ROZSUDOK SÚDNEHO DVORA (tretia komora)
zo 4. mája 2023 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 82 ods. 1 – Právo na náhradu škody spôsobenej spracovaním údajov vykonaným v rozpore s týmto nariadením – Podmienky práva na náhradu škody – Nedostatočnosť samotného porušenia uvedeného nariadenia – Potreba vzniku ujmy spôsobenej uvedeným porušením – Náhrada nemajetkovej ujmy spôsobenej takýmto spracovaním – Nezlučiteľnosť vnútroštátneho pravidla podmieňujúceho náhradu takejto ujmy prekročením hranice závažnosti – Pravidlá určovania výšky náhrady škody zo strany vnútroštátnych súdov“
Vo veci C‑300/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Oberster Gerichtshof (Najvyšší súd, Rakúsko) z 15. apríla 2021 a doručený Súdnemu dvoru 12. mája 2021, ktorý súvisí s konaním:
UI
proti
Österreichische Post AG,
SÚDNY DVOR (tretia komora),
v zložení: predsedníčka tretej komory K. Jürimäe, sudcovia M. Safjan, N. Piçarra, N. Jääskinen (spravodajca) a M. Gavalec,
generálny advokát: M. Campos Sánchez‑Bordona,
tajomník: A. Calot Escobar,
so zreteľom na písomnú časť konania,
so zreteľom na pripomienky, ktoré predložili:
– UI, v zastúpení: osobne, Rechtsanwalt,
– Österreichische Post AG, v zastúpení: R. Marko, Rechtsanwalt,
– rakúska vláda, v zastúpení: A. Posch, J. Schmoll a G. Kunnert, splnomocnení zástupcovia,
– česká vláda, v zastúpení: O. Serdula, M. Smolek a J. Vláčil, splnomocnení zástupcovia,
– Írsko, v zastúpení: M. Browne, A. Joyce, M. Lane a M. Tierney, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,
– Európska komisia, v zastúpení: A. Bouchagiar, M. Heller a H. Kranenborg, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 6. októbra 2022,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 82 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), v spojení so zásadami ekvivalencie a efektivity.
2 Tento návrh bol podaný v rámci sporu medzi UI a Österreichische Post AG vo veci žaloby, ktorú podal UI a ktorou sa domáha náhrady nemajetkovej ujmy, ktorá mu bola údajne spôsobená tým, že táto spoločnosť spracúvala údaje týkajúce sa politickej príslušnosti osôb s bydliskom v Rakúsku, okrem iných aj jeho samého, hoci s takýmto spracúvaním nesúhlasil.
Právny rámec
3 Odôvodnenia 10, 75, 85 a 146 GDPR znejú takto:
„10. S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci [Európskej ú]nie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. …
…
(75) Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môž[e] vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory,…
…
(85) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. …
…
(146) Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením. Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia. Týmto nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu. Spracúvanie, ktoré je v rozpore s týmto nariadením, zahŕňa aj spracúvanie, ktoré je v rozpore s delegovanými a vykonávacími aktmi prijatými v súlade s týmto nariadením a právom členského štátu, ktorým sa podrobnejšie upravujú pravidlá z tohto nariadenia. Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu. …“
4 Článok 1 GDPR, nazvaný „Predmet úpravy a ciele“, v odsekoch 1 a 2 stanovuje:
„1. Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.
2. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.“
5 Podľa článku 4 bodu 1 tohto nariadenia s názvom „Vymedzenie pojmov“ platí, že:
„Na účely tohto nariadenia:
1) ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘);…“
6 Kapitola VIII GDPR s názvom „Prostriedky nápravy, zodpovednosť a sankcie“, obsahuje články 77 až 84 tohto nariadenia.
7 Článok 77 uvedeného nariadenia upravuje „právo podať sťažnosť dozornému orgánu“, zatiaľ čo jeho článok 78 sa týka „práva na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“.
8 Článok 82 GDPR s názvom „Právo na náhradu škody a zodpovednosť“ v odsekoch 1 a 2 stanovuje:
„1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.
