Právna analýza: Žiadna nemajetková ujma za porušenie GDPR?

Právna analýza: Žiadna nemajetková ujma za porušenie GDPR (C-300/21)?

Max Schrems | Stiahnite si PDF verziu tejto právnej analýzy

Dňa 6. októbra 2022 generálny advokát (AG) Sánchez-Bordona vydal svoje stanovisko vo veci C-300/21 (UI proti Österreichische Post AG), ktorá je prvou z viacerých prejudiciálnych otázok na tému náhrady škody za porušenie GDPR, o ktorých Súdny dvor rozhoduje.

Relevantný materiál: "Návrh zákona o ochrane osobných údajov", ktorý bol predložený v roku 2014, sa týkal problematiky ochrany osobných údajov v súvislosti s GDPR:

• Návrh na začatie prejudiciálneho konania podaný rakúskym najvyšším súdom (v nemčine)
• Konečný rozsudok rakúskeho najvyššieho súdu o ďalších návrhoch (v nemčine)
• Submissižalobcu na SDEÚ (v nemčine)*
• Stanovisko AG vo veci C-300/21

Podkladové materiály:

• noyb Update "Alarmujúce: Súdny dvor môže výrazne obmedziť presadzovanie práva Európanov na súkromie"
• podcast "Grump GDPR" s Maxom Schremsom k tomuto stanovisku (na transistor.fm)

(A) Fakty: Žalobca nezákonne označený za pravdepodobného pravicového populistu podporovateľ

Rakúska pošta (Österreichische Post AG) mala colbierala osobné údaje miliónov Rakúšanov (meno, adresa a dátum narodenia) a použila algoritmus na výpočet (na základe štatistických údajov) afinitu k rôznym politickým stranám, aby tento výsledok predala na účely volebnej reklamy.

Žalobca (rakúsky advokát) sa dozvedel prostredníctvom žiadosti o prístupže údajne má vysokú afinitu k pravicovej Rakúskej strane slobody (FPÖ). Keďže žalobca had uviedol svoje údaje v a čiernej listiny ("Robinsonliste"), pošta uviedla, že žalobcaosobné údaje neboli nikomu predané.

Žalobca nebol jediný, kto považoval takýto druh politického prívlastku za poburujúci. V rôznych podobných prípadoch trakúsky úrad na ochranu údajovrity a Najvyšší súd zistili, že spracúvanie politickej príslušnosti je vyžaduje právny základ podľa Článku 9 všeobecného nariadenia o ochrane údajov. Keďže Poštová služba trvala na tom, že môže spracúvať údaje na základe oprávneného záujmu podľa článku 6 ods. 1 písm. f), úrad a súdy museli a vydali súdny príkazs. V prípade žalobcu trakúsky najvyšší súd (OGH) potvrdil súdny príkaz. Avšak žalobca, ktorý nikdy nedal súhlas so spracovaním údajov, žiadal od pošty aj náhradu škody: Tvrdil, že bol rozrušený, nahnevaný a urazený týmto neoprávneným politická a uviedol, že je to urážlivé a hanebné, ako aj mimoriadne poškodzujúce jeho povesť, a žiadal náhradu 1 000 EUR za túto nemajetkovú ujmu.

Prvostupňový a odvolací súdstupňový súd žalobu o náhradu škody zamietol s odôvodnením, že žalobcajeho nepríjemné pocity a nepríjemné pocity nedosahovali určitú hranicu potrebnú na to, aby mu vznikol nárok na náhradu škody. Rakúsky najvyšší súd (OGH) postúpil vec SDEÚ, pričom vo všetkých ostatných nárokoch dal za pravdu žalobcovi.

