Language of document : ECLI:EU:C:2022:756

OPINIA RZECZNIKA GENERALNEGO

MANUELA CAMPOSA SÁNCHEZA-BORDONY

przedstawiona w dniu 6 października 2022 r.(1)

Sprawa C300/21

UI

przeciwko

Österreichische Post AG

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberster Gerichtshof (sąd najwyższy, Austria)]

Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Szkoda niemajątkowa wynikająca z niezgodnego z prawem przetwarzania danych – Przesłanki prawa do odszkodowania – Szkody przekraczające określony próg wagi






1.        Rozporządzenie (UE) 2016/679(2) przyznaje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia jego przepisów, prawo do otrzymania odszkodowania od administratora lub podmiotu przetwarzającego.

2.        Możliwość dochodzenia tego prawa na drodze sądowej istniała już w poprzednim uregulowaniu (art. 23 dyrektywy 95/46/WE)(3), choć korzystano z niej w niewielkim stopniu(4). O ile się nie mylę, Trybunał nie dokonał jeszcze wykładni konkretnie tego artykułu.

3.        Na mocy RODO powództwa o odszkodowanie zyskały na znaczeniu(5). Ich wzrost jest odczuwalny w sądach państw członkowskich i znajduje odzwierciedlenie w odpowiednich odesłaniach prejudycjalnych(6). W ramach niniejszego odesłania prejudycjalnego Oberster Gerichtshof (sąd najwyższy, Austria) zwraca się do Trybunału o wyjaśnienie niektórych kwestii wspólnych systemu odpowiedzialności cywilnej ustanowionego na mocy RODO.

I.      Ramy prawne. RODO

4.        Istotne dla niniejszego sporu są w szczególności motywy 75, 85 i 146 preambuły RODO.

5.        Artykuł 6 („Zgodność przetwarzania z prawem”) stanowi:

„1.      Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)      osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

[…]”.

6.        Artykuł 79 („Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”) stanowi w ust. 1:

„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”.

7.        Artykuł 82 („Prawo do odszkodowania i odpowiedzialność”) stanowi w ust. 1:

„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

II.    Okoliczności faktyczne, postępowanie i pytania prejudycjalne

8.        Od 2017 r. Österreichische Post AG, spółka będąca wydawnictwem baz adresowych, zbierała informacje na temat sympatii społeczeństwa austriackiego do partii politycznych. Za pomocą algorytmu definiowała ona „adresy grup docelowych” według określonych cech społeczno‑demograficznych.

9.        UI jest osobą fizyczną, w odniesieniu do której Österreichische Post dokonała ekstrapolacji za pomocą obliczeń statystycznych w celu określenia jego klasyfikacji w ramach możliwych grup docelowych dla reklamy wyborczej różnych partii politycznych. Z ekstrapolacji tej wynikało, że UI wykazywał „bliskość przekonań” z jedną z nich. Dane te nie były przekazywane osobom trzecim.

10.      UI, który nie wyraził zgody na przetwarzanie swoich danych osobowych, był zirytowany przechowywaniem danych dotyczących jego sympatii partyjnych oraz oburzony i urażony faktem, że Österreichische Post uznała go za sympatyzującego z konkretną partią polityczną.

11.      UI zażądał odszkodowania w wysokości 1000 EUR tytułem poniesionej szkody niemajątkowej (wewnętrznego dyskomfortu). Twierdzi on, że przypisywanie mu rzeczonych sympatii partyjnych jest obelżywe i hańbiące, a także godzi w jego dobre imię. UI dodaje, że zachowanie Österreichische Post wywołało u niego wielkie wzburzenie i utratę zaufania, a także poczucie kompromitacji jego osoby.

12.      Sąd pierwszej instancji oddalił roszczenie UI o odszkodowanie(7).

13.      Sąd apelacyjny utrzymał w mocy wyrok sądu pierwszej instancji. Orzekł on, że nie każde naruszenie RODO skutkuje automatycznie odszkodowaniem za szkody niemajątkowe oraz że:

–      ponieważ prawo austriackie ma zastosowanie w uzupełnieniu do RODO, naprawieniu podlegają jedynie szkody, które wykraczają poza wzburzenie lub stany emocjonalne („Gefühlsschaden”) spowodowane naruszeniem praw powoda;

–      należy przestrzegać zasady leżącej u podstaw prawa austriackiego, zgodnie z którą doświadczanie przez kogokolwiek zwykłego dyskomfortu i zwykłego uczucia nieprzyjemności nie wywiera żadnych konsekwencji w zakresie odszkodowania. Innymi słowy – prawo do odszkodowania wymaga pewnej istotności podnoszonych szkód.

14.      Od wyroku sądu apelacyjnego wniesiono skargę rewizyjną do Oberster Gerichtshof (sądu najwyższego, Austria), który kieruje do Trybunału następujące pytania prejudycjalne:

„1)      Czy zasądzenie odszkodowania na podstawie art. 82 […] RODO wymaga, oprócz naruszenia przepisów RODO, aby powód poniósł szkodę, czy też samo naruszenie przepisów RODO jest wystarczające do zasądzenia odszkodowania?

2)      Czy dla ustalenia wysokości odszkodowania poza zasadami skuteczności i równoważności istnieją inne wymogi w prawie Unii?

3)      Czy zgodny z prawem Unii jest pogląd, że warunkiem stwierdzenia poniesienia szkody niemajątkowej jest to, iż powstała ona w konsekwencji lub w następstwie naruszenia prawa o przynajmniej pewnej wadze, która wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa?”.

III. Postępowanie

15.      Wniosek o wydanie orzeczenia w trybie prejudycjalnym wpłynął do Trybunału w dniu 12 maja 2021 r.

16.      Uwagi na piśmie zostały przedstawione przez UI, Österreichische Post, rządy austriacki, czeski i irlandzki oraz przez Komisję Europejską. Nie uznano za konieczne przeprowadzenia rozprawy.

IV.    Analiza

A.      Uwagi wstępne

1.      W przedmiocie dopuszczalności

17.      UI utrzymuje, że pierwsze pytanie prejudycjalne nie ma znaczenia dla sporu, ponieważ jego pozew nie był oparty na „zwykłym” naruszeniu przepisu RODO, lecz na jego konsekwencjach lub skutkach.

18.      Zarzut niedopuszczalności powinien zostać oddalony. Nawet gdyby przyjąć, że przetwarzanie danych naruszyło RODO bez szkody dla UI, UI mógłby mieć prawo do odszkodowania na podstawie art. 82 RODO, gdyby – jak wynika z pytanie sądu odsyłającego – potwierdziło się, że samo naruszenie przepisu dotyczącego przetwarzania daje takie prawo.

19.      Zdaniem UI Trybunał mógłby również uznać drugie pytanie prejudycjalne za niedopuszczalne, ponieważ jest ono bardzo otwarte pod względem treści i nadmiernie ograniczone w odniesieniu do wymogów wynikających z prawa Unii, przy czym żaden z takich wymogów nie został konkretnie wskazany.

20.      Zarzut ten, mimo iż jest on bardziej zasadny niż poprzedni, także nie zasługuje na uwzględnienie. Sąd postępuje słusznie, zamierzając ustalić, czy w celu dokonania oceny szkody musi ocenić – oprócz przestrzegania zasad równoważności i skuteczności – także inne wymogi określone w prawie Unii.

2.      Określenie przedmiotu niniejszej opinii

21.      Artykuł 82 RODO składa się z sześciu ustępów. Sąd odsyłający nie odnosi się do żadnego konkretnie, lecz powołuje się na pierwszy z nich w sposób dorozumiany. Nie precyzuje też przepisu, którego naruszenie miałoby stanowić podstawę odszkodowania.

22.      Moja opinia będzie oparta na następujących założeniach:

–      przetwarzanie danych osobowych UI miało miejsce bez uzyskania jego zgody w rozumieniu art. 6 ust. 1 lit. a) RODO;

–      prawo do odszkodowania przysługuje każdej osobie, która poniosła szkodę. W niniejszej sprawie UI, jako zidentyfikowana osoba fizyczna, której dotyczy przetwarzanie, jest „osobą, której dane dotyczą”(8);

–      RODO przewiduje odszkodowanie za szkody majątkowe lub niemajątkowe. Roszczenie UI ogranicza się do szkód niemajątkowych i zostało wyrażone w pieniądzu.

B.      W przedmiocie pierwszego pytania prejudycjalnego

23.      W ramach pytania pierwszego sąd odsyłający zmierza w istocie do ustalenia, czy samo naruszenie przepisów RODO powoduje powstanie prawa do odszkodowania, niezależnie od tego, czy szkoda została wyrządzona, czy też nie.

24.      Z ustaleń sądu odsyłającego i uwag przedstawionych Trybunałowi można wywnioskować, że pytanie to dopuszcza również inną, nieco bardziej złożoną interpretację: pytanie dotyczyłoby wyjaśnienia, czy naruszenie przepisów RODO powoduje koniecznie powstanie szkody dającej prawo do odszkodowania, przy czym pozwany nie ma możliwości przedstawienia dowodu przeciwnego.

25.      Istnieje pewna (teoretyczna) różnica między tymi dwoma podejściami: w pierwszym podejściu szkoda nie jest przesłanką odszkodowania, w drugim natomiast jest. W praktyce w obu przypadkach znika wymóg udowodnienia szkody przez powoda; nie musi on również udowadniać związku przyczynowego między naruszeniem a tą szkodą(9).

26.      W każdym wypadku pragnę zaznaczyć, że żadna z dwóch interpretacji pytania pierwszego nie zasługuje moim zdaniem na odpowiedź twierdzącą. Odniosę się do tych dwóch interpretacji oddzielnie.

1.      Odszkodowanie bez szkody?

27.      Twierdzenie, że istnieje prawo do odszkodowania, nawet jeśli z naruszenia RODO nie wynika żadna szkoda dla osoby, której dane dotyczą, rodzi oczywiste trudności, począwszy od tej związanej z dosłownym brzmieniem art. 82 ust. 1 tego rozporządzenia.

28.      Zgodnie z tym przepisem odszkodowanie(10) przyznaje się właśnie dlatego, że wcześniej wystąpiła szkoda. Jednoznacznie wymagane jest zatem, aby osoba fizyczna poniosła szkodę w wyniku naruszenia RODO.

