Náhrada škody v prípade obavy zo straty kontroly nad svojimi osobnými údajmi
Článok 82 ods. 1 nariadenia 2016/679 sa má vykladať v tom zmysle, že obava osoby, že jej osobné údaje boli v dôsledku porušenia tohto nariadenia sprístupnené tretím stranám, bez toho, aby bolo možné preukázať, že to tak skutočne bolo, stačí na vznik práva na náhradu škody, pokiaľ je táto obava spolu s jej negatívnymi dôsledkami riadne preukázaná.
Rozsudok Súdneho dvora vo veci C‑590/22 AT, BT proti PS GbR, VG, MB, DH, WB, GS (ECLI:EU:C:2024:536) z 20. júna 2024
Súdny dvor EÚ 20. júna vyniesol dva rozsudky reagujúce na prejudiciálne otázky nemeckých súdov v otázke výkladu GDPR, ktoré sa vzájomne potvrdzujú a dopĺňajú. Primárne sa venujeme rozhodnutiu C‑590/22, ktorý doplníme o závery rozsudok v spojených veciach C‑182/22 a C‑189/22.
Skutkové okolnosti prípadu: Spoločnosť poskytujúca daňové poradenstvo (PS) vypracovala pre klientov (AT a BT) daňové priznanie. Napriek tomu, že klienti informovali spoločnosť o zmene adresy, daňové priznanie im bolo v listinnej podobe doručené na pôvodnú adresu, kde obálku otvorili noví užívatelia priestorov a otvorenú obálku následne odovzdali rodinným príslušníkom žalobcov. Po prevzatí obálky žalobcovia zistili, že v nej chýba originál daňového priznania, ktorého obsahom sú mená a dátumy narodenia daňovníkov a ich detí, daňové identifikačné čísla, bankové údaje, údaje týkajúce sa príslušnosti k náboženskej komunite, údaje o zdravotnom postihnutí, profesii, pracovisku a výdavkoch daňovníkov. Klienti podali na spoločnosť žalobu, ktorou sa domáhali náhrady nemajetkovej ujmy spôsobenej v dôsledku sprístupnenia ich osobných údajov tretím stranám v rozpore s čl. 82 ods. 1 GDPR[1]. Žalobcovia odhadli svoju nemajetkovú ujmu na 15 000 eur. V zmysle nemeckého práva však samotné porušenie právneho ustanovenia nezakladá právo na peňažnú náhradu škody.
Vnútroštátny súd sa preto obrátil prejudiciálnymi otázkami na Súdny dvor EÚ a pýtal sa, či právo na náhradu škody podľa článku 82 GDPR môže byť založené výlučne na porušení ustanovení tohto nariadenia alebo sa vyžaduje aj spôsobenie ujmy. Zároveň sa pýtal, či obava, že osobné údaje sa mohli dostať do rúk neoprávnených osôb, môže sama osebe predstavovať nemajetkovú ujmu, ktorá by mohla viesť k vzniku práva na peňažnú náhradu škody podľa článku 82 GDPR. Ďalšie otázky sa týkali stanovenia výšky náhrady škody. V prvom rade či kritériá pre výšku správnych pokút zakotvené v článku 83 GDPR sú uplatniteľné aj v oblasti peňažnej náhrady nemajetkovej ujmy utrpenej v zmysle článku 82 GDPR. Ďalej sa súd pýtal na výklad pojmu škoda a či odkaz na „účinnú“ náhradu škody znamená, že náhrada škody z titulu nemajetkovej ujmy musí byť vyčíslená tak, aby mala odstrašujúci účinok. Poslednou bola otázka, či sa na účely posúdenia náhrady škody má súbežne s porušením ustanovení GDPR zohľadniť aj porušenie vnútroštátnych ustanovení o ochrane osobných údajov (napr. povinnosť zachovávať mlčanlivosť), ktoré nie sú vykonávacími aktmi GDPR.
Podľa článku 82 ods. 1 GDPR „má každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa“. Súdny dvor pripomenul, že z tohto znenia vyplýva, že musia byť kumulatívne splnené tri podmienky: 1) porušenie GDPR, 2) spôsobenie majetkovej alebo nemajetkovej ujmy alebo škody a 3) príčinná súvislosť medzi porušením práva a spôsobenou ujmou.[2] Preto sa nemožno domnievať, že každé „porušenie“ ustanovení GDPR samo osebe zakladá uvedené právo na náhradu škody v prospech dotknutej osoby. Hoci článok 82 ods. 1 GDPR bráni vnútroštátnej norme alebo praxi, ktorá podmieňuje náhradu nemajetkovej ujmy dosiahnutím určitého stupňa závažnosti, osoba, ktorá sa domáha náhrady nemajetkovej ujmy je povinná preukázať nielen porušenie ustanovení tohto nariadenia, ale aj to, že skutočne utrpela majetkovú alebo nemajetkovú ujmu.
Pojem „nemajetková ujma“ právo EÚ vykladá extenzívne[3] s cieľom zabezpečenia vysokej úrovne ochrany osobných údajov. Preto obava z možného zneužitia osobných údajov tretími stranami, ktorú má dotknutá osoba v dôsledku porušenia GDPR, môže sama osebe predstavovať „nemajetkovú ujmu“, aj keď k samotnému zneužitiu dát nedošlo. Žalobca však musí svoju obavu spolu s jej negatívnymi dôsledkami riadne preukázať, keďže samotné porušenie ustanovení GDPR pre náhradu škody nestačí.
