STANOVISKO GENERÁLNÍHO ADVOKÁTA
MANUELA CAMPOS SÁNCHEZ-BORDONY
přednesené dne 6. října 2022(1)
Věc C‑300/21
UI
proti
Österreichische Post AG
[žádost o rozhodnutí o předběžné otázce podaná Oberster Gerichtshof (Nejvyšší soud, Rakousko)]
„Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Nehmotná újma způsobená protiprávním zpracováním údajů – Podmínky vzniku nároku na náhradu újmy – Újma nad určitou hranicí závažnosti“
1. Nařízení (EU) 2016/679(2) přiznává každé osobě, která utrpěla hmotnou nebo nehmotnou újmu v důsledku porušení jeho ustanovení, právo obdržet od správce nebo zpracovatele náhradu.
2. Možnost domáhat se tohoto práva soudní cestou již existovala v předchozí právní úpravě (článek 23 směrnice 95/46/ES)(3), ačkoli byla využívána jen zřídka(4). Pokud se nemýlím, Soudní dvůr konkrétně tento článek nevyložil.
3. V rámci GDPR získaly žaloby na náhradu újmy na významu(5). Jejich nárůst je patrný u soudů členských státůodráží se v příslušných žádostech o rozhodnutí o předběžné otázce(6). V rámci této žádosti o rozhodnutí o předběžné otázce Oberster Gerichtshof (Nejvyšší soud, Rakousko) žádá Soudní dvůr, aby upřesnil některé společné rysy režimu občanskoprávní odpovědnosti zavedeného GDPR.
I. Právní rámec. GDPR
4. Pro tento spor jsou relevantní zejména body 75, 85 a 146 odůvodnění nařízení GDPR.
5. Článek 6 („Zákonnost zpracování“) zní takto:
„1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
[…]“
6. Článek 79 („Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“) odst. 1 stanoví:
„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením“.
7. Článek 82 („Právo na náhradu újmy a odpovědnost“) odst. 1 stanoví:
„Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy“.
II. Skutkový stav, spor a předběžné otázky
8. Společnost Österreichische Post AG, která vykonává činnost zprostředkovatele adres, shromažďuje od roku 2017 informace týkající se stranických preferencí rakouského obyvatelstva. Pomocí algoritmu definovala na základě určitých sociodemografických charakteristik „adresy cílových skupin“.
9. UI je fyzická osoba, u níž Österreichische Post extrapolovala pomocí statistického výpočtu její zařazení v rámci možných cílových skupin pro volební reklamu různých politických stran. Tato extrapolace ukázala, že UI má ve vztahu k jedné z těchto stran vysokou preferenci. Tyto údaje nebyly předány třetím osobám.
10. UI, který neudělil souhlas se zpracováním svých osobních údajů, byl rozhořčen tím, že jsou uchovávány údaje týkající se jeho stranických preferencí, a rozhněvala a urazila ho preference, kterou mu přisoudila společnost Österreichische Post.
11. UI požadoval náhradu ve výši 1 000 eur za nehmotnou újmu (duševní útrapy). Tvrdí, že politická preference, která mu byla přiřazena, ho uráží, zahanbuje a poškozuje jeho dobré jméno. Dodává, že jednání Österreichische Post u něj vyvolalo velké pohoršení a ztrátu důvěry, jakož i pocit veřejného zostuzení.
12. Soud prvního stupně zamítl žalobu UI na náhradu újmy(7).
13. Odvolací soud potvrdil rozsudek soudu prvního stupně. Uvedl, že přiznání náhrady nehmotné újmy není automaticky spojeno s každým porušením GDPR a že:
– vzhledem k tomu, že rakouské právo se použije jako doplnění k GDPR, lze nahradit pouze újmu, která přesahuje rámec rozhořčení a citové újmy („Gefühlsschaden“) způsobené porušením práv žalobce;
– je třeba zachovat zásadu, z níž vychází rakouské právo, že každý je povinen strpět pouhou nevoli a pouhé pocity nelibosti, aniž by to mělo za následek náhradu újmy. Jinými slovy, právo na náhradu újmy vyžaduje určitou relevanci údajné újmy.
14. Proti rozsudku odvolacího soudu byl podán opravný prostředek k Oberster Gerichtshof (Nejvyšší soud), který předkládá Soudnímu dvoru následující předběžné otázky:
„1) Vyžaduje přiznání náhrady újmy podle článku 82 GDPR […] kromě porušení ustanovení GDPR rovněž, aby žalobce utrpěl újmu, nebo k přiznání náhrady újmy postačuje již porušení ustanovení GDPR jako takové?
2) Vztahují se na stanovení výše náhrady újmy kromě zásad efektivity a rovnocennosti další požadavky unijního práva?
3) Je s unijním právem slučitelný názor, že podmínkou pro přiznání náhrady nehmotné újmy je, že nastal důsledek nebo následek protiprávního jednání, který má přinejmenším určitou závažnost a překračuje rámec rozhořčení vyvolaného protiprávním jednáním?“
III. Řízení
15. Žádost o rozhodnutí o předběžné otázce byla zapsána do rejstříku kanceláře Soudního dvora dne 12. května 2021.