29.      Wykładnia, która łączy automatycznie pojęcie „naruszenia” z pojęciem „odszkodowania” bez szkody, jest zatem nie do pogodzenia z brzmieniem art. 82 RODO. Nie da się jej również pogodzić z podstawowym celem odpowiedzialności cywilnej ustanowionym na mocy RODO, jakim jest zadośćuczynienie osobie, której dane dotyczą, właśnie poprzez „pełne i skuteczne” odszkodowanie za poniesioną przez nią szkodę(11).

30.      Wobec braku szkody odszkodowanie nie pełniłoby już funkcji polegającej na naprawieniu niekorzystnych konsekwencji naruszenia, lecz funkcję o odmiennym charakterze, bliższym sankcji.

31.      Prawdą jest jednak, że w porządku prawnym państwa członkowskiego może być przewidziana zapłata odszkodowania o charakterze kary(12). Pod tym pojęciem rozumie się zasądzenie zapłaty znacznej kwoty, wykraczającej poza ścisłe naprawienie szkody.

32.      Odszkodowania o charakterze karnym nie są co do zasady oderwane od wcześniejszego zaistnienia szkody. Przyjmując owo zaistnienie szkody za punkt wyjścia, oddziela się jednak jej skutki majątkowe od kwoty odszkodowania odpowiadającej tej szkodzie.

33.      Można sobie jednak wyobrazić, że w ramach odszkodowania o charakterze karnym szkoda zostanie pominięta lub uznana za nieistotną dla zaspokojenia roszczenia osoby wnoszącej o zasądzenie tego odszkodowania.

34.      Odpowiedź na pierwsze pytanie prejudycjalne wymaga ode mnie przeanalizowania, czy tego rodzaju odszkodowania są objęte zakresem RODO, tym bardziej że odniesiono się do nich w postanowieniu odsyłającym oraz w uwagach stron i interwenientów w postępowaniu prejudycjalnym.

2.      Odszkodowania o charakterze kary?

a)      W przedmiocie wykładni językowej

35.      Do klasycznej funkcji odpowiedzialności cywilnej można dodać jeszcze jedną funkcję, o charakterze „karnym” lub „przykładnym”, w ramach której, jak już to opisałem, kwota odszkodowania nie jest równa poniesionej szkodzie (wyrażonej w pieniądzu), lecz zwiększa lub nawet zwielokrotnia jej wartość.

36.      Co do zasady prawo Unii nie stoi na przeszkodzie takim odszkodowaniom, gdy w grę wchodzi naruszenie jego przepisów, jeśli mogą one zostać przyznane w ramach podobnych postępowań opartych na prawie krajowym(13).

37.      Odszkodowania o charakterze kary mają cel odstraszający. Ten sam cel może wystąpić, gdy w przypadku naruszenia dyrektywy państwa członkowskie są zobowiązane do podjęcia środków, które winny mieć „prawdziwie odstraszające działanie”(14). W niektórych dyrektywach przewidziano wyraźnie, że odszkodowania pomyślane jako sankcje powinny mieć charakter odstraszający(15).

38.      Natomiast w innych aktach prawnych prawodawca stwierdza, że celem dyrektywy „[n]ie jest […] wprowadzenie obowiązku zastosowania odszkodowań o charakterze kary”(16) lub że państwa członkowskie powinny unikać takich odszkodowań podczas transpozycji owych aktów prawnych(17). W prawie Unii bezpośrednie zasądzenie tzw. odszkodowań o charakterze kary jest wyjątkiem(18).

39.      RODO nie zawiera żadnego odniesienia do karnego charakteru odszkodowania za szkody majątkowe lub niemajątkowe lub do tego, że obliczenie jego kwoty powinno odzwierciedlać ten charakter, bądź też do tego, by takie odszkodowanie było odstraszające (w RODO cechę tę przypisano natomiast sankcjom karnym i administracyjnym karom pieniężnym)(19). Z językowego punktu widzenia RODO nie pozwala zatem na przyznanie odszkodowań o charakterze kary.

b)      Wykładnia w świetle genezy przepisu

40.      Poprzednikiem art. 82 ust. 1 RODO był art. 23 ust. 1 dyrektywy 95/46. Ten ostatni przepis był częścią systemu, który opierał swoją skuteczność na egzekwowaniu prawa na drodze publicznoprawnej i prywatnoprawnej(20), ale w którym (prywatne) odszkodowanie i (publiczna) kara nie były ze sobą mylone(21). Kontrola przestrzegania przepisów należała przede wszystkim do niezależnych organów nadzorczych(22).

41.      W RODO powtórzono ten model, ale wzmocniono narzędzia zapewniające skuteczność jego przepisów, które obecnie są bardziej szczegółowe, oraz przewidzianych reakcji na ich naruszenie lub zagrożenie naruszeniem, które obecnie są bardziej intensywne:

–      po pierwsze, zwiększono funkcje organów nadzorczych, na których spoczywa między innymi obowiązek stosowania zharmonizowanych sankcji przewidzianych w samym RODO(23). W ten sposób podkreślono element egzekwowania prawa na drodze publicznoprawnej;

–      po drugie, przewidziano, że osoby fizyczne bronią praw przyznanych im na mocy RODO(24) bądź poprzez uruchomienie działania organów nadzorczych (art. 77), bądź na drodze sądowej (art. 79 i 82). Ponadto art. 80 upoważnia określone podmioty do wnoszenia środków prawnych na podstawie pełnomocnictwa(25), co ułatwia ochronę interesów ogólnych dostępną dla osób fizycznych(26).

42.      Rozwój jednolitego systemu odpowiedzialności cywilnej za szkody w RODO został ograniczony. Aspekty, które mogły budzić wątpliwości na gruncie dyrektywy 95/46, takie jak włączenie szkód niemajątkowych do szkód podlegających naprawieniu(27), zostały wkrótce wyjaśnione.  Negocjacje dotyczyły innych aspektów tego systemu(28).

43.      Nie znalazłem w pracach legislacyjnych żadnej dyskusji na temat ewentualnej funkcji karnej odpowiedzialności cywilnej przewidzianej w RODO. Nie można zatem wnioskować, że jest ona objęta zakresem art. 82 RODO wobec braku jakiejkolwiek debaty w tym względzie, tym bardziej, że miała miejsce debata na temat jej włączenia do innych aktów prawa Unii(29).

44.      W tych okolicznościach uważam, że przewidziany w art. 82 ust. 1 RODO środek prawny został pomyślany i uregulowany w celu spełnienia typowych funkcji odpowiedzialności cywilnej: naprawienia szkód (w odniesieniu do poszkodowanego) oraz dodatkowo zapobieżenia przyszłym szkodom (w odniesieniu do sprawcy naruszenia).

c)      Wykładnia kontekstowa

45.      Jak już wspomniałem, art. 82 RODO jest częścią systemu gwarancji skuteczności przepisów, w którym inicjatywa prywatna uzupełnia egzekwowanie tych przepisów na drodze publicznoprawnej. Odszkodowanie należne od administratorów lub podmiotów przetwarzających dane przyczynia się do tej skuteczności.

46.      Obowiązek odszkodowania działa (z założenia) jako zachęta do ostrożniejszego działania w przyszłości, przestrzegania zasad i unikania nowych szkód. W związku z tym każda jednostka, która dochodzi odszkodowania dla siebie, przyczynia się do ogólnej skuteczności przepisów.

47.      W tych ramach funkcje kompensacyjna i karna są rozdzielone:

–      drugiej z tych funkcji służą kary pieniężne, które mogą zostać nałożone przez organy nadzorcze lub sądy (art. 83 ust. 1 i 9 RODO), oraz inne sankcje, które państwa przyjmują na podstawie art. 84 RODO(30);

–      pierwszej z tych funkcji służą skarga jednostki (art. 77) oraz postępowanie sądowe (art. 79). Do organów nadzorczych nie należy jednak rozstrzyganie o prawie do odszkodowania.

48.      Zgodnie z tą samą zasadą rozdziału funkcji kompensacyjnej i karnej:

–      nakładając karę pieniężną i ustalając jej wysokość, organ musi wziąć pod uwagę czynniki wymienione w art. 83 RODO, które nie są przewidziane w dziedzinie odpowiedzialności cywilnej i których co do zasady nie da się zastosować przy obliczeniu odszkodowania(31);

–      jeżeli rozmiar szkód poniesionych przez poszkodowanych jest czynnikiem stopniowania kary pieniężnej(32), przy obliczaniu jej kwoty nie trzeba uwzględniać odszkodowania, które poszkodowani mogli otrzymać(33).

49.      Z perspektywy teoretycznej wykładnia, która w przypadku braku jakiejkolwiek szkody nadaje odpowiedzialności cywilnej funkcję karną, stwarza ryzyko nakładania się mechanizmów odszkodowawczych na mechanizmy sankcyjne.

50.      W praktyce łatwość osiągnięcia efektu „karnego” za pomocą odszkodowania mogłoby sprawić, że osoby, których dane dotyczą, będą preferować tę drogę w stosunku do drogi przewidzianej w art. 77 RODO. W przypadku uogólnienia pozbawiłoby to organy nadzorcze narzędzia (skargi osoby, której dane dotyczą) pozwalającego na rozpoznanie, a tym samym na zbadanie i ukaranie ewentualnych naruszeń RODO, ze szkodą dla najbardziej odpowiednich narzędzi ochrony interesu ogólnego.

d)      W przedmiocie wykładni celowościowej

51.      Za pomocą RODO dąży się zasadniczo do realizacji dwóch celów, które wymieniono już w tytule tego rozporządzenia, a są nimi: a) po pierwsze, „ochron[a] osób fizycznych w związku z przetwarzaniem danych osobowych”; b) po drugie, zapewnienie, aby ochrona ta była sformułowana w taki sposób, by „swobodny przepływ takich danych” w Unii nie był zakazany ani ograniczony(34).

52.      Uważam, że aby osiągnąć te cele, RODO nie wymaga powiązania odszkodowania z samym naruszeniem przepisu regulującego przetwarzanie, co nadaje odpowiedzialności cywilnej funkcje karne.

53.      Jeśli chodzi o pierwszy cel, do jego osiągnięcia nie jest konieczne rozszerzenie w drodze wykładni zakresu stosowania art. 82 RODO poprzez objęcie nim przypadków, w których doszło do naruszenia przepisu, lecz nie doszło do powstania szkody. Rozszerzenie to mogłoby natomiast mieć negatywny wpływ na drugi cel.

54.      Wskazałem już, że RODO przewiduje szereg mechanizmów gwarantujących przestrzeganie jego przepisów, które współistnieją i uzupełniają się wzajemnie. Państwa członkowskie nie muszą (i w rzeczywistości nie mogą) wybierać spośród mechanizmów przewidzianych w rozdziale VIII w celu zapewnienia ochrony danych. W przypadku naruszenia, które nie powoduje szkody, osoba, której dane dotyczą, jest jeszcze (co najmniej) uprawniona do wniesienia skargi do organu nadzorczego na podstawie art. 77 ust. 1 RODO.

55.      Ponadto perspektywa uzyskania odszkodowania bez względu na jakąkolwiek szkodę prawdopodobnie przyczyniłaby się do sporów cywilnych i pozwów, które nie zawsze mogą być uzasadnione(35), i w tym zakresie mogłaby zniechęcić do działalności polegającej na przetwarzaniu danych(36).

3.      Domniemanie szkody?

56.      W niektórych z uwag stron sporu zaproponowano inną interpretację pierwszego pytania prejudycjalnego niż ta, którą dotychczas analizowałem. Jeśli dobrze rozumiem ich stanowisko(37), strony te zdają się opowiadać za tym, że istnieje niepodważalne domniemanie szkody, gdy już dojdzie do naruszenia przepisu.

57.      Wspomniane strony dodają, że takie naruszenie prowadziłoby nieuchronnie do utraty kontroli nad danymi, co samo w sobie stanowiłoby szkodę podlegającą naprawieniu na podstawie art. 82 ust. 1 RODO.

58.      Teoretycznie domniemanie to nie pozwala na pominięcie szkody, wobec czego typowa struktura odpowiedzialności cywilnej, jak również dosłowne brzmienie przepisu RODO są przestrzegane. W praktyce jednak skutki przyznania rzeczonego domniemania byłyby dla powoda i pozwanego podobne do tych wynikających z powiązania odszkodowania przewidzianego w art. 82 ust. 1 RODO z samym naruszeniem przepisu.

59.      Jeszcze raz powołam się na zwyczajowe kryteria wykładni, aby wyjaśnić, dlaczego wykładnia ta nie wydaje mi się trafna.

a)      W przedmiocie wykładni językowej

60.      Gdy prawodawca uznał w innych dziedzinach prawa Unii, że prawo do odszkodowania wynika automatycznie z naruszenia przepisu, nie zawahał się ustanowić tego prawa(38). Nie dotyczy to RODO, gdzie zawarte są zasady dowodowe lub mające bezpośrednie konsekwencje dla dowodów(39), ale nie ma takiego automatycznego związku, czy to bezpośredniego, czy też w drodze domniemania niewzruszalnego.

61.      Nie wydaje mi się, aby odniesienia do kontroli danych (lub do utraty tej kontroli), które są zawarte w motywach 75(40) i 85(41) RODO, równoważyły ten brak. Pomijając fakt, że motywy jako takie nie mają wartości normatywnej, żaden z tych dwóch motywów nie potwierdza tezy, że naruszenie przepisu samo w sobie prowadzi do szkody podlegającej naprawieniu:

–      w motywie 75 jest mowa o uniemożliwieniu kontroli nad danymi osobowymi jako jednemu z możliwych rodzajów ryzyka związanych z przetwarzaniem danych;

–      motyw 85 odnosi się do utraty kontroli jako jednej z konsekwencji, które mogłyby wystąpić w wyniku naruszenia bezpieczeństwa danych osobowych(42).

62.      Utrata kontroli nad danymi nie musi nieuchronnie prowadzić do szkody. Wyrażenie to można rozumieć jako dopuszczone językowo odniesienie do szkód powstałych w następstwie takiej utraty, gdyby owe szkody wystąpiły(43).

b)      Wykładnia w świetle genezy

63.      Analiza genezy również nie potwierdza istnienia takiego domniemania, które nie było zawarte w dyrektywie 95/46(44), a przeanalizowane przeze mnie dokumenty Komisji, Parlamentu Europejskiego lub Rady poprzedzające przyjęcie RODO nie przewidywały go.

c)      Wykładnia kontekstowa

64.      System RODO przewiduje elementy pozwalające zakwestionować przyjęcie spornego domniemania w oparciu o zgodę osoby, której dane dotyczą(45). Jako środek kontroli danych zgoda ta zapewnia zgodność przetwarzania danych z prawem na tym samym poziomie co inne podstawy prawne (art. 6 RODO)(46).

65.      Zgodne z prawem przetwarzanie danych osobowych jest możliwe niezależnie od zgody osoby, której dane dotyczą, a zatem niezależnie od kontroli, jaką stanowi wyrażenie lub odmowa wyrażenia takiej zgody. Podsumowując: jej znaczenie w systemie nie jest bezwzględne.

66.      Ponadto w RODO przewidziano inne możliwości wykonywania tej kontroli: należy do nich prawo do usunięcia danych, które zobowiązuje administratora do usunięcia odpowiednich informacji „bez zbędnej zwłoki”(47).

67.      W przypadku osoby, której dane są przetwarzane, prawo to działa jako wentyl bezpieczeństwa systemu ochrony: utrzymuje się ono (jako zasada ogólna), gdy administrator nie uzyskał zgody osoby, której dane dotyczą, a także gdy nie ma żadnej innej podstawy uzasadniającej przetwarzanie danych, i nie zależy od tego, czy przetwarzanie danych powoduje jakąkolwiek szkodę(48).

d)      W przedmiocie wykładni celowościowej

1)      Czy kontrola osoby, której dane dotyczą, nad jej danymi jest celem RODO?

68.      Automatyczna równoważność między przetwarzaniem danych osobowych, w odniesieniu do którego nie uzyskano zgody osoby, której dane dotyczą, a szkodą podlegającą naprawieniu zakłada, że kontrola ta, której nośnikiem jest zgoda, stanowi wartość samą w sobie.

69.      Przyznaję, że na pierwszy rzut oka pogląd ten nie jest pozbawiony poparcia. We wniosku Komisji jako jeden z głównych powodów reformy wskazano, że obywatele powinni mieć kontrolę nad swoimi danymi(49). W motywie 7 RODO stwierdza się, że „[o]soby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi”.

70.      Niewątpliwie przy dokonywaniu wykładni tego pojęcia należy zachować ostrożność, niezależnie od dyskusji w doktrynie, które ono wywołało. W RODO nie ma precyzyjnej definicji „kontroli” (ani nie znalazłem jej gdzie indziej)(50). Termin ten ma co najmniej dwa znaczenia, które nie wykluczają się wzajemnie: „władza” lub „panowanie” oraz „nadzór”.

71.      Brzmienie motywu 7 RODO budzi pewne wątpliwości, ponieważ różni się w zależności od wersji językowych(51). Biorąc pod uwagę jego treść, jestem zdania, że RODO zapewnia osobie, której dane dotyczą, uprawnienia do nadzoru i interwencji w odniesieniu do wykonywanych przez inne podmioty operacji dotyczących danych, które to uprawnienia stanowią instrument (obok innych instrumentów) służący ochronie tych danych.

72.      Osoba, której dane dotyczą, sama przyczynia się do ochrony informacji, jakie stanowią dane, i jest za nią odpowiedzialna w zakresie, na poziomie i na zasadach przewidzianych w RODO. Zakres roszczenia indywidualnego jest ograniczony: w odniesieniu do wymienionych w RODO praw ogranicza się do wykonywania tych praw w ściśle określonych warunkach.

73.      Zgoda osoby, której dane dotyczą, jako ostateczny wyraz kontroli(52), jest tylko jedną z podstaw prawnych zgodnego z prawem przetwarzania, ale nie ma ona zdolności do zaradzenia brakowi spełnienia innych obowiązków i warunków spoczywających na administratorze i podmiocie przetwarzającym.

74.      Wywnioskowanie z RODO, że jego celem jest przyznanie osobie, której dane dotyczą, kontroli nad danymi osobowymi jako wartości samej w sobie, nie wydaje mi się łatwe. Podobnie nie wydaje mi się łatwe wywnioskowanie, że osoba, której dane dotyczą, powinna mieć możliwie największą kontrolę nad takimi danymi,.

75.      Stwierdzenie to nie jest zaskakujące. Po pierwsze, nie jest oczywiste, że kontrola w znaczeniu władzy nad danymi stanowi część zasadniczej treści prawa podstawowego do ochrony danych osobowych(53). Po drugie, rozumienie tego prawa jako prawa do informacyjnego samostanowienia jest dalekie od jednomyślności: w art. 8 karty nie użyto takich terminów(54).

76.      Podobnie w ostatecznym tekście RODO nie znalazł się również motyw, zgodnie z którym „prawo do ochrony danych osobowych opiera się na prawie osoby, której dane dotyczą, do sprawowania kontroli nad przetwarzanymi danymi osobowymi”(55).

77.      Powyższe rozważania, być może zbyt abstrakcyjne, prowadzą mnie do stwierdzenia, że w sytuacji gdy osoba, której dane dotyczą, nie wyraża zgody na przetwarzanie danych i przetwarzanie to odbywa się bez innej uzasadnionej podstawy prawnej, nie powinna ona jednak otrzymać z tego powodu rekompensaty finansowej z tytułu utraty kontroli nad swoimi danymi, tak jakby utrata ta skutkowała sama w sobie szkodą podlegającą naprawieniu(56). Okoliczność, czy ponadto osoba ta poniosła szkodę, musi zostać zbadana (i musi zostać udowodniona)(57).

2)      Kontrola osoby, której dane dotyczą, w określonym kontekście

78.      Wreszcie wydaje mi się, że należy przypomnieć, iż ochrona danych osobowych została określona jako cel RODO obok celu polegającego na wspieraniu swobodnego przepływu danych(58).

79.      Wzmocnienie kontroli obywatela nad jego informacjami osobowymi w środowisku cyfrowym jest jednym z uznanych celów modernizacji systemu ochrony danych osobowych, ale nie jest to cel niezależny czy odosobniony.

