OPINIA RZECZNIKA GENERALNEGO
MANUELA CAMPOSA SÁNCHEZA-BORDONY
przedstawiona w dniu 6 października 2022 r.(1)
Sprawa C‑300/21
UI
przeciwko
Österreichische Post AG
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberster Gerichtshof (sąd najwyższy, Austria)]
Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Szkoda niemajątkowa wynikająca z niezgodnego z prawem przetwarzania danych – Przesłanki prawa do odszkodowania – Szkody przekraczające określony próg wagi
1. Rozporządzenie (UE) 2016/679(2) przyznaje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia jego przepisów, prawo do otrzymania odszkodowania od administratora lub podmiotu przetwarzającego.
2. Możliwość dochodzenia tego prawa na drodze sądowej istniała już w poprzednim uregulowaniu (art. 23 dyrektywy 95/46/WE)(3), choć korzystano z niej w niewielkim stopniu(4). O ile się nie mylę, Trybunał nie dokonał jeszcze wykładni konkretnie tego artykułu.
3. Na mocy RODO powództwa o odszkodowanie zyskały na znaczeniu(5). Ich wzrost jest odczuwalny w sądach państw członkowskich i znajduje odzwierciedlenie w odpowiednich odesłaniach prejudycjalnych(6). W ramach niniejszego odesłania prejudycjalnego Oberster Gerichtshof (sąd najwyższy, Austria) zwraca się do Trybunału o wyjaśnienie niektórych kwestii wspólnych systemu odpowiedzialności cywilnej ustanowionego na mocy RODO.
I. Ramy prawne. RODO
4. Istotne dla niniejszego sporu są w szczególności motywy 75, 85 i 146 preambuły RODO.
5. Artykuł 6 („Zgodność przetwarzania z prawem”) stanowi:
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
[…]”.
6. Artykuł 79 („Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”) stanowi w ust. 1:
„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”.
7. Artykuł 82 („Prawo do odszkodowania i odpowiedzialność”) stanowi w ust. 1:
„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
II. Okoliczności faktyczne, postępowanie i pytania prejudycjalne
8. Od 2017 r. Österreichische Post AG, spółka będąca wydawnictwem baz adresowych, zbierała informacje na temat sympatii społeczeństwa austriackiego do partii politycznych. Za pomocą algorytmu definiowała ona „adresy grup docelowych” według określonych cech społeczno‑demograficznych.
9. UI jest osobą fizyczną, w odniesieniu do której Österreichische Post dokonała ekstrapolacji za pomocą obliczeń statystycznych w celu określenia jego klasyfikacji w ramach możliwych grup docelowych dla reklamy wyborczej różnych partii politycznych. Z ekstrapolacji tej wynikało, że UI wykazywał „bliskość przekonań” z jedną z nich. Dane te nie były przekazywane osobom trzecim.
10. UI, który nie wyraził zgody na przetwarzanie swoich danych osobowych, był zirytowany przechowywaniem danych dotyczących jego sympatii partyjnych oraz oburzony i urażony faktem, że Österreichische Post uznała go za sympatyzującego z konkretną partią polityczną.
11. UI zażądał odszkodowania w wysokości 1000 EUR tytułem poniesionej szkody niemajątkowej (wewnętrznego dyskomfortu). Twierdzi on, że przypisywanie mu rzeczonych sympatii partyjnych jest obelżywe i hańbiące, a także godzi w jego dobre imię. UI dodaje, że zachowanie Österreichische Post wywołało u niego wielkie wzburzenie i utratę zaufania, a także poczucie kompromitacji jego osoby.
12. Sąd pierwszej instancji oddalił roszczenie UI o odszkodowanie(7).
13. Sąd apelacyjny utrzymał w mocy wyrok sądu pierwszej instancji. Orzekł on, że nie każde naruszenie RODO skutkuje automatycznie odszkodowaniem za szkody niemajątkowe oraz że:
– ponieważ prawo austriackie ma zastosowanie w uzupełnieniu do RODO, naprawieniu podlegają jedynie szkody, które wykraczają poza wzburzenie lub stany emocjonalne („Gefühlsschaden”) spowodowane naruszeniem praw powoda;
– należy przestrzegać zasady leżącej u podstaw prawa austriackiego, zgodnie z którą doświadczanie przez kogokolwiek zwykłego dyskomfortu i zwykłego uczucia nieprzyjemności nie wywiera żadnych konsekwencji w zakresie odszkodowania. Innymi słowy – prawo do odszkodowania wymaga pewnej istotności podnoszonych szkód.
14. Od wyroku sądu apelacyjnego wniesiono skargę rewizyjną do Oberster Gerichtshof (sądu najwyższego, Austria), który kieruje do Trybunału następujące pytania prejudycjalne:
„1) Czy zasądzenie odszkodowania na podstawie art. 82 […] RODO wymaga, oprócz naruszenia przepisów RODO, aby powód poniósł szkodę, czy też samo naruszenie przepisów RODO jest wystarczające do zasądzenia odszkodowania?
2) Czy dla ustalenia wysokości odszkodowania poza zasadami skuteczności i równoważności istnieją inne wymogi w prawie Unii?
3) Czy zgodny z prawem Unii jest pogląd, że warunkiem stwierdzenia poniesienia szkody niemajątkowej jest to, iż powstała ona w konsekwencji lub w następstwie naruszenia prawa o przynajmniej pewnej wadze, która wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa?”.
III. Postępowanie
15. Wniosek o wydanie orzeczenia w trybie prejudycjalnym wpłynął do Trybunału w dniu 12 maja 2021 r.
16. Uwagi na piśmie zostały przedstawione przez UI, Österreichische Post, rządy austriacki, czeski i irlandzki oraz przez Komisję Europejską. Nie uznano za konieczne przeprowadzenia rozprawy.
