WYROK TRYBUNAŁU (trzecia izba)
z dnia 4 maja 2023 r.(*)
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 82 ust. 1 – Prawo do odszkodowania za szkodę spowodowaną przetwarzaniem danych z naruszeniem tego rozporządzenia – Przesłanki prawa do odszkodowania – Niewystarczający charakter samego naruszenia wspomnianego rozporządzenia – Konieczność wystąpienia szkody spowodowanej tym naruszeniem – Odszkodowanie za szkodę niemajątkową wynikającą z takiego przetwarzania – Niezgodność przepisu krajowego uzależniającego odszkodowanie za taką szkodę od przekroczenia progu wagi – Zasady ustalania odszkodowania przez sądy krajowe
W sprawie C‑300/21
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Oberster Gerichtshof (sąd najwyższy, Austria) postanowieniem z dnia 15 kwietnia 2021 r., które wpłynęło do Trybunału w dniu 12 maja 2021 r., w postępowaniu:
UI
przeciwko
Österreichische Post AG,
TRYBUNAŁ (trzecia izba),
w składzie: K. Jürimäe, prezes izby, M. Safjan, N. Piçarra, N. Jääskinen (sprawozdawca) i M. Gavalec, sędziowie,
rzecznik generalny: M. Campos Sánchez-Bordona,
sekretarz: A. Calot Escobar,
uwzględniając pisemny etap postępowania,
rozważywszy uwagi, które przedstawili:
– UI w imieniu własnym, w charakterze Rechtsanwalt,
– w imieniu Österreichische Post AG – R. Marko, Rechtsanwalt,
– w imieniu rządu austriackiego – A. Posch, J. Schmoll i G. Kunnert, w charakterze pełnomocników,
– w imieniu rządu czeskiego – O. Serdula, M. Smolek i J. Vláčil, w charakterze pełnomocników,
– w imieniu Irlandii – M. Browne, A. Joyce, M. Lane i M. Tierney, w charakterze pełnomocników, których wspierał D. Fennelly, BL,
– w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 6 października 2022 r.,
wydaje następujący
Wyrok
1 Rozpatrywany wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; zwanego dalej „RODO”) w związku z zasadami równoważności i skuteczności.
2 Wniosek ten został złożony w ramach sporu pomiędzy UI a Österreichische Post AG w przedmiocie wniesionego przez UI powództwa o odszkodowanie za szkodę niemajątkową, jakiej miał doznać w wyniku przetwarzania przez wskazaną spółkę danych dotyczących preferencji politycznych osób zamieszkałych w Austrii, w szczególności jego samego, mimo że nie wyraził on zgody na takie przetwarzanie.
Ramy prawne
3 Motywy 10, 75, 85 i 146 RODO mają następujące brzmienie:
„(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych […].
[…]
(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne […].
[…]
(85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne […].
[…]
(146) Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikając[e] z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. Przetwarzanie dokonywane w sposób naruszający niniejsze rozporządzenie obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody […]”.
4 Artykuł 1 RODO, zatytułowany „Przedmiot i cele”, w ust. 1 i 2 stanowi:
„1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”.
5 Zgodnie z art. 4 pkt 1 tego rozporządzenia, zatytułowanym „Definicje”:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«) […]”.
6 Rozdział VIII RODO, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, obejmuje art. 77–84 tego rozporządzenia.
7 Artykuł 77 wspomnianego rozporządzenia dotyczy „[p]rawa do wniesienia skargi do organu nadzorczego”, podczas gdy art. 78 – „[p]rawa do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”.
8 Artykuł 82 RODO, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi w ust. 1 i 2:
„1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie […]”.
9 Artykuł 83 tego rozporządzenia, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, stanowi w ust. 1:
„Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”.
10 Artykuł 84 wspomnianego rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1:
„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.
