Language of document : ECLI:EU:C:2024:288

ROZSUDOK SÚDNEHO DVORA (tretia komora)

z 11. apríla 2024 (*)

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 82 – Právo na náhradu škody spôsobenej spracovaním údajov vykonaným v rozpore s týmto nariadením – Pojem ‚nemajetková ujma‘ – Vplyv závažnosti spôsobenej ujmy – Zodpovednosť prevádzkovateľa – Prípadné zbavenie zodpovednosti v prípade zlyhania, ktorého sa dopustila osoba konajúca na základe poverenia prevádzkovateľa v zmysle článku 29 – Posúdenie výšky náhrady – Neuplatniteľnosť kritérií stanovených na ukladanie správnych pokút v článku 83 – Posúdenie výšky náhrady v prípade viacnásobného porušenia uvedeného nariadenia“

Vo veci C‑741/21,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Landgericht Saarbrücken (Krajinský súd Saarbrücken, Nemecko) z 22. novembra 2021 a doručený Súdnemu dvoru 1. decembra 2021, ktorý súvisí s konaním:

GP

proti

juris GmbH,

SÚDNY DVOR (tretia komora),

v zložení: predsedníčka tretej komory K. Jürimäe, sudcovia N. Piçarra a N. Jääskinen (spravodajca),

generálny advokát: M. Campos Sánchez‑Bordona,

tajomník: A. Calot Escobar,

so zreteľom na písomnú časť konania,

so zreteľom na pripomienky, ktoré predložili:

–        GP, v zastúpení: H. Schöning, Rechtsanwalt,

–        juris GmbH, v zastúpení: E. Brandt a C. Werkmeister, Rechtsanwälte,

–        Írsko, v zastúpení: M. Browne, Chief State Solicitor, A. Joyce a M. Lane, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,

–        Európska komisia, v zastúpení: A. Bouchagiar, M. Heller a H. Kranenborg, splnomocnení zástupcovia,

so zreteľom na rozhodnutie prijaté po vypočutí generálneho advokáta, že vec bude prejednaná bez jeho návrhov,

vyhlásil tento

Rozsudok

1        Návrh na začatie prejudiciálneho konania sa týka výkladu článku 82 ods. 1 a 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), v spojení s článkami 29 a 83 tohto nariadenia, ako aj s ohľadom na jeho odôvodnenia 85 a 146.

2        Tento návrh bol podaný v rámci sporu medzi GP, fyzickou osobou, a juris GmbH, spoločnosťou so sídlom v Nemecku, vo veci náhrady škody, ktorá GP údajne vznikla z dôvodu rôznych spracúvaní jej osobných údajov, ktoré boli vykonané na účely priameho marketingu, a to napriek námietkam, ktoré uvedenej spoločnosti zaslala.

 Právny rámec

3        Odôvodnenia 85, 146 a 148 GDPR znejú takto:

„(85)      Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. …

(146)      Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením. Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia. Týmto nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu. … Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu. …

(148)      S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa… mali ukladať za akékoľvek porušenie tohto nariadenia sankcie vrátane správnych pokút. Náležitým spôsobom by sa mala zohľadniť povaha, závažnosť a trvanie porušenia, jeho úmyselná povaha, opatrenia prijaté na zmiernenie spôsobenej škody, miera zodpovednosti alebo akékoľvek relevantné predchádzajúce porušenia, spôsob, akým sa o porušení dozvedel dozorný orgán, dodržiavanie opatrení uložených voči prevádzkovateľovi alebo sprostredkovateľovi, dodržiavanie kódexu správania a všetky ďalšie priťažujúce alebo poľahčujúce okolnosti. …“

4        Článok 4 tohto nariadenia, nazvaný „Vymedzenie pojmov“, stanovuje:

„Na účely tohto nariadenia:

1.      ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘);…

7.      ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov;

12.      ‚porušenie ochrany osobných údajov‘ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

…“

5        V článku 5 uvedeného nariadenia sa stanovuje súbor zásad týkajúcich sa spracúvania osobných údajov.

6        Článok 21 GRPR, nazvaný „Právo namietať“, ktorý sa nachádza v kapitole III tohto nariadenia týkajúcej sa „práv dotknutej osoby“, v odseku 3 stanovuje:

„Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.“

7        V kapitole IV tohto nariadenia, nazvanej „Prevádzkovateľ a sprostredkovateľ“, sa nachádzajú články 24 až 43.

8        Článok 24 uvedeného nariadenia, nazvaný „Zodpovednosť prevádzkovateľa“, v odsekoch 1 a 2 stanovuje:

„1.      S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

2.      Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.“

9        Článok 25 tohto nariadenia, nazvaný „Špecificky navrhnutá a štandardná ochrana údajov“, v odseku 1 stanovuje:

„So zreteľom na najnovšie poznatky. náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.“

10      Článok 29 GDPR, nazvaný „Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa“, uvádza:

„Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.“

11      Článok 32 tohto nariadenia, nazvaný „Bezpečnosť spracúvania“, stanovuje:

„1.      Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

b)      schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

2.      Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

4.      Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.“

12      Kapitola VIII GDPR s názvom „Prostriedky nápravy, zodpovednosť a sankcie“ obsahuje články 77 až 84 tohto nariadenia.

13      Článok 79 tohto nariadenia, nazvaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, v odseku 1 stanovuje:

„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“

14      Článok 82 uvedeného nariadenia, nazvaný „Právo na náhradu škody a zodpovednosť“, v odsekoch 1 až 3 stanovuje:

„1.      Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2.      Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. …

3.      Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.“

15      Článok 83 GDPR, nazvaný „Všeobecné podmienky ukladania správnych pokút“, v odsekoch 2, 3 a 5 stanovuje:

„2.      … Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)      povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)      úmyselný alebo nedbanlivostný charakter porušenia;

k)      akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

3.      Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

5.      Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 [eur], alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)      základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9;

b)      práva dotknutých osôb podľa článkov 12 až 22;

…“

16      Článok 84 tohto nariadenia, nazvaný „Sankcie“, v odseku 1 stanovuje:

„Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“

 Spor vo veci samej a prejudiciálne otázky

17      Žalobca vo veci samej, fyzická osoba vykonávajúca povolanie nezávislého advokáta, bol zákazníkom spoločnosti juris, ktorá prevádzkuje právnu databázu.

18      Po tom, čo sa žalobca vo veci samej dozvedel, že jeho osobné údaje sú používané spoločnosťou juris aj na účely priameho marketingu, 6. novembra 2018 písomne odvolal všetky súhlasy so zasielaním informácií touto spoločnosťou e‑mailom alebo telefonicky a namietal proti akémukoľvek spracúvaniu týchto údajov, s výnimkou zasielania newsletterov, ktoré si naďalej želal odoberať.

19      Napriek tomuto kroku žalobca vo veci samej dostal v januári 2019 dva reklamné letáky zaslané menovite na jeho pracovnú adresu. V liste zaslanom spoločnosti juris 18. apríla 2019 jej pripomenul svoju predchádzajúcu námietku proti akémukoľvek priamemu marketingu, uviedol, že zhotovením týchto letákov došlo k protiprávnemu spracúvaniu jeho údajov, a požiadal ju o náhradu škody podľa článku 82 GDPR. Po tom, čo 3. mája 2019 dostal nový reklamný leták, zopakoval svoju námietku, ktorá bola tentoraz doručená spoločnosti juris prostredníctvom súdneho exekútora.

20      Každý z uvedených letákov obsahoval „osobný skúšobný kód“, ktorý umožňoval na internetovej stránke spoločnosti juris prístup k objednávkovému formuláru na produkty tejto spoločnosti a ktorý obsahoval údaje týkajúce sa žalobcu vo veci samej, ako to na jeho žiadosť konštatoval notár 7. júna 2019.

21      Žalobca vo veci samej podal žalobu na Landgericht Saarbrücken (Krajinský súd Saarbrücken, Nemecko), ktorý je vnútroštátnym súdom v prejednávanej veci, ktorou sa na základe článku 82 ods. 1 GDPR domáhal náhrady majetkovej ujmy súvisiacej s nákladmi vynaloženými na súdneho exekútora a notára, ako aj nemajetkovej ujmy. Tvrdí najmä, že utrpel stratu kontroly nad svojimi osobnými údajmi z dôvodu ich spracovania spoločnosťou juris napriek svojim námietkam a že na tomto základe môže získať náhradu škody bez toho, aby musel preukázať účinky alebo závažnosť porušenia svojich práv, ktoré sú zaručené článkom 8 Charty základných práv Európskej únie a spresnené v tomto nariadení.

