FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MANUEL CAMPOS SÁNCHEZ-BORDONA
föredraget den 6 oktober 2022(1)
Mål C‑300/21
UI
mot
Österreichische Post AG
(begäran om förhandsavgörande från Oberster Gerichtshof (Högsta domstolen, Österrike))
”Begäran om förhandsavgörande – Skydd av personuppgifter – Förordning (EU) 2016/679 – Ideell skada på grund av olaglig behandling av uppgifter – Villkor för rätt till ersättning – Skador som överstiger en viss grad av allvar”
1. Enligt förordning (EU) 2016/679(2) har varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning rätt till ersättning för den uppkomna skadan från den personuppgiftsansvarige eller från personuppgiftsbiträdet.
2. Möjligheten att göra denna rätt gällande i domstol fanns redan i det tidigare regelverket (artikel 23 i direktiv 95/46/EG),(3)men den utnyttjades sällan.(4) Såvitt jag inte misstar mig tolkade domstolen aldrig specifikt den artikeln.
3. Sedan den allmänna dataskyddsförordningen trädde i kraft har talan om ersättning fått ökad betydelse.(5) Ökningen har märkts i medlemsstaternas domstolar, och det har i sin tur avspeglat sig i ett ökat antal mål om förhandsavgörande.(6) I förevarande mål vill Oberster Gerichtshof (Högsta domstolen, Österrike) att EU-domstolen ska klargöra vissa vanliga punkter i det system för skadeståndsansvar som införts genom den allmänna dataskyddsförordningen.
I. Tillämpliga bestämmelser. Den allmänna dataskyddsförordningen
4. I förevarande mål är i synnerhet skälen 75, 85 och 146 i den allmänna dataskyddsförordningen relevanta.
5. Artikel 6 (”Laglig behandling av personuppgifter”) har följande lydelse:
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
…”
6. I artikel 79 (”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”) har punkt 1 följande lydelse:
”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”
7. I punkt 1 i artikel 82 (”Ansvar och rätt till ersättning”) föreskrivs följande:
”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”
II. Faktiska omständigheter, det nationella målet och tolkningsfrågor
8. Österreichische Post AG, som är ett företag som ger ut adresslistor, inhämtade från år 2017 uppgifter om sannolika partisympatier hos den österrikiska befolkningen. Med hjälp av en algoritm tog företaget fram ”målgrupper” utifrån sociodemografiska egenskaper.
9. UI är en fysisk person avseende vilken Österreichische Post gjorde en extrapolering för att avgöra om han kunde hänföras till någon av de möjliga målgrupperna för röstvärvning för olika politiska partier. Denna extrapolering visade att UI hade en hög sannolik benägenhet att rösta på ett av dem. Dessa uppgifter vidarebefordrades inte till tredje part.
10. UI, som inte hade lämnat något samtycke till uppgiftsbehandlingen, var upprörd över att uppgifterna om honom vad avser sannolika sympatier i fråga om partival hade lagrats. Han var dessutom uppbragt och förnärmad över den höga sannolika benägenhet att rösta på ett visst parti som Österreichische Post tillskrivit honom.
11. UI har yrkat ersättning på 1 000 euro för den immateriella skadan (förtret inombords). Han anser att den sannolika benägenhet i fråga om partival som tillskrivits honom utgjorde en förolämpning, var skymflig och i högsta grad misskrediterande. Österreichische Posts förfarande hade väckt stor förargelse hos honom och undergrävt hans tillit men även medfört att han kände sig exponerad.
12. Domstolen i första instans ogillade UI:s yrkande om ersättning.(7)
13. Appellationsdomstolen fastställde domen i första instans. Den fann att varje överträdelse av den allmänna dataskyddsförordningen inte med automatik medför en immateriell skada. Den slog vidare fast följande:
– Eftersom österrikisk rätt bara är tillämplig som komplement till den allmänna dataskyddsförordningen, är endast en sådan skada som går utöver den förargelse och emotionella skada (”Gefühlsschaden”) som åsidosättandet av UI:s rättigheter har framkallat ersättningsgrundande.
– Man bör följa den grundläggande principen i den österrikiska lagstiftningen att var och en utan ersättning måste uthärda vad som endast är obehag och rena olustkänslor. Med andra ord måste skadan vara av en viss betydelse för att rätt till ersättning ska föreligga.
14. Appellationsdomstolens dom har överklagats till Oberster Gerichtshof (Högsta domstolen, Österrike), som har hänskjutit följande tolkningsfrågor till EU-domstolen:
”1) Krävs det för att tillerkännas ersättning enligt artikel 82 i [den allmänna dataskyddsförordningen], utöver en överträdelse av bestämmelserna i dataskyddsförordningen, även att klaganden har lidit skada, eller är överträdelsen av bestämmelserna i dataskyddsförordningen i sig tillräcklig för tillerkännande av ersättning?
2) Gäller vid beräkning av ersättningen ytterligare bestämmelser inom unionsrätten utöver effektivitetsprincipen och likvärdighetsprincipen?
3) Är uppfattningen att det för att ideell skada ska anses föreligga krävs ett orsakssamband eller kausalitet med en lagöverträdelse av åtminstone viss allvarlighetsgrad, som går utöver den förargelse lagöverträdelsen har orsakat, förenlig med unionsrätten?”