80.      W komunikacie towarzyszącym jej wnioskowi w sprawie RODO Komisja powiązała wysoki poziom ochrony danych z zaufaniem do usług internetowych, które umożliwia wykorzystanie potencjału gospodarki cyfrowej i pobudzenie „wzrostu gospodarczego i zwiększani[e] konkurencyjności przemysłu UE”. Wraz z odnowieniem (i zwiększoną harmonizacją) przepisów prawa Unii wzmacnia się „wymiar jednolitego rynku dotyczący ochrony danych”(59).

81.      Z uwagi na dowody na wartość danych (osobowych i nieosobowych) dla postępu gospodarczego i społecznego w Europie RODO nie ma na celu zwiększenia kontroli jednostki nad dotyczącymi jej informacjami po prostu poprzez dostosowanie się do jej preferencji, lecz pogodzenie prawa do ochrony danych osobowych każdej osoby z interesami osób trzecich i społeczeństwa(60).

82.      Pragnę podkreślić, że RODO nie ma na celu systemowego ograniczenia przetwarzania danych osobowych, lecz usankcjonowanie go pod ściśle określonymi warunkami. Temu celowi służy przede wszystkim wspieranie zaufania osoby, której dane dotyczą, do tego, że przetwarzanie będzie dokonywane w bezpiecznym kontekście(61), do którego ona sama się przyczynia. W ten sposób zachęca się osobę, której dane dotyczą, do dobrowolnego wyrażenia zgody na udostępnienie i wykorzystanie jej danych, między innymi w zakresie internetowych transakcji handlowych.

C.      W przedmiocie drugiego pytania prejudycjalnego

83.      Sąd odsyłający zmierza do ustalenia, czy „dla ustalenia wysokości odszkodowania poza zasadami skuteczności i równoważności istnieją inne wymogi w prawie Unii”.

84.      W rzeczywistości nie wydaje się, aby zasada równoważności odgrywała tutaj istotną rolę: zharmonizowany system RODO ma bezpośrednie zastosowanie w tej dziedzinie, a art. 82 RODO stosuje się do wszystkich szkód niemajątkowych wynikających z naruszenia, niezależnie od miejsca ich powstania.

85.      Ta sama uwaga dotyczy zasady skuteczności. Inną sprawą jest to, czy odszkodowanie, zgodnie z tym, co postuluje się w motywie 146 RODO (że osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody), powinno mieć taką czy inną treść.

86.      Artykuł 82 RODO zawiera jedynie wymóg naruszenia jego przepisów, w przypadku gdy naruszenie to skutkuje szkodą majątkową lub niemajątkową poniesioną przez jakąkolwiek osobę. Przepis ten nie określa wytycznych dla sądów krajowych dotyczących obliczania in concreto kwoty odszkodowania za takie szkody.

87.      Zgodnie z dwoma wyżej wymienionymi określeniami („pełne” i „skuteczne”) odszkodowanie będzie zależało w pierwszej kolejności od żądania, z jakim wystąpi dany powód.

88.      Gdyby żądanie to polegało na zasądzeniu odszkodowania o charakterze karnym(62), odpowiedź na pierwsze pytanie prejudycjalne byłaby wystarczająca: tego rodzaju odszkodowanie nie pojawia się w RODO. W jego ramach odpowiedzialność cywilna pełni funkcję „prywatnego” naprawienia szkody, natomiast kary pieniężne i sankcje karne pełnią funkcję publiczną, polegającą na odstraszaniu i, w stosownych przypadkach, karaniu.

89.      Nie można wykluczyć, że odszkodowanie dochodzone z tytułu szkody niemajątkowej będzie zawierać elementy inne niż jedynie pieniężne, np. przyznanie, że doszło do naruszenia, co daje pewne moralne zadośćuczynienie powodowi. Wyrok Trybunału z dnia 15 kwietnia 2021 r.(63), choć zapadł w dziedzinie, która nie pokrywa się z dziedziną ochrony danych osobowych, pozwoliłby w drodze analogii na uwzględnienie tego żądania.

90.      W porządkach prawnych, które to przewidują, możliwe jest, aby w systemie odpowiedzialności cywilnej przewidziane było wydanie wyroków zasądzających z tytułu dochodzenia prawa (zapłata symbolicznego odszkodowania) lub neutralizacji nienależnej korzyści (zwrot niesłusznie uzyskanego dochodu).

91.      U podstaw pierwszych z wymienionych wyroków zasądzających leży idea nadania ciągłości i wykonania prawa („Rechtsfortsetzungsfunktion”) poprzez zasądzenie czysto symbolicznego odszkodowania, oprócz stwierdzenia, że pozwany dopuścił się czynu niedozwolonego i naruszył prawa powoda. Koncepcji tej nie przewiduje art. 82 RODO ani nie ma o niej wzmianki we wcześniejszych pracach, co nie powinno zaskakiwać, ponieważ nie jest ona wspólna dla systemów prawnych państw członkowskich(64) ani też nie jest niekontrowersyjna w tych, w których istnieje(65).

92.      System RODO i jego cele nie stoją jednak na przeszkodzie temu, aby państwa członkowskie, które przewidują ten środek zaradczy, zapewniały go osobom dotkniętym naruszeniem przepisu w ramach środków prawnych ustanowionych w art. 79 RODO w przypadku całkowitego braku szkody. Jeżeli natomiast powód utrzymuje, że poniósł szkodę majątkową, sytuacja ta jest uregulowana w art. 82 RODO, a trudności w jej udowodnieniu nie powinny prowadzić do symbolicznego odszkodowania(66).

93.      Jeśli chodzi o wyroki zasądzające polegające na przyznaniu określonej kwoty w wyniku naruszeniu prawa, mogą one mieć na celu pozbawienie sprawcy osiągniętej korzyści. Poza dziedziną własności intelektualnej(67) cel ten nie jest wspólny w prawie dotyczącym odpowiedzialności z tytułu czynu niedozwolonego, które dotyczy raczej straty poniesionej przez poszkodowanego, a nie zysku sprawcy(68). Nie jest on uwzględniony w przepisach RODO.

94.      Przedstawiam te rozważania w celu ułatwienia sądowi odsyłającemu jego zadania, zważywszy na obszerność drugiego pytania prejudycjalnego. Jest jednak dla mnie jasne, że ich przydatność może być niewielka dla uwzględnienia lub oddalenia powództwa, w którym osoba, której dane dotyczą, żąda odszkodowania o charakterze ściśle finansowym z tytułu szkody niemajątkowej.

D.      W przedmiocie trzeciego pytania prejudycjalnego

95.      Sąd odsyłający zmierza do ustalenia, czy w RODO stwierdzenie szkody niemajątkowej jest uzależnione od „naruszenia prawa o przynajmniej pewnej wadze, która wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa”.

96.      Jako kryterium tego, co podlega odszkodowaniu, we wniosku o wydanie orzeczenia w trybie prejudycjalnym wzięto pod uwagę intensywność odczuć danej osoby. Natomiast nie zawarto w nim pytania (przynajmniej nie bezpośrednio), czy określone emocje lub odczucia tej osoby są istotne lub nieistotne dla celów art. 82 ust. 1 RODO ze względu na ich treść(69).

97.      Powstaje zatem wątpliwość, czy państwa członkowskie mogą uzależnić odszkodowanie za szkodę niemajątkową od rozmiaru konsekwencji wynikających z naruszenia przepisu, uwzględniając jedynie te, które przekraczają pewien próg wagi naruszenia. Pytanie nie dotyczyłoby zatem pojęć podlegających odszkodowaniu(70) ani wysokości odszkodowania, lecz istnienia minimalnej granicy reakcji poszkodowanego, poniżej której nie otrzymywałby on odszkodowania.

98.      Artykuł 82 RODO nie daje bezpośredniej odpowiedzi na to pytanie. Moim zdaniem odpowiedź nie znajduje się również w motywach 75 i 85. Oba te motywy zawierają przykładowe wyliczenie szkód, zakończone klauzulą otwartą, która zdaje się ograniczać szkody podlegające naprawieniu do „znacznych” szkód.

99.      Nie uważam jednak, aby te motywy były przydatne do rozstrzygnięcia wątpliwości sądu odsyłającego:

–      pierwszy z nich dotyczy identyfikacji i oceny ryzyka związanego z przetwarzaniem danych oraz podejmowania środków mających na celu zapobieganie temu ryzyku lub jego ograniczanie. Obrazuje on niepożądane konsekwencje każdego przetwarzania i kładzie nacisk „w szczególności” na niektóre z tych konsekwencji, z pewnością ze względu na ich poważniejszy charakter;

–      drugi z nich odnosi się do naruszeń bezpieczeństwa danych i wskazuje, że następstwa takich naruszeń mogą być znaczące.

100. Ze stwierdzenia zawartego w motywie 146 RODO [że za „(wszelką) szkodę” powinno przysługiwać odszkodowanie od administratora](71) również nie wynikają żadne kryteria, które pozwoliłyby odpowiedzieć na to pytanie.

101. Umieszczenie tego motywu w tekście RODO spowodowało, że rozporządzenie to obejmuje wyraźnie szkody niemajątkowe, podczas gdy w dyrektywie 95/46 kwestia ta została przemilczana(72). Jednakże nie poruszono w szczególności kwestii podniesionej obecnie przed Trybunałem.

102. W tym samym motywie 146 RODO stwierdza się, że „[p]ojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia”.

103. Nie jestem pewien, czy takie wskazanie byłoby bardzo użyteczne w kontekście ochrony danych, ponieważ w czasie, gdy przyjęto RODO, Trybunał nie wydał jeszcze orzeczenia w tej dziedzinie(73). Jeżeli zamiarem było odniesienie się do wyroków dotyczących odpowiedzialności cywilnej uregulowanej w innych dyrektywach lub rozporządzeniach, powołanie się na analogię byłoby pożądane.

104. W rzeczywistości Trybunał nie opracował ogólnej definicji „szkody”, która mogłaby być stosowana bez rozróżnienia w każdej dziedzinie(74). W zakresie, w jakim jest to istotne w niniejszej sprawie (szkody niemajątkowe), z jego orzecznictwa można wywnioskować, że:

–      w przypadku gdy celem (lub jednym z celów) przepisu, którego wykładni się dokonuje, jest ochrona jednostki lub pewnej kategorii jednostek(75), pojęcie szkody musi być szerokie;

–      zgodnie z tym kryterium odszkodowanie rozciąga się na szkody niemajątkowe, nawet jeśli nie są one wymienione w przepisie, którego wykładni się dokonuje(76).

105. O ile orzecznictwo Trybunału pozwala bronić stanowiska, że w przedstawionych powyżej warunkach istnieje w prawie Unii zasada odszkodowania za szkody niemajątkowe, o tyle nie uważam, by można było z niego wywieść zasadę, zgodnie z którą każda szkoda niemajątkowa, niezależnie od jej wagi, podlega odszkodowaniu.

106. Trybunał uznał, że przepis krajowy, który dla celów obliczenia wysokości odszkodowania rozróżnia szkody niemajątkowe związane z obrażeniami ciała w wyniku wypadku w zależności od ich źródła, jest zgodny z przepisami prawa Unii(77).

107. Trybunał ocenił również, jakie okoliczności mogą spowodować szkody niemajątkowe zgodnie z przepisem mającym zastosowanie w każdej sprawie(78), ale nie wypowiedział się jednoznacznie (o ile się nie mylę) co do wymogu dotyczącego wagi tych szkód(79).

108. W związku z powyższym uważam, że na trzecie pytanie prejudycjalne należy udzielić odpowiedzi twierdzącej.

109. Na poparcie mojego stanowiska pragnę przypomnieć, że RODO nie ma na celu wyłącznie ochrony prawa podstawowego do ochrony danych osobowych(80) oraz że jego system gwarancji obejmuje mechanizmy różnego rodzaju(81).

110. W tym kontekście istotne jest zasugerowane Trybunałowi rozróżnienie między szkodami niemajątkowymi podlegającymi naprawieniu a innymi niedogodnościami wynikającymi z nieprzestrzegania prawa, które ze względu na swój niewielki rozmiar niekoniecznie rodziłyby prawo do odszkodowania.

111. Takie rozróżnienie jest postrzegane w krajowych porządkach prawnych jako nieuniknione następstwo życia w społeczeństwie(82). Trybunał nie jest niepomny tej różnicy, którą dostrzega, gdy odnosi się do trudności i niedogodności jako autonomicznej kategorii w stosunku do kategorii szkód w dziedzinach, w odniesieniu do których uważa, że powinny one zostać naprawione(83). Nic nie stoi na przeszkodzie, by rozróżnienie to zastosować w odniesieniu do RODO.

112. Ponadto przewidziane w art. 82 ust. 1 RODO prawo do odszkodowania nie wydaje mi się właściwym instrumentem przeciwdziałania naruszeniom w przetwarzaniu danych osobowych, jeśli naruszenia te wywołują u osoby, której dane dotyczą, jedynie złość lub wzburzenie.

113. Co do zasady każde naruszenie przepisu dotyczącego ochrony danych osobowych wywołuje jakąś negatywną reakcję osoby, której dane dotyczą. Odszkodowanie wynikające z samego poczucia niezadowolenia z powodu braku poszanowania prawa przez inną osobę można łatwo pomylić z odszkodowaniem bez szkody, które już odrzuciłem powyżej.

114. Z praktycznego punktu widzenia włączenie zwykłych niedogodności do szkód niemajątkowych podlegających naprawieniu, przy uwzględnieniu uciążliwości i trudności, które są charakterystyczne dla dochodzenia roszczenia przez powoda(84) i dla obrony przez pozwanego(85), nie jest skuteczne.

115. Odmówienie prawa do odszkodowania za słabe i przejściowe odczucia czy emocje(86) związane z naruszeniem przepisów dotyczących przetwarzania danych nie pozostawia osoby, której dane dotyczą, całkowicie pozbawionej ochrony. Jak wskazałem w odniesieniu do pytania pierwszego, system RODO zapewnia takiej osobie inne środki zaradcze.

116. Nie wątpię, że granica między zwykłymi niedogodnościami (niepodlegającymi odszkodowaniu) a rzeczywistymi szkodami niemajątkowymi (podlegającymi odszkodowaniu) jest cienka, i wiem, jak skomplikowane jest abstrakcyjne rozgraniczenie tych dwóch kategorii oraz ich konkretne zastosowanie w sporze. To trudne zadanie należy do sądów państw członkowskich, które prawdopodobnie nie będą mogły pomijać w swoich orzeczeniach postrzegania przez społeczeństwo w danym momencie dopuszczalnej tolerancji, gdy subiektywne konsekwencje naruszenia przepisu w tej dziedzinie nie przekraczają pewnego poziomu de minimis(87).

V.      Wnioski

117. W świetle powyższego proponuję, aby Trybunał odpowiedział Oberster Gerichtshof (sądowi najwyższemu, Austria) w następujący sposób:

Artykuł 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) należy interpretować w ten sposób, że:

w celu uznania prawa do odszkodowania za szkody poniesione przez osobę w wyniku naruszenia tego rozporządzenia nie wystarczy jedynie naruszenie przepisu samo w sobie, jeżeli nie pojawiają się odpowiadające mu szkody majątkowe lub niemajątkowe;

odszkodowanie za szkody niemajątkowe, które jest uregulowane w tym przepisie, nie obejmuje samego wzburzenia, jakie dana osoba może odczuwać w związku z naruszeniem przepisów rozporządzenia 2016/679. Do sądów krajowych należy ustalenie, kiedy, ze względu na swoje cechy, subiektywne odczucie niezadowolenia może być uznane w danym przypadku za szkodę niemajątkową.

1      Język oryginału: hiszpański.

2      Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1). Jest ono zwane dalej „RODO”.

3      Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).

4      Zgodnie z brzmieniem sprawozdania Agencji Praw Podstawowych Unii Europejskiej (FRA), Access to data protection remedies in the EU Member States, Urząd Publikacji Unii Europejskiej, 2013, pkt 3, 4.

5      Uznanie tego prawa w prawodawstwie jest w dużej mierze szczególną cechą systemu ochrony Unii. W analizie ważności instrumentów prawnych dotyczących przekazywania danych osobowych do państw trzecich uwzględnia się w szczególności to, czy istnieje przepis mający ten sam cel. Zobacz pkt 226 i 227 opinii 1/15 [Umowa PNR UE–Kanada z dnia 26 lipca 2017 r. (EU:C:2017:592)]; oraz wyroki: z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559); z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491).

6      W chwili sporządzania niniejszej opinii rozpatrywanych jest siedem innych wniosków o wydanie orzeczenia w trybie prejudycjalnym w tej dziedzinie (sprawy C‑340/21; C‑667/21; C‑687/21; C‑741/21; C‑182/22, C‑189/22 i C-456/22). Jednocześnie zwrócono się do Komisji Petycji Parlamentu Europejskiego o „wyjaśnienie motywów RODO, w szczególności w odniesieniu do szkód niemajątkowych, w celu uniknięcia dalszych niesprawiedliwych wyroków sądów niemieckich” (petycja nr 0386/2021).

7      Uwzględnił on natomiast żądanie zaniechania niezgodnego z prawem zachowania, a rozstrzygnięcie w przedmiocie tego żądania zostało utrzymane w mocy w postępowaniu apelacyjnym. Wniesiona przez Österreichische Post Revision (skarga rewizyjna) przeciwko nakazowi zaniechania niezgodnego z prawem zachowania została oddalona.

8      Używam tego terminu w rozumieniu art. 4 ust. 1 RODO.

9      W niektórych przypadkach osoba, której dane dotyczą, nie będzie musiała nawet udowadniać, że nie wyraziła zgody, ponieważ zgodnie z art. 7 ust. 1 RODO „[j]eżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych”. Można natomiast wymagać od powoda przedstawienia dowodów umożliwiających określenie wysokości szkody.

10      Termin „odszkodowanie” został użyty w wersjach hiszpańskiej i portugalskiej („indemnización” i „indemnização”). Bardzo wyraźny jest także termin „Schadenersatz” użyty w wersji niemieckiej. W wersji francuskiej nie użyto wyrażenia „indemnisation”, lecz „réparation”, zaś w wersji angielskiej – terminu „compensation”. Uważam, że w każdej z tych wersji i w innych podobnych wersjach wynik jest identyczny: szkoda pozostaje niezbędnym elementem odpowiedzialności cywilnej.

11      Motyw 146 RODO. Odszkodowanie ma na celu przywrócenie równowagi w sytuacji prawnej negatywnie zmienionej (dotkniętej szkodą) wskutek naruszenia prawa.

12      Odszkodowania o charakterze kary („punitive damages”) są charakterystyczne dla prawa anglosaskiego. W innych porządkach prawnych są one stosowane jako reakcja na zachowania cechujące się szczególną umyślnością lub rażącym niedbalstwem. Są one niekiedy związane z oceną krzywdy wynikającej z naruszenia nietykalności cielesnej lub sfery prywatności jednostki.

13      Wyrok z dnia 13 lipca 2006 r., Manfredi i in. (od C‑295/04 do C‑298/04, EU:C:2006:461, pkt 92): „Jeśli chodzi o przyznanie odszkodowania i ewentualne przyznanie odszkodowania o charakterze sankcji, w braku właściwych przepisów wspólnotowych do wewnętrznego porządku prawnego każdego państwa członkowskiego należy ustalenie kryteriów pozwalających określić zakres odszkodowania, przy czym przestrzegane muszą być zasady równoważności i skuteczności”. Podkreślenie moje.

14      Wyrok z dnia 11 października 2007 r., Paquay (C‑460/06, EU:C:2007:601, pkt 44 i nast.), w odniesieniu do art. 6 dyrektywy Rady 76/207/EWG z dnia 9 lutego 1976 r. w sprawie wprowadzenia w życie zasady równego traktowania kobiet i mężczyzn w zakresie dostępu do zatrudnienia, kształcenia i awansu zawodowego oraz warunków pracy (Dz.U. 1976, L 39, s. 40).

15      Artykuł 28 dyrektywy 2004/109/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 2004 r. w sprawie harmonizacji wymogów dotyczących przejrzystości informacji o emitentach, których papiery wartościowe dopuszczane są do obrotu na rynku regulowanym, oraz zmieniającej dyrektywę 2001/34/WE (Dz.U. 2004, L 390, s. 38) lub art. 25 dyrektywy 2006/54/WE Parlamentu Europejskiego i Rady z dnia 5 lipca 2006 r. w sprawie wprowadzenia w życie zasady równości szans oraz równego traktowania kobiet i mężczyzn w dziedzinie zatrudnienia i pracy (Dz.U. 2006, L 204, s. 23).

16      Zobacz motyw 26 dyrektywy 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz.U. 2004, L 157, s. 45). W tym przypadku przyjęcie środka o charakterze kary nie jest zakazane, lecz nie jest obowiązkowe: wyrok z dnia 25 stycznia 2017 r., Stowarzyszenie „Oławska Telewizja Kablowa” (C‑367/15, EU:C:2017:36, pkt 28).

17      Artykuł 3 ust. 3 dyrektywy Parlamentu Europejskiego i Rady 2014/104/UE z dnia 26 listopada 2014 r. w sprawie niektórych przepisów regulujących dochodzenie roszczeń odszkodowawczych z tytułu naruszenia prawa konkurencji państw członkowskich i Unii Europejskiej, objęte przepisami prawa krajowego (Dz.U. 2014, L 349, s. 1) lub motywy 10 i 42 dyrektywy Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylającej dyrektywę 2009/22/WE (Dz.U. 2020, L 409, s. 1), która obejmuje dziedzinę ochrony danych.

18      Jako przykład zwykle przywoływany jest art. 18 ust. 2 rozporządzenia Komisji (WE) nr 1768/95 z dnia 24 lipca 1995 r. ustanawiającego przepisy wykonawcze w zakresie odstępstwa rolnego przewidzianego w art. 14 ust. 3 rozporządzenia (WE) nr 2100/94 (Dz.U. 1995, L 173, s. 14): „odpowiedzialność za wynagrodzenie posiadaczowi dalszych szkód […] obejmuje co najmniej kwotę ryczałtową obliczoną na podstawie czterokrotnej […] kwoty pobieranej […]”.

19      Zobacz pkt 47 poniżej.

20      Posługuję się tutaj terminami „egzekwowanie prawa na drodze publicznoprawnej” i „egzekwowanie prawa na drodze prywatnoprawnej” w takim samym znaczeniu co terminy użyte w dyrektywie 2014/104.

21      W motywie 55 wskazano treść rozdziału III („Środki sądowe, odpowiedzialność i sankcje”) dyrektywy 95/46. Artykuły 22, 23 i 24 tej dyrektywy odpowiadały odpowiednio każdemu z tych terminów. Rozdział VI dotyczył organów nadzorczych.

22      Trybunał potwierdził kluczową rolę tych organów w systemie, np. w wyroku z dnia 9 marca 2010 r., Komisja/Niemcy (C‑518/07, EU:C:2010:125, pkt 23). Odnoszą się do nich art. 8 ust. 3 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) i art. 16 ust. 2 in fine TFUE.

23      Estonia i Dania mają system szczególny, o którym mowa w motywie 151 RODO.

24      Pomimo braku w RODO bezpośredniej wzmianki o znaczeniu egzekwowania przepisów na drodze prywatnoprawnej, podobnej do tej, która została zawarta w motywie 3 dyrektywy 2014/104.

25      Możliwość wnoszenia powództw zbiorowych była dopuszczona jeszcze przed RODO: wyrok z dnia 29 lipca 2019 r., Fashion ID (C‑40/17, EU:C:2019:629). Zgodnie z art. 80 ust. 1 RODO działanie podmiotów działających w dziedzinie ochrony osób, których dane dotyczą, nie jest dostępne w zakresie odszkodowania, chyba że państwa członkowskie tak postanowią, a osoba, której dane dotyczą, udzieli wymaganego pełnomocnictwa. Sytuacja może ulec zmianie na gruncie dyrektywy 2020/1828.

26      Jak wskazuje rzecznik generalny J. Richard de la Tour w swojej opinii w sprawie Meta Platforms Ireland (C‑319/20, EU:C:2021:979), powództwo wynikające z art. 80 RODO służy ochronie interesów indywidualnych i ogólnych. Przedmiotem tej sprawy było powództwo o zaniechanie.

27      W szczególności w państwach członkowskich niechętnych dopuszczeniu orzeczeń zasądzających odszkodowanie za szkody niemajątkowe bez przepisu prawnego w tym względzie.

28      Takich jak bierna legitymacja procesowa, podstawy zwolnienia oraz system odpowiedzialności współadministratora i podmiotów wspólnie przetwarzających dane. W dokumencie Rady odzwierciedlono następujące pytanie delegacji belgijskiej: „Whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage”. W odpowiedzi Komisja stwierdziła, że konieczne jest udowodnienie szkody: zob. po raz pierwszy w nocie prezydencji nr 17831/13 z dnia 16 grudnia 2013 r., przypis 541. Nie wydaje się, aby kwestia ta była przedmiotem dalszej dyskusji.

29      Odnoszę się do prac poprzedzających przyjęcie dyrektyw 2004/48 i 2014/104. Wykładnia rozszerzająca art. 82 RODO na odszkodowania o charakterze kary miałaby istotne konsekwencje dla państw członkowskich: musiałaby one określić na przykład, kto powinien otrzymać odszkodowanie zastępujące karę, jak je obliczyć, aby odpowiadało celowi, lub jak połączyć je z administracyjnymi karami pieniężnymi i sankcjami karnymi, aby uniknąć nadmiernego karania.

30      Te „inne sankcje” o charakterze karnym lub administracyjnym nie są zharmonizowane. Podobnie jak grzywny, muszą one być „skuteczne, proporcjonalne i odstraszające” (art. 84 ust. 1 in fine).

31      Nie wykluczam, że abstrakcyjnie niektóre z nich mogłyby również zostać zastosowane w ramach odpowiedzialności cywilnej [mam na myśli np. „umyślny lub nieumyślny charakter” działania sprawcy naruszenia zgodnie z art. 83 ust. 2 lit. b) RODO] lub być odzwierciedlone w odszkodowaniu [np. „kategorie danych osobowych, których dotyczyło naruszenie”, zgodnie z lit. g) tego samego przepisu]. Jednakże nawet w takich przypadkach przeniesienie każdego czynnika z jednej dziedziny do drugiej nie działałoby automatycznie.

32      Artykuł 83 ust. 2 lit. a) RODO.

33      Ani jako parametru obliczenia, ani w celu odliczenia go od kwoty kary.

34      Artykuł 1 RODO oraz motywy 6, 9 i 170. W motywie 9 przypomniano, że były to cele dyrektywy 95/46, i podkreślono, że pozostają one aktualne. Zwykle podkreśla się, że w dyrektywie 95/46 cel polegający na swobodnym przepływie danych osobowych miał pierwszeństwo przed celem ochrony, natomiast w RODO jest odwrotnie, co można by wytłumaczyć formalnym uznaniem tego prawa w art. 8 karty, które miało zostać transponowane do nowego uregulowania. Jednakże art. 1 RODO jest jasny w odniesieniu do woli pogodzenia ochrony danych osobowych z ich swobodnym przepływem. Oznacza to oczywiście dbanie o to, by poziom ochrony był równy we wszystkich państwach członkowskich, a jednocześnie unikanie przeszkód wynikających z rozdrobnienia przepisów, ale także zmniejszenie niechęci osób fizycznych do udostępniania lub przekazywania danych osobowych w celu ich przetwarzania poprzez wzbudzenie zaufania, że są one chronione.

35      W pkt 53 swych uwag rząd irlandzki stwierdza: „[…] very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non‑material damage” (podkreślenie moje). W Niemczech część doktryny ostrzega przed ryzykiem nadużywania pozwów i koniecznością uniknięcia powstania „datenschutzrechtliche Klageindustrie”: T. Wybitul, L. Neu, M. Strauch, „Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen”, Zeitschrift für Datenschutz, 2018, s. 202 i nast., w szczególności s. 206; B. P. Paal, I. Kritzer, „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, s. 2433 I nast.

36      Nie można wykluczyć efektu „pospolitego ruszenia” lub efektu zwielokrotnienia, wynikającego z powodzenia powództwa z tytułu odpowiedzialności cywilnej bez szkody. Doprowadziłby on do zwiększenia prawdopodobieństwa, że podmioty gospodarcze, oprócz ewentualnej sankcji administracyjnej lub karnej, musiałyby sprostać pozwom zbiorowym lub wielu pozwom indywidualnym (w stosownych przypadkach mniej lub bardziej bezpodstawnym).

37      W uwagach stron jedynie zasygnalizowano to stanowisko, lecz nie rozwinięto go. Nie sprecyzowano np., czy miałoby to być domniemanie niewzruszalne, czy wzruszalne. Pierwsza możliwość jest najbardziej spójna z pytaniem sądu odsyłającego, w związku z czym ograniczę się do niej.

38      Zobacz art. 7 rozporządzenia (WE) nr 261/2004 Parlamentu Europejskiego i Rady z dnia 11 lutego 2004 r. ustanawiającego wspólne zasady odszkodowania i pomocy dla pasażerów w przypadku odmowy przyjęcia na pokład albo odwołania lub dużego opóźnienia lotów, uchylającego rozporządzenie (EWG) nr 295/91 (Dz.U. 2004, L 46, s. 1) lub art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1177/2010 z dnia 24 listopada 2010 r. o prawach pasażerów podróżujących drogą morską i drogą wodną śródlądową oraz zmieniającego rozporządzenie (WE) nr 2006/2004 (Dz.U. 2010, L 334, s. 1).

39      Na przykład w ust. 3 i 4 samego art. 82 RODO.

40      „[J]eżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.

41      „[N]aruszenie ochrony […] może skutkować […] utrat[ą] kontroli nad własnymi danymi osobowymi [osób fizycznych]”.

42      Wymienione w tym motywie konsekwencje nie są automatyczne. Zgodnie z art. 34 RODO administrator musi w każdym przypadku ocenić, czy konieczne jest zawiadomienie o naruszeniu osoby, której dane dotyczą.

43      Konsekwencje emocjonalne związane z utratą kontroli nad danymi, takie jak lęk lub niepokój związany z tym, co może się z nimi stać, wynikają z utraty, ale nie są z nią tożsame.

44      Niektóre państwa członkowskie ustanowiły domniemanie szkód w sektorach zbliżonych do sektora ochrony danych. I tak w Hiszpanii art. 9 ust. 3 Ley Orgánica 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (ustawy organicznej 1/1982 o ochronie cywilnej prawa do poszanowania czci, prywatności i życia rodzinnego oraz własnego wizerunku) z dnia 5 maja 1982 r. (BOE nr 115 z dnia 14 maja 1982 r., s. 12546–12548) stanowił, że „istnienie szkody domniemywa się pod warunkiem wykazania niezgodnej z prawem ingerencji [w prawa gwarantowane na mocy tej ustawy]”.