Postępowanie główne i pytania prejudycjalne
11 Od 2017 r. Österreichische Post, spółka prawa austriackiego prowadząca sprzedaż adresów, gromadziła informacje na temat preferencji politycznych ludności Austrii. Za pomocą algorytmu uwzględniającego różne kryteria społeczne i demograficzne określiła ona „adresy grup docelowych”. Wygenerowane w ten sposób dane zostały sprzedane różnym organizacjom w celu umożliwienia im dokonywania ukierunkowanych przesyłek reklamowych.
12 W ramach swojej działalności Österreichische Post przetwarzała dane, które, poddane ekstrapolacji statystycznej, skłoniły ją do sformułowania wniosku o wysokiej preferencji powoda w postępowaniu głównym z określoną austriacką partią polityczną. Informacje te nie zostały przekazane osobom trzecim, lecz powód w postępowaniu głównym, który nie wyraził zgody na przetwarzanie swoich danych osobowych, poczuł się urażony faktem, że została mu przypisana preferencja dla danej partii. Okoliczność, że dane dotyczące jego przypuszczalnych poglądów politycznych były przechowywane w tej spółce, wywołała u niego wielkie wzburzenie, utratę zaufania, a także poczucie kompromitacji. Z postanowienia odsyłającego wynika, że nie stwierdzono żadnej szkody innej niż te przejściowe zakłócenia emocjonalne.
13 W tym kontekście powód w postępowaniu głównym wniósł do Landesgericht für Zivilrechtssachen Wien (sądu okręgowego do spraw cywilnych w Wiedniu, Austria) pozew, żądając, po pierwsze, nakazania Österreichische Post zaniechania przetwarzania wspomnianych danych osobowych, a po drugie, zasądzenia od tej spółki na jego rzecz kwoty 1000 EUR tytułem odszkodowania za szkodę niemajątkową, której miał doznać. Orzeczeniem z dnia 14 lipca 2020 r. sąd ten uwzględnił żądanie zaniechania, lecz oddalił żądanie odszkodowawcze.
14 Wyrokiem z dnia 9 grudnia 2020 r. Oberlandesgericht Wien (wyższy sąd krajowy w Wiedniu, Austria), do którego wniesiono apelację, utrzymał w mocy orzeczenie wydane w pierwszej instancji. Co się tyczy żądania odszkodowawczego, sąd ten odniósł się do motywów 75, 85 i 146 RODO i uznał, że przepisy prawa krajowego państw członkowskich dotyczące odpowiedzialności cywilnej uzupełniają przepisy tego rozporządzenia, o ile nie zawiera ono przepisów szczególnych. W tym względzie wskazał on, że zgodnie z prawem austriackim naruszenie przepisów o ochronie danych osobowych nie prowadzi automatycznie do szkody niemajątkowej i daje prawo do odszkodowania tylko wtedy, gdy taka szkoda osiągnie pewien „próg wagi”. Nie ma to jednak miejsca w przypadku negatywnych odczuć, na które powołał się skarżący w postępowaniu głównym.
15 W wyroku wstępnym z dnia 15 kwietnia 2021 r. Oberster Gerichtshof (sąd najwyższy, Austria), do którego obie strony w postępowaniu głównym wniosły skargę rewizyjną, oddalił skargę rewizyjną wniesioną przez Österreichische Post przeciwko nałożonemu na nią obowiązkowi zaniechania. W związku z tym sąd ten nadal rozpoznaje jedynie wniesioną przez powoda w postępowaniu głównym skargę rewizyjną przeciwko oddaleniu jego żądania odszkodowawczego.
16 Na poparcie wniosku o wydanie orzeczenia w trybie prejudycjalnym sąd odsyłający wskazuje, że z motywu 146 RODO wynika, iż art. 82 tego rozporządzenia ustanowił własny system odpowiedzialności w dziedzinie ochrony danych osobowych, który zastąpił systemy obowiązujące w państwach członkowskich. W związku z tym pojęcia zawarte w tym art. 82, a w szczególności pojęcie „szkody”, o którym mowa w ust. 1 tego artykułu, należy interpretować w sposób autonomiczny, a przesłanki powstania tej odpowiedzialności należy definiować nie w świetle przepisów prawa krajowego, lecz w świetle wymogów prawa Unii.
