnosti zneužité tretími stranami v dôsledku porušenia tohto nariadenia, ku ktorému došlo.
81 Tento doslovný výklad je v druhom rade podporený odôvodnením 146 GDPR, ktoré sa konkrétne týka práva na náhradu škody stanoveného v článku 82 ods. 1 tohto nariadenia a ktoré vo svojej tretej vete uvádza, že „podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia“ tohto nariadenia. Výklad pojmu „nemajetková ujma“ v zmysle tohto článku 82 ods. 1, ktorý by nezahŕňal situácie, keď sa osoba dotknutá porušením uvedeného nariadenia odvoláva na obavy, ktoré má z toho, že jej vlastné osobné údaje budú v budúcnosti zneužité, by nebol v súlade so širokým chápaním tohto pojmu, ako ho zamýšľal normotvorca Únie [pozri analogicky rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, body 37 a 46].
82 Okrem toho odôvodnenie 85 prvá veta GDPR uvádza, že „ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata,… alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby“. Z tohto demonštratívneho zoznamu prípadov „škôd“ alebo „ujmy“, ktoré môžu utrpieť dotknuté osoby, vyplýva, že normotvorca Únie mal v úmysle zahrnúť pod tieto pojmy najmä jednoduchú „stratu kontroly“ nad ich vlastnými údajmi v dôsledku porušenia tohto nariadenia, a to aj v prípade, že nedošlo k skutočnému zneužitiu dotknutých údajov na úkor uvedených osôb.
83 V treťom a poslednom rade výklad uvedený v bode 80 tohto rozsudku je potvrdený cieľmi GDPR, ktoré treba v plnom rozsahu zohľadniť pri definovaní pojmu „škoda“, ako sa uvádza v odôvodnení 146 tretej vete tohto nariadenia. Výklad článku 82 ods. 1 GDPR, podľa ktorého pojem „nemajetková ujma“ v zmysle tohto ustanovenia nezahŕňa situácie, keď sa dotknutá osoba odvoláva len na svoju obavu, že jej údaje budú v budúcnosti zneužívané tretími stranami, by nebol v súlade so zárukou vysokej úrovne ochrany fyzických osôb pri spracúvaní osobných údajov v rámci Únie, na ktorú sa vzťahuje tento nástroj.
84 Treba však zdôrazniť, že osoba dotknutá porušením GDPR, ktoré malo na ňu negatívne dôsledky, je povinná preukázať, že tieto dôsledky predstavujú nemajetkovú ujmu v zmysle článku 82 tohto nariadenia [pozri v tomto zmysle rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 50].
85 Konkrétne, ak sa osoba, ktorá žiada o náhradu škody na tomto základe, odvoláva na obavu, že jej osobné údaje môžu byť v budúcnosti zneužité z dôvodu existencie takéhoto porušenia, vnútroštátny súd, ktorý vo veci rozhoduje, musí overiť, či túto obavu možno za predmetných osobitných okolností a vo vzťahu k dotknutej osobe považovať za dôvodnú.
86 Vzhľadom na vyššie uvedené dôvody treba na piatu otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že obava z možného zneužitia osobných údajov tretími stranami, ktorú má dotknutá osoba v dôsledku porušenia tohto nariadenia, môže sama osebe predstavovať „nemajetkovú ujmu“ v zmysle tohto ustanovenia.
O trovách
87 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto:
1. Články 24 a 32 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa majú vykladať v tom zmysle, že:
neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k takýmto údajom „tretími stranami“ v zmysle článku 4 bodu 10 tohto nariadenia samy osebe nepostačujú na konštatovanie, že technické a organizačné opatrenia prijaté daným prevádzkovateľom neboli „primerané“ v zmysle týchto článkov 24 a 32.
2. Článok 32 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
primeranosť technických a organizačných opatrení, ktoré prijal prevádzkovateľ podľa tohto článku, musia konkrétne posúdiť vnútroštátne súdy, a to s prihliadnutím na riziká spojené s dotknutým spracúvaním a na základe posúdenia, či sú povaha, obsah a vykonávanie týchto opatrení primerané týmto rizikám.
3. Zásada zodpovednosti prevádzkovateľa uvedená v článku 5 ods. 2 nariadenia 2016/679 a konkretizovaná v jeho článku 24
sa má vykladať v tom zmysle, že:
v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia dotknutý prevádzkovateľ nesie dôkazné bremeno, pokiaľ ide o preukázanie primeranosti bezpečnostných opatrení, ktoré prijal na základe článku 32 uvedeného nariadenia.
4. Článok 32 nariadenia 2016/679 a zásada efektivity práva Únie
sa majú vykladať v tom zmysle, že:
na účely posúdenia primeranosti bezpečnostných opatrení, ktoré prevádzkovateľ prijal podľa tohto článku, nemôže znalecký posudok predstavovať systematicky nevyhnutný a dostatočný dôkazný prostriedok.
5. Článok 82 ods. 3 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
prevádzkovateľ nemôže byť zbavený svojej povinnosti nahradiť škodu spôsobenú osobe podľa článku 82 ods. 1 a 2 tohto nariadenia len preto, že táto škoda vznikla v dôsledku neoprávneného poskytnutia osobných údajov alebo neoprávneného sprístupnenia týchto údajov „tretími stranami“ v zmysle článku 4 bodu 10 uvedeného nariadenia, pričom uvedený prevádzkovateľ musí preukázať, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.
6. Článok 82 ods. 1 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
obava z možného zneužitia osobných údajov tretími stranami, ktorú má dotknutá osoba v dôsledku porušenia tohto nariadenia, môže sama osebe predstavovať „nemajetkovú ujmu“ v zmysle tohto ustanovenia.
Podpisy