Právní analýza: Žádná nemajetková újma za porušení GDPR?

Právní analýza: Žádná nemajetková újma za porušení GDPR (C-300/21)?

Max Schrems | Stáhněte si PDF verzi této právní analýzy

Dne 6. října 2022 vydal generální advokát (AG) Sánchez-Bordona své stanovisko ve věci C-300/21 (UI v. Österreichische Post AG), první z několika žádostí o rozhodnutí o předběžné otázce na téma náhrady škody za porušení GDPR, které jsou předmětem řízení před Soudním dvorem EU.

Relevantní materiál: "Zprávy z jednání s Evropským soudem pro lidská práva (ESLP) v roce 2017, které se týkají ochrany osobních údajů a jejich ochrany před protiprávním jednáním, byly zveřejněny v Úředním věstníku Evropské unie:

• Odkaz rakouského Nejvyššího soudu (v němčině)
• Konečný rozsudek rakouského Nejvyššího soudu ve věci dalších žalob (v němčině)
• Submissižalobce k SDEU (v němčině)*
• Stanovisko AG ve věci C-300/21

Podkladové materiály:

• noyb Update "Znepokojující: Soudní dvůr může výrazně omezit vymáhání práva Evropanů na soukromí"
• podcast "Grump GDPR" s Maxem Schremsem k tomuto stanovisku (na transistor.fm)

(A) Fakta: Žalobce byl nezákonně označen za pravděpodobného pravicového populistu příznivce

Rakouská pošta (Österreichische Post AG) měla col shromáždila osobní údaje milionů Rakušanů (jméno, adresa a datum narození) a pomocí algoritmu vypočítala (na základě statistických údajů) afinitu k různým politickým stranám, aby tento výsledek prodala pro volební reklamu.

Žalobce (rakouský advokát) se prostřednictvím žádosti o přístup dozvědělže má údajně vysokou afinitu k pravicové Svobodné straně Rakouska (FPÖ). Vzhledem k tomu, že žalobce had zadal své údaje do a na černou listinu ("Robinsonliste"), pošta prohlásila, že žalobceosobní údaje nebyly nikomu prodány.

Žalobce nebyl jediný, komu tento druh politického přípisu připadal pobuřující. V řadě podobných případů trakouský úřad pro ochranu osobních údajůrity a Nejvyšší soud shledaly zpracování politické příslušnosti za vyžaduje právní základ podle Článku 9 GDPR. Vzhledem k tomu, že Pošta trvala na tom, že jí bylo povoleno zpracovávat údaje na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f), musel úřad a soudy a udělily soudní příkazs. V případě stěžovatele se t akérakouský Nejvyšší soud (OGH) potvrdil vydání soudního příkazu. Nicméně žalobce, který nikdy nedal souhlas se zpracováním údajů, požadoval od pošty také náhradu škody: Tvrdil, že byl rozrušen, rozzloben a uražen tímto protiprávním jednáním politické a uvedl, že je to urážlivé a ostudné a že to velmi poškodilo jeho pověst, a požadoval náhradu nemajetkové újmy ve výši 1 000 EUR.

Prvoinstanční a prvoinstanční soudsoud prvního stupně zamítl žalobu na náhradu škody s odůvodněním, že žalobceže nepohodlí a nepříjemné pocity nedosahovaly určité hranice, která je nutná k tomu, aby mu vznikl nárok na odškodnění. Rakouský Nejvyšší soud (OGH) postoupil věc Soudnímu dvoru EU, přičemž ve všech ostatních nárocích dal žalobci za pravdu.

(B) Předložené otázky: potřeba škody, účinnost a přiměřenost a další prahová hodnota

Rakouský OGH předložil SDEU tři otázky:

1. Zda přiznání náhrady škody podle článku 82 GDPR vyžaduje kromě porušení ustanovení GDPR také to, aby žalobci vznikla škoda, nebo je pro přiznání náhrady škody dostačující samotné porušení ustanovení GDPR?
2. Závisí posouzení náhrady škody kromě zásad efektivity a rovnocennosti i na dalších požadavcích práva EU?
3. Je v souladu s právem EU názor, že přiznání náhrady nemajetkové újmy předpokládá existenci následku porušení alespoň určité váhy, který přesahuje rozrušení způsobené tímto porušením?

(C) Stanovisko generálního advokáta

1. Právo EU nebo vnitrostátní právo?

Před analýzou článku 82 GDPR se zdá být nezbytné nejprve zjistit, zda toto ustanovení harmonizuje otázku náhrady škody, nebo zda tuto otázku, resp. podrobnosti o ní, ponechává na právu členského státu.

1.1 Odškodnění podle článku 79 GDPR

Ačkoli stanovisko AG správně poukazuje na to, že článek 79 GDPR může alní pro jiné formy úlev (jako je deklaratorní úleva, nominální náhradu škody nebo nároky z titulu nezákonného zisku) podle platného vnitrostátního práva (okrajově č. 92), tyto nároky jsou strukturálně odděleny od náhrady škody a článek 82 GDPR je zjevně neupravuje.

Nevert nicméně stanovisko AG opakovaně poukazuje na jakoukoli jinou možnost vymáhání, než na kterou byl SDEU dotázán - na článek 82 GDPR. Zejména jako čtenáři ze země se zákonným právem, která s mnoha z těchto přístupů nepočítá, se myšlenky ve stanovisku AG z velké části poukazují na neexistující nebo nemožné alternativy. Například nominální náhradu škody v Rakousku neznají a možnosti získání deklaratorního odškodnění jsou obvykle procesně omezeny, aby se zajistilo, že soudy nebudou obtěžovány spory, které nemají žádný věcný smysl.

Takže místo poukazování na hypotetické možnosti, zůstaňme u toho, čím se předkládající soud zabýval a čeho se žalobce v našem případě domáhal: nemajetkové újmy podle článku 82 GDPR.

1.2 Je článek 82 GDPR (plně) harmonizující právo, nebo ne?

Podle mého názoru je jednou ze základních otázek v tomto referenčním řízení je otázka harmonizace. Je článek 82 GDPR otevírací doložkou, která pouze předpokládá minimální požadavky na vnitrostátní právo v oblasti náhrady škody, ale podrobnosti ponechává na vnitrostátním zákonodárci, nebo plně harmonizoval právo na úrovni EU?

Zdá se, že stanovisko AG zaujímá k této zásadní otázce otevřeně protichůdné postoje.

Při rozporuo účinnosti a přiměřenosti (viz níže), se ve stanovisku uvádí, že AG Stanovisko odmítá narativnost této otázky a zdůrazňuje, že článek 82 GDPR by věc harmonizoval, takže otázka účinnosti a přiměřenosti vnitrostátního práva by nevznikla (body 84 a 85).

Současně se v něm uvádí, že (okrajově č.111 nebo 116 jasně říkají, že členské státy by mohly mít stanovenou minimální hranici pro nároky, což znamená, že existuje prostor pro vnitrostátní omezení.

Ať už je správný názor jakýkoli, zdá se, že stanovisko AG mezi těmito dvěma možnostmi přepíná - někdy dokonce odstavec po odstavci. Celkově se zdá, že stanovisko AG spíše se řídí koncepcí minimální harmonizace.

Ačkoli se zdá být jasné, že některé záležitosti (jako jsou procesní prvky nebo vnitrostátní promlčecí lhůty) upravuje členský stát, zdá se, že v článku 82 obecného nařízení o ochraně osobních údajů není žádný náznak toho, že by se ani žádné úvodní ustanovení v GDPR, které by naznačovalo možnosti vnitrostátní divergence. Ve skutečnosti čl. 82 odst. 2 až 6 GDPR rovněž stanoví poměrně podrobný systém deliktního práva, včetně pravidel, která byla kritizována, že jsou dokonce v rozporu se stávajícím vnitrostátním deliktním právem.

Kromě poměrně podrobného znění se odlišují kritéria pro přiznání náhrady škodyza porušení GDPR v různých členských státech by narušila záměry GDPR jako nařízení a vytvořila by půdu pro forum shopping (jelikož článek 79 GDPR a nařízení Brusel II umožňují množství možných civilních soudů s příslušností).

Zatímco SDEU bude mít s konečnou platností rozhodnout o úrovni harmonizace, pro účely tohoto článku bych předpokládal, že článek 82 GDPR plně harmonizuje pravidla o náhradě škody a že členským státům jsou ponechány pouze okrajové otázky (např. promlčení).

1.3 Zásada rovnocennosti a účinnosti, pokud článek 82 GDPR není plně harmonizován (otázka č. 2)

Pokud však zastáváte názor, že článek 82 GDPR je ve skutečnosti není plně harmonizuje náhradu škody, pak se nelze vyhnout řešení zásad rovnocennosti a účinnosti práva EU. To platí zejména v případě, že SDEU neposkytuje žádné podrobné pokyny k posuzování nemateriální škody (jak naznačuje stanovisko AG na okrajal no. 116 tím, že uvádí, že tato "tento obtížný úkol přísluší soudům členských států").

Pokud členské státy umožňují relativně snadné vymáhání jednoho druhu nemajetkové újmy (na základě vnitrostátního práva), ale prakticky nemožné vymáhání jiného druhu (na základě práva EU), porušují tím zásady rovnocennosti a účinnosti.

Například v Rakousku wkde je tento odkaz pochází) by rychle vyvstaly následující problémy týkající se rovnocennosti a účinnosti izda rakouský OGH může zavést prahové hodnoty pro nemajetkovou újmu:

• Jiné nemajetkové újmy (například zlomeniny kostí nebo facka) nevyžadují, aby žalobce plakal ve svědecké lavici, ale soudy vypracovaly tabulky, které vycházejí z utrpení průměrného člověka ("objektive Maßfigur"). Kromě toho, že se soudní řízení zjednodušilo a předvídatelnější, zajišťuje to, že obzvláště dramatický žalobce dostane stejné odškodnění jako těžká oběť. Podobné přístupy byly hlášeny i z jiných členských států. Nesledování takového objektivního přístupu (jak navrhuje stanovisko AG) by snížilo právní jistotu a ztížilo by vymáhání nároků podle GDPR, než je tomu v případě nároků podle vnitrostátního práva, a tudíž by mohlo porušit zásadu rovnocennosti.
• Současně se § 1328a ABGB (rakouský občanský zákoník) vyžaduje pro získání nemajetkové újmy hranici "značného" porušení práva na soukromí. Tato prahová hodnota je známa pouze u porušení práva na soukromí. Pokud by se tato prahová hodnota uplatnila na nároky podle GDPR, učinila by je méně účinnými než jiné nároky na náhradu nemajetkové újmy.

Ačkoli se jedná pouze o dva drobné příklady pro jeden členský stát, pokud bude všech 30 členských států EU/EHP ponecháno na určení prahových hodnot a podrobností, jak se mají posoudit nárok na odškodnění a jak jak vypočítat náhradu škody podle článku 82 GDPR, zdá se, že tradiční zásady práva EU, jako je např rovnocennost a účinnost by hrály důležitou roli, aby byla judikatura do jisté míry konzistentní. V opačném případě by vnitrostátní zákonná úprava a judikatura mohly diskriminovat nároky podle GDPR např. tím, že by vyžadovaly individuální (vysoce) subjektivní svědecké výpovědi, zatímco by se používal objektivní výpočet v případě jiných nemajetkových újem.

Je proto překvapivé, že se ve stanovisku AG uvádí, že "nezdá se, že by zde zásada rovnocennosti hrála důležitou roli" (okrajově ne. 84) a ani nenavrhuje odpověď na druhou otázku rakouského OGH.

2. Náhrada škody bez škody? (otázka č. 1)

2.1 Otázka, která není položena: škoda bez škody?

I když Rakousko OGH postoupil tento případ Soudnímu dvoru EU, nebylo jasné, jak může být otázka týkající se přiznání náhrady škody bez jakéhokoli se v žádosti o rozhodnutí o předběžné otázce ocitla. Žalobce dokonce tvrdil, že tato otázka je nepřípustná, neboť jasně formuloval nemajetkovou újmu, kterou chtěl získat jako náhradu, když mu pošta neoprávněně přisoudilaed ho k pravicové FPÖ.

Zdá se, že tato otázka sama o sobě je součástí určitého "přerámování" problému ze strany rakouského OGH - indicatiže v tomto případě vlastně o žádnou škodu nejde. Tím, že předkládající soud přesouvá případ od skutečných škod (jako je hněv, stres, fyzický nátlak nebo pocit odhalení) k žádné škodě, se nároky zdají být krajně nepřiměřené.

