Podľa článku 82 Všeobecného nariadenia o ochrane údajov (GDPR) má každá osoba, ktorá v súvislosti s porušením povinností podľa GDPR utrpela majetkovú alebo nemajetkovú ujmu, právo na náhradu škody. Zodpovedný je primárne prevádzkovateľ, ktorý sa na spracúvaní údajov podieľal, ale v určitých špecifických prípadoch aj sprostredkovateľ (napríklad ak prekročil rozsah pokynov od prevádzkovateľa).
Prirodzene tak vznikla otázka, či nárok na náhradu škody vzniká dotknutej osobe automaticky, teda pri každom porušení GDPR prevádzkovateľom, alebo je tento nárok podmienený ďalšími skutočnosťami, napríklad stupňom závažnosti vzniknutej ujmy.
Odpoveď na položené otázky priniesol Súdny dvor EÚ (ďalej ako „Súdny dvor“) v rozsudku vo veci C-300/21, zo dňa 4. mája 2023.
Súd posudzoval situáciu, kedy spoločnosť Österreichische Post – akciová spoločnosť poskytujúca poštové služby, spadajúca pod rakúsku jurisdikciu, zhromažďovala informácie o politických preferenciách rakúskeho obyvateľstva, resp. tieto skutočnosti odvodzovala pomocou algoritmu od rôznych sociálnych a demografických kritérií. Následne vytipované adresy cieľových skupín predávala rôznym inštitúciám, ktorým tieto zasielali cielenú reklamu.
Žalobca sa tak bez svojho súhlasu dostal na zoznam osôb, ktoré mali podporovať určitú politickú stranu, čo sa ho dotklo. Inými slovami, konanie žalovaného mu nespôsobilo žiadnu majetkovú ujmu, ale cítil sa byť urazený tým, že mu boli pripísané sympatie k určitej politickej strane.
Skutočnosť, že Österreichische Post uchovávala údaje o údajných politických názoroch žalobcu, u neho vyvolala závažnú nespokojnosť, stratu dôvery, ako aj pocit poníženia. Z návrhu na začatie prejudiciálneho konania vyplýva, že okrem tejto ujmy dočasnej a emocionálnej povahy nebola spôsobená žiadna ďalšia ujma.
Žalobca sa tak na súde domáhal uloženia povinnosti žalovanému ukončiť spracúvanie osobných údajov o jeho osobe a zároveň vyplatenia sumy 1000,- Eur ako náhrady nemajetkovej ujmy, ktorú údajne utrpel. Kým vnútroštátne súdy prvej požiadavke vyhoveli, nárok na peňažnú náhradu videli ako otázny.
Ako prvú tak Súdny dvor posudzoval otázku, či sa má článok 82 ods. 1 GDPR vykladať tak, že už samotné porušenie ustanovení GDPR stačí na priznanie práva na náhradu škody.
Súdny dvor k nej zaujal jednoznačné stanovisko. Existencia ujmy alebo spôsobenej škody je len jednou z podmienok vzniku nároku na náhradu škody. Ďalšími podmienkami sú (ii) porušenie povinností vyplývajúcich z GDPR a (iii) príčinná súvislosť medzi porušením a ujmou. Všetky tri podmienky musia byť splnené kumulatívne.
Podľa Súdneho dvora pre zodpovedanie tejto otázky nemožno na článok 82 GDPR nazerať izolovanie, ale je potrebné ho vnímať v kontexte článkov 83 a 84. Práve tieto články totiž vyjadrujú trestný účel bez potreby existencie individuálnej ujmy a teda na rozdiel od článku 82 sa aplikujú v tých prípadoch, keď porušenie pravidiel spracúvania osobných údajov nespôsobí dotknutej osobe ujmu, avšak bola ním porušená povinnosť vyplývajúca zo Všeobecného nariadenia o ochrane údajov. „Pritom vzťah medzi pravidlami stanovenými v článku 82 a pravidlami stanovenými v článkoch 83 a 84 preukazuje, že medzi týmito dvoma kategóriami ustanovení existuje rozdiel, ale aj sa vzájomne dopĺňajú, pokiaľ ide o motiváciu dodržiavať GDPR, pričom treba poznamenať, že právo každej osoby domáhať sa náhrady škody posilňuje vykonateľný charakter pravidiel ochrany stanovených týmto nariadením a môže odradiť od opakovaného protiprávneho konania.“
Podľa Súdneho dvora tak len samotné porušenie ustanovení GDPR nestačí na priznanie práva na náhradu škody.