(B) Predložené otázky: potreba škody, účinnosť a primeranosť a dodatočná prahová hodnota

Rakúsky OGH predložil SDEÚ tri otázky:

1. Zda je priznanie náhrady škody podľa článku 82 GDPR vyžaduje okrem porušenia ustanovení GDPR aj to, aby žalobcovi vznikla škoda, alebo je samotné porušenie ustanovení GDPR dostatočné na priznanie náhrady škody?
2. Závisí posúdenie náhrady škody okrem zásad účinnosti a rovnocennosti aj od ďalších požiadaviek práva EÚ?
3. Je v súlade s právom EÚ názor, že priznanie náhrady nemajetkovej ujmy predpokladá existenciu následku porušenia, ktorý má aspoň určitú váhu a presahuje rozrušenie spôsobené týmto porušením?

(C) Stanovisko generálneho advokáta

1. Právo EÚ alebo vnútroštátne právo?

Pred analýzou článku 82 všeobecného nariadenia o ochrane údajov sa zdá byť potrebné najprv zistiť, či toto ustanovenie harmonizuje otázku náhrady škody, alebo či túto otázku, resp. podrobnosti o nej, ponecháva na právo členského štátu.

1.1 Náhrady podľa článku 79 GDPR

Hoci v stanovisku AG sa správne uvádza, že článok 79 GDPR môže alný pre iné formy úľavy (ako je deklaratórna úľava, nominálna náhrada škody alebo nároky nad nezákonným ziskom) podľa platného vnútroštátneho práva (okrajovo č. 92), tieto nároky sú štrukturálne oddelené od náhrady škody a článok 82 GDPR ich jednoznačne neupravuje.

Nevert napriek tomu stanovisko AG opakovane poukazuje na akúkoľvek inú možnosť vymáhania, než na ktorú bol SDEÚ požiadaný - článok 82 GDPR. Najmä ako čitateľovi z krajiny so zákonným právom, ktoré nepredpokladá mnohé z týchto prístupov, sa myšlienky v stanovisku AG zväčša poukazujú na neexistujúce alebo nemožné alternatívy. Napríklad nominálna náhrada škody nie je v Rakúsku známa a možnosti získať deklaratórnej nápravy sú zvyčajne procesne obmedzené, aby sa zabezpečilo, že súdy nebudú zaťažované súdnymi spormi, ktoré nemajú žiadny vecný účel.

Takže namiesto poukazovania na hypotetické možnosti, zostaňme pri tom, čím sa zaoberal vnútroštátny súd a čoho sa žalobca v našej veci domáhal: nemajetková ujma podľa článku 82 všeobecného nariadenia o ochrane údajov.

1.2 Je článok 82 GDPR (úplne) harmonizujúcim právom alebo nie?

Podľa mňa je jednou zo základných otázok v tomto prejudiciálnom konaní je otázka harmonizácie. Je článok 82 GDPR otváracou doložkou, ktorá len predpokladá minimálne požiadavky na vnútroštátne právo týkajúce sa náhrady škody, ale podrobnosti ponecháva na vnútroštátneho zákonodarcu, alebo plne harmonizoval právo na úrovni EÚ?

Zdá sa, že v stanovisku AG sa k tejto základnej otázke zaujímajú otvorene protichodné stanoviská.

Keď sa rozdeľujeo účinnosti a primeranosti (pozri ďalej) sa v stanovisku AG Stanovisko AG odmieta naráciu tejto otázky, pričom zdôrazňuje, že článok 82 GDPR by harmonizoval túto záležitosť, takže otázka účinnosti a primeranosti vnútroštátneho práva by nevznikla (body 84 a 85).

Zároveň sa v ňom uvádza, že: "V prípade, že by sa na základe rozhodnutia GDPR malo postupovať podľa nariadenia GDPR, je potrebné, aby sa na základe rozhodnutia GDPR vykonala kontrola na mieste, (marginálne č.111 alebo 116 sa jasne uvádza, že členské štáty by mohli mať minimálny prah pre nároky, čo znamená, že existuje priestor pre vnútroštátne obmedzenia.

Bez ohľadu na to, aký je správny názor, zdá sa, že stanovisko AG sa pohybuje medzi týmito dvoma možnosťami - niekedy dokonca odsek po odseku. Celkovo sa zdá, že stanovisko AG skôr sa riadi koncepciou minimálnej harmonizácie.