16. Písemná vyjádření předložili UI, Österreichische Post, rakouská, česká a irská vláda, jakož i Evropská komise. Konání jednání nebylo považováno za nezbytné.
IV. Analýza
A. Úvodní poznámky
1. Přípustnost
17. UI tvrdí, že první předběžná otázka není pro spor relevantní, neboť jeho žaloba nebyla založena na „prostém“ porušení pravidla GDPR, ale na jeho důsledcích nebo účincích.
18. Námitku nepřípustnosti je třeba zamítnout. I pokud se připustí, že zpracováním údajů bylo porušeno GDPR, aniž byla UI způsobena újma, mohl by mít UI nárok na náhradu podle článku 82 GDPR, pokud, jak se táže předkládající soud, bude potvrzeno, že prosté porušení pravidla týkajícího se zpracování zakládá takový nárok.
19. Podle UI by Soudní dvůr mohl považovat za nepřípustnou i druhou předběžnou otázku, protože je příliš otevřená z hlediska svého obsahu a příliš omezená ve vztahu k požadavkům unijního práva, aniž by to konkrétně rozvedl.
20. Ani tato námitka, ačkoli je opodstatněnější než předchozí, nemůže obstát. Je legitimní, že se soud táže, zda kromě dodržování zásad rovnocennosti a efektivity musí při posouzení újmy posoudit i další požadavky stanovené unijním právem.
2. Vymezení předmětu tohoto stanoviska
21. Článek 82 GDPR se skládá ze šesti odstavců. Předkládající soud neodkazuje na žádný z těchto odstavců konkrétně, ale implicitně se odvolává na první z nich. Neupřesňuje ani pravidlo, jehož porušení by zakládalo nárok na náhradu.
22. Moje stanovisko bude vycházet z těchto předpokladů:
– Zpracování osobních údajů UI bylo provedeno bez vyžádání si jeho souhlasu ve smyslu čl. 6 odst. 1 písm. a) GDPR.
– Právo na náhradu újmy má každá osoba, která utrpěla újmu. V projednávané věci je UI, jako fyzická osoba identifikovaná a dotčená zpracováním, „subjektem údajů“(8).
– GDPR stanoví náhradu hmotné a nehmotné újmy. Nárok UI je omezen na nehmotnou újmu a má peněžitý obsah.
B. První předběžná otázka
23. Svou první otázkou se předkládající soud ve stručnosti táže, zda prosté porušení ustanovení GDPR zakládá nárok na náhradu újmy bez ohledu na to, zda byla újma způsobena.
24. Ze stanoviska předkládajícího soudu a vyjádření předložených Soudnímu dvoru lze dovodit, že otázka připouští i jiný, poněkud složitější výklad: otázkou je, zda porušení ustanovení GDPR nutně vede ke vzniku újmy, která zakládá právo na náhradu újmy, aniž by žalovaný měl možnost prokázat opak.
25. Mezi těmito dvěma přístupy je určitý (teoretický) rozdíl: v prvním případě není újma předpokladem pro náhradu újmy, ve druhém naopak ano. V praxi v obou případech odpadá požadavek, aby žalobce prokázal vznik újmy; žalobce nemusí prokazovat ani příčinnou souvislost mezi protiprávním jednáním a touto újmou(9).
26. V každém případě si podle mého názoru ani jeden z obou výkladů první otázky nezaslouží kladnou odpověď. O obou budu hovořit samostatně.
1. Náhrada újmy bez vzniku újmy?
27. Tvrzení, že existuje právo na náhradu újmy, i když porušením GDPR nevznikla subjektu údajů újma, vyvolává zjevné obtíže, počínaje tou týkající se znění čl. 82 odst. 1 tohoto nařízení.
28. Podle tohoto ustanovení se náhrada újmy(10) přiznává právě proto, že došlo k předchozí újmě. Je tedy jednoznačně nutné, aby fyzická osoba utrpěla újmu v důsledku porušení GDPR.
29. Výklad, který automaticky spojuje pojem „porušení“ s pojmem „náhrada“, aniž by nastala újma, tedy neodpovídá znění článku 82 GDPR. Neodpovídá ani hlavnímu cíli občanskoprávní odpovědnosti zavedené GDPR, kterým je poskytnout zadostiučinění subjektu údajů, a to právě prostřednictvím „plné a účinné“ náhrady újmy, kterou utrpěl(11).
30. V případě neexistence újmy by náhrada újmy již neplnila funkci kompenzace nepříznivých důsledků, které porušení způsobilo, ale jinou funkci, která by se blížila sankční funkci.
31. Je však pravda, že právní systém členského státu může stanovit zaplacení represivní náhrady újmy(12). Tím se rozumí uložení povinnosti zaplatit vysokou částku, která přesahuje rámec náhrady újmy.
32. Represivní náhrada újmy obecně zohledňuje předchozí existenci újmy. Při zohlednění tohoto výchozího bodu jsou však její finanční důsledky odděleny od výše náhrady přizpůsobené této újmě.