17 Dokładniej rzecz ujmując, w pierwszej kolejności, jeśli chodzi o prawo do odszkodowania z tytułu naruszenia ochrony danych osobowych, sąd ten skłania się do uznania w świetle szóstego zdania motywu 146 RODO, że odszkodowanie oparte na art. 82 tego rozporządzenia zakłada, iż osoba, której dane dotyczą, rzeczywiście poniosła szkodę majątkową lub niemajątkową. Przyznanie takiego odszkodowania jest uzależnione od wykazania konkretnej szkody odrębnej od wspomnianego naruszenia, które samo w sobie nie dowodzi istnienia szkody niemajątkowej. Motyw 75 wspomnianego rozporządzenia przywołuje samą możliwość wystąpienia szkody niemajątkowej wynikającej z wymienionych w nim naruszeń, a o ile jego motyw 85 wspomina wprawdzie o ryzyku „utraty kontroli” nad danymi, których dotyczy naruszenie, o tyle ryzyko to jest jednak niepewne w niniejszej sprawie, ponieważ dane te nie zostały przekazane osobie trzeciej.
18 W drugiej kolejności, co się tyczy oszacowania odszkodowania, jakie może zostać przyznane na podstawie art. 82 RODO, sąd ten uważa, że zasada skuteczności prawa Unii powinna mieć ograniczony wpływ ze względu na to, że rozporządzenie to przewiduje już surowe sankcje w przypadku jego naruszenia, a więc przyznanie ponadto wysokiego odszkodowania nie jest konieczne dla zapewnienia jego praktycznej skuteczności. Jego zdaniem należne z tego tytułu odszkodowanie powinno być proporcjonalne, skuteczne i odstraszające, tak aby przyznane odszkodowanie mogło spełniać funkcję kompensacyjną, ale nie miało charakteru represyjnego, który jest obcy prawu Unii.
19 W trzeciej kolejności sąd odsyłający podaje w wątpliwość tezę bronioną przez Österreichische Post, zgodnie z którą przyznanie takiego odszkodowania jest uzależnione od warunku, by naruszenie ochrony danych osobowych wyrządziło szczególnie poważną szkodę. W tym względzie podkreśla on, że motyw 146 RODO zaleca szeroką wykładnię pojęcia „szkody” w rozumieniu tego rozporządzenia. Uważa on, że szkoda niemajątkowa powinna zostać naprawiona na podstawie art. 82 tego rozporządzenia, jeżeli jest namacalna, nawet gdyby była niewielka. Natomiast taka szkoda nie musi zostać naprawiona, jeżeli okaże się całkowicie nieznacząca, jak ma to miejsce w przypadku jedynie nieprzyjemnych odczuć, które zazwyczaj towarzyszą takiemu naruszeniu.
20 W tych okolicznościach Oberster Gerichtshof (sąd najwyższy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy zasądzenie odszkodowania na podstawie art. 82 […] RODO wymaga, oprócz naruszenia przepisów RODO, aby powód poniósł szkodę, czy też samo naruszenie przepisów RODO jest wystarczające do zasądzenia odszkodowania?
2) Czy dla ustalenia wysokości odszkodowania poza zasadami skuteczności i równoważności istnieją inne wymogi w prawie Unii?
3) Czy zgodny z prawem Unii jest pogląd, że warunkiem stwierdzenia poniesienia szkody niemajątkowej jest to, iż powstała ona w konsekwencji lub w następstwie naruszenia prawa o przynajmniej pewnej wadze, które wykracza poza poczucie wzburzenia spowodowane naruszeniem prawa?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie dopuszczalności pytań pierwszego i drugiego
21 Powód w postępowaniu głównym twierdzi zasadniczo, że pierwsze z zadanych pytań jest niedopuszczalne, ponieważ jest hipotetyczne. Podnosi on przede wszystkim, że jego powództwo odszkodowawcze nie jest oparte na „samym” naruszeniu przepisu RODO. Następnie w postanowieniu odsyłającym wskazuje się na istnienie konsensusu co do faktu, że odszkodowanie jest należne tylko wtedy, gdy takiemu naruszeniu towarzyszy rzeczywiście poniesiona szkoda. Wreszcie jego zdaniem wydaje się, że strony w postępowaniu głównym kwestionują jedynie kwestię, czy szkoda powinna przekraczać pewien „próg wagi”. Gdyby więc Trybunał odpowiedział przecząco na trzecie pytanie prejudycjalne zadane w tym przedmiocie – jak proponuje powód – pytanie pierwsze byłoby nieistotne dla rozstrzygnięcia tego sporu.