Ako ďalšou sa Súdny dvor zaoberal otázkou, či pri posudzovaní nároku na náhradu nemajetkovej ujmy môžu národné súdy vychádzať z praxe, že ujma spôsobená dotknutej osobe musí dosahovať určitý stupeň závažnosti. V tejto otázke súd zaujal stanovisko, že vyžadovanie určitej intenzity ujmy ako podmienky na priznanie náhrady by bolo v rozpore s právom únie. Pretože:
- Pojem ujma alebo nemajetková ujma musí mať vzhľadom na absenciu akéhokoľvek odkazu na vnútroštátne právo členských štátov v GDPR jednotnú definíciu podľa práva Únie. Ak by sa vnútroštátnym orgánom priznala právomoc posudzovať stupeň jej intenzity, potom by bol narušený jednotný režim zavedený GDPR, pretože priznanie náhrady by sa rôznilo v závislosti od posúdenia vnútroštátnymi súdmi.
- V zmysle recitálu 146 GDPR by sa „podľa judikatúry Súdneho dvora mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia, pričom takto širokému chápaniu pojmu „ujma“ alebo „škoda“, ktoré uprednostňuje normotvorca Únie, by odporovalo, ak by bol uvedený pojem obmedzený len na škodu alebo ujmu určitej závažnosti“.
Súdny dvor sa tiež vyjadril k podmienkam určovania konkrétnej výšky náhrady škody v tom-ktorom prípade. Uviedol, že GDPR neobsahuje žiadne ustanovenie, ktoré by upravovalo pravidlá určovania výšky náhrady škody. Z dôvodu absencie tejto úpravy priamo v GDPR prináleží každého členského štátu stanoviť vo svojom právnom poriadku podmienky týkajúce sa žalôb určených na zaručenie ochrany práv, ktoré jednotlivcom vyplývajú z GDPR. Vnútroštátny právny poriadok tak môže definovať kritériá, podľa ktorých sa má určiť rozsah náhrady škody, a to v súlade so zásadou ekvivalencie a efektivity.
NÁVRHY GENERÁLNEHO ADVOKÁTA VO VECI C-340/21
V kontexte vyššie uvedeného rozsudku Súdneho dvora dávame tiež do pozornosti Návrhy generálneho advokáta Giovanniho Pitruzzella vo veci C-340/21. Ten vyslovil niekoľko zaujímavých právnych záverov, my na tomto mieste poukazujeme na dva z nich.
V prvom rade sa generálny advokát vyjadril k možnej ujme dotknutých osôb, ktorá vznikla únikom osobných údajov na internet, pričom boli zverejnené údaje o ekonomickej a sociálnej identite osôb – osobné údaje z oblasti sociálneho zabezpečenia a daní. Údaje unikli z Národnej agentúry pre verejné príjmy v Bulharsku v dôsledku hackerského útoku.
Generálny advokát sa vyjadril, že aj ujma spočívajúca v obave z možného zneužitia osobných údajov v budúcnosti, môže predstavovať nemajetkovú ujmu zakladajúcu právo na náhradu. Platí však podmienka, že musí ísť o skutočnú a určitú emocionálnu ujmu, a nie iba o samotné nepohodlie či obmedzenie.
V prípade, že stanovisko generálneho advokáta bude potvrdené aj rozhodnutím Súdneho dvora, pre aplikačnú prax bude mať nesmierny význam predovšetkým v tej časti, v ktorej konštatuje, že samotná skutočnosť, že došlo k porušeniu ochrany osobných údajov (napríklad hackerským útokom) ešte sama o sebe neznamená, že prevádzkovateľ neprijal primerané technické a bezpečnostné opatrenia na ich zabezpečenie. Prevádzkovateľ však musí preukázať, že pri výbere bezpečnostných opatrení zohľadnil „najnovšie poznatky“ a že technologické riešenia, ktoré prijal, im v čase prijatia zodpovedali (aj po zohľadnení nákladov).
Voľba konkrétnych opatrení podlieha prípadnému súdnemu prieskumu. Posúdenie ich primeranosti sa má zakladať na rovnováhe medzi záujmami dotknutej osoby a ekonomickými záujmami či technologickou možnosťami prevádzkovateľa za súčasného dodržania zásady proporcionality.