Ve skutečnosti je první otázka nezodpovězená, neboť v daném případě je jasně definován soubor negativních důsledků, které žalobce považuje za nemajetkovou újmu.

2.2. Stanovisko stupňuje otázku směrem k "sankční náhradě škody"

Stanovisko AG posunuje otázku rakouského OGH ještě o masivní krok dále a přeformulovalo otázku směrem k nároku na "punitive damages".

Zatímco v jurisdikcích common law takové myšlenky existují, v kontinentálních jurisdikcích, jako je Rakousko, jsou považovány za nepřijatelné. V důsledku toho žalobce nikdy nepožadoval, aby mu pošta uložila zaplatit náhradu škody jako trestní opatření. Rovněž mi není známa žádná relevantní zainteresovaná strana, která by požadovala trestní náhradu škody. Žádný právní odborník nečetl článek 82 GDPR tímto způsobem vážně - natož aby existoval rozsudek, který by někdy v EU přiznal sankční náhradu škody.

To není brání stanovisku AG bojovat proti nicneříkajícímu bodu 30 až 55, ačkoli ve skutečnosti by stačily dva odstavce, které by říkaly, že v článku 82 GDPR není žádný základ pro sankční náhradu škody a že články 83 a 84 GDPR upravují výhradně sankce.

3. Předpoklad náhrady škody a "ztráta kontroly"?

V bodech 56 až 82 stanovisko AG rozvíjí argumentaci o možné domněnce náhrady škody a spojuje toto téma s pojmem "ztráta kontroly" v rámci okrajově č. 75 a 85.

Zatímco marginální č. 56 stanoviska AG zdůrazňuje, že si AG sám není jistý, zda plně porozuměl tomu, co strany tvrdily, následující část stanoviska je v rozporu se stanoviskem AG AG Stanoviska se zdá být obtížně srozumitelná a směšuje dva pojmy - důkazní břemeno a "ztrátu kontroly" - bez zjevného důvodu.

3.1 Důkazní břemeno

I když existuje živély diskuse o důkazním břemenu mezi správci a subjekty údajů, neboť například čl. 5 odst. 2 nebo čl. 82 odst. 3 GDPR stanoví určité povinnosti správce, zdá se mi, že o skutkových okolnostech v uvedeném případě není pochyb. Je zřejmé, že pošta generovala politické informace v rozporu s článkem 9 GDPR a subjekt údajů v důsledku toho utrpěl různé negativní pocity.

3.2 Nově definovaná "ztráta kontroly" ve směs?

Stanovisko AG nabývá dalšího překvapivého obratu, když okrajově č. 56 až 82 se snaží vypořádat s pojmem "ztráta kontroly" ("Kontrollverlust"), jak argumentuje ve svém podání žalobce.

Tento pojem vychází z 85. bodu odůvodnění obecného nařízení o ochraně osobních údajů, který se zabývá porušením zabezpečení údajů:

"Porušení zabezpečení osobních údajů může, pokud není řešeno v přiměřenétečně a včas, vést k fyzické, materiální nebo nemajetkovou újmu fyzickým osobám, jako je ztráta konkontroly nad jejich osobních údajůa..."

Dosud právní komunita chápala "loss of control" jako pocit, že osobní údaje jsou pryč a subjekt údajů má pocit, že údaje jsou obecně "mimo kontrolu". Může jít o situace, jako je narušení bezpečnosti údajů, kdy třetí strana neoprávněně získala přístup nebo případy, kdy správce neoprávněně použil nebo šířil osobní údaje. Jak vyplývá z 85. bodu odůvodnění obecného nařízení o ochraně osobních údajů, který se zabývá porušením zabezpečení údajů podle článků 33 a 34 obecného nařízení o ochraně osobních údajů, k takové ztrátě kontroly může dojít bez ohledu na to, který právní základ podle čl. 6 odst. 1 písm. a) až f) obecného nařízení o ochraně osobních údajů je použit. Na adrese jinými slovy: ke ztrátě údajů může dojít bez ohledu na to, zda bylo zpracování původně založeno na souhlasu, právní povinnosti nebo oprávněném zájmu. Mezi souhlasem podle čl. 6 odst. 1 písm. a) GDPR a ztrátou kontroly podle článků 33 a 34 GDPR není žádná souvislost.

Nicméně stanovisko AG spojuje tento pojem (pokud je mi známo, poprvé) s právy subjektů údajů podle GDPR ve snaze vyvrátit znění v GDPR v bodech odůvodnění. Stanovisko AG v podstatě tvrdí, že vzhledem k tomu, že a správce může zpracovávat osobní údaje bez souhlasu subjektu údajů (okrajově č. 64), nemá žalobce z definice nad svými osobními údaji žádnou kontrolu, a proto o ně nemůže přijít.

Stanovisko AG se pouští do dalšího boje se slámou, když např. zdůrazňuje v marginální č. 68, že neexistuje "automatická rovnocennost mezi zpracováním osobních údajů, k němuž nebyl získán souhlas subjektu údajů a náhradou škody". V dalších odstavcích se stejně bojuje proti údajným krajním postojům, například že subjekty údajů by měly mít "co největší kontrolu" (okrajově č. 74). Skoro to vypadá, jako by se AG domníval, že předkládající soud nebo žalobce popře skutečnost, že články 6 a 9 GDPR mají různý právní základes (marginální č. 73) a argumentoval by automatickou náhradou škody za zpracování bez souhlasu.

Po přezkoumání předkládacího spisu a podání žalobce se zdá, že pro takový argument není v podkladovém spisu ani v podáních žádný podklad. Místo toho se zdá, že AG buď podstatně nepochopila spis a podání, nebo skutečně bojuje proti (nesprávné) laické domněnce že souhlas je jediným právním základem v GDPR.

3.3 Souvislost s volným pohybem osobních údajů v Unii?

Marginální č. 78 až 82 zdůrazňují, že volný tok osobních údajů jsou dalším cílem GDPR a GDPR má podpořit hospodářský růst. Tyto připomínky jsou sice správné, ale nechápu, jak to souvisí s definicí škody v článku 82 GDPR:

Volný tok osobních údajů jednoduše znamená, že v rámci EU/EHP neexistují žádné digitální hranice, a jakákoli vnitrostátní omezení volného toku osobních údajů jsou podle nařízení o ochraně osobních údajů zakázána Čl. 1 odst. 3 GDPR. To však nijak nesouvisí s případem projednávaným před Soudním dvorem EU, kdy místní správce porušil článek 9 GDPR ve vztahu k místnímu subjektu údajů, a vyvstává otázka, jak má být vykládáno slovo "škoda" v článku 82 GDPR.