22 Powód w postępowaniu głównym twierdzi również, że pytanie drugie jest niedopuszczalne ze względu na to, że jest ono zarówno bardzo szerokie, jeśli chodzi o jego treść, jak i zbyt nieprecyzyjne, jeśli chodzi o jego brzmienie, ponieważ sąd odsyłający odnosi się do „wymogów prawa Unii”, nie wskazując konkretnie jednego z nich.
23 W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem wyłącznie do sądu krajowego, przed którym zawisł spór i na którym spoczywa odpowiedzialność za mające zapaść rozstrzygnięcie, należy ustalenie, czy, przy uwzględnieniu specyfiki danej sprawy, w celu wydania rozstrzygnięcia zachodzi potrzeba uzyskania orzeczenia w trybie prejudycjalnym, jak i ocena zasadności zadawanych Trybunałowi pytań, które korzystają w tym względzie z domniemania posiadania znaczenia dla sprawy. Wobec tego w sytuacji gdy zadane pytanie dotyczy wykładni lub ważności przepisu prawa Unii, Trybunał jest co do zasady zobowiązany orzec, chyba że oczywiste jest, że wykładnia, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia przydatnej odpowiedzi na dane pytanie (zob. podobnie wyroki: z dnia 15 grudnia 1995 r., Bosman, C‑415/93, EU:C:1995:463, pkt 61; z dnia 7 września 1999 r., Beck i Bergdorf, C‑355/97, EU:C:1999:391, pkt 22; a także z dnia 5 maja 2022 r., Zagrebačka banka, C‑567/20, EU:C:2022:352, pkt 43 i przytoczone tam orzecznictwo.
24 W niniejszym postępowaniu pytanie pierwsze dotyczy warunków wymaganych do skorzystania z prawa do odszkodowania przewidzianego w art. 82 RODO. Ponadto nie wydaje się oczywiste, by wykładnia, o którą się zwrócono, była pozbawiona związku ze sporem w postępowaniu głównym lub by podniesiona kwestia miała charakter hipotetyczny. Z jednej strony bowiem spór ten dotyczy żądania odszkodowawczego, które objęte jest systemem ochrony danych osobowych ustanowionym w RODO. Z drugiej strony pytanie to zmierza do ustalenia, czy do celów stosowania zasad odpowiedzialności ustanowionych w tym rozporządzeniu konieczne jest, aby zainteresowana osoba poniosła szkodę odrębną od naruszenia rozporządzenia.
25 Co się tyczy pytania drugiego, orzeczono już, że sam fakt, iż Trybunał miałby się wypowiedzieć w sposób abstrakcyjny i ogólny, nie może powodować niedopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym (wyrok z dnia 15 listopada 2007 r., International Mail Spain, C‑162/06, EU:C:2007:681, pkt 24). Tak sformułowane pytanie można uznać za hipotetyczne, a zatem niedopuszczalne, jeżeli postanowienie odsyłające nie zawiera minimum wyjaśnień pozwalających na ustalenie związku pomiędzy wspomnianym pytaniem a sporem w postępowaniu głównym (zob. podobnie wyrok z dnia 8 lipca 2021 r., Sanresa, C‑295/20, EU:C:2021:556, pkt 69, 70).