22      Juris na svoju obranu odmieta akúkoľvek zodpovednosť a tvrdí, že zaviedla systém vybavovania námietok proti priamemu marketingu a že oneskorené zohľadnenie námietok žalobcu v konaní vo veci samej je spôsobené buď tým, že niektorý z jej zamestnancov nedodržal dané pokyny, alebo tým, že zohľadnenie týchto námietok by bolo príliš nákladné. Tvrdí, že samotné porušenie povinnosti vyplývajúcej z GDPR, ako je povinnosť vyplývajúca z článku 21 ods. 3 tohto nariadenia, nemôže samo osebe predstavovať „škodu“ v zmysle článku 82 ods. 1 tohto nariadenia.

23      V prvom rade vnútroštátny súd najprv vychádza z predpokladu, že právo na náhradu škody stanovené v článku 82 ods. 1 GDPR podlieha splneniu troch podmienok, ktorými sú porušenie tohto nariadenia, majetková alebo nemajetková ujma, ako aj príčinná súvislosť medzi týmto porušením a touto škodou. Ďalej vzhľadom na tvrdenia žalobcu vo veci samej si kladie otázku, či sa napriek tomu treba domnievať, že porušenie GDPR predstavuje samo osebe nemajetkovú ujmu zakladajúcu nárok na náhradu, najmä ak porušené ustanovenie tohto nariadenia priznáva dotknutej osobe subjektívne právo. Napokon vzhľadom na to, že nemecké právo podmieňuje peňažnú náhradu nemajetkovej ujmy požiadavkou závažného porušenia chránených práv, vnútroštátny súd si kladie otázku, či sa má podobné obmedzenie uplatniť na návrhy na náhradu škody podľa GDPR vzhľadom na údaje týkajúce sa pojmu „škoda“, ktoré sú uvedené v odôvodneniach 85 a 146 tohto nariadenia.

24      V druhom rade sa uvedený súd domnieva, že z článku 82 GDPR vyplýva, že ak bolo konštatované porušenie tohto nariadenia, považuje sa za pripísateľné prevádzkovateľovi, takže prevádzkovateľ nesie zodpovednosť za toto porušenie bez ohľadu na to, či ho zavinil alebo nezavinil. Okrem toho po tom, čo vnútroštátny súd zdôraznil, že odsek 3 tohto článku nespresňuje dôkazné požiadavky, ktoré konkrétne súvisia so zbavením zodpovednosti stanoveným v tomto odseku, uvádza, že ak by sa prevádzkovateľ mohol zbaviť zodpovednosti len všeobecným tvrdením o pochybení jedného zo svojich spolupracovníkov, značne by to obmedzilo potrebný účinok práva na náhradu škody stanoveného v odseku 1 uvedeného článku.

25      V treťom rade vnútroštátny súd chce predovšetkým vedieť, či na účely posúdenia výšky peňažnej náhrady škody, najmä nemajetkovej ujmy, ktorá by mala byť vyplatená na základe článku 82 GDPR, sa môžu alebo dokonca musia aj v rámci uvedeného článku 82 zohľadniť kritériá na rozhodovanie o výške správnych pokút stanovené v článku 83 ods. 2 a 5 uvedeného nariadenia.

26      Vo štvrtom a poslednom rade vnútroštátny súd uvádza, že v spore, ktorý mu bol predložený, boli osobné údaje žalobcu vo veci samej predmetom viacerých spracúvaní na účely marketingu, a to napriek opakovaným námietkam dotknutej osoby. Snaží sa teda určiť, či v prípade, keď existuje takéto množstvo porušení GDPR, je na účely stanovenia výšky náhrady škody prípadne priznanej na základe článku 82 tohto nariadenia potrebné tieto porušenia zohľadniť individuálne alebo celkovo.

27      Za týchto okolností Landgericht Saarbrücken (Krajinský súd Saarbrücken) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1.      Má sa pojem ‚nemajetková ujma‘ uvedený v článku 82 ods. 1 GDPR so zreteľom na odôvodnenie 85 a odôvodnenie 146 tretiu vetu GDPR chápať v tom zmysle, že zahŕňa každý zásah do chráneného právneho postavenia bez ohľadu na iné účinky a závažnosť tohto zásahu?

2.      Je zodpovednosť za škodu podľa článku 82 ods. 3 GDPR vylúčená tým, že porušenie právnych predpisov bolo spôsobené ľudským zlyhaním osoby konajúcej na základe poverenia prevádzkovateľa alebo sprostredkovateľa v zmysle článku 29 GDPR v konkrétnom prípade?

