GENERALINIO ADVOKATO
MANUEL CAMPOS SÁNCHEZ-BORDONA IŠVADA,
pateikta 2022 m. spalio 6 d.(1)
Byla C‑300/21
UI
prieš
Österreichische Post AG
(Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija) prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Reglamentas (ES) 2016/679 – Neturtinė žala, atsiradusi dėl neteisėto duomenų tvarkymo – Teisės į kompensaciją sąlygos – Žala, viršijanti tam tikrą sunkumo ribą“
1. Reglamente (ES) 2016/679(2) bet kuriam asmeniui, patyrusiam turtinės ar neturtinės žalos dėl šio reglamento nuostatų pažeidimo, suteikiama teisė iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją.
2. Galimybė ginti šią teisę teisme jau buvo numatyta ankstesniame teisės akte (Direktyvos 95/46/EB 23 straipsnyje)(3), nors ja mažai naudotasi(4). Jeigu neklystu, Teisingumo Teismas nėra išaiškinęs šio straipsnio.
3. Taikant BDAR, ieškiniai dėl žalos atlyginimo įgijo daugiau reikšmės(5). Pastebima, kad valstybių narių teismuose jų padaugėjo, – tai matyti ir iš atitinkamų prašymų priimti prejudicinį sprendimą(6). Šiuo prašymu Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija) siekia, kad Teisingumo Teismas patikslintų tam tikrus bendrus BDAR nustatytos civilinės atsakomybės tvarkos aspektus.
I. Teisinis pagrindas. BDAR
4. Šiai bylai visų pirma yra svarbios BDAR preambulės 75, 85 ir 146 konstatuojamosios dalys.
5. 6 straipsnyje „Tvarkymo teisėtumas“ numatyta:
„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;
<…>“
6. 79 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ 1 dalyje nurodyta:
„Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“
7. 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1 dalyje nustatyta:
„Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.“
II. Faktinės aplinkybės, procesas ir prejudiciniai klausimai
8. Österreichische Post AG – įmonė, vykdanti adresų knygų leidybos veiklą, – nuo 2017 m. rinko informaciją apie Austrijos gyventojų artumą politinėms partijoms. Naudodama algoritmą, ji pagal tam tikrus sociodemografinius požymius atrinkdavo „tikslinių grupių adresus“.
9. UI yra fizinis asmuo, kurio atžvilgiu Österreichische Post atliko statistinį apibendrinimą, siekdama priskirti jį prie galimų tikslinių grupių, kuriems būtų skirta įvairių politinių partijų rinkimų kampanijų reklama. Iš šio apibendrinimo matyti, kad UI artumo vienai iš tų partijų lygis buvo „aukštas“. Duomenys neperduoti tretiesiems asmenims.
10. UI, kuris nedavė sutikimo tvarkyti asmens duomenis, buvo nepatenkintas, kad jo duomenys apie simpatijas politinėms partijoms yra saugomi, taip pat buvo pasipiktinęs ir įsižeidęs, kad Österreichische Post jam priskyrė atitinkamą artumo konkrečiai politinei partijai lygį.
11. UI pareikalavo 1 000 EUR dydžio kompensacijos už patirtą neturtinę žalą (vidinis nemalonus jausmas). Jis pažymėjo, kad jam priskirtas partinis artumas yra įžeidimas ir gėda, be to, kenkia jo reputacijai. UI nurodė, kad Österreichische Post veiksmai sukėlė jam didelį nepasitenkinimą, jis prarado pasitikėjimą ir jautėsi sukompromituotas.
12. Pirmosios instancijos teismas atmetė UI reikalavimą atlyginti žalą(7).
13. Apeliacinės instancijos teismas paliko galioti pirmosios instancijos teismo sprendimą. Jis nurodė, kad neturtinė žala nėra automatiškai atlyginama dėl kiekvieno BDAR pažeidimo ir kad:
– atsižvelgiant į tai, jog taikoma Austrijos teisė papildo BDAR, galima atlyginti tik tą žalą, kuri pranoksta ieškovo teisių pažeidimo sukeltą nepasitenkinimą ar emocinę žalą („Gefühlsschaden“),
– reikia vadovautis Austrijos teisės aktuose įtvirtintu principu, pagal kurį vien nemalonus jausmas ir nepasitenkinimas nėra pagrindas taikyti žalos atlyginimo. Kitaip tariant, norint pasinaudoti teise į kompensaciją reikia, kad tariama žala būtų tam tikro sunkumo.
14. Apeliacinio teismo sprendimas buvo apskųstas Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija) ir šis pateikė Teisingumo Teismui tokius prejudicinius klausimus:
„1. Ar teisei į kompensaciją už patirtą žalą pagal BDAR <…> 82 straipsnį pripažinti reikia, kad būtų ne tik pažeistos BDAR nuostatos, bet ir kad ieškovas patirtų žalos, o gal tokiai teisei pripažinti pakanka vien BDAR nuostatų pažeidimo?
2. Ar, apskaičiuojant kompensaciją už žalą, be veiksmingumo ir lygiavertiškumo principų, reikia vadovautis dar ir kitais Sąjungos teisės reikalavimais?
3. Ar su Sąjungos teise suderinama nuomonė, kad teisė į kompensaciją už neturtinę žalą gali būti pripažinta tik tuomet, kai teisės pažeidimas sukelia tam tikro minimalaus sunkumo padarinių arba pasekmių, pranokstančių teisės pažeidimo sukeltą nepasitenkinimą?“
III. Procesas
15. Prašymas priimti prejudicinį sprendimą Teisingumo Teisme užregistruotas 2021 m. gegužės 12 d.
16. Rašytines pastabas pateikė UI, Österreichische Post, Austrijos, Čekijos ir Airijos vyriausybės bei Europos Komisija. Nuspręsta, kad teismo posėdžio rengti nereikia.
IV. Analizė
A. Pirminės pastabos
1. Priimtinumas
17. UI teigia, kad pirmasis prejudicinis klausimas neturi reikšmės bylai, nes jo ieškinys grindžiamas ne „paprastu“ BDAR nuostatos pažeidimu, o jo sukeltomis pasekmėmis ar poveikiu.
18. Nepriimtinumu grindžiamas prieštaravimas turi būti atmestas. Net jeigu būtų pripažinta, kad tvarkant duomenis pažeistas BDAR, o žala UI nebuvo padaryta, UI vis tiek galėtų turėti teisę į kompensaciją pagal BDAR 82 straipsnį, jei būtų patvirtinta, kad tokią teisę suteikia vien su duomenų tvarkymu susijusios taisyklės pažeidimas (to klausia teismas a quo).
19. UI teigia, kad Teisingumo Teismas taip pat galėtų pripažinti nepriimtinu antrąjį klausimą, nes jo turinys yra per platus ir jame labai ribotai nurodyti Sąjungos teisės reikalavimai, nepaminint nė vieno konkretaus.
20. Šis prieštaravimas, nors ir labiau pagrįstas nei pirmesnis, taip pat negali būti patenkintas. Nacionalinis teismas pagrįstai nori išsiaiškinti, ar, be lygiavertiškumo ir veiksmingumo principų laikymosi, siekdamas nustatyti žalą jis turi įvertinti ir kitus Sąjungos teisėje numatytus reikalavimus.
2. Šios išvados dalyko apibrėžimas
21. BDAR 82 straipsnį sudaro šešios dalys. Prašymą priimti prejudicinį sprendimą pateikęs teismas nenurodo nė vienos konkrečios dalies, tačiau netiesiogiai remiasi 1 dalimi. Jis taip pat nenurodo taisyklės, už kurios pažeidimą būtų mokama kompensacija.
22. Mano išvada bus grindžiama šiomis prielaidomis:
– UI asmens duomenys tvarkyti negavus jo sutikimo pagal BDAR 6 straipsnio 1 dalies a punktą,
– teisę į kompensaciją turi bet kuris žalą patyręs asmuo. Nagrinėjamoje byloje UI, kaip fizinis asmuo, kurio tapatybė nustatyta ir kuris patyrė duomenų tvarkymo poveikį, yra „duomenų subjektas“(8),
– BDAR numatyta turtinės ir neturtinės žalos kompensacija. UI reikalauja atlyginti tik neturtinę žalą ir jo reikalavimas yra piniginis.
B. Pirmasis prejudicinis klausimas
23. Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar teisė į kompensaciją atsiranda vien dėl BDAR nuostatų pažeidimo, nesvarbu, ar jis sukėlė žalos.
24. Iš prašymą priimti prejudicinį sprendimą pateikusio teismo teiginių ir Teisingumo Teismui pateiktų pastabų galima daryti išvadą, kad klausimas gali būti suprantamas ir kitaip, šiek tiek sudėtingiau: siekiama išsiaiškinti, ar BDAR nuostatų pažeidimas būtinai sukelia žalos, dėl kurios atsiranda teisė į kompensaciją, ir atsakovas neturi galimybės įrodyti priešingai.
25. Šie du požiūriai šiek tiek (teoriškai) skiriasi: pirmuoju atveju žala nėra būtina kompensacijos sąlyga, o antruoju atveju – būtina. Praktiškai abiem atvejais išnyksta reikalavimas, kad ieškovas įrodytų žalą; jis taip pat neprivalo įrodyti pažeidimo ir žalos priežastinio ryšio(9).
26. Bet kuriuo atveju manau, kad nė į vieną iš dvejopai suprantamo pirmojo klausimo variantų negalima atsakyti teigiamai. Aš juos nagrinėsiu atskirai.
1. Ar galima prašyti kompensacijos nepatyrus žalos?
27. Teigti, kad teisė į kompensaciją egzistuoja, net jei dėl BDAR pažeidimo duomenų subjektas nepatiria žalos, neabejotinai sunku, visų pirma dėl reglamento 82 straipsnio 1 dalies formuluotės.
28. Pagal šią nuostatą kompensacija(10) skiriama būtent dėl to, kad anksčiau buvo padaryta žala. Taigi neabejotinai reikalaujama, kad fizinis asmuo dėl BDAR pažeidimo būtų patyręs žalos ar nuostolių.
29. Taigi aiškinimas, pagal kurį sąvoka „pažeidimas“ automatiškai siejama su sąvoka „kompensacija“, nors nepadaryta jokios žalos, neatitinka BDAR 82 straipsnio formuluotės. Jis taip pat neatitinka BDAR nustatyto pagrindinio civilinės atsakomybės tikslo – patenkinti duomenų subjekto interesus, būtent „visiškai ir veiksmingai“ kompensuojant patirtą žalą(11).
30. Nesant žalos, kompensacija atliktų ne neigiamų pažeidimo pasekmių kompensavimo, o kitokio pobūdžio funkciją, artimesnę baudai.
31. Vis dėlto iš tiesų valstybės narės teisinėje sistemoje gali būti numatytas baudinio pobūdžio kompensacijos mokėjimas(12). Tokia kompensacija laikomas nurodymas sumokėti didelę sumą, viršijančią tai, kas būtina žalai atlyginti.
32. Baudinio pobūdžio kompensacija paprastai neatskiriama nuo žalos buvimo fakto. Tačiau, nors ši nuostata yra atspirties taškas, tos kompensacijos finansinės pasekmės atsiejamos nuo žalą atitinkančio kompensacijos dydžio.
33. Atsižvelgiant į tai negalima atmesti galimybės, kad taikant baudinio pobūdžio kompensaciją žalos būtų nepaisoma arba ji būtų laikoma nereikšminga siekiant patenkinti kompensacijos prašančio subjekto interesus.
34. Norėdamas atsakyti į pirmąjį prejudicinį klausimą turiu išanalizuoti, kokią vietą šios rūšies kompensacija užima BDAR, juo labiau kad ji minima nutartyje dėl prašymo priimti prejudicinį sprendimą ir ginčo šalių bei įstojusių į bylą šalių pastabose.
2. Ar egzistuoja baudinio pobūdžio kompensacija?
a) Pažodinis aiškinimas
35. Įprastą civilinės atsakomybės funkciją galima papildyti dar viena funkcija – „baudimo“ arba „atgrasomąja“, kurią taikant, kaip jau aprašiau, kompensacijos suma ne prilygsta patirtai žalai, bet ją viršija, kartais net kelis kartus.
36. Iš esmės Sąjungos teisėje tokia kompensacija nedraudžiama tuo atveju, kai pažeidžiamos šios teisės normos, jeigu ji gali būti priteista pareiškus panašius nacionaline teise grindžiamus ieškinius(13).
37. Baudinio pobūdžio kompensacijos tikslas yra atgrasyti. Tas pats tikslas gali būti pasiektas, kai pažeidus direktyvą valstybės narės turi imtis priemonių, kuriomis siekiama „realiai atgrasyti“(14). Kai kuriose direktyvose aiškiai nurodyta, kad kaip sankcijos numatytos kompensacijos yra atgrasomosios(15).
38. Vis dėlto kitose direktyvose teisės aktų leidėjas nurodo, kad tikslas nėra „numatyti pareigą nustatyti baudžiamąsias žalos atlyginimo sumas [baudinio pobūdžio kompensacijas]“(16) arba kad valstybės narės, perkeldamos direktyvą į nacionalinę teisę, turi vengti tokių kompensacijų(17). Pagal Sąjungos teisę vadinamieji „baudiniai nuostoliai“ tiesiogiai priteisiami išimtiniais atvejais(18).
39. Taigi BDAR nenurodyta, kad kompensacija už turtinę ar neturtinę žalą yra baudinio pobūdžio, kad jos dydis apskaičiuojamas atsižvelgiant į šį pobūdį arba kad tokia kompensacija yra atgrasomojo pobūdžio (vis dėlto ši savybė priskiriama baudžiamosioms sankcijoms ir administracinėms baudoms)(19). Vadinasi, remiantis nuostatų formuluote negalima skirti baudinio pobūdžio kompensacijų.
b) Aiškinimas atsižvelgiant į nuostatos pirmtakes
40. BDAR 82 straipsnio 1 dalies pirmtakė yra Direktyvos 95/46 23 straipsnio 1 dalis. Pastaroji nuostata buvo dalis sistemos, kurios veiksmingumas priklausė nuo viešojo ir privataus vykdymo užtikrinimo(20), tačiau pagal šią sistemą kompensacija (privati) ir sankcija (viešoji) nebuvo painiojamos(21). Pareiga prižiūrėti, kaip laikomasi taisyklių, visų pirma teko nepriklausomoms priežiūros institucijoms(22).
41. BDAR šis modelis perimtas, tačiau sugriežtintos taisyklės, kuriomis užtikrinamas nuostatų (dabar išsamesnių) ir atsakomųjų priemonių (dabar griežtesnių), numatytų pažeidimo ar pažeidimo grėsmės atveju, veiksmingumas:
– pirma, daugiau funkcijų atlieka priežiūros institucijos, kurios, be kitų užduočių, yra atsakingos už pačiame BDAR numatytų suderintų sankcijų taikymą(23). Akivaizdu, kad taip užtikrinamas viešasis teisės normų vykdymas,
– antra, numatyta, kad privatūs asmenys gali ginti jiems BDAR suteiktas teises(24), kreipdamiesi į priežiūros institucijas (77 straipsnis) arba į teismą (79 ir 82 straipsniai). Be to, 80 straipsnyje tam tikriems subjektams leidžiama pareikšti atstovaujamuosius ieškinius(25) – taip galima lengviau apsaugoti bendruosius privačių asmenų interesus(26).
42. BDAR vienodos civilinės atsakomybės už žalą tvarka buvo plėtojama ribotai. Greitai buvo išaiškinti aspektai, dėl kurių galėjo kilti abejonių taikant Direktyvą 95/46, kaip antai neturtinės žalos įtraukimas į atlygintinos žalos sąrašą(27). Derybose daugiausia dėmesio buvo skiriama kitiems tos tvarkos aspektams(28).
43. Nagrinėdamas teisėkūros darbus neradau jokių diskusijų apie tai, kad BDAR numatyta civilinė atsakomybė gali turėti baudinę funkciją. Taigi negalima daryti išvados, kad ši funkcija įtvirtinta BDAR 82 straipsnyje (nes šiuo klausimu nevyko jokių diskusijų) ir juo labiau kad ji nustatyta kituose Sąjungos teisės aktuose(29).
44. Šiomis aplinkybėmis manau, kad BDAR 82 straipsnio 1 dalyje numatyta teisių gynimo priemonė buvo sumanyta ir reglamentuota kaip atliekanti tipines civilinės atsakomybės funkcijas: žalos kompensavimo (nukentėjusiajai šaliai) funkciją ir papildomą būsimos žalos prevencijos funkciją (pažeidėjo atveju).
c) Kontekstinis aiškinimas
45. Kaip jau minėjau, BDAR 82 straipsnis yra dalis sistemos, kuria užtikrinamas teisės normų veiksmingumas ir pagal kurią privati iniciatyva papildo viešojo vykdymo užtikrinimą. Duomenų valdytojų arba duomenų tvarkytojų mokamos kompensacijos prisideda prie šio veiksmingumo.
46. Pareiga mokėti kompensaciją (idealiu atveju) skatina ateityje elgtis atsargiau, laikytis taisyklių ir vengti naujos žalos. Taigi kiekvienas asmuo, reikalaudamas kompensacijos sau, padeda užtikrinti bendrą teisės normų veiksmingumą.
47. Pagal šią sistemą kompensacinė ir baudimo funkcijos yra atskirtos:
– baudimo funkciją atlieka baudos, kurias gali skirti priežiūros institucijos arba teismai (BDAR 83 straipsnio 1 ir 9 dalys), ir kitos sankcijos, valstybių nustatomos taikant BDAR 84 straipsnį(30),
– kompensacinė funkcija įgyvendinama gavus privataus asmens skundą (77 straipsnis) ir vykdant teismo procesus (79 straipsnis). Vis dėlto užduotis spręsti dėl teisės į kompensaciją tenka ne priežiūros institucijoms.
48. Taip pat dėl kompensavimo ir baudimo funkcijų atskyrimo:
– skirdama baudą ir nustatydama jos dydį kompetentinga institucija turi atsižvelgti į BDAR 83 straipsnyje išvardytus veiksnius, kurie nenumatyti civilinės atsakomybės srityje ir į kuriuos iš esmės negalima atsižvelgti apskaičiuojant kompensaciją(31),
– jeigu atitinkamų asmenų patirtos žalos dydis yra veiksnys, pagal kurį diferencijuojama bauda(32), apskaičiuojant baudos dydį nėra pagrindo atsižvelgti į kompensaciją, kurią jie galėjo gauti(33).
49. Teoriškai aiškinimas, kad, nesant jokios žalos, civilinei atsakomybei tenka baudimo funkcija, kelia riziką, jog kompensavimo mechanizmai dubliuosis su sankcijų mechanizmais.
50. Praktiškai galimybė lengvai pasiekti „nubaudimo“ efekto kaip kompensacijos galėtų paskatinti duomenų subjektą rinktis šią, o ne BDAR 77 straipsnyje numatytą priemonę. Tokiam pasirinkimui plačiai paplitus, priežiūros institucijos netektų priemonės (duomenų subjekto skundo), leidžiančios joms nustatyti galimus BDAR pažeidimus, juos tirti ir taikyti už juos sankcijas, o tai pakenktų tinkamiausioms bendrojo intereso gynimo priemonėms.
d) Teleologinis aiškinimas
51. BDAR iš esmės siekiama dviejų tikslų, kurie jau nurodyti jo pavadinime: a) pirma, „fizinių asmenų apsaugos tvarkant asmens duomenis“; b) antra, tokio šios apsaugos organizavimo, kad „laisvas tokių duomenų judėjimas“ Sąjungoje nebūtų nei draudžiamas, nei ribojamas(34).
52. Manau, jog siekiant įgyvendinti šiuos tikslus BDAR nereikalaujama, kad kompensacija būtų siejama tik su duomenų tvarkymą reglamentuojančios teisės normos pažeidimu, priskiriant civilinei atsakomybei baudimo funkcijas.
53. Dėl pirmojo tikslo pažymėtina, kad, norint jį pasiekti, nereikia aiškinant išplėsti BDAR 82 straipsnio taikymo srities, įtraukiant į ją atvejus, kai buvo pažeista teisės norma, bet nepadaryta žalos. Toks išplėtimas gali turėti neigiamą poveikį antrajam tikslui.
54. Jau akcentavau, kad BDAR yra numatyti keli mechanizmai, kuriais užtikrinama, kad būtų laikomasi jo nuostatų, ir kurie taikomi kartu ir papildo vienas kitą. Valstybės narės neturi (ir iš tiesų negali) rinktis vieno iš VIII skyriuje numatytų mechanizmų, siekdamos užtikrinti duomenų apsaugą. Jeigu dėl pažeidimo nepadaryta žalos, duomenų subjektas vis tiek (bent jau) turi teisę pateikti skundą priežiūros institucijai pagal BDAR 77 straipsnio 1 dalį.
55. Be to, perspektyva gauti kompensaciją, neatsižvelgiant į tai, ar padaryta žala, tikriausiai paskatintų civilinį bylinėjimąsi ir būtų reiškiami galbūt ne visada pagrįsti reikalavimai(35); tai galėtų atgrasyti nuo duomenų tvarkymo veiklos(36).
3. Ar egzistuoja žalos prezumpcija?
56. Kai kuriose bylos šalių pastabose siūloma pirmąjį prejudicinį klausimą aiškinti kitaip, nei iki šiol nagrinėjau. Jeigu teisingai suprantu jų poziciją(37), jos, regis, teigia, kad pažeidus teisės normą egzistuoja aiški žalos prezumpcija.
57. Šalys priduria, kad dėl tokio pažeidimo neišvengiamai prarandama duomenų kontrolė, o tai per se reiškia žalą, atlygintiną pagal BDAR 82 straipsnio 1 dalį.
58. Teoriškai pagal šią prezumpciją negalima neatlyginti žalos; taip laikomasi tipinės civilinės atsakomybės struktūros ir BDAR nuostatos formuluotės. Vis dėlto praktiškai ieškovui ir atsakovui prezumpcijos pripažinimo pasekmės būtų panašios į tas, kurių atsirastų BDAR 82 straipsnio 1 dalyje numatytą kompensaciją siejant su paprastu teisės normos pažeidimu.
59. Siekdamas pagrįsti, kodėl toks aiškinimas man atrodo neteisingas, vėl remsiuosi įprastais aiškinimo kriterijais.
a) Pažodinis aiškinimas
60. Jeigu kitose Sąjungos teisės srityse teisės aktų leidėjas nusprendė, jog teisė į kompensaciją automatiškai atsiranda dėl teisės normos pažeidimo, jis nedvejodamas tokią teisę nustatė(38). BDAR atveju yra kitaip: jame įtvirtintos įrodinėjimo taisyklės arba tiesioginių pasekmių įrodinėjimui turinčios taisyklės(39), tačiau nėra nuostatos dėl automatinio ryšio (nei tiesioginio, nei atsirandančio taikant nenuginčijamą prezumpciją).