3.4 Odstavce 56 až 82: politika může pohltit právní analýzu

Celkově se zdá, že okrajové body č. 56 až 82 jsou bohužel do značné míry odtrženy od otázek, práva a skutečností. V odkazu není ani otázka důkazního břemene, neboť skutkový stav byl řádně zjištěn prvním stupněm, ani "ztráta kontroly" nemá nic společného se souhlasem jako právním základem. Volný pohyb osobních údajů je v čistě vnitrostátním případě nesporný a zcela irelevantní.

Právě z těchto částí stanoviska AG má čtenář dojem, že AG se zřejmě více zabývá tím, že GDPR obecně zachází příliš daleko, než správným výkladem článku 82 GDPR. Tyto oddíly rovněž vytvářejí obraz, který může vysvětlovat, proč jsou další části stanoviska často odtrženy od otázek a skutečností případu a zdá se, že se zabývají především omezením GDPR nad rámec toho, co by vyplývalo z textu nebo běžných forem právního výkladu.

4. Definice nemajetkové újmy (otázka 3)

V každodenní praxi se jako nejvýznamnější jeví otázka č. 3 odkazu týkající se "prahové hodnoty" nemajetkové újmy.

4.1. Žádné pozitivní definice ve stanovisku AG

Pokud mohu posoudit, stanovisko AG nedefinuje, co by mohlo být samotným porušením práva na ochranu údajů. Stanovisko AG důsledně zdůrazňuje, na co se článek 82 GDPR nevztahuje (např. sankční náhrada škody, pouhé rozrušení z porušení nebo ztráta kontroly), ale zdá se, že není zmíněno, co by mohlo být nemajetkovou újmou.

To je velmi častý problém v diskusích kolem článku 82 GDPR. Právníci znají škody, které lze vypočítat. Existují některé tradiční nemajetkové újmy, například porušení práva na tělesnou integritu, ale nemajetková újma za porušení základního práva? To je novinka.

4.2. Porušení jiných práv nutné?

Běžným instinktem právníků je předpokládat, že pro spuštění článku 82 GDPR musí existovat nějaká tradiční nemajetková újma - například psychická újma nebo utrpení, které se rovná duševní újmě.

To by však nevyžadovalo nové ustanovení v článku 82 GDPR, které upravuje náhradu škody podle článku 8 CFR, ani záměrné doplnění "nemajetkové" újmy Evropským parlamentem během jednání o GDPR: Podle článku 3 CFR a různých vnitrostátních předpisů má každý právo na respektování své fyzické a duševní integrity. Pokud by pouze porušení GDPR, která představují vážné emocionální utrpení nebo duševní onemocnění, a tudíž poškozují duševní integritu osoby, opravňovala k nemateriální újmě za porušení GDPR, nebyl by článek 82 GDPR zapotřebí. Takto zúžený pohled by z článku 82 GDPR učinil nadbytečné ustanovení, neboť tato práva jsou již chráněna.

Neexistuje žádný důvod, který by podporoval názor, že článek 82 GDPR skutečně pouze opakuje stávající ochranu. Myšlenka, že by subjekt údajů musel kromě porušení práva na ochranu údajů prokázat i nějakou formu tradičně chráněné újmy, jednoduše bagatelizuje jakékoli porušení základního práva, což má za následek, že typické porušení takového práva nezíská odškodnění, které evropský zákonodárce předpokládá.

4.3. Porušení práva na ochranu údajů (článek 8 Úmluvy o ochraně osobních údajů)

Právo na ochranu osobních údajů je základním právem podle článku 8 OSŘ. Chrání (často nejasný) pocit, že nejste pod dohledem, a svobodu. Stejně jako zlomená kost se svoboda těžko měří v eurech, ale článek 82 nařízení GDPR stanoví přesně toto: náhradu škody způsobenou nezákonným zpracováním osobních údajů.

To je velmi novátorské, protože jiná základní práva, jako je právo na shromažďování, svoboda projevu nebo volební právo, obvykle nejsou spojena s náhradou nemajetkové újmy, pokud je nezákonně porušeno právo lidí demonstrovat nebo volit. Je pochopitelné, že koncept článku 82 GDPR je proto pro mnoho právníků, kteří se GDPR pravidelně nezabývají, velkým krokem. Je však třeba zdůraznit, že velmi podobné pocity, újmy a trápení již chráníme v mediálním právu, tradiční ochraně práva na soukromí a podobně. Koncepty z těchto oblastí práva lze stejně tak aplikovat i zde. Několik příkladů:

• I když je samozřejmě těžké vysvětlit, co přesně je újma na právu na soukromí nebo na ochranu osobních údajů, většina lidí se shodne na tom, že si raději nechají ukrást smartphone za 500 eur, než aby byly všechny jejich soukromé textové zprávy zveřejněny na internetu (za předpokladu, že každý má nějaké důvěrné zprávy, které by mohly poškodit přátelství nebo kariéru).
• Stejně tak se mnoho lidí shodne na tom, že být nazván "náckem" ve veřejném prostoru nebo být zařazen do marketingového seznamu potenciálních voličů extremistické strany, se kterou zásadně nesouhlasí, je přinejmenším stejně znepokojující. Zatímco nazvat někoho "nacistou" vás obvykle dostane do konfliktu se zákony o pomluvě a vyvolá nemajetkovou újmu, zdá se však, že stanovisko AG má omezené pochopení pro náhradu škody, pokud je osoba protiprávně zařazena na seznam voličů pravicově populistické strany s podobnými historickými kořeny. Vzhledem k tomu, že seznam rakouské pošty měl dokonce podobu věcného hodnocení (přisuzování vysoké afinity ke kroužkovací populistické straně), zajímalo by mě, zda to mnoho lidí nemusí vnímat i jako tuto větší škodu.
• Emocionální strádání může být často ještě vyšší, pokud ještě není jasný důsledek, ale neustálý pocit, že by mohl být. SDEU na to již upozornil v rozsudcích C-293/12 a C-594/12, okrajově č. 25 a 37, když konstatoval, že uchovávání komunikačních metadat může vést k autocenzuře, a tedy k omezení svobody projevu. Skutečnost, že citlivé údaje prostě "zmizí", může také vést k úzkosti: než budou vaše osobní textové zprávy z předchozího příkladu zveřejněny na internetu, mohou být prostě sdíleny nebo ztraceny - aniž by bylo jasné, zda a kde se objeví. Právě to má 85. bod odůvodnění GDPR na mysli, když se hovoří o "ztrátě kontroly".
• Podobně pro lidi, kteří jsou nesprávně označeni za osoby se špatnou bonitou, bývá ponižující, když jim je odepřena i ta nejzákladnější smlouva na mobilní telefon. Ve svobodné tržní společnosti se lidé, kteří jsou na (obvykle centrální) černé listině, odcizují naší společnosti. Většina lidí by pravděpodobně zaplatila slušnou částku, aby tuto trapnou situaci překonala, což dokonce vedlo k nárůstu služeb "credit managementu", například ve Spojených státech.

Na těchto příkladech lze možná ukázat, že ačkoli existuje nový a neotřelý typ nemajetkové újmy podle článku 82 GDPR, typické újmy, které může subjekt údajů utrpět, jsou podobné újmám, které jsme jako odškodnitelné akceptovali již dávno - nebo se jedná o typy rozpaků či újmy, s nimiž se můžeme všichni ztotožnit.

Každý rozumný právník uzná, že takové náhrady by měly být přiměřené a obvykle nepřesáhnou částku několika set eur. Nicméně přiřazení (často nepravdivých) politických názorů milionům lidí a prodej těchto údajů po léta, jako v uvedeném případě, lze jen stěží odbýt jako neškodné - zejména po zkušenostech s Cambridge Analytica.

Poškození práva na ochranu osobních údajů také neznamená, že jde o "automatické" poškození (viz okrajově č. 29), neboť subjektu údajů ve skutečnosti nemusí některé nezákonné zpracování vadit, nebo ho dokonce může vítat. Mnohá technická porušení GDPR se subjektu údajů také nemusí vůbec týkat. Například nejmenování pověřence pro ochranu osobních údajů nebo neúplná interní dokumentace obvykle přímo neporušují práva subjektu údajů. Pokud je však subjekt údajů pochopitelně rozhořčen nezákonným zpracováním osobních údajů nebo porušením ochrany osobních údajů, kterému bylo možné předejít, obvykle se jedná o určitou formu újmy na straně subjektu údajů.

Soudní dvůr EU má složitou úlohu při vytváření parametrů nemajetkové újmy v případech porušení GDPR, přičemž vždy musí mít na paměti, že jsou srovnatelné s jinými majetkovými a nemajetkovými újmami. K tomu bude zapotřebí více rozsudků SDEU. Zároveň si dovolím tvrdit, že zásadní rozhodnutí o tom, že základní právo na ochranu údajů podle článku 8 CFR a GDPR přichází s možností náhrady nemajetkové újmy, přijal zákonodárce při doplnění prvku "hmotné a nehmotné" v čl. 82 odst. 1 GDPR.

4.4. Přidání "prahového" prvku do článku 82 GDPR?

Předkládající soud v podstatě žádá, aby SDEU v případě nemajetkové újmy doplnil článek 82 GDPR o další (nepsaný) prvek: "prahovou hodnotude minimis ".

4.4.1. Znění článku 82 GDPR

Zatímco stanovisko AG se při odpovědi na otázky 1 referenčního dokumentu zabývá doslovným výkladem, ve vztahu ke třetí otázce tato standardní forma právního výkladu chybí.

Článek 82 totiž neobsahuje žádné slovo, které by mohlo tvořit základ takové dodatečné prahové hodnoty. Je zřejmé, že zákonodárce se rozhodl takový prvek nepřidat. To je také jasný názor dvou klíčových vyjednavačů GDPR (viz Jan Philipp Albrecht, Das neue Datenschutzrecht der EU, strana 121, Paul Nemitz in Ehmann/Selmayr, DSGVO (3. Auflage), čl. 82, Rn 13), kteří oba zdůrazňují, že německá koncepce "prahude minimis " byla překonána, na což poukázal i žalobce ve svých vyjádřeních (viz bod 4.1.3 vyjádření).

Kromě toho, že v článku 82 obecného nařízení o ochraně osobních údajů chybí jakákoli formulace, kterou by bylo možné vykládat jako prahovou hodnotu, příslušný 146. bod odůvodnění jasně uvádí, že "pojem škody by měl být vykládán široce" a že "subjekty údajů by měly obdržet plnou a účinnou náhradu". Zákonodárce tedy jasně poukázal na široký výklad, nikoli na zúžení formulace. Stanovisko AG tyto body odůvodnění zmiňuje, ale neřídí se jejich pokyny.

V některých akademických spisech jsou 75. a 85. bod odůvodnění citovány jako argument pro stanovení prahové hodnoty. Jak správně uvádí stanovisko AG v margináliích č. 98 a 99, tyto body odůvodnění se týkají jiných prvků GDPR a neposkytují základ pro omezení článku 82 GDPR.

4.4.2. Prahové hodnoty v jiných právních předpisech EU

Zatímco článek 82 GDPR a příslušný 146. bod odůvodnění neobsahují žádný údaj o tom, že by měla existovat prahová hodnota, podobné právní předpisy takové znění obsahují. Například 34. bod odůvodnění směrnice o souborných službách pro cesty (EU) 2015/230 předpokládá nemajetkovou újmu pouze v případě "podstatných" problémů. Soudy dosud za "podstatnou"nemajetkovou újmu považovaly i nefunkční klimatizaci nebo nedostatek písku na pláži. Těžko si lze představit, že by většina závažných porušení GDPR byla méně "podstatná" než nefunkční klimatizace.

Namísto toho, aby dospělo k závěru, že v jiných právních předpisech EU existují jasné prahové hodnoty a absence takové formulace v GDPR by naznačovala, že se s takovou hranicí nepočítá, poukazuje stanovisko AG na nařízení (ES) č. 261/2004, které stanoví paušální odškodnění za zpožděné lety, a vyvozuje závěr, že zákonodárce nechtěl "automatické odškodnění", neboť taková ustanovení v GDPR chybí (viz okrajově č. 60).