26 Tymczasem nie jest tak w niniejszej sprawie, ponieważ sąd odsyłający wyjaśnia, że pytanie drugie opiera się na wątpliwościach co do tego, czy w ramach oszacowania ewentualnego odszkodowania należnego od Österreichische Post z powodu naruszenia przepisów RODO konieczne jest czuwanie nad przestrzeganiem nie tylko zasad równoważności i skuteczności, o których mowa w tym pytaniu, lecz również ewentualnych innych wymogów prawa Unii. W tym kontekście brak bardziej precyzyjnych wskazówek niż te dostarczone przez ten sąd w przedmiocie wspomnianych zasad nie pozbawia Trybunału możliwości dokonania użytecznej wykładni właściwych przepisów prawa Unii.
27 Pytania pierwsze i drugie są zatem dopuszczalne.
Co do istoty
W przedmiocie pytania pierwszego
28 Poprzez pytanie pierwsze sąd odsyłający dąży zasadniczo do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że samo naruszenie przepisów tego rozporządzenia wystarcza do przyznania prawa do odszkodowania.
29 W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem treści przepisu prawa Unii, który nie zawiera wyraźnego odesłania do prawa państw członkowskich dla określenia swego znaczenia i zakresu, należy zwykle nadać w całej Unii autonomiczną i jednolitą wykładnię [wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 81; z dnia 10 lutego 2022 r., ShareWood Switzerland, C‑595/20, EU:C:2022:86, pkt 21], którą należy w szczególności ustalić z uwzględnieniem brzmienia danego przepisu i kontekstu, w jaki się on wpisuje (zob. podobnie wyroki: z dnia 15 kwietnia 2021 r., The North of England P & I Association, C‑786/19, EU:C:2021:276, pkt 48; a także z dnia 10 czerwca 2021 r., KRONE – Verlag, C‑65/20, EU:C:2021:471, pkt 25).
30 Tymczasem RODO nie odsyła do prawa państw członkowskich w kwestiach znaczenia i zakresu pojęć zawartych w art. 82 tego rozporządzenia, a w szczególności pojęć „szkody majątkowej lub niemajątkowej” i „odszkodowania za poniesioną szkodę”. Z powyższego wynika, że do celów stosowania tego rozporządzenia wyrażenia te należy uznać za autonomiczne pojęcia prawa Unii, które należy interpretować w sposób jednolity we wszystkich państwach członkowskich.
31 W pierwszej kolejności, co się tyczy brzmienia art. 82 RODO, należy przypomnieć, że ust. 1 tego artykułu stanowi, iż „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.
32 Po pierwsze, z brzmienia tego przepisu jasno wynika, że istnienie „szkody”, która została „poniesiona”, stanowi jedną z przesłanek przewidzianego w tym przepisie prawa do odszkodowania, podobnie jak istnienie naruszenia RODO i związku przyczynowego między tą szkodą a tym naruszeniem, przy czym te trzy przesłanki są kumulatywne.
33 W związku z tym nie można uznać, że każde „naruszenie” przepisów RODO przyznaje samo w sobie wspomniane prawo do odszkodowania osobie, której dane dotyczą, zdefiniowanej w art. 4 pkt 1 tego rozporządzenia. Taka wykładnia byłaby sprzeczna z brzmieniem art. 82 ust. 1 wspomnianego rozporządzenia.
34 Po drugie, należy podkreślić, że odrębna wzmianka w art. 82 ust. 1 RODO o „szkodzie” i „naruszeniu” byłaby zbędna, gdyby prawodawca Unii uznał, że naruszenie przepisów tego rozporządzenia może samo w sobie i w każdym wypadku wystarczyć dla uzasadnienia prawa do odszkodowania.
35 W drugiej kolejności – powyższą wykładnię literalną potwierdza kontekst, w jaki wpisuje się ten przepis.
36 W art. 82 ust. 2 RODO, w którym sprecyzowano system odpowiedzialności, którego zasada została ustanowiona w ust. 1 tego artykułu, powtórzono bowiem trzy przesłanki konieczne do powstania prawa do odszkodowania, a mianowicie przetwarzanie danych osobowych z naruszeniem przepisów RODO, szkodę poniesioną przez osobę, której dane dotyczą, oraz związek przyczynowy między tym niezgodnym z prawem przetwarzaniem a tą szkodą.
37 Ponadto wyjaśnienia zawarte w motywach 75, 85 i 146 RODO potwierdzają tę wykładnię. Z jednej strony motyw 146, który dotyczy w szczególności prawa do odszkodowania przewidzianego w art. 82 ust. 1 tego rozporządzenia, odnosi się w zdaniu pierwszym do „szkody, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający [to] rozporządzenie”. Z drugiej strony motywy 75 i 85 wskazują, odpowiednio, że „[r]yzyko […] może wynikać z przetwarzania danych osobowych mogącego prowadzić do […] szkód” oraz że „naruszenie ochrony danych osobowych może skutkować powstaniem […] szkód”. Wynika z tego, po pierwsze, że powstanie szkody w ramach takiego przetwarzania jest jedynie potencjalne, po drugie, że naruszenie RODO niekoniecznie musi skutkować szkodą, a po trzecie, że w celu uzasadnienia prawa do odszkodowania musi istnieć związek przyczynowy między danym naruszeniem a szkodą poniesioną przez osobę, której dane dotyczą.
38 Za literalną wykładnią art. 82 ust. 1 GDPR przemawia także porównanie z innymi przepisami, również zawartymi w rozdziale VIII tego rozporządzenia, który reguluje w szczególności różne środki prawne umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku przetwarzania jej danych osobowych, które miałoby być sprzeczne z przepisami tego rozporządzenia.
39 W tym względzie należy zauważyć, że zawarte w tym rozdziale art. 77 i 78 RODO przewidują środki odwoławcze do organu nadzorczego lub przeciwko organowi nadzorczemu w przypadku podnoszonego naruszenia tego rozporządzenia, przy czym nie wskazano w nich, że osoba, której dane dotyczą, musi ponieść „szkodę”, aby móc wnieść takie środki prawne, wbrew brzmieniu użytemu w art. 82 w odniesieniu do powództw o odszkodowanie. Ta różnica w sformułowaniu świadczy o znaczeniu kryterium „szkody”, a zatem o jego odrębności od kryterium „naruszenia”, dla celów żądań odszkodowawczych opartych na RODO.
40 Podobnie art. 83 i 84 RODO, które pozwalają na nakładanie administracyjnych kar pieniężnych oraz innych sankcji, mają zasadniczo cel karny i nie są uzależnione od istnienia indywidualnej szkody. Związek między przepisami ustanowionymi we wspomnianym art. 82 a przepisami zawartymi we wspomnianych art. 83 i 84 świadczy o tym, że istnieje różnica między tymi dwiema kategoriami przepisów, ale także komplementarność, jeśli chodzi o zachętę do przestrzegania RODO, przy czym prawo każdej osoby do żądania odszkodowania wzmacnia operacyjny charakter przepisów ochronnych przewidzianych w tym rozporządzeniu i może zniechęcać do powtarzania bezprawnych zachowań.
41 Wreszcie należy wyjaśnić, że motyw 146 zdanie czwarte RODO stanowi, iż przepisy w nim ustanowione nie mają wpływu na roszczenia odszkodowawcze wynikające z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego.
42 W świetle całości powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że samo naruszenie przepisów tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania.
W przedmiocie pytania trzeciego
43 Poprzez pytanie trzecie, które należy zbadać przed pytaniem drugim, sąd odsyłający dąży zasadniczo do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że sprzeciwia się on przepisowi krajowemu lub praktyce krajowej, które uzależniają odszkodowanie za szkodę niemajątkową w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi.
44 W tym względzie należy przypomnieć, że – jak podkreślono w pkt 30 niniejszego wyroku – pojęciu „szkody”, a dokładniej w niniejszej sprawie pojęciu „szkody niemajątkowej” w rozumieniu art. 82 RODO, należy ze względu na brak jakiegokolwiek odniesienia do prawa krajowego państw członkowskich nadać autonomiczną i jednolitą definicję, właściwą prawu Unii.
45 W pierwszej kolejności – RODO nie definiuje pojęcia „szkody” do celów stosowania tego instrumentu. Artykuł 82 tego rozporządzenia ogranicza się do wyraźnego określenia, że nie tylko „szkoda majątkowa”, ale również „szkoda niemajątkowa” może stanowić podstawę do przyznania prawa do odszkodowania, przy czym nie ma mowy o jakimkolwiek progu wagi.
46 W drugiej kolejności – kontekst, w jaki wpisuje się ten przepis, również wskazuje, że prawo do odszkodowania nie jest uzależnione od tego, czy rozpatrywana szkoda osiągnie określony próg wagi. Zgodnie z motywem 146 zdanie trzecie RODO „pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele [tego] rozporządzenia”. Tymczasem ograniczenie pojęcia „szkody” wyłącznie do szkód o określonej wadze zaprzeczałoby tej szerokiej koncepcji tego pojęcia, preferowanej przez prawodawcę Unii.
47 W trzeciej i ostatniej kolejności – taka wykładnia znajduje potwierdzenie w celach realizowanych przez RODO. W tym względzie należy przypomnieć, że motyw 146 zdanie trzecie tego rozporządzenia wyraźnie wzywa do tego, by pojęcie „szkody” w rozumieniu tego rozporządzenia definiować „w sposób w pełni odzwierciedlający cele [wspomnianego] rozporządzenia”.
48 W szczególności z motywu 10 RODO wynika, że jego przepisy zmierzają w szczególności do zapewnienia wysokiego i spójnego stopnia ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii i, w tym celu, zapewnienia spójnego i jednolitego stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem takich danych w całej Unii [zob. podobnie wyroki: z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 101; a także z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych), C‑154/21, EU:C:2023:3, pkt 44 i przytoczone tam orzecznictwo].
49 Tymczasem uzależnienie odszkodowania za szkodę niemajątkową od określonego progu wagi mogłoby zaszkodzić spójności systemu ustanowionego przez RODO, ponieważ wyznaczanie takiego progu, od którego zależy możliwość uzyskania tego odszkodowania, mogłoby ulegać wahaniom w zależności od oceny sądu rozpatrującego sprawę.
50 Nie zmienia to faktu, że przyjęta w ten sposób wykładnia nie może być rozumiana w ten sposób, że oznacza ona, iż osoba, której dotyczy naruszenie RODO, które miało wobec niej negatywne konsekwencje, jest zwolniona z obowiązku wykazania, że konsekwencje te stanowią szkodę niemajątkową w rozumieniu art. 82 tego rozporządzenia.
51 W świetle powyższych rozważań na pytanie trzecie należy odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że sprzeciwia się on przepisowi krajowemu lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za szkodę niemajątkową w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi.
W przedmiocie pytania drugiego
52 Poprzez pytanie drugie sąd odsyłający dąży zasadniczo do ustalenia, czy art. 82 RODO należy interpretować w ten sposób, że w celu ustalenia kwoty odszkodowania należnego z tytułu ustanowionego w tym artykule prawa do odszkodowania sądy krajowe powinny stosować wewnętrzne przepisy każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, z poszanowaniem nie tylko zasad równoważności i skuteczności prawa Unii.
53 W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem wobec braku norm Unii w danej dziedzinie do wewnętrznego porządku prawnego każdego państwa członkowskiego należy, na mocy zasady autonomii proceduralnej, uregulowanie szczegółowych aspektów proceduralnych dotyczących środków prawnych mających na celu ochronę uprawnień przysługujących podmiotom prawa, pod warunkiem jednak, że zasady te w sytuacjach objętych prawem Unii nie będą mniej korzystne niż te odnoszące się do podobnych sytuacji podlegających prawu krajowemu (zasada równoważności) oraz że w praktyce nie będą uniemożliwiały lub nie uczynią nadmiernie uciążliwym wykonywania uprawnień przyznanych w prawie Unii (zasada skuteczności) (zob. podobnie wyroki: z dnia 13 grudnia 2017 r., El Hassani, C‑403/16, EU:C:2017:960, pkt 26; z dnia 15 września 2022 r., Uniqa Versicherungen, C‑18/21, EU:C:2022:682, pkt 36).