2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. …“
9 Článok 83 tohto nariadenia s názvom „Všeobecné podmienky ukladania správnych pokút“ v odseku 1 stanovuje:
„Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.“
10 Článok 84 uvedeného nariadenia s názvom „Sankcie“ v odseku 1 stanovuje:
„Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“
Spor vo veci samej a prejudiciálne otázky
11 Österreichische Post, spoločnosť založená podľa rakúskeho práva zaoberajúca sa predajom adries, od roku 2017 zhromažďovala informácie o politických preferenciách rakúskeho obyvateľstva. Pomocou algoritmu, ktorý zohľadňuje rôzne sociálne a demografické kritériá, vymedzila „adresy cieľových skupín“. Takto získané údaje boli predané rôznym organizáciám, aby mohli uskutočňovať cielené reklamné zásielky.
12 V rámci svojej činnosti Österreichische Post spracúvala údaje, ktoré ju prostredníctvom štatistickej extrapolácie priviedli k záveru, že žalobca vo veci samej v značnej miere preferuje určitú rakúsku politickú stranu. Tieto skutočnosti neboli sprístupnené tretím osobám, ale žalobca vo veci samej, ktorý nedal súhlas so spracovaním svojich osobných údajov, sa cítil byť urazený tým, že mu boli pripísané sympatie k dotknutej strane. Skutočnosť, že táto spoločnosť uchovávala údaje o jeho údajných politických názoroch, u neho vyvolala závažnú nespokojnosť, stratu dôvery, ako aj pocit poníženia. Z návrhu na začatie prejudiciálneho konania vyplýva, že okrem tejto ujmy dočasnej a emocionálnej povahy nebola zistená žiadna ďalšia ujma.
13 V tomto kontexte žalobca vo veci samej podal na Landesgericht für Zivilrechtssachen Wien (Krajinský súd pre občianskoprávne veci Viedeň, Rakúsko) žalobu, ktorou sa domáhal jednak toho, aby bola spoločnosti Österreichische Post uložená povinnosť ukončiť spracúvanie dotknutých osobných údajov, a jednak toho, aby bola tejto spoločnosti uložená povinnosť zaplatiť mu sumu 1 000 eur ako náhradu nemajetkovej ujmy, ktorú údajne utrpel. Rozhodnutím zo 14. júla 2020 tento súd vyhovel návrhu na ukončenie konania, ale zamietol návrh na náhradu škody.
14 Oberlandesgericht Wien (Vyšší krajinský súd Viedeň, Rakúsko), ktorý rozhodoval o odvolaní, rozsudkom z 9. decembra 2020 potvrdil rozhodnutie prvostupňového súdu. Pokiaľ ide o návrh na náhradu škody, tento súd odkázal na odôvodnenia 75, 85 a 146 GDPR a dospel k záveru, že ustanovenia vnútroštátneho práva členských štátov v oblasti občianskoprávnej zodpovednosti dopĺňajú ustanovenia tohto nariadenia, pokiaľ toto nariadenie neobsahuje osobitné pravidlá. V tejto súvislosti uviedol, že podľa rakúskeho práva porušenie noriem ochrany osobných údajov nevedie automaticky ku vzniku nemajetkovej ujmu a zakladá právo na náhradu škody len vtedy, ak takáto ujma dosiahne určitú „hranicu závažnosti“. To však nie je prípad negatívnych pocitov, ktoré uvádza žalobca vo veci samej.
15 Oberster Gerichtshof (Najvyšší súd, Rakúsko), na ktorý sa obrátili obaja účastníci konania vo veci samej, medzitýmnym rozsudkom z 15. apríla 2021 nevyhovel opravnému prostriedku „Revision“, ktorý Österreichische Post podala proti povinnosti ukončiť konanie, ktorá jej bola uložená. Tento súd preto naďalej rozhoduje len o opravnom prostriedku „Revision“, ktorý žalobca vo veci samej podal proti zamietnutiu jeho návrhu na náhradu škody.
16 Na podporu svojho návrhu na začatie prejudiciálneho konania vnútroštátny súd uvádza, že z odôvodnenia 146 GDPR vyplýva, že článok 82 tohto nariadenia zaviedol vlastný režim zodpovednosti v oblasti ochrany osobných údajov, ktorý nahradil režimy účinné v členských štátoch. Pojmy uvedené v tomto článku 82, najmä pojem „ujma“ uvedený v jeho odseku 1, by sa preto mali vykladať autonómne a podmienky vzniku uvedenej zodpovednosti by sa nemali definovať vzhľadom na požiadavky práva Únie, a nie na pravidlá vnútroštátneho práva.
17 Presnejšie, v prvom rade, pokiaľ ide o právo na náhradu škody z dôvodu porušenia pravidiel ochrany osobných údajov, tento súd sa vzhľadom na šiestu vetu odôvodnenia 146 GDPR prikláňa k názoru, že náhrada založená na článku 82 tohto nariadenia predpokladá, že dotknutá osoba skutočne utrpela majetkovú alebo nemajetkovú ujmu. Priznanie takejto náhrady je podmienené preukázaním konkrétnej ujmy odlišnej od uvedeného porušenia, ktoré samo osebe nepreukazuje existenciu nemajetkovej ujmy. V odôvodnení 75 uvedeného nariadenia je uvedený jednoduchý prípad, keď nemajetková ujma vyplýva z porušení, ktoré sú v ňom vymenované, a hoci jeho odôvodnenie 85 uvádza riziko „straty kontroly“ dotknutých údajov, toto riziko je v prejednávanej veci neisté, pretože tieto údaje neboli poskytnuté tretej osobe.
18 V druhom rade, pokiaľ ide o posúdenie náhrady škody, ktorú je možné priznať na základe článku 82 GDPR, uvedený súd zastáva názor, že zásada efektivity práva Únie musí mať obmedzený vplyv, keďže toto nariadenie už stanovuje prísne sankcie v prípade jeho porušenia, a teda na zabezpečenie jeho potrebného účinku nie je okrem toho potrebné priznať vysokú náhradu škody. Podľa tohto súdu náhrada škody splatnej z tohto dôvodu musí byť primeraná, účinná a odrádzajúca, aby priznaná náhrada škody mohla plniť kompenzačnú funkciu, ale nesmie mať sankčnú povahu, ktorá nie je súčasťou práva Únie.
19 V treťom rade vnútroštátny súd spochybňuje tvrdenie spoločnosti Österreichische Post, podľa ktorého poskytnutie takejto náhrady škody podlieha podmienke, že porušenie pravidiel ochrany osobných údajov spôsobilo obzvlášť závažnú ujmu. V tejto súvislosti zdôrazňuje, že odôvodnenie 146 GDPR podporuje široký výklad pojmu „škoda“ v zmysle tohto nariadenia. Domnieva sa, že nemajetková ujma musí byť podľa článku 82 tohto nariadenia nahradená, ak je citeľná, aj keby bola nízka. Naopak, takáto ujma by nemala byť nahradená, ak sa zdá byť úplne zanedbateľná, ako je to v prípade samotných nepríjemných pocitov, ktoré zvyčajne sprevádzajú takéto porušenie.
20 Za týchto podmienok Oberster Gerichtshof (Najvyšší súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Vyžaduje priznanie práva na náhradu škody podľa článku 82 GDPR… popri porušení ustanovení GDPR aj to, aby žalobca utrpel škodu, alebo na priznanie práva na náhradu škody postačuje už samotné porušenie ustanovení GDPR?
2. Existujú popri zásadách efektivity a ekvivalencie ďalšie pravidlá práva Únie na určenie výšky náhrady škody?
3. Je stanovisko, podľa ktorého je podmienkou pre priznanie [náhrady] nemajetkovej ujmy to, že dôsledok alebo následok porušenia práva má aspoň takú dôležitosť, ktorá presahuje nepríjemnosti vyvolané porušením práva, v súlade s právom Únie?“
O prejudiciálnych otázkach
O prípustnosti prvej a druhej otázky
21 Žalobca vo veci samej v podstate tvrdí, že prvá položená otázka je neprípustná z toho dôvodu, že je hypotetická. V prvom rade tvrdí, že jeho žaloba o náhradu škody nie je založená na „samotnom“ porušení ustanovenia GDPR. Ďalej uvádza, že návrh na začatie prejudiciálneho konania vyvoláva dojem, že existuje konsenzus o tom, že náhrada škody je splatná len vtedy, ak je takéto porušenie spojené so vznikom skutočne vzniknutej škody. Napokon sa podľa neho zdá, že medzi účastníkmi konania vo veci samej je sporné len to, či je potrebné, aby škoda presiahla určitú „hranicu závažnosti“. Ak by však Súdny dvor odpovedal na tretiu otázku položenú v tejto súvislosti záporne – ako to žalobca navrhuje –, prvá otázka by bola pre rozhodnutie uvedeného sporu irelevantná.
22 Žalobca vo veci samej tiež tvrdí, že druhá položená otázka je neprípustná z dôvodu, že je veľmi široká, pokiaľ ide o jej obsah, a zároveň príliš nepresná, pokiaľ ide o jej formuláciu, keďže vnútroštátny súd sa zameriava na „požiadavky práva Únie“ bez toho, aby konkrétne uviedol nejakú z nich.
23 V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry prináleží len vnútroštátnemu súdu, ktorému bol spor predložený a ktorý musí niesť zodpovednosť za prijaté súdne rozhodnutie, aby s prihliadnutím na konkrétne okolnosti veci posúdil tak nevyhnutnosť prejudiciálneho rozhodnutia na vydanie svojho rozsudku, ako aj relevantnosť otázok, ktoré predkladá Súdnemu dvoru a ktoré sa považujú za relevantné. Preto, pokiaľ sa položená otázka týka výkladu alebo platnosti právneho predpisu Únie, Súdny dvor je v zásade povinný rozhodnúť, okrem prípadu, ak je zjavné, že požadovaný výklad nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými a právnymi podkladmi potrebnými na užitočnú odpoveď na uvedenú otázku (pozri v tomto zmysle rozsudky z 15. decembra 1995, Bosman, C‑415/93, EU:C:1995:463, bod 61; zo 7. septembra 1999, Beck a Bergdorf, C‑355/97, EU:C:1999:391, bod 22, ako aj z 5. mája 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, bod 43 a citovaná judikatúra).
24 V tomto konaní sa prvá otázka týka podmienok vyžadovaných na uplatnenie práva na náhradu škody stanoveného v článku 82 GDPR. Okrem toho nie je zjavné, že by požadovaný výklad nemal súvislosť so sporom vo veci samej alebo že by nastolený problém mal hypotetickú povahu. Na jednej strane sa totiž tento spor týka návrhu na náhradu škody, na ktorý sa vzťahuje režim ochrany osobných údajov zavedený GDPR. Na druhej strane táto otázka smeruje k určeniu, či je na účely uplatnenia pravidiel zodpovednosti stanovených v tomto nariadení nevyhnutné, aby dotknutej osobe vznikla ujma odlišná od porušenia tohto nariadenia.
25 Pokiaľ ide o druhú otázku, Súdny dvor už rozhodol, že samotná skutočnosť, že sa má vyjadriť vo všeobecných a abstraktných pojmoch, nemôže spôsobovať neprípustnosť návrhu na začatie prejudiciálneho konania (rozsudok z 15. novembra 2007, International Mail Spain, C‑162/06, EU:C:2007:681, bod 24). Takto položenú otázku možno považovať za hypotetickú, a teda za neprípustnú, ak návrh na začatie prejudiciálneho konania neobsahuje ani minimálne vysvetlenie, ktoré by umožnilo určiť súvislosť medzi touto otázkou a sporom vo veci samej (pozri v tomto zmysle rozsudok z 8. júla 2021, Sanresa, 295/20, EU:C:2021:556, body 69 a 70).
26 V prejednávanej veci však nejde o takýto prípad, pretože vnútroštátny súd vysvetľuje, že jeho druhá otázka spočíva na pochybnostiach o tom, či je v rámci posúdenia náhrady škody, ktorá je potenciálne splatná zo strany spoločnosti Österreichische Post z dôvodu porušenia ustanovení GDPR, potrebné dbať nielen na dodržiavanie zásad ekvivalencie a efektivity, ktoré sú uvedené v tejto otázke, ale aj dodržiavanie prípadných ďalších požiadaviek práva Únie. V tomto kontexte skutočnosť, že nie sú uvedené presnejšie informácie, než sú informácie, ktoré tento súd poskytol v súvislosti s uvedenými zásadami, nezbavuje Súdny dvor schopnosti poskytnúť užitočný výklad relevantných pravidiel práva Únie.
27 Prvá a druhá otázka sú preto prípustné.
O veci samej
O prvej otázke
28 Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že porušenie ustanovení tohto nariadenia samotné stačí na priznanie práva na náhradu škody.
29 V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry znenie ustanovenia práva Únie, ktoré neobsahuje nijaký výslovný odkaz na právo členských štátov s cieľom určiť jeho zmysel a rozsah pôsobnosti, v zásade vyžaduje v celej Únii autonómny a jednotný výklad [rozsudky z 22. júna 2021, Latvijas Republikas Saeima (Pokutové body), C‑439/19, EU:C:2021:504, bod 81, a z 10. februára 2022, ShareWood Switzerland, C‑595/20, EU:C:2022:86, bod 21], ktorý treba hľadať s prihliadnutím na znenie dotknutého ustanovenia a kontext, do ktorého patrí (pozri v tomto zmysle rozsudky z 15. apríla 2021, The North of England P & I Association, C‑786/19, EU:C:2021:276, bod 48, ako aj z 10. júna 2021, KRONE – Verlag, C‑65/20, EU:C:2021:471, bod 25).
30 GDPR pritom neodkazuje na právo členských štátov, pokiaľ ide o zmysel a rozsah pojmov uvedených v článku 82 tohto nariadenia, najmä pokiaľ ide o pojmy „majetková alebo nemajetková škoda“ a „náhrada utrpenej škody“. Z toho vyplýva, že tieto pojmy treba na účely uplatnenia uvedeného nariadenia považovať za autonómne pojmy práva Únie, ktoré sa majú vykladať jednotne vo všetkých členských štátoch.
31 V prvom rade, pokiaľ ide o znenie článku 82 GDPR, treba pripomenúť, že odsek 1 tohto článku stanovuje, že „každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa“.
32 Na jednej strane zo znenia tohto ustanovenia jasne vyplýva, že existencia „ujmy“ alebo „škody“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v uvedenom ustanovení, rovnako ako aj existencia porušenia GDPR a príčinnej súvislosti medzi touto ujmou a týmto porušením, pričom tieto tri podmienky sú kumulatívne.
33 Preto sa nemožno domnievať, že každé „porušenie“ ustanovení GDPR samo osebe zakladá uvedené právo na náhradu škody v prospech dotknutej osoby, ako je definovaná v článku 4 bode 1 tohto nariadenia. Takýto výklad by bol v rozpore so znením článku 82 ods. 1 uvedeného nariadenia.
34 Na druhej strane treba zdôrazniť, že osobitné zmienky o „ujme“ a „porušení“ v článku 82 ods. 1 GDPR by boli zbytočné, ak by normotvorca Únie zastával názor, že porušenie ustanovení tohto nariadenia môže samo osebe a v každom prípade postačovať na vznik práva na náhradu škody.
35 V druhom rade predchádzajúci doslovný výklad podporuje aj kontext, do ktorého toto ustanovenie patrí.
36 Článok 82 ods. 2 GDPR, ktorý spresňuje režim zodpovednosti, ktorého zásady sú stanovené v odseku 1 tohto článku, totiž preberá tri podmienky nevyhnutné na vznik práva na náhradu škody, a to spracúvanie osobných údajov vykonané v rozpore s ustanoveniami GDPR, ujmu alebo škodu, ktorú utrpela dotknutá osoba, a príčinnú súvislosť medzi týmto nezákonným spracúvaním a touto ujmou.
37 Okrem toho tento výklad potvrdzujú spresnenia poskytnuté v odôvodneniach 75, 85 a 146 GDPR. Na jednej strane toto odôvodnenie 146, ktoré sa konkrétne týka práva na náhradu škody stanoveného v článku 82 ods. 1 tohto nariadenia, vo svojej prvej vete odkazuje na „škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s uvedeným nariadením“. Na druhej strane v týchto odôvodneniach 75 a 85 sa uvádza, že „riziko… môž[e] vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme“ a že „porušenie osobných údajov… môže… spôsobiť škodu“. Z toho po prvé vyplýva, že vznik škody v rámci takéhoto spracúvania je len potenciálny, po druhé, že porušenie GDPR nevyhnutne nespôsobuje škodu, a po tretie, že na to, aby vzniklo právo na náhradu škody, musí existovať príčinná súvislosť medzi predmetným porušením a ujmou, ktorú utrpela dotknutá osoba.
38 Doslovný výklad článku 82 ods. 1 nariadenia GDPR potvrdzuje aj porovnanie s inými ustanoveniami, ktoré sa nachádzajú aj v kapitole VIII tohto nariadenia, ktorá upravuje najmä rôzne prostriedky nápravy umožňujúce ochranu práv dotknutej osoby v prípade spracúvania jej osobných údajov, ktoré je údajne v rozpore s ustanoveniami uvedeného nariadenia.
39 V tejto súvislosti treba uviesť, že na rozdiel od pojmov použitých v uvedenom článku 82, pokiaľ ide o žaloby o náhradu škody, články 77 a 78 GDPR, ktoré sa nachádzajú v uvedenej kapitole, stanovujú v prípade údajného porušenia tohto nariadenia prostriedky nápravy prostredníctvom dozorného orgánu alebo voči rozhodnutiu dozorného orgánu bez toho, aby sa v nich uvádzalo, že na to, aby mohlo dotknutá osoba využiť takéto prostriedky nápravy, jej musela byť spôsobená „ujma“ alebo „škoda“. Tento rozdiel vo formulácii svedčí o význame kritéria „ujmy“ alebo „škody“, a teda o jeho jedinečnosti vo vzťahu ku kritériu „porušenia“ na účely nárokov na náhradu škody založených na GDPR.
40 Rovnako články 83 a 84 GDPR, ktoré umožňujú ukladať správne pokuty, ako aj iné sankcie, majú v podstate trestný účel a nie sú podmienené existenciou individuálnej škody. Vzťah medzi pravidlami stanovenými v uvedenom článku 82 a pravidlami stanovenými v uvedených článkoch 83 a 84 preukazuje, že medzi týmito dvoma kategóriami ustanovení existuje rozdiel, ale aj sa vzájomne dopĺňajú, pokiaľ ide o motiváciu dodržiavať GDPR, pričom treba poznamenať, že právo každej osoby domáhať sa náhrady škody posilňuje vykonateľný charakter pravidiel ochrany stanovených týmto nariadením a môže odradiť od opakovaného protiprávneho konania.
41 Napokon treba spresniť, že v odôvodnení 146 štvrtej vete nariadenia GDPR sa uvádza, že pravidlá stanovené v tomto nariadení sa uplatňujú bez toho, aby boli dotknuté akékoľvek žaloby o náhradu škody založené na porušení iných pravidiel práva Únie alebo práva členského štátu.
42 Vzhľadom na všetky predchádzajúce dôvody treba na prvú otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že porušenie ustanovení samotné tohto nariadenia nestačí na priznanie práva na náhradu škody.
O tretej otázke
43 Svojou treťou otázkou, ktorú treba preskúmať pred druhou otázkou, sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že bráni vnútroštátnej norme alebo praxi, ktorá podmieňuje náhradu nemajetkovej ujmy v zmysle tohto ustanovenia tým, že ujma spôsobená dotknutej osobe musí dosiahnuť určitý stupeň závažnosti.
44 V tejto súvislosti treba pripomenúť, že ako bolo zdôraznené v bode 30 tohto rozsudku, pojem „ujma“, a konkrétnejšie, v prejednávanej veci pojem „nemajetková ujma“ v zmysle článku 82 GDPR musí mať vzhľadom na neexistenciu akéhokoľvek odkazu na vnútroštátne právo členských štátov autonómnu a jednotnú definíciu vlastnú právu Únie.