61. Manau, kad tokio nuostatos nebuvimo nekompensuoja tai, kad BDAR 75(40) ir 85(41) konstatuojamosiose dalyse pateiktos nuorodos į duomenų kontrolę (arba tokios kontrolės praradimą). Šios konstatuojamosios dalys ne tik neturi norminės vertės, bet ir nė vienoje iš jų nenustatyta, kad teisės normos pažeidimas per se reiškia, jog kyla kompensuotina žala:
– 75 konstatuojamojoje dalyje numatyta užkirsti kelią asmens duomenų kontrolei, kaip vienam iš galimų duomenų tvarkymo pavojų,
– 85 konstatuojamojoje dalyje kontrolės praradimas nurodytas kaip viena iš pasekmių, kurių gali atsirasti dėl asmens duomenų saugumo pažeidimo(42).
62. Duomenų kontrolės praradimas nėra priežastis, dėl kurios neišvengiamai atsiranda žalos. Šią sąvoką galima suprasti kaip kalbiniu požiūriu leistiną nuorodą į dėl tokio praradimo patirtus nuostolius, jeigu jų atsirastų(43).
b) Aiškinimas atsižvelgiant į atsiradimo aplinkybes
63. Remiantis atsiradimo aplinkybių analize taip pat negalima pagrįsti, kad egzistuoja tokia Direktyvoje 95/46 nenustatyta prezumpcija(44); be to, ši prezumpcija nenumatyta prieš priimant BDAR parengtuose Komisijos, Europos Parlamento ar Tarybos dokumentuose, kuriuos išnagrinėjau.
c) Kontekstinis aiškinimas
64. BDAR struktūroje yra pateikta nuostatų, pagal kurias galima nepripažinti nagrinėjamos prezumpcijos remiantis duomenų subjekto sutikimu(45). Toks sutikimas, kaip duomenų kontrolės priemonė, įteisina duomenų tvarkymą tokiu pat lygmeniu kaip ir kiti teisiniai pagrindai (BDAR 6 straipsnis)(46).
65. Teisėtai tvarkyti asmens duomenis galima ir neturint duomenų subjekto leidimo, taigi nesant kontrolės, atliekamos suteikiant tokį leidimą arba atsisakant jį suteikti. Galiausiai tokio leidimo svarba sistemoje nėra absoliuti.
66. Be to, BDAR numatyta ir kitų galimybių vykdyti kontrolę: viena iš jų yra teisė reikalauti ištrinti duomenis, kurią įgyvendinant duomenų valdytojas privalo „nepagrįstai nedelsdamas“ ištrinti atitinkamą informaciją(47).
67. Asmeniui, kurio duomenys tvarkomi, ši teisė veikia kaip apsaugos sistemos apsauginis vožtuvas: ji išlieka (kaip esminė taisyklė) tuo atveju, kai duomenų valdytojas negavo duomenų subjekto sutikimo, taip pat, kai nėra jokio kito teisėto duomenų tvarkymo pagrindo, ir nepriklauso nuo to, ar dėl duomenų tvarkymo patirta kokios nors žalos(48).
d) Teleologinis aiškinimas
1) Ar duomenų subjekto vykdoma savo duomenų kontrolė yra BDAR tikslas?
68. Tai, kad tvarkant asmens duomenis tuo atveju, kai nebuvo gauta duomenų subjekto sutikimo, automatiškai turi būti atlyginama žala, reiškia, kad su sutikimu siejama kontrolė pati savaime yra vertybė.
69. Pripažįstu, kad iš pirmo žvilgsnio ši nuomonė nėra nepagrįsta. Komisijos pasiūlyme piliečių galimybė kontroliuoti savo duomenis nurodyta kaip viena iš pagrindinių reformos priežasčių(49). BDAR 7 konstatuojamojoje dalyje pripažinta, kad „fiziniai asmenys turėtų kontroliuoti savo asmens duomenis“.
70. Žinoma, atsargumas aiškinant šią sąvoką būtinas ne tik atsižvelgiant į tai, kad doktrinoje dėl jos ginčijamasi. BDAR nėra tikslios sąvokos „kontrolė“ apibrėžties (jos neradau ir niekur kitur)(50). Ši sąvoka turi bent dvi reikšmes, kurios nėra tarpusavyje nesuderinamos: kaip antai „valdžia“ arba „valdymas“ ir „priežiūra“.
71. Dėl BDAR 7 konstatuojamosios dalies formuluotės atsiranda tam tikras nesaugumas, nes įvairios jos kalbinės versijos skiriasi(51). Atsižvelgdamas į jos turinį manau, kad BDAR duomenų subjektui yra suteikiama teisė prižiūrėti kitų asmenų atliekamas duomenų operacijas ir į jas kištis; tai priemonė, kuria (kartu su kitomis priemonėmis) siekiama užtikrinti šių duomenų apsaugą.
72. Duomenų subjektas pats padeda apsaugoti duomenų informaciją ir yra atsakingas už šią apsaugą tokiu lygmeniu ir taip, kaip tai numatyta BDAR. Individualių veiksmų taikymo sritis ribota: BDAR išvardytomis teisėmis galima naudotis tik tam tikromis sąlygomis.
73. Duomenų subjekto sutikimas, kaip labiausiai išreikšta kontrolė(52), yra tik vienas iš teisinių pagrindų teisėtai tvarkyti duomenis, tačiau juo remiantis negalima pateisinti kitų duomenų valdytojui ir duomenų tvarkytojui nustatytų pareigų ir sąlygų nesilaikymo.
74. Manau, kad remiantis BDAR negalima paprasčiausiai daryti išvados, kad jo tikslas – suteikti teisę duomenų subjektui vykdyti asmens duomenų kontrolę, kaip savaiminę vertybę. Taip pat negalima pripažinti, kad duomenų subjektas turi kuo labiau kontroliuoti šiuos duomenis.
75. Tokia išvada nekelia nuostabos. Pirma, nėra akivaizdu, kad kontrolė, reškianti duomenų valdymą, sudaro esminį pagrindinės teisės į asmens duomenų apsaugą turinį(53). Antra, ši teisė toli gražu nėra vieningai suprantama kaip teisė pačiam priimti informacija pagrįstą sprendimą: Chartijos 8 straipsnyje tokie terminai nevartojami(54).
76. Į galutinį BDAR tekstą taip pat nebuvo įtraukta konstatuojamoji dalis, kurioje teigiama, kad „teisė į asmens duomenų apsaugą grindžiama duomenų subjekto teise kontroliuoti tvarkomus asmens duomenis“(55).
77. Atsižvelgdamas į pirma išdėstytus argumentus, kurie galbūt yra pernelyg abstraktūs, pažymiu, kad jeigu duomenų subjektas neduoda sutikimo tvarkyti duomenų ir jie tvarkomi nesant kito teisėto teisinio pagrindo, tai nereiškia, kad dėl šios priežasties jam turi būti mokama finansinė kompensacija už prarastą duomenų kontrolę, tarsi šis praradimas savaime reikštų žalą, už kurią turi būti atlyginta(56). Be to, dar neaišku, ar jis patyrė žalos (tai reikia įrodyti)(57).
2) Duomenų subjekto vykdoma kontrolė atsižvelgiant į aplinkybes
78. Galiausiai manau, kad reikia atkreipti dėmesį į tai, jog asmens duomenų apsauga kaip BDAR tikslas nurodyta kartu su tikslu skatinti laisvą duomenų judėjimą(58).
79. Stiprinti piliečių vykdomą asmeninės informacijos kontrolę skaitmeninėje aplinkoje yra vienas iš pripažintų asmens duomenų apsaugos sistemos modernizavimo tikslų, tačiau tai nėra savarankiškas ar atskiras tikslas.
80. Kartu su pasiūlymu dėl BDAR pateiktame komunikate Komisija aukštą duomenų apsaugos lygį susiejo su pasitikėjimu interneto paslaugomis, leidžiančiu išnaudoti skaitmeninės ekonomikos potencialą ir skatinti „ekonomikos augimą ir ES pramonės konkurencingumą“. Atnaujinus (ir labiau suderinus) Sąjungos teisės aktus, „sustiprinam[as] duomenų apsaugos bendrosios rinkos aspektas“(59).
81. Atsižvelgiant į tai, kad duomenys (asmens ir ne asmens) akivaizdžiai yra svarbūs Europos ekonominei ir socialinei pažangai, BDAR siekiama ne padidinti asmens galimybes kontroliuoti su juo susijusią informaciją, paprasčiausiai tenkinant jo pageidavimus, o suderinti kiekvieno subjekto teisę į asmens duomenų apsaugą su trečiųjų asmenų ir visuomenės interesais(60).
82. Pabrėžiu, BDAR siekiama ne sistemingai apriboti asmens duomenų tvarkymą, o įteisinti jį taikant griežtas sąlygas. Šiam tikslui pasiekti visų pirma reikia skatinti duomenų subjekto pasitikėjimą, kad duomenys bus tvarkomi saugiai(61), prisidedant jam pačiam. Taip asmuo skatinamas savanoriškai apsispręsti leisti susipažinti su savo duomenimis ir juos naudoti, be kita ko, internetinių komercinių sandorių srityje.
C. Antrasis prejudicinis klausimas
83. Prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar „apskaičiuojant kompensaciją už žalą, be veiksmingumo ir lygiavertiškumo principų, reikia vadovautis dar ir kitais Sąjungos teisės reikalavimais“.
84. Iš tiesų neatrodo, kad lygiavertiškumo principas yra svarbus nagrinėjamu atveju: šioje srityje tiesiogiai taikoma BDAR numatyta suderinta sistema, o BDAR 82 straipsnis taikomas bet kokiai dėl pažeidimo atsiradusiai neturtinei žalai, neatsižvelgiant į jos kilmę.
85. Tą patį galima pasakyti ir apie veiksmingumo principą. Kitas klausimas yra tai, kad kompensaciją, atitinkančią BDAR 146 konstatuojamosios dalies nuostatas (duomenų subjektai už patirtą žalą turi gauti visą ir veiksmingą kompensaciją), turi sudaryti atitinkamas turinys.
86. BDAR 82 straipsnyje nustatytas tik jo nuostatų pažeidimo buvimo reikalavimas, jeigu bet kuris asmuo dėl to pažeidimo patiria turtinės ar neturtinės žalos. Jame nacionaliniams teismams nenumatyta taisyklių, kaip konkrečiai apskaičiuoti kompensacijos už tokią žalą dydį.
87. Atsižvelgiant į du pirma nurodytus veiksnius (visa ir veiksminga kompensacija), kompensacija visų pirma priklauso nuo kiekvieno ieškovo reikalavimo.
88. Jeigu būtų reikalaujama priteisti baudinio pobūdžio kompensaciją(62), pakaktų atsakyti į pirmąjį prejudicinį klausimą: tokio pobūdžio kompensacijos BDAR nenumatytos. Pagal BDAR civilinės atsakomybės funkcija yra „privati“ kompensavimo funkcija, o baudų ir baudžiamųjų sankcijų – viešoji atgrasymo ir prireikus nubaudimo funkcija.
89. Negalima atmesti galimybės, kad reikalaujama atlyginti neturtinė žala gali būti kompensuota ne tik pinigais, bet ir kitais būdais, pavyzdžiui, pripažįstant pažeidimo faktą ir taip suteikiant ieškovui tam tikrą moralinę satisfakciją. Tokį reikalavimą pagal analogiją būtų galima patenkinti remiantis 2021 m. balandžio 15 d. Teisingumo Teismo sprendimu(63), nors jis ir priimtas ne duomenų apsaugos srityje.
90. Pagal teisines sistemas, kuriose taip nustatyta, taikant civilinės atsakomybės tvarką galima numatyti priteisti kompensacijas siekiant apginti teisę (simbolinės kompensacijos mokėjimas) arba panaikinti neteisėtą naudą (neteisėtai gautos naudos atėmimas).
91. Pirmuoju atveju remiamasi idėja, pagal kurią užtikrinamas teisės tęstinumas ir įgyvendinimas („Rechtsfortsetzungfunktion“) suteikiant vien simbolinę kompensaciją ir kartu pripažįstant, kad atsakovas veikė neteisėtai ir pažeidė ieškovo teises. BDAR 82 straipsnyje tokios kompensacijos nenumatyta, ji neminima ir ankstesniuose teisės aktuose; tai neturi kelti nuostabos, nes ši kompensacija nėra bendra valstybių narių teisinių sistemų nuostata(64), o tose valstybėse, kuriose ji egzistuoja, yra vertinama prieštaringai(65).
92. Vis dėlto BDAR įtvirtinta sistema ir jos tikslai netrukdo valstybėms narėms, žinančioms apie šią teisių gynimo priemonę, pasiūlyti ją dėl taisyklės pažeidimo nukentėjusiems asmenims, taikant BDAR 79 straipsnyje numatytas teisių gynimo priemones tuo atveju, kai nepadaryta jokios žalos. Priešingai, kai ieškovas teigia patyręs finansinės žalos, situacija reglamentuojama BDAR 82 straipsnyje, o tai, kad šią žalą sunku įrodyti, neturėtų nulemti simbolinės kompensacijos mokėjimo(66).
93. Dėl sprendimų, kuriais priteisiama sumokėti atitinkamą sumą dėl padaryto teisės pažeidimo, pažymėtina, kad jais gali būti siekiama iš pažeidimą padariusio asmens atimti gautą pelną. Išskyrus intelektinės nuosavybės sritį(67), šis tikslas nėra įprastas žalos atlyginimo teisėje, pagal kurią labiau rūpinamasi nukentėjusiosios šalies nuostoliais, o ne pažeidėjo pelnu(68). Jis nėra numatytas BDAR straipsniuose.
94. Atsižvelgdamas į antrojo prejudicinio klausimo apimtį, šiuos argumentus pateikiu norėdamas palengvinti prašymą priimti prejudicinį sprendimą pateikusio teismo darbą. Vis dėlto suprantu, kad jie gali būti nelabai naudingi siekiant patenkinti arba atmesti ieškinį, kuriame duomenų subjektas prašo vien finansinės kompensacijos už neturtinę žalą.
D. Trečiasis prejudicinis klausimas
95. Prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar pagal BDAR neturtinė žala pripažįstama tik tuomet, jeigu „teisės pažeidimas sukelia tam tikro minimalaus sunkumo padarinių, pranokstančių jo sukeltą nepasitenkinimą“.
96. Prašyme priimti prejudicinį sprendimą į atitinkamo asmens patirtų išgyvenimų intensyvumą atsižvelgiama kaip į kompensacijos kriterijų. Vis dėlto jame nekeliama klausimo (bent jau tiesiogiai), ar taikant BDAR 82 straipsnio 1 dalį tam tikra to asmens emocija arba jausmas dėl savo turinio yra svarbus, ar nesvarbus(69).
97. Taigi kyla abejonių, ar valstybės narės gali nustatyti, kad neturtinės žalos atlyginimas priklauso nuo teisės normos pažeidimo pasekmių masto, vertinant tik tas pasekmes, kurios viršija tam tikrą sunkumo ribą. Vadinasi, klausimas susijęs ne su kompensuotinos žalos rūšimis(70) ar kompensacijos dydžiu, o su tuo, kokia yra minimali nukentėjusio subjekto reakcijos riba, kurios nepasiekus kompensacija nemokama.
98. BDAR 82 straipsnyje negalima rasti tiesioginio atsakymo į šį klausimą. Manau, kad tokio atsakymo taip pat nėra 75 ir 85 konstatuojamosiose dalyse. Jose abiejose pateiktas žalos pavyzdžių sąrašas, o pabaigoje yra atvira nuostata, pagal kurią, regis, kompensuojama tik „didelė“ žala.
99. Vis dėlto manau, kad šios konstatuojamosios dalys nepadeda išsklaidyti prašymą priimti prejudicinį sprendimą pateikusio teismo abejonių:
– pirmoji yra susijusi su duomenų tvarkymo pavojų nustatymu bei vertinimu ir priemonių jiems išvengti ar sumažinti taikymu. Joje nurodytos nepageidaujamos bet kokio duomenų tvarkymo pasekmės ir „visų pirma“ atkreipiamas dėmesys į kai kurias iš šių pasekmių, tikriausiai dėl to, kad jos yra sunkesnės,
– antrojoje minimi duomenų saugumo pažeidimai ir įspėjama, kad tokių pažeidimų pasekmės gali būti didelės.
100. BDAR 146 konstatuojamosios dalies nuostatoje (duomenų valdytojai turėtų atlyginti „bet kokią žalą“)(71) taip pat nėra taisyklių, leidžiančių atsakyti į šį klausimą.
101. Šios konstatuojamosios dalies nuostatas įtvirtinus BDAR tekste, reglamentas akivaizdžiai apima neturtinę žalą, o tai reiškia, kad pakeistos Direktyvos 95/46 nuostatos, kuriose šis klausimas nebuvo reglamentuotas(72). Vis dėlto reglamente nenagrinėjamas būtent dabar Teisingumo Teismui pateiktas klausimas.
102. Toje pačioje BDAR 146 konstatuojamojoje dalyje teigiama, kad „[ž]alos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai“.
103. Nesu tikras, ar toks nurodymas būtų labai naudingas duomenų apsaugos srityje, nes tvirtinant BDAR Teisingumo Teismas dar nebuvo priėmęs sprendimo šiuo klausimu(73). Jeigu būtų siekiama pateikti nuorodą į sprendimus dėl kitose direktyvose ar reglamentuose reglamentuojamos civilinės atsakomybės, reikėtų nurodyti analogiją.