33. Není nicméně zcela nepředstavitelné, že by se v případě přiznání represivní náhrady újmy k újmě nepřihlíželo nebo že by byla považována za irelevantní pro uspokojení žalobce.
34. Odpověď na první otázku vyžaduje, abych analyzoval, jak tento typ náhrady zapadá do GDPR, zejména vzhledem k tomu, že se na něj odvolává předkládací rozhodnutí a vyjádření účastníků řízení a zúčastněných v řízení o předběžné otázce.
2. Represivní náhrada újmy?
a) Doslovný výklad
35. Ke klasické funkci občanskoprávní odpovědnosti lze přidat další „represivní“ nebo „exemplární“ funkci, kdy, jak jsem již popsal, se výše náhrady újmy nerovná utrpěné újmě, ale je vyšší nebo je dokonce jejím násobkem.
36. Unijní právo v zásadě nebrání takové náhradě újmy v případě porušení unijních pravidel, pokud ji lze přiznat v rámci obdobných žalob založených na vnitrostátním právu(13).
37. Represivní náhrada újmy má odrazující účel. O stejný účel může jít v případě, kdy jsou členské státy v případě porušení směrnice povinny přijmout opatření, která mají mít „skutečně odrazující účinek“(14). Některé směrnice výslovně stanoví, že náhrada újmy, chápaná jako sankce, má mít odrazující účinek(15).
38. Na druhou stranu v jiných textech normotvůrce uvádí, že cílem směrnice „není zavést povinnost stanovit náhradu škody jako trest“(16); nebo že se členské státy musí při provádění směrnice tohoto typu náhrady vyvarovat(17). V unijním právu je přímé uložení tzv. „represivní náhrady“ výjimečné(18).
39. GDPR neobsahuje žádnou zmínku o sankční povaze náhrady hmotné nebo nehmotné újmy, ani o tom, že by výpočet její výše měl tuto povahu odrážet, nebo že by tato náhrada měla mít odrazující účinek (tuto vlastnost však přisuzuje trestním sankcím a správním pokutám)(19). Z doslovného hlediska tedy neumožňuje náhradu újmy represivní povahy.
b) Výklad s ohledem na historii vzniku tohoto ustanovení
40. Článek 82 odst. 1 GDPR vychází z čl. 23 odst. 1 směrnice 95/46. Tento článek byl součástí systému, jehož efektivita se opírala o veřejnoprávní a soukromoprávní prosazování(20), ale v němž se náhrada (soukromá) a sankce (veřejná) nezaměňovaly(21). Za dohled nad dodržováním pravidel odpovídaly především nezávislé orgány dozoru(22).
41. GDPR tento model přebírá, ale posiluje nástroje k zajištění efektivity svých nyní podrobnějších ustanovení a nyní intenzivnějších reakcí na jejich porušení nebo hrozbu jejich porušení:
– Zaprvé rozšiřuje funkce dozorových úřadů, které jsou mimo jiné odpovědné za ukládání harmonizovaných sankcí stanovených v samotném GDPR(23). Zdůrazňuje tak složku veřejnoprávního prosazování pravidel.
– Zadruhé umožňuje jednotlivcům hájit práva, která jim GDPR přiznává(24), a to buď aktivací činnosti dozorových úřadů (článek 77) nebo podáním žaloby (články 79 a 82). Kromě toho článek 80 opravňuje některé subjekty k podávání zástupných žalob(25), což usnadňuje ochranu obecných zájmů v mezích možností jednotlivců(26).
42. Vývoj jednotného režimu občanskoprávní odpovědnosti za škodu v GDPR byl omezený. Aspekty, které mohly být podle směrnice 95/46 sporné, jako například zahrnutí nehmotné újmy mezi typ újmy, kterou lze nahradit(27), byly brzy vyjasněny. Vyjednávání se zaměřilo na další aspekty tohoto režimu(28).
43. V legislativních pracích jsem nenašel žádnou diskusi o možné represivní funkci občanskoprávní odpovědnosti stanovené v GDPR. Nelze tedy vyvozovat, že má své místo v článku 82, když o této otázce neproběhla žádná debata, zejména když proběhla debata o jejím začlenění do jiných textů unijního práva(29).
44. Za těchto podmínek mám za to, že žaloba podle čl. 82 odst. 1 GDPR byla koncipována a upravena v rámci typických funkcí občanskoprávní odpovědnosti: funkce náhrady újmy (pro poškozeného) a sekundárně funkce předcházení budoucí újmě (pro porušovatele práv).
c) Kontextuální výklad
45. Jak jsem již uvedl, článek 82 GDPR je součástí systému záruk efektivity pravidel, v němž soukromá iniciativa doplňuje veřejnoprávní prosazování. K této efektivitě přispívá náhrada újmy ze strany správců nebo zpracovatelů.