3.      Môže, resp. musí sa pri výpočte náhrady nemajetkovej ujmy vychádzať z kritérií na stanovenie výšky uvedených v článku 83 GDPR, najmä v článku 83 ods. 2 a 5 GDPR?

4.      Má sa náhrada škody určiť pre každé konkrétne porušenie, alebo sa viaceré – prinajmenšom viaceré obdobné – porušenia sankcionujú celkovým odškodnením, ktoré sa neurčí sčítaním jednotlivých súm, ale celkovým posúdením?“

 O prejudiciálnych otázkach

 prvej otázke

 O prípustnosti

28      Na úvod juris v podstate tvrdí, že prvá otázka je neprípustná v rozsahu, v akom sa týka určenia, či vznik práva na náhradu škody stanoveného v článku 82 GDPR podlieha požiadavke, aby škoda uvádzaná dotknutou osobou, ako je definovaná v článku 4 bode 1 tohto nariadenia, dosiahla určitý stupeň závažnosti. Táto otázka je na účely rozhodnutia sporu vo veci samej irelevantná z dôvodu, že škoda, ktorej sa dovoláva žalobca vo veci samej, t. j. straty kontroly nad svojimi osobnými údajmi, nevznikla, keďže tieto údaje boli spracúvané zákonne ako súčasť zmluvného vzťahu medzi stranami tohto sporu.

29      V tejto súvislosti treba pripomenúť, že prináleží len vnútroštátnemu súdu, ktorému bol spor predložený a ktorý musí niesť zodpovednosť za prijaté súdne rozhodnutie, aby s prihliadnutím na konkrétne okolnosti veci posúdil nevyhnutnosť prejudiciálneho rozhodnutia na vydanie svojho rozsudku, ako aj relevantnosť otázok, ktoré predkladá Súdnemu dvoru a vo vzťahu ku ktorým platí domnienka relevantnosti. Preto, pokiaľ sa položená otázka týka výkladu alebo platnosti právneho predpisu Únie, Súdny dvor je v zásade povinný rozhodnúť okrem prípadu, ak je zjavné, že požadovaný výklad nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými a právnymi podkladmi potrebnými na užitočnú odpoveď na uvedenú otázku [rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma súvisiaca so spracovaním osobných údajov), C‑300/21, EU:C:2023:370, bod 23 a citovaná judikatúra].

30      V prejednávanej veci sa prvá otázka týka podmienok vyžadovaných na uplatnenie práva na náhradu škody stanoveného v článku 82 GDPR. Okrem toho nie je zjavné, že by požadovaný výklad nijako nesúvisel so sporom vo veci samej alebo že by nastolený problém mal hypotetickú povahu. Na jednej strane sa totiž tento spor týka návrhu na náhradu škody, na ktorý sa vzťahuje režim ochrany osobných údajov zavedený GDPR. Na druhej strane táto otázka v podstate smeruje k určeniu, či je na účely uplatnenia pravidiel zodpovednosti stanovených v tomto nariadení potrebné nielen to, aby existovala nemajetková ujma odlišná od porušenia uvedeného nariadenia, ale aj to, aby táto škoda presiahla určitú hranicu závažnosti.

31      Prvá otázka je teda prípustná.

 O veci samej

32      Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že porušenie ustanovení tohto nariadenia, ktoré priznávajú práva dotknutej osobe, samo osebe postačuje na to, aby predstavovalo „nemajetkovú ujmu“ v zmysle tohto ustanovenia, bez ohľadu na stupeň závažnosti ujmy, ktorú táto osoba utrpela.

33      Na úvod je potrebné pripomenúť, že podľa článku 82 ods. 1 GDPR „každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa“.

34      Súdny dvor už vyložil článok 82 ods. 1 GDPR v tom zmysle, že samotné porušenie tohto nariadenia nestačí na priznanie práva na náhradu škody, keďže existencia majetkovej alebo nemajetkovej „ujmy“ alebo „škody“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v článku 82 ods. 1, rovnako ako aj existencia porušenia tohto nariadenia a príčinnej súvislosti medzi touto ujmou a týmto porušením, pričom tieto tri podmienky sú kumulatívne (pozri v tomto zmysle rozsudok z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 58 a citovanú judikatúru).

35      Osoba, ktorá sa domáha náhrady nemajetkovej ujmy na základe tohto ustanovenia, je povinná preukázať nielen porušenie ustanovení tohto nariadenia, ale aj to, že toto porušenie jej spôsobilo takúto ujmu (pozri v tomto zmysle rozsudok z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, body 60 a 61, ako aj citovanú judikatúru).

