CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:756

NÁVRHY GENERÁLNEHO ADVOKÁTA

MANUEL CAMPOS SÁNCHEZ‑BORDONA

prednesené 6. októbra 2022(1)

Vec C‑300/21

proti

Österreichische Post AG

[návrh na začatie prejudiciálneho konania, ktorý podal Oberster Gerichtshof (Najvyšší súd, Rakúsko)]

„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Nemajetková ujma spôsobená nezákonným spracúvaním údajov – Podmienky vzniku práva na náhradu škody – Škoda, ktorá prekračuje určitú hranicu závažnosti“

1. Nariadenie (EÚ) 2016/679(2) priznáva každej osobe, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia jeho ustanovení, právo na náhradu škody od prevádzkovateľa alebo sprostredkovateľa.

2. Možnosť domáhať sa uvedeného práva na súde existovala už v predchádzajúcej právnej úprave (článok 23 smernice 95/46/EHS)(3), aj keď sa málo uplatňovala.(4) Pokiaľ sa nemýlim, Súdny dvor ešte nepodal osobitný výklad uvedeného článku.

3. Po nadobudnutí účinnosti GDPR sa zväčšil význam žalôb o náhradu škody.(5) Nárast ich počtu je viditeľný na súdoch členských štátov a odráža sa v príslušných návrhoch na začatie prejudiciálneho konania.(6) Prejednávaným návrhom na začatie prejudiciálneho konania Oberster Gerichtshof (Najvyšší súd, Rakúsko) žiada Súdny dvor, aby spresnil niektoré spoločné body právnej úpravy zodpovednosti za škodu, ktorú zavádza GDPR.

I. Právny rámec. GDPR

4. Pre tento spor sú dôležité najmä odôvodnenia 75, 85 a 146, ktoré sa nachádzajú v preambule GDPR.

5. Článok 6 s názvom „Zákonnosť spracúvania“ znie:

„1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

…“

6. Článok 79, nazývaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, v odseku 1 stanovuje:

„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“

7. V odseku 1 článku 82 s názvom „Právo na náhradu škody a zodpovednosť“ sa uvádza:

„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“

II. Skutkový stav, spor vo veci samej a prejudiciálne otázky

8. Österreichische Post AG, ktorá je vydavateľom telefónnych zoznamov, od roku 2017 zbiera informácie o politických preferenciách rakúskeho obyvateľstva. Pomocou algoritmu definovala „adresy cieľových skupín“ podľa určitých sociodemografických znakov.

9. UI je fyzická osoba, vo vzťahu ku ktorej Österreichische Post vykonala prostredníctvom štatistického výpočtu extrapoláciu na účely jej zatriedenia do možných cieľových skupín pre volebnú reklamu viacerých politických strán. Z uvedenej extrapolácie vyplynulo, že osoba UI mala vysoké preferencie pre jednu týchto strán. Tieto údaje neboli poskytnuté tretím osobám.

10. Osoba UI, ktorá neudelila súhlas so spracúvaním svojich osobných údajov, nebola spokojná s uchovávaním údajov o svojich volebných preferenciách a bola nahnevaná a dotknutá vysokými preferenciami pre konkrétnu politickú stranu, ktoré jej Österreichische Post pripísala.

11. Osoba UI žiadala náhradu nemajetkovej ujmy (vnútornej nespokojnosti) vo výške 1 000 eur. Tvrdila, že politické preferencie, ktoré jej boli priradené, sú urážkou a zahanbujú ju a tiež poškodzujú jej dobré meno. Ďalej uvádza, že správanie spoločnosti Österreichische Post u nej vyvolalo veľký hnev a stratu dôvery, ako aj pocit zahanbenia.

12. Prvostupňový súd zamietol žalobu o náhradu škody, ktorú podala osoba UI.(7)

13. Odvolací súd potvrdil prvostupňový rozsudok. Konštatoval, že s každým porušením GDPR nie je automaticky spojená náhrada nemajetkovej ujmy a že:

– keďže popri GDPR sa uplatní rakúske právo, náhrada sa poskytne len za škodu, ktorá prekračuje rámec nepríjemností alebo pocitov („Gefühlsschaden“) vyvolaných porušením práv žalobcu,

– je potrebné riadiť sa zásadou, na ktorej je založená rakúska právna úprava, že každý musí znášať samotné nepríjemnosti a pocity nespokojnosti, ktoré nezakladajú nárok na náhradu škody. Inak povedané, podmienkou vzniku práva na náhradu škody je určitý význam uvádzanej škody.

14. Rozsudok odvolacieho súdu bol napadnutý opravným prostriedkom na Oberster Gerichtshof (Najvyšší súd, Rakúsko), ktorý kladie Súdnemu dvoru tieto prejudiciálne otázky:

„1. Vyžaduje priznanie práva na náhradu škody podľa článku 82 [GDPR] popri porušení ustanovení [GDPR] aj to, aby žalobca utrpel škodu, alebo na priznanie práva na náhradu škody postačuje už samotné porušenie ustanovení [GDPR]?

2. Existujú popri zásadách efektivity a ekvivalencie ďalšie pravidlá práva Únie na určenie výšky náhrady škody?

3. Je stanovisko, podľa ktorého je podmienkou priznania práva na náhradu nemajetkovej ujmy to, že dôsledok alebo následok porušenia práva má aspoň takú dôležitosť, ktorá presahuje nepríjemnosti vyvolané porušením práva, v súlade s právom Únie?“

III. Konanie

15. Návrh na začatie prejudiciálneho konania bol doručený do kancelárie Súdneho dvora 12. mája 2021.

16. Písomné pripomienky predložili osoba UI, Österreichische Post, rakúska, česká a írska vláda, ako aj Európska komisia. Uskutočnenie pojednávania sa nepovažovalo za nevyhnutné.

IV. Analýza

A. Úvod

1. Prípustnosť

17. Osoba UI tvrdí, že prvá prejudiciálna otázka nie je relevantná pre spor, keďže jej žaloba nebola založená na „jednoduchom“ porušení ustanovenia GDPR, ale na jeho dôsledkoch alebo účinkoch.

18. Túto námietku neprípustnosti treba zamietnuť. Aj keby sa pripustilo, že došlo k spracúvaniu údajov v rozpore GDPR bez toho, aby osobe UI vznikla škoda, osoba UI by mohla mať právo na náhradu škody na základe článku 82 GDPR, ak by sa – ako sa pýta vnútroštátny súd – potvrdilo, že samotné porušenie ustanovenia týkajúceho sa spracúvania zakladá také právo.

19. Podľa osoby UI by Súdny dvor mohol považovať za neprípustnú aj druhú prejudiciálnu otázku, lebo jej obsah je vymedzený veľmi široko a je nadmerne obmedzená, pokiaľ ide o požiadavky práva Únie, pričom v nej nie je konkrétne spomenutá žiadna taká požiadavka.

20. Ani uvedená námietka – hoci je opodstatnenejšia než predchádzajúca – nemôže uspieť. Súd má právo opýtať sa, či má pri určovaní výšky škody okrem dodržania zásad ekvivalencie a efektivity posúdiť ďalšie požiadavky stanovené právom Únie.

2. Vymedzenie predmetu týchto návrhov

21. Článok 82 GDPR sa skladá zo šiestich odsekov. Vnútroštátny súd konkrétne neodkazuje na žiadny z nich, ale implicitne sa odvoláva na prvý z týchto odsekov. Neuvádza ani ustanovenie, ktorého porušenie by zakladalo nárok na náhradu škody.

22. Vo svojich návrhoch budem vychádzať z týchto predpokladov:

– spracúvanie osobných údajov osoby UI sa uskutočnilo bez získania jej súhlasu na účely článku 6 ods. 1 písm. a) GDPR,

– právo na náhradu škody má každá osoba, ktorá utrpela škodu. V tejto veci je osoba UI ako identifikovaná fyzická osoba, ktorej sa týka spracúvanie, „dotknutou osobou“(8),

– GDPR upravuje náhradu majetkovej a nemajetkovej ujmy. Osoba UI sa domáha len náhrady nemajetkovej ujmy v peniazoch.

B. Prvá prejudiciálna otázka

23. Vnútroštátny súd sa svojou prvou otázkou v podstate pýta, či samotné porušenie ustanovení GDPR zakladá právo na náhradu škody bez ohľadu na to, či vznikla škoda.

24. Z konštatovaní vnútroštátneho súdu a z pripomienok predložených v konaní na Súdnom dvore možno vyvodiť, že túto otázku možno chápať aj iným, trochu zložitejším spôsobom: išlo by o objasnenie, či porušenie ustanovení GDPR nevyhnutne spôsobuje škodu, ktorá zakladá právo na náhradu škody, bez toho, aby žalovaný mal možnosť preukázať opak.

25. Medzi uvedenými dvoma prístupmi existuje určitý (teoretický) rozdiel: pri prvom z nich škoda nie je predpokladom nároku na náhradu škody, ale pri druhom z nich je naopak predpokladom takého nároku. Požiadavka, aby žalobca preukázal škodu, sa v oboch prípadoch v praxi neuplatní, pričom žalobca tiež nemusí preukázať príčinnú súvislosť medzi porušením a uvedenou škodou.(9)

26. V každom prípade už teraz uvádzam, že podľa môjho názoru nemožno na prvú otázku odpovedať kladne, a to bez ohľadu na to, ktorý z jej dvoch výkladov sa použije. Oboma výkladmi sa budem zaoberať samostatne.

1. Náhrada škody bez vzniku škody?

27. Tvrdenie, že existuje právo na náhradu škody, aj keď porušením GDPR dotknutej osobe nevznikla škoda, vyvoláva zjavné ťažkosti, pričom prvá z nich sa týka doslovného znenia článku 82 ods. 1 uvedeného nariadenia.

28. Podľa uvedeného ustanovenia právo na náhradu škody(10) existuje práve preto, lebo najprv vznikla škoda. Jednoznačne sa teda vyžaduje, aby fyzická osoba utrpela škodu alebo ujmu v dôsledku porušenia GDPR.

29. Výklad, podľa ktorého je pojem „porušenie“ automaticky spojený s pojmom „náhrada“, bez toho, aby vznikla škoda, teda nie je v súlade so znením článku 82 GDPR. Tiež nie je v súlade s primárnym cieľom zodpovednosti za škodu, ktorú zavádza GDPR, ktorým je poskytnúť dotknutej osobe zadosťučinenie, a to práve prostredníctvom „úplnej a účinnej“ náhrady škody, ktorá jej vznikla.(11)

30. Ak nevznikla škoda, náhrada škody už nebude plniť funkciu kompenzácie nepriaznivých dôsledkov, ktoré porušenie spôsobilo, ale inú funkciu odlišnej povahy, ktorá sa viac podobá sankčnej funkcii.