46. Povinnost nahradit újmu funguje (v ideálním případě) jako pobídka k tomu, aby se v budoucnu postupovalo opatrněji, dodržovala se pravidla a předešlo se další újmě. Tímto způsobem každý jednotlivec tím, že si sám nárokuje náhradu újmy, přispívá k celkové efektivitě pravidel.
47. V tomto rámci jsou kompenzační a represivní funkce odděleny:
– K represivní funkci slouží pokuty, které mohou ukládat dozorové úřady nebo soudy (čl. 83 odst. 1 a 9 GDPR), a další sankce, které státy přijímají podle článku 84 GDPR(30).
– Ke kompenzační funkci slouží podání stížnosti ze strany jednotlivce (článek 77) a soudní řízení (článek 79). Posuzování nároku na náhradu újmy však nepřísluší dozorovým úřadům.
48. Stejně tak je třeba oddělit funkci kompenzace a sankce:
– Při ukládání pokuty a stanovení její výše musí orgán zohlednit faktory uvedené v článku 83 GDPR, které nejsou stanoveny v oblasti občanskoprávní odpovědnosti a které v zásadě nelze přenést do výpočtu náhrady újmy(31).
– Ačkoli je pro odstupňování pokuty rozhodující míra škody, jež byla způsobena dotčeným subjektům údajů(32), při výpočtu výše pokuty není zohledněna případná náhrada újmy, kterou tyto subjekty obdržely(33).
49. Z teoretického hlediska výklad, který v případě neexistence újmy přiznává občanskoprávní odpovědnosti represivní funkci, vytváří riziko, že kompenzační mechanismy se stanou nadbytečnými ve vztahu k sankčním mechanismům.
50. V praxi by snadnost získání „represivního“ zisku formou náhrady újmy mohla vést k tomu, že subjekty údajů dají přednost této cestě před cestou podle článku 77 GDPR. Pokud by se tento přístup rozšířil, připravilo by to dozorové úřady o nástroj (stížnost subjektu údajů), který by jim umožnil zjistit a tedy vyšetřit a sankcionovat případná porušení GDPR, a to na úkor nejvhodnějších nástrojů na ochranu obecného zájmu.
d) Teleologický výklad
51. Cíle GDPR jsou v zásadě dva a jsou uvedeny již v jeho názvu: a) jednak „ochrana fyzických osob v souvislosti se zpracováním osobních údajů“; b) jednak aby tato ochrana byla formulována tak, aby „volný pohyb těchto údajů“ v rámci Unie nebyl zakázán ani omezen(34).
52. Mám za to, že k dosažení těchto cílů GDPR nevyžaduje, aby náhrada újmy byla spojena s prostým porušením pravidla upravujícího zpracování, čímž by občanskoprávní odpovědnosti byla přiznána represivní funkce.
53. Pokud jde o první cíl, k jeho dosažení není nutné výkladem rozšiřovat oblast působnosti článku 82 GDPR na případy, kdy došlo k porušení pravidla, ale nikoli k újmě. Naopak, toto rozšíření by mohlo mít negativní dopad na druhý cíl.
54. Již jsem zdůraznil, že GDPR stanoví několik mechanismů prosazování, které vedle sebe existují a vzájemně se doplňují. Členské státy si pro zajištění ochrany údajů nemusí (ve skutečnosti ani nemohou) vybírat mezi mechanismy kapitoly VIII. V případě porušení, které nevede k újmě, má subjekt údajů stále (přinejmenším) právo podat stížnost u dozorového úřadu podle čl. 77 odst. 1 GDPR.
55. Kromě toho by vyhlídka na získání náhrady bez ohledu na jakoukoli újmu pravděpodobně podnítila občanskoprávní spory s nároky, které by nemusely být vždy oprávněné(35), a v tomto ohledu by mohla odrazovat od činnosti zpracování údajů(36).
3. Domněnka újmy?
56. Některá vyjádření účastníků řízení navrhují jiný výklad první předběžné otázky, než o jakém jsem dosud hovořil. Chápu-li správně jejich postoj(37), zdá se, že tvrdí, že existuje nevyvratitelná domněnka újmy, jakmile dojde k porušení pravidla.
57. Dodávají, že takové porušení nutně znamená ztrátu kontroly nad údaji, což samo o sobě představuje újmu, kterou lze nahradit podle čl. 82 odst. 1 GDPR.
58. Teoreticky taková domněnka neumožňuje obejít se bez újmy, čímž je dodržena typická struktura občanskoprávní odpovědnosti, jakož i doslovné znění ustanovení GDPR. V praxi by však pro žalobce i žalovaného byly důsledky jejího připuštění podobné těm, které vyplývají ze spojení náhrady újmy podle čl. 82 odst. 1 GDPR s prostým porušením pravidla.
59. Opět se uchýlím k obvyklým výkladovým kritériím, abych vysvětlil, proč se mi tento výklad nezdá správný.
a) Doslovný výklad
60. Pokud se normotvůrce v jiných oblastech unijního práva domníval, že porušení pravidla automaticky zakládá právo na náhradu újmy, neváhal tak stanovit(38). Jinak je tomu v případě GDPR, kde sice existují pravidla týkající se dokazování nebo s přímými důsledky pro něj(39), ale neexistuje žádná taková automatická vazba, a to ani přímá, ani prostřednictvím nevyvratitelné domněnky.
61. Odkazy na kontrolu údajů (nebo na ztrátu této kontroly) uvedené v bodech 75(40) a 85(41) odůvodnění GDPR se mi nezdají být nahrazením této neexistence. Kromě toho, že body odůvodnění jako takové nemají žádnou normativní hodnotu, ani jeden z nich nepodporuje tvrzení, že porušení pravidla samo o sobě implikuje újmu, kterou lze nahradit:
– V bodě 75 odůvodnění se jako jedno z možných rizik zpracování uvádí zbavení kontroly nad osobními údaji.
– V bodě 85 odůvodnění se uvádí ztráta kontroly jako jeden z důsledků, které může mít porušení zabezpečení osobních údajů(42).
62. Ztráta kontroly nad údaji nemusí nutně vést k újmě. Tento výraz lze chápat jako jazykový obrat pro označení újmy následující po této ztrátě, pokud taková újma nastane(43).
b) Výklad ve světle legislativní historie
63. Ani analýza legislativní historie nepotvrzuje existenci takové domněnky, která nebyla obsažena ve směrnici 95/46(44) a nestanovily ji ani dokumenty Komise, Evropského parlamentu nebo Rady předcházející přijetí GDPR, které jsem zkoumal.
c) Kontextuální výklad
64. Systém GDPR nabízí prvky, které popírají, že by zahrnoval spornou domněnku, přičemž za referenční bod považuje souhlas subjektu údajů(45). Tento souhlas jako prostředek jeho kontroly nad údaji legitimizuje zpracování údajů na stejné úrovni jako jiné právní základy (článek 6 GDPR)(46).
65. Zákonné zpracování osobních údajů je možné bez souhlasu subjektu údajů, a tedy bez kontroly, kterou představuje udělení nebo neudělení tohoto souhlasu. Její váha v rámci systému v konečném důsledku není absolutní.
66. Kromě toho GDPR stanoví další možnosti výkonu této kontroly: mimo jiné právo na výmaz, které správci ukládá povinnost vymazat příslušné informace „bez zbytečného odkladu“(47).
67. Pro osobu, jejíž údaje jsou zpracovávány, funguje toto právo jako pojistka ochranného režimu: trvá (jako zásadní pravidlo) i v případě, že správce údajů nezískal souhlas subjektu údajů, jakož i v případě, že neexistuje žádný jiný důvod pro legitimizaci zpracování údajů; a nezávisí na tom, zda zpracování údajů způsobí nějakou újmu(48).
d) Teleologický výklad
1) Možnost subjektu údajů kontrolovat své údaje, cíl GDPR?
68. Automatická rovnocennost mezi zpracováním osobních údajů, k němuž nebyl získán souhlas subjektu údajů, a újmou, kterou lze nahradit, předpokládá, že kontrola, jejímž prostředkem je souhlas, představuje hodnotu sama o sobě.
69. Uznávám, že na první pohled tento názor nepostrádá opodstatnění. To, že občané mají mít kontrolu nad svými údaji, je v návrhu Komise uvedeno jako jeden z hlavních důvodů reformy(49). Bod 7 odůvodnění GDPR uvádí, že „fyzické osoby by měly mít možnost kontrolovat své vlastní osobní údaje“.
70. Je pravda, že mimo doktrinální debaty, které tento pojem vyvolal, je při jeho výkladu nutná opatrnost. V GDPR není (ani jsem ji nenašel někde jinde) přesná definice pojmu „kontrola“(50). Tento pojem má přinejmenším dva významy, které se vzájemně nevylučují: jako „moc“ nebo „nadvláda“ a jako „dohled“.
71. Formulace bodu 7 odůvodnění GDPR vyvolává určité nejasnosti, protože se liší podle jazykových verzí(51). Na základě jeho obsahu se domnívám, že GDPR poskytuje subjektu údajů možnosti dohledu a zásahu do operací, které s údaji provádějí jiné osoby, a to jako jeden nástroj (spolu s dalšími) za účelem ochrany těchto údajů.
72. Subjekt údajů sám přispívá k ochraně informací obsažených v údajích a je za ni odpovědný, a to v rozsahu – úrovni a způsobech – stanoveném v GDPR. Rozsah individuální akce je omezený: pokud jde o práva uvedená v GDPR, je omezen na jejich uplatnění za určitých podmínek.
73. Souhlas subjektu údajů jako nejvyšší projev kontroly(52), je pouze jedním z právních základů pro zákonné zpracování, ale není způsobilý zhojit nesplnění ostatních povinností a podmínek, které má správce a zpracovatel.
74. Z GDPR podle mne nelze snadno vyvodit, že jeho cílem je poskytnout subjektu údajů kontrolu nad osobními údaji jako hodnotu samu o sobě. Ani to, že by subjekt údajů měl mít nad těmito údaji co největší možnou kontrolu.
75. Toto konstatování není překvapivé. Zaprvé není zřejmé, že kontrola v jejím významu nadvlády nad údaji je součástí podstatného obsahu základního práva na ochranu osobních údajů(53). Zadruhé chápání tohoto práva jako práva na informační sebeurčení není zdaleka jednotné: článek 8 Listiny tyto výrazy nepoužívá(54).
76. Stejně tak nebyl do konečného znění GDPR zahrnut bod odůvodnění, podle něhož je „právo na ochranu osobních údajů založeno na právu subjektu údajů vykonávat kontrolu nad zpracovávanými osobními údaji“(55).
77. Výše uvedené úvahy, možná příliš abstraktní, mě vedou k tvrzení, že pokud subjekt údajů nedá souhlas se zpracováním a toto zpracování se provádí bez jakéhokoli jiného legitimního právního základu, nemusí být z tohoto důvodu finančně odškodněn z důvodu ztráty kontroly nad svými údaji, jako by tato ztráta sama o sobě implikovala újmu, kterou lze nahradit(56). Zda také utrpěl újmu či nikoli se teprve ukáže (a bude třeba prokázat)(57).
2) Kontrola subjektu údajů v kontextu
78. Konečně se mi zdá vhodné připomenout, že ochrana osobních údajů je uvedena jako cíl GDPR spolu s cílem podporovat volný pohyb údajů(58).
79. Posílení kontroly občanů nad jejich osobními údaji v digitálním prostředí je jedním z uznávaných cílů modernizace režimu ochrany osobních údajů, nejde však o samostatný nebo izolovaný cíl.
80. Komise ve sdělení, které doprovází její návrh GDPR, spojila vysokou úroveň ochrany údajů s důvěrou v online služby, která umožňuje naplnit potenciál digitální ekonomiky a podpořit „hospodářský růst a konkurenceschopnost průmyslu EU“. Obnovení (a zvýšená harmonizace) unijní právní úpravy „posiluje […] rozměr jednotného trhu z hlediska ochrany údajů“(59).
81. Vzhledem ke zjevné hodnotě údajů (osobních i neosobních) pro hospodářský a společenský pokrok v Evropě se GDPR nesnaží zvýšit kontrolu jednotlivce nad informacemi, které se ho týkají, tím, že se jednoduše přizpůsobí jeho preferencím, ale snaží se sladit právo na ochranu osobních údajů se zájmy třetích osob a společnosti(60).
82. Trvám na tom, že cílem GDPR není systematicky omezovat zpracování osobních údajů, ale za splnění přísných podmínek jej legitimizovat. Tomuto účelu slouží především posílení důvěry subjektu údajů, že zpracování bude probíhat v bezpečném kontextu(61), ke kterému sám přispívá. Tímto způsobem je podporována jeho dobrovolná ochota umožnit přístup ke svým údajům a jejich využívání, mimo jiné v oblasti online obchodních transakcí.
C. Druhá předběžná otázka
83. Předkládající soud se táže, zda „se na stanovení výše náhrady újmy [vztahují] kromě zásad efektivity a rovnocennosti další požadavky unijního práva“.
84. Ve skutečnosti se zdá, že zásada rovnocennosti zde nehraje relevantní roli: harmonizovaný režim GDPR se v této oblasti použije přímo a článek 82 GDPR se vztahuje na všechny nehmotné újmy vzniklé v důsledku porušení, ať už pocházejí odkudkoli.
85. Totéž platí pro zásadu efektivity. Jiná věc je, zda by náhrada újmy měla mít v souladu s tím, co je uvedeno v bodě 146 odůvodnění GDPR (subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly), ten či onen obsah.
86. Článek 82 GDPR neukládá žádný jiný požadavek než porušení jeho pravidel, pokud v jeho důsledku vznikne jakékoli osobě hmotná či nehmotná újma. Pokud jde konkrétně o výpočet výše náhrady takové újmy, nestanoví vodítka pro vnitrostátní soudy.
87. V souladu s výše uvedenými dvěma kvalifikačními znaky (plná a účinná) bude náhrada záviset především na nároku, který konkrétní žalobce uplatní.
88. Pokud by tento nárok spočíval v přiznání represivní náhrady(62), postačí odpověď na první otázku: taková náhrada újmy se v nařízení GDPR nevyskytuje. V jeho rámci plní občanskoprávní odpovědnost „soukromoprávní“ kompenzační funkci, zatímco pokuty a trestní sankce mají veřejnoprávní funkci spočívající v odrazení a případně potrestání.
89. Nelze vyloučit, že požadovaná náhrada za nehmotnou újmu zahrnuje i jiné složky než jen peněžní, například uznání, že k porušení došlo, čímž se žalobci dostane určitého morálního zadostiučinění. Rozsudek Soudního dvora ze dne 15. dubna 2021(63), ačkoli byl vydán v jiné oblasti než oblasti ochrany údajů, analogicky umožňuje tomuto nároku vyhovět.