36      V tejto súvislosti treba uviesť, že Súdny dvor vyložil článok 82 ods. 1 GDPR v tom zmysle, že bráni vnútroštátnej norme alebo praxi, ktoré podmieňujú náhradu nemajetkovej ujmy v zmysle tohto ustanovenia tým, že ujma spôsobená dotknutej osobe dosiahla určitý stupeň závažnosti, pričom zdôraznil, že uvedená osoba je napriek tomu povinná preukázať, že porušenie tohto nariadenia jej spôsobilo takúto nemajetkovú ujmu (pozri v tomto zmysle rozsudok z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, body 59 a 60, ako aj citovanú judikatúru).

37      Aj keby ustanovenie GDPR, ktoré bolo predmetom porušenia, priznávalo práva fyzickým osobám, takéto porušenie nemôže samo osebe predstavovať „nemajetkovú ujmu“ v zmysle tohto nariadenia.

38      Z článku 79 ods. 1 GDPR síce vyplýva, že každá dotknutá osoba má právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo prípadnému sprostredkovateľovi, ak sa domnieva, že „v dôsledku spracúvania jej osobných údajov v rozpore s [uvedeným] nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení“.

39      Toto ustanovenie sa však obmedzuje na to, že priznáva právo podať opravný prostriedok osobe, ktorá sa považuje za poškodenú v dôsledku porušenia práv, ktoré jej priznáva GDPR, pričom túto osobu nezbavuje povinnosti preukázať, že skutočne utrpela majetkovú alebo nemajetkovú ujmu, ktorá jej vyplýva z článku 82 ods. 1 tohto nariadenia.

40      Z toho vyplýva, že porušenie ustanovení GDPR, ktoré priznávajú práva dotknutej osobe, samo osebe nepostačuje na založenie hmotného práva na náhradu škody na základe tohto nariadenia, ktoré vyžaduje, aby boli splnené aj ďalšie dve podmienky tohto práva uvedené v bode 34 tohto rozsudku.

41      V prejednávanej veci sa žalobca vo veci samej domáha na základe nariadenia GDPR náhrady nemajetkovej ujmy, konkrétne straty kontroly nad svojimi osobnými údajmi, ktoré boli predmetom spracúvaní napriek jeho námietke, bez toho, aby musel preukázať, že táto ujma prekročila určitú hranicu závažnosti.

42      V tejto súvislosti treba uviesť, že odôvodnenie 85 GDPR výslovne uvádza „stratu kontroly“ medzi škodami, ktoré môžu vzniknúť porušením ochrany osobných údajov. Okrem toho Súdny dvor rozhodol, že strata kontroly nad takýmito údajmi, a to aj počas krátkeho časového obdobia, môže predstavovať „nemajetkovú ujmu“ v zmysle článku 82 ods. 1 tohto nariadenia, ktorá zakladá nárok na náhradu škody, pokiaľ dotknutá osoba preukáže, že takúto ujmu, hoci len minimálnu, skutočne utrpela (pozri v tomto zmysle rozsudok z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 66 a citovanú judikatúru).

43      Vzhľadom na vyššie uvedené dôvody treba na prvú otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že porušenie ustanovení tohto nariadenia, ktoré priznávajú práva dotknutej osobe, samo osebe nepostačuje na to, aby predstavovalo „nemajetkovú ujmu“ v zmysle tohto ustanovenia, bez ohľadu na stupeň závažnosti ujmy, ktorú táto osoba utrpela.

 druhej otázke

44      Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 82 GDPR vykladať v tom zmysle, že na to, aby bol prevádzkovateľ zbavený svojej zodpovednosti podľa odseku 3 uvedeného článku, stačí, aby sa odvolal na skutočnosť, že predmetná škoda bola spôsobená zlyhaním osoby konajúcej na základe jeho poverenia v zmysle článku 29 tohto nariadenia.

45      V tejto súvislosti treba pripomenúť, že článok 82 GDPR v odseku 2 stanovuje, že každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením, a že odsek 3 tohto článku stanovuje, že prevádzkovateľ je zbavený takejto zodpovednosti podľa toto odseku 2, ak preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

46      Súdny dvor už konštatoval, že z kombinovanej analýzy odsekov 2 a 3 článku 82 vyplýva, že tento článok stanovuje režim zodpovednosti za zavinenie, v ktorom sa predpokladá, že prevádzkovateľ sa podieľal na spracúvaní, ktoré predstavuje porušenie GDPR, na ktoré sa vzťahuje, takže dôkazné bremeno nenesie osoba, ktorá utrpela škodu, ale prevádzkovateľ (pozri v tomto zmysle rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 92 až 94).