Hoci sa zdá byť jasné, že určité záležitosti (ako napríklad procesné prvky alebo vnútroštátne premlčacie lehoty) upravuje členský štát, zdá sa, že v článku 82 GDPR sa nenaznačuje ani žiadna úvodná klauzula v GDPR, ktorá by naznačovala možnosti vnútroštátnej divergencie. V skutočnosti sa v článku 82 ods. 2 až 6 GDPR stanovuje aj pomerne podrobný systém deliktnej zodpovednosti vrátane pravidiel, ktoré boli kritizované, že sú dokonca v rozpore s existujúcim vnútroštátnym deliktným právom.

Okrem pomerne podrobného znenia sa v ňom uvádzajú aj rôzne kritériá na priznanie náhrady škodyza porušenie GDPR v rôznych členských štátoch by narušili zámery GDPR ako nariadenia a vytvorili by základ pre forum shopping (keďže článok 79 GDPR a nariadenie Brusel II umožňujú množstvo možných civilných súdov s právomocou).

Zatiaľ čo SDEÚ bude mať s konečnou platnosťou rozhodnúť o úrovni harmonizácie, pre účely tohto článku by som predpokladal, že článok 82 GDPR plne harmonizuje pravidlá o náhrade škody a že členským štátom sú ponechané len okrajové otázky (napr. premlčanie).

1.3 Zásada rovnocennosti a účinnosti, ak článok 82 GDPR nie je plne harmonizovaný (otázka 2)

Ak však zastávate názor, že článok 82 GDPR je v skutočnosti nie je plne harmonizuje náhradu škody, potom nie je možné vyhnúť sa riešeniu zásad rovnocennosti a účinnosti práva EÚ. Platí to najmä vtedy, ak SDEÚ neposkytuje žiadne podrobné usmernenie k posudzovaniu nehmotného škody (ako to naznačuje stanovisko AG na margoal no. 116 tým, že uvádza, že táto "ťažká úloha pripadá súdom členských štátov").

Ak členské štáty v porovnaní s inými štátmi relatívne ľahko vymáhajú jeden druh nemajetkovej ujmy (na základe vnútroštátneho práva), ale prakticky nemožne vymáhajú iný druh (na základe práva EÚ), porušujú zásady rovnocennosti a účinnosti.

Napríklad v Rakúsku wkde je tento odkaz vznikol) by rýchlo vznikli tieto problémy týkajúce sa rovnocennosti a účinnosti iči rakúsky OGH môže zaviesť prahové hodnoty pre nemajetkovú ujmu:

• Iné nemajetkové ujmy (napríklad zlomeniny kostí alebo facka) nevyžadujú, aby žalobca plakal v svedeckej lavici, ale súdy vypracovali tabuľky, ktoré vychádzajú z utrpenia priemerného človeka ("objektive Maßfigur"). Okrem zjednodušenia súdnych sporov a predvídateľnejšíto zabezpečuje, že obzvlášť dramatický žalobca dostane rovnaké odškodnenie ako ťažká obeť. Podobné prístupy boli hlásené aj z iných členských štátov. Nesledovanie takéhoto objektívneho prístupu (ako sa navrhuje v stanovisku AG) by znížilo právnu istotu a sťažilo by vymáhanie nárokov vyplývajúcich z GDPR nárokov podľa vnútroštátneho práva, čím by sa potenciálne porušila zásada rovnocennosti.
• Zároveň sa v § 1328a ABGB (rakúsky občiansky zákonník) vyžaduje prah "značného" porušenia práva na súkromie na získanie nemajetkovej ujmy. Táto hranica je známa len v prípade porušenia práva na súkromie. Ak by sa táto prahová hodnota uplatnila na nároky vyplývajúce z GDPR, znížila by ich účinnosť v porovnaní s inými nárokmi na náhradu nemajetkovej ujmy.