90. V právních řádech, které tak stanoví, je možné, aby režim občanskoprávní odpovědnosti stanovil odsuzující rozsudky formou konstatování práva (zaplacení symbolické náhrady) nebo neutralizace neoprávněné výhody (vzdání se neoprávněně získaného prospěchu).
91. Základem prvního z nich je myšlenka trvání a uplatnění práva („Rechtsfortsetzungsfunktion“) prostřednictvím čistě symbolické náhrady, doplněné o prohlášení, že se žalovaný dopustil protiprávního jednání a porušil práva žalobce. Článek 82 GDPR tuto formu nestanoví ani v přípravných pracích o ní není žádný náznak, což není překvapivé, protože není společná právním systémům členských států(64), ani není prostá kontroverze v systémech, kde existuje(65).
92. Systém GDPR a jeho cíle však nebrání členským státům, které tento prostředek nápravy uznávají, aby jej v případě úplné neexistence újmy poskytly osobám dotčeným porušením předpisu v rámci prostředků nápravy stanovených v článku 79. Pokud naopak žalobce tvrdí, že mu vznikla hmotná újma, je situace upravena článkem 82 GDPR a obtížnost jejího prokázání by neměla vést k symbolické náhradě(66).
93. Pokud jde o odsuzující rozsudky spočívající ve vydání částky získané v důsledku porušení práva, mohou být zaměřeny na zbavení autora protiprávního jednání získaného zisku. Mimo oblast duševního vlastnictví(67) není tento účel běžný v právu odpovědnosti za škodu, které se zaměřuje spíše na ztrátu poškozené osoby než na zisk porušovatele práv(68). GDPR jej do svých článků nezahrnuje.
94. Tyto úvahy předkládám s cílem usnadnit práci předkládajícímu soudu vzhledem k šíři jeho druhé předběžné otázky. Jsem si však vědom toho, že nemusí být moc užitečné pro vyhovění nebo zamítnutí žaloby, v níž žalobce požaduje čistě peněžitou náhradu nehmotné újmy.
D. Třetí předběžná otázka
95. Předkládající soud se táže, zda je podle GDPR přiznání náhrady nehmotné újmy podmíněno „protiprávním jednáním, které má přinejmenším určitou závažnost a překračuje rámec rozhořčení vyvolaného protiprávním jednáním“.
96. Jako kritérium toho, co lze nahradit, žádost o rozhodnutí o předběžné otázce zohledňuje intenzitu prožitku dotčené osoby. Naopak se netáže (alespoň ne přímo), zda je určitá emoce nebo pocit relevantní či irelevantní pro účely čl. 82 odst. 1 GDPR na základě svého obsahu(69).
97. Vyvstává tedy otázka, zda mohou členské státy podmínit náhradu nehmotné újmy rozsahem následků porušení pravidla, tedy zahrnutím pouze těch, které přesahují určitou hranici závažnosti. Otázka se tedy netýká kategorií, které lze nahradit(70), ani výše náhrady, ale existence minimální hranice pro reakci dotčené osoby, pod kterou nebude odškodněna.
98. Článek 82 GDPR neposkytuje přímou odpověď na tuto otázku. Podle mého názoru ji neposkytují ani body 75 a 85 odůvodnění. Oba obsahují demonstrativní výčet forem újmy, který je zakončen otevřenou klauzulí, která patrně omezuje nahraditelnou újmu na „významnou“ újmu.
99. Nedomnívám se však, že by tyto body odůvodnění byly užitečné k vyřešení pochybností předkládajícího soudu:
– První se týká identifikace a posouzení rizik spojených se zpracováním údajů a přijetí opatření k jejich prevenci nebo zmírnění. Ilustruje nežádoucí důsledky jakéhokoli zpracování a některé z nich „zvláště“ zdůrazňuje, pravděpodobně pro jejich závažnější povahu.
– Druhý se týká porušení zabezpečení údajů a upozorňuje, že důsledky takového porušení mohou být značné.
100. Ani z prohlášení v bodě 146 odůvodnění GDPR (odpovědné strany musí nahradit „veškerou újmu“)(71) nevyplývají žádná kritéria, která by umožnila tuto otázku zodpovědět.
101. Převedení tohoto bodu odůvodnění do textu GDPR vedl k tomu, že do něj byla výslovně zahrnuta nehmotná újma, čímž se nahradilo mlčení o této otázce ve směrnici 95/46(72). Nebyla však řešena zejména otázka, která byla nyní předložena Soudnímu dvoru.
102. Tento bod 146 odůvodnění GDPR uvádí, že „výklad pojmu ‚újma‘ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení“.
103. Nejsem si jist, že toto vodítko je v souvislosti s ochranou údajů příliš užitečné, protože Soudní dvůr v době přijetí GDPR v této otázce ještě nerozhodl(73). Mělo-li být odkazováno na rozsudky týkající se občanskoprávní odpovědnosti upravené v jiných směrnicích nebo nařízeních, bylo by vhodné uvést odkaz na analogii.
104. Soudní dvůr ve skutečnosti nevypracoval obecnou definici „újmy“, která by byla použitelná bez rozdílu v jakékoli oblasti(74). Pokud jde o projednávanou věc (nehmotná újma), lze z jeho judikatury vyvodit, že:
– Pokud je cílem (nebo jedním z cílů) vykládaného ustanovení ochrana jednotlivce nebo určité kategorie jednotlivců(75), musí být pojem „újma“ široký.
– V souladu s tímto kritériem se náhrada vztahuje i na nehmotnou újmu, i když není ve vykládaném ustanovení uvedena(76).
105. Judikatura Soudního dvora sice umožňuje tvrdit, že za výše uvedených podmínek existuje v unijním právu zásada náhrady nehmotné újmy, na druhou stranu se však nedomnívám, že z ní lze vyvodit pravidlo, podle něhož lze nahradit každou nehmotnou újmu, ať už je jakkoli závažná.
106. Soudní dvůr uznal slučitelnost vnitrostátní právní úpravy, která pro účely výpočtu náhrady újmy rozlišuje mezi nehmotnou újmou spojenou s újmou na zdraví způsobenou nehodou podle původu nehody, s unijní právní úpravou(77).
107. Rovněž posoudil, které okolnosti mohou vést ke vzniku nehmotné újmy, a to v souladu s ustanovením použitelným v každé jednotlivé věci(78), ale výslovně nerozhodl (pokud se nemýlím) o požadavku závažnosti takové újmy(79).
108. V tomto ohledu se domnívám, že na třetí předběžnou otázku je třeba odpovědět kladně.
109. Na podporu svého postoje připomínám, že cílem GDPR není pouze ochrana základního práva na ochranu osobních údajů(80) a jeho systém záruk zahrnuje mechanismy různých typů(81).
110. V této souvislosti je relevantní Soudnímu dvoru naznačené rozlišení mezi nahraditelnou nehmotnou újmou a jinými nepříznivými důsledky nedodržení právní úpravy, které by pro svůj menší význam nemusely nutně zakládat právo na náhradu újmy.
111. Takové rozdělení je ve vnitrostátních právních řádech vnímáno jako nevyhnutelný důsledek života ve společnosti(82). Soudnímu dvoru není tento rozdíl cizí a připouští jej, když označuje potíže a nepohodlí za samostatnou kategorii ve vztahu k újmám, a to v oblastech, kde se domnívá, že by měly být nahrazeny(83). Nic nebrání jeho převzetí v případě GDPR.
112. Kromě toho se mi právo na náhradu újmy podle čl. 82 odst. 1 GDPR nezdá být vhodným nástrojem k zamezení protiprávního jednání při zpracování osobních údajů, pokud jediné, co v subjektu údajů vyvolá, je hněv nebo rozhořčení.
113. Jakékoli porušení pravidla ochrany osobních údajů zpravidla vyvolá určitou negativní reakci ze strany subjektu údajů. Náhrada odvozená z pouhého pocitu nelibosti nad nerespektováním práva druhou osobou je snadno zaměnitelná s náhradou bez vzniku újmy, kterou jsem již výše odmítl.
114. Z praktického hlediska není efektivní zahrnovat mezi nahraditelné nehmotné újmy pouhá rozhořčení, a to s ohledem na nepříjemnosti a obtíže, které jsou pro žalobce v souvislosti s žalobou(84) a pro žalovaného v souvislosti s obhajobou(85) charakteristické.
115. Odepření práva na náhradu za slabé a pomíjivé pocity nebo emoce(86) spojené s porušením pravidel zpracování nezanechává subjekt údajů zcela bezmocným. Jak jsem již uvedl v části týkající se první otázky, systém GDPR nabízí i jiné prostředky nápravy.
116. Nepochybuji o tom, že hranice mezi pouhým rozhořčením (které nelze nahradit) a skutečnou nehmotnou újmou (kterou lze nahradit) je tenká, a jsem si vědom toho, jak složité je abstraktně vymezit obě kategorie, a konkrétně je aplikovat na spor. Tento obtížný úkol připadá soudům členských států, které ve svých rozhodnutích pravděpodobně nebudou moci ignorovat vnímání přípustné tolerance společností v daném okamžiku, pokud subjektivní důsledky porušení pravidla v této oblasti nepřesáhnou úroveň de minimis(87).
V. Závěry
117. Na základě výše uvedeného navrhuji odpovědět Oberster Gerichtshof (Nejvyšší soudní dvůr, Rakousko) následovně:
„Článek 82 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že
pro přiznání práva na náhradu újmy, kterou osoba utrpěla v důsledku porušení výše uvedeného nařízení, nestačí prosté porušení pravidla samo o sobě, pokud není doprovázeno odpovídající hmotnou nebo nehmotnou újmou;
náhrada nehmotné újmy, kterou upravuje, se nevztahuje na pouhé rozhořčení, které dotčená osoba může pociťovat v důsledku porušení ustanovení nařízení 2016/679. Je na vnitrostátních soudech, aby rozlišily, kdy lze subjektivní pocit nelibosti na základě jeho vlastností považovat v každém jednotlivém případě za nehmotnou újmu.“