54 W niniejszej sprawie należy zauważyć, że RODO nie zawiera przepisu mającego na celu określenie zasad dotyczących oszacowania odszkodowania, którego osoba, której dane dotyczą, w rozumieniu art. 4 pkt 1 tego rozporządzenia, może dochodzić na podstawie art. 82 owego rozporządzenia, jeżeli naruszenie tego rozporządzenia wyrządziło jej szkodę. W związku z tym, w braku norm prawa Unii w tej dziedzinie, do porządku prawnego każdego państwa członkowskiego należy określenie zasad dotyczących działań mających na celu zapewnienie podmiotom prawa ochrony uprawnień wynikających ze wspomnianego art. 82, a w szczególności kryteriów pozwalających na określenie zakresu należnego w tych ramach odszkodowania, z zastrzeżeniem poszanowania wspomnianych zasad równoważności i skuteczności (zob. analogicznie wyrok z dnia 13 lipca 2006 r., Manfredi i in., od C‑295/04 do C‑298/04, EU:C:2006:461, pkt 92, 98).
55 Co się tyczy zasady równoważności, w niniejszym postępowaniu Trybunał nie dysponuje żadnym elementem mogącym wzbudzać wątpliwości co do zgodności z tą zasadą przepisów krajowych, które miałyby zastosowanie do sporu w postępowaniu głównym, a zatem mogących wskazywać na to, że wspomniana zasada może mieć konkretne znaczenie w ramach tego sporu.
56 Co się tyczy zasady skuteczności, do sądu odsyłającego należy ustalenie, czy przewidziane w prawie austriackim zasady ustalania przez sąd odszkodowania należnego z tytułu ustanowionego w art. 82 RODO prawa do odszkodowania nie czynią praktycznie niemożliwym lub nadmiernie utrudnionym wykonywania praw przyznanych przez prawo Unii, a w szczególności przez to rozporządzenie.
57 W tym kontekście należy podkreślić, że motyw 146 zdanie szóste RODO wskazuje, iż instrument ten ma zapewnić „pełne i skuteczne odszkodowanie za poniesione szkody”.
58 W tym względzie, biorąc pod uwagę funkcję kompensacyjną prawa do odszkodowania przewidzianego w art. 82 RODO, jak podkreślił zasadniczo rzecznik generalny w pkt 39, 49 i 52 opinii, oparte na tym przepisie odszkodowanie pieniężne należy uznać za „pełne i skuteczne”, jeżeli pozwala ono na pełną kompensację szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, przy czym dla celów takiego pełnego wyrównania nie jest konieczne nakazanie zapłaty odszkodowania o charakterze represyjnym.
59 W świetle całości powyższych rozważań na pytanie drugie należy odpowiedzieć, iż art. 82 RODO należy interpretować w ten sposób, że w celu ustalenia kwoty odszkodowania należnego z tytułu ustanowionego w tym artykule prawa do odszkodowania sądy krajowe powinny stosować wewnętrzne przepisy każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego pod warunkiem przestrzegania zasad równoważności i skuteczności prawa Unii.
W przedmiocie kosztów
60 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:
1) Artykuł 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
należy interpretować w ten sposób, że:
samo naruszenie przepisów tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania.
2) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
sprzeciwia się on przepisowi krajowemu lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za szkodę niemajątkową w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi.
3) Artykuł 82 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
w celu ustalenia kwoty odszkodowania należnego z tytułu ustanowionego w tym artykule prawa do odszkodowania sądy krajowe powinny stosować wewnętrzne przepisy każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, pod warunkiem przestrzegania zasad równoważności i skuteczności prawa Unii.
Podpisy