Hoci ide len o dva drobné príklady pre jeden členský štát, ak by všetkých 30 členských štátov EÚ/EHP malo určiť prahové hodnoty a podrobnosti o tom, ako posúdiť nárok na náhradu škody a ako sa má výpočtu náhrady škody podľa článku 82 GDPR, zdá sa, že tradičné zásady práva EÚ, ako napr rovnocennosť a účinnosť by zohrávali dôležitú úlohu, aby sa dosiahla určitá konzistentnosť judikatúry. V opačnom prípade by vnútroštátna zákonná a judikatúrna prax mohla diskriminovať nároky podľa GDPR napr. tým, že by sa vyžadovali individuálne (veľmi) subjektívne svedecké výpovede, zatiaľ čo by sa používal objektívny výpočet v prípade iných nemajetkových škôd.

Je preto prekvapujúce, že v stanovisku AG sa uvádza, že "nezdá sa, že by tu zásada rovnocennosti zohrávala dôležitú úlohu" (okrajovo nie. 84) a dokonca ani nenavrhuje odpoveď na druhú otázku rakúskeho OGH.

2. Náhrada škody bez škody? (otázka č. 1)

2.1 Otázka, ktorá nie je položená: škoda bez škody?

Aj keď Rakúska OGH postúpil túto vec SDEÚ, nebolo jasné, ako sa otázka o priznaní náhrady škody bez akejkoľvek sa ocitla v návrhu na začatie prejudiciálneho konania. Žalobca dokonca tvrdil, že táto otázka je neprípustná, keďže jasne formuloval nemajetkovú ujmu, ktorú chcel získať ako náhradu, keď mu pošta neoprávnene pripísalaed ho k pravicovej FPÖ.

Zdá sa, že samotná táto otázka je súčasťou určitého "preformulovania" problému zo strany rakúskeho OGH - indicatiže v tomto prípade v skutočnosti nejde o žiadnu škodu. Tým, že vnútroštátny súd posúva vec od skutočných škôd (ako je hnev, utrpenie, fyzický nátlak alebo pocit odhalenia) k žiadnym škodám, sa nároky javia ako mimoriadne neopodstatnené.

V skutočnosti je prvá otázka bezpredmetná, keďže vo veci je jasne vymedzený súbor negatívnych dôsledkov, ktoré žalobca považuje za nemajetkovú ujmu.

2.2 Stanovisko stupňuje otázku smerom k "represívnej škode"

Stanovisko AG posúva otázku rakúskeho OGH ešte o obrovský krok ďalej a preformulovalo otázku smerom k nároku na "represívnu náhradu škody".

Hoci takéto myšlienky existujú v jurisdikciách common law, v kontinentálnych jurisdikciách, ako je Rakúsko, sa považujú za neprijateľné. V dôsledku toho žalobca nikdy nežiadal, aby mu pošta bola povinná zaplatiť náhradu škody ako trestné opatrenie. Takisto mi nie je známa žiadna relevantná zainteresovaná strana, ktorá by požadovala represívnu náhradu škody. Žiadny právny odborník nečítal článok 82 všeobecného nariadenia o ochrane údajov seriózne týmto spôsobom - nehovoriac o žiadnom rozsudku, ktorým by sa niekedy v EÚ priznala sankčná náhrada škody.

To nie je bráni stanovisku AG bojovať proti bezpredmetnosti v odsekoch 30 až 55, hoci v skutočnosti by stačili dva odseky na to, aby sa uviedlo, že v článku 82 GDPR nie je žiadny základ pre sankčnú náhradu škody a že články 83 a 84 GDPR upravujú výlučne sankcie.

3. Predpoklad náhrady škody a "strata kontroly"?

V bodoch 56 až 82 stanovisko AG rozvíja argumentáciu o možnej domnienke náhrady škody a spája túto tému s pojmom "strata kontroly" v okrajových č. 75 a 85.

Zatiaľ čo marginálna poznámka č. 56 stanoviska AG zdôrazňuje, že AG si sám nie je istý, či úplne pochopil, čo strany tvrdili, nasledujúca časť stanoviska AG Stanoviska sa zdá byť ťažko zrozumiteľná a mieša dva pojmy - dôkazné bremeno a "strata kontroly" - bez zjavného dôvodu.