Pochybuji, že by přechod na (pochybné) paušální zákonné odškodnění měl být jediným způsobem, jak může evropský zákonodárce zajistit, aby drobná nebo průměrná nemajetková újma byla skutečně vymáhána, ale zdá se, že stanovisko AG by taková ustanovení v budoucnu vyžadovalo.

4.4.3. Zdroj "prahové hodnoty": Rakousko a Německo?

Při argumentaci, že by takový práh měl být zaveden, odkazuje bod 111 stanoviska AG v poznámce pod čarou č. 82 na italskou, německou a rakouskou judikaturu - nikoli na GDPR, judikaturu EU nebo jiné zásady EU.

Ačkoli se mi nepodařilo prozkoumat citovaný italský případ, ironií přinejmenším německých a rakouských rozsudků je, že tyto případy se opírají o názory vnitrostátního práva z doby před nařízením GDPR. V Německu existoval "práh" založený na právu na soukromí v německé ústavě ("Allgemeines Persönlichkeitsrecht" nebo "APR"). V Rakousku existuje v § 1328a ABGB výslovná prahová hodnota pro porušení práva na soukromí podle vnitrostátního práva. Vnitrostátní soudy na tuto tradici navázaly a ignorovaly nadřazenost článku 82 GDPR.

Souhra mezi vnitrostátními soudy a stanoviskem AG tak vytváří uzavřený kruh, kdy se soudy v Rakousku a Německu ptají, zda mají právo EU vykládat stejným způsobem, jakým dosud vykládaly vnitrostátní právo, a AG odpovídá, že by měla existovat prahová hodnota podle práva EU, protože tyto soudy dříve takovou prahovou hodnotu ve svém vnitrostátním právu měly.

Tento přístup se zdá být v rozporu s nezávislým výkladem práva EU.

Ve skutečnosti je situace ještě složitější, protože ani německé a rakouské soudy nemají jednotný postoj (viz např. pracovní soud v Düsseldorfu, 9 Ca 6557/18 nebo rakouský Nejvyšší soud 6 Ob 56/21k). Je překvapivé, že stanovisko AG tento rozpor ve vnitrostátní judikatuře nereflektuje, ale spíše předstírá, že v členských státech existuje jednotná tradice.

4.4.4. Definují soudy členských států "práh"?

I kdyby takový "práhde minimis " skutečně měl oporu v zákoně, bylo by třeba tento práh definovat. Zatímco okrajové č. 116 stanoviska AG připouští, že existuje tenká hranice mezi "pouhým rozrušením" a skutečnou nemajetkovou újmou, je toto určení ponecháno zcela na soudech členských států - bez jakéhokoli vodítka, které by umožnilo byť jen sebemenší harmonizaci.

Stanovisko AG nezaujímá ani jasné stanovisko ke skutkovým okolnostem odkazovaného případu a k tomu, zda tento případ splňuje údajnou "hranicide minimis ". Zdá se, že přinejmenším skutkové okolnosti přesahují "pouhé rozrušení", ale stanovisko AG v poznámce pod čarou č. 86 zdůrazňuje, že "uvedením těchto úvah [AG] nepředjímá, zda v tomto případě situace[žalobce] spadala do jedné nebo druhé kategorie". Zdá se, že stanovisko AG považuje odkazovaný případ za příliš blízký "tenké hranici", než aby bylo možné učinit rozhodnutí - ukazuje, jak by prvek "hranicede minimis " nevedl k jasným rozhodnutím, ale naopak by podnítil další právní nejistotu, protože o dalším prvku by se vedly debaty u soudů v celé Unii.

Tento přístup by umožnil soudcům v celé EU/EHP zaujmout vlastní stanovisko k takovému prahu a k tomu, kde by měl být stanoven, což by ponechalo subjekty údajů a správce v nejistotě ohledně správného výkladu nároků podle článku 82 GDPR. Ve skutečnosti bude pro mnoho soudců velmi snadné takové případy jednoduše zamítnout.

4.4.5. Žaloby malého rozsahu se obvykle nevymáhají

Správné stanovení faktorů pro výpočet škody podle otázky č. 2 by také znamenalo, že při menších nebo průměrných porušeních by byly přiznány spíše nízké částky odškodnění, což by mělo překonat jakékoli obavy, že je podáváno příliš mnoho žalob.

Například krátké zpoždění při odpovědi na žádost o přístup může být považováno za malou škodu, která vede k odškodnění ve výši několika eur. Avšak strukturální neposkytnutí odpovědi po dobu několika let, kdy jsou příslušné osobní údaje často již smazány nebo přepsány, může vést k několika stovkám eur, protože se zdá, že neexistuje žádná možnost faktické úlevy.

Zdá se, že AG uznává v okrajovém č. 114, že drobná porušení jsou stěží vymahatelná, když říká, že takové soudní spory "nejsou efektivní", ale místo toho, aby dospěl k závěru, že drobné nároky nejsou reálnou záležitostí, zdá se, že AG tuto skutečnost obrací proti přiznání takových práv vůbec.

V tomto ohledu se zdá být stanovisko AG také nekonzistentní, pokud je nedostatečně efektivní vymáhání použito jako argument proti menším nárokům na náhradu nemajetkové újmy, ale zároveň poukazuje na ještě triviálnější nároky (jako jsou prohlášení, nominální odškodnění a podobně) jako na alternativu.

Pro hmotnou škodu rovněž neexistuje pravidlo "de minimis". Žalobci mohou podat žalobu i kvůli jedinému odcizenému euru. V článku 82 GDPR není žádný údaj, který by rozlišoval mezi menšími nemajetkovými a menšími majetkovými škodami.

Zdá se, že přístup stanoviska AG je rovněž v rozporu se snahami práva EU o zlepšení přístupu ke spravedlnosti v případě drobných nároků, kdy byly přijaty právní předpisy k překonání těchto překážek, jako je nařízení o evropském řízení o drobných nárocích (nařízení (ES) č. 861/2007) nebo nedávno přijatá směrnice o žalobách na zastoupení (směrnice (EU) 2020/1828).

Stejně jako u jiných nároků se žalobci téměř nesoudí o nezaplacení malých částek nebo o minimální porušení, protože náklady a úsilí spojené s podáním žaloby se jim jednoduše nevyplatí (více o tom v bodě 4.5.). To však není důvodem k vymýšlení dalších hmotněprávních překážek pro podání žaloby, již stávající procesní překážky jsou obvykle těžko překonatelné.

4.4.6. Shrnutí na téma "práh"

Stanovisko AG objasňuje, že znění ustanovení a příslušný bod odůvodnění nepředpokládají prahovou hodnotu, ale okrajově č. 108 až 115 se přesto dostávají k opačnému závěru, i když neidentifikují žádný rozumný právní základ pro to, aby soudy členských států doplnily čl. 82 odst. 1 GDPR o prvek " prahová hodnota de minimis ".

Kromě dalších právních nejasností by se případný budoucí žalobce musel obávat, zda by jeho nárok podle GDPR soudce považoval za dostatečně "podstatný" pro přiznání jakékoli náhrady, neboť stanovisko AG k odkazované věci vůbec nezaujímá stanovisko.

Celkově se zdá, že německé a rakouské soudy mohou být úspěšné při zavádění starých německých omezení práv na ochranu údajů zpět do judikatury Soudního dvora EU, i když je měl evropský zákonodárce překonat.

4.5. Náznaky alternativ k náhradě škody

Stanovisko AG se do značné míry opírá o myšlenku, že pro subjekt údajů existuje mnoho jiných cest, které by měl zvolit namísto nároku na náhradu nemajetkové újmy.

Jako obecnou poznámku je třeba zdůraznit, že subjekt údajů má obecně právo zvolit si právní nárok (nároky), které považuje za nejpřínosnější nebo nejslibnější. Mezi stížností podle článku 77 a občanskoprávním sporem podle článku 79 obecného nařízení o ochraně osobních údajů neexistuje žádná "hierarchie". Stejně tak článek 79 GDPR umožňuje jakoukoli formu občanskoprávního nároku. V závislosti na případu může být dobrý důvod žádat například o zákaz budoucího protiprávního zpracování a o náhradu škody za minulá porušení. Je na žalobci, aby si vybral, které nároky podle něj nejlépe napraví situaci.

Ačkoli stanovisko AG poukazuje na mnoho alternativ, často nemusí být schopen nahradit nemajetkovou újmu. Např:

• Mnoho úřadů pro ochranu osobních údajů již prohlásilo, že subjekty údajů nemají subjektivní právo na to, aby jejich základní právo na ochranu údajů bylo vymáháno prostřednictvím úřadů pro ochranu osobních údajů (např. francouzský CNIL nebo švédský IMY). Jiné orgány pro ochranu údajů většinu případů jednoduše "uzavřou" bez jakýchkoli kroků k prosazování (například irský DPC) nebo nevydávají rozhodnutí o stížnostech podle GDPR v přiměřené lhůtě (například rakouský DSB, kterému to trvá roky namísto zákonem stanovené lhůty šesti měsíců). V mnoha případech orgány pro ochranu údajů dokonce navrhly, aby se subjekty údajů obrátily na občanskoprávní soudy, pokud chtějí svá práva podle GDPR vymáhat. Je proto odtržené od reality, když stanovisko AG tvrdí, že občanskoprávní vymáhání může orgány pro ochranu údajů "připravit" o více stížností a příslušných informací (okrajově č. 50). V porovnání s realitou v praxi se taková tvrzení čtou jednoduše cynicky.
• Když stanovisko AG navrhuje, aby civilní soudy "uznaly" porušení pouze za účelem poskytnutí "morální satisfakce" (marginálie č. 89), čtenář si klade otázku, zda by jakékoli "uznání" za tuto cenu vedlo k nějaké satisfakci, nebo spíše jen k (finanční) druhé viktimizaci subjektu údajů. Je třeba mít na paměti, že občanskoprávní řízení je spojeno se značným rizikem nákladů. I kdyby takové uznání bylo právně možné (např. v Rakousku je deklaratorní nárok procesně omezen), pravděpodobně by si mnoho soudců položilo otázku, proč by se měli zabývat velmi složitým případem GDPR jen proto, aby vydali rozsudek, který "uznává" porušení.
• Stejně tak soudní zákazy mají často omezené využití, zejména pokud jde o porušení v minulosti. V tomto případě nemůže pošta "odprocesovat" politickou příslušnost žalobce za minulé roky. Často také nelze odvolat osobní údaje, které byly jednou zveřejněny nebo prodány, ani nelze jednoduše zrušit následky porušení ochrany údajů. Stejně tak, pokud správce nesplní právo na přístup ve stanovené lhůtě, se zdá nemožné získat zpětně kopii osobních údajů, které po projednání a rozhodnutí věci civilním soudem již nemusí ani existovat.
• Zmínka o nezákonných ziscích je sice zajímavá, ale skutečnost je taková, že tyto zisky jsou často velmi těžko vyčíslitelné a také sotva stojí za nějaký soudní spor - mnohem méně než i ta nejmenší nemajetková újma.
• Překvapilo mě také, že AG zdůrazňuje, že možnost zastoupení nevládními organizacemi podle článku 80 GDPR usnadňuje jednotlivcům ochranu obecných zájmů, a používá to jako argument proti nemajetkové újmě (okrajově č. 41). Ve skutečnosti je noyb jedinou nevládní organizací v Evropě, která se specializuje na soudní spory podle článku 80 GDPR, a náš roční rozpočet by v nejlepším případě umožnil podat pět až deset občanskoprávních žalob ročně - pro celý Evropský hospodářský prostor.

Souhrnně lze říci, že tyto náznaky a myšlenky ve stanovisku AG jsou částečně zajímavé, ale z velké části nepředstavují relevantní alternativu. Nařízení GDPR rovněž výslovně umožňuje paralelní vymáhání prostřednictvím dohod o ochraně údajů nebo systému civilních soudů. Je škoda, že orgány pro ochranu údajů a civilní soudy na sebe pravidelně poukazují, když se subjekty údajů domáhají nápravy. V praxi je zřejmé, že žaloby podle GDPR jsou příliš často přijímány s odpovědí "nemám na stole". Je zřejmé, že nemáme problém s příliš mnoha účinnými nástroji k prosazování GDPR, ale ve skutečnosti nyní nemáme žádnou účinnou cestu.

I kdyby alternativy vymáhání, které zmiňuje AG, v praxi skutečně hladce fungovaly (což se neděje), nemohou zjevně nahradit potřebu odškodnění podle článku 82 GDPR.