47      Pokiaľ ide o otázku, či prevádzkovateľ môže byť podľa článku 82 ods. 3 GDPR zbavený svojej zodpovednosti len z dôvodu, že táto škoda bola spôsobená pochybením osoby konajúcej na základe jeho poverenia v zmysle článku 29 tohto nariadenia, na jednej strane z článku 29 vyplýva, že osoby konajúce na základe poverenia prevádzkovateľa, ako sú jeho zamestnanci, ktorí majú prístup k osobným údajom, môžu v zásade tieto údaje spracúvať len na základe pokynov uvedeného prevádzkovateľa a v súlade s nimi (pozri v tomto zmysle rozsudok z 22. júna 2023, Pankki S, C‑579/21, EU:C:2023:501, body 73 a 74).

48      Na druhej strane článok 32 ods. 4 GDPR týkajúci sa bezpečnosti spracúvania osobných údajov stanovuje, že prevádzkovateľ podnikne kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe jeho poverenia, ktorá má prístup k takýmto údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

49      Zamestnanec prevádzkovateľa je pritom fyzická osoba konajúca na základe poverenia tohto prevádzkovateľa. Uvedenému prevádzkovateľovi prináleží, aby sa ubezpečil, že jeho pokyny sú jeho zamestnancami správne uplatňované. Prevádzkovateľ sa preto nemôže zbaviť svojej zodpovednosti podľa článku 82 ods. 3 GDPR len tým, že sa odvolá na nedbanlivosť alebo nesplnenie povinnosti zo strany osoby konajúcej na základe jeho poverenia.

50      V prejednávanej veci juris vo svojich písomných pripomienkach predložených Súdnemu dvoru v podstate tvrdí, že prevádzkovateľ by mal byť zbavený zodpovednosti podľa článku 82 ods. 3 GDPR, pokiaľ porušenie, ktoré spôsobilo dotknutú škodu, možno pripísať konaniu jedného zo zamestnancov, ktorý nedodržal pokyny uvedeného prevádzkovateľa, a za predpokladu, že toto porušenie nie je spôsobené nesplnením povinností prevádzkovateľa stanovených najmä v článkoch 24, 25 a 32 tohto nariadenia.

51      V tejto súvislosti treba zdôrazniť, že okolnosti zbavenia zodpovednosti stanovené v článku 82 ods. 3 GDPR musia byť prísne obmedzené na prípady, keď je prevádzkovateľ schopný preukázať, že mu nemožno pripísať zodpovednosť za škodu (pozri v tomto zmysle rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, EU:C:2023:986, bod 70). V prípade porušenia ochrany osobných údajov, ktorého sa dopustila osoba konajúca na základe poverenia prevádzkovateľa, sa teda uvedený prevádzkovateľ môže takto zbaviť zodpovednosti len vtedy, ak preukáže, že neexistuje žiadna príčinná súvislosť medzi prípadným porušením povinnosti ochrany údajov, ktorú má podľa článkov 5, 24 a 32 tohto nariadenia, a škodou spôsobenou dotknutej osobe (pozri analogicky rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C–340/21, EU:C:2023:986, bod 72).

52      Preto na to, aby mohol byť prevádzkovateľ zbavený svojej zodpovednosti podľa článku 82 ods. 3 GDPR, nemôže postačovať, aby preukázal, že dal pokyny osobám konajúcim na základe jeho poverenia v zmysle článku 29 tohto nariadenia a že jedna z uvedených osôb si nesplnila svoju povinnosť riadiť sa týmito pokynmi, takže prispela k vzniku predmetnej škody.

53      Ak by sa totiž pripustilo, že prevádzkovateľ sa môže zbaviť svojej zodpovednosti len tým, že sa odvolá na zlyhanie osoby konajúcej na základe jeho poverenia, narušilo by to potrebný účinok práva na náhradu škody zakotveného v článku 82 ods. 1 GDPR, ako to v podstate uviedol vnútroštátny súd, čo by nebolo v súlade s cieľom tohto nariadenia, ktorým je zabezpečiť vysokú úroveň ochrany fyzických osôb pri spracúvaní ich osobných údajov.