Súdny dvor ďalej skúmal, či sa pre určenie výšky náhrady škody majú uplatniť kritériá na stanovenie výšky správnych pokút a či má právo na náhradu škody mať odstrašujúci účinok. Podľa Súdneho dvora články 82 a 83 sledujú rozličné ciele, a preto kritériá aplikovateľné na správne pokuty nemožno použiť na určenie výšky náhrady škody. GDPR kritériá pre určenie rozsahu náhrady škody neobsahuje. V prípade neexistencie pravidiel práva EÚ v danej oblasti tak prináleží právnemu poriadku členského štátu, aby stanovil kritériá, a to pod podmienkou dodržania zásad ekvivalencie a efektivity. Náhrada škody má kompenzačnú funkciu a musí sa považovať za „úplnú a účinnú“, ak umožňuje v celom rozsahu kompenzovať škodu, ktorá bola v konkrétnom prípade utrpená porušením tohto nariadenia. Právo na náhradu škody nemá ani odstrašujúcu ani sankčnú funkciu. Z toho vyplýva, že závažnosť porušenia GDPR, ktoré spôsobilo údajnú majetkovú alebo nemajetkovú ujmu, nemôže mať vplyv na výšku náhrady škody.
Žalobcovia sa domnievali, že súbežné porušenie ustanovení vyplývajúcich z GDPR a nemeckej právnej úpravy, ktorá je uplatniteľná na daňových poradcov a bola prijatá pred nadobudnutím účinnosti GDPR, by malo mať za následok zvýšenie náhrady škody, ktorej sa domáhali. Z odôvodnenia 146 piatej vety GDPR vyplýva, že pod spracúvanie osobných údajov, ktoré je v rozpore s týmto nariadením, možno subsumovať aj spracúvanie osobných údajov, „ktoré je v rozpore s delegovanými a vykonávacími aktmi prijatými v súlade s týmto nariadením a právom členského štátu, ktorým sa podrobnejšie upravujú pravidlá z tohto nariadenia“. Porušenie ustanovení vnútroštátneho práva týkajúcich sa ochrany osobných údajov, ktorých cieľom nie je spresniť pravidlá GDPR, však nepredstavuje relevantný faktor na účely posúdenia náhrady škody priznanej na základe článku 82 ods. 1 GDPR. Ak to vnútroštátne právo vnútroštátnemu súdu umožňuje, môže tento súd priznať dotknutej osobe vyššiu náhradu škody, pokiaľ by sa náhrada škody prislúchajúca z titulu porušenia GDPR nepovažovala za dostatočnú alebo primeranú. Pre samotné posúdenie porušenia článku 82 ods. 1 GDPR sa však nevyžaduje zohľadnenie súbežného porušenia vnútroštátnych ustanovení.
Súdny dvor v rovnaký deň vyniesol aj rozsudok v spojených veciach C‑182/22 a C‑189/22, v ktorom sa takisto venoval prejudiciálnym otázkam nemeckých súdov ohľadom náhrady škody v prípade straty kontroly nad osobnými údajmi.
Súdny dvor potvrdil, že článok 82 GDPR nemá sankčnú, ale iba kompenzačnú funkciu. Na druhej strane články 83 a 84 GDPR majú sankčný účel, pretože umožňujú ukladať správne pokuty a aj iné sankcie. Vzťah medzi pravidlami stanovenými v článku 82 a pravidlami stanovenými v článkoch 83 a 84 preukazuje, že medzi týmito dvoma kategóriami ustanovení existuje rozdiel, ale aj sa vzájomne dopĺňajú, pokiaľ ide o motiváciu dodržiavať GDPR.
Rovnako sa SD EÚ venoval relevancii závažnosti konania na účely náhrady škody z hľadiska prípadnej úmyselnej povahy porušenia nariadenia. Dospel k záveru, že výlučne kompenzačná funkcia práva na náhradu škody vylučuje zohľadnenie úmyselnej povahy porušenia GDPR pri stanovení výšky náhrady škody priznanej ako náhrada nemajetkovej ujmy. Táto suma však musí byť určená tak, aby bola v celom rozsahu nahradená ujma, ktorá bola konkrétne spôsobená porušením nariadenia.
Aj otázka kritéria pre určenie výšky náhrady škody bola obsahom rozhodnutia, pričom Súdny dvor odpovedal, že nemajetková ujma spôsobená porušením ochrany osobných údajov nie je svojou povahou menej významná ako ujma na zdraví a teda automaticky neodôvodňuje nižšiu výšku náhrady škody. V opačnom prípade by hrozilo, že dôjde k spochybneniu zásady úplnej a účinnej náhrady utrpenej škody.
Rozhodnutie spracovala:
Mgr. Michaela Chládeková, PhD.
Odbor medzinárodných vzťahov SAK
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[2] Porovnaj rozsudok zo 4. mája 2023, Österreichische Post, C‑300/21, a rozsudok z 11. apríla 2024, juris, C‑741/21
[3] Porovnaj rozsudok zo 14. decembra 2023, Nacionalna agencija za prichodite, C‑340/21, a rozsudok z 25. januára 2024, MediaMarktSaturn, C‑687/21.