IV. Analiza
A. Uwagi wstępne
1. W przedmiocie dopuszczalności
17. UI utrzymuje, że pierwsze pytanie prejudycjalne nie ma znaczenia dla sporu, ponieważ jego pozew nie był oparty na „zwykłym” naruszeniu przepisu RODO, lecz na jego konsekwencjach lub skutkach.
18. Zarzut niedopuszczalności powinien zostać oddalony. Nawet gdyby przyjąć, że przetwarzanie danych naruszyło RODO bez szkody dla UI, UI mógłby mieć prawo do odszkodowania na podstawie art. 82 RODO, gdyby – jak wynika z pytanie sądu odsyłającego – potwierdziło się, że samo naruszenie przepisu dotyczącego przetwarzania daje takie prawo.
19. Zdaniem UI Trybunał mógłby również uznać drugie pytanie prejudycjalne za niedopuszczalne, ponieważ jest ono bardzo otwarte pod względem treści i nadmiernie ograniczone w odniesieniu do wymogów wynikających z prawa Unii, przy czym żaden z takich wymogów nie został konkretnie wskazany.
20. Zarzut ten, mimo iż jest on bardziej zasadny niż poprzedni, także nie zasługuje na uwzględnienie. Sąd postępuje słusznie, zamierzając ustalić, czy w celu dokonania oceny szkody musi ocenić – oprócz przestrzegania zasad równoważności i skuteczności – także inne wymogi określone w prawie Unii.
2. Określenie przedmiotu niniejszej opinii
21. Artykuł 82 RODO składa się z sześciu ustępów. Sąd odsyłający nie odnosi się do żadnego konkretnie, lecz powołuje się na pierwszy z nich w sposób dorozumiany. Nie precyzuje też przepisu, którego naruszenie miałoby stanowić podstawę odszkodowania.
22. Moja opinia będzie oparta na następujących założeniach:
– przetwarzanie danych osobowych UI miało miejsce bez uzyskania jego zgody w rozumieniu art. 6 ust. 1 lit. a) RODO;
– prawo do odszkodowania przysługuje każdej osobie, która poniosła szkodę. W niniejszej sprawie UI, jako zidentyfikowana osoba fizyczna, której dotyczy przetwarzanie, jest „osobą, której dane dotyczą”(8);
– RODO przewiduje odszkodowanie za szkody majątkowe lub niemajątkowe. Roszczenie UI ogranicza się do szkód niemajątkowych i zostało wyrażone w pieniądzu.
B. W przedmiocie pierwszego pytania prejudycjalnego
23. W ramach pytania pierwszego sąd odsyłający zmierza w istocie do ustalenia, czy samo naruszenie przepisów RODO powoduje powstanie prawa do odszkodowania, niezależnie od tego, czy szkoda została wyrządzona, czy też nie.
24. Z ustaleń sądu odsyłającego i uwag przedstawionych Trybunałowi można wywnioskować, że pytanie to dopuszcza również inną, nieco bardziej złożoną interpretację: pytanie dotyczyłoby wyjaśnienia, czy naruszenie przepisów RODO powoduje koniecznie powstanie szkody dającej prawo do odszkodowania, przy czym pozwany nie ma możliwości przedstawienia dowodu przeciwnego.
25. Istnieje pewna (teoretyczna) różnica między tymi dwoma podejściami: w pierwszym podejściu szkoda nie jest przesłanką odszkodowania, w drugim natomiast jest. W praktyce w obu przypadkach znika wymóg udowodnienia szkody przez powoda; nie musi on również udowadniać związku przyczynowego między naruszeniem a tą szkodą(9).
26. W każdym wypadku pragnę zaznaczyć, że żadna z dwóch interpretacji pytania pierwszego nie zasługuje moim zdaniem na odpowiedź twierdzącą. Odniosę się do tych dwóch interpretacji oddzielnie.
1. Odszkodowanie bez szkody?
27. Twierdzenie, że istnieje prawo do odszkodowania, nawet jeśli z naruszenia RODO nie wynika żadna szkoda dla osoby, której dane dotyczą, rodzi oczywiste trudności, począwszy od tej związanej z dosłownym brzmieniem art. 82 ust. 1 tego rozporządzenia.
28. Zgodnie z tym przepisem odszkodowanie(10) przyznaje się właśnie dlatego, że wcześniej wystąpiła szkoda. Jednoznacznie wymagane jest zatem, aby osoba fizyczna poniosła szkodę w wyniku naruszenia RODO.
29. Wykładnia, która łączy automatycznie pojęcie „naruszenia” z pojęciem „odszkodowania” bez szkody, jest zatem nie do pogodzenia z brzmieniem art. 82 RODO. Nie da się jej również pogodzić z podstawowym celem odpowiedzialności cywilnej ustanowionym na mocy RODO, jakim jest zadośćuczynienie osobie, której dane dotyczą, właśnie poprzez „pełne i skuteczne” odszkodowanie za poniesioną przez nią szkodę(11).
30. Wobec braku szkody odszkodowanie nie pełniłoby już funkcji polegającej na naprawieniu niekorzystnych konsekwencji naruszenia, lecz funkcję o odmiennym charakterze, bliższym sankcji.
31. Prawdą jest jednak, że w porządku prawnym państwa członkowskiego może być przewidziana zapłata odszkodowania o charakterze kary(12). Pod tym pojęciem rozumie się zasądzenie zapłaty znacznej kwoty, wykraczającej poza ścisłe naprawienie szkody.
32. Odszkodowania o charakterze karnym nie są co do zasady oderwane od wcześniejszego zaistnienia szkody. Przyjmując owo zaistnienie szkody za punkt wyjścia, oddziela się jednak jej skutki majątkowe od kwoty odszkodowania odpowiadającej tej szkodzie.
33. Można sobie jednak wyobrazić, że w ramach odszkodowania o charakterze karnym szkoda zostanie pominięta lub uznana za nieistotną dla zaspokojenia roszczenia osoby wnoszącej o zasądzenie tego odszkodowania.