104. Iš tiesų Teisingumo Teismas nėra parengęs bendros „žalos atlyginimo“ apibrėžties, kurią būtų galima nedarant skirtumo taikyti bet kurioje srityje(74). Kiek tai aktualu nagrinėjamu atveju, susijusiu su neturtine žala, remiantis jo jurisprudencija galima daryti išvadą, kad:
– žalos atlyginimo sąvoka turi būti plati, kai aiškinamos nuostatos tikslas (arba vienas iš tikslų) yra apsaugoti asmenį arba tam tikrą asmenų grupę(75),
– laikantis šios taisyklės, kompensacija apima ir neturtinę žalą, net jei aiškinamoje nuostatoje ši žala neminima(76).
105. Nors atsižvelgiant į Teisingumo Teismo jurisprudenciją galima teigti, kad, kaip nurodyta pirma, Sąjungos teisėje egzistuoja neturtinės žalos atlyginimo principas, vis dėlto manau, kad remiantis šia jurisprudencija negalima suformuluoti taisyklės, pagal kurią kompensuotina visa neturtinė žala, nepaisant jos dydžio.
106. Teisingumo Teismas pripažino, kad nacionalinės teisės aktai, pagal kuriuos, siekiant apskaičiuoti kompensaciją, su kūno sužalojimu per nelaimingą atsitikimą susijusi neturtinė žala išskiriama pagal nelaimingo atsitikimo kilmę, atitinka Europos teisės normas(77).
107. Jis taip pat įvertino, dėl kokių aplinkybių gali atsirasti neturtinės žalos, remdamasis kiekvienoje byloje(78) taikytomis nuostatomis, tačiau (jei neklystu) aiškiai nenusprendė dėl reikalavimo, kad ta žala turi būti didelė(79).
108. Atsižvelgdamas į tai, kas išdėstyta, manau, kad atsakymas į trečiąjį prejudicinį klausimą turi būti teigiamas.
109. Pagrįsdamas savo poziciją primenu, kad BDAR tikslas nėra vien užtikrinti pagrindinę teisę į asmens duomenų apsaugą(80) ir kad jame numatyta garantijų sistema apima įvairių rūšių mechanizmus(81).
110. Šiomis aplinkybėmis svarbu tai, kad Teisingumo Teismas pasiūlė atskirti kompensuotiną neturtinę žalą ir kitus nepatogumus, kurie atsirado dėl teisės aktų nesilaikymo ir dėl kurių mažareikšmiškumo nebūtinai įgyjama teisė į kompensaciją.
111. Nacionalinės teisės sistemose toks atskyrimas suvokiamas kaip neišvengiama gyvenimo visuomenėje pasekmė(82). Teisingumo Teismas laikosi šio atskyrimo; jis jį pripažįsta nurodydamas nemalonumus ir nepatogumus kaip savarankišką žalos kategoriją tose srityse, kuriose, kaip jis mano, dėl jų turi būti skiriama kompensacija(83). Nėra jokių kliūčių tokį atskyrimą taikyti pagal BDAR.
112. Be to, laikausi nuomonės, kad BDAR 82 straipsnio 1 dalyje numatyta teisė į kompensaciją nėra tinkama priemonė kovai su asmens duomenų tvarkymo pažeidimais, jeigu dėl šių pažeidimų duomenų subjektas patiria tik pyktį arba nepasitenkinimą.
113. Paprastai bet koks asmens duomenų apsaugos taisyklės pažeidimas sukelia tam tikrą neigiamą duomenų subjekto reakciją. Kompensaciją, kylančią iš paprasto nepasitenkinimo jausmo dėl kito asmens nepagarbos teisei, lengva supainioti su kompensacija, kai žalos nepadaryta (ją jau paneigiau pirma).
114. Praktiniu požiūriu nėra veiksminga prie kompensuotinos neturtinės žalos priskirti paprastą nepasitenkinimą, atsižvelgiant į nepatogumus ir sunkumus, kurių paprastai patiria teismui reikalavimą pareiškęs ieškovas(84) ir gynyba besirūpinantis atsakovas(85).
115. Teisės į kompensaciją už tai, kad dėl duomenų tvarkymo taisyklių pažeidimo buvo patirti nestiprūs ir trumpalaikiai jausmai ar emocijos(86), paneigimas nereiškia, kad duomenų subjektas lieka visiškai neapsaugotas. Kaip nurodžiau atsakydamas į pirmąjį klausimą, BDAR sistemoje numatytos kitos teisių gynimo priemonės.
116. Neabejoju, kad paprastą nepasitenkinimą (nekompensuotiną) ir tikrą neturtinę žalą (kompensuotiną) skirianti riba yra plona, ir suvokiu, kaip sudėtinga apskritai atriboti šias dvi kategorijas ir jas konkrečiai taikyti ginčo atveju. Tai sudėtinga užduotis valstybių narių teismams, kurie savo sprendimuose tikriausiai negalės neatsižvelgti į tai, kaip visuomenė bet kuriuo metu suvokia leistiną toleranciją, kai šios srities teisės normos pažeidimo subjektyvios pasekmės neviršija de minimis lygio(87).
V. Išvada
117. Atsižvelgdamas į tai, kas išdėstyta, siūlau pateikti Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija) tokį atsakymą:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 82 straipsnis turi būti aiškinamas taip:
norint pripažinti teisę į žalos, kurią asmuo patyrė dėl minėto reglamento pažeidimo, kompensaciją, nepakanka vien teisės normos pažeidimo per se, jeigu kartu nėra padaryta atitinkamos turtinės ar neturtinės žalos;
jame reglamentuojama neturtinės žalos kompensacija netaikoma esant vien atitinkamo asmens nepasitenkinimui dėl Reglamento 2016/679 nuostatų pažeidimo. Nacionaliniai teismai turi nustatyti, kada subjektyvus nepasitenkinimo jausmas dėl savo pobūdžio konkrečiu atveju gali būti laikomas neturtine žala.