3.1 Dôkazné bremeno

Hoci existuje živély diskusia o dôkaznom bremene medzi prevádzkovateľmi a dotknutými osobami, keďže napríklad v článku 5 ods. 2 alebo článku 82 ods. 3 GDPR sa stanovujú určité povinnosti prevádzkovateľa, zdá sa mi, že v uvedenom prípade nie sú žiadne pochybnosti o skutkových okolnostiach. Je zrejmé, že pošta vytvorila politické informácie v rozpore s článkom 9 GDPR a dotknutá osoba v dôsledku toho utrpela rôzne negatívne pocity.

3.2 Nanovo definovaná "strata kontroly" v zmesi?

Stanovisko generálneho prokurátora nadobúda ďalší prekvapivý obrat, keď okrajové č. 56 až 82 sa pokúšajú zaoberať pojmom "strata kontroly" ("Kontrollverlust"), ako sa argumentuje v podaní žalobcu.

Tento pojem vychádza z odôvodnenia 85 všeobecného nariadenia o ochrane údajov, ktoré sa zaoberá porušením ochrany údajov:

"Porušenie ochrany osobných údajov môže, ak sa nerieši v primeranejte a včas, môže mať za následok fyzické, materiálne alebo nemajetkovú ujmu fyzickým osobám, ako je strata konkontroly nad ich osobných údajova..."

Doteraz právnická obec chápala "loss of control" ako pocit, že osobné údaje sú preč a dotknutá osoba má pocit, že údaje sú vo všeobecnosti "mimo kontroly". Môže ísť o situácie, ako je porušenie ochrany údajov, keď tretia strana neoprávnene získala prístup alebo prípady, keď prevádzkovateľ nezákonne použil alebo distribuoval osobné údaje. Ako vyplýva z odôvodnenia 85 GDPR, ktoré sa zaoberá porušeniami ochrany údajov podľa článkov 33 a 34 GDPR, k takejto strate kontroly môže dôjsť bez ohľadu na to, ktorý právny základ podľa článku 6 ods. 1 písm. a) až f) GDPR sa použije. Na stránke inými slovami: údaje sa môžu stratiť bez ohľadu na to, či bolo spracúvanie pôvodne založené na súhlase, právnej povinnosti alebo oprávnenom záujme. Medzi súhlasom podľa článku 6 ods. 1 písm. a) GDPR a stratou kontroly podľa článkov 33 a 34 GDPR neexistuje žiadna súvislosť.

Napriek tomu stanovisko AG spája tento pojem (podľa mojich vedomostí po prvýkrát) s právami dotknutých osôb podľa GDPR v snahe vyvrátiť znenie v GDPR v odôvodneniach. V stanovisku AG sa v podstate tvrdí, že keďže a prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby (okrajovo č. 64), navrhovateľ podľa definície nemá kontrolu nad svojimi osobnými údajmi, a preto o ňu nemôže prísť.

Stanovisko AG sa zapája do ďalšieho boja so slamenými panákmi, keď napr. zdôrazňuje v marginálnej poznámke č. 68, že neexistuje "automatická rovnocennosť medzi spracúvaním osobných údajov, na ktoré nebol získaný súhlas dotknutej osoby a škodou". V ďalších odsekoch sa rovnako bojuje proti údajným extrémnym stanoviskám, ako napríklad, že dotknuté osoby by mali mať "čo najväčšiu kontrolu" (okrajovo č. 74). Takmer sa zdá, akoby si AG myslela, že vnútroštátny súd alebo žalobca by popreli skutočnosť, že články 6 a 9 GDPR majú rôzne právne základyes (marginálna poznámka č. 73) a argumentoval by automatickou náhradou škody za nesúhlasné spracúvanie.

Po preskúmaní spisu o postúpení veci a vyjadrenia žalobcu sa zdá, že v podkladovom spise ani v podaniach nie je pre takýto argument žiadny základ. Namiesto toho sa zdá, že AG buď podstatne nesprávne pochopila spis a podania, alebo skutočne bojuje proti (nesprávnