Language of document : ECLI:EU:C:2024:288

ROZSUDEK SOUDNÍHO DVORA (třetího senátu)

11. dubna 2024(*)

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 82 – Právo na náhradu újmy způsobené zpracováním údajů v rozporu s uvedeným nařízením – Pojem ‚nemajetková újma‘ – Dopad závažnosti utrpěné újmy – Odpovědnost správce – Případné zproštění odpovědnosti v případě porušení, kterého se dopustila osoba jednající z pověření správce ve smyslu článku 29 – Určení výše náhrady – Nepoužitelnost kritérií stanovených pro ukládání správních pokut v článku 83 – Určení výše náhrady v případě vícenásobného porušení uvedeného nařízení“

Ve věci C‑741/21,

jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Landgericht Saarbrücken (zemský soud v Saarbrückenu, Německo) ze dne 22. listopadu 2021, došlým Soudnímu dvoru dne 1. prosince 2021, v řízení

GP

proti

juris GmbH,

SOUDNÍ DVŮR (třetí senát),

ve složení: K. Jürimäe, předsedkyně senátu, N. Piçarra a N. Jääskinen (zpravodaj), soudci,

generální advokát: M. Campos Sánchez-Bordona,

za soudní kancelář: A. Calot Escobar, vedoucí,

s přihlédnutím k písemné části řízení,

s ohledem na vyjádření, která předložili:

–        za GP: H. Schöning, Rechtsanwalt,

–        za juris GmbH: E. Brandt a C. Werkmeister, Rechtsanwälte,

–        za Irsko: M. Browne, Chief State Solicitor, A. Joyce a M. Lane, jako zmocněnci, ve spolupráci s: D. Fennelly, BL,

–        za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci,

s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generálního advokáta, rozhodnout věc bez stanoviska,

vydává tento

Rozsudek

1        Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 82 odst. 1 a 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1; dále jen „GDPR“) ve spojení s jeho články 29 a 83, jakož i s ohledem na body 85 a 146 jeho odůvodnění.

2        Tato žádost byla předložena v rámci sporu mezi GP, fyzickou osobou, a juris GmbH, společností se sídlem v Německu, ve věci náhrady škody, která GP údajně vznikla z důvodu různých zpracování jejích osobních údajů pro účely přímého marketingu, navzdory námitkám, které GP zaslal uvedené společnosti.

 Právní rámec

3        Body 85, 146 a 148 GDPR zní takto:

„85.      Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. […]

[…]

146.      Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel. Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost. Výklad pojmu ‚újma‘ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. […] Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly. […]

[…]

148.      S cílem posílit prosazování pravidel tohoto nařízení by za jakékoliv jeho porušení měly být uloženy sankce včetně správních pokut […]. Náležitě by se však měla zohlednit povaha, závažnost a doba trvání porušení, úmyslný charakter porušení, kroky, které byly učiněny s cílem zmírnit způsobenou škodu, míra odpovědnosti nebo jakékoli relevantní předchozí porušení, způsob, jakým se dozorový úřad o daném porušení dozvěděl, dodržování opatření, která byla vůči správci nebo zpracovateli nařízena, dodržování kodexu chování nebo jakýkoli jiný přitěžující nebo polehčující faktor. […]“

4        Článek 4 uvedeného nařízení, nadepsaný „Definice“, uvádí:

„Pro účely tohoto nařízení se rozumí:

1)      ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘);

[…]

7)      ‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;

[…]

12)      ‚porušením zabezpečení osobních údajů‘ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů

[…]“

5        Článek 5 uvedeného nařízení uvádí řadu zásad týkajících se zpracování osobních údajů.

6        Kapitola III GDPR, týkající se „[p]ráv subjektu údajů“, obsahuje článek 21, nadepsaný „Právo vznést námitku“, jehož odstavec 3 stanoví:

Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.“

7        Kapitola IV uvedeného nařízení, nadepsaná „Správce a zpracovatel“, obsahuje jeho články 24 až 43.

8        Článek 24 uvedeného nařízení, nadepsaný „Odpovědnost správce“, v odstavcích 1 a 2 stanoví:

„1.      S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

2.      Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.“

9        Článek 25 téhož nařízení, nadepsaný „Záměrná a standardní ochrana osobních údajů“, v odstavci 1 stanoví:

„S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.“

10      Článek 29 GDPR, nadepsaný „Zpracování z pověření správce nebo zpracovatele“, stanoví:

„Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.“

11      Článek 32 uvedeného nařízení, nadepsaný „Zabezpečení zpracování“, uvádí:

„1.      S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

[…]

b)      schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

[…]

2.      Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

[…]

4.      Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.“

12      Kapitola VIII GDPR, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84 uvedeného nařízení.

13      Článek 79 uvedeného nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

14      Článek 82 uvedeného nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavcích 1 až 3 stanoví:

„1.      Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2.      Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. […]

3.      Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.“

15      Článek 83 GDPR, nadepsaný „Obecné podmínky pro ukládání správních pokut“, v odstavcích 2, 3 a 5 stanoví:

„2.      […] Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

a)      povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

b)      zda k porušení došlo úmyslně nebo z nedbalosti;

[…]

k)      jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.

3.      Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

[…]

5.      Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:

a)      základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9;

b)      práva subjektů údajů podle článků 12 až 22;

[…]“

16      Článek 84 uvedeného nařízení, nadepsaný „Sankce“, v odstavci 1 stanoví:

„Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

 Spor v původním řízení a předběžné otázky

17      Žalobce v původním řízení, fyzická osoba vykonávající povolání nezávislého advokáta, byl zákazníkem společnosti juris, která provozuje právní databázi.

18      Poté, co se žalobce v původním řízení dozvěděl, že jeho osobní údaje jsou využívány společností juris i pro účely přímého marketingu, dne 6. listopadu 2018 písemně odvolal všechny souhlasy k odebírání od uvedené společnosti informací e-mailem nebo telefonicky a vznesl námitku proti jakémukoli zpracování těchto údajů, s výjimkou zaslání „newsletterů“, který si nadále přál odebírat.

19      Navzdory tomuto kroku obdržel žalobce v původním řízení v lednu 2019 dva reklamní letáky zaslané jmenovitě na jeho pracovní adresu. Žalobce dopisem zaslaným dne 18. dubna 2019 připomněl společnosti juris svoji předchozí námitku proti jakémukoli přímému marketingu, uvedl, že zhotovením uvedených letáků došlo k protiprávnímu zpracování jeho osobních údajů, a uplatnil nárok na náhradu újmy podle článku 82 GDPR. Poté, co dne 3. května 2019 obdržel nový reklamní leták, zopakoval svoji námitku, která byla tentokrát doručena společnosti juris prostřednictvím soudního vykonavatele.

20      Každý z uvedených letáků obsahoval „osobní zkušební kód“, který na internetových stránkách společnosti juris umožňoval přístup k formuláři objednávky výrobků uvedené společnosti, který obsahoval údaje týkající se žalobce v původním řízení, jak bylo na jeho žádost konstatováno notářem dne 7. června 2019.

21      Žalobce v původním řízení podal k Landgericht Saarbrücken (zemský soud v Saarbrückenu, Německo), který je předkládajícím soudem v projednávané věci, žalobu, kterou se na základě čl. 82 odst. 1 GDPR domáhal náhrady majetkové újmy související s náklady vynaloženými na soudního vykonavatele a notáře, jakož i nemajetkové újmy. Tvrdí zejména, že utrpěl ztrátu kontroly nad svými osobními údaji z důvodu jejich zpracování společností juris navzdory jeho námitkám, a že z tohoto titulu může získat náhradu újmy, aniž musí prokazovat účinky nebo závažnost zásahu do jeho práv, která jsou zaručena článkem 8 Listiny základních práv Evropské unie a upřesněna uvedeným nařízením.

22      Společnost juris na svou obranu odmítá veškerou odpovědnost a tvrdí, že zavedla systém pro vyřizování námitek proti přímému marketingu a opožděné zohlednění námitek žalobce v původním řízení je způsobeno buď tím, že některý z jejích zaměstnanců nedodržel udělené pokyny, nebo tím, že zohlednění těchto námitek by bylo nepřiměřeně nákladné. Tvrdí, že pouhé porušení povinnosti vyplývající z GDPR, jako je povinnost plynoucí z jeho čl. 21 odst. 3, nemůže samo o sobě představovat „újmu“ ve smyslu čl. 82 odst. 1 uvedeného nařízení.

23      Zaprvé předkládající soud vychází především z předpokladu, že právo na náhradu újmy stanovené v čl. 82 odst. 1 GDPR podléhá splnění tří podmínek, a sice porušení uvedeného nařízení, majetková či nemajetková újma, jakož i příčinná souvislost mezi porušením a újmou. Dále si předkládající soud s ohledem na tvrzení žalobce v původním řízení klade otázku, zda je nicméně třeba mít za to, že porušení GDPR představuje samo o sobě nemajetkovou újmu zakládající nárok na náhradu, zejména pokud porušené ustanovení uvedeného nařízení přiznává subjektu údajů subjektivní právo. Konečně vzhledem k tomu, že německé právo podmiňuje peněžitou náhradu nemajetkové újmy požadavkem závažného zásahu do chráněných práv, klade si předkládající soud otázku, zda se obdobné omezení musí uplatnit na návrhy na náhradu újmy podle GDPR ve světle vodítek týkajících se pojmu „újma“ uvedených v bodech 85 a 146 odůvodnění daného nařízení.

24      Zadruhé má uvedený soud za to, že z článku 82 GDPR vyplývá, že pokud bylo konstatováno porušení uvedeného nařízení, má se za to, že je přičitatelné správci, takže správce nese za toto porušení odpovědnost, ať jej zavinil nebo nezavinil. Kromě toho Komise poté, co zdůraznila, že odstavec 3 uvedeného článku neupřesňuje důkazní požadavky konkrétně související se zproštěním odpovědnosti stanoveným v tomto odstavci, uvádí, že kdyby se správce mohl zprostit odpovědnosti pouze tím, že by obecně uplatnil vinu některého ze svých spolupracovníků, značně by to omezilo užitečný účinek práva na náhradu újmy stanoveného v odstavci 1 uvedeného článku.

25      Zatřetí se předkládající soud zejména táže, zda pro určení výše peněžité náhrady újmy, zejména nemajetkové újmy, která by měla být vyplacena na základě článku 82 GDPR, mohou – či dokonce musí – být kritéria stanovená v čl. 83 odst. 2 a 5 uvedeného nařízení pro rozhodnutí o výši správních pokut zohledněna i v rámci uvedeného článku 82.

26      Začtvrté a na posledním místě předkládající soud uvádí, že ve sporu, který mu byl předložen, byly osobní údaje žalobce v hlavním řízení několikrát zpracovány pro účely přímého marketingu, a to navzdory opakovaným námitkám dotčené osoby. Předkládající soud se tedy snaží určit, zda v případě, že existuje několik takových porušení GDPR, musí být tato porušení za účelem stanovení výše náhrady újmy případně dlužné na základě článku 82 uvedeného nařízení zohledněna individuálně nebo celkově.

27      Za těchto podmínek se Landgericht Saarbrücken (zemský soud v Saarbrückenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1.      Je třeba chápat pojem ‚nehmotná újma‘ uvedený v čl. 82 odst. 1 GDPR s ohledem na bod 85 odůvodnění a bod 146 odůvodnění třetí větu GDPR v tom smyslu, že zahrnuje jakýkoli zásah do chráněného právního postavení, bez ohledu na jeho jiné účinky a jeho závažnost?

2.      Je odpovědnost za náhradu újmy podle čl. 82 odst. 3 GDPR vyloučena tím, že porušení práva bylo způsobeno v konkrétním případě lidským selháním osoby jednající z pověření správcem nebo zpracovatele ve smyslu článku 29 GDPR?

3.      Je možné – nebo dokonce nutné – při výpočtu náhrady nemajetkové újmy vycházet z kritérií uvedených v článku 83 GDPR, zejména v čl. 83 odst. 2 a odst. 5 GDPR?

4.      Je třeba určit náhradu újmy pro každé jednotlivé porušení nebo je třeba sankcionovat celou řadu porušení – přinejmenším řadu podobných porušení – celkovou částkou náhrady újmy, která není vypočtena součtem jednotlivých částek, nýbrž celkovým posouzením?“

 K předběžným otázkám

 K první otázce

 K přípustnosti

28      Úvodem společnost juris v podstatě tvrdí, že první otázka je nepřípustná, neboť směřuje k určení, zda vznik práva na náhradu újmy stanoveného v článku 82 GDPR podléhá požadavku, aby škoda tvrzená subjektem údajů, jak je definována v čl. 4 bodě 1 tohoto nařízení, dosáhla určitého stupně závažnosti. Tato otázka údajně není relevantní pro rozhodnutí sporu v původním řízení, protože nedošlo k naplnění skutkové podstaty újmy uplatňované žalobcem v původním řízení, a sice ztráty kontroly nad jeho osobními údaji, neboť uvedené údaje by byly předmětem zákonného zpracování, jelikož jsou součástí smluvního vztahu mezi účastníky tohoto sporu.

29      V této souvislosti je třeba připomenout, že přísluší pouze vnitrostátnímu soudu, kterému byl spor předložen a který nese odpovědnost za soudní rozhodnutí, jež bude vydáno, aby s ohledem na konkrétní okolnosti věci posoudil jak nezbytnost rozhodnutí o předběžné otázce pro vydání jeho rozsudku, tak relevanci otázek, které Soudnímu dvoru klade a na které se v tomto ohledu vztahuje domněnka relevance. Proto když se položená otázka týká výkladu nebo platnosti pravidla unijního práva, Soudní dvůr je v zásadě povinen rozhodnout, s výjimkou situace, kdy je zjevné, že žádaný výklad nemá žádný vztah k realitě nebo předmětu sporu v původním řízení, pokud se jedná o hypotetický problém nebo dále pokud Soudní dvůr nedisponuje skutkovými nebo právními poznatky nezbytnými pro užitečnou odpověď na uvedenou otázku [rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 23 a citovaná judikatura].

30      V projednávané věci se první otázka týká podmínek pro uplatnění nároku na náhradu újmy podle článku 82 GDPR. Navíc není zjevné, že by žádaný výklad neměl žádný vztah ke sporu v původním řízení nebo že by se jednalo o hypotetický problém. Tento spor se totiž týká návrhu na náhradu újmy, na který se vztahuje režim ochrany osobních údajů zavedený GDPR. Tato otázka dále v podstatě směřuje k určení, zda je pro účely použití pravidel o odpovědnosti stanovených v tomto nařízení nezbytné, aby subjekt údajů utrpěl újmu odlišnou od porušení tohoto nařízení, ale také aby tato újma přesáhla určitou hranici závažnosti.

31      První otázka je proto přípustná.

 K věci samé

32      Podstatou první otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že porušení ustanovení uvedeného nařízení, která přiznávají práva subjektu údajů, samo o sobě postačuje k tomu, aby představovalo „nehmotnou újmu“ ve smyslu tohoto ustanovení bez ohledu na stupeň závažnosti újmy, kterou tento subjekt údajů utrpěl.

33      Úvodem je třeba připomenout, že čl. 82 odst. 1 GDPR stanoví, že „[k]dokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy“.

34      Soudní dvůr již vyložil čl. 82 odst. 1 GDPR v tom smyslu, že pouhé porušení tohoto nařízení nestačí k přiznání práva na náhradu újmy, jelikož existence „utrpěné“ hmotné či nehmotné „újmy“ je totiž jednou z podmínek práva na náhradu újmy stanoveného v tomto čl. 82 odst. 1, stejně jako existence porušení tohoto nařízení a příčinné souvislosti mezi touto újmou a tímto porušením, přičemž tyto tři podmínky jsou kumulativní (v tomto smyslu viz rozsudek ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 58 a citovaná judikatura].

35      Osoba, která se domáhá náhrady nehmotné újmy podle tohoto ustanovení, je tedy povinna prokázat nejen porušení ustanovení tohoto nařízení, ale rovněž to, že jí toto porušení způsobilo takovou újmu (v tomto smyslu viz rozsudek ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 60 a 61, jakož i citovaná judikatura).

36      V tomto ohledu je třeba uvést, že Soudní dvůr vyložil čl. 82 odst. 1 GDPR tak, že brání vnitrostátnímu pravidlu nebo praxi, které náhradu nehmotné újmy ve smyslu tohoto ustanovení podmiňují tím, že taková újma, kterou utrpěl subjektu údajů, dosáhla určité míry závažnosti, přičemž zdůraznil, že uvedený subjekt je nicméně povinen prokázat, že mu porušení tohoto nařízení způsobilo takovou nehmotnou újmu (v tomto smyslu viz rozsudek ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 59 a 60, jakož i citovaná judikatura).

37      I kdyby ustanovení GDPR, které bylo porušeno, přiznávalo práva fyzickým osobám, nemůže takové porušení samo o sobě představovat „nemajetkovou újmu“ ve smyslu uvedeného nařízení.

38      Z ustanovení čl. 79 odst. 1 GDPR sice vyplývá, že každý subjekt údajů má právo na účinnou soudní ochranu vůči správci nebo případnému zpracovateli, pokud se domnívá, že „práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením“.

39      Toto ustanovení se však omezuje na to, že osobě, která se domnívá, že byla poškozena porušením práv, která jí přiznává GDPR, přiznává právo na účinný prostředek nápravy, aniž je uvedená osoba zproštěna povinnosti podle čl. 82 odst. 1 uvedeného nařízení prokázat, že skutečně utrpěla majetkovou nebo nemajetkovou újmu.

40      Z toho vyplývá, že porušení ustanovení GDPR přiznávajících práva subjektu údajů samo o sobě nestačí k založení hmotného práva na náhradu újmy na základě uvedeného nařízení, které vyžaduje, aby byly splněny i další dvě podmínky tohoto práva uvedené v bodě 34 tohoto rozsudku.

41      V projednávané věci žalobce v původním řízení zamýšlí na základě GDPR dosáhnout náhrady nemajetkové újmy, způsobené ztrátou kontroly nad jeho osobními údaji, které byly předmětem zpracování navzdory jeho námitkám, aniž by musel prokázat, že tato újma překročila určitou míru závažnosti.

42      V tomto ohledu je třeba uvést, že bod 85 odůvodnění GDPR „ztrátu kontroly“ výslovně vyjmenovává mezi druhy újmy, které mohou vzniknout porušením zabezpečení osobních údajů. Soudní dvůr kromě toho rozhodl, že byť i krátkodobá ztráta kontroly nad osobními údaji může způsobit subjektu údajů „nehmotnou újmu“ ve smyslu čl. 82 odst. 1 tohoto nařízení, která zakládá nárok na náhradu újmy, za podmínky, že uvedený subjekt prokáže, že takovou újmu, byť jen minimální, skutečně utrpěl (v tomto smyslu viz rozsudek ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 66 a citovaná judikatura].

43      S ohledem na výše uvedené důvody je třeba na první otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že porušení ustanovení uvedeného nařízení, která přiznávají práva subjektu údajů, samo o sobě nestačí k tomu, aby představovalo „nehmotnou újmu“ ve smyslu tohoto ustanovení, bez ohledu na stupeň závažnosti újmy, kterou tento subjekt údajů utrpěl.

 K druhé otázce

44      Podstatou druhé otázky předkládajícího soudu je, zda musí být článek 82 GDPR vykládán v tom smyslu, že k tomu, aby byl správce zproštěn odpovědnosti podle odstavce 3 uvedeného článku, stačí, aby uplatnil skutečnost, že dotčená újma byla způsobena pochybením osoby jednající z jeho pověření ve smyslu článku 29 uvedeného nařízení.

45      Dále je třeba připomenout, že článek 82 GDPR v odstavci 2 stanoví, že správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení, a v odstavci 3, že správce je odpovědnosti podle uvedeného odstavce 2 zproštěn, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

46      Soudní dvůr již konstatoval, že z kombinované analýzy odstavců 2 a 3 tohoto článku 82 vyplývá, že tento článek stanoví režim odpovědnosti za zavinění, v jehož rámci se má za to, že se správce podílel na zpracování, které představuje předmětné porušení GDPR, takže důkazní břemeno nese nikoli osoba, které vznikla škoda, nýbrž správce (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 92 až 94).

47      Pokud jde o otázku, zda lze správce zprostit odpovědnosti podle čl. 82 odst. 3 GDPR pouze z toho důvodu, že uvedená újma byla způsobena pochybením osoby jednající z jeho pověření ve smyslu článku 29 uvedeného nařízení, z tohoto článku 29 vyplývá, že osoby jednající z pověření správce, jako jsou jeho zaměstnanci, které mají přístup k osobním údajům, mohou tyto osobní údaje zpracovávat pouze na základě pokynů správce a v souladu s nimi (v tomto smyslu viz rozsudek ze dne 22. června 2023, Pankki S, C‑579/21, EU:C:2023:501, body 73 a 74).

48      Dále čl. 32 odst. 4 GDPR, který se týká zabezpečení zpracování osobních údajů, stanoví, že správce přijme opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z jeho pověření a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na jeho pokyn, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

49      Zaměstnanec správce je přitom fyzická osoba, která jedná z pověření tohoto správce. Je tedy věcí uvedeného správce, aby se ujistil, že jeho pokyny jsou jeho zaměstnanci správně uplatňovány. Správce se tudíž nemůže zprostit odpovědnosti podle čl. 82 odst. 3 GDPR pouze uplatněním nedbalosti nebo nesplnění povinnosti ze strany osoby, která jedná jeho z pověření.

50      V projednávané věci společnost juris v písemném vyjádření předloženém Soudnímu dvoru v podstatě tvrdí, že správce by měl být zproštěn odpovědnosti podle čl. 82 odst. 3 GDPR, jelikož porušení, které způsobilo dotčenou újmu, je přičitatelné jednání jednoho z jejíchzaměstnanců, který nedodržel pokyny uvedeného správce, a k tomuto porušení tudíž nedošlo v důsledku nesplnění povinností posledně uvedeného, stanovených zejména v článcích 24, 25 a 32 uvedeného nařízení.

51      V tomto ohledu je třeba zdůraznit, že okolnosti zproštění odpovědnosti stanovené v čl. 82 odst. 3 GDPR musí být striktně omezeny na okolnosti, kdy je tento správce schopen prokázat, že mu nelze přičíst odpovědnost za újmu (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, bod 70). V případě porušení zabezpečení osobních údajů osobou, která jedná z pověření správce, se tak uvedený správce může takto zprostit odpovědnosti pouze tehdy, pokud prokáže, že neexistuje žádná příčinná souvislost mezi jeho případným porušením povinnosti ochrany údajů podle článků 5, 24 a 32 uvedeného nařízení a újmou způsobenou subjektu údajů (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, bod 72).

52      Proto k tomu, aby správce mohl být zproštěn odpovědnosti podle čl. 82 odst. 3 GDPR, nemůže stačit, aby prokázal, že dal pokyny osobám, které jednají jeho z pověření ve smyslu článku 29 uvedeného nařízení, a že jedna z uvedených osob nesplnila svou povinnost řídit se těmito pokyny, takže přispěla ke vzniku dotčené újmy.

53      Pokud by totiž bylo možné, aby se správce zprostil odpovědnosti pouze tím, že uplatní pochybení osoby jednající z jeho pověření, narušilo by to užitečný účinek práva na náhradu újmy zakotveného v čl. 82 odst. 1 GDPR, jak v podstatě uvedl předkládající soud, a nebylo by to v souladu s cílem uvedeného nařízení, kterým je zajistit vysokou úroveň ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů.

54      S ohledem na výše uvedené je třeba na druhou otázku odpovědět tak, že článek 82 GDPR musí být vykládán v tom smyslu, že k tomu, aby byl správce zproštěn odpovědnosti podle odstavce 3 uvedeného článku, nemůže stačit, aby uplatnil skutečnost, že dotčená újma byla způsobena pochybením osoby jednající z jeho pověření ve smyslu článku 29 uvedeného nařízení.

 K třetíčtvrté otázce

55      Podstatou třetí a čtvrté otázky předkládajícího soudu, které je třeba zkoumat společně, je, zda musí být čl. 82 odst. 1 GDPR vykládán v tom smyslu, že pro určení částky, která má být zaplacena z titulu náhrady újmy na základě uvedeného ustanovení, je zaprvé třeba mutatis mutandis použít kritéria pro určení výše správních pokut, která jsou stanovena v článku 83 uvedeného nařízení, a zadruhé zohlednit skutečnost, že osoba žádající o náhradu újmy je dotčena několika porušeními uvedeného nařízení ve vztahu k témuž zpracování osobních údajů.

56      Zaprvé, pokud jde o případné zohlednění kritérií uvedených v článku 83 GDPR pro účely stanovení výše náhrady újmy dlužné na základě článku 82 GDPR, je nesporné, že obě tato ustanovení sledují odlišné cíle. Článek 82 uvedeného nařízení totiž upravuje „[p]rávo na náhradu škody a odpovědnost“, zatímco článek 83 uvedeného nařízení stanoví „[o]becné pokyny pro ukládání správních pokut“.

57      Z toho vyplývá, že kritéria uvedená v článku 83 GDPR pro účely určení výše správních pokut, která jsou rovněž uvedena v bodě 148 odůvodnění uvedeného nařízení, nelze použít pro posouzení výše náhrady újmy podle článku 82 uvedeného nařízení.

58      Jak Soudní dvůr již dvůr zdůraznil, GDPR neobsahuje ustanovení týkající se posouzení náhrady újmy, která má být zaplacena z titulu práva na náhradu zakotveného v článku 82 uvedeného nařízení. Vnitrostátní soudy tudíž musí pro účely tohoto posouzení na základě zásady procesní autonomie uplatnit vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva, jak jsou definovány ustálenou judikaturou Soudního dvora (v tomto smyslu viz rozsudky ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 83 a 101, jakož i citovaná judikatura, a ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 53).

59      V této souvislosti Soudní dvůr zdůraznil, že článek 82 GDPR nemá sankční, ale kompenzační funkci, na rozdíl od jiných ustanovení tohoto nařízení, která jsou rovněž obsažena v kapitole VIII tohoto nařízení, a sice jeho článků 83 a 84, které mají v zásadě sankční účel, neboť umožňují uložit správní pokuty, jakož i jiné sankce. Vztah mezi pravidly stanovenými v uvedeném článku 82 a pravidly stanovenými v uvedených článcích 83 a 84 ukazuje, že mezi těmito dvěma kategoriemi ustanovení existuje rozdíl, ale také komplementarita, pokud jde o motivaci k dodržování GDPR, přičemž je třeba poznamenat, že právo každého požadovat náhradu újmy posiluje vymahatelnost pravidel ochrany stanovených tímto nařízením a může odrazovat od opakování protiprávního jednání (rozsudek ze dne 25. ledna 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 47 a citovaná judikatura).

60      Kromě toho Soudní dvůr ze skutečnosti, že právo na náhradu újmy stanovené v čl. 82 odst. 1 GDPR neplní odrazující, ani sankční funkci, vyvodil, že závažnost porušení tohoto nařízení, které způsobilo tvrzenou hmotnou nebo nehmotnou újmu, nemůže mít vliv na částku náhrady újmy přiznané na základě tohoto ustanovení. Z toho vyplývá, že tato částka nemůže být stanovena na úrovni překračující plnou náhradu této újmy (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 86).

61      S ohledem na bod 146 šestou větu odůvodnění GDPR, podle kterého tento nástroj směřuje k zajištění „plné a účinné náhrady [utrpěné] újmy“, Soudní dvůr uvedl, že s ohledem na kompenzační funkci práva na náhradu újmy stanoveného v článku 82 tohoto nařízení musí být peněžitá náhrada založená na tomto článku považována za „plnou a účinnou“, pokud umožňuje plně nahradit újmu, která konkrétně vznikla v důsledku porušení uvedeného nařízení, aniž je pro účely takové plné náhrady nezbytné uložit povinnost k zaplacení sankční náhrady újmy (rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 84 a citovaná judikatura).

62      S ohledem na rozdíly ve znění a účelech mezi článkem 82 GDPR, vykládaným ve světle bodu 146 odůvodnění uvedeného nařízení, a článkem 83 uvedeného nařízení, vykládaným ve světle bodu 148 odůvodnění uvedeného nařízení, tedy nelze mít za to, že kritéria určení uvedená konkrétně v tomto článku 83 jsou použitelná mutatis mutandis v rámci tohoto článku 82, a to bez ohledu na skutečnost, že právní prostředky stanovené v těchto dvou ustanoveních se vzájemně doplňují s cílem zajistit dodržování téhož nařízení.

63      Zadruhé, pokud jde o způsob, jakým musí vnitrostátní soudy posoudit výši peněžní náhrady podle článku 82 GDPR v případech několika porušení uvedeného nařízení týkajících se téhož subjektu údajů, je třeba nejprve zdůraznit, jak je uvedeno v bodě 58 tohoto rozsudku, že je na každém členském státu, aby stanovil kritéria umožňující určit výši této náhrady, za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva.

64      Dále s ohledem na nikoli sankční, ale kompenzační funkci článku 82 GDPR, která je připomenuta v bodech 60 a 61 tohoto rozsudku, nemůže okolnost, že se správce dopustil několika porušení vůči témuž subjektu údajů, představovat relevantní kritérium pro účely určení náhrady újmy, která má být tomuto subjektu údajů přiznána na základě tohoto článku 82. Pro určení výše peněžité náhrady je totiž třeba zohlednit pouze újmu, která mu skutečně vznikla.

65      Proto je třeba na třetí a čtvrtou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že pro určení částky, která má být zaplacena z titulu náhrady újmy na základě uvedeného ustanovení, zaprvé není namístě použít mutatis mutandis kritéria pro určení výše správních pokut, která jsou stanovena v článku 83 uvedeného nařízení, a zadruhé není namístě zohlednit skutečnost, že osoba žádající o náhradu škody je dotčena několika porušeními uvedeného nařízení ve vztahu k témuž zpracování osobních údajů.

 K nákladům řízení

66      Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto:

1)      Článek 82 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládán v tom smyslu, že

porušení ustanovení uvedeného nařízení, která přiznávají práva subjektu údajů, samo o sobě nestačí k tomu, aby představovalo „nehmotnou újmu“ ve smyslu tohoto ustanovení, bez ohledu na stupeň závažnosti újmy, kterou tento subjekt údajů utrpěl.

2)      Článek 82 nařízení 2016/679

musí být vykládán v tom smyslu, že

k tomu, aby byl správce zproštěn odpovědnosti podle odstavce 3 uvedeného článku, nemůže stačit, aby uplatnil skutečnost, že dotčená škoda byla způsobena pochybením osoby jednající z jeho pověření ve smyslu článku 29 uvedeného nařízení.

3)      Článek 82 odst. 1 nařízení 2016/679

musí být vykládán v tom smyslu, že

pro určení částky, která má být zaplacena z titulu náhrady újmy na základě uvedeného ustanovení, zaprvé není namístě použít mutatis mutandis kritéria pro určení výše správních pokut, která jsou stanovena v článku 83 uvedeného nařízení, a zadruhé není namístě zohlednit skutečnost, že osoba žádající o náhradu škody je dotčena několika porušeními uvedeného nařízení ve vztahu k témuž zpracování osobních údajů.

Podpisy

*      Jednací jazyk: němčina.