Language of document : ECLI:EU:C:2024:72

ROZSUDEK SOUDNÍHO DVORA (třetího senátu)

25. ledna 2024(*)

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Výklad článků 5, 24, 32 a 82 – Posouzení platnosti článku 82 – Nepřípustnost návrhu na posouzení platnosti – Právo na náhradu újmy způsobené zpracováním těchto údajů v rozporu s tímto nařízením – Předání údajů neoprávněné třetí straně z důvodu nedopatření zaměstnanců správce – Posouzení vhodnosti ochranných opatření zavedených správcem – Kompenzační funkce, kterou plní právo na náhradu újmy – Dopad závažnosti porušení – Nezbytnost prokázat existenci újmy způsobené uvedeným porušením – Pojem ‚nehmotná újma‘“

Ve věci C‑687/21,

jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Amtsgericht Hagen (okresní soud v Hagenu, Německo) ze dne 11. října 2021, došlým Soudnímu dvoru dne 16. listopadu 2021, v řízení

BL

proti

MediaMarktSaturn Hagen-Iserlohn GmbH, dříve Saturn Electro-Handelsgesellschaft mbH Hagen,

SOUDNÍ DVŮR (třetí senát),

ve složení: K. Jürimäe, předsedkyně senátu, N. Piçarra, M. Safjan, N. Jääskinen (zpravodaj) a M. Gavalec, soudci,

generální advokát: M. Campos Sánchez-Bordona,

za soudní kancelář: A. Calot Escobar, vedoucí,

s přihlédnutím k písemné části řízení,

s ohledem na vyjádření, která předložili:

–        za BL: D. Pudelko, Rechtsanwalt,

–        za MediaMarktSaturn Hagen-Iserlohn GmbH, dříve Saturn Electro – Handelsgesellschaft mbH Hagen: B. Hackl, Rechtsanwalt,

–        za Irsko: M. Browne, Chief State Solicitor, A. Joyce a M. Lane, jako zmocněnci, ve spolupráci s: D. Fennelly, BL,

–        za Evropský parlament: O. Hrstková Šolcová a J.-C. Puffer, jako zmocněnci,

–        za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci,

s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generálního advokáta, rozhodnout věc bez stanoviska,

vydává tento

Rozsudek

1        Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 2 odst. 1, čl. 4 bodu 7, čl. 5 odst. 1 písm. f), čl. 6 odst. 1, článku 24, čl. 32 odst. 1 písm. b) a odst. 2, jakož i článku 82 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“), a posouzení platnosti tohoto článku 82.

2        Tato žádost byla předložena v rámci sporu mezi BL, fyzickou osobou, a společností MediaMarktSaturn Hagen-Iserlohn GmbH, dříve Saturn Electro-Handelsgesellschaft mbH Hagen (dále jen „Saturn“), ve věci náhrady nemajetkové újmy, kterou uvedená osoba údajně utrpěla v důsledku předání některých svých osobních údajů třetí straně, k němuž došlo nedopatřením zaměstnanců této společnosti.

 Právní rámec

3        Body 11, 74, 76, 83, 85 a 146 odůvodnění GDPR znějí následovně:

„(11)      Účinná ochrana osobních údajů v celé [Evropské unii] vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, […]

[…]

(74)      Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.

[…]

(76)      Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.

[…]

(83)      V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

[…]

(85)      Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. […]

[…]

(146)      Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel. Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost. Výklad pojmu ‚újma‘ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. Zpracování, které porušuje toto nařízení, zahrnuje rovněž zpracování, které porušuje akty v přenesené pravomoci a prováděcí akty přijaté v souladu s tímto nařízením a právními předpisy členského státu upřesňující pravidla tohoto nařízení. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly. […]“

4        Článek 2, nadepsaný „Věcná působnost“, obsažený v kapitole I tohoto nařízení, upravující „Obecná ustanovení“, v odstavci 1 stanoví:

„Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.“

5        Článek 4 uvedeného nařízení, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

1)      ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘); […]

[…]

7)      ‚správcem‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; […]

[…]

10)      ‚třetí stranou‘ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;

[…]

12)      ‚porušením zabezpečení osobních údajů‘ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

[…]“

6        Kapitola II GDPR, nadepsaná „Zásady“, obsahuje články 5 až 11 tohoto nařízení.

7        Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.      Osobní údaje musí být:

[…]

f)      zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (‚integrita a důvěrnost‘);

2.      Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

8        Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, definuje v odstavci 1 podmínky, které musí být splněny, aby bylo zpracování zákonné.