4.6. Následuje EU model odmítnutí ze strany USA?

Každému, kdo se pohybuje v oblasti ochrany osobních údajů, připomíná přístup AG stanoviska přístup, který nyní převládá u amerických soudů. Vzhledem k tomu, že americké soudy obvykle v žádném porušení ochrany soukromí nevidí "škodu", většinu případů zamítají hned na začátku, i když byl porušen zákon.

Soudy mají silnou motivaci se takovou judikaturou řídit a stále více ji rozšiřovat, protože soudcům umožňuje bez většího úsilí zamítat komplikované a často spíše politické případy. tato dynamika vede k tomu, že zákony o ochraně soukromí nejsou u civilních soudů téměř vymahatelné, protože ani většina agresivních porušení nevede v očích amerických soudců k žádné "újmě".

4.7. Kritéria pro posuzování nemajetkové újmy

Stanovisko AG rovněž neodpovědělo na otázku týkající se dalších požadavků práva EU na posuzování náhrady škody. Pokud by se stanovisko AG druhou otázkou skutečně zabývalo, navrhlo by možná objektivní kritéria podle GDPR pro posouzení odškodnění, která by vnitrostátní soudy mohly použít k určení, zda subjekt údajů utrpěl skutečnou nemajetkovou újmu, a také k určení výše způsobilé náhrady škody. Podle mého názoru by taková kritéria mohla obsahovat:

• Druh protiprávního zpracování nebo jiného jednání, které vedlo k porušení (např. sledování, profilování, zpřístupnění třetím stranám, předání do třetích zemí, porušení ochrany údajů, ignorování žádostí podle kapitoly III GDPR)
• Účel zpracování (Byl účel také v zájmu subjektu údajů? Bylo zpracování prováděno především za účelem obchodního prospěchu? Jednalo se o zlou víru?)
• Kategorie zpracovávaných údajů (Porušení GDPR týkající se údajů podle článku 9 nebo 10 GDPR má obvykle větší váhu než porušení týkající se "necitlivých" údajů. V daném případě byla připsaná politická spřízněnost považována za údaj podle článku 9 GDPR, což AG nezaznamenala)
• Rozsah a doba porušení (odpověď na žádost o poskytnutí údajů dva dny po uplynutí lhůty podle čl. 12 odst. 1 GDPR nemusí subjektu údajů zakládat nárok na náhradu škody, zpoždění v délce dvou týdnů nebo měsíců však ano)

Taková kritéria by vnitrostátním soudům pomohla vytvořit rozumnou a harmonickou judikaturu. Ve skutečnosti bude (stejně jako v případě jiných právních předpisů) trvat několik let a bude zapotřebí další judikatury, než se dospěje k jednotnému systému náhrady škody, stejně jako je tomu u náhrad v jiných oblastech.

Zásadní je, že relativně nevýznamná nemajetková újma by opravňovala pouze k nízkému odškodnění. To je důležité zdůraznit, neboť se zdá, že existuje obava, že přiznání náhrady nemajetkové újmy by vedlo k tomu, že by subjekty údajů podávaly žaloby kvůli nepatrným porušením GDPR. Zkušenosti z praxe ukazují, že tato obava je zcela neopodstatněná. Vysoké náklady na občanskoprávní řízení obvykle brání obětem v tom, aby se obracely na soudy v jiných než závažných případech. Ve skutečnosti lidé nepodávají žaloby v hodnotě 50 eur bez ohledu na oblast práva.

4.8. Shrnutí týkající se nemajetkové újmy

Závěrem lze říci, že stanovisko AG neposkytuje odpovědi na výklad článku 82 GDPR. Stanovisko výslovně nezaujímá ani konečné stanovisko, zda má žalobce ve věci projednávané Soudním dvorem EU nárok na nemajetkovou újmu.

Stanovisko AG nejenže nevyužívá příležitosti poskytnout určité vodítko k článku 82 GDPR v rámci druhé otázky předkládajícího soudu, ale namísto toho dokonce odmítá myšlenku, že by unijní zásady efektivity a rovnocennosti hrály roli, pokud by členské státy mohly nemajetkovou újmu podle GDPR dále definovat.

Problematické je zejména to, že německý pojem "hranicede minimis " je potenciálně zaveden v rámci článku 82 GDPR, i když zákon takovou hranici nestanoví.

(D) Osobní komentář

Zatímco rozsudky SDEU týkající se GDPR se dosud držely přísné linie zásad, argumentů a výkladových linií, zdá se, že stanovisko AG ve věci C-300/21 se do značné míry odchyluje od akademického nebo čistě právního výkladu GDPR.

Od vstupu GDPR v platnost v roce 2018 se setkáváme s mnoha soudními rozhodnutími, která se snaží GDPR "zkrotit". Zdá se, že tento trend se sotva zakládá na skutečném přísném prosazování, chybách zákonodárce nebo příliš přísných ustanoveních - ale na rozsáhlých výtkách veřejnosti ze strany průmyslu a obchodních praktikách (jako jsou záměrně matoucí a frustrující "cookie bannery"), které u veřejnosti vyvolaly problematické vnímání GDPR. Při čtení některých částí stanoviska AG je těžké přehlédnout, že neustálé poselství průmyslu o tom, že GDPR "zachází příliš daleko", bohužel zapracovalo na výsledku v tomto stanovisku.

Toto PR úsilí je třeba dát do kontrastu se skutečností, že Evropský parlament schválil GDPR 621 hlasy pro, 22 se zdrželo hlasování a 10 hlasů bylo proti tomuto pilíři práv EU na ochranu soukromí. Stejně tak pouze jeden členský stát hlasoval proti GDPR - Rakousko totiž shledalo úroveň ochrany nižší než předchozí vnitrostátní právo. Jedním z hlavních slibů tehdy bylo posílené prosazování.

Nyní můžeme jen doufat, že soudci Soudního dvora EU zaměří svůj konečný rozsudek ve věci C-300/21 na to, na co se předkládající soud ptal, o co v základním případě skutečně jde a co zákonodárce napsal do článku 82 GDPR. Pokud budou důsledně uplatňovány pouze zavedené právní formy výkladu, můžeme doufat v rozsudek, který vyjasní aplikaci článku 82 GDPR, místo aby se jej snažil přepsat.

* Podání poskytl žalobce, neboť společnost noyb podporovala žalobce při podáních k SDEU na základě pro-bono. Podání jiných stran nelze podle jednacího řádu SDEU sdílet.