III. Förfarandet
15. Begäran om förhandsavgörande registrerades vid domstolen den 12 maj 2021.
16. Skriftliga yttranden har inkommit från UI, Österreichische Post, den österrikiska, den tjeckiska och den irländska regeringen samt Europeiska kommissionen. Det har inte ansetts nödvändigt att hålla förhandling.
IV. Bedömning
A. Inledande anmärkningar
1. Huruvida begäran om förhandsavgörande kan tas upp till sakprövning
17. UI har gjort gällande att den första tolkningsfrågan inte är relevant för målet, eftersom hans talan inte ”enbart” byggde på en överträdelse av en bestämmelse i den allmänna dataskyddsförordningen, utan på konsekvenserna eller effekterna av den.
18. Invändningen om rättegångshinder kan inte godtas. Även om det skulle medges att behandlingen av uppgifter åsidosatte den allmänna dataskyddsförordningen utan att det medförde någon skada för UI, skulle han kunna vara berättigad till ersättning enligt artikel 82 i den allmänna dataskyddsförordningen, om det, vilket den hänskjutande domstolen frågar, bekräftas att åsidosättandet av en bestämmelse rörande behandling i sig är tillräckligt för att ge upphov till en sådan rätt.
19. Enligt UI skulle EU-domstolen även kunna avvisa den andra tolkningsfrågan, eftersom den är mycket öppet hållen och alltför begränsad när det gäller unionsrättens krav och inte nämner något konkret sådant.
20. Inte heller denna invändning kan godtas, även om den är mer välgrundad än den föregående. Det är legitimt att en domstol vill få reda på om den utöver att iaktta likvärdighetsprincipen och effektivitetsprincipen, även ska bedöma andra krav som föreskrivs i unionsrätten för att värdera skadan.
2. Avgränsning av föremålet för detta förslag till avgörande
21. Artikel 82 i den allmänna dataskyddsförordningen innehåller sex punkter. Den hänskjutande domstolen nämner inte någon särskild av dessa punkter, men underförstått hänvisar den till den första punkten. Den anger inte heller vilken bestämmelse som om den överträds ger rätt till ersättning.
22. Mitt förslag till avgörande bygger på följande förutsättningar:
– UI:s personuppgifter behandlades utan att hans samtycke hade inhämtats i enlighet med artikel 6.1 a i den allmänna dataskyddsförordningen.
– Alla personer som har lidit skada har rätt till ersättning. I förevarande mål är UI ”registrerad”, eftersom han är en identifierad fysisk person som berörs av behandlingen.(8)
– Den allmänna dataskyddsförordningen föreskriver ersättning för materiella och immateriella skador. UI:s anspråk avser bara immateriella skador och det har ett ekonomiskt innehåll.
B. Fråga 1
23. Med sin första tolkningsfråga vill den hänskjutande domstolen i korthet få klarlagt om det räcker att bestämmelserna i den allmänna dataskyddsförordningen har överträtts för att rätt till ersättning ska uppkomma, oavsett om det medfört skada eller inte.
24. Av de uppgifter som den hänskjutande domstolen har lämnat och de yttranden som har getts in till EU-domstolen, kan slutsatsen dras att frågan även kan tolkas på ett annat, något mer komplext sätt: Enligt den tolkningen handlar det om att få klarlagt huruvida en överträdelse av bestämmelserna i den allmänna dataskyddsförordningen av nödvändighet ger upphov till en skada som ger rätt till ersättning och att svaranden inte har någon möjlighet att motbevisa det.
25. Det finns en viss (teoretisk) skillnad mellan dessa två tolkningar. Enligt den förstnämnda utgör skadan inte en förutsättning för ersättningen, men det gör den däremot i det sistnämnda fallet. I praktiken bortfaller kravet att käranden ska styrka skadan i båda fallen och käranden behöver heller inte styrka orsakssambandet mellan överträdelsen och skadan.(9)
26. Jag vill dock redan här klargöra att jag inte anser att frågan ska besvaras jakande, oavsett vilket av de två tolkningsalternativen man väljer. Jag ska behandla dessa alternativ vart och ett för sig.
1. Ersättning utan skada?
27. Att hävda att det föreligger rätt till ersättning även om den registrerade inte har lidit skada av överträdelsen av den allmänna dataskyddsförordningen är förknippat med vissa uppenbara svårigheter. Den första rör ordalydelsen av artikel 82.1 i förordningen.
28. Enligt den bestämmelsen uppkommer rätten till ersättning(10) just på grund av att den har föregåtts av en skada. Det krävs således otvetydigt att den fysiska personen har lidit skada till följd av en överträdelse av den allmänna dataskyddsförordningen.
29. En tolkning som automatiskt förknippar begreppet ”överträdelse” med begreppet ”ersättning” utan att det föreligger någon skada, är således inte förenlig med lydelsen av artikel 82 i den allmänna dataskyddsförordningen. Den är inte heller förenlig med det främsta syftet med det skadeståndsansvar som införs genom den allmänna dataskyddsförordningen, nämligen att gottgöra den registrerade, just genom en ”full och effektiv” ersättning för den skada som han eller hon har lidit.(11)
30. Om det inte finns någon skada är ersättningens funktion inte längre att gottgöra de negativa följderna av överträdelsen utan en annan, som snarare liknar en påföljd.
31. En medlemsstat får visserligen i sin lagstiftning föreskriva att ersättning ska betalas som straff.(12) Det innebär att den som vållat skadan kan dömas att betala ett högre belopp än den rena gottgörelsen för skadan.
32. Vid straffliknande skadestånd förutsätts det i allmänhet att det finns en föregående skada. Med utgångspunkt i detta görs emellertid därefter åtskillnad mellan dess ekonomiska följdverkningar och det ersättningsbelopp som är anpassat efter skadan.
33. Det är således omöjligt att tänka sig att man vid ett straffliknande skadestånd bortser från skadan eller anser den vara irrelevant för att gottgöra den som har yrkat skadeståndet.
34. För att besvara den första tolkningsfrågan måste det undersökas om den här typen av skadestånd omfattas av den allmänna dataskyddsförordningen, inte minst med tanke på att det har hänvisats till dem i beslutet att begära förhandsavgörande och i parternas och intervenienternas yttranden.
2. Straffliknande skadestånd?
a) Bokstavstolkning
35. Utöver skadeståndsansvarets klassiska funktion finns det en ”bestraffande” eller ”avskräckande” funktion. Den innebär som nämnts att skadeståndsbeloppet inte motsvarar den skada som uppkommit utan är högre, ibland flera gånger högre, än skadans belopp.
36. I princip utgör unionsrätten inte hinder för den här typen av skadestånd, vid överträdelse av unionsrättsliga bestämmelser, om det kan utdömas i liknande förfaranden som bygger på den nationella rätten.(13)
37. Straffliknande skadestånd har ett avskräckande syfte. Samma syfte kan föreligga när medlemsstaterna vid överträdelse av ett direktiv ska vidta åtgärder som syftar till att få ”en faktisk avskräckande verkan”.(14) I vissa direktiv föreskrivs uttryckligen att skadestånden, som är utformade som sanktioner, ska vara avskräckande.(15)
38. I andra rättsakter har lagstiftaren däremot angett att syftet med ett direktiv ”inte [är] att införa ett straffliknande skadestånd”(16) eller att medlemsstaterna ska undvika den här typen av skadestånd när de införlivar direktivet.(17) I unionsrätten är det ovanligt att ”straffliknande skadestånd” direkt döms ut.(18)
39. I den allmänna dataskyddsförordningen nämns inget om att skadeståndet ska vara av straffkaraktär eller att beräkningen av skadeståndsbeloppet ska avspegla det, eller att skadeståndet ska vara avskräckande (vilket däremot straffrättsliga påföljder och administrativa sanktionsavgifter ska vara enligt förordningen).(19) Sett till ordalydelsen kan således inte straffliknande skadestånd omfattas.
b) Tolkning som bygger på bestämmelsens tillkomsthistoria
40. Artikel 82.1 i den allmänna dataskyddsförordningen har sin föregångare i artikel 23.1 i direktiv 95/46. Den sistnämnda artikeln ingick i ett system vars effektivitet skulle säkerställas genom offentlig och privat tillämpning,(20) men där (den privata) ersättningen och (den offentliga) sanktionen inte blandades samman.(21) Övervakningen av att bestämmelserna efterlevdes anförtroddes i första hand oberoende tillsynsmyndigheter.(22)
41. Den allmänna dataskyddsförordningen tar fasta på denna modell, men den förstärker verktygen för att säkerställa verkan av bestämmelserna i förordningen, som nu är mer detaljerade, och de reaktioner som föreskrivs, som nu är starkare, vid en överträdelse eller risk för överträdelse:
– Dels utökar den tillsynsmyndigheternas funktioner och det ankommer nu bland annat på dessa att påföra de harmoniserade sanktionsavgifter som föreskrivs i själva förordningen.(23) På så sätt betonas inslaget av offentlig tillämpning av bestämmelserna.
– Vidare föreskrivs att det ankommer på enskilda att försvara de rättigheter som den allmänna dataskyddsförordningen ger dem,(24) antingen genom att få tillsynsmyndigheterna att agera (artikel 77) eller genom att vända sig till domstol (artiklarna 79 och 82). Dessutom ger artikel 80 vissa organ rätt att inge klagomål för den registrerades räkning,(25) vilket främjar det skydd av allmänna intressen som är tillgängligt för enskilda.(26)
42. Utvecklingen av det enhetliga systemet för skadeståndsansvar i den allmänna dataskyddsförordningen var begränsad. Aspekter som var tveksamma när det gällde direktiv 95/46, som frågan huruvida immateriella skador ska vara ersättningsgilla,(27) klargjordes snart. Förhandlingarna inriktades på andra aspekter av det systemet.(28)
43. Jag har i förarbetena inte hittat någon diskussion om en eventuell straffunktion för det skadeståndsansvar som föreskrivs i den allmänna dataskyddsförordningen. Det går således inte att dra slutsatsen att en sådan funktion omfattas av artikel 82, med tanke på det inte förekom någon debatt om denna, i synnerhet med tanke på att det diskuterades om den skulle införlivas i andra unionsrättsakter.(29)
44. Mot bakgrund av detta anser jag att den talan som avses i artikel 82.1 i den allmänna dataskyddsförordningen utformades och reglerades för att användas för skadeståndsansvarets typiska funktioner, nämligen att gottgöra skada (för den skadelidande) och i andra hand att förebygga framtida skador (för den skadevållande).
c) Kontextuell tolkning
45. Som jag tidigare har nämnt ingår artikel 82 i den allmänna dataskyddsförordningen i ett system för att säkerställa bestämmelsernas ändamålsenliga verkan där privata initiativ kompletterar den offentliga tillämpningen av det. Ersättningsskyldigheten för personuppgiftsansvariga eller personuppgiftsbiträden bidrar till denna ändamålsenliga verkan.
46. Ersättningsskyldigheten fungerar (i det ideala fallet) som incitament för att gå mer försiktigt till väga i framtiden, följa reglerna och undvika nya skador. Genom att kräva ersättning åt sig själv, bidrar således varje individ till att säkerställa bestämmelsernas allmänna ändamålsenliga verkan.
47. Inom denna ram hålls den kompensatoriska och den bestraffande funktionen åtskilda:
– Till den bestraffande funktionen kan de sanktionsavgifter som tillsynsmyndigheterna och domstolarna får påföra (artikel 83.1 och 83.9 i den allmänna dataskyddsförordningen) och andra sanktioner som medlemsstaterna inför i enlighet med artikel 84 i den allmänna dataskyddsförordningen hänföras.(30)
– Till den kompensatoriska funktionen kan enskilda personers klagomål (artikel 77) och domstolsförfaranden (artikel 79) hänföras. Det ankommer emellertid inte på tillsynsmyndigheterna att avgöra om rätt till ersättning föreligger.
48. I enlighet med denna åtskillnad mellan den kompensatoriska och den bestraffande funktionen gäller följande:
– När myndigheten påför en sanktionsavgift och fastställer dess belopp ska den beakta de faktorer som räknas upp i artikel 83 i den allmänna dataskyddsförordningen, vilka inte ska beaktas när det gäller skadeståndsansvar och i princip inte kan tillämpas vid beräkningen av skadeståndet.(31)
– Trots att den skada som den berörda personen har lidit är en faktor som påverkar sanktionsavgiftens storlek,(32) behöver ett eventuellt skadestånd som personen har erhållit inte beaktas vid beräkningen av den.(33)
49. Rent teoretiskt medför en tolkning som innebär att skadeståndsansvaret får en bestraffande funktion när det inte föreligger någon skada, att ersättningsmekanismerna riskerar att underordnas sanktionsmekanismerna.
50. I praktiken kan möjligheten att erhålla en ”straffliknande” vinning som skadestånd, få de berörda personerna att föredra denna väg framför den som föreskrivs i artikel 77 i den allmänna dataskyddsförordningen. Om detta skulle bli vanligt förekommande skulle tillsynsmyndigheterna berövas ett verktyg (klagomål från den registrerade) för att få kännedom om och därmed utreda och beivra överträdelser av den allmänna dataskyddsförordningen, vilket drabbar de instrument som är lämpligast för att försvara allmänintresset.
d) Teleologisk tolkning
51. Den allmänna dataskyddsförordningen har i huvudsak två mål: a) dels att skydda ”fysiska personer med avseende på behandlingen av personuppgifter” och b) dels att utforma detta skydd så att ”det fria flödet av sådana uppgifter” i unionen inte förbjuds eller begränsas.(34)
52. Jag anser att den allmänna dataskyddsförordningen, för att dessa mål ska uppnås, inte kräver att skadeståndet enbart knyts till en överträdelse av den bestämmelse som reglerar behandlingen, vilket skulle innebära att skadeståndsansvaret fick en bestraffande funktion.
53. Vad beträffar det första målet är det för att uppnå det inte nödvändigt att genom tolkning utöka tillämpningsområdet för artikel 82 i den allmänna dataskyddsförordningen och låta den omfatta fall där det skett en överträdelse av bestämmelsen men inte uppstått någon skada. En sådan utökning skulle däremot kunna påverka det andra målet negativt.
54. Jag har tidigare betonat att den allmänna dataskyddsförordningen föreskriver flera mekanismer för att säkerställa att dess bestämmelser efterlevs, vilka samexisterar och kompletterar varandra. Det finns ingen anledning för medlemsstaterna att välja mellan mekanismerna i kapitel VIII för att säkerställa skyddet av uppgifter (och de får i själva verket inte heller göra det). Vid en överträdelse som inte ger upphov till skada, har den registrerade fortfarande (åtminstone) rätt att lämna in ett klagomål till en tillsynsmyndighet, i enlighet med artikel 77.1 i den allmänna dataskyddsförordningen.
55. En möjlighet att erhålla ersättning oavsett eventuella skador skulle sannolikt främja civilrättsliga tvister där en talan kanske inte alltid är motiverad.(35) Samtidigt skulle det kunna avskräcka från att behandla personuppgifter.(36)
3. Presumtion om skada?
56. I några av yttrandena från parterna i målet förespråkas en annan tolkning av den första tolkningsfrågan än den som jag hittills har undersökt. Om jag förstår deras ståndpunkt rätt(37) tycks de mena att det föreligger en icke motbevisbar presumtion om skada, när bestämmelsen har överträtts.
57. De menar vidare att en sådan överträdelse av nödvändighet medför att man förlorar kontrollen över uppgifterna, vilket i sig medför en skada som är ersättningsgill enligt artikel 82.1 i den allmänna dataskyddsförordningen.
58. I teorin innebär en sådan presumtion inte att det går att bortse från skadan, och därmed skulle skadeståndsansvarets typiska uppbyggnad och ordalydelsen i bestämmelsen i den allmänna dataskyddsförordningen iakttas. För käranden och svaranden skulle emellertid konsekvenserna av att godta presumtionen i praktiken likna konsekvenserna av att enbart knyta ersättningen i artikel 82.1 i den allmänna dataskyddsförordningen till en överträdelse av förordningen.
59. Jag ska även här använda mig av de sedvanliga tolkningskriterierna för att förklara varför jag anser att denna tolkning inte kan godtas.
a) Bokstavstolkning
60. När lagstiftaren inom andra områden av unionsrätten har ansett att en överträdelse av en bestämmelse automatiskt ska medföra en rätt till ersättning, har lagstiftaren inte dragit sig för att föreskriva det.(38) Så är inte fallet med den allmänna dataskyddsförordningen, i vilken det finns regler som rör bevisning eller som får direkta följder för denna,(39) men inte någon sådan automatisk koppling, vare sig direkt eller via en icke motbevisbar presumtion.
61. Jag anser inte att hänvisningarna till kontrollen över uppgifterna (eller förlust av kontrollen) som finns i skälen 75(40) och 85(41) i den allmänna dataskyddsförordningen väger upp denna avsaknad. Förutom att dessa skäl saknar normativt värde, görs det inte i något av dem gällande att överträdelsen av en bestämmelse i sig medför en ersättningsgill skada:
– I skäl 75 nämns hinder för att utöva kontroll över sina personuppgifter som en risk med behandlingen.
– I skäl 85 nämns förlusten av kontroll som en av de konsekvenser som en personuppgiftsincident skulle kunna få.(42)
62. En förlust av kontrollen över uppgifterna måste inte oundvikligen medföra en skada. Formuleringen kan uppfattas som ett sätt att hänvisa till skador till följd av en sådan förlust, om sådana skulle uppstå.(43)
b) Tolkning som bygger på bestämmelsens tillkomsthistoria
63. En granskning av bakgrunden ger heller inte stöd för att det skulle finnas en sådan presumtion. Den fanns inte i direktiv 95/46(44) och inte heller i de dokument från kommissionen, Europaparlamentet och rådet som föregick antagandet av den allmänna dataskyddsförordningen och som jag har granskat.
c) Kontextuell tolkning
64. Systemet i den allmänna dataskyddsförordningen innehåller inslag som talar emot att den skulle godta den omtvistade presumtionen och som utgår från den registrerades samtycke.(45) Som ett redskap för att kontrollera dessa uppgifter, legitimerar detta samtycke behandlingen av uppgifterna på samma nivå som andra rättsliga grunder (artikel 6 i den allmänna dataskyddsförordningen).(46)
65. En laglig behandling av personuppgifter är tänkbar även utan den registrerades tillstånd och därmed utan den kontroll som möjligheten att lämna eller neka tillstånd innebär. Denna kontrolls betydelse inom ramen för systemet är med andra ord inte absolut.
66. Dessutom föreskriver den allmänna dataskyddsförordningen andra möjligheter att utöva den kontrollen. Här ingår den rätt till radering som innebär att den registeransvarige är skyldig att ”utan onödigt dröjsmål” radera uppgifterna.(47)
67. För den person vars uppgifter behandlas fungerar denna rättighet som en säkerhetsventil i skyddssystemet: den kvarstår (som huvudregel) när den personuppgiftsansvarige inte har inhämtat den registrerades samtycke och när det inte finns någon annan grund som berättigar behandlingen av uppgifter, och den är inte beroende av att det har uppkommit en skada.(48)
d) Teleologisk tolkning
1) Den registrerades kontroll över sina uppgifter – ett mål med den allmänna dataskyddsförordningen?
68. För att en behandling av uppgifter som den registrerade inte har samtyckt till automatiskt ska likställas med en ersättningsgill skada, krävs det att kontrollen, för vilken samtycket utgör ett redskap, utgör ett värde i sig.
69. Jag medger att det kan förefalla som om att det finns ett visst fog för en sådan uppfattning. Att medborgarna har kontroll över sina uppgifter är enligt kommissionens förslag ett av de viktigaste skälen till reformen.(49) I skäl 7 i den allmänna dataskyddsförordningen anges att ”[f]ysiska personer bör ha kontroll över sina egna personuppgifter”.
70. Detta begrepp måste emellertid tolkas med försiktighet, oavsett de diskussioner inom doktrinen som den har gett upphov till. Det finns i den allmänna dataskyddsförordningen inte någon exakt definition av begreppet ”kontroll” (och jag har inte hittat det någon annanstans heller).(50) Ordet kan ha minst två betydelser, vilka inte utesluter varandra. Det kan antingen betyda ”makt” eller ”herravälde”, eller ”övervakning”.
71. Lydelsen av skäl 7 i den allmänna dataskyddsförordningen ger upphov till en viss osäkerhet, eftersom den skiljer sig åt mellan olika språkversioner.(51) Mot bakgrund av dess innehåll anser jag att den allmänna dataskyddsförordningen ger den registrerade befogenheter att övervaka och ingripa i andras behandling av uppgifterna, som ett (av flera) instrument för att skydda dessa uppgifter.
72. Den registrerade bidrar själv och har ansvar för att skydda den information som uppgifterna representerar, i den mån det föreskrivs i den allmänna dataskyddsförordningen (nivå och former). Individens handlingsutrymme är begränsat. När det gäller de rättigheter som räknas upp i den allmänna dataskyddsförordningen, begränsar det sig till att utöva dessa rättigheter under vissa villkor.
73. Den registrerades samtycke, som det yttersta uttrycket för kontroll,(52) är bara en av de rättsliga grunderna för en laglig behandling, men det kan inte medföra att en bristande uppfyllelse av de övriga skyldigheter och villkor som åligger den personuppgiftsansvarige och personuppgiftsbiträdet godtas.
74. Jag anser inte att man utan vidare kan dra slutsatsen att den allmänna dataskyddsförordningen syftar till att ge den registrerade kontroll över personuppgifterna som ett värde i sig och inte heller att den registrerade ska ha största möjliga kontroll över dessa uppgifter.
75. Detta är inte särskilt förvånande. Dels är det inte uppenbart att kontrollen, i betydelsen herravälde över uppgifterna, ingår i det väsentliga innehållet i den grundläggande rätten till skydd av personuppgifter.(53) Dels är synen på denna rätt som en rätt till självbestämmande i fråga om information inte enhetlig: denna formulering finns inte i artikel 8 i stadgan.(54)
76. Inte heller fördes ett skäl med lydelsen ”rätten till skydd av personuppgifter bygger på den registrerades rätt att utöva kontroll över personuppgifter som behandlas”(55) in i den slutliga texten i den allmänna dataskyddsförordningen.
77. Mot bakgrund av ovanstående överväganden, vilka måhända är alltför abstrakta, anser jag att om den registrerade inte samtycker till en behandling och uppgifterna ändå behandlas utan någon annan legitim rättslig grund, behöver det inte leda till att en ekonomisk ersättning ska utgå på grund av att den registrerade har förlorat kontrollen över uppgifterna, som om denna förlust i sig skulle innebära en ersättningsgill skada.(56) Det återstår att se om huruvida denne dessutom har drabbats av en skada (vilken i så fall måste styrkas).(57)
2) Den registrerades kontroll i sammanhanget
78. Jag anser att det bör erinras om att syfte med den allmänna dataskyddsförordningen är att skydda personuppgifter och ett annat att säkerställa det fria flödet av sådana uppgifter.(58)
79. En förstärkning av medborgarnas kontroll över sina personuppgifter i den digitala miljön är ett av de erkända syftena med moderniseringen av regelverket rörande skydd av personuppgifter, men det är inte ett självständigt eller isolerat syfte.
80. I det meddelande som kommissionen bifogade sitt förslag till allmän dataskyddsförordning, angav den att ett starkt uppgiftsskydd är en förutsättning för att öka förtroendet för nättjänsterna och ta vara på den digitala ekonomins potential, och på så sätt uppmuntra ”ekonomisk tillväxt och EU-företagens konkurrenskraft”. Reformeringen (och den ökade harmoniseringen) av unionslagstiftningen ska ”främja den inre marknaden på dataskyddsområdet”.(59)
81. Med tanke på hur viktiga uppgifter (personuppgifter och andra uppgifter) är för den ekonomiska och sociala utvecklingen i Europa, är syftet med den allmänna dataskyddsförordningen inte att öka den enskildes kontroll över uppgifter som rör honom eller henne, och utan vidare böja sig för den enskildes önskemål, utan att göra en avvägning mellan vars och en rätt till skydd av personuppgifter med tredje parts och samhällets intressen.(60)
82. Den allmänna dataskyddsförordningen syftar således inte till att systematiskt begränsa behandlingen av personuppgifter, utan till att legitimera den på stränga villkor. Till detta syfte bidrar framför allt den registrerades tilltro till att behandlingen görs i ett säkert sammanhang,(61) vilket den registrerade själv bidrar till. På så sätt uppmuntras denne till att frivilligt tillåta åtkomst till och användning av hans eller hennes uppgifter, bland annat i samband med näthandel.
C. Fråga 2
83. Den hänskjutande domstolen vill veta om det ”vid beräkning av ersättningen [gäller] ytterligare bestämmelser inom unionsrätten utöver effektivitetsprincipen och likvärdighetsprincipen”.
84. I själva verket förefaller det inte som om att likvärdighetsprincipen har någon relevant betydelse här. Den allmänna dataskyddsförordningens harmoniserade system tillämpas direkt på detta område och artikel 82 i förordningen gäller för alla immateriella skador som uppstår till följd av en överträdelse, oavsett vad de grundar sig i.
85. Samma sak gäller effektivitetsprincipen. En annan fråga är vad ersättningen ska innehålla, om man ser till formuleringen i skäl 146 i den allmänna dataskyddsförordningen (registrerade bör få full och effektiv ersättning för den skada de lidit).
86. Artikel 82 i den allmänna dataskyddsförordningen innehåller inget annat krav än att en överträdelse av bestämmelserna i förordningen ska ge rätt till ersättning för, materiell eller immateriell, skada som en person har lidit. När det gäller beräkningen av ersättningens storlek, innehåller förordningen ingen vägledning för de nationella domstolarna.
87. Vad beträffar de två ovannämnda adjektiven (full och effektiv), är ersättningen i första hand beroende av den skadelidandes yrkanden.
88. Om denne yrkar att det ska utdömas ett straffliknande skadestånd(62) är svaret på den första tolkningsfrågan tillräckligt: den typen av skadestånd regleras inte i den allmänna dataskyddsförordningen. Inom ramen för förordningen har skadeståndsansvaret en ”privat” kompensatorisk funktion, medan sanktionsavgifter och straffrättsliga påföljder har den offentliga funktionen att avskräcka och, i förekommande fall, bestraffa.
89. Det kan inte uteslutas att en gottgörelse som yrkas för immateriell skada kan innehålla andra inslag än de rent ekonomiska, exempelvis ett erkännande av att överträdelsen har ägt rum, vilket kan innebära att sökanden ges någon form av moralisk tillfredsställelse. Genom en analog tillämpning av domstolens dom av den 15 april 2021,(63) vilken meddelades inom ett annat område än skydd av personuppgifter, skulle ett sådant yrkande kunna tillmötesgås.
90. I de rättsordningar som föreskriver det kan regelverket rörande skadeståndsansvar möjliggöra domar som bygger på att en rättighet görs gällande (betalning av en symbolisk ersättning) eller att en otillbörlig fördel neutraliseras (överlämnande av den otillbörliga vinningen).
91. De förstnämnda bygger på tanken att rättigheten ska fortsätta och förverkligas (”Rechtsfortsetzungsfunktion”) med hjälp av en rent symbolisk ersättning, utöver fastställandet att motparten har gjort något otillåtet och åsidosatt sökandens rättigheter. Artikel 82 i den allmänna dataskyddsförordningen innehåller inte någon sådan tanke och det finns heller inte ett spår av den i förarbetena, vilket inte är förvånande med tanke på att den inte förekommer i alla medlemsstaters rättssystem(64) och inte heller är oomtvistad i de medlemsstater där den förekommer.(65)
92. Systemet i den allmänna dataskyddsförordningen och dess syften utgör emellertid inte hinder för att de medlemsstater som erkänner detta rättsmedel erbjuder det till den som har drabbats av en överträdelse av en bestämmelse, bland de rättsmedel som föreskrivs i artikel 79, om det inte föreligger någon som helst skada. När käranden däremot gör gällande att han eller hon har lidit en ekonomisk skada, regleras den situationen i artikel 82 i den allmänna dataskyddsförordningen och den omständigheten att det är svårt att styrka den får inte medföra ett symboliskt skadestånd.(66)
93. Vad beträffar domar som innebär att det belopp som följer på åsidosättandet av en rättighet ska överlämnas, kan de ha till syfte att frånta gärningsmannen den vinning han eller hon har haft. Utanför området immateriella rättigheter(67) är detta syfte inte så vanligt inom skadeståndsrätten, vilken snarare ser till den skadelidandes förlust och inte till den skadevållandes vinning.(68) Det finns inte med i den allmänna dataskyddsförordningens bestämmelser.
94. Jag tillhandahåller dessa överväganden för att underlätta den hänskjutande domstolens arbete, med tanke på den andra tolkningsfrågans omfattning. Jag är emellertid medveten om att de kan visa sig vara till begränsad nytta i ett mål där den registrerade yrkar en rent ekonomisk ersättning för den immateriella skadan.
D. Fråga 3
95. Den hänskjutande domstolen vill få klarlagt huruvida det krävs en ”lagöverträdelse av åtminstone viss allvarlighetsgrad, som går utöver den förargelse lagöverträdelsen har orsakat”, för att det enligt den allmänna dataskyddsförordningen ska anses föreligga en immateriell skada.
96. Som grund för vad som är ersättningsgillt, beaktas i begäran om förhandsavgörande styrkan i den berörda personens upplevelse. Där efterfrågas däremot inte (åtminstone inte direkt) om en viss känsla hos denne är relevant eller irrelevant för tillämpningen av artikel 82.1 i den allmänna dataskyddsförordningen, med tanke på dess innehåll.(69)
97. Frågan uppkommer således om medlemsstaterna kan låta ersättningen för den immateriella skadan vara beroende av omfattningen av konsekvenserna av överträdelsen av bestämmelsen och bara beakta de konsekvenser som överstiger en viss grad av allvar. Frågan handlar således inte om grunderna för skadestånd(70) eller skadeståndets storlek, utan huruvida det finns en nedre gräns för den berörda personens reaktion, under vilken han eller hon inte får någon ersättning.
98. Artikel 82 i den allmänna dataskyddsförordningen ger inget direkt svar på frågan. Jag anser inte heller att skälen 75 och 85 gör det. Båda dessa innehåller en uppräkning av exempel på skador som mynnar ut i en öppen klausul som tycks begränsa de ersättningsgilla skadorna till de ”betydande”.
99. Jag anser emellertid inte att de skälen är användbara för att besvara den hänskjutande domstolens fråga:
– Det första handlar om fastställandet och bedömningen av riskerna med uppgiftsbehandlingen och åtgärder för att förhindra eller minska dem. Det belyser de oönskade konsekvenserna av behandling och betonar ”i synnerhet” vissa, säkerligen på grund av att de är av allvarligare karaktär.
– Det andra rör personuppgiftsincidenter och där påpekas att konsekvenserna av dem kan vara betydande.
100. Den förklaring som finns i skäl 146 i den allmänna dataskyddsförordningen (den personuppgiftsansvarige bör ersätta ”all skada”)(71) innehåller inte heller några kriterier som gör det möjligt att besvara frågan.
101. Överföringen av detta skäl till artikeldelen i den allmänna dataskyddsförordningen, gjorde att förordningen uttryckligen kom att omfatta immateriella skador, i stället för den tystnad som fanns på denna punkt i direktiv 95/46.(72) Just den fråga som nu aktualiserats vid domstolen togs emellertid inte upp.
102. I samma skäl 146 i den allmänna dataskyddsförordningen anges att ”begreppet skada bör tolkas brett mot bakgrund av domstolens praxis på ett sätt som fullt ut återspeglar denna förordnings mål”.
103. Jag är inte säker på att detta påpekande var särskilt användbart när det gällde uppgiftsskydd, eftersom domstolen ännu inte hade uttalat sig om detta område när den allmänna dataskyddsförordningen antogs.(73) Om avsikten var hänvisa till domar rörande skadeståndsansvar som reglerades i andra direktiv eller förordningar, hade en hänvisning till analog tillämpning varit välkommen.