9        Kapitola IV GDPR, nadepsaná „Správce a zpracovatel“, obsahuje články 24 až 43 tohoto nařízení.

10      Článek 24, nadepsaný „Odpovědnost správce“, obsažený v oddíle 1 této kapitoly IV, nadepsaném „Obecné povinnosti“, v odstavcích 1 a 2 stanoví:

„1.      S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

2.      Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.“

11      Článek 32 GDPR, nadepsaný „Zabezpečení zpracování“, obsažený v oddíle 2 uvedené kapitoly IV, nadepsaném „Zabezpečení osobních údajů“, v odst. 1 písm. b) a odst. 2 stanoví:

„1.      S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

[…]

b)      schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

[…]

2.      Při posuzování vhodné úrovně zabezpečení se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.“

12      Kapitola VIII GDPR, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84 tohoto nařízení.

13      Článek 82 uvedeného nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, stanoví:

„1.      Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2.      Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. […]

3.      Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

[…]“

14      Článek 83 GDPR, nadepsaný „Obecné podmínky pro ukládání správních pokut“, stanoví:

„1.      Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.

2.      […] Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

a)      povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

b)      zda k porušení došlo úmyslně nebo z nedbalosti;

[…]

d)      míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32;

[…]

k)      jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.

3.      Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

[…]“

15      Článek 84 tohoto nařízení, nadepsaný „Sankce“, v odstavci 1 stanoví:

„Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

 Spor v původním řízení a předběžné otázky

16      Žalobce v původním řízení navštívil obchodní prostory společnosti Saturn, kde si zakoupil domácí elektrický spotřebič. Za tímto účelem vyhotovil zaměstnanec této společnosti smlouvu o koupi a úvěru. Při této příležitosti zadal do počítačového systému společnosti Saturn několik osobních údajů tohoto zákazníka, a sice jeho příjmení a jméno, adresu, místo bydliště, název jeho zaměstnavatele, jeho příjmy a bankovní údaje.

17      Smluvní dokumenty s těmito osobními údaji byly vytištěny a podepsány oběma stranami. Žalobce v původním řízení je následně předal zaměstnancům společnosti Saturn v místě výdeje zboží. Jiný zákazník, který nenápadně předběhl žalobce v původním řízení, obdržel omylem jak spotřebič objednaný žalobcem, tak předmětné dokumenty a vše si odnesl.

18      Vzhledem k rychlému zjištění omylu obdržel zaměstnanec společnosti Saturn přístroj a dokumenty zpět; tyto byly do půl hodiny po jejich vydání druhému zákazníkovi vráceny žalobci v původním řízení. Podnik nabídl žalobci v původním řízení za toto nedopatření odškodnění v podobě bezplatného dodání předmětného spotřebiče do jeho bydliště, avšak dotyčný považoval toto odškodnění za nedostatečné.

19      Žalobce v původním řízení podal k Amtsgericht Hagen (okresní soud v Hagenu, Německo), který je předkládajícím soudem v projednávané věci, žalobu, kterou se domáhal, zejména na základě ustanovení GDPR, náhrady nehmotné újmy, kterou podle svého tvrzení utrpěl v důsledku nedopatření zaměstnanců společnosti Saturn a z něj plynoucího rizika ztráty kontroly nad svými osobními údaji.

20      Společnost Saturn na svou obranu zaprvé namítá, že nedošlo k porušení GDPR a že k takovému porušení může dojít pouze tehdy, je-li překročena určitá míra závažnosti, které nebylo v projednávané věci dosaženo. Zadruhé tato společnost tvrdí, že žalobci v původním řízení nevznikla žádná újma, neboť nebylo zjištěno, ba ani tvrzeno, že by dotyčná třetí strana zneužila osobní údaje žalobce.

21      Předkládající soud si zaprvé klade otázku ohledně platnosti článku 82 GDPR, jelikož se mu tento článek jeví jako neurčitý z hlediska jeho právních účinků v případě náhrady nehmotné újmy.