34. Odpowiedź na pierwsze pytanie prejudycjalne wymaga ode mnie przeanalizowania, czy tego rodzaju odszkodowania są objęte zakresem RODO, tym bardziej że odniesiono się do nich w postanowieniu odsyłającym oraz w uwagach stron i interwenientów w postępowaniu prejudycjalnym.
2. Odszkodowania o charakterze kary?
a) W przedmiocie wykładni językowej
35. Do klasycznej funkcji odpowiedzialności cywilnej można dodać jeszcze jedną funkcję, o charakterze „karnym” lub „przykładnym”, w ramach której, jak już to opisałem, kwota odszkodowania nie jest równa poniesionej szkodzie (wyrażonej w pieniądzu), lecz zwiększa lub nawet zwielokrotnia jej wartość.
36. Co do zasady prawo Unii nie stoi na przeszkodzie takim odszkodowaniom, gdy w grę wchodzi naruszenie jego przepisów, jeśli mogą one zostać przyznane w ramach podobnych postępowań opartych na prawie krajowym(13).
37. Odszkodowania o charakterze kary mają cel odstraszający. Ten sam cel może wystąpić, gdy w przypadku naruszenia dyrektywy państwa członkowskie są zobowiązane do podjęcia środków, które winny mieć „prawdziwie odstraszające działanie”(14). W niektórych dyrektywach przewidziano wyraźnie, że odszkodowania pomyślane jako sankcje powinny mieć charakter odstraszający(15).
38. Natomiast w innych aktach prawnych prawodawca stwierdza, że celem dyrektywy „[n]ie jest […] wprowadzenie obowiązku zastosowania odszkodowań o charakterze kary”(16) lub że państwa członkowskie powinny unikać takich odszkodowań podczas transpozycji owych aktów prawnych(17). W prawie Unii bezpośrednie zasądzenie tzw. odszkodowań o charakterze kary jest wyjątkiem(18).
39. RODO nie zawiera żadnego odniesienia do karnego charakteru odszkodowania za szkody majątkowe lub niemajątkowe lub do tego, że obliczenie jego kwoty powinno odzwierciedlać ten charakter, bądź też do tego, by takie odszkodowanie było odstraszające (w RODO cechę tę przypisano natomiast sankcjom karnym i administracyjnym karom pieniężnym)(19). Z językowego punktu widzenia RODO nie pozwala zatem na przyznanie odszkodowań o charakterze kary.
b) Wykładnia w świetle genezy przepisu
40. Poprzednikiem art. 82 ust. 1 RODO był art. 23 ust. 1 dyrektywy 95/46. Ten ostatni przepis był częścią systemu, który opierał swoją skuteczność na egzekwowaniu prawa na drodze publicznoprawnej i prywatnoprawnej(20), ale w którym (prywatne) odszkodowanie i (publiczna) kara nie były ze sobą mylone(21). Kontrola przestrzegania przepisów należała przede wszystkim do niezależnych organów nadzorczych(22).
41. W RODO powtórzono ten model, ale wzmocniono narzędzia zapewniające skuteczność jego przepisów, które obecnie są bardziej szczegółowe, oraz przewidzianych reakcji na ich naruszenie lub zagrożenie naruszeniem, które obecnie są bardziej intensywne:
– po pierwsze, zwiększono funkcje organów nadzorczych, na których spoczywa między innymi obowiązek stosowania zharmonizowanych sankcji przewidzianych w samym RODO(23). W ten sposób podkreślono element egzekwowania prawa na drodze publicznoprawnej;
– po drugie, przewidziano, że osoby fizyczne bronią praw przyznanych im na mocy RODO(24) bądź poprzez uruchomienie działania organów nadzorczych (art. 77), bądź na drodze sądowej (art. 79 i 82). Ponadto art. 80 upoważnia określone podmioty do wnoszenia środków prawnych na podstawie pełnomocnictwa(25), co ułatwia ochronę interesów ogólnych dostępną dla osób fizycznych(26).
42. Rozwój jednolitego systemu odpowiedzialności cywilnej za szkody w RODO został ograniczony. Aspekty, które mogły budzić wątpliwości na gruncie dyrektywy 95/46, takie jak włączenie szkód niemajątkowych do szkód podlegających naprawieniu(27), zostały wkrótce wyjaśnione. Negocjacje dotyczyły innych aspektów tego systemu(28).
43. Nie znalazłem w pracach legislacyjnych żadnej dyskusji na temat ewentualnej funkcji karnej odpowiedzialności cywilnej przewidzianej w RODO. Nie można zatem wnioskować, że jest ona objęta zakresem art. 82 RODO wobec braku jakiejkolwiek debaty w tym względzie, tym bardziej, że miała miejsce debata na temat jej włączenia do innych aktów prawa Unii(29).
44. W tych okolicznościach uważam, że przewidziany w art. 82 ust. 1 RODO środek prawny został pomyślany i uregulowany w celu spełnienia typowych funkcji odpowiedzialności cywilnej: naprawienia szkód (w odniesieniu do poszkodowanego) oraz dodatkowo zapobieżenia przyszłym szkodom (w odniesieniu do sprawcy naruszenia).
c) Wykładnia kontekstowa
45. Jak już wspomniałem, art. 82 RODO jest częścią systemu gwarancji skuteczności przepisów, w którym inicjatywa prywatna uzupełnia egzekwowanie tych przepisów na drodze publicznoprawnej. Odszkodowanie należne od administratorów lub podmiotów przetwarzających dane przyczynia się do tej skuteczności.
46. Obowiązek odszkodowania działa (z założenia) jako zachęta do ostrożniejszego działania w przyszłości, przestrzegania zasad i unikania nowych szkód. W związku z tym każda jednostka, która dochodzi odszkodowania dla siebie, przyczynia się do ogólnej skuteczności przepisów.
47. W tych ramach funkcje kompensacyjna i karna są rozdzielone:
– drugiej z tych funkcji służą kary pieniężne, które mogą zostać nałożone przez organy nadzorcze lub sądy (art. 83 ust. 1 i 9 RODO), oraz inne sankcje, które państwa przyjmują na podstawie art. 84 RODO(30);
– pierwszej z tych funkcji służą skarga jednostki (art. 77) oraz postępowanie sądowe (art. 79). Do organów nadzorczych nie należy jednak rozstrzyganie o prawie do odszkodowania.
48. Zgodnie z tą samą zasadą rozdziału funkcji kompensacyjnej i karnej:
– nakładając karę pieniężną i ustalając jej wysokość, organ musi wziąć pod uwagę czynniki wymienione w art. 83 RODO, które nie są przewidziane w dziedzinie odpowiedzialności cywilnej i których co do zasady nie da się zastosować przy obliczeniu odszkodowania(31);
– jeżeli rozmiar szkód poniesionych przez poszkodowanych jest czynnikiem stopniowania kary pieniężnej(32), przy obliczaniu jej kwoty nie trzeba uwzględniać odszkodowania, które poszkodowani mogli otrzymać(33).
49. Z perspektywy teoretycznej wykładnia, która w przypadku braku jakiejkolwiek szkody nadaje odpowiedzialności cywilnej funkcję karną, stwarza ryzyko nakładania się mechanizmów odszkodowawczych na mechanizmy sankcyjne.
50. W praktyce łatwość osiągnięcia efektu „karnego” za pomocą odszkodowania mogłoby sprawić, że osoby, których dane dotyczą, będą preferować tę drogę w stosunku do drogi przewidzianej w art. 77 RODO. W przypadku uogólnienia pozbawiłoby to organy nadzorcze narzędzia (skargi osoby, której dane dotyczą) pozwalającego na rozpoznanie, a tym samym na zbadanie i ukaranie ewentualnych naruszeń RODO, ze szkodą dla najbardziej odpowiednich narzędzi ochrony interesu ogólnego.
d) W przedmiocie wykładni celowościowej
51. Za pomocą RODO dąży się zasadniczo do realizacji dwóch celów, które wymieniono już w tytule tego rozporządzenia, a są nimi: a) po pierwsze, „ochron[a] osób fizycznych w związku z przetwarzaniem danych osobowych”; b) po drugie, zapewnienie, aby ochrona ta była sformułowana w taki sposób, by „swobodny przepływ takich danych” w Unii nie był zakazany ani ograniczony(34).
52. Uważam, że aby osiągnąć te cele, RODO nie wymaga powiązania odszkodowania z samym naruszeniem przepisu regulującego przetwarzanie, co nadaje odpowiedzialności cywilnej funkcje karne.
53. Jeśli chodzi o pierwszy cel, do jego osiągnięcia nie jest konieczne rozszerzenie w drodze wykładni zakresu stosowania art. 82 RODO poprzez objęcie nim przypadków, w których doszło do naruszenia przepisu, lecz nie doszło do powstania szkody. Rozszerzenie to mogłoby natomiast mieć negatywny wpływ na drugi cel.
54. Wskazałem już, że RODO przewiduje szereg mechanizmów gwarantujących przestrzeganie jego przepisów, które współistnieją i uzupełniają się wzajemnie. Państwa członkowskie nie muszą (i w rzeczywistości nie mogą) wybierać spośród mechanizmów przewidzianych w rozdziale VIII w celu zapewnienia ochrony danych. W przypadku naruszenia, które nie powoduje szkody, osoba, której dane dotyczą, jest jeszcze (co najmniej) uprawniona do wniesienia skargi do organu nadzorczego na podstawie art. 77 ust. 1 RODO.
55. Ponadto perspektywa uzyskania odszkodowania bez względu na jakąkolwiek szkodę prawdopodobnie przyczyniłaby się do sporów cywilnych i pozwów, które nie zawsze mogą być uzasadnione(35), i w tym zakresie mogłaby zniechęcić do działalności polegającej na przetwarzaniu danych(36).
3. Domniemanie szkody?
56. W niektórych z uwag stron sporu zaproponowano inną interpretację pierwszego pytania prejudycjalnego niż ta, którą dotychczas analizowałem. Jeśli dobrze rozumiem ich stanowisko(37), strony te zdają się opowiadać za tym, że istnieje niepodważalne domniemanie szkody, gdy już dojdzie do naruszenia przepisu.
57. Wspomniane strony dodają, że takie naruszenie prowadziłoby nieuchronnie do utraty kontroli nad danymi, co samo w sobie stanowiłoby szkodę podlegającą naprawieniu na podstawie art. 82 ust. 1 RODO.
58. Teoretycznie domniemanie to nie pozwala na pominięcie szkody, wobec czego typowa struktura odpowiedzialności cywilnej, jak również dosłowne brzmienie przepisu RODO są przestrzegane. W praktyce jednak skutki przyznania rzeczonego domniemania byłyby dla powoda i pozwanego podobne do tych wynikających z powiązania odszkodowania przewidzianego w art. 82 ust. 1 RODO z samym naruszeniem przepisu.
59. Jeszcze raz powołam się na zwyczajowe kryteria wykładni, aby wyjaśnić, dlaczego wykładnia ta nie wydaje mi się trafna.
a) W przedmiocie wykładni językowej
60. Gdy prawodawca uznał w innych dziedzinach prawa Unii, że prawo do odszkodowania wynika automatycznie z naruszenia przepisu, nie zawahał się ustanowić tego prawa(38). Nie dotyczy to RODO, gdzie zawarte są zasady dowodowe lub mające bezpośrednie konsekwencje dla dowodów(39), ale nie ma takiego automatycznego związku, czy to bezpośredniego, czy też w drodze domniemania niewzruszalnego.
61. Nie wydaje mi się, aby odniesienia do kontroli danych (lub do utraty tej kontroli), które są zawarte w motywach 75(40) i 85(41) RODO, równoważyły ten brak. Pomijając fakt, że motywy jako takie nie mają wartości normatywnej, żaden z tych dwóch motywów nie potwierdza tezy, że naruszenie przepisu samo w sobie prowadzi do szkody podlegającej naprawieniu:
– w motywie 75 jest mowa o uniemożliwieniu kontroli nad danymi osobowymi jako jednemu z możliwych rodzajów ryzyka związanych z przetwarzaniem danych;
– motyw 85 odnosi się do utraty kontroli jako jednej z konsekwencji, które mogłyby wystąpić w wyniku naruszenia bezpieczeństwa danych osobowych(42).
62. Utrata kontroli nad danymi nie musi nieuchronnie prowadzić do szkody. Wyrażenie to można rozumieć jako dopuszczone językowo odniesienie do szkód powstałych w następstwie takiej utraty, gdyby owe szkody wystąpiły(43).
b) Wykładnia w świetle genezy
63. Analiza genezy również nie potwierdza istnienia takiego domniemania, które nie było zawarte w dyrektywie 95/46(44), a przeanalizowane przeze mnie dokumenty Komisji, Parlamentu Europejskiego lub Rady poprzedzające przyjęcie RODO nie przewidywały go.
c) Wykładnia kontekstowa
64. System RODO przewiduje elementy pozwalające zakwestionować przyjęcie spornego domniemania w oparciu o zgodę osoby, której dane dotyczą(45). Jako środek kontroli danych zgoda ta zapewnia zgodność przetwarzania danych z prawem na tym samym poziomie co inne podstawy prawne (art. 6 RODO)(46).
65. Zgodne z prawem przetwarzanie danych osobowych jest możliwe niezależnie od zgody osoby, której dane dotyczą, a zatem niezależnie od kontroli, jaką stanowi wyrażenie lub odmowa wyrażenia takiej zgody. Podsumowując: jej znaczenie w systemie nie jest bezwzględne.
66. Ponadto w RODO przewidziano inne możliwości wykonywania tej kontroli: należy do nich prawo do usunięcia danych, które zobowiązuje administratora do usunięcia odpowiednich informacji „bez zbędnej zwłoki”(47).
67. W przypadku osoby, której dane są przetwarzane, prawo to działa jako wentyl bezpieczeństwa systemu ochrony: utrzymuje się ono (jako zasada ogólna), gdy administrator nie uzyskał zgody osoby, której dane dotyczą, a także gdy nie ma żadnej innej podstawy uzasadniającej przetwarzanie danych, i nie zależy od tego, czy przetwarzanie danych powoduje jakąkolwiek szkodę(48).
d) W przedmiocie wykładni celowościowej
1) Czy kontrola osoby, której dane dotyczą, nad jej danymi jest celem RODO?
68. Automatyczna równoważność między przetwarzaniem danych osobowych, w odniesieniu do którego nie uzyskano zgody osoby, której dane dotyczą, a szkodą podlegającą naprawieniu zakłada, że kontrola ta, której nośnikiem jest zgoda, stanowi wartość samą w sobie.
69. Przyznaję, że na pierwszy rzut oka pogląd ten nie jest pozbawiony poparcia. We wniosku Komisji jako jeden z głównych powodów reformy wskazano, że obywatele powinni mieć kontrolę nad swoimi danymi(49). W motywie 7 RODO stwierdza się, że „[o]soby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi”.
70. Niewątpliwie przy dokonywaniu wykładni tego pojęcia należy zachować ostrożność, niezależnie od dyskusji w doktrynie, które ono wywołało. W RODO nie ma precyzyjnej definicji „kontroli” (ani nie znalazłem jej gdzie indziej)(50). Termin ten ma co najmniej dwa znaczenia, które nie wykluczają się wzajemnie: „władza” lub „panowanie” oraz „nadzór”.
71. Brzmienie motywu 7 RODO budzi pewne wątpliwości, ponieważ różni się w zależności od wersji językowych(51). Biorąc pod uwagę jego treść, jestem zdania, że RODO zapewnia osobie, której dane dotyczą, uprawnienia do nadzoru i interwencji w odniesieniu do wykonywanych przez inne podmioty operacji dotyczących danych, które to uprawnienia stanowią instrument (obok innych instrumentów) służący ochronie tych danych.
72. Osoba, której dane dotyczą, sama przyczynia się do ochrony informacji, jakie stanowią dane, i jest za nią odpowiedzialna w zakresie, na poziomie i na zasadach przewidzianych w RODO. Zakres roszczenia indywidualnego jest ograniczony: w odniesieniu do wymienionych w RODO praw ogranicza się do wykonywania tych praw w ściśle określonych warunkach.
73. Zgoda osoby, której dane dotyczą, jako ostateczny wyraz kontroli(52), jest tylko jedną z podstaw prawnych zgodnego z prawem przetwarzania, ale nie ma ona zdolności do zaradzenia brakowi spełnienia innych obowiązków i warunków spoczywających na administratorze i podmiocie przetwarzającym.
74. Wywnioskowanie z RODO, że jego celem jest przyznanie osobie, której dane dotyczą, kontroli nad danymi osobowymi jako wartości samej w sobie, nie wydaje mi się łatwe. Podobnie nie wydaje mi się łatwe wywnioskowanie, że osoba, której dane dotyczą, powinna mieć możliwie największą kontrolę nad takimi danymi,.
75. Stwierdzenie to nie jest zaskakujące. Po pierwsze, nie jest oczywiste, że kontrola w znaczeniu władzy nad danymi stanowi część zasadniczej treści prawa podstawowego do ochrony danych osobowych(53). Po drugie, rozumienie tego prawa jako prawa do informacyjnego samostanowienia jest dalekie od jednomyślności: w art. 8 karty nie użyto takich terminów(54).
76. Podobnie w ostatecznym tekście RODO nie znalazł się również motyw, zgodnie z którym „prawo do ochrony danych osobowych opiera się na prawie osoby, której dane dotyczą, do sprawowania kontroli nad przetwarzanymi danymi osobowymi”(55).
77. Powyższe rozważania, być może zbyt abstrakcyjne, prowadzą mnie do stwierdzenia, że w sytuacji gdy osoba, której dane dotyczą, nie wyraża zgody na przetwarzanie danych i przetwarzanie to odbywa się bez innej uzasadnionej podstawy prawnej, nie powinna ona jednak otrzymać z tego powodu rekompensaty finansowej z tytułu utraty kontroli nad swoimi danymi, tak jakby utrata ta skutkowała sama w sobie szkodą podlegającą naprawieniu(56). Okoliczność, czy ponadto osoba ta poniosła szkodę, musi zostać zbadana (i musi zostać udowodniona)(57).
2) Kontrola osoby, której dane dotyczą, w określonym kontekście
78. Wreszcie wydaje mi się, że należy przypomnieć, iż ochrona danych osobowych została określona jako cel RODO obok celu polegającego na wspieraniu swobodnego przepływu danych(58).
79. Wzmocnienie kontroli obywatela nad jego informacjami osobowymi w środowisku cyfrowym jest jednym z uznanych celów modernizacji systemu ochrony danych osobowych, ale nie jest to cel niezależny czy odosobniony.
80. W komunikacie towarzyszącym jej wnioskowi w sprawie RODO Komisja powiązała wysoki poziom ochrony danych z zaufaniem do usług internetowych, które umożliwia wykorzystanie potencjału gospodarki cyfrowej i pobudzenie „wzrostu gospodarczego i zwiększani[e] konkurencyjności przemysłu UE”. Wraz z odnowieniem (i zwiększoną harmonizacją) przepisów prawa Unii wzmacnia się „wymiar jednolitego rynku dotyczący ochrony danych”(59).
81. Z uwagi na dowody na wartość danych (osobowych i nieosobowych) dla postępu gospodarczego i społecznego w Europie RODO nie ma na celu zwiększenia kontroli jednostki nad dotyczącymi jej informacjami po prostu poprzez dostosowanie się do jej preferencji, lecz pogodzenie prawa do ochrony danych osobowych każdej osoby z interesami osób trzecich i społeczeństwa(60).
82. Pragnę podkreślić, że RODO nie ma na celu systemowego ograniczenia przetwarzania danych osobowych, lecz usankcjonowanie go pod ściśle określonymi warunkami. Temu celowi służy przede wszystkim wspieranie zaufania osoby, której dane dotyczą, do tego, że przetwarzanie będzie dokonywane w bezpiecznym kontekście(61), do którego ona sama się przyczynia. W ten sposób zachęca się osobę, której dane dotyczą, do dobrowolnego wyrażenia zgody na udostępnienie i wykorzystanie jej danych, między innymi w zakresie internetowych transakcji handlowych.
C. W przedmiocie drugiego pytania prejudycjalnego
83. Sąd odsyłający zmierza do ustalenia, czy „dla ustalenia wysokości odszkodowania poza zasadami skuteczności i równoważności istnieją inne wymogi w prawie Unii”.
84. W rzeczywistości nie wydaje się, aby zasada równoważności odgrywała tutaj istotną rolę: zharmonizowany system RODO ma bezpośrednie zastosowanie w tej dziedzinie, a art. 82 RODO stosuje się do wszystkich szkód niemajątkowych wynikających z naruszenia, niezależnie od miejsca ich powstania.
85. Ta sama uwaga dotyczy zasady skuteczności. Inną sprawą jest to, czy odszkodowanie, zgodnie z tym, co postuluje się w motywie 146 RODO (że osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody), powinno mieć taką czy inną treść.
86. Artykuł 82 RODO zawiera jedynie wymóg naruszenia jego przepisów, w przypadku gdy naruszenie to skutkuje szkodą majątkową lub niemajątkową poniesioną przez jakąkolwiek osobę. Przepis ten nie określa wytycznych dla sądów krajowych dotyczących obliczania in concreto kwoty odszkodowania za takie szkody.
87. Zgodnie z dwoma wyżej wymienionymi określeniami („pełne” i „skuteczne”) odszkodowanie będzie zależało w pierwszej kolejności od żądania, z jakim wystąpi dany powód.
88. Gdyby żądanie to polegało na zasądzeniu odszkodowania o charakterze karnym(62), odpowiedź na pierwsze pytanie prejudycjalne byłaby wystarczająca: tego rodzaju odszkodowanie nie pojawia się w RODO. W jego ramach odpowiedzialność cywilna pełni funkcję „prywatnego” naprawienia szkody, natomiast kary pieniężne i sankcje karne pełnią funkcję publiczną, polegającą na odstraszaniu i, w stosownych przypadkach, karaniu.
89. Nie można wykluczyć, że odszkodowanie dochodzone z tytułu szkody niemajątkowej będzie zawierać elementy inne niż jedynie pieniężne, np. przyznanie, że doszło do naruszenia, co daje pewne moralne zadośćuczynienie powodowi. Wyrok Trybunału z dnia 15 kwietnia 2021 r.(63), choć zapadł w dziedzinie, która nie pokrywa się z dziedziną ochrony danych osobowych, pozwoliłby w drodze analogii na uwzględnienie tego żądania.
90. W porządkach prawnych, które to przewidują, możliwe jest, aby w systemie odpowiedzialności cywilnej przewidziane było wydanie wyroków zasądzających z tytułu dochodzenia prawa (zapłata symbolicznego odszkodowania) lub neutralizacji nienależnej korzyści (zwrot niesłusznie uzyskanego dochodu).
91. U podstaw pierwszych z wymienionych wyroków zasądzających leży idea nadania ciągłości i wykonania prawa („Rechtsfortsetzungsfunktion”) poprzez zasądzenie czysto symbolicznego odszkodowania, oprócz stwierdzenia, że pozwany dopuścił się czynu niedozwolonego i naruszył prawa powoda. Koncepcji tej nie przewiduje art. 82 RODO ani nie ma o niej wzmianki we wcześniejszych pracach, co nie powinno zaskakiwać, ponieważ nie jest ona wspólna dla systemów prawnych państw członkowskich(64) ani też nie jest niekontrowersyjna w tych, w których istnieje(65).
92. System RODO i jego cele nie stoją jednak na przeszkodzie temu, aby państwa członkowskie, które przewidują ten środek zaradczy, zapewniały go osobom dotkniętym naruszeniem przepisu w ramach środków prawnych ustanowionych w art. 79 RODO w przypadku całkowitego braku szkody. Jeżeli natomiast powód utrzymuje, że poniósł szkodę majątkową, sytuacja ta jest uregulowana w art. 82 RODO, a trudności w jej udowodnieniu nie powinny prowadzić do symbolicznego odszkodowania(66).
93. Jeśli chodzi o wyroki zasądzające polegające na przyznaniu określonej kwoty w wyniku naruszeniu prawa, mogą one mieć na celu pozbawienie sprawcy osiągniętej korzyści. Poza dziedziną własności intelektualnej(67) cel ten nie jest wspólny w prawie dotyczącym odpowiedzialności z tytułu czynu niedozwolonego, które dotyczy raczej straty poniesionej przez poszkodowanego, a nie zysku sprawcy(68). Nie jest on uwzględniony w przepisach RODO.
94. Przedstawiam te rozważania w celu ułatwienia sądowi odsyłającemu jego zadania, zważywszy na obszerność drugiego pytania prejudycjalnego. Jest jednak dla mnie jasne, że ich przydatność może być niewielka dla uwzględnienia lub oddalenia powództwa, w którym osoba, której dane dotyczą, żąda odszkodowania o charakterze ściśle finansowym z tytułu szkody niemajątkowej.
D. W przedmiocie trzeciego pytania prejudycjalnego
95. Sąd odsyłający zmierza do ustalenia, czy w RODO stwierdzenie szkody niemajątkowej jest uzależnione od „naruszenia prawa o przynajmniej pewnej wadze, która wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa”.
96. Jako kryterium tego, co podlega odszkodowaniu, we wniosku o wydanie orzeczenia w trybie prejudycjalnym wzięto pod uwagę intensywność odczuć danej osoby. Natomiast nie zawarto w nim pytania (przynajmniej nie bezpośrednio), czy określone emocje lub odczucia tej osoby są istotne lub nieistotne dla celów art. 82 ust. 1 RODO ze względu na ich treść(69).
97. Powstaje zatem wątpliwość, czy państwa członkowskie mogą uzależnić odszkodowanie za szkodę niemajątkową od rozmiaru konsekwencji wynikających z naruszenia przepisu, uwzględniając jedynie te, które przekraczają pewien próg wagi naruszenia. Pytanie nie dotyczyłoby zatem pojęć podlegających odszkodowaniu(70) ani wysokości odszkodowania, lecz istnienia minimalnej granicy reakcji poszkodowanego, poniżej której nie otrzymywałby on odszkodowania.
98. Artykuł 82 RODO nie daje bezpośredniej odpowiedzi na to pytanie. Moim zdaniem odpowiedź nie znajduje się również w motywach 75 i 85. Oba te motywy zawierają przykładowe wyliczenie szkód, zakończone klauzulą otwartą, która zdaje się ograniczać szkody podlegające naprawieniu do „znacznych” szkód.
99. Nie uważam jednak, aby te motywy były przydatne do rozstrzygnięcia wątpliwości sądu odsyłającego:
– pierwszy z nich dotyczy identyfikacji i oceny ryzyka związanego z przetwarzaniem danych oraz podejmowania środków mających na celu zapobieganie temu ryzyku lub jego ograniczanie. Obrazuje on niepożądane konsekwencje każdego przetwarzania i kładzie nacisk „w szczególności” na niektóre z tych konsekwencji, z pewnością ze względu na ich poważniejszy charakter;
– drugi z nich odnosi się do naruszeń bezpieczeństwa danych i wskazuje, że następstwa takich naruszeń mogą być znaczące.
100. Ze stwierdzenia zawartego w motywie 146 RODO [że za „(wszelką) szkodę” powinno przysługiwać odszkodowanie od administratora](71) również nie wynikają żadne kryteria, które pozwoliłyby odpowiedzieć na to pytanie.
101. Umieszczenie tego motywu w tekście RODO spowodowało, że rozporządzenie to obejmuje wyraźnie szkody niemajątkowe, podczas gdy w dyrektywie 95/46 kwestia ta została przemilczana(72). Jednakże nie poruszono w szczególności kwestii podniesionej obecnie przed Trybunałem.
102. W tym samym motywie 146 RODO stwierdza się, że „[p]ojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia”.
103. Nie jestem pewien, czy takie wskazanie byłoby bardzo użyteczne w kontekście ochrony danych, ponieważ w czasie, gdy przyjęto RODO, Trybunał nie wydał jeszcze orzeczenia w tej dziedzinie(73). Jeżeli zamiarem było odniesienie się do wyroków dotyczących odpowiedzialności cywilnej uregulowanej w innych dyrektywach lub rozporządzeniach, powołanie się na analogię byłoby pożądane.
104. W rzeczywistości Trybunał nie opracował ogólnej definicji „szkody”, która mogłaby być stosowana bez rozróżnienia w każdej dziedzinie(74). W zakresie, w jakim jest to istotne w niniejszej sprawie (szkody niemajątkowe), z jego orzecznictwa można wywnioskować, że:
– w przypadku gdy celem (lub jednym z celów) przepisu, którego wykładni się dokonuje, jest ochrona jednostki lub pewnej kategorii jednostek(75), pojęcie szkody musi być szerokie;
– zgodnie z tym kryterium odszkodowanie rozciąga się na szkody niemajątkowe, nawet jeśli nie są one wymienione w przepisie, którego wykładni się dokonuje(76).
105. O ile orzecznictwo Trybunału pozwala bronić stanowiska, że w przedstawionych powyżej warunkach istnieje w prawie Unii zasada odszkodowania za szkody niemajątkowe, o tyle nie uważam, by można było z niego wywieść zasadę, zgodnie z którą każda szkoda niemajątkowa, niezależnie od jej wagi, podlega odszkodowaniu.
106. Trybunał uznał, że przepis krajowy, który dla celów obliczenia wysokości odszkodowania rozróżnia szkody niemajątkowe związane z obrażeniami ciała w wyniku wypadku w zależności od ich źródła, jest zgodny z przepisami prawa Unii(77).
107. Trybunał ocenił również, jakie okoliczności mogą spowodować szkody niemajątkowe zgodnie z przepisem mającym zastosowanie w każdej sprawie(78), ale nie wypowiedział się jednoznacznie (o ile się nie mylę) co do wymogu dotyczącego wagi tych szkód(79).
108. W związku z powyższym uważam, że na trzecie pytanie prejudycjalne należy udzielić odpowiedzi twierdzącej.
109. Na poparcie mojego stanowiska pragnę przypomnieć, że RODO nie ma na celu wyłącznie ochrony prawa podstawowego do ochrony danych osobowych(80) oraz że jego system gwarancji obejmuje mechanizmy różnego rodzaju(81).
110. W tym kontekście istotne jest zasugerowane Trybunałowi rozróżnienie między szkodami niemajątkowymi podlegającymi naprawieniu a innymi niedogodnościami wynikającymi z nieprzestrzegania prawa, które ze względu na swój niewielki rozmiar niekoniecznie rodziłyby prawo do odszkodowania.
111. Takie rozróżnienie jest postrzegane w krajowych porządkach prawnych jako nieuniknione następstwo życia w społeczeństwie(82). Trybunał nie jest niepomny tej różnicy, którą dostrzega, gdy odnosi się do trudności i niedogodności jako autonomicznej kategorii w stosunku do kategorii szkód w dziedzinach, w odniesieniu do których uważa, że powinny one zostać naprawione(83). Nic nie stoi na przeszkodzie, by rozróżnienie to zastosować w odniesieniu do RODO.
112. Ponadto przewidziane w art. 82 ust. 1 RODO prawo do odszkodowania nie wydaje mi się właściwym instrumentem przeciwdziałania naruszeniom w przetwarzaniu danych osobowych, jeśli naruszenia te wywołują u osoby, której dane dotyczą, jedynie złość lub wzburzenie.
113. Co do zasady każde naruszenie przepisu dotyczącego ochrony danych osobowych wywołuje jakąś negatywną reakcję osoby, której dane dotyczą. Odszkodowanie wynikające z samego poczucia niezadowolenia z powodu braku poszanowania prawa przez inną osobę można łatwo pomylić z odszkodowaniem bez szkody, które już odrzuciłem powyżej.
114. Z praktycznego punktu widzenia włączenie zwykłych niedogodności do szkód niemajątkowych podlegających naprawieniu, przy uwzględnieniu uciążliwości i trudności, które są charakterystyczne dla dochodzenia roszczenia przez powoda(84) i dla obrony przez pozwanego(85), nie jest skuteczne.
115. Odmówienie prawa do odszkodowania za słabe i przejściowe odczucia czy emocje(86) związane z naruszeniem przepisów dotyczących przetwarzania danych nie pozostawia osoby, której dane dotyczą, całkowicie pozbawionej ochrony. Jak wskazałem w odniesieniu do pytania pierwszego, system RODO zapewnia takiej osobie inne środki zaradcze.
116. Nie wątpię, że granica między zwykłymi niedogodnościami (niepodlegającymi odszkodowaniu) a rzeczywistymi szkodami niemajątkowymi (podlegającymi odszkodowaniu) jest cienka, i wiem, jak skomplikowane jest abstrakcyjne rozgraniczenie tych dwóch kategorii oraz ich konkretne zastosowanie w sporze. To trudne zadanie należy do sądów państw członkowskich, które prawdopodobnie nie będą mogły pomijać w swoich orzeczeniach postrzegania przez społeczeństwo w danym momencie dopuszczalnej tolerancji, gdy subiektywne konsekwencje naruszenia przepisu w tej dziedzinie nie przekraczają pewnego poziomu de minimis(87).
V. Wnioski
117. W świetle powyższego proponuję, aby Trybunał odpowiedział Oberster Gerichtshof (sądowi najwyższemu, Austria) w następujący sposób:
Artykuł 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) należy interpretować w ten sposób, że:
w celu uznania prawa do odszkodowania za szkody poniesione przez osobę w wyniku naruszenia tego rozporządzenia nie wystarczy jedynie naruszenie przepisu samo w sobie, jeżeli nie pojawiają się odpowiadające mu szkody majątkowe lub niemajątkowe;
odszkodowanie za szkody niemajątkowe, które jest uregulowane w tym przepisie, nie obejmuje samego wzburzenia, jakie dana osoba może odczuwać w związku z naruszeniem przepisów rozporządzenia 2016/679. Do sądów krajowych należy ustalenie, kiedy, ze względu na swoje cechy, subiektywne odczucie niezadowolenia może być uznane w danym przypadku za szkodę niemajątkową.