NÁVRHY GENERÁLNEHO ADVOKÁTA
MANUEL CAMPOS SÁNCHEZ‑BORDONA
prednesené 6. októbra 2022(1)
Vec C‑300/21
UI
proti
Österreichische Post AG
[návrh na začatie prejudiciálneho konania, ktorý podal Oberster Gerichtshof (Najvyšší súd, Rakúsko)]
„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Nemajetková ujma spôsobená nezákonným spracúvaním údajov – Podmienky vzniku práva na náhradu škody – Škoda, ktorá prekračuje určitú hranicu závažnosti“
1. Nariadenie (EÚ) 2016/679(2) priznáva každej osobe, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia jeho ustanovení, právo na náhradu škody od prevádzkovateľa alebo sprostredkovateľa.
2. Možnosť domáhať sa uvedeného práva na súde existovala už v predchádzajúcej právnej úprave (článok 23 smernice 95/46/EHS)(3), aj keď sa málo uplatňovala.(4) Pokiaľ sa nemýlim, Súdny dvor ešte nepodal osobitný výklad uvedeného článku.
3. Po nadobudnutí účinnosti GDPR sa zväčšil význam žalôb o náhradu škody.(5) Nárast ich počtu je viditeľný na súdoch členských štátov a odráža sa v príslušných návrhoch na začatie prejudiciálneho konania.(6) Prejednávaným návrhom na začatie prejudiciálneho konania Oberster Gerichtshof (Najvyšší súd, Rakúsko) žiada Súdny dvor, aby spresnil niektoré spoločné body právnej úpravy zodpovednosti za škodu, ktorú zavádza GDPR.
I. Právny rámec. GDPR
4. Pre tento spor sú dôležité najmä odôvodnenia 75, 85 a 146, ktoré sa nachádzajú v preambule GDPR.
5. Článok 6 s názvom „Zákonnosť spracúvania“ znie:
„1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
…“
6. Článok 79, nazývaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, v odseku 1 stanovuje:
„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“
7. V odseku 1 článku 82 s názvom „Právo na náhradu škody a zodpovednosť“ sa uvádza:
„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“
II. Skutkový stav, spor vo veci samej a prejudiciálne otázky
8. Österreichische Post AG, ktorá je vydavateľom telefónnych zoznamov, od roku 2017 zbiera informácie o politických preferenciách rakúskeho obyvateľstva. Pomocou algoritmu definovala „adresy cieľových skupín“ podľa určitých sociodemografických znakov.
9. UI je fyzická osoba, vo vzťahu ku ktorej Österreichische Post vykonala prostredníctvom štatistického výpočtu extrapoláciu na účely jej zatriedenia do možných cieľových skupín pre volebnú reklamu viacerých politických strán. Z uvedenej extrapolácie vyplynulo, že osoba UI mala vysoké preferencie pre jednu týchto strán. Tieto údaje neboli poskytnuté tretím osobám.
10. Osoba UI, ktorá neudelila súhlas so spracúvaním svojich osobných údajov, nebola spokojná s uchovávaním údajov o svojich volebných preferenciách a bola nahnevaná a dotknutá vysokými preferenciami pre konkrétnu politickú stranu, ktoré jej Österreichische Post pripísala.
11. Osoba UI žiadala náhradu nemajetkovej ujmy (vnútornej nespokojnosti) vo výške 1 000 eur. Tvrdila, že politické preferencie, ktoré jej boli priradené, sú urážkou a zahanbujú ju a tiež poškodzujú jej dobré meno. Ďalej uvádza, že správanie spoločnosti Österreichische Post u nej vyvolalo veľký hnev a stratu dôvery, ako aj pocit zahanbenia.
12. Prvostupňový súd zamietol žalobu o náhradu škody, ktorú podala osoba UI.(7)
13. Odvolací súd potvrdil prvostupňový rozsudok. Konštatoval, že s každým porušením GDPR nie je automaticky spojená náhrada nemajetkovej ujmy a že:
– keďže popri GDPR sa uplatní rakúske právo, náhrada sa poskytne len za škodu, ktorá prekračuje rámec nepríjemností alebo pocitov („Gefühlsschaden“) vyvolaných porušením práv žalobcu,
– je potrebné riadiť sa zásadou, na ktorej je založená rakúska právna úprava, že každý musí znášať samotné nepríjemnosti a pocity nespokojnosti, ktoré nezakladajú nárok na náhradu škody. Inak povedané, podmienkou vzniku práva na náhradu škody je určitý význam uvádzanej škody.
14. Rozsudok odvolacieho súdu bol napadnutý opravným prostriedkom na Oberster Gerichtshof (Najvyšší súd, Rakúsko), ktorý kladie Súdnemu dvoru tieto prejudiciálne otázky:
„1. Vyžaduje priznanie práva na náhradu škody podľa článku 82 [GDPR] popri porušení ustanovení [GDPR] aj to, aby žalobca utrpel škodu, alebo na priznanie práva na náhradu škody postačuje už samotné porušenie ustanovení [GDPR]?
2. Existujú popri zásadách efektivity a ekvivalencie ďalšie pravidlá práva Únie na určenie výšky náhrady škody?
3. Je stanovisko, podľa ktorého je podmienkou priznania práva na náhradu nemajetkovej ujmy to, že dôsledok alebo následok porušenia práva má aspoň takú dôležitosť, ktorá presahuje nepríjemnosti vyvolané porušením práva, v súlade s právom Únie?“
III. Konanie
15. Návrh na začatie prejudiciálneho konania bol doručený do kancelárie Súdneho dvora 12. mája 2021.
16. Písomné pripomienky predložili osoba UI, Österreichische Post, rakúska, česká a írska vláda, ako aj Európska komisia. Uskutočnenie pojednávania sa nepovažovalo za nevyhnutné.