22      Zadruhé pro případ, že by tento článek 82 nebyl Soudním dvorem prohlášen za neplatný, si předkládající soud přeje vědět, zda uplatnění nároku na náhradu újmy stanoveného v tomto článku předpokládá prokázání nejen porušení GDPR, ale také toho, že osobě požadující náhradu újmy taková újma, a konkrétně újma nehmotné povahy, vznikla.

23      Zatřetí se předkládající soud snaží zjistit, zda porušení GDPR může představovat pouhá skutečnost, že vytištěné dokumenty obsahující osobní údaje byly neoprávněně předány třetí straně z důvodu nedopatření, jehož se dopustili zaměstnanci správce.

24      Začtvrté, i když má uvedený soud za to, že „důkazní břemeno ohledně své neviny musí nést [žalovaný] podnik“, táže se, zda k tomu, aby bylo možné mít za to, že došlo k porušení GDPR, zejména z hlediska povinnosti správce zavést vhodná opatření k zabezpečení zpracovávaných údajů podle článků 2, 5, 6 a 24 tohoto nařízení, postačí konstatovat, že k takovému předání dokumentů došlo z nedbalosti.

25      Zapáté si předkládající soud klade otázku, zda i v případě, že se neoprávněná třetí strana podle všeho neseznámila s dotyčnými osobními údaji před vrácením dokumentů, v nichž byly obsaženy, může být existence „nehmotné újmy“ ve smyslu článku 82 GDPR prokázána na základě pouhé skutečnosti, že osoba, jejíž údaje byly takto předány, pociťuje obavu z rizika, které nelze podle tohoto soudu vyloučit, že tyto údaje budou v budoucnosti touto třetí stranou sděleny dalším osobám, či dokonce zneužity.

26      Zašesté se uvedený soud táže, jaký případný dopad má v rámci žaloby na náhradu nehmotné újmy na základě tohoto článku 82 stupeň závažnosti porušení, k němuž došlo za takových okolností, jako jsou okolnosti v původním řízení, vzhledem k tomu, že správce mohl podle jeho názoru přijmout účinnější bezpečnostní opatření.

27      A konečně zasedmé by chtěl předkládající soud znát účel náhrady nehmotné újmy, kterou stanoví GDPR, a naznačuje, že by tato újma mohla mít povahu sankce rovnocenné smluvní pokutě.

28      Za těchto podmínek se Amtsgericht Hagen (okresní soud v Hagenu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)      Je ustanovení o náhradě újmy obsažené v [GDPR] (článek 82 tohoto nařízení) neplatné z důvodu neurčitosti právních následků, které musí být vyvozeny v případě nehmotné újmy?

2)      Je pro účely přiznání nároku na náhradu újmy nezbytné, aby kromě neoprávněného obeznámení neoprávněné třetí strany s údaji, které mají být chráněny, bylo konstatováno, že nastala nehmotná újma, kterou musí osoba uplatňující nárok prokázat?

3)      Postačuje k porušení [GDPR] okolnost, že osobní údaje subjektu údajů (jméno, adresa, povolání, příjem, zaměstnavatel) jsou v důsledku nedopatření zaměstnanců dotčeného podniku omylem předány třetí osobě, a to vytištěné na papíře, ve formě listinného dokumentu?

4)      Jedná se o protiprávní další zpracování [osobních údajů] v důsledku neúmyslného předání (zpřístupnění) třetí straně, jestliže podnik prostřednictvím svých zaměstnanců předal nedopatřením údaje, které jsou mimoto zadány do zařízení pro elektronické zpracování dat, v tištěné podobě neoprávněné třetí straně [čl. 2 odst. 1, čl. 5 odst. 1 písm. f), čl. 6 odst. 1 a článek 24 [GDPR]]?

5)      Jedná se o nehmotnou újmu ve smyslu článku 82 [GDPR] již v případě, že se třetí strana, která dokument s osobními údaji obdržela, před tím, než byla listina, ve které jsou zmíněné informace obsaženy, vrácena, s danými údaji neseznámila, nebo postačuje ke vzniku nehmotné újmy ve smyslu článku 82 [GDPR] zneklidnění osoby, jejíž osobní údaje byly protiprávně předány, protože v případě jakéhokoli neoprávněného zpřístupnění osobních údajů existuje možnost, kterou nelze vyloučit, že by dané údaje přece jen mohly být rozšířeny mezi neznámé množství osob, nebo dokonce zneužity?