45 V prvom rade GDPR nedefinuje pojem „ujma“ na účely uplatnenia tohto nástroja. Článok 82 tohto nariadenia sa obmedzuje na to, že výslovne uvádza, že právo na náhradu škody môže zakladať nielen „majetková škoda“, ale aj „nemajetková ujma“ bez toho, aby sa uvádzala akákoľvek hranica závažnosti.
46 Po druhé kontext, do ktorého patrí toto ustanovenie, tiež naznačuje, že právo na náhradu škody nie je podmienené tým, že posudzovaná škoda musí dosiahnuť určitú hranicu závažnosti. Odôvodnenie 146 GDPR totiž vo svojej tretej vete uvádza, že „podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia“. Tomuto širokému chápaniu pojmu „ujma“ alebo „škoda“, ktoré uprednostňuje normotvorca Únie, by pritom odporovalo, ak by bol uvedený pojem obmedzený len na škodu alebo ujmu určitej závažnosti.
47 V treťom a poslednom rade takýto výklad potvrdzujú ciele sledované GDPR. V tejto súvislosti treba pripomenúť, že odôvodnenie 146 tretia veta tohto nariadenia výslovne vyzýva, aby sa pri definovaní pojmu „škoda“ v zmysle tohto nariadenia „v plnom rozsahu zohľad[nili] ciele [uvedeného] nariadenia“.
48 Konkrétne z odôvodnenia 10 GDPR vyplýva, že ustanovenia tohto nariadenia majú za cieľ najmä zaručiť konzistentnú a vysokú úroveň ochrany fyzických osôb pri spracúvaní osobných údajov v rámci Únie a na tento účel zabezpečiť konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd týchto osôb pri spracúvaní takýchto údajov v celej Únii [pozri v tomto zmysle rozsudky zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 101, ako aj z 12. januára 2023, Österreichische Post (Informácie o príjemcoch osobných údajov), C‑154/21, EU:C:2023:3, bod 44 a citovanú judikatúru].
49 Podmienenie náhrady nemajetkovej ujmy dosiahnutím určitej hranice závažnosti by však mohlo narušiť koherenciu režimu, ktorý zavádza GDPR, pretože odstupňovanie takejto hranice, od ktorého závisí, či je možné získať uvedenú náhradu, by mohlo kolísať v závislosti od posúdenia konajúcich súdov.
50 Nič to však nemení na tom, že takto prijatý výklad nemožno chápať tak, že znamená, že osoba dotknutá porušením GDPR, ktoré malo na ňu negatívne následky, by bola zbavená povinnosti preukázať, že tieto dôsledky predstavujú nemajetkovú ujmu v zmysle článku 82 tohto nariadenia.
51 Vzhľadom na vyššie uvedené dôvody treba na tretiu otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že bráni vnútroštátnej norme alebo praxi, ktorá podmieňuje náhradu nemajetkovej ujmy v zmysle tohto ustanovenia tým, že ujma spôsobená dotknutej osobe musí dosiahnuť určitý stupeň závažnosti.
O druhej otázke
52 Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 GDPR vykladať v tom zmysle, že na účely určenia výšky náhrady škody, splatnej na základe práva na náhradu škody zakotveného v tomto článku, musia vnútroštátne súdy uplatniť vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady škody, a to pri dodržaní zásad ekvivalencie a efektivity a ďalších zásad práva Únie.
53 V tejto súvislosti treba pripomenúť, že podľa ustálenej judikatúry v prípade neexistencie pravidiel Únie v danej oblasti vnútroštátnemu právnemu poriadku každého členského štátu prináleží, aby na základe zásady procesnej autonómie upravil procesné náležitosti týkajúce sa žalôb určených na zaručenie ochrany práv osôb podliehajúcich súdnej právomoci, avšak pod podmienkou, že nesmú byť v situáciách, na ktoré sa vzťahuje právo Únie menej priaznivé než pravidlá, ktoré upravujú podobné situácie podliehajúce vnútroštátnemu právu (zásada ekvivalencie), a že nesmú prakticky znemožniť alebo nadmerne sťažiť výkon práv, ktoré priznáva právo Únie (zásada efektivity) (pozri v tomto zmysle rozsudky z 13. decembra 2017, El Hassani, C‑403/16, EU:C:2017:960, bod 26, a z 15. septembra 2022, Uniqa Versicherungen, C‑18/21, EU:C:2022:682, bod 36).