54      Vzhľadom na uvedené treba na druhú otázku odpovedať tak, že článok 82 GDPR sa má vykladať v tom zmysle, že na to, aby sa prevádzkovateľ zbavil zodpovednosti podľa odseku 3 uvedeného článku, nepostačuje, aby sa odvolal na skutočnosť, že predmetná škoda bola spôsobená zlyhaním osoby konajúcej na základe jeho poverenia v zmysle článku 29 tohto nariadenia.

 tretejštvrtej otázke

55      Svojou treťou a štvrtou otázkou, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa má článok 82 ods. 1 GDPR vykladať v tom zmysle, že na určenie výšky náhrady škody splatnej z dôvodu náhrady škody na základe tohto ustanovenia je potrebné jednak mutatis mutandis uplatniť kritériá na stanovenie výšky správnych pokút, ktoré sú uvedené v článku 83 tohto nariadenia, a jednak zohľadniť skutočnosť, že osoba, ktorá žiada o náhradu škody, je dotknutá viacerými porušeniami uvedeného nariadenia týkajúcimi sa tej istej operácie spracúvania údajov.

56      V prvom rade, pokiaľ ide o prípadné zohľadnenie kritérií uvedených v článku 83 GDPR na účely posúdenia výšky náhrady škody splatnej podľa článku 82 tohto nariadenia, je nesporné, že tieto dve ustanovenia sledujú odlišné ciele. Zatiaľ čo článok 83 tohto nariadenia stanovuje „všeobecné podmienky ukladania správnych pokút“, článok 82 uvedeného nariadenia upravuje „právo na náhradu škody a zodpovednosť“.

57      Z toho vyplýva, že kritériá stanovené v článku 83 GDPR na účely určenia výšky správnych pokút, ktoré sú tiež spomenuté v odôvodnení 148 tohto nariadenia, nemožno použiť na posúdenie výšky náhrady škody podľa článku 82 tohto nariadenia.

58      Ako už Súdny dvor zdôraznil, GDPR neobsahuje ustanovenie týkajúce sa posúdenia náhrady škody splatnej na základe práva na náhradu škody zakotveného v článku 82 tohto nariadenia. Vnútroštátne súdy preto musia na účely tohto posúdenia na základe zásady procesnej autonómie uplatniť vnútorné pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady, a to pri dodržaní zásad ekvivalencie a efektivity práva Únie, ako ich definuje ustálená judikatúra Súdneho dvora (pozri v tomto zmysle rozsudky z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 83 a 101, ako aj citovanú judikatúru, a z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 53).

59      V tejto súvislosti Súdny dvor zdôraznil, že článok 82 GDPR nemá sankčnú, ale kompenzačnú funkciu na rozdiel od iných ustanovení tohto nariadenia nachádzajúcich sa tiež v kapitole VIII, a to článkov 83 a 84, ktoré majú v podstate sankčný účel, pretože umožňujú ukladať správne pokuty, ako aj iné sankcie. Vzťah medzi pravidlami stanovenými v článku 82 a pravidlami stanovenými v článkoch 83 a 84 preukazuje, že medzi týmito dvoma kategóriami ustanovení existuje rozdiel, ale zároveň sa vzájomne dopĺňajú, pokiaľ ide o motiváciu dodržiavať GDPR, pričom treba poznamenať, že právo každej osoby domáhať sa náhrady škody posilňuje vykonateľný charakter pravidiel ochrany stanovených týmto nariadením a môže odradiť od opakovaného protiprávneho konania (rozsudok z 25. januára 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, bod 47 a citovaná judikatúra).

60      Okrem toho zo skutočnosti, že právo na náhradu škody stanovené v článku 82 ods. 1 GDPR nemá odstrašujúcu či dokonca sankčnú funkciu, Súdny dvor vyvodil, že závažnosť porušenia tohto nariadenia, ktoré spôsobilo údajnú majetkovú alebo nemajetkovú ujmu, nemôže mať vplyv na výšku náhrady škody splatnej na základe tohto ustanovenia. Z toho vyplýva, že táto suma nemôže byť stanovená na úrovni presahujúcej úplnú náhradu tejto ujmy (pozri v tomto zmysle rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 86).