6)      Za jak závažné je třeba dané porušení považovat, pokud lze neúmyslnému předání [osobních údajů] třetí straně zabránit lepší kontrolou pomocných zaměstnanců působících u daného podniku nebo lepší organizací zabezpečení údajů, například odděleným vyřizováním výdeje zboží a smluvní dokumentace, především pokud jde o dokumentaci týkající se financování, pomocí samostatného výdejního listu nebo tím, že budou v rámci podniku zaměstnancům výdeje zboží předány bez zapojení zákazníka, kterému byly vytištěné dokumenty včetně dokladu opravňujícího k vyzvednutí vydány [čl. 32 odst. 1 písm. b) a odst. 2, jakož i čl. 4 bod 7 [GDPR]]?

7)      Rozumí se náhradou nehmotné újmy přiznání plnění sankční povahy, jako je tomu v případě smluvní pokuty?“

 K předběžným otázkám

 K první otázce

29      Podstatou první otázky předkládajícího soudu je, zda je článek 82 GDPR neplatný, jelikož neupřesňuje právní následky, které je třeba vyvodit v případě náhrady nehmotné újmy.

30      Evropský parlament tvrdí, že tato otázka je nepřípustná, neboť předkládající soud nedostál požadavkům čl. 94 písm. c) jednacího řádu Soudního dvora, přestože vznáší obzvláště složitou otázku, a sice posouzení platnosti ustanovení unijního práva.

31      V souladu s čl. 94 písm. c) jednacího řádu musí žádost o rozhodnutí o předběžné otázce kromě znění předběžných otázek položených Soudnímu dvoru uvádět důvody, na základě kterých má předkládající soud pochybnosti o výkladu nebo platnosti určitých ustanovení práva Unie.

32      V této souvislosti je uvedení důvodů žádosti o rozhodnutí o předběžné otázce nezbytné nejen k tomu, aby Soudní dvůr mohl podat užitečné odpovědi, ale rovněž k tomu, aby vlády členských států, jakož i ostatní zúčastněné strany mohly předložit vyjádření v souladu s článkem 23 statutu Soudního dvora Evropské unie. Konkrétně musí Soudní dvůr zkoumat platnost ustanovení unijního práva ve vztahu k důvodům neplatnosti uvedeným v předkládacím rozhodnutí, takže neuvedení konkrétních důvodů, které vedly předkládající soud k pochybnostem o této otázce, má za následek nepřípustnost otázek týkajících se uvedené platnosti (v tomto smyslu viz rozsudky ze dne 15. června 2017, T.KUP, C‑349/16, EU:C:2017:469, body 16 až 18, a ze dne 22. června 2023, Vitol, C‑268/22, EU:C:2023:508, body 52 až 55).

33      V projednávané věci přitom předkládající soud neuvádí žádnou konkrétní skutečnost, která by Soudnímu dvoru umožnila zkoumat platnost článku 82 GDPR.

34      První otázka musí být tedy prohlášena za nepřípustnou.

 K třetíčtvrté otázce

35      Podstatou třetí a čtvrté otázky předkládajícího soudu, které je třeba zkoumat společně a na prvním místě, je, zda musí být články 5, 24, 32 a 82 GDPR ve vzájemném spojení vykládány v tom smyslu, že v rámci žaloby na náhradu újmy na základě tohoto článku 82 postačuje okolnost, že zaměstnanci správce předali omylem neoprávněné třetí straně dokument obsahující osobní údaje, sama o sobě k závěru, že technická a organizační opatření zavedená dotyčným správcem nebyla „vhodná“ ve smyslu těchto článků 24 a 32.

36      Článek 24 GDPR stanoví obecnou povinnost správce osobních údajů zavést vhodná technická a organizační opatření, aby zajistil, že uvedené zpracování bude prováděno v souladu s tímto nařízením, a mohl to doložit (rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 24).

37      Článek 32 GDPR pak upřesňuje povinnosti správce a případného zpracovatele, pokud jde o zabezpečení tohoto zpracování. Odstavec 1 tohoto článku stanoví, že posledně zmínění musí provést vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající rizikům spojeným s uvedeným zpracováním, a to s přihlédnutím ke stavu techniky, nákladům na provedení, jakož i k povaze, rozsahu, kontextu a účelům dotyčného zpracování. Stejně tak odstavec 2 uvedeného článku stanoví, že při posuzování vhodné úrovně zabezpečení se musí zohlednit zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů, nebo neoprávněný přístup k nim (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 26 a 27).

38      Ze znění článků 24 a 32 GDPR vyplývá, že vhodnost opatření zavedených správcem musí být posouzena konkrétně, s přihlédnutím k jednotlivým kritériím stanoveným v těchto článcích a potřebám ochrany údajů, které jsou specificky spojeny s dotyčným zpracováním, jakož i s riziky plynoucími z tohoto zpracování, a to tím spíše, že uvedený správce musí být schopen doložit soulad uvedených opatření s tímto nařízením, což je možnost, o kterou by v případě připuštění nevyvratitelné domněnky přišel (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 30 až 32).

39      Tento doslovný výklad je podpořen výkladem uvedených článků 24 a 32 ve spojení s čl. 5 odst. 2 a článkem 82 uvedeného nařízení, ve světle bodů 74, 76 a 83 odůvodnění tohoto nařízení, z nichž zejména vyplývá, že správce je povinen zmírnit rizika porušení zabezpečení osobních údajů, a nikoli zabránit jakémukoliv porušení jejich zabezpečení (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 33 až 38).

40      Soudní dvůr tedy vyložil články 24 a 32 GDPR v tom smyslu, že samotná skutečnost, že došlo k neoprávněnému poskytnutí nebo zpřístupnění těchto údajů „třetími stranami“ ve smyslu čl. 4 bodu 10 tohoto nařízení nepostačuje k tomu, aby bylo možné mít za to, že technická a organizační opatření zavedená dotčeným správcem nejsou „vhodná“ ve smyslu těchto článků 24 a 32 (rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 39).

41      Okolnost, že v projednávané věci zaměstnanci správce nedopatřením předali neoprávněné třetí straně dokument obsahující osobní údaje, by mohla naznačovat, že technická a organizační opatření zavedená dotyčným správcem nebyla „vhodná“ ve smyslu uvedených článků 24 a 32. Taková okolnost může vyplývat především z nedbalosti nebo organizačních nedostatků správce, který nezohledňuje rizika spojená se zpracováním předmětných údajů konkrétně.

42      V tomto ohledu je třeba zdůraznit, že ze znění článků 5, 24 a 32 GDPR ve spojení s bodem 74 odůvodnění tohoto nařízení vyplývá, že v rámci žaloby na náhradu újmy na základě článku 82 tohoto nařízení nese důkazní břemeno ohledně toho, že osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení ve smyslu čl. 5 odst. 1 písm. f) a článku 32 uvedeného nařízení, příslušný správce. Takové rozložení důkazního břemene může nejen motivovat správce těchto údajů k přijetí bezpečnostních opatření požadovaných GDPR, ale rovněž zajistit užitečný účinek práva na náhradu újmy stanoveného v článku 82 tohoto nařízení a dostát záměrům unijního normotvůrce uvedeným v bodě 11 odůvodnění tohoto nařízení (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 49 až 56).

43      Soudní dvůr tedy vyložil zásadu odpovědnosti správce, která je uvedena v čl. 5 odst. 2 GDPR a konkretizována v článku 24, v tom smyslu, že v rámci žaloby na náhradu újmy na základě článku 82 tohoto nařízení nese dotčený správce důkazní břemeno ohledně vhodnosti bezpečnostních opatření, která provedl podle článku 32 uvedeného nařízení (rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 57).

44      Soud, k němuž byla podána taková žaloba na náhradu újmy na základě článku 82 GDPR, nemůže tedy za účelem určení, zda došlo k porušení povinnosti stanovené tímto nařízením, zohlednit pouze okolnost, že zaměstnanci správce omylem předali neoprávněné třetí straně dokument obsahující osobní údaje. Tento soud musí totiž zohlednit i veškeré důkazy, které správce předložil, aby prokázal vhodnost technických a organizačních opatření, která přijal za účelem splnění povinností podle článků 24 a 32 uvedeného nařízení.

45      S ohledem na výše uvedené důvody je třeba na třetí a čtvrtou otázku odpovědět tak, že články 5, 24, 32 a 82 GDPR ve vzájemném spojení musí být vykládány v tom smyslu, že v rámci žaloby na náhradu újmy na základě tohoto článku 82 nepostačuje okolnost, že zaměstnanci správce předali omylem neoprávněné třetí straně dokument obsahující osobní údaje, sama o sobě k závěru, že technická a organizační opatření zavedená dotyčným správcem nebyla „vhodná“ ve smyslu těchto článků 24 a 32.

 K sedmé otázce

46      Podstatou sedmé otázky předkládajícího soudu je, zda článek 82 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní, zejména v případě nehmotné újmy, sankční funkci.

47      V této souvislosti Soudní dvůr rozhodl, že článek 82 GDPR nemá sankční, ale kompenzační funkci, na rozdíl od jiných ustanovení tohoto nařízení, která jsou rovněž obsažena v kapitole VIII tohoto nařízení, a sice jeho článků 83 a 84, které mají v zásadě sankční účel, neboť umožňují uložit správní pokuty, jakož i jiné sankce. Vztah mezi pravidly stanovenými v uvedeném článku 82 a pravidly stanovenými v uvedených článcích 83 a 84 ukazuje, že mezi těmito dvěma kategoriemi ustanovení existuje rozdíl, ale také komplementarita, pokud jde o motivaci k dodržování GDPR, přičemž je třeba poznamenat, že právo každého požadovat náhradu újmy posiluje vymahatelnost pravidel ochrany stanovených tímto nařízením a může odrazovat od opakování protiprávního jednání [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 38 a 40, jakož i ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 85].

48      Soudní dvůr upřesnil, že vzhledem k tomu, že právo na náhradu újmy stanovené v čl. 82 odst. 1 GDPR neplní odrazující, či dokonce sankční funkci, nýbrž funkci kompenzační, závažnost porušení tohoto nařízení, které způsobilo dotyčnou újmu, nemůže mít vliv na výši náhrady újmy přiznané na základě tohoto ustanovení, a to ani v případě, že se nejedná o hmotnou, ale nehmotnou újmu, takže tato částka nemůže být stanovena na úrovni překračující plnou kompenzaci této újmy (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 86 až 87).

49      Z výše uvedeného vyplývá, že není nutné se vyslovit ke spojitosti, o které uvažoval předkládající soud, mezi účelem sledovaným právem na náhradu újmy, které je zakotveno v tomto čl. 82 odst. 1, a sankční funkcí smluvní pokuty.

50      Na sedmou otázku je tedy třeba odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní, zejména v případě nehmotné újmy, kompenzační funkci v tom smyslu, že peněžitá náhrada na základě uvedeného ustanovení musí umožnit plnou náhradu újmy, která konkrétně vznikla v důsledku porušení tohoto nařízení, a nikoli sankční funkci.

 K šesté otázce

51      Podstatou šesté otázky předkládajícího soudu je, zda musí být článek 82 GDPR vykládán v tom smyslu, že vyžaduje, aby byl pro účely náhrady újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení tohoto nařízení správcem.

52      V tomto ohledu z článku 82 GDPR vyplývá, že vznik odpovědnosti správce je podmíněn zejména existencí jeho zavinění, které se předpokládá, pokud tento správce neprokáže, že skutečnost, která způsobila újmu, mu není nijak přičitatelná, a že tento článek 82 nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě tohoto ustanovení zohledněn stupeň závažnosti tohoto zavinění (rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 103).

53      Pokud jde o posouzení případné náhrady újmy, která má být přiznána na základě článku 82 GDPR, musí vnitrostátní soudy, vzhledem k tomu, že GDPR neobsahuje ustanovení, které by tuto otázku upravovalo, za účelem tohoto posouzení uplatnit vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 83 a 101, jakož i citovaná judikatura).

54      Soudní dvůr kromě toho upřesnil, že s ohledem na kompenzační funkci práva na náhradu újmy stanoveného v článku 82 GDPR toto ustanovení nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě uvedeného ustanovení zohledněn stupeň závažnosti porušení tohoto nařízení, kterého se správce údajně dopustil, ale vyžaduje, aby tato částka byla stanovena tak, aby v plném rozsahu nahradila újmu, která konkrétně vznikla v důsledku porušení uvedeného nařízení (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, body 84 až 87 a 102, jakož i citovaná judikatura).

55      S ohledem na výše uvedené důvody je třeba na šestou otázku odpovědět tak, že článek 82 GDPR musí být vykládán v tom smyslu, že nevyžaduje, aby byl pro účely náhrady újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení správcem.

 K druhé otázce

56      Podstatou druhé otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že osoba, která se domáhá náhrady újmy podle tohoto ustanovení, je povinna prokázat nejen porušení ustanovení tohoto nařízení, ale rovněž to, že jí toto porušení způsobilo hmotnou či nehmotnou újmu.

57      Je třeba připomenout, že čl. 82 odst. 1 GDPR stanoví, že „[k]dokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy“.

58      Ze znění tohoto ustanovení vyplývá, že pouhé porušení GDPR nestačí k přiznání práva na náhradu újmy. Existence „utrpěné“ „újmy“ je totiž jednou z podmínek práva na náhradu újmy stanoveného v tomto čl. 82 odst. 1, stejně jako existence porušení tohoto nařízení a příčinné souvislosti mezi touto újmou a tímto porušením, přičemž tyto tři podmínky jsou kumulativní [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 32 a 42; ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 77; ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 14, jakož i ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 82].

59      Pokud jde konkrétně o nehmotnou újmu, Soudní dvůr rozhodl, že čl. 82 odst. 1 GDPR brání vnitrostátnímu pravidlu nebo praxi, které náhradu nehmotné újmy ve smyslu tohoto ustanovení podmiňují tím, že taková újma, kterou utrpěl subjektu údajů, který je definován v článku 4 bodu 1 tohoto nařízení, dosáhla určité míry závažnosti [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, bod 51; ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 78; jakož i ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 16].

60      Soudní dvůr upřesnil, že subjekt dotčený porušením GDPR, které pro něj mělo negativní důsledky, je nicméně povinen prokázat, že tyto důsledky představují nehmotnou újmu ve smyslu článku 82 tohoto nařízení, neboť pouhé porušení ustanovení tohoto nařízení nepostačuje k přiznání práva na náhradu újmy [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 42 a 50; ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 84; jakož i ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, body 21 a 23].

61      S ohledem na výše uvedené důvody je třeba na druhou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že osoba, která se domáhá náhrady podle tohoto ustanovení, je povinna prokázat nejen porušení ustanovení tohoto nařízení, ale rovněž to, že jí toto porušení způsobilo hmotnou či nehmotnou újmu.

 K páté otázce

62      Podstatou páté otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že v případě, že byl dokument obsahující osobní údaje předán neoprávněné třetí straně, která se s těmito údaji prokazatelně neseznámila, může „nehmotnou újmu“ ve smyslu tohoto ustanovení představovat pouhá skutečnost, že se subjekt údajů obává, že v důsledku tohoto předání, které před vrácením uvedeného dokumentu umožnilo pořídit si jeho kopii, mohou být jeho údaje v budoucnu šířeny, nebo dokonce zneužity.

63      Je nutné upřesnit, že předkládající soud uvádí, že v projednávané věci byl dokument, v němž byly uvedeny předmětné údaje, vrácen žalobci v původním řízení do půl hodiny po předání neoprávněné třetí straně a že se tato osoba s těmito údaji před vrácením dokumentu neseznámila, avšak uvedený žalobce tvrdí, že toto předání poskytlo této třetí straně možnost pořídit si před vrácením dokumentu jeho kopie, což u něj vyvolalo obavu z rizika možného budoucího zneužití uvedených údajů.

64      Pojem „nehmotná újma“ ve smyslu čl. 82 odst. 1 GDPR musí být vzhledem k neexistenci jakéhokoli odkazu na vnitrostátní právo členských států v uvedeném ustanovení definován autonomně a jednotně v unijním právu [v tomto smyslu viz rozsudky ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 30 a 44, jakož i ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, bod 15].

65      Soudní dvůr rozhodl, že nejen ze znění čl. 82 odst. 1 GDPR ve spojení s body 85 a 146 odůvodnění tohoto nařízení, které vybízejí k širokému pojetí pojmu „nehmotná újma“ ve smyslu prvně uvedeného ustanovení, ale rovněž z cíle, jenž spočívá v zajištění vysoké úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů a sleduje uvedené nařízení, vyplývá, že obava z možného zneužití osobních údajů třetími stranami, kterou pociťuje subjekt údajů v důsledku porušení tohoto nařízení, může sama o sobě představovat „nehmotnou újmu“ ve smyslu tohoto čl. 82 odst. 1 (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, body 79 až 86).

66      Kromě toho měl Soudní dvůr rovněž na základě jazykových, systematických a teleologických úvah za to, že krátkodobá ztráta kontroly nad osobními údaji může způsobit subjektu údajů „nehmotnou újmu“ ve smyslu čl. 82 odst. 1 GDPR, která zakládá nárok na náhradu újmy, za podmínky, že uvedený subjekt prokáže, že takovou újmu, byť jen minimální, skutečně utrpěl, přičemž pouhé porušení ustanovení tohoto nařízení nepostačuje k přiznání práva na náhradu újmy na tomto základě (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, body 18 až 23).

67      Stejně tak je třeba v projednávané věci uvést, že je v souladu jak se zněním čl. 82 odst. 1 GDPR, tak s cílem ochrany sledovaným tímto nařízením, že pojem „nehmotná újma“ zahrnuje situaci, ve které má subjekt údajů důvodnou obavu, což přísluší ověřit vnitrostátnímu soudu, u něhož byla podána žaloba, že některé z jeho osobních údajů budou v budoucnu šířeny nebo zneužity třetími stranami, a to z důvodu, že dokument obsahující tyto údaje byl předán neoprávněné třetí straně, která měla možnost pořídit si před vrácením dokumentu jeho kopie.

68      To však nemění nic na tom, že osoba, která podala žalobu na náhradu újmy na základě článku 82 GDPR, musí existenci takové újmy prokázat. K náhradě újmy nemůže konkrétně vést čistě hypotetické riziko zneužití neoprávněnou třetí stranou. Tak je tomu v případě, kdy se žádná třetí strana s dotyčnými osobními údaji neseznámila.

69      Na pátou otázku je tedy třeba odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že v případě, že byl dokument obsahující osobní údaje předán neoprávněné třetí straně, která se s těmito údaji prokazatelně neseznámila, nepředstavuje „nehmotnou újmu“ ve smyslu tohoto ustanovení pouhá skutečnost, že se subjekt údajů obává, že v důsledku tohoto předání, které před vrácením uvedeného dokumentu umožnilo pořídit si jeho kopii, mohou být jeho údaje v budoucnu šířeny, nebo dokonce zneužity.

 K nákladům řízení

70      Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto:

1)      Články 5, 24, 32 a 82 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),

musí být ve vzájemném spojení vykládány v tom smyslu, že

v rámci žaloby na náhradu újmy na základě tohoto článku 82 nepostačuje okolnost, že zaměstnanci správce předali omylem neoprávněné třetí straně dokument obsahující osobní údaje, sama o sobě k závěru, že technická a organizační opatření zavedená dotyčným správcem nebyla „vhodná“ ve smyslu těchto článků 24 a 32.

2)      Článek 82 odst. 1 nařízení 2016/679

musí být vykládán v tom smyslu, že

právo na náhradu újmy stanovené v tomto ustanovení plní, zejména v případě nehmotné újmy, kompenzační funkci v tom smyslu, že peněžitá náhrada na základě uvedeného ustanovení musí umožnit plnou náhradu újmy, která konkrétně vznikla v důsledku porušení tohoto nařízení, a nikoli sankční funkci.

3)      Článek 82 nařízení 2016/679

musí být vykládán v tom smyslu, že

nevyžaduje, aby byl pro účely náhrady újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení správcem.

4)      Článek 82 odst. 1 nařízení 2016/679

musí být vykládán v tom smyslu, že

osoba, která se domáhá náhrady podle tohoto ustanovení, je povinna prokázat nejen porušení ustanovení tohoto nařízení, ale rovněž to, že jí toto porušení způsobilo hmotnou či nehmotnou újmu.

5)      Článek 82 odst. 1 nařízení 2016/679

musí být vykládán v tom smyslu, že

v případě, že byl dokument obsahující osobní údaje předán neoprávněné třetí straně, která se s těmito údaji prokazatelně neseznámila, nepředstavuje „nehmotnou újmu“ ve smyslu tohoto ustanovení pouhá skutečnost, že se subjekt údajů obává, že v důsledku tohoto předání, které před vrácením uvedeného dokumentu umožnilo pořídit si jeho kopii, mohou být jeho údaje v budoucnu šířeny, nebo dokonce zneužity.

Podpisy

*      Jednací jazyk: němčina.