54 V prejednávanej veci treba uviesť, že GDPR neobsahuje ustanovenie, ktorého predmetom by bolo vymedzenie pravidiel týkajúcich sa určenia výšky náhrady škody, na ktoré má dotknutá osoba v zmysle článku 4 bodu 1 tohto nariadenia nárok podľa jeho článku 82, ak jej porušenie uvedeného nariadenia spôsobilo ujmu. Preto v prípade neexistencie pravidiel práva Únie v danej oblasti právnemu poriadku každého členského štátu prináleží, aby stanovil podmienky týkajúce sa žalôb určených na zaručenie ochrany práv, ktoré osobám podliehajúcim súdnej právomoci vyplývajú z tohto článku 82, a najmä kritériá umožňujúce určiť rozsah náhrady škody, ktorá sa má v tomto rámci vyplatiť, a to pod podmienkou dodržania uvedených zásad ekvivalencie a efektivity (pozri analogicky rozsudok z 13. júla 2006, Manfredi a i., C‑295/04 až C‑298/04, EU:C:2006:461, body 92 a 98).
55 Pokiaľ ide o zásadu ekvivalencie, v tomto konaní Súdny dvor nemá vedomosť o žiadnych skutočnostiach, ktoré by odôvodňovali pochybnosti o súlade vnútroštátnej právnej úpravy uplatniteľnej na spor vo veci samej s touto zásadou, a teda naznačovali, že uvedená zásada môže mať v rámci tohto sporu praktický vplyv.
56 Pokiaľ ide o zásadu efektivity, prináleží vnútroštátnemu súdu, aby určil, či postupy stanovené v rakúskom práve na určenie výšky náhrady škody splatnej na základe práva na náhradu škody zakotveného v článku 82 GDPR, nevedú k praktickej nemožnosti alebo nadmernému sťaženiu výkonu práv priznaných právom Únie, konkrétne týmto nariadením.
57 V tejto súvislosti treba zdôrazniť, že šiesta veta odôvodnenia 146 GDPR uvádza, že cieľom tohto nástroja je zabezpečiť „úplnú a účinnú náhradu [za utrpenú škodu]“.
58 V tejto súvislosti vzhľadom na kompenzačnú funkciu práva na náhradu škody stanovenú v článku 82 GDPR, ako v podstate zdôraznil generálny advokát v bodoch 39, 49 a 52 svojich návrhov, platí, že peňažná náhrada založená na tomto ustanovení sa musí považovať za „úplnú a účinnú“, ak umožňuje v celom rozsahu kompenzovať škodu, ktorá bola konkrétne utrpená v dôsledku porušenia tohto nariadenia, bez toho, aby bolo na účely takejto úplnej kompenzácie potrebné uložiť povinnosť zaplatiť sankčnú náhradu škody.
59 Vzhľadom na všetky predchádzajúce úvahy treba na druhú otázku odpovedať tak, že článok 82 GDPR sa má vykladať v tom zmysle, že na účely určenia výšky náhrady škody, splatnej na základe práva na náhradu škody zakotveného v tomto článku, musia vnútroštátne súdy uplatniť vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady škody, a to pri dodržaní zásad ekvivalencie a efektivity a ďalších zásad práva Únie.
O trovách
60 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto:
1. Článok 82 ods. 1 písm. c) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa má vykladať v tom zmysle, že:
že porušenie ustanovení tohto nariadenia samotné nestačí na priznanie práva na náhradu škody.
2. Článok 82 ods. 1 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
bráni vnútroštátnej norme alebo praxi, ktorá podmieňuje náhradu nemajetkovej ujmy v zmysle tohto ustanovenia tým, že ujma spôsobená dotknutej osobe musí dosiahnuť určitý stupeň závažnosti.
3. Článok 82 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
na účely určenia výšky náhrady škody, splatnej na základe práva na náhradu škody zakotveného v tomto článku, musia vnútroštátne súdy uplatniť vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady škody, a to pri dodržaní zásad ekvivalencie a efektivity a ďalších zásad práva Únie.
Podpisy