104. I själva verket har domstolen inte utvecklat någon allmän definition av begreppet ”skada” som är tillämplig inom alla områden.(74) Vad beträffar den skada som är aktuell här (immateriell skada), följer följande av domstolens rättspraxis:
– När syftet (eller ett av syftena) med den bestämmelse som tolkas är att skydda individen, eller en viss kategori av individer,(75) bör begreppet skador ges en vid definition.
– I överensstämmelse med detta kriterium omfattar skadeståndet immateriella skador, även om de inte nämns i den tolkade bestämmelsen.(76)
105. Trots att domstolens rättspraxis gör det möjligt att mot denna bakgrund hävda att det föreligger en princip om ersättning för immateriella skador i unionsrätten, anser jag emellertid inte att det ur detta kan härledas en regel som innebär att alla immateriella skador är ersättningsgilla, oavsett svårighetsgrad.
106. Domstolen har slagit fast att unionsrätten inte utgör hinder för en nationell lagstiftning som vid beräkningen av ersättningen gör skillnad mellan olika immateriella skador som är följden av personskador orsakade av olyckor beroende på vad som orsakat olyckan.(77)
107. Den har även prövat vilka omständigheter som kan ge upphov till immateriella skador, i enlighet med den bestämmelse som är tillämplig i varje enskilt mål,(78)men den har (såvitt jag inte misstar mig) inte uttryckligen uttalat sig om det rekvisit som rör skadornas svårighetsgrad.(79)
108. Mot bakgrund av detta anser jag att den tredje frågan ska besvaras jakande.
109. Till stöd för min ståndpunkt vill jag erinra om att den allmänna dataskyddsförordningen inte enbart syftar till att värna om den grundläggande rätten till skydd av personuppgifter(80) och att dess system med garantier innehåller mekanismer av olika slag.(81)
110. Såsom föreslagits för domstolen är det i detta sammanhang lämpligt att göra skillnad mellan immateriella skador som är ersättningsgilla och andra olägenheter som är en följd av bristande respekt för vad som är lagligt, vilka på grund av sin ringa omfattning inte nödvändigtvis ger rätt till ersättning.
111. En sådan åtskillnad finns i nationella rättsordningar, som en oundviklig följd av samhällslivet.(82) Domstolen är inte omedveten om denna åtskillnad och domstolen har godtagit denna skillnad när den har tagit upp problem och olägenheter som utgör en kategori som är självständig i förhållande till kategorin skador, inom områden där den anser att dessa ska kompenseras.(83) Det finns inget som hindrar att den tillämpas på den allmänna dataskyddsförordningen.
112. Vidare anser jag inte att rätten till ersättning enligt artikel 82.1 i den allmänna dataskyddsförordningen är ett lämpligt instrument för att motverka överträdelser vid behandling av personuppgifter, om de bara ger upphov till ilska eller förtret hos den registrerade.
113. Varje överträdelse av en bestämmelse om skydd för personuppgifter ger som regel upphov till en negativ reaktion från den registrerades sida. En ersättning som enbart grundar sig på en känsla av missnöje på grund av att någon annan inte har efterlevt lagen är lätt att förväxla med en ersättning utan skada, vilket jag tidigare har vänt mig mot.
114. I praktiskt hänseende är det inte effektivt att låta ren irritation ingå i de ersättningsgilla immateriella skadorna, med beaktande av de olägenheter och svårigheter som en domstolstalan brukar innebära för käranden(84) och för svarandens försvar.(85)
115. Att ersättning nekas för svaga och övergående känslor(86) till följd av överträdelser av regler om behandling, innebär inte att den registrerade blir helt skyddslös. Som jag påpekade i samband med den första frågan, erbjuder systemet i den allmänna dataskyddsförordningen den registrerade andra rättsmedel.
116. Jag betvivlar inte att gränsen mellan ren irritation (som inte är ersättningsgill) och verkliga immateriella skador (som är ersättningsgilla) är subtil och jag är inte omedveten om att det generellt är komplicerat att avgränsa de två kategorierna och konkret tillämpa dem på en tvist. Denna svåra uppgift faller på domstolarna i medlemsstaterna, vilka när de fäller sina avgöranden sannolikt inte kan bortse från den rådande uppfattningen i samhället om vad man får tåla när de subjektiva följderna av en överträdelse av en bestämmelse inom det här området inte överstiger en viss miniminivå.(87)
V. Förslag till avgörande
117. Med hänsyn till vad som anförts ovan föreslår jag att domstolen besvarar de tolkningsfrågor som ställts av Oberster Gerichtshof (Högsta domstolen, Österrike) enligt följande:
Artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas på följande sätt:
För att en person ska ha rätt till ersättning för en skada som denne har lidit till följd av att den ovannämnda förordningen har åsidosatts, räcker det inte enbart att bestämmelsen har överträtts, utan det måste dessutom ha uppkommit en materiell eller immateriell skada.
Den ersättning för immateriella skador som föreskrivs i förordningen omfattar inte rent förtret som den person som berörs kan känna till följd av att bestämmelserna i förordning 2016/679 har överträtts. Det ankommer på de nationella domstolarna att i varje enskilt fall avgöra när den subjektiva olustkänslan till sin karaktär är sådan att den kan anses utgöra en immateriell skada.