61      Vzhľadom na odôvodnenie 146 šiestu vetu GDPR, podľa ktorej má tento nástroj zabezpečiť „úplnú a účinnú náhradu [za utrpenú škodu]“, Súdny dvor uviedol, že vzhľadom na kompenzačnú funkciu práva na náhradu škody, ktoré je stanovené v článku 82 tohto nariadenia, peňažná náhrada založená na tomto článku sa musí považovať za „úplnú a účinnú“, ak umožňuje v celom rozsahu kompenzovať škodu, ktorá bola konkrétne utrpená v dôsledku porušenia tohto nariadenia, bez toho, aby bolo na účely takejto úplnej kompenzácie potrebné uložiť povinnosť zaplatiť sankčnú náhradu škody (rozsudok z 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 84 a citovaná judikatúra).

62      Na základe rozdielov v znení a účeloch, ktoré existujú medzi článkom 82 GDPR v spojení s odôvodnením 146 tohto nariadenia a článkom 83 uvedeného nariadenia v spojení s odôvodnením 148 tohto nariadenia, sa tak nemožno domnievať, že kritériá posudzovania stanovené konkrétne v článku 83 sú uplatniteľné mutatis mutandis v rámci článku 82, a to bez ohľadu na skutočnosť, že právne prostriedky stanovené v týchto dvoch ustanoveniach sa skutočne dopĺňajú s cieľom zabezpečiť dodržiavanie toho istého nariadenia.

63      V druhom rade, pokiaľ ide o spôsob, akým majú vnútroštátne súdy posúdiť výšku peňažnej náhrady podľa článku 82 GDPR v prípadoch viacnásobných porušení tohto nariadenia, ktoré sa týkajú tej istej dotknutej osoby, treba najprv zdôrazniť – ako je uvedené v bode 58 tohto rozsudku –, že každému členskému štátu prináleží, aby stanovil kritériá umožňujúce určiť výšku tejto náhrady, a to za podmienky dodržania zásad efektivity a ekvivalencie práva Únie.

64      Ďalej vzhľadom na kompenzačnú, a nie sankčnú funkciu článku 82 GDPR, ktorá je uvedená v bodoch 60 a 61 tohto rozsudku, nemôže okolnosť, že prevádzkovateľ sa dopustil viacerých porušení vo vzťahu k tej istej dotknutej osobe, predstavovať relevantné kritérium na účely posúdenia náhrady škody, ktorá sa má tejto osobe priznať podľa článku 82. Pri stanovení výšky peňažnej náhrady, ktorá má byť vyplatená ako kompenzácia, sa totiž musí zohľadniť len škoda, ktorú táto osoba skutočne utrpela.

65      V dôsledku toho treba na tretiu a štvrtú otázku odpovedať tak, že článok 82 ods. 1 GDPR sa má vykladať v tom zmysle, že na určenie výšky náhrady škody splatnej z dôvodu náhrady škody na základe tohto ustanovenia nie je potrebné mutatis mutandis uplatniť kritériá na stanovenie výšky správnych pokút, ktoré sú uvedené v článku 83 tohto nariadenia, ani zohľadniť skutočnosť, že osoba, ktorá žiada o náhradu škody, je dotknutá viacerými porušeniami uvedeného nariadenia týkajúcimi sa tej istej operácie spracúvania údajov.

 O trovách

66      Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (tretia komora) rozhodol takto:

1.      Článok 82 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že:

porušenie ustanovení tohto nariadenia, ktoré priznávajú práva dotknutej osobe, samo osebe nepostačuje na to, aby predstavovalo „nemajetkovú ujmu“ v zmysle tohto ustanovenia, bez ohľadu na stupeň závažnosti ujmy, ktorú táto osoba utrpela.

2.      Článok 82 nariadenia 2016/679

sa má vykladať v tom zmysle, že:

na to, aby sa prevádzkovateľ zbavil zodpovednosti podľa odseku 3 uvedeného článku, nepostačuje, aby sa odvolal na skutočnosť, že predmetná škoda bola spôsobená zlyhaním osoby konajúcej na základe jeho poverenia v zmysle článku 29 tohto nariadenia.

3.      Článok 82 ods. 1 nariadenia 2016/679

sa má vykladať v tom zmysle, že:

na určenie výšky náhrady škody splatnej z dôvodu náhrady škody na základe tohto ustanovenia nie je potrebné mutatis  mutandis uplatniť kritériá na stanovenie výšky správnych pokút, ktoré sú uvedené v článku 83 tohto nariadenia, ani zohľadniť skutočnosť, že osoba, ktorá žiada o náhradu škody, je dotknutá viacerými porušeniami uvedeného nariadenia týkajúcimi sa tej istej operácie spracúvania údajov.

Podpisy

*      Jazyk konania: nemčina.