IV. Analýza
A. Úvod
1. Prípustnosť
17. Osoba UI tvrdí, že prvá prejudiciálna otázka nie je relevantná pre spor, keďže jej žaloba nebola založená na „jednoduchom“ porušení ustanovenia GDPR, ale na jeho dôsledkoch alebo účinkoch.
18. Túto námietku neprípustnosti treba zamietnuť. Aj keby sa pripustilo, že došlo k spracúvaniu údajov v rozpore GDPR bez toho, aby osobe UI vznikla škoda, osoba UI by mohla mať právo na náhradu škody na základe článku 82 GDPR, ak by sa – ako sa pýta vnútroštátny súd – potvrdilo, že samotné porušenie ustanovenia týkajúceho sa spracúvania zakladá také právo.
19. Podľa osoby UI by Súdny dvor mohol považovať za neprípustnú aj druhú prejudiciálnu otázku, lebo jej obsah je vymedzený veľmi široko a je nadmerne obmedzená, pokiaľ ide o požiadavky práva Únie, pričom v nej nie je konkrétne spomenutá žiadna taká požiadavka.
20. Ani uvedená námietka – hoci je opodstatnenejšia než predchádzajúca – nemôže uspieť. Súd má právo opýtať sa, či má pri určovaní výšky škody okrem dodržania zásad ekvivalencie a efektivity posúdiť ďalšie požiadavky stanovené právom Únie.
2. Vymedzenie predmetu týchto návrhov
21. Článok 82 GDPR sa skladá zo šiestich odsekov. Vnútroštátny súd konkrétne neodkazuje na žiadny z nich, ale implicitne sa odvoláva na prvý z týchto odsekov. Neuvádza ani ustanovenie, ktorého porušenie by zakladalo nárok na náhradu škody.
22. Vo svojich návrhoch budem vychádzať z týchto predpokladov:
– spracúvanie osobných údajov osoby UI sa uskutočnilo bez získania jej súhlasu na účely článku 6 ods. 1 písm. a) GDPR,
– právo na náhradu škody má každá osoba, ktorá utrpela škodu. V tejto veci je osoba UI ako identifikovaná fyzická osoba, ktorej sa týka spracúvanie, „dotknutou osobou“(8),
– GDPR upravuje náhradu majetkovej a nemajetkovej ujmy. Osoba UI sa domáha len náhrady nemajetkovej ujmy v peniazoch.
B. Prvá prejudiciálna otázka
23. Vnútroštátny súd sa svojou prvou otázkou v podstate pýta, či samotné porušenie ustanovení GDPR zakladá právo na náhradu škody bez ohľadu na to, či vznikla škoda.
24. Z konštatovaní vnútroštátneho súdu a z pripomienok predložených v konaní na Súdnom dvore možno vyvodiť, že túto otázku možno chápať aj iným, trochu zložitejším spôsobom: išlo by o objasnenie, či porušenie ustanovení GDPR nevyhnutne spôsobuje škodu, ktorá zakladá právo na náhradu škody, bez toho, aby žalovaný mal možnosť preukázať opak.
25. Medzi uvedenými dvoma prístupmi existuje určitý (teoretický) rozdiel: pri prvom z nich škoda nie je predpokladom nároku na náhradu škody, ale pri druhom z nich je naopak predpokladom takého nároku. Požiadavka, aby žalobca preukázal škodu, sa v oboch prípadoch v praxi neuplatní, pričom žalobca tiež nemusí preukázať príčinnú súvislosť medzi porušením a uvedenou škodou.(9)
26. V každom prípade už teraz uvádzam, že podľa môjho názoru nemožno na prvú otázku odpovedať kladne, a to bez ohľadu na to, ktorý z jej dvoch výkladov sa použije. Oboma výkladmi sa budem zaoberať samostatne.
1. Náhrada škody bez vzniku škody?
27. Tvrdenie, že existuje právo na náhradu škody, aj keď porušením GDPR dotknutej osobe nevznikla škoda, vyvoláva zjavné ťažkosti, pričom prvá z nich sa týka doslovného znenia článku 82 ods. 1 uvedeného nariadenia.
28. Podľa uvedeného ustanovenia právo na náhradu škody(10) existuje práve preto, lebo najprv vznikla škoda. Jednoznačne sa teda vyžaduje, aby fyzická osoba utrpela škodu alebo ujmu v dôsledku porušenia GDPR.
29. Výklad, podľa ktorého je pojem „porušenie“ automaticky spojený s pojmom „náhrada“, bez toho, aby vznikla škoda, teda nie je v súlade so znením článku 82 GDPR. Tiež nie je v súlade s primárnym cieľom zodpovednosti za škodu, ktorú zavádza GDPR, ktorým je poskytnúť dotknutej osobe zadosťučinenie, a to práve prostredníctvom „úplnej a účinnej“ náhrady škody, ktorá jej vznikla.(11)
30. Ak nevznikla škoda, náhrada škody už nebude plniť funkciu kompenzácie nepriaznivých dôsledkov, ktoré porušenie spôsobilo, ale inú funkciu odlišnej povahy, ktorá sa viac podobá sankčnej funkcii.
31. Je však pravda, že v právnom poriadku členského štátu môže byť stanovená povinnosť zaplatiť náhradu škody sankčnej povahy.(12) Pod takou povinnosťou sa rozumie povinnosť zaplatiť značnú sumu, ktorá prekračuje výšku samotnej náhrady škody.
32. Predpokladom nároku na náhradu škody sankčnej povahy je spravidla predchádzajúca existencia škody. Hoci vychádza z tohto predpokladu, jej majetkové dôsledky nezávisia od výšky náhrady zodpovedajúcej uvedenej škode.
33. Nie je však nepredstaviteľné, že náhrada škody sankčnej povahy sa stanoví bez ohľadu na existenciu škody alebo sa škoda bude považovať za nepodstatnú na poskytnutie zadosťučinenia tomu, kto o ňu požiadal.
34. So zreteľom na odpoveď na prvú prejudiciálnu otázku musím preskúmať, či má náhrada škody tohto druhu oporu v GDPR, a to tým skôr, že takáto náhrada škody bola spomenutá v rozhodnutí vnútroštátneho súdu a v pripomienkach účastníkov konania vo veci samej a ďalších účastníkov prejudiciálneho konania.
2. Náhrada škody sankčnej povahy?
a) Doslovný výklad
35. Popri klasickej funkcii zodpovednosti za škodu možno spomenúť ďalšiu funkciu „sankčnej“ alebo „exemplárnej“ povahy, na základe ktorej – ako som už uviedol – sa výška náhrady škody nerovná vzniknutej škode, ale je vyššia ako táto škoda alebo dokonca predstavuje jej násobok.
36. Právo Únie v zásade nebráni takejto náhrade škody, ak ide o porušenie jeho ustanovení, pokiaľ ju možno priznať v podobných konaniach o žalobách založených na vnútroštátnych predpisoch.(13)
37. Náhrada škody sankčnej povahy má odrádzajúci účel. Ten istý účel môže byť potrebné dosiahnuť, ak majú členské štáty v prípade porušenia smernice prijať opatrenia, ktoré musia mať „skutočný odrádzajúci účinok“.(14) V niektorých smerniciach je výslovne stanovené, že náhrada škody, koncipovaná ako sankcia, má byť odrádzajúca.(15)
38. Naopak v iných predpisoch normotvorca deklaruje, že cieľom smernice „nie je zaviesť povinnosť ustanoviť povinný náhradu škody ako trestu [stanoviť povinnú sankčnú náhradu ujmy – neoficiálny preklad]“(16) alebo že členské štáty sa pri jej preberaní majú vyhnúť tomuto typu náhrady škody.(17) V práve Únie je priame uloženie povinnosti zaplatiť takzvanú „sankčnú náhradu škody“ výnimočné.(18)
39. V GDPR sa však nenachádza nijaká zmienka o sankčnej povahe náhrady majetkovej alebo nemajetkovej ujmy alebo o tom, že pri výpočte jej výšky treba zohľadniť túto povahu, alebo o tom, že uvedená náhrada škody má byť odrádzajúca (pričom v GDPR je naopak stanovené, že trestné sankcie a správne pokuty majú byť odrádzajúce).(19) Z doslovného hľadiska teda GDPR nepripúšťa náhradu škody sankčnej povahy.
b) Výklad so zreteľom na genézu ustanovenia
40. Článok 82 ods. 1 GDPR nadväzuje na článok 23 ods. 1 smernice 95/46. Toto ustanovenie bolo súčasťou systému, ktorého účinnosť závisela od jeho presadzovania verejnoprávnymi a súkromnoprávnymi prostriedkami(20), ale v ktorom sa (súkromnoprávna) kompenzácia a (verejnoprávna) sankcia neprekrývali.(21) Za dohľad nad dodržiavaním predpisov zodpovedali predovšetkým nezávislé dozorné orgány.(22)
41. GDPR preberá uvedený model, ale posilňuje nástroje na zabezpečenie účinnosti jeho ustanovení, ktoré sú v súčasnosti podrobnejšie, a reakcií, ktoré majú nastať v prípade ich porušení alebo hrozby ich porušení, ktoré sú v súčasnosti intenzívnejšie:
– na jednej strane rozširuje úlohy dozorných orgánov, ktorým okrem iného prináleží ukladať harmonizované sankcie, ktoré stanovuje samotné GDPR.(23) Zdôrazňuje tak prvok presadzovania predpisov verejnoprávnymi prostriedkami,
– na druhej strane stanovuje, že prináleží jednotlivcom, aby bránili práva, ktoré im priznáva GDPR(24), a to buď tým, že sa obrátia na dozorné orgány (článok 77), alebo tým, že sa obrátia na súdy (články 79 a 82). Okrem toho článok 80 dovoľuje, aby určité subjekty podali žaloby v zastúpení,(25) čo uľahčuje ochranu všeobecných záujmov jednotlivcov.(26)
42. Rozpracovanie jednotného systému zodpovednosti za škodu v GDPR bolo obmedzené. Aspekty, ktoré mohli byť sporné počas účinnosti smernice 95/46, ako je aspekt týkajúci sa zahrnutia nemajetkovej ujmy do škody, ktorú možno nahradiť,(27) boli rýchlo objasnené. Rokovanie sa zameriavalo na iné aspekty uvedeného systému.(28)
43. V prípravných dokumentoch som nenašiel nijakú zmienku o diskusii týkajúcej sa prípadnej sankčnej funkcie zodpovednosti za škodu stanovenej v GDPR. Nemožno teda dospieť k záveru, že táto funkcia má oporu v článku 82 GDPR, keďže o tejto otázke sa vôbec nediskutovalo, a to platí tým skôr, že o jej začlenení do iných právnych predpisov Únie sa diskutovalo.(29)
44. Za týchto podmienok sa domnievam, že žaloba upravená v článku 82 ods. 1 GDPR bola vytvorená a upravená na základe typických funkcií zodpovednosti za škodu, ktorými sú náhrada škody (vo vzťahu k poškodenému) a sekundárne predchádzanie budúcim škodám (vo vzťahu k porušovateľovi).
c) Kontextuálny výklad
45. Ako som už uviedol, článok 82 GDPR je súčasťou systému záruk účinnosti ustanovení, v ktorom iniciatíva súkromnoprávnych subjektov dopĺňa jeho presadzovanie verejnoprávnymi prostriedkami. K tejto účinnosti prispieva náhrada škody, ktorú musia zaplatiť prevádzkovatelia alebo sprostredkovatelia.
46. Povinnosť nahradiť škodu je (v ideálnom prípade) motiváciou na obozretnejšie konanie v budúcnosti, pri ktorom sa budú dodržiavať pravidlá a zabráni sa novým škodám. Každý jednotlivec tak tým, že sa domáha náhrady škody pre seba, prispieva k celkovej účinnosti predpisov.
47. V tomto kontexte je kompenzačná funkcia oddelená od sankčnej funkcie:
– pokuty, ktoré môžu ukladať dozorné orgány alebo súdy (článok 83 ods. 1 a 9 GDPR), a iné sankcie, ktoré členské štáty prijmú na základe článku 84 GDPR, plnia sankčnú funkciu,(30)
– sťažnosť jednotlivca (článok 77) a súdne konania (článok 79) plnia kompenzačnú funkciu. Dozorné orgány však nemajú právomoc rozhodovať o práve na náhradu škody.
48. V súlade s týmto oddelením kompenzačnej funkcie od sankčnej funkcie:
– dozorný orgán musí pri ukladaní pokuty a určovaní jej výšky vziať do úvahy faktory vymenované v článku 83 GDPR, ktoré nie sú stanovené v oblasti zodpovednosti za škodu a ktoré v zásade nemožno uplatniť na výpočet náhrady škody,(31)
– ak je rozsah škody, ktorá vznikla poškodeným, jedným z faktorov, ktoré vedú k zvýšeniu pokuty,(32) pri výpočte pokuty sa nemusí zohľadniť náhrada škody, ktorú mohli poškodení získať.(33)
49. Z teoretického hľadiska výklad, podľa ktorého v prípade, ak nevznikla nijaká škoda, zodpovednosť za škodu plní sankčnú funkciu, spôsobuje riziko, že mechanizmy náhrady škody splynú so sankčnými mechanizmami.
50. V praxi by jednoduché dosiahnutie „sankčného“ zisku z dôvodu náhrady škody mohlo motivovať dotknuté osoby, aby uprednostnili tento mechanizmus pred mechanizmom upraveným v článku 77 GDPR. Ak by sa tento jav rozšíril, dozorné orgány by prišli o nástroj (sťažnosť dotknutej osoby), ktorý im umožňuje zistiť, a teda prešetriť a sankcionovať možné porušenia GDPR, a to na úkor nástrojov, ktoré sú vhodnejšie na ochranu všeobecného záujmu.
d) Teleologický výklad
51. GDPR sleduje v podstate dva ciele, ktoré sú uvedené už v jeho názve: a) na jednej strane „ochrana fyzických osôb pri spracúvaní osobných údajov“ a b) na druhej strane to, aby uvedená ochrana mala takú podobu, že „voľný pohyb takýchto údajov“ v Únii nebude zakázaný ani obmedzený.(34)
52. Domnievam sa, že na dosiahnutie uvedených cieľov GDPR nevyžaduje, aby bola so samotným porušením ustanovenia, ktoré upravuje spracúvanie, spojená náhrada škody, čím by sa zodpovednosti za škodu priznala sankčná funkcia.
53. Pokiaľ ide o prvý cieľ, na jeho dosiahnutie nie je potrebné prostredníctvom výkladu rozšíriť pôsobnosť článku 82 GDPR tak, aby sa vzťahoval na prípady, v ktorých došlo k porušeniu ustanovenia, ale nevznikla škoda. Naopak toto rozšírenie by mohlo nepriaznivo ovplyvniť druhý cieľ.
54. Už som poukázal na to, že GDPR stanovuje viaceré nástroje na zaručenie dodržiavania jeho ustanovení, ktoré existujú popri sebe a dopĺňajú sa. Členské štáty si nemusia (a v skutočnosti ani nemôžu) vybrať spomedzi mechanizmov na zabezpečenie ochrany údajov uvedených v kapitole VIII. V prípade porušenia, ktoré nemá za následok vznik škody, má dotknutá osoba ešte (prinajmenšom) právo podať sťažnosť dozornému orgánu na základe článku 77 ods. 1 GDPR.
55. Okrem toho možnosť získať kompenzáciu bez ohľadu na akúkoľvek škodu by pravdepodobne podnecovala občianskoprávne spory, v ktorých by sa uplatňovali nároky, ktoré by možno neboli vždy opodstatnené,(35) a v tomto smere by mohla odradiť od činnosti spočívajúcej v spracúvaní údajov.(36)
3. Domnienka týkajúca sa škody?
56. Niektorí účastníci konania vo svojich pripomienkach presadzujú iný výklad prvej prejudiciálnej otázky, než je ten, ktorý som skúmal doteraz. Ak správne chápem ich stanovisko,(37) zrejme tvrdia, že ak došlo k porušeniu predmetného predpisu, platí nevyvrátiteľná domnienka týkajúca sa škody.
57. Ďalej uvádzajú, že toto porušenie nevyhnutne spôsobuje stratu kontroly nad údajmi, čo samo osebe predstavuje škodu, ktorú možno nahradiť na základe článku 82 ods. 1 GDPR.
58. Uvedená domnienka teoreticky predpokladá vznik škody, a preto je v súlade s typickou štruktúrou zodpovednosti za škodu, ako aj s doslovným znením spomenutého ustanovenia GDPR. V praxi by však malo jej uznanie pre žalobcu a žalovaného účinky podobné tým, ktoré vyplývajú zo spojenia náhrady škody podľa článku 82 ods. 1 GDPR so samotným porušením tohto predpisu.
59. Na vysvetlenie, prečo tento výklad nepovažujem za správny, opäť použijem obvyklé výkladové kritériá.
a) Doslovný výklad
60. Ak sa normotvorca v iných odvetviach práva Únie domnieval, že z porušenia predpisu automaticky vyplýva právo na náhradu škody, jednoznačne to stanovil.(38) Neurobil to v prípade GDPR, v ktorom sa nachádzajú ustanovenia, ktoré sa týkajú dokazovania alebo majú priame dôsledky pre dokazovanie,(39) ale ktoré nestanovuje uvedené automatické spojenie, či už priame, alebo prostredníctvom nevyvrátiteľnej domnienky.
61. Na neexistencii takého ustanovenia podľa môjho názoru nič nemenia odkazy na kontrolu nad údajmi (alebo stratu tejto kontroly), ktoré sa nachádzajú v odôvodneniach 75(40) a 85(41) GDPR. Odhliadnuc od toho, že tieto odôvodnenia nemajú normatívnu hodnotu, ani jedno z nich nepodporuje záver, že porušenie predpisu samo osebe spôsobuje vznik škody, ktorú možno nahradiť:
– v odôvodnení 75 je zabránenie kontrole nad osobnými údajmi spomenuté ako jedno z možných rizík spracúvania,
– v odôvodnení 85 je spomenutá strata kontroly ako jeden z dôsledkov, ktoré by mohli nastať na základe porušenia ochrany osobných údajov.(42)
62. Strata kontroly nad údajmi nevyhnutne nemusí viesť k vzniku škody. Toto slovné spojenie možno chápať ako jazykový zvrat, ktorý označuje škodu nasledujúcu po takej strate, ak táto škoda vznikne.(43)
b) Výklad so zreteľom na genézu
63. Rozbor genézy tiež nepodporuje existenciu uvedenej domnienky, ktorá sa nenachádzala v smernici 95/46(44) a nie je uvedená v dokumentoch Komisie, Európskeho parlamentu a Rady, ktoré predchádzali prijatiu GDPR a ktoré som preskúmal.
c) Kontextuálny výklad
64. Systematika GDPR poskytuje prvky, ktoré umožňujú konštatovať, že GDPR nestanovuje spornú domnienku, pričom východiskom je súhlas dotknutej osoby.(45) Uvedený súhlas – ako nástroj kontroly tejto osoby nad údajmi – povoľuje spracúvanie údajov na tej istej úrovni ako iné právne základy (článok 6 GDPR).(46)
65. K zákonnému spracúvaniu osobných údajov môže dôjsť aj bez povolenia dotknutej osoby, a teda mimo kontroly, ktorú predstavuje udelenie alebo neudelenie tohto povolenia. Jeho význam v rámci systematiky v konečnom dôsledku nie je absolútny.
66. GDPR navyše stanovuje iné možnosti výkonu tejto kontroly: patrí k nim právo na vymazanie, ktoré vyžaduje, aby prevádzkovateľ „bez zbytočného odkladu“ vymazal príslušné informácie.(47)
67. Pre osobu, ktorej údaje sa spracúvajú, toto právo slúži ako bezpečnostná poistka ochranného režimu: toto právo (spravidla) stále existuje, ak prevádzkovateľ nezískal súhlas dotknutej osoby, ako aj v prípade, ak neexistuje žiadny iný základ, ktorý by povoľoval spracúvanie údajov, a nezávisí od toho, či toto spracúvanie spôsobí nejakú škodu.(48)
d) Teleologický výklad
1) Je kontrola dotknutej osoby nad jej údajmi cieľom GDPR?
68. Predpokladom automatickej rovnocennosti spracúvania osobných údajov, s ktorým dotknutá osoba nevyjadrila súhlas, a ujmy, ktorú možno nahradiť, je, aby uvedená kontrola, ktorá sa vykonáva prostredníctvom tohto súhlasu, predstavovala sama osebe hodnotu.
69. Uznávam, že tento názor na prvý pohľad podporuje mnoho argumentov. V návrhu Komisie sa uvádza, že jedným z hlavných dôvodov reformy je, aby občania mali kontrolu nad svojimi údajmi.(49) V odôvodnení 7 GDPR sa uvádza, že „fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi“.
70. Je nesporné, že pri výklade tohto pojmu treba postupovať opatrne, odhliadnuc od diskusií v právnej náuke, ktoré vyvolal. V GDPR sa nenachádza presná definícia pojmu „kontrola“ (a nenašiel som ju ani nikde inde).(50) Tento výraz možno chápať minimálne dvoma spôsobmi, ktoré sa vzájomne nevylučujú: ako „moc“ alebo „ovládanie“ a ako „dohľad“.
71. Formulácia odôvodnenia 7 GDPR vyvoláva určitú neistotu, lebo v jednotlivých jazykových zneniach je odlišná.(51) Vzhľadom na jeho obsah sa domnievam, že GDPR poskytuje dotknutej osobe oprávnenia týkajúce sa dohľadu a zásahu pri operáciách, ktoré iní vykonávajú s údajmi, ako nástroj (spolu s inými nástrojmi), ktorý slúži na ochranu uvedených údajov.
72. Samotná dotknutá osoba prispieva k ochrane informácií obsiahnutých v týchto údajoch a zodpovedá za ňu v rozsahu – na úrovni a za podmienok –, ktorý stanovuje GDPR. Dosah individuálnej žaloby je obmedzený: pokiaľ ide o práva vymenované v GDPR, táto žaloba je obmedzená na ich uplatnenie za konkrétnych podmienok.
73. Súhlas dotknutej osoby ako najúplnejší prejav kontroly(52) je len jedným z právnych základov zákonného spracúvania, ale nemôže napraviť nedodržanie ostatných povinností a podmienok, ktoré sa vzťahujú na prevádzkovateľa a sprostredkovateľa.
74. Nezdá sa mi jednoduché dospieť k záveru, že cieľom GDPR je priznať dotknutej osobe kontrolu nad osobnými údajmi, ktorá je sama osebe hodnotou. Takým cieľom nie je ani dosiahnuť, aby dotknutá osoba mala čo najväčšiu kontrolu nad týmito údajmi.
75. Toto konštatovanie nie je prekvapujúce. Na jednej strane nie je zrejmé, že kontrola, chápaná ako ovládanie údajov, je súčasťou podstaty základného práva na ochranu osobných údajov.(53) Na druhej strane chápanie tohto práva ako práva na informačné sebaurčenie nie je vôbec jednomyseľné: v článku 8 Charty nie sú použité uvedené pojmy.(54)
76. V tom istom zmysle sa do konečného znenia GDPR nedostalo ani odôvodnenie, podľa ktorého „právo na ochranu osobných údajov je založené na práve dotknutej osoby vykonávať kontrolu nad osobnými údajmi, ktoré sa spracúvajú“(55).
77. Na základe vyššie uvedených – možno príliš abstraktných – úvah konštatujem, že ak dotknutá osoba nesúhlasí so spracúvaním a spracúvanie sa uskutočňuje bez iného legitímneho právneho základu, z tohto dôvodu nemá získať finančnú kompenzáciu v dôsledku straty kontroly nad svojimi údajmi, ako keby táto strata automaticky znamenala ujmu, ktorú možno nahradiť.(56) To, či navyše utrpela škodu, ešte nie je jasné (a bude sa to musieť preukázať).(57)
2) Kontrola dotknutej osoby v kontexte
78. Považujem za vhodné nakoniec pripomenúť, že ochrana osobných údajov je uvedená ako cieľ GDPR spolu so zámerom podporovať voľný pohyb údajov.(58)
79. Posilnenie kontroly občana nad jeho osobnými údajmi v digitálnom prostredí je jedným z uznaných cieľov modernizácie systému ochrany osobných údajov, ale nie nezávislým alebo izolovaným cieľom.
80. Komisia v oznámení pripojenom k jej návrhu GDPR uviedla, že vysoká úroveň ochrany údajov je spojená s dôverou v služby on‑line, ktorá umožňuje využiť potenciál digitálnej ekonomiky a podporu „hospodárskeho rastu a konkurencieschopnosti priemyslu EÚ“. Prostredníctvom reformy (a posilnenej harmonizácie) právnej úpravy Únie sa „posilňuje… rozmer vnútorného trhu v oblasti ochrany údajov“(59).
81. Vzhľadom na to, že (osobné a iné ako osobné) údaje sú zjavne dôležité pre hospodársky a spoločenský pokrok v Európe, cieľom GDPR nie je zvýšiť kontrolu jednotlivca nad informáciami, ktoré sa ho týkajú, jednoducho v závislosti od jeho preferencií, ale nastoliť rovnováhu medzi právom každého jednotlivca na ochranu osobných údajov a záujmami tretích osôb a spoločnosti.(60)
82. Zdôrazňujem, že účelom GDPR nie je systematicky obmedziť spracúvanie osobných údajov, ale ho povoliť za prísnych podmienok. Na tento účel slúži predovšetkým podpora dôvery dotknutej osoby v to, že spracúvanie sa bude uskutočňovať v bezpečnom prostredí,(61) ku ktorému sama prispeje. Takto je motivovaná, aby dobrovoľne povolila sprístupňovanie a používanie svojich údajov okrem iného v oblasti obchodných transakcií on‑line.
C. Druhá prejudiciálna otázka
83. Vnútroštátny súd sa pýta, či existujú „popri zásadách efektivity a ekvivalencie ďalšie pravidlá práva Únie na určenie výšky náhrady škody“.
84. V skutočnosti sa nezdá, že by zásada ekvivalencie v tomto prípade zohrávala dôležitú úlohu: harmonizovaná právna úprava obsiahnutá v GDPR sa v tejto oblasti uplatňuje priamo a jeho článok 82 sa vzťahuje na každú nemajetkovú ujmu, ktorá vznikne v dôsledku porušenia, bez ohľadu na to, kde k nej došlo.
85. Tá istá úvaha platí pre zásadu efektivity. Inou otázkou je, či má mať náhrada škody – ak vychádzame z toho, čo sa uvádza v odôvodnení 146 GDPR (dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu) – taký či onaký obsah.
86. Článok 82 GDPR ukladá len požiadavku, aby v dôsledku porušenia jeho ustanovení vznikla majetková alebo nemajetková ujma, ktorú utrpela ktorákoľvek osoba. Nestanovuje usmernenia pre vnútroštátne súdy, pokiaľ ide o výpočet výšky náhrady tejto škody v konkrétnom prípade.
87. Ak sa vychádza z dvoch znakov, ktoré boli citované vyššie (úplná a účinná), náhrada škody bude závisieť v prvom rade od nároku, ktorý daný žalobca uplatní.
88. Ak by uvedený nárok spočíval v uložení povinnosti zaplatiť náhradu škody sankčnej povahy,(62) bola by postačujúca odpoveď na prvú prejudiciálnu otázku: uvedený druh náhrady škody sa v GDPR nenachádza. Zodpovednosť za škodu plní v rámci GDPR funkciu „súkromnoprávnej“ kompenzácie, zatiaľ čo pokuty a trestné sankcie plnia verejnoprávnu funkciu spočívajúcu v odrádzaní a prípadne trestaní.
89. Nemožno vylúčiť, že súčasťou požadovanej náhrady nemajetkovej ujmy budú iné zložky než len peňažná náhrada, napríklad uznanie, že došlo k porušeniu, čím sa žalobcovi poskytne určité morálne zadosťučinenie. Rozsudok Súdneho dvora z 15. apríla 2021(63) – aj keď bol vydaný v inej oblasti, než je oblasť ochrany údajov – by analogicky umožnil uspokojiť uvedený nárok.
90. V právnych poriadkoch, ktoré to stanovujú, právna úprava zodpovednosti za škodu môže upravovať uloženie povinnosti z dôvodu zadosťučinenia (zaplatenie symbolickej náhrady škody) alebo vrátenia neoprávneného prospechu (vydanie bezdôvodného obohatenia).
91. Uloženie povinnosti z dôvodu zadosťučinenia vychádza z myšlienky spočívajúcej v zabezpečení kontinuity a realizácii práva („Rechtsfortsetzungsfunktion“) prostredníctvom čisto symbolickej náhrady škody, ktorá sa má zaplatiť popri určení, že žalovaný sa dopustil protiprávneho konania a porušil práva žalobcu. Článok 82 GDPR ju neupravuje a nie je spomenutá ani v prípravných dokumentoch, čo nie je prekvapujúce, lebo nie je spoločná pre právne poriadky členských štátov,(64) a ani v právnych poriadkoch, v ktorých existuje, nie je nesporná.(65)
92. Systematika GDPR a jeho ciele však nebránia tomu, aby členské štáty, v ktorých tento prostriedok nápravy existuje, umožnili, aby ho využili osoby, ktorých sa týka porušenie určitého predpisu, v rámci prostriedkov nápravy, ktoré sú uvedené v článku 79 GDPR, pre prípad, že nevznikne nijaká škoda. Ak naopak žalobca tvrdí, že mu vznikla finančná škoda, túto situáciu upravuje článok 82 GDPR a ťažkosti spojené s jej preukázaním nemajú viesť k uloženiu povinnosti zaplatiť symbolickú náhradu škody.(66)
93. Pokiaľ ide o uloženie povinnosti vydať sumu získanú v dôsledku porušenia práva, jeho účelom môže byť zbaviť toho, kto porušil toto právo, získaného prospechu. Mimo oblasti duševného vlastníctva(67) tento účel nie je bežný v oblasti právnych predpisov týkajúcich sa náhrady škody, ktoré sú zamerané skôr na škodu, ktorá vznikla poškodenému, než na prospech, ktorý získal porušovateľ.(68) V znení článkov GDPR tento účel nie je uvedený.
94. Tieto úvahy uvádzam, aby som uľahčil prácu vnútroštátnemu súdu, vzhľadom na to, že jeho druhá prejudiciálna otázka je sformulovaná široko. Je mi však jasné, že tieto úvahy môžu byť málo užitočné pri rozhodovaní o žalobe, ktorou sa dotknutá osoba domáha výlučne peňažnej náhrady nemajetkovej ujmy.
D. Tretia prejudiciálna otázka
95. Vnútroštátny súd sa pýta, či je priznanie nároku na náhradu nemajetkovej ujmy podľa GDPR podmienené tým, že „porušeni[e] práv má aspoň určitý význam a prekračuje rámec nepríjemností vyvolaných týmto porušením“.
96. Ako kritérium na určenie, či ide o škodu, ktorú možno nahradiť, sa v návrhu na začatie prejudiciálneho konania používa intenzita skúsenosti dotknutej osoby. Vnútroštátny súd sa naopak (aspoň nie priamo) nepýta, či určitá emócia alebo určitý pocit tejto osoby majú význam na účely článku 82 ods. 1 GDPR, a to na základe ich obsahu.(69)
97. Vzniká teda otázka, či členské štáty môžu podmieniť náhradu nemajetkovej ujmy závažnosťou dôsledkov vyplývajúcich z porušenia predpisu a zahrnúť len dôsledky, ktoré prekračujú určitú hranicu závažnosti. Predmetom otázky by teda neboli položky, ktoré možno nahradiť,(70) ani výška náhrady škody, ale existencia dolnej hranice reakcie dotknutej osoby, ktorá nebude mať nárok na náhradu, ak uvedená hranica nebude prekročená.
98. Článok 82 GDPR neposkytuje priamu odpoveď na túto otázku. Takú odpoveď podľa môjho názoru neposkytujú ani odôvodnenia 75 a 85. V oboch odôvodneniach sa nachádza demonštratívny výpočet druhov škody, ktorý sa končí otvorenou doložkou, ktorá podľa všetkého obmedzuje druhy škody, ktoré možno nahradiť, na „závažné“.
99. Nemyslím si však, že uvedené odôvodnenia sú užitočné pre zodpovedanie otázky vnútroštátneho súdu:
– v odôvodnení 75 sa hovorí o identifikácii a vyhodnocovaní rizík spojených so spracúvaním údajov a o prijímaní opatrení na predchádzanie týmto rizikám alebo ich zmiernenie. Sú v ňom opísané nežiaduce dôsledky akéhokoľvek spracúvania a zdôraznené „najmä“ niektoré z nich, a to určite z dôvodu, že sú závažnejšie,
– v odôvodnení 85 sú spomenuté porušenia ochrany údajov, pričom sa poukazuje na to, že tieto porušenia môžu mať aj závažné dôsledky.
100. Z konštatovania, ktoré sa nachádza v odôvodnení 146 GDPR (prevádzkovatelia by mali nahradiť „akúkoľvek škodu“)(71), tiež nevyplývajú kritériá, ktoré by umožnili odpovedať na uvedenú otázku.
101. Vloženie uvedeného odôvodnenia do znenia GDPR spôsobilo, že v GDPR je výslovne spomenutá nemajetková ujma, na rozdiel od smernice 95/46, v ktorej táto problematika nebola upravená.(72) Neriešila sa však konkrétne otázka, o ktorej má teraz rozhodnúť Súdny dvor.
102. V tom istom odôvodnení 146 GDPR sa uvádza, že „podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia“.
103. Nie som si istý, či je uvedené konštatovanie príliš užitočné v kontexte ochrany údajov, lebo Súdny dvor sa predtým, ako bolo GDPR prijaté, k tejto problematike ešte nevyjadril.(73) Ak normotvorca chcel odkázať na rozsudky týkajúce sa zodpovednosti za škodu upravenej v iných smerniciach alebo nariadeniach, bolo by vhodné, aby poukázal na analógiu.
104. Súdny dvor v skutočnosti nesformuloval všeobecnú definíciu „škody“, ktorá by sa bez rozdielu uplatňovala v ktorejkoľvek oblasti.(74) Na účely prejednávanej veci (v ktorej ide o nemajetkovú ujmu) z jeho judikatúry možno vyvodiť, že
– ak je cieľom (alebo jedným z cieľov) vykladaného ustanovenia ochrana jednotlivca alebo určitej kategórie jednotlivcov,(75) pojem škoda má byť široký,
– v súlade s uvedeným názorom sa náhrada škody vzťahuje aj na nemajetkovú ujmu, aj keď nie je spomenutá vo vykladanom ustanovení.(76)
105. Hoci judikatúra Súdneho dvora dovoľuje tvrdiť, že v práve Únie existuje za uvedených podmienok zásada náhrady nemajetkovej ujmy, nemyslím si, že z nej možno naopak vyvodiť pravidlo, podľa ktorého možno nahradiť každú nemajetkovú ujmu, a to bez ohľadu na jej závažnosť.
106. Súdny dvor uznal, že vnútroštátny predpis, podľa ktorého sa pri výpočte náhrady rozlišuje nemajetková ujma spojená s ujmou na zdraví spôsobenou pri nehode v závislosti od toho, ako k nej došlo, je zlučiteľný s predpismi Únie.(77)
107. Tiež posúdil, aké okolnosti môžu spôsobiť nemajetkovú ujmu v súlade s ustanovením uplatniteľným v danej veci,(78) ale (ak sa nemýlim) výslovne sa nevyjadril k požiadavke závažnosti tejto ujmy.(79)
108. Domnievam sa, že v tejto fáze treba na tretiu prejudiciálnu otázku odpovedať kladne.
109. Na podporu svojho stanoviska pripomínam, že jediným cieľom GDPR nie je chrániť základné právo na ochranu osobných údajov(80) a že jeho systém záruk zahŕňa mechanizmy rôzneho druhu.(81)
110. V tejto súvislosti je relevantné rozlišovanie, ktoré navrhujem Súdnemu dvoru, medzi nemajetkovou ujmou, ktorú možno nahradiť, a inými nepríjemnosťami odvodenými od nedodržania právnych predpisov, ktoré vzhľadom na svoj malý význam nevyhnutne nebudú viesť k vzniku práva na náhradu.
111. Také odlíšenie sa objavuje vo vnútroštátnych právnych poriadkoch ako nevyhnutný dôsledok života v spoločnosti.(82) Súdnemu dvoru je známy tento rozdiel, ktorý uznáva, keď hovorí o ťažkostiach a nepríjemnostiach ako o kategórii, ktorá je nezávislá od kategórie škody, v oblastiach, v ktorých sa domnieva, že za ne treba poskytnúť náhradu.(83) Nič nebráni tomu, aby sa uplatnil aj na GDPR.
112. Okrem toho sa nazdávam, že právo na náhradu škody podľa článku 82 ods. 1 GDPR nie je vhodným nástrojom na boj proti protiprávnym konaniam, ku ktorým dochádza pri spracúvaní osobných údajov, ak tieto konania u dotknutej osoby vyvolávajú len hnev alebo nepríjemnosti.
113. Akékoľvek porušenie ustanovenia o ochrane osobných údajov spravidla vyvolá nejakú nepriaznivú reakciu dotknutej osoby. Náhrada škody odvodená od samotného pocitu nespokojnosti v prípade, ak iná osoba porušila právny predpis, sa ľahko zamieňa s kompenzáciou bez vzniku škody, ktorú som už odmietol vyššie.
114. Zaradenie samotných nepríjemností medzi nemajetkovú ujmu, ktorú možno nahradiť, z praktického hľadiska nie je efektívne s prihliadnutím na nepríjemnosti a ťažkosti, ktoré spôsobuje žalobcovi uplatnenie nároku na súde(84) a žalovanému obrana proti tomuto nároku.(85)
115. Nepriznanie práva na náhradu škody z dôvodu slabých a dočasných pocitov alebo emócií(86) spojených s porušením predpisov týkajúcich sa spracúvania neznamená, že dotknutá osoba zostane bez akejkoľvek ochrany. Ako som uviedol v súvislosti s prvou otázkou, systém GDPR jej poskytuje iné prostriedky nápravy.
116. Nepochybujem o tom, že hranica medzi samotnými nepríjemnosťami (ktoré nemožno nahradiť) a skutočnou nemajetkovou ujmou (ktorú možno nahradiť) je nejasná, a tiež si uvedomujem, že je zložité abstraktne vymedziť tieto dve kategórie a konkrétne ich uplatniť na daný spor. Táto ťažká úloha prináleží sudcom členských štátov, ktorí vo svojich rozhodnutiach pravdepodobne budú musieť vziať do úvahy, ako spoločnosť v danom okamihu vníma prípustnú toleranciu, ak subjektívne dôsledky porušenia ustanovenia v tejto oblasti neprekročia úroveň de minimis.(87)
V. Návrh
117. Na základe vyššie uvedeného navrhujem odpovedať na prejudiciálne otázky, ktoré položil Oberster Gerichtshof (Najvyšší súd, Rakúsko), takto:
Článok 82 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/EHS (všeobecné nariadenie o ochrane údajov), sa má vykladať v tomto zmysle:
Na priznanie práva na náhradu škody, ktorú utrpela osoba v dôsledku porušenia spomenutého nariadenia, nepostačuje len samotné porušenie tohto predpisu, ak s ním nie je spojená zodpovedajúca majetková alebo nemajetková ujma.
Náhrada nemajetkovej ujmy, ktorú toto ustanovenie upravuje, sa nevzťahuje na samotné nepríjemnosti, ktoré dotknutá osoba môže pociťovať z dôvodu porušenia ustanovení nariadenia 2016/679. Prináleží vnútroštátnym súdom určiť, kedy možno subjektívny pocit nespokojnosti vzhľadom na jeho vlastnosti v danom prípade považovať za nemajetkovú ujmu.