45      Pragnę przypomnieć, że w niniejszym sporze niezgodność z prawem zachowania jest związana właśnie z brakiem zgody osoby, której dane dotyczą. Mają tu również zastosowanie argumenty dotyczące miejsca prawa do odszkodowania wśród gwarancji przestrzegania przepisów RODO.

46      Jest to jednak tylko jedna z podstaw zgodnego z prawem przetwarzania danych; a wszystkie wymienione w RODO podstawy są równie ważne. Zobacz opinia 06/2014 grupy roboczej art. 29 ds. ochrony danych w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE, przyjęta w dniu 9 kwietnia 2014 r., s. 10. Administrator danych nie może jednak zmienić podstawy przetwarzania po jego rozpoczęciu: Europejska Rada Ochrony Danych, Wytyczne 5/2020 dotyczące zgody na mocy rozporządzenia (UE) 2016/679, pkt 121–123.

47      Artykuł 17 ust. 1 RODO. Nie oznacza to, że nie istnieje prawo do odszkodowania za szkody, jakie mogły powstać w wyniku przetwarzania dokonanego do chwili usunięcia danych.

48      Wyrok z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317, pkt 4 sentencji).

49      Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) [COM(2012) 011 final], s. 2 i motyw 6 proponowanego tekstu. Zobacz także pkt 2 komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Ochrona prywatności w połączonym świecie – europejskie ramy ochrony danych w XXI wieku” [COM(2012) 9 final].

50      Wydaje mi się, że to milczenie nie jest przypadkowe. Poza rozważaniami pojęciowymi na temat własności danych osobowych pojawia się pytanie, czy przyznanie tej kontroli nad danymi oznacza, że osoby fizyczne mają uprawnienia właścicielskie do informacji, które ich dotyczą (co prawdopodobnie nie byłoby zgodne z interesami osób trzecich i społeczeństwa jako całości). Zalecenie dotyczące uznania praw własności do danych osobowych jest zawarte w opinii Europejskiego Komitetu Ekonomiczno‑Społecznego „Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie europejskiego zarządzania danymi (akt w sprawie zarządzania danymi)”, COM(2020) 767 final, (Dz.U. 2021, C 286, s. 38), w pkt 4.18: „[…] EKES zaleca uznanie europejskich praw do własności danych cyfrowych, aby umożliwić obywatelkom i obywatelom (pracownikom, konsumentom, przedsiębiorcom) kontrolę nad wykorzystywaniem ich danych i zarządzanie nim lub zakazanie ich wykorzystywania” (podkreślenie moje). Natomiast jeśli chodzi o zaprzeczenie, że dane są towarem – zob. przypis 53 in fine.

51      W wersji hiszpańskiej wskazano, że „las personas físicas deben tener el control de sus propios datos personales” (podkreślenie moje) [„(o)soby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi”]; w wersji angielskiej – „natural persons should have control of their own personal data” (nie zaś the control). W innych wersjach, np. w wersji portugalskiej, stwierdza się, że „as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”. Zgodnie z art. 4 RODO kontrola nad danymi osobowymi dotyczy informacji, które one stanowią. Kontrola nad wykorzystaniem danych dotyczyłaby raczej ich przetwarzania.

52      W praktyce zgoda jest ograniczona do przyjęcia lub odrzucenia propozycji osoby, która zamierza przetwarzać dane.

53      Nie wykluczam, że rozwój systemu prawnego będzie polegać na uznaniu praw własności osoby, której dane dotyczą. Wątpię jednak, by prowadziło to do maksymalizacji kontroli indywidualnej: pozycja osoby, której dane dotyczą, charakteryzująca się uprawnieniami właścicielskimi wobec danych osobowych, mogłaby być nie do pogodzenia z rozwojem gospodarki i innowacjami; jej zgodność z wymiarem prawa podstawowego byłaby dyskusyjna. Zobacz motyw 24 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych (Dz.U. 2019, L 136, s. 1): „Uznając, że ochrona danych osobowych jest prawem podstawowym, a zatem dane osobowe nie mogą być traktowane jak towar […]” (podkreślenie moje).

54      Nie zostały przyjęte sformułowania takie jak te zaproponowane w odniesieniu do art. 19 w nocie prezydencji – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV 1 z dnia 11 maja 2000 r.: „Toute personne a le droit de décider elle‑même de la divulgation et de l’utilisation de ses données personnelles”. Nie przyjęto także sformułowania zawartego w odniesieniu do tego samego przepisu w nocie prezydencji – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00 z dnia 4 czerwca 2000 r.: „Toute personne a le droit de décider elle‑même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant”. Na szczeblu krajowym idea informacyjnego samostanowienia przyjęła się w niektórych państwach członkowskich, np. w Niemczech po orzeczeniu Bundesverfassungsgericht (federalnego trybunału konstytucyjnego) z dnia 15 grudnia 1983 r., 1 BvR 209/83. W Hiszpanii zob. np. wyrok Tribunal Constitucional (trybunału konstytucyjnego) 292/2000 z dnia 30 listopada 2000 r. (BOE z dnia 4 stycznia 2001 r.). Nie jestem pewien, czy ma to miejsce w przypadku Unii, chociaż wskazuje na to opinia rzecznika generalnego M. Szpunara w sprawie Orange Romania (C‑61/19, EU:C:2020:158, pkt 37): „Zasadą przewodnią, na której opiera się unijne prawo o ochronie danych, jest zasada samodzielnej decyzji jednostki będącej w stanie dokonywać wyborów dotyczących wykorzystania i przetwarzania swoich danych”, w której powołano się słusznie na piśmiennictwo niemieckie.

55      Projekt sprawozdania w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) [COM(2012) 0011 – C7‑0025/2012 – 2012/0011(COD)], PE501.927v04‑00, z dnia 16 stycznia 2013 r., poprawka 29.

56      Nie sugeruję, aby naruszenie przepisu miało pozostać bezkarne; wskazuję jedynie, że odszkodowanie nie jest odpowiednim narzędziem, jeśli szkoda nie wystąpiła.

57      Wykluczając, że zapewnienie jednostce kontroli nad jej danymi jest samo w sobie celem RODO, nie wykluczam potraktowania utraty kontroli jako wskazówki dla uznania szkód niemajątkowych, rozumianego jako uwzględnienie reakcji będących następstwem takiej utraty.

58      Zobacz pkt 51 niniejszej opinii. Swobodny przepływ danych jest jedynym celem w odniesieniu do danych nieosobowych: art. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz.U. 2018, L 303, s. 59).

59      Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno‑Społecznego i Komitetu Regionów „Ochrona prywatności w połączonym świecie – europejskie ramy ochrony danych w XXI wieku” [COM(2012) 9 final], pkt 1. Dalej, na s. 5: „[O]bawy dotyczące prywatności są jednymi z najczęstszych przyczyn niedokonywania przez osoby fizyczne zakupu towarów i usług w sieci”.

60      Motyw 2 RODO: „[…] przyczyniać się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno‑gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi”. W motywie 4 stwierdza się: „[…] Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej […]”. Zobacz podobnie wyrok z dnia 24 września 2019 r., Google (Zakres terytorialny prawa do usunięcia linków) (C‑507/17, EU:C:2019:772, pkt 60 i przytoczone tam orzecznictwo).

61      Cel ten jest wspólny dla ram regulacyjnych służących wzmocnieniu jednolitego rynku danych. Podobnie w komunikacie Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno‑Społecznego i Komitetu Regionów „Europejska strategia w zakresie danych”, COM(2020) 66 final, pkt 1, wyjaśniono: „W społeczeństwie, w którym jednostki będą generować coraz większe ilości danych, sposób gromadzenia i wykorzystywania danych musi stawiać na pierwszym miejscu interesy jednostki, zgodnie z europejskimi wartościami, prawami podstawowymi i przepisami. Obywatele będą obdarzać zaufaniem i akceptować innowacje wykorzystujące potencjał danych tylko wtedy, gdy będą mieli pewność, że udostępnianie danych osobowych w UE będzie zawsze przebiegało zgodnie z rygorystycznymi unijnymi przepisami o ochronie danych”.

62      Wydaje się, że sąd odsyłający jest zaniepokojony tym (postanowienie odsyłające, pkt 5 uzasadnienia pytań), że odszkodowanie może nabrać charakteru karnego, ponieważ RODO przewiduje już wysokie kary pieniężne, w związku z czym jego skuteczność nie wymagałaby również wysokiego zadośćuczynienia za krzywdę.

63      Sprawa C‑30/19, Braathens Regional Aviation (EU:C:2021:269, pkt 49): „[W]ypłata kwoty pieniężnej nie wystarcza, aby zaspokoić roszczenia osoby, która zmierza przede wszystkim do uzyskania stwierdzenia, tytułem zadośćuczynienia za doznaną krzywdę, że była ofiarą dyskryminacji, wobec czego nie można przyjąć, że wypłata tej kwoty pełniła funkcję zadowalającego odszkodowania”. Sprawa ta dotyczyła dyrektywy Rady 2000/43/WE z dnia 29 czerwca 2000 r. wprowadzającej w życie zasadę równego traktowania osób bez względu na pochodzenie rasowe lub etniczne (Dz.U. 2000, L 180, s. 22).

64      Zobacz U. Magnus, „Comparative Report on the Law of Damages”, w: Unification of Tort Law: Damages, Kluwer Law International, 2001, s. 187, pkt 14, 15.

65      Zazwyczaj w systemach common law, w szczególności w Stanach Zjednoczonych, gdzie roszczenie o symboliczne odszkodowanie pojawia się jako ostatni środek obrony praw konstytucyjnych. W odniesieniu do podsumowania dyskusji na temat jego użyteczności w tym kraju zob. M.-B. Grealish, „A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion”, w: Fordham L. Rev., t. 87, s. 733; oraz niedawne orzeczenie sądu najwyższego USA z dnia 8 marca 2021 r. w sprawie Uzuegbunam v Preczewski. Instytucja nominal damages nie jest bezspornie akceptowana również w Zjednoczonym Królestwie: przyjmuje się, że w praktyce interes związany z zasądzeniem symbolicznego odszkodowania zależy od tego, czy beneficjent zostanie uznany za stronę wygrywającą dla celów orzeczenia w przedmiocie kosztów postępowania, co nie jest automatyczne po wydaniu orzeczenia w sprawie Anglo‑Cyprian Trade Agencies Ltd v Paphos Wine Industries Ltd [1951] 1 All ER 873.

66      Trybunał w ramach (obowiązującego wówczas) art. 215 traktatu EWG wymagał udowodnienia szkody nawet wtedy, gdy z uwagi na trudności w jej wykazaniu powód żądał symbolicznego odszkodowania: wyrok z dnia 21 maja 1976 r., Roquette Frères/Komisja (26/74, EU:C:1976:69, pkt 23, 24).

67      W kontekście własności intelektualnej odszkodowanie jako reakcja na naruszenie przepisu służy osiągnięciu właściwego, zasadniczego w tej dziedzinie celu, jakim jest ochrona integralności ekonomicznej prawa. Artykuł 13 ust. 1 lit. a) dyrektywy 2004/48 odnosi się do „nieuczciw[ych] zysk[ów] uzyskan[ych] przez naruszającego” jako jednego z czynników, które organy sądowe muszą wziąć pod uwagę przy ustalaniu wysokości odszkodowania.

68      Podobny przepis znajduje się w art. 94 ust. 2 rozporządzenia Rady (WE) nr 2100/94 z dnia 27 lipca 1994 r. w sprawie wspólnotowego systemu ochrony odmian roślin (Dz.U. 1994, L 227, s. 1): „W przypadkach winy nieumyślnej nieznacznego stopnia roszczenia można zmniejszyć stosownie do stopnia winy nieumyślnej, nie mogą być one jednak mniejsze od korzyści, która [jaką] odniosła osoba naruszająca prawo”.

69      Okoliczność, że emocje lub odczucia są niewysłowione, zwłaszcza jeśli dotyczą one ryzyka związanego z tym, co może się stać z danymi w przyszłości, spowodowała, że nie zostały one uznane za szkody ze względu na brak wystarczającej konkretności lub ich hipotetyczny charakter.

70      Innymi słowy – dotyczyłoby ono chefs de préjudice lub heads of damage.

71      Zgodnie z tym motywem osoby, których dane dotyczą, powinny otrzymać „pełne i skuteczne” odszkodowanie. Nie uważam, aby to stwierdzenie miało znaczenie dla trzeciego pytania prejudycjalnego, ponieważ nie odnosi się ono do kategorii szkód podlegających naprawieniu, lecz do obliczenia odszkodowania (etapu, który logicznie następuje po etapie ustalenia tego, co podlega odszkodowaniu, i którego nie należy mylić z tym etapem). W kontekście prac przygotowawczych nad RODO nacisk na „pełne i skuteczne” odszkodowanie gwarantuje, że udział kilku administratorów lub podmiotów przetwarzających nie skutkuje jedynie częściowym odszkodowaniem dla osoby, której dane dotyczą. Z tego powodu w art. 82 ust. 4 RODO wskazano, że „[…] ponoszą oni [(administrator lub podmiot przetwarzający)] odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania”.

72      W art. 23 dyrektywy 95/46 nie sprecyzowano szkód podlegających naprawieniu, co wywołało dyskusję na temat tego, jakie szkody są objęte odszkodowaniem. Negocjacje poprzedzające przyjęcie RODO skupiły się na rozwianiu wątpliwości dotyczących włączenia szkód niemajątkowych. W motywie 118 wniosku Komisji przytoczonego w przypisie 49 wspomniano o odszkodowaniu za wszelkie szkody. Na późniejszych etapach procedury współstanowienia prawa zawarto wzmiankę o „jakiejkolwiek szkodzie, finansowej lub innej”, która doprowadziła do przyjęcia sformułowania „szkody niepieniężne” i ostatecznie do obecnego sformułowania „szkody niemajątkowe”.

73      Nie uczynił tego w odniesieniu do art. 23 dyrektywy 95/46 ani jak dotąd w odniesieniu do art. 82 RODO. Podobnie, o ile się nie mylę, nie uczynił tego w odniesieniu do art. 56 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89) ani w odniesieniu do art. 19 uchylonej decyzji ramowej.

74      Trybunał nie wskazał również preferowanej metody wykładni – autonomicznej lub poprzez odniesienie do krajowych porządków prawnych: zależy to od dziedziny będącej przedmiotem badania. Porównaj wyroki: z dnia 10 maja 2001 r., Veedfald (C‑203/99, EU:C:2001:258, pkt 27) – w dziedzinie produktów wadliwych; z dnia 6 maja 2010 r., Walz (C‑63/09, EU:C:2010:251, pkt 21), dotyczący odpowiedzialności przewoźników lotniczych; lub z dnia 10 czerwca 2021 r., Van Ameyde España (C‑923/19, EU:C:2021:475, pkt 37 i nast.) – w odniesieniu do odpowiedzialności cywilnej za szkody powstałe w związku z ruchem pojazdów mechanicznych. Dokumenty dotyczące negocjacji w sprawie RODO odzwierciedlają wątpliwości państw członkowskich co do tego, czy pojęcia szkody i odszkodowania w (obowiązującym wówczas) art. 77 powinny być autonomiczne, czy też nie, i świadczą o różnych stanowiskach w tym względzie. Komisja opowiedziała się za pozostawieniem tej kwestii Trybunałowi. Zobacz nota prezydencji Rady Unii Europejskiej nr 17831/13 z dnia 16 grudnia 2013 r., przypis 539.

75      Na przykład konsumentów produktów lub osób poszkodowanych w wypadkach drogowych.

76      W dziedzinie imprez turystycznych – wyrok z dnia 12 marca 2002 r., Leitner (C‑168/00, EU:C:2002:163); w dziedzinie odpowiedzialności cywilnej za szkody powstałe w związku z ruchem pojazdów mechanicznych – wyroki: z dnia 24 października 2013 r., Haasová (C‑22/12, EU:C:2013:692, pkt 47–50); z dnia 24 października 2013 r., Drozdovs (C‑277/12, EU:C:2013:685, pkt 40); z dnia 23 stycznia 2014 r., Petillo (C‑371/12, EU:C:2014:26, pkt 35).

77      Wyrok z dnia 23 stycznia 2014 r., Petillo (C‑371/12, EU:C:2014:26, sentencja): prawo Unii nie sprzeciwia się „ustawodawstwu krajowemu […], które przewiduje szczególny system zadośćuczynień za szkody niemajątkowe powstałe w wyniku lekkich obrażeń fizycznych spowodowanych wypadkami drogowymi, ograniczający zadośćuczynienie za wspomniane szkody niemajątkowe w stosunku do tego, co jest przyjęte w dziedzinie zadośćuczynień za identyczne szkody wynikłe z przyczyn innych niż wypadki drogowe”.

78      Na przykład wyroki: z dnia 12 marca 2002 r., Leitner (C‑168/00, EU:C:2002:163), dotyczący utraty urlopu; z dnia 6 maja 2010 r., Walz (C‑63/09, EU:C:2010:251), dotyczący utraty bagażu w dziedzinie imprez turystycznych.

79      W wyroku z dnia 17 marca 2016 r., Liffers (C‑99/15, EU:C:2016:173, pkt 17), dotyczącym wykładni dyrektywy 2004/48, podkreślono, że krzywda stanowi element rzeczywistej poniesionej szkody „przy założeniu jej udowodnienia”. Logicznie rzecz biorąc, udowodnienie zakłada rzeczywiste powstanie szkody; ta z kolei zbliża się do idei wagi naruszenia, choć nie pokrywa się z nią.

80      Zobacz pkt 51 powyżej.

81      Zobacz pkt 45 i nast. powyżej.

82      W dziedzinie ochrony danych, we Włoszech, niedawny wyrok Tribunale di Palermo, sez. I civile nr 5261, z dnia 5 października 2017 r., a także w orzeczenie Cass. Civ. Ord. Sez. 6 nr 17383/2020. W Niemczech między innymi AG Diez, 07.11.2018 – 8 C 130/18; LG Karlsruhe, 02.08.2019 – 8 O 26/19; AG Frankfurt am Main, 10.07.2020 – 385 C 155/19 (70). W Austrii – OGH 6 Ob 56/21k.

83      Zobacz wyrok z dnia 23 października 2012 r., Nelson i in. (C‑581/10 i C‑629/10, EU:C:2012:657, pkt 51), dotyczący rozróżnienia między „szkodą” w rozumieniu art. 19 Konwencji o ujednoliceniu niektórych zasad dotyczących międzynarodowego przewozu lotniczego, zawartej w Montrealu w dniu 28 maja 1999 r., a „niedogodnościami” w rozumieniu rozporządzenia nr 261/2004, które podlegają odszkodowaniu na podstawie art. 7 tego rozporządzenia zgodnie z wyrokiem z dnia 19 listopada 2009 r., Sturgeon i in. (C‑402/07 i C‑432/07, EU:C:2009:716). W tym sektorze, podobnie jak w sektorze przewozu pasażerskiego drogą morską i drogą wodną śródlądową objętym rozporządzeniem nr 1177/2010, prawodawca mógł uznać kategorię abstrakcyjną dzięki temu, że czynnik powodujący trudności, jak i istota trudności są identyczne dla wszystkich poszkodowanych. Nie uważam, aby takie wnioskowanie było możliwe w dziedzinie ochrony danych.

84      Paradygmatycznym mechanizmem wykonywania prawa ustanowionego w art. 82 RODO jest postępowanie sądowe przed sądami powszechnymi. Zasada skuteczności może oczywiście warunkować stosowanie przepisów krajowych dotyczących takich aspektów jak koszty postępowania czy dowody. Trudność w przyznaniu, że zwykłe niedogodności podlegają odszkodowaniu, wynika jednak nie tylko z dysproporcji między ich wartością pieniężną a kosztami postępowania (pomijając fakt, że nie tylko strony ponoszą koszty sprawowania wymiaru sprawiedliwości). Z uwagi na milczenie RODO nie wydaje mi się uzasadnione, aby wymagać od państw członkowskich ustanowienia postępowania ad hoc.

85      Pragnę przypomnieć, że zgodnie z art. 82 ust. 3 RODO administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, tylko jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

86      W ramach niniejszych rozważań nie przesądzam, czy w niniejszej sprawie sytuacja UI była objęta zakresem tej czy innej kategorii; rozstrzygnie to sąd odsyłający.

87      To samo dotyczy kwoty odszkodowania.