31. Je však pravda, že v právnom poriadku členského štátu môže byť stanovená povinnosť zaplatiť náhradu škody sankčnej povahy.(12) Pod takou povinnosťou sa rozumie povinnosť zaplatiť značnú sumu, ktorá prekračuje výšku samotnej náhrady škody.

32. Predpokladom nároku na náhradu škody sankčnej povahy je spravidla predchádzajúca existencia škody. Hoci vychádza z tohto predpokladu, jej majetkové dôsledky nezávisia od výšky náhrady zodpovedajúcej uvedenej škode.

33. Nie je však nepredstaviteľné, že náhrada škody sankčnej povahy sa stanoví bez ohľadu na existenciu škody alebo sa škoda bude považovať za nepodstatnú na poskytnutie zadosťučinenia tomu, kto o ňu požiadal.

34. So zreteľom na odpoveď na prvú prejudiciálnu otázku musím preskúmať, či má náhrada škody tohto druhu oporu v GDPR, a to tým skôr, že takáto náhrada škody bola spomenutá v rozhodnutí vnútroštátneho súdu a v pripomienkach účastníkov konania vo veci samej a ďalších účastníkov prejudiciálneho konania.

2. Náhrada škody sankčnej povahy?

a) Doslovný výklad

35. Popri klasickej funkcii zodpovednosti za škodu možno spomenúť ďalšiu funkciu „sankčnej“ alebo „exemplárnej“ povahy, na základe ktorej – ako som už uviedol – sa výška náhrady škody nerovná vzniknutej škode, ale je vyššia ako táto škoda alebo dokonca predstavuje jej násobok.

36. Právo Únie v zásade nebráni takejto náhrade škody, ak ide o porušenie jeho ustanovení, pokiaľ ju možno priznať v podobných konaniach o žalobách založených na vnútroštátnych predpisoch.(13)

37. Náhrada škody sankčnej povahy má odrádzajúci účel. Ten istý účel môže byť potrebné dosiahnuť, ak majú členské štáty v prípade porušenia smernice prijať opatrenia, ktoré musia mať „skutočný odrádzajúci účinok“.(14) V niektorých smerniciach je výslovne stanovené, že náhrada škody, koncipovaná ako sankcia, má byť odrádzajúca.(15)

38. Naopak v iných predpisoch normotvorca deklaruje, že cieľom smernice „nie je zaviesť povinnosť ustanoviť povinný náhradu škody ako trestu [stanoviť povinnú sankčnú náhradu ujmy – neoficiálny preklad]“(16) alebo že členské štáty sa pri jej preberaní majú vyhnúť tomuto typu náhrady škody.(17) V práve Únie je priame uloženie povinnosti zaplatiť takzvanú „sankčnú náhradu škody“ výnimočné.(18)

39. V GDPR sa však nenachádza nijaká zmienka o sankčnej povahe náhrady majetkovej alebo nemajetkovej ujmy alebo o tom, že pri výpočte jej výšky treba zohľadniť túto povahu, alebo o tom, že uvedená náhrada škody má byť odrádzajúca (pričom v GDPR je naopak stanovené, že trestné sankcie a správne pokuty majú byť odrádzajúce).(19) Z doslovného hľadiska teda GDPR nepripúšťa náhradu škody sankčnej povahy.

b) Výklad so zreteľom na genézu ustanovenia

40. Článok 82 ods. 1 GDPR nadväzuje na článok 23 ods. 1 smernice 95/46. Toto ustanovenie bolo súčasťou systému, ktorého účinnosť závisela od jeho presadzovania verejnoprávnymi a súkromnoprávnymi prostriedkami(20), ale v ktorom sa (súkromnoprávna) kompenzácia a (verejnoprávna) sankcia neprekrývali.(21) Za dohľad nad dodržiavaním predpisov zodpovedali predovšetkým nezávislé dozorné orgány.(22)

41. GDPR preberá uvedený model, ale posilňuje nástroje na zabezpečenie účinnosti jeho ustanovení, ktoré sú v súčasnosti podrobnejšie, a reakcií, ktoré majú nastať v prípade ich porušení alebo hrozby ich porušení, ktoré sú v súčasnosti intenzívnejšie:

– na jednej strane rozširuje úlohy dozorných orgánov, ktorým okrem iného prináleží ukladať harmonizované sankcie, ktoré stanovuje samotné GDPR.(23) Zdôrazňuje tak prvok presadzovania predpisov verejnoprávnymi prostriedkami,

– na druhej strane stanovuje, že prináleží jednotlivcom, aby bránili práva, ktoré im priznáva GDPR(24), a to buď tým, že sa obrátia na dozorné orgány (článok 77), alebo tým, že sa obrátia na súdy (články 79 a 82). Okrem toho článok 80 dovoľuje, aby určité subjekty podali žaloby v zastúpení,(25) čo uľahčuje ochranu všeobecných záujmov jednotlivcov.(26)

42. Rozpracovanie jednotného systému zodpovednosti za škodu v GDPR bolo obmedzené. Aspekty, ktoré mohli byť sporné počas účinnosti smernice 95/46, ako je aspekt týkajúci sa zahrnutia nemajetkovej ujmy do škody, ktorú možno nahradiť,(27) boli rýchlo objasnené. Rokovanie sa zameriavalo na iné aspekty uvedeného systému.(28)

43. V prípravných dokumentoch som nenašiel nijakú zmienku o diskusii týkajúcej sa prípadnej sankčnej funkcie zodpovednosti za škodu stanovenej v GDPR. Nemožno teda dospieť k záveru, že táto funkcia má oporu v článku 82 GDPR, keďže o tejto otázke sa vôbec nediskutovalo, a to platí tým skôr, že o jej začlenení do iných právnych predpisov Únie sa diskutovalo.(29)

44. Za týchto podmienok sa domnievam, že žaloba upravená v článku 82 ods. 1 GDPR bola vytvorená a upravená na základe typických funkcií zodpovednosti za škodu, ktorými sú náhrada škody (vo vzťahu k poškodenému) a sekundárne predchádzanie budúcim škodám (vo vzťahu k porušovateľovi).

c) Kontextuálny výklad

45. Ako som už uviedol, článok 82 GDPR je súčasťou systému záruk účinnosti ustanovení, v ktorom iniciatíva súkromnoprávnych subjektov dopĺňa jeho presadzovanie verejnoprávnymi prostriedkami. K tejto účinnosti prispieva náhrada škody, ktorú musia zaplatiť prevádzkovatelia alebo sprostredkovatelia.

46. Povinnosť nahradiť škodu je (v ideálnom prípade) motiváciou na obozretnejšie konanie v budúcnosti, pri ktorom sa budú dodržiavať pravidlá a zabráni sa novým škodám. Každý jednotlivec tak tým, že sa domáha náhrady škody pre seba, prispieva k celkovej účinnosti predpisov.

47. V tomto kontexte je kompenzačná funkcia oddelená od sankčnej funkcie:

– pokuty, ktoré môžu ukladať dozorné orgány alebo súdy (článok 83 ods. 1 a 9 GDPR), a iné sankcie, ktoré členské štáty prijmú na základe článku 84 GDPR, plnia sankčnú funkciu,(30)

– sťažnosť jednotlivca (článok 77) a súdne konania (článok 79) plnia kompenzačnú funkciu. Dozorné orgány však nemajú právomoc rozhodovať o práve na náhradu škody.

48. V súlade s týmto oddelením kompenzačnej funkcie od sankčnej funkcie:

– dozorný orgán musí pri ukladaní pokuty a určovaní jej výšky vziať do úvahy faktory vymenované v článku 83 GDPR, ktoré nie sú stanovené v oblasti zodpovednosti za škodu a ktoré v zásade nemožno uplatniť na výpočet náhrady škody,(31)

– ak je rozsah škody, ktorá vznikla poškodeným, jedným z faktorov, ktoré vedú k zvýšeniu pokuty,(32) pri výpočte pokuty sa nemusí zohľadniť náhrada škody, ktorú mohli poškodení získať.(33)

49. Z teoretického hľadiska výklad, podľa ktorého v prípade, ak nevznikla nijaká škoda, zodpovednosť za škodu plní sankčnú funkciu, spôsobuje riziko, že mechanizmy náhrady škody splynú so sankčnými mechanizmami.

50. V praxi by jednoduché dosiahnutie „sankčného“ zisku z dôvodu náhrady škody mohlo motivovať dotknuté osoby, aby uprednostnili tento mechanizmus pred mechanizmom upraveným v článku 77 GDPR. Ak by sa tento jav rozšíril, dozorné orgány by prišli o nástroj (sťažnosť dotknutej osoby), ktorý im umožňuje zistiť, a teda prešetriť a sankcionovať možné porušenia GDPR, a to na úkor nástrojov, ktoré sú vhodnejšie na ochranu všeobecného záujmu.

d) Teleologický výklad

51. GDPR sleduje v podstate dva ciele, ktoré sú uvedené už v jeho názve: a) na jednej strane „ochrana fyzických osôb pri spracúvaní osobných údajov“ a b) na druhej strane to, aby uvedená ochrana mala takú podobu, že „voľný pohyb takýchto údajov“ v Únii nebude zakázaný ani obmedzený.(34)

52. Domnievam sa, že na dosiahnutie uvedených cieľov GDPR nevyžaduje, aby bola so samotným porušením ustanovenia, ktoré upravuje spracúvanie, spojená náhrada škody, čím by sa zodpovednosti za škodu priznala sankčná funkcia.

53. Pokiaľ ide o prvý cieľ, na jeho dosiahnutie nie je potrebné prostredníctvom výkladu rozšíriť pôsobnosť článku 82 GDPR tak, aby sa vzťahoval na prípady, v ktorých došlo k porušeniu ustanovenia, ale nevznikla škoda. Naopak toto rozšírenie by mohlo nepriaznivo ovplyvniť druhý cieľ.

54. Už som poukázal na to, že GDPR stanovuje viaceré nástroje na zaručenie dodržiavania jeho ustanovení, ktoré existujú popri sebe a dopĺňajú sa. Členské štáty si nemusia (a v skutočnosti ani nemôžu) vybrať spomedzi mechanizmov na zabezpečenie ochrany údajov uvedených v kapitole VIII. V prípade porušenia, ktoré nemá za následok vznik škody, má dotknutá osoba ešte (prinajmenšom) právo podať sťažnosť dozornému orgánu na základe článku 77 ods. 1 GDPR.

55. Okrem toho možnosť získať kompenzáciu bez ohľadu na akúkoľvek škodu by pravdepodobne podnecovala občianskoprávne spory, v ktorých by sa uplatňovali nároky, ktoré by možno neboli vždy opodstatnené,(35) a v tomto smere by mohla odradiť od činnosti spočívajúcej v spracúvaní údajov.(36)

3. Domnienka týkajúca sa škody?

56. Niektorí účastníci konania vo svojich pripomienkach presadzujú iný výklad prvej prejudiciálnej otázky, než je ten, ktorý som skúmal doteraz. Ak správne chápem ich stanovisko,(37) zrejme tvrdia, že ak došlo k porušeniu predmetného predpisu, platí nevyvrátiteľná domnienka týkajúca sa škody.

57. Ďalej uvádzajú, že toto porušenie nevyhnutne spôsobuje stratu kontroly nad údajmi, čo samo osebe predstavuje škodu, ktorú možno nahradiť na základe článku 82 ods. 1 GDPR.

58. Uvedená domnienka teoreticky predpokladá vznik škody, a preto je v súlade s typickou štruktúrou zodpovednosti za škodu, ako aj s doslovným znením spomenutého ustanovenia GDPR. V praxi by však malo jej uznanie pre žalobcu a žalovaného účinky podobné tým, ktoré vyplývajú zo spojenia náhrady škody podľa článku 82 ods. 1 GDPR so samotným porušením tohto predpisu.

59. Na vysvetlenie, prečo tento výklad nepovažujem za správny, opäť použijem obvyklé výkladové kritériá.

a) Doslovný výklad

60. Ak sa normotvorca v iných odvetviach práva Únie domnieval, že z porušenia predpisu automaticky vyplýva právo na náhradu škody, jednoznačne to stanovil.(38) Neurobil to v prípade GDPR, v ktorom sa nachádzajú ustanovenia, ktoré sa týkajú dokazovania alebo majú priame dôsledky pre dokazovanie,(39) ale ktoré nestanovuje uvedené automatické spojenie, či už priame, alebo prostredníctvom nevyvrátiteľnej domnienky.

61. Na neexistencii takého ustanovenia podľa môjho názoru nič nemenia odkazy na kontrolu nad údajmi (alebo stratu tejto kontroly), ktoré sa nachádzajú v odôvodneniach 75(40) a 85(41) GDPR. Odhliadnuc od toho, že tieto odôvodnenia nemajú normatívnu hodnotu, ani jedno z nich nepodporuje záver, že porušenie predpisu samo osebe spôsobuje vznik škody, ktorú možno nahradiť:

– v odôvodnení 75 je zabránenie kontrole nad osobnými údajmi spomenuté ako jedno z možných rizík spracúvania,

– v odôvodnení 85 je spomenutá strata kontroly ako jeden z dôsledkov, ktoré by mohli nastať na základe porušenia ochrany osobných údajov.(42)

62. Strata kontroly nad údajmi nevyhnutne nemusí viesť k vzniku škody. Toto slovné spojenie možno chápať ako jazykový zvrat, ktorý označuje škodu nasledujúcu po takej strate, ak táto škoda vznikne.(43)

b) Výklad so zreteľom na genézu

63. Rozbor genézy tiež nepodporuje existenciu uvedenej domnienky, ktorá sa nenachádzala v smernici 95/46(44) a nie je uvedená v dokumentoch Komisie, Európskeho parlamentu a Rady, ktoré predchádzali prijatiu GDPR a ktoré som preskúmal.

c) Kontextuálny výklad

64. Systematika GDPR poskytuje prvky, ktoré umožňujú konštatovať, že GDPR nestanovuje spornú domnienku, pričom východiskom je súhlas dotknutej osoby.(45) Uvedený súhlas – ako nástroj kontroly tejto osoby nad údajmi – povoľuje spracúvanie údajov na tej istej úrovni ako iné právne základy (článok 6 GDPR).(46)

65. K zákonnému spracúvaniu osobných údajov môže dôjsť aj bez povolenia dotknutej osoby, a teda mimo kontroly, ktorú predstavuje udelenie alebo neudelenie tohto povolenia. Jeho význam v rámci systematiky v konečnom dôsledku nie je absolútny.

66. GDPR navyše stanovuje iné možnosti výkonu tejto kontroly: patrí k nim právo na vymazanie, ktoré vyžaduje, aby prevádzkovateľ „bez zbytočného odkladu“ vymazal príslušné informácie.(47)

67. Pre osobu, ktorej údaje sa spracúvajú, toto právo slúži ako bezpečnostná poistka ochranného režimu: toto právo (spravidla) stále existuje, ak prevádzkovateľ nezískal súhlas dotknutej osoby, ako aj v prípade, ak neexistuje žiadny iný základ, ktorý by povoľoval spracúvanie údajov, a nezávisí od toho, či toto spracúvanie spôsobí nejakú škodu.(48)

d) Teleologický výklad

1) Je kontrola dotknutej osoby nad jej údajmi cieľom GDPR?

68. Predpokladom automatickej rovnocennosti spracúvania osobných údajov, s ktorým dotknutá osoba nevyjadrila súhlas, a ujmy, ktorú možno nahradiť, je, aby uvedená kontrola, ktorá sa vykonáva prostredníctvom tohto súhlasu, predstavovala sama osebe hodnotu.

69. Uznávam, že tento názor na prvý pohľad podporuje mnoho argumentov. V návrhu Komisie sa uvádza, že jedným z hlavných dôvodov reformy je, aby občania mali kontrolu nad svojimi údajmi.(49) V odôvodnení 7 GDPR sa uvádza, že „fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi“.

70. Je nesporné, že pri výklade tohto pojmu treba postupovať opatrne, odhliadnuc od diskusií v právnej náuke, ktoré vyvolal. V GDPR sa nenachádza presná definícia pojmu „kontrola“ (a nenašiel som ju ani nikde inde).(50) Tento výraz možno chápať minimálne dvoma spôsobmi, ktoré sa vzájomne nevylučujú: ako „moc“ alebo „ovládanie“ a ako „dohľad“.

71. Formulácia odôvodnenia 7 GDPR vyvoláva určitú neistotu, lebo v jednotlivých jazykových zneniach je odlišná.(51) Vzhľadom na jeho obsah sa domnievam, že GDPR poskytuje dotknutej osobe oprávnenia týkajúce sa dohľadu a zásahu pri operáciách, ktoré iní vykonávajú s údajmi, ako nástroj (spolu s inými nástrojmi), ktorý slúži na ochranu uvedených údajov.

72. Samotná dotknutá osoba prispieva k ochrane informácií obsiahnutých v týchto údajoch a zodpovedá za ňu v rozsahu – na úrovni a za podmienok –, ktorý stanovuje GDPR. Dosah individuálnej žaloby je obmedzený: pokiaľ ide o práva vymenované v GDPR, táto žaloba je obmedzená na ich uplatnenie za konkrétnych podmienok.

73. Súhlas dotknutej osoby ako najúplnejší prejav kontroly(52) je len jedným z právnych základov zákonného spracúvania, ale nemôže napraviť nedodržanie ostatných povinností a podmienok, ktoré sa vzťahujú na prevádzkovateľa a sprostredkovateľa.

74. Nezdá sa mi jednoduché dospieť k záveru, že cieľom GDPR je priznať dotknutej osobe kontrolu nad osobnými údajmi, ktorá je sama osebe hodnotou. Takým cieľom nie je ani dosiahnuť, aby dotknutá osoba mala čo najväčšiu kontrolu nad týmito údajmi.

75. Toto konštatovanie nie je prekvapujúce. Na jednej strane nie je zrejmé, že kontrola, chápaná ako ovládanie údajov, je súčasťou podstaty základného práva na ochranu osobných údajov.(53) Na druhej strane chápanie tohto práva ako práva na informačné sebaurčenie nie je vôbec jednomyseľné: v článku 8 Charty nie sú použité uvedené pojmy.(54)

76. V tom istom zmysle sa do konečného znenia GDPR nedostalo ani odôvodnenie, podľa ktorého „právo na ochranu osobných údajov je založené na práve dotknutej osoby vykonávať kontrolu nad osobnými údajmi, ktoré sa spracúvajú“(55).

77. Na základe vyššie uvedených – možno príliš abstraktných – úvah konštatujem, že ak dotknutá osoba nesúhlasí so spracúvaním a spracúvanie sa uskutočňuje bez iného legitímneho právneho základu, z tohto dôvodu nemá získať finančnú kompenzáciu v dôsledku straty kontroly nad svojimi údajmi, ako keby táto strata automaticky znamenala ujmu, ktorú možno nahradiť.(56) To, či navyše utrpela škodu, ešte nie je jasné (a bude sa to musieť preukázať).(57)

2) Kontrola dotknutej osoby v kontexte

78. Považujem za vhodné nakoniec pripomenúť, že ochrana osobných údajov je uvedená ako cieľ GDPR spolu so zámerom podporovať voľný pohyb údajov.(58)

79. Posilnenie kontroly občana nad jeho osobnými údajmi v digitálnom prostredí je jedným z uznaných cieľov modernizácie systému ochrany osobných údajov, ale nie nezávislým alebo izolovaným cieľom.

80. Komisia v oznámení pripojenom k jej návrhu GDPR uviedla, že vysoká úroveň ochrany údajov je spojená s dôverou v služby on‑line, ktorá umožňuje využiť potenciál digitálnej ekonomiky a podporu „hospodárskeho rastu a konkurencieschopnosti priemyslu EÚ“. Prostredníctvom reformy (a posilnenej harmonizácie) právnej úpravy Únie sa „posilňuje… rozmer vnútorného trhu v oblasti ochrany údajov“(59).

81. Vzhľadom na to, že (osobné a iné ako osobné) údaje sú zjavne dôležité pre hospodársky a spoločenský pokrok v Európe, cieľom GDPR nie je zvýšiť kontrolu jednotlivca nad informáciami, ktoré sa ho týkajú, jednoducho v závislosti od jeho preferencií, ale nastoliť rovnováhu medzi právom každého jednotlivca na ochranu osobných údajov a záujmami tretích osôb a spoločnosti.(60)

82. Zdôrazňujem, že účelom GDPR nie je systematicky obmedziť spracúvanie osobných údajov, ale ho povoliť za prísnych podmienok. Na tento účel slúži predovšetkým podpora dôvery dotknutej osoby v to, že spracúvanie sa bude uskutočňovať v bezpečnom prostredí,(61) ku ktorému sama prispeje. Takto je motivovaná, aby dobrovoľne povolila sprístupňovanie a používanie svojich údajov okrem iného v oblasti obchodných transakcií on‑line.

C. Druhá prejudiciálna otázka

83. Vnútroštátny súd sa pýta, či existujú „popri zásadách efektivity a ekvivalencie ďalšie pravidlá práva Únie na určenie výšky náhrady škody“.

84. V skutočnosti sa nezdá, že by zásada ekvivalencie v tomto prípade zohrávala dôležitú úlohu: harmonizovaná právna úprava obsiahnutá v GDPR sa v tejto oblasti uplatňuje priamo a jeho článok 82 sa vzťahuje na každú nemajetkovú ujmu, ktorá vznikne v dôsledku porušenia, bez ohľadu na to, kde k nej došlo.

85. Tá istá úvaha platí pre zásadu efektivity. Inou otázkou je, či má mať náhrada škody – ak vychádzame z toho, čo sa uvádza v odôvodnení 146 GDPR (dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu) – taký či onaký obsah.

86. Článok 82 GDPR ukladá len požiadavku, aby v dôsledku porušenia jeho ustanovení vznikla majetková alebo nemajetková ujma, ktorú utrpela ktorákoľvek osoba. Nestanovuje usmernenia pre vnútroštátne súdy, pokiaľ ide o výpočet výšky náhrady tejto škody v konkrétnom prípade.

87. Ak sa vychádza z dvoch znakov, ktoré boli citované vyššie (úplná a účinná), náhrada škody bude závisieť v prvom rade od nároku, ktorý daný žalobca uplatní.

88. Ak by uvedený nárok spočíval v uložení povinnosti zaplatiť náhradu škody sankčnej povahy,(62) bola by postačujúca odpoveď na prvú prejudiciálnu otázku: uvedený druh náhrady škody sa v GDPR nenachádza. Zodpovednosť za škodu plní v rámci GDPR funkciu „súkromnoprávnej“ kompenzácie, zatiaľ čo pokuty a trestné sankcie plnia verejnoprávnu funkciu spočívajúcu v odrádzaní a prípadne trestaní.

89. Nemožno vylúčiť, že súčasťou požadovanej náhrady nemajetkovej ujmy budú iné zložky než len peňažná náhrada, napríklad uznanie, že došlo k porušeniu, čím sa žalobcovi poskytne určité morálne zadosťučinenie. Rozsudok Súdneho dvora z 15. apríla 2021(63) – aj keď bol vydaný v inej oblasti, než je oblasť ochrany údajov – by analogicky umožnil uspokojiť uvedený nárok.

90. V právnych poriadkoch, ktoré to stanovujú, právna úprava zodpovednosti za škodu môže upravovať uloženie povinnosti z dôvodu zadosťučinenia (zaplatenie symbolickej náhrady škody) alebo vrátenia neoprávneného prospechu (vydanie bezdôvodného obohatenia).

91. Uloženie povinnosti z dôvodu zadosťučinenia vychádza z myšlienky spočívajúcej v zabezpečení kontinuity a realizácii práva („Rechtsfortsetzungsfunktion“) prostredníctvom čisto symbolickej náhrady škody, ktorá sa má zaplatiť popri určení, že žalovaný sa dopustil protiprávneho konania a porušil práva žalobcu. Článok 82 GDPR ju neupravuje a nie je spomenutá ani v prípravných dokumentoch, čo nie je prekvapujúce, lebo nie je spoločná pre právne poriadky členských štátov,(64) a ani v právnych poriadkoch, v ktorých existuje, nie je nesporná.(65)

92. Systematika GDPR a jeho ciele však nebránia tomu, aby členské štáty, v ktorých tento prostriedok nápravy existuje, umožnili, aby ho využili osoby, ktorých sa týka porušenie určitého predpisu, v rámci prostriedkov nápravy, ktoré sú uvedené v článku 79 GDPR, pre prípad, že nevznikne nijaká škoda. Ak naopak žalobca tvrdí, že mu vznikla finančná škoda, túto situáciu upravuje článok 82 GDPR a ťažkosti spojené s jej preukázaním nemajú viesť k uloženiu povinnosti zaplatiť symbolickú náhradu škody.(66)

93. Pokiaľ ide o uloženie povinnosti vydať sumu získanú v dôsledku porušenia práva, jeho účelom môže byť zbaviť toho, kto porušil toto právo, získaného prospechu. Mimo oblasti duševného vlastníctva(67) tento účel nie je bežný v oblasti právnych predpisov týkajúcich sa náhrady škody, ktoré sú zamerané skôr na škodu, ktorá vznikla poškodenému, než na prospech, ktorý získal porušovateľ.(68) V znení článkov GDPR tento účel nie je uvedený.

94. Tieto úvahy uvádzam, aby som uľahčil prácu vnútroštátnemu súdu, vzhľadom na to, že jeho druhá prejudiciálna otázka je sformulovaná široko. Je mi však jasné, že tieto úvahy môžu byť málo užitočné pri rozhodovaní o žalobe, ktorou sa dotknutá osoba domáha výlučne peňažnej náhrady nemajetkovej ujmy.

D. Tretia prejudiciálna otázka

95. Vnútroštátny súd sa pýta, či je priznanie nároku na náhradu nemajetkovej ujmy podľa GDPR podmienené tým, že „porušeni[e] práv má aspoň určitý význam a prekračuje rámec nepríjemností vyvolaných týmto porušením“.

96. Ako kritérium na určenie, či ide o škodu, ktorú možno nahradiť, sa v návrhu na začatie prejudiciálneho konania používa intenzita skúsenosti dotknutej osoby. Vnútroštátny súd sa naopak (aspoň nie priamo) nepýta, či určitá emócia alebo určitý pocit tejto osoby majú význam na účely článku 82 ods. 1 GDPR, a to na základe ich obsahu.(69)

97. Vzniká teda otázka, či členské štáty môžu podmieniť náhradu nemajetkovej ujmy závažnosťou dôsledkov vyplývajúcich z porušenia predpisu a zahrnúť len dôsledky, ktoré prekračujú určitú hranicu závažnosti. Predmetom otázky by teda neboli položky, ktoré možno nahradiť,(70) ani výška náhrady škody, ale existencia dolnej hranice reakcie dotknutej osoby, ktorá nebude mať nárok na náhradu, ak uvedená hranica nebude prekročená.

98. Článok 82 GDPR neposkytuje priamu odpoveď na túto otázku. Takú odpoveď podľa môjho názoru neposkytujú ani odôvodnenia 75 a 85. V oboch odôvodneniach sa nachádza demonštratívny výpočet druhov škody, ktorý sa končí otvorenou doložkou, ktorá podľa všetkého obmedzuje druhy škody, ktoré možno nahradiť, na „závažné“.

99. Nemyslím si však, že uvedené odôvodnenia sú užitočné pre zodpovedanie otázky vnútroštátneho súdu:

– v odôvodnení 75 sa hovorí o identifikácii a vyhodnocovaní rizík spojených so spracúvaním údajov a o prijímaní opatrení na predchádzanie týmto rizikám alebo ich zmiernenie. Sú v ňom opísané nežiaduce dôsledky akéhokoľvek spracúvania a zdôraznené „najmä“ niektoré z nich, a to určite z dôvodu, že sú závažnejšie,

– v odôvodnení 85 sú spomenuté porušenia ochrany údajov, pričom sa poukazuje na to, že tieto porušenia môžu mať aj závažné dôsledky.

100. Z konštatovania, ktoré sa nachádza v odôvodnení 146 GDPR (prevádzkovatelia by mali nahradiť „akúkoľvek škodu“)(71), tiež nevyplývajú kritériá, ktoré by umožnili odpovedať na uvedenú otázku.

101. Vloženie uvedeného odôvodnenia do znenia GDPR spôsobilo, že v GDPR je výslovne spomenutá nemajetková ujma, na rozdiel od smernice 95/46, v ktorej táto problematika nebola upravená.(72) Neriešila sa však konkrétne otázka, o ktorej má teraz rozhodnúť Súdny dvor.

102. V tom istom odôvodnení 146 GDPR sa uvádza, že „podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia“.

103. Nie som si istý, či je uvedené konštatovanie príliš užitočné v kontexte ochrany údajov, lebo Súdny dvor sa predtým, ako bolo GDPR prijaté, k tejto problematike ešte nevyjadril.(73) Ak normotvorca chcel odkázať na rozsudky týkajúce sa zodpovednosti za škodu upravenej v iných smerniciach alebo nariadeniach, bolo by vhodné, aby poukázal na analógiu.

104. Súdny dvor v skutočnosti nesformuloval všeobecnú definíciu „škody“, ktorá by sa bez rozdielu uplatňovala v ktorejkoľvek oblasti.(74) Na účely prejednávanej veci (v ktorej ide o nemajetkovú ujmu) z jeho judikatúry možno vyvodiť, že

– ak je cieľom (alebo jedným z cieľov) vykladaného ustanovenia ochrana jednotlivca alebo určitej kategórie jednotlivcov,(75) pojem škoda má byť široký,

– v súlade s uvedeným názorom sa náhrada škody vzťahuje aj na nemajetkovú ujmu, aj keď nie je spomenutá vo vykladanom ustanovení.(76)

105. Hoci judikatúra Súdneho dvora dovoľuje tvrdiť, že v práve Únie existuje za uvedených podmienok zásada náhrady nemajetkovej ujmy, nemyslím si, že z nej možno naopak vyvodiť pravidlo, podľa ktorého možno nahradiť každú nemajetkovú ujmu, a to bez ohľadu na jej závažnosť.

106. Súdny dvor uznal, že vnútroštátny predpis, podľa ktorého sa pri výpočte náhrady rozlišuje nemajetková ujma spojená s ujmou na zdraví spôsobenou pri nehode v závislosti od toho, ako k nej došlo, je zlučiteľný s predpismi Únie.(77)

107. Tiež posúdil, aké okolnosti môžu spôsobiť nemajetkovú ujmu v súlade s ustanovením uplatniteľným v danej veci,(78) ale (ak sa nemýlim) výslovne sa nevyjadril k požiadavke závažnosti tejto ujmy.(79)

108. Domnievam sa, že v tejto fáze treba na tretiu prejudiciálnu otázku odpovedať kladne.

109. Na podporu svojho stanoviska pripomínam, že jediným cieľom GDPR nie je chrániť základné právo na ochranu osobných údajov(80) a že jeho systém záruk zahŕňa mechanizmy rôzneho druhu.(81)

110. V tejto súvislosti je relevantné rozlišovanie, ktoré navrhujem Súdnemu dvoru, medzi nemajetkovou ujmou, ktorú možno nahradiť, a inými nepríjemnosťami odvodenými od nedodržania právnych predpisov, ktoré vzhľadom na svoj malý význam nevyhnutne nebudú viesť k vzniku práva na náhradu.

111. Také odlíšenie sa objavuje vo vnútroštátnych právnych poriadkoch ako nevyhnutný dôsledok života v spoločnosti.(82) Súdnemu dvoru je známy tento rozdiel, ktorý uznáva, keď hovorí o ťažkostiach a nepríjemnostiach ako o kategórii, ktorá je nezávislá od kategórie škody, v oblastiach, v ktorých sa domnieva, že za ne treba poskytnúť náhradu.(83) Nič nebráni tomu, aby sa uplatnil aj na GDPR.

112. Okrem toho sa nazdávam, že právo na náhradu škody podľa článku 82 ods. 1 GDPR nie je vhodným nástrojom na boj proti protiprávnym konaniam, ku ktorým dochádza pri spracúvaní osobných údajov, ak tieto konania u dotknutej osoby vyvolávajú len hnev alebo nepríjemnosti.

113. Akékoľvek porušenie ustanovenia o ochrane osobných údajov spravidla vyvolá nejakú nepriaznivú reakciu dotknutej osoby. Náhrada škody odvodená od samotného pocitu nespokojnosti v prípade, ak iná osoba porušila právny predpis, sa ľahko zamieňa s kompenzáciou bez vzniku škody, ktorú som už odmietol vyššie.

114. Zaradenie samotných nepríjemností medzi nemajetkovú ujmu, ktorú možno nahradiť, z praktického hľadiska nie je efektívne s prihliadnutím na nepríjemnosti a ťažkosti, ktoré spôsobuje žalobcovi uplatnenie nároku na súde(84) a žalovanému obrana proti tomuto nároku.(85)

115. Nepriznanie práva na náhradu škody z dôvodu slabých a dočasných pocitov alebo emócií(86) spojených s porušením predpisov týkajúcich sa spracúvania neznamená, že dotknutá osoba zostane bez akejkoľvek ochrany. Ako som uviedol v súvislosti s prvou otázkou, systém GDPR jej poskytuje iné prostriedky nápravy.

116. Nepochybujem o tom, že hranica medzi samotnými nepríjemnosťami (ktoré nemožno nahradiť) a skutočnou nemajetkovou ujmou (ktorú možno nahradiť) je nejasná, a tiež si uvedomujem, že je zložité abstraktne vymedziť tieto dve kategórie a konkrétne ich uplatniť na daný spor. Táto ťažká úloha prináleží sudcom členských štátov, ktorí vo svojich rozhodnutiach pravdepodobne budú musieť vziať do úvahy, ako spoločnosť v danom okamihu vníma prípustnú toleranciu, ak subjektívne dôsledky porušenia ustanovenia v tejto oblasti neprekročia úroveň de minimis.(87)

V. Návrh

117. Na základe vyššie uvedeného navrhujem odpovedať na prejudiciálne otázky, ktoré položil Oberster Gerichtshof (Najvyšší súd, Rakúsko), takto:

Článok 82 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/EHS (všeobecné nariadenie o ochrane údajov), sa má vykladať v tomto zmysle:

Na priznanie práva na náhradu škody, ktorú utrpela osoba v dôsledku porušenia spomenutého nariadenia, nepostačuje len samotné porušenie tohto predpisu, ak s ním nie je spojená zodpovedajúca majetková alebo nemajetková ujma.

Náhrada nemajetkovej ujmy, ktorú toto ustanovenie upravuje, sa nevzťahuje na samotné nepríjemnosti, ktoré dotknutá osoba môže pociťovať z dôvodu porušenia ustanovení nariadenia 2016/679. Prináleží vnútroštátnym súdom určiť, kedy možno subjektívny pocit nespokojnosti vzhľadom na jeho vlastnosti v danom prípade považovať za nemajetkovú ujmu.

1 Jazyk prednesu: španielčina.

2 Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1; ďalej len „GDPR“).

3 Smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).

4 Podľa správy Agentúry Európskej únie pre základné práva (FRA), nazvanej Access to data protection remedies in the EU Member States, Úrad pre vydávanie publikácií Európskej únie, 2013, body 3 a 4.

5 Legislatívne uznanie tohto práva je do veľkej miery špecifikom systému ochrany, ktorý existuje v Únii. Pri analýze platnosti právnych nástrojov týkajúcich sa prenosu osobných údajov do tretích krajín sa osobitne berie do úvahy, či existuje ustanovenie s rovnakým účelom. Pozri body 226 a 227 stanoviska 1/15 (Dohoda o PNR medzi EÚ a Kanadou) z 26. júla 2017 (EU:C:2017:592), ako aj rozsudky zo 16. júla 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559), a z 21. júna 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6 V čase zostavovania týchto návrhov bolo podaných ďalších sedem návrhov na začatie prejudiciálneho konania týkajúcich sa tejto problematiky (veci C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22, C‑189/22 a C‑456/22). Súbežne bol Výbor Európskeho parlamentu pre petície požiadaný, aby „objasnil odôvodnenia GDPR, najmä pokiaľ ide o nemajetkovú ujmu, s cieľom zabrániť ďalším nespravodlivým rozsudkom vydaným nemeckými súdmi“ (petícia č. 0386/2021).

7 Naopak vyhovel návrhu na uloženie povinnosti zdržať sa konania, ktorý bol v odvolacom konaní potvrdený. Opravný prostriedok „Revision“ (kasačný opravný prostriedok), ktorý podala Österreichische Post proti rozhodnutiu o uložení povinnosti zdržať sa konania, bol zamietnutý.

8 Používam tento pojem v zmysle článku 4 ods. 1 GDPR.

9 Dotknutá osoba niekedy ani nemusí preukázať, že nevyjadrila súhlas, keďže podľa článku 7 ods. 1 GDPR, „ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov“. Od žalobcu však možno vyžadovať, aby poskytol údaje, ktoré umožnia určiť výšku škody.

10 V španielskej verzii sa používa výraz „indemnización“ a v portugalskej verzii sa používa výraz „indemnização“. Veľmi výstižný je tiež výraz „Schadenersatz“ v nemeckej verzii. Vo francúzskej verzii sa nepoužíva výraz „indemnisation“, ale výraz „réparation“ a v anglickej verzii sa používa výraz „compensation“. Domnievam sa, že v ktorejkoľvek z uvedených a ďalších podobných verzií je výsledok rovnaký: škoda je stále nevyhnutným prvkom zodpovednosti za škodu.

11 Odôvodnenie 146 GDPR. Účelom náhrady škody je obnoviť rovnováhu právneho postavenia, ktoré bolo nepriaznivo zmenené (poškodené) porušením práva.

12 Náhrada sankčnej povahy (punitive damages) je charakteristická pre anglosaské právo. V iných právnych poriadkoch sa používa ako reakcia na osobitne úmyselné konanie alebo konanie z hrubej nedbanlivosti. Niekedy sa spája s určením výšky nemajetkovej ujmy spôsobenej zásahom do fyzickej integrity alebo do súkromia jednotlivca.

13 Rozsudok z 13. júla 2006, Manfredi a i. (C‑295/04 a C‑298/04, EU:C:2006:461, bod 92): „V súvislosti s priznaním náhrady škody a prípadnej možnosti poskytnúť odškodnenia sankčnej povahy v prípade neexistencie noriem Spoločenstva v tejto oblasti náleží vnútroštátnemu právnemu poriadku každého z členských štátov, aby stanovil kritériá umožňujúce určenie rozsahu náhrady za predpokladu, že budú rešpektované zásady ekvivalencie a efektivity.“ Kurzívou zvýraznil generálny advokát.

14 Rozsudok z 11. októbra 2007, Paquay (C‑460/06, EU:C:2007:601, bod 44 a nasl.), ktorý sa týkal článku 6 smernice Rady 76/207/EHS z 9. februára 1976 o vykonávaní zásady rovnakého zaobchádzania s mužmi a ženami, pokiaľ ide o prístup k zamestnaniu, odbornej príprave a postupu v zamestnaní a o pracovné podmienky (Ú. v. ES L 39, 1976, s. 40; Mim. vyd. 05/001, s. 187).

15 Článok 28 smernice Európskeho parlamentu a Rady 2004/109/ES z 15. decembra 2004 o harmonizácii požiadaviek na transparentnosť v súvislosti s informáciami o emitentoch, ktorých cenné papiere sú prijaté na obchodovanie na regulovanom trhu, a ktorou sa mení a dopĺňa smernica 2001/34/ES (Ú. v. EÚ L 390, 2004, s. 38), alebo článok 25 smernice Európskeho parlamentu a Rady 2006/54/ES z 5. júla 2006 o vykonávaní zásady rovnosti príležitostí a rovnakého zaobchádzania s mužmi a ženami vo veciach zamestnanosti a povolania (Ú. v. EÚ L 204, 2006, s. 23).

16 Je to uvedené v odôvodnení 26 smernice Európskeho parlamentu a Rady 2004/48/ES z 29. apríla 2004 o vymožiteľnosti práv duševného vlastníctva (Ú. v. EÚ L 157, 2004, s. 45; Mim. vyd. 17/002, s. 32). V uvedenom prípade prijatie sankčného opatrenia nie je zakázané, ale nie je povinné: rozsudok z 25. januára 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, bod 28).

17 Článok 3 ods. 3 smernice Európskeho parlamentu a Rady 2014/104/EÚ z 26. novembra 2014 o určitých pravidlách upravujúcich žaloby podľa vnútroštátneho práva o náhradu škody utrpenej v dôsledku porušenia ustanovení práva hospodárskej súťaže členských štátov a Európskej únie (Ú. v. EÚ L 349, 2014, s. 1) alebo odôvodnenia 10 a 42 smernice Európskeho parlamentu a Rady (EÚ) 2020/1828 z 25. novembra 2020 o žalobách v zastúpení na ochranu kolektívnych záujmov spotrebiteľov a o zrušení smernice 2009/22/ES (Ú. v. EÚ L 409, 2020, s. 1), ktorá sa vzťahuje na oblasť ochrany údajov.

18 Ako príklad sa obvykle uvádza článok 18 ods. 2 nariadenia Komisie č. 1768/95 z 24. júla 1995, ktoré ustanovuje pravidlá poľnohospodárskych výnimiek pre potreby článku 14 ods. 3 nariadenia Rady (ES) č. 2100/94 o ochrane práv odrôd rastlín v spoločenstve (Ú. v. ES L 173, 1995, s. 14; Mim. vyd. 03/018, s. 63): „záväzok nahradiť majiteľovi akékoľvek ďalšie škody… musí pokryť minimálne časť sumy vypočítanej [minimálne paušálnu sumu vypočítanú – neoficiálny preklad] na základe štvornásobného priemeru sumy účtovanej za licenčnú produkciu…“

19 Bod 47 nižšie.

20 V týchto návrhoch používam slovné spojenia „presadzovanie verejnoprávnymi prostriedkami“ a „presadzovanie súkromnoprávnymi prostriedkami“ v rovnakom zmysle, ako sú použité v smernici 2014/104.

21 V odôvodnení 55 bol uvedený obsah kapitoly III („Súdne opravné prostriedky, zodpovednosť a sankcie“) smernice 95/46. Tieto tri pojmy boli upravené v článkoch 22, 23 a 24 spomenutej smernice. Kapitola VI sa týkala dozorných orgánov.

22 Súdny dvor potvrdil kľúčovú úlohu týchto orgánov v rámci systému: napríklad vo svojom rozsudku z 9. marca 2010, Komisia/Nemecko (C‑518/07, EU:C:2010:125, bod 23). Tieto orgány sú spomenuté v článku 8 ods. 3 Charty základných práv Európskej únie (ďalej len „Charta“) a v článku 16 ods. 2 ZFEÚ in fine.

23 V Estónsku a Dánsku platí osobitný režim, ktorý je spomenutý v odôvodnení 151 GDPR.

24 Napriek tomu, že v GDPR sa nenachádza priama zmienka o význame presadzovania predpisov súkromnoprávnymi prostriedkami podobná tej, ktorá je uvedená v odôvodnení 3 smernice 2014/104.

25 Možnosť podať hromadnú žalobu existovala už pred nadobudnutím účinnosti GDPR: rozsudok z 29. júla 2019, Fashion ID (C‑40/17, EU:C:2019:629). Podľa článku 80 ods. 1 GDPR subjekty na ochranu záujmov nemôžu podať žalobu o náhradu škody, pokiaľ to členské štáty nestanovia a dotknutá osoba neudelí požadované splnomocnenie. Situácia sa môže zmeniť na základe smernice 2020/1828.

26 Ako generálny advokát Richard de la Tour uviedol v návrhoch, ktoré predniesol vo veci Meta Platforms Ireland (C‑319/20, EU:C:2021:979), žaloba podľa článku 80 GDPR môže slúžiť na ochranu individuálnych a všeobecných záujmov. V uvedenej veci išlo o žalobu na zdržanie sa konania.

27 Najmä v členských štátoch, ktoré nie sú ochotné pripustiť uloženie povinnosti nahradiť nemajetkovú ujmu bez toho, aby existovalo príslušné zákonné ustanovenie.

28 Ako je pasívna legitimácia, dôvody zbavenia sa zodpovednosti a režim zodpovednosti súbežných prevádzkovateľov a sprostredkovateľov. V jednom dokumente Rady je vyjadrená nasledujúca otázka belgickej delegácie: „whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage“. Komisia odpovedala, že je potrebné preukázať škodu: pozri po prvý raz v poznámke predsedníctva č. 17831/13 zo 16. decembra 2013, poznámka pod čiarou 541. Nie je preukázané, že o tejto otázke sa podrobnejšie diskutovalo.

29 Odkazujem na dokumenty, ktoré predchádzali prijatiu smerníc 2004/48 a 2014/104. Výklad, podľa ktorého by sa článok 82 GDPR uplatnil aj na náhradu škody sankčnej povahy, by mal významné dôsledky pre členské štáty: museli by napríklad určiť, kto má byť príjemcom náhrady, ktorá slúži ako sankcia, ako sa má vypočítať tak, aby spĺňala cieľ, a ako sa má zosúladiť so správnymi pokutami a trestnými sankciami s cieľom zabrániť neprimerane prísnemu trestu.

30 Uvedené „iné sankcie“ trestnej alebo správnej povahy nie sú harmonizované. Tak ako pokuty, majú byť „účinné, primerané a odrádzajúce“ (článok 84 ods. 1 in fine).

31 Nevylučujem, že z abstraktného hľadiska by sa niektoré z nich mohli uplatniť aj v rámci zodpovednosti za škodu [mám na mysli napríklad „úmyselný alebo nedbanlivostný charakter“ konania porušovateľa podľa článku 83 ods. 2 písm. b) GDPR] alebo sa odzrkadliť v náhrade škody [napríklad „kategóri[a] osobných údajov, ktorých sa porušenie týka“ podľa písmena g) toho istého ustanovenia]. Ani v týchto prípadoch by sa však každý faktor nemohol automaticky preniesť z jednej oblasti do druhej.

32 Článok 83 ods. 2 písm. a) GDPR.

33 Ani ako výpočtový parameter, ani na účely jej odpočítania od výšky pokuty.

34 Článok 1 GDPR a odôvodnenia 6, 9 a 170. V odôvodnení 9 sa pripomína, že to boli ciele smernice 95/46, a potvrdzuje, že zostávajú platné. Obvykle sa zdôrazňuje, že v smernici 95/46 mal cieľ týkajúci sa voľného pohybu osobných údajov prednosť pred ochranným cieľom, zatiaľ čo v GDPR je to naopak, čo je odôvodnené formálnym uznaním predmetného práva v článku 8 Charty, ktoré sa muselo premietnuť do novej právnej úpravy. V článku 1 GDPR je však jednoznačne vyjadrený zámer zosúladiť ochranu osobných údajov s ich voľným pohybom. To, samozrejme, znamená zabezpečiť, aby bola úroveň ochrany vo všetkých členských štátoch rovnocenná, a zabrániť prekážkam vyplývajúcim z fragmentácie právnej úpravy, ale tiež upokojiť obavy jednotlivcov pri zdieľaní alebo poskytovaní osobných údajov na účely ich spracúvania prostredníctvom vytvorenia dôvery, že sú chránené.

35 Írska vláda v bode 53 svojich pripomienok uvádza: „… very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non‑material damage“ (kurzívou zvýraznil generálny advokát). V nemeckej právnej náuke niektorí autori upozorňujú na riziko zneužitia týchto žalôb a na potrebu zabrániť tomu, aby vznikol „datenschutzrechtliche Klageindustrie“: WYBITUL, T., NEU, L., STRAUCH, M.: Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen. In: Zeitschrift für Datenschutz, 2018, s. 202 a nasl., najmä s. 206; PAAl, B.P., KRITZER, I.: Geltendmachung von DS‑GVO‑Ansprüchen als Geschäftsmodell. In: Neue Juristische Wochenschrift, 2022, s. 2433 a nasl.

36 Nemožno prehliadnuť následný alebo multiplikačný účinok úspešnosti žaloby o náhradu škody bez existencie škody. V dôsledku neho by sa zväčšila pravdepodobnosť, že hospodárske subjekty budú popri možnej správnej alebo trestnej sankcii čeliť hromadným žalobám alebo viacerým individuálnym žalobám (ktoré budú prípadne viac či menej zneužívajúce).

37 Účastníci konania túto domnienku vo svojich pripomienkach len navrhujú, ale bližšie ju neopisujú. Neuvádzajú napríklad, či by to bola nevyvrátiteľná alebo vyvrátiteľná domnienka. Prvá uvedená možnosť viac zodpovedá otázke vnútroštátneho súdu, a preto sa budem zaoberať len ňou.

38 Pozri článok 7 nariadenia Európskeho parlamentu a Rady (ES) č. 261/2004 z 11. februára 2004, ktorým sa ustanovujú spoločné pravidlá systému náhrad a pomoci cestujúcim pri odmietnutí nástupu do lietadla, v prípade zrušenia alebo veľkého meškania letov a ktorým sa zrušuje nariadenie (EHS) č. 295/91 (Ú. v. EÚ L 46, 2004, s. 1; Mim. vyd. 07/008, s. 10), alebo článok 19 nariadenia Európskeho parlamentu a Rady (EÚ) č. 1177/2010 z 24. novembra 2010 o právach cestujúcich v námornej a vnútrozemskej vodnej doprave, ktorým sa mení a dopĺňa nariadenie (ES) č. 2006/2004 (Ú. v. EÚ L 334, 2010, s. 1).

39 Bez toho, aby som išiel ďalej, v odsekoch 3 a 4 samotného článku 82 GDPR.

40 „Ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi“.

41 „Porušenie ochrany osobných údajov… môže fyzickým osobám spôsobiť… strat[u] kontroly nad svojimi osobnými údajmi…“.

42 Dôsledky vymenované v uvedenom odôvodnení nie sú automatické. Podľa článku 34 GDPR musí prevádzkovateľ v každom prípade posúdiť, či je potrebné oznámiť porušenie dotknutej osobe.

43 Emocionálne následky spojené so stratou kontroly nad údajmi, ako je strach alebo obavy z toho, čo sa s nimi môže stať, vyplývajú z tejto straty, ale nie sú s ňou totožné.

44 Niektoré členské štáty zaviedli domnienku škody v odvetviach blízkych odvetviu ochrany údajov. Napríklad v Španielsku bolo v článku 9 ods. 3 Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (organický zákon č. 1/1982 z 5. mája 1982 o ochrane práva na česť, na osobné a rodinné súkromie a na vlastnú podobizeň prostriedkami občianskeho práva) (BOE č. 115 zo 14. mája 1982, s. 12546 až 12548), stanovené, že „existencia škody sa predpokladá, pokiaľ sa preukáže neoprávnený zásah [do práv zaručených týmto zákonom]“.

45 Pripomínam, že v tomto spore sa protiprávnosť konania spája práve s neexistenciou súhlasu dotknutej osoby. Argumenty týkajúce sa miesta práva na náhradu škody medzi zárukami dodržiavania ustanovení GDPR platia aj v tomto prípade.

46 Je to však len jeden zo základov zákonného spracúvania, pričom všetky základy vymenované v GDPR sú rovnocenné. Pozri stanovisko Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 č. 06/2014 k pojmu legitímne záujmy prevádzkovateľa podľa článku 7 smernice 95/46/EHS, prijaté 9. apríla 2014, s. 10. Prevádzkovateľ však nemôže zmeniť základ spracúvania po tom, čo začal so spracúvaním: usmernenia Európskeho výboru pre ochranu údajov č. 5/2020 k súhlasu podľa nariadenia 2016/679, body 121 až 123.

47 Článok 17 ods. 1 GDPR. To neznamená, že neexistuje právo na náhradu škody, ktorú mohlo spôsobiť spracúvanie uskutočnené pred ich vymazaním.

48 Rozsudok z 13. mája 2014, Google Spain a Google (C‑131/12, EU:C:2014:317, bod 4 výroku).

49 Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) [COM(2012) 011 final], s. 2, a odôvodnenie 6 navrhovaného znenia. Pozri tiež bod 2 oznámenia Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov „Ochrana súkromia v prepojenom svete Európsky rámec ochrany údajov pre 21. storočie“ [COM(2012) 9 final].

50 Zdá sa mi, že neexistencia uvedenej definície nie je náhodná. Odhliadnuc od koncepčných poznámok týkajúcich sa vlastníctva osobných údajov, otázka spočíva v tom, či sa má pripustiť, aby sa kontrola nad ich údajmi rovnala tomu, že fyzické osoby majú vlastnícke oprávnenia týkajúce sa informácií, ktoré sa ich týkajú (čo by pravdepodobne nebolo zlučiteľné so záujmami tretích osôb a spoločnosti ako celku). V bode 4.18 stanoviska Európskeho hospodárskeho a sociálneho výboru k návrhu nariadenia Európskeho parlamentu a Rady o európskej správe údajov (akt o správe údajov), COM(2020) 767 final (Ú. v. EÚ C 286, 2021, s. 38), sa nachádza odporúčanie uznať vlastnícke práva na osobné údaje: „EHSV… odporúča uznať európske vlastnícke práva na digitálne údaje, aby sa občanom (zamestnancom, spotrebiteľom, podnikateľom) umožnilo kontrolovať a riadiť používanie ich údajov alebo ho zakázať“ (kurzívou zvýraznil generálny advokát). Pokiaľ ide naopak o konštatovanie, že údaje nepredstavujú komoditu, pozri poznámku pod čiarou 53 in fine.

51 V španielskom znení je uvedené: „Las personas físicas deben tener el control de sus propios datos personales“ (kurzívou zvýraznil generálny advokát). V anglickom znení je uvedené, že „natural persons should have control of their own personal data“ (a nie „the control“). V iných zneniach, ako je portugalské, sa uvádza, že „as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais.“ Podľa článku 4 GDPR sa kontrola nad osobnými údajmi vzťahuje na informácie, ktoré tieto údaje predstavujú. Kontrola nad používaním údajov by sa vzťahovala skôr na ich spracúvanie.

52 V praxi je tento súhlas obmedzený na prijatie alebo odmietnutie návrhu subjektu, ktorý chce spracúvať údaje.

53 Nevylučujem, že vývoj právnej úpravy bude smerovať k priznaniu vlastníckych práv dotknutej osobe. Pochybujem však, že to bude viesť k zabezpečeniu čo najväčšej kontroly jednotlivca: postavenie dotknutej osoby ako vlastníka osobných údajov by nemuselo náležite zodpovedať vývoju ekonomiky a inovácii, pričom jeho zlučiteľnosť s rozmerom základného práva by bola sporná. Pozri odôvodnenie 24 smernice Európskeho parlamentu a Rady (EÚ) 2019/770 z 20. mája 2019 o určitých aspektoch týkajúcich sa zmlúv o dodávaní digitálneho obsahu a digitálnych služieb (Ú. v. EÚ L 136, 2019, s. 1): „Hoci sa v plnej miere uznáva, že ochrana osobných údajov je základným právom, a preto osobné údaje nemožno považovať za komoditu…“. Kurzívou zvýraznil generálny advokát.

54 Neuspeli formulácie, ako bola formulácia článku 19 navrhnutá v poznámke predsedníctva k návrhu Charty základných práv Európskej únie, Charte 4284/1/00 REV 1, z 11. mája 2000: „Toute personne a le droit de décider elle‑même de la divulgation et de l’utilisation de ses données personnelles.“ Neuspela ani formulácia toho istého ustanovenia, ktorá sa nachádza v poznámke predsedníctva k návrhu Charty základných práv Európskej únie, Charte 4333/00, zo 4. júna 2000: „Toute personne a le droit de décider elle‑même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant.“ Na vnútroštátnej úrovni sa myšlienka informačného sebaurčenia objavila v niektorých členských štátoch, napríklad v Nemecku po vydaní rozhodnutia Bundesverfassungsgericht (Ústavný súd) z 15. decembra 1983, 1 BvR 209/83. Pokiaľ ide o Španielsko, pozri napríklad rozsudok Tribunal Constitucional (Ústavný súd) č. 292/2000 z 30. novembra 2000 (BOE zo 4. januára 2001). Nie som si istý, či to platí v prípade Únie, aj keď tomu nasvedčujú návrhy, ktoré generálny advokát Szpunar predniesol vo veci Orange Romania (C‑61/19, EU:C:2020:158, bod 37): „Hlavnou zásadou, ktorá je základom právnych predpisov EÚ o ochrane údajov, je sloboda rozhodovania jednotlivca, ktorý má možnosť voľby pri rozhodovaní o použití a spracúvaní svojich údajov“, ktorý odkazuje práve na nemeckú právnu náuku.

55 Návrh správy o návrhu nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) [COM(2012) 0011 – C7‑0025/2012 – 2012/0011(COD)], PE501.927v04‑00, zo 16. januára 2013, pozmeňujúci a doplňujúci návrh 29.

56 Netvrdím, že porušenie ustanovenia má zostať nepotrestané: chcem povedať, že náhrada škody nie je vhodným nástrojom, ak nevznikla škoda.

57 Hoci je vylúčené, že samotným účelom GDPR je priznať jednotlivcovi kontrolu nad jeho údajmi, domnievam sa, že strata kontroly môže slúžiť ako návod na priznanie nároku na náhradu nemajetkovej ujmy v tom zmysle, že sa vezmú do úvahy reakcie, ktoré nasledujú po uvedenej strate.

58 Pozri bod 51 vyššie. Voľný tok údajov je jediným cieľom, pokiaľ ide o iné ako osobné údaje: článok 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1807 zo 14. novembra 2018 o rámci pre voľný tok iných ako osobných údajov v Európskej únii (Ú. v. EÚ L 303, 2018, s. 59).

59 Oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov „Ochrana súkromia v prepojenom svete. Európsky rámec ochrany údajov pre 21. storočie“ [COM(2012) 9 final], bod 1. Ďalej na strane 5: „obavy súvisiace s ochranou súkromia patria medzi najčastejšie dôvody, pre ktoré ľudia nenakupujú tovary a služby on‑line“.

60 Odôvodnenie 2 GDPR: „…prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb“. V odôvodnení 4 sa uvádza: „… Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti…“ Pozri v tom istom zmysle rozsudok z 24. septembra 2019, Google (Územná pôsobnosť odstránenia odkazov) (C‑507/17, EU:C:2019:772, bod 60 a tam citovaná judikatúra).

61 Tento cieľ je spoločný regulačnému rámcu, ktorý má posilniť jednotný trh s údajmi. V tomto zmysle je v bode 1 oznámenia Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov o európskej dátovej stratégii, COM(2020) 66 final, vysvetlené: „V spoločnosti, kde jednotlivci budú produkovať čoraz väčšie množstvo údajov, sa musí pri spôsobe, akým sa údaje zhromažďujú a používajú, v prvom rade prihliadať na záujmy jednotlivcov, a to v súlade s európskymi hodnotami, základnými právami a pravidlami. Občania budú dôverovať inováciám založeným na údajoch a prijmú ich, len ak budú mať istotu, že zdieľanie osobných údajov v EÚ bude podliehať prísnym pravidlám EÚ na ochranu osobných údajov.“

62 Vnútroštátny súd sa zrejme obáva (bod 5 odôvodnenia prejudiciálnych otázok v rozhodnutí vnútroštátneho súdu), že náhrada škody bude mať napokon sankčnú povahu, keďže GDPR už stanovuje vysoké pokuty, a preto jeho účinnosť nevyžaduje aj vysokú náhradu nemajetkovej ujmy.

63 Vec C‑30/19, Braathens Regional Aviation (EU:C:2021:269, bod 49): „zaplatenie peňažnej sumy nestačí na splnenie nárokov osoby, ktorá má v úmysle ako náhradu vzniknutej nemajetkovej ujmy prednostne dosiahnuť uznanie, že bola obeťou diskriminácie, takže nemožno usudzovať, že zaplatenie peňažnej sumy plní v tejto súvislosti uspokojivú nápravnú funkciu“. Uvedená vec sa týkala smernice Rady 2000/43/ES z 29. júna 2000, ktorou sa zavádza zásada rovnakého zaobchádzania s osobami bez ohľadu na rasový alebo etnický pôvod (Ú. v. ES L 180, 2000, s. 22; Mim. vyd. 20/001, s. 23).

64 Pozri MAGNUS, U.: Comparative Report on the Law of Damages. In: Unification of Tort Law: Damages. Kluwer Law International, 2001, s. 187, body 14 a 15.

65 Obvykle v systémoch common law, najmä v Spojených štátoch, kde sa uplatnenie nároku na symbolickú náhradu javí ako krajný prostriedok na ochranu ústavných práv. Pokiaľ ide o zhrnutie diskusií o užitočnosti tejto náhrady v uvedenej krajine, pozri GREALISH, M.‑B.: A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion. In: Fordham L. Rev., roč. 87, s. 733, a nedávne rozhodnutie Najvyššieho súdu USA z 8. marca 2021 vo veci Uzuegbunam v. Preczewski. Uznanie nominal damages nie je nesporné ani v Spojenom kráľovstve: predpokladá sa, že v praxi záujem na uložení povinnosti zaplatiť symbolickú náhradu škody závisí od toho, či bol príjemcovi priznaný nárok na náhradu trov konania, čo nie je automatické po vydaní rozhodnutia vo veci Anglo‑Cyprian Trade Agencies Ltd v. Paphos Wine Industries Ltd [1951] 1 All ER 873.

66 Súdny dvor v rámci (vtedajšieho) článku 215 Zmluvy o EHS vyžadoval preukázanie škody dokonca aj v prípade, ak sa žalobca vzhľadom na ťažkosti spojené s jej preukázaním domáhal symbolickej náhrady škody: rozsudok z 21. mája 1976, Roquette Frères/Komisia (26/74, EU:C:1976:69, body 23 a 24).

67 V kontexte duševného vlastníctva náhrada škody – ako reakcia na porušenie predpisu – slúži na dosiahnutie charakteristického cieľa spočívajúceho v ochrane ekonomickej integrity, ktorý má v tejto oblasti podstatný význam. V článku 13 ods. 1 písm. a) smernice 2004/48 je „akýkoľvek nekalý zisk, ktorý nadobudol porušovateľ“ spomenutý ako jeden z faktorov, ktoré majú súdne orgány vziať do úvahy pri stanovení výšky náhrady ujmy.

68 Obdobné ustanovenie sa nachádza v článku 94 ods. 2 nariadenia Rady (ES) č. 2100/94 z 27. júla 1994 o právach spoločenstva k odrodám rastlín (Ú. v. ES L 227, 1994, s. 1; Mim. vyd. 03/016, s. 390): „V prípade nevedomej nedbanlivosti možno nárok na náhradu škôd znížiť tak, aby zodpovedal takejto nevedomej nedbanlivosti, avšak nikdy nie tak, aby náhrada škôd bola nižšia než výhoda, ktorú spôsobením škôd získala osoba, ktorá práva majiteľa porušila.“

69 Nemožnosť kvantifikovať emócie alebo pocity, najmä ak sú spojené s rizikami týkajúcimi sa otázky, čo sa môže stať s údajmi v budúcnosti, viedla k tomu, že sa nepovažujú za škodu, keďže nie sú dostatočne konkretizované alebo majú hypotetický charakter.

70 Teda chefs de préjudice alebo heads of damage.

71 Podľa uvedeného odôvodnenia by dotknuté osoby mali dostať „úplnú a účinnú“ náhradu škody. Toto konštatovanie podľa môjho názoru nie je dôležité pre tretiu prejudiciálnu otázku, lebo neodkazuje na kategórie škody, ktorú možno nahradiť, ale na výpočet náhrady (čo je krok, ktorý logicky nasleduje po kroku spočívajúcom v určení škody, ktorú možno nahradiť, a nezhoduje sa s ním). S prihliadnutím na prípravné dokumenty týkajúce sa GDPR potvrdenie „úplnej a účinnej“ náhrady škody zaručuje, aby účasť viacerých prevádzkovateľovi alebo sprostredkovateľov neviedla len k čiastočnej náhrade pre dotknutú osobu. Preto sa v článku 82 ods. 4 GDPR uvádza, že „… prevádzkovateľ aj sprostredkovateľ… zodpovedá za celú škodu, aby sa dotknutej osobe zabezpečila účinná náhrada“.

72 V článku 23 smernice 95/46 nebolo výslovne uvedené, akú škodu možno nahradiť, čo vyvolalo diskusiu o tom, na akú škodu sa toto ustanovenie vzťahuje. Rokovania predchádzajúce prijatiu GDPR sa zamerali na rozptýlenie pochybností týkajúcich sa zahrnutia nemajetkovej ujmy. V odôvodnení 118 návrhu Komisie citovaného v poznámke pod čiarou 49 bola spomenutá náhrada akejkoľvek škody. V neskorších fázach spolurozhodovacieho postupu bola spomenutá „ak[á]koľvek škod[a], či finančn[á] alebo in[á]“, čo viedlo k formulácii „iná než finančná škoda“ a napokon vyústilo do súčasnej formulácie „nemajetková ujma“.

73 Nevyjadril sa k článku 23 smernice 95/46 a doteraz ani k článku 82 GDPR. Pokiaľ sa nemýlim, nevyjadril sa ani k článku 56 smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89), alebo k článku 19 zrušeného rámcového rozhodnutia.

74 Tiež neuviedol, ktorá metóda výkladu – autonómny výklad, alebo výklad založený na odkaze na vnútroštátne právne poriadky – sa má uprednostniť: závisí to od skúmanej problematiky. Porovnaj rozsudok z 10. mája 2001, Veedfald (C‑203/99, EU:C:2001:258, bod 27), týkajúci sa chybných výrobkov; rozsudok zo 6. mája 2010, Walz (C‑63/09, EU:C:2010:251, bod 21), týkajúci sa zodpovednosti leteckých dopravcov alebo rozsudok z 10. júna 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, bod 37 a nasl.), ktorý sa týkal zodpovednosti za škodu spôsobenú prevádzkou motorových vozidiel. Dokumenty týkajúce sa rokovaní o GDPR vyjadrujú pochybnosti členských štátov o tom, či pojmy škoda a náhrada škody uvedené v článku 77 (podľa vtedajšieho číslovania) majú alebo nemajú byť autonómne, a svedčia o rôznych názoroch na túto otázku. Komisia sa priklonila k názoru, že túto otázku má posúdiť Súdny dvor. Pozri poznámku predsedníctva Rady Európskej únie č. 17831/13 zo 16. decembra 2013, poznámka pod čiarou 539.

75 Napríklad spotrebiteľov výrobkov alebo obetí dopravných nehôd.

76 V oblasti balíkov cestovných služieb rozsudok z 12. marca 2002, Leitner (C‑168/00, EU:C:2002:163), a v oblasti zodpovednosti za škodu spôsobenú prevádzkou motorových vozidiel rozsudky z 24. októbra 2013, Haasová (C‑22/12, EU:C:2013:692, body 47 až 50); z 24. októbra 2013, Drozdovs (C‑277/12, EU:C:2013:685, bod 40), a z 23. januára 2014, Petillo (C‑371/12, EU:C:2014:26, bod 35).

77 Rozsudok z 23. januára 2014, Petillo (C‑371/12, EU:C:2014:26, výrok): právo Únie nebráni „vnútroštátnej právnej úprave…, ktorá upravuje osobitný režim odškodňovania nemajetkovej ujmy vyplývajúcej z ujmy na zdraví v dôsledku ľahkých zranení spôsobených cestnými dopravnými nehodami, ktorý obmedzuje odškodňovanie takejto ujmy v porovnaní s tým, čo sa uplatňuje v oblasti nápravy rovnakej ujmy z iných dôvodov než v dôsledku týchto nehôd“.

78 Napríklad rozsudok z 12. marca 2002, Leitner (C‑168/00, EU:C:2002:163), týkajúci sa straty radosti z dovolenky, a rozsudok zo 6. mája 2010, Walz (C‑63/09, EU:C:2010:251), týkajúci sa straty batožiny v oblasti balíkov cestovných služieb.

79 V rozsudku zo 17. marca 2016, Liffers (C‑99/15, EU:C:2016:173, bod 17), ktorý sa týkal výkladu smernice 2004/48, bolo zdôraznené, že nemajetková ujma predstavuje zložku škody, ktorá bola skutočne spôsobená, „pod podmienkou, že sa preukáže“. Podmienkou preukázania škody je logicky jej existencia, ktorá je zasa podobná myšlienke závažnosti protiprávneho konania, aj keď sa s ňou nezhoduje.

80 Bod 51 vyššie.

81 Bod 45 a nasl. vyššie.

82 Pozri nedávne rozhodnutia talianskych súdov týkajúce sa ochrany údajov: Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 n. 5261, ako aj Cass. Civ. Ord. Sez. 6, č. 17383/2020. Pokiaľ ide o rozhodnutia nemeckých súdov, pozri najmä AG Diez, 07.11.2018 – 8 C 130/18; LG Karlsruhe, 02.08.2019 – 8 O 26/19, a AG Frankfurt am Main, 10.07.2020 – 385 C 155/19 (70). Pokiaľ ide o rozhodnutia rakúskych súdov, pozri OGH 6 Ob 56/21k.

83 Pozri rozsudok z 23. októbra 2012, Nelson a i. (C‑581/10 a C‑629/10, EU:C:2012:657, bod 51), týkajúci sa rozlišovania medzi „škodou“ v zmysle článku 19 Dohovoru o zjednotení niektorých pravidiel pre medzinárodnú leteckú dopravu, uzavretého v Montreale 28. mája 1999, a „nepríjemnosťami“ v zmysle nariadenia č. 261/2004, ktoré možno nahradiť na základe článku 7 tohto nariadenia, podľa rozsudku z 19. novembra 2009, Sturgeon a i. (C‑402/07 a C‑432/07, EU:C:2009:716). V tejto oblasti – tak ako v oblasti osobnej námornej a vnútrozemskej vodnej dopravy, ktorej sa týka nariadenie č. 1177/2010 – normotvorca bol schopný uznať abstraktnú kategóriu vďaka tomu, že faktor, ktorý vyvoláva ťažkosti, a podstata ťažkostí sú v prípade všetkých dotknutých osôb rovnaké. Domnievam sa, že v oblasti ochrany údajov nemožno dospieť k uvedenému záveru.

84 Právo v zmysle článku 82 GDPR sa obvykle uplatňuje v štandardnom sporovom súdnom konaní. Samozrejme, zásada efektivity môže podmieňovať uplatnenie vnútroštátnych predpisov týkajúcich sa aspektov, akými sú súdne trovy alebo dokazovanie. Ťažkosti spojené s uznaním, že samotné nepríjemnosti možno nahradiť, však nevyplývajú len z nepomeru ich peňažnej hodnoty vo vzťahu k nákladom spojeným so súdnym konaním (odhliadnuc od toho, že náklady na výkon spravodlivosti nenesú len účastníci konania). Keďže GDPR túto otázku neupravuje, nezdá sa mi opodstatnené vyžadovať od členských štátov, aby zaviedli konanie ad hoc.

85 Pripomínam, že podľa článku 82 ods. 3 GDPR sú prevádzkovateľ alebo sprostredkovateľ zbavení zodpovednosti len v prípade, ak preukážu, že nenesú žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

86 Tieto moje úvahy nemajú vplyv na konštatovanie, či situácia, v ktorej sa nachádzala osoba UI, patrila do jednej alebo druhej kategórie, o čom rozhodne vnútroštátny súd.

87 To isté platí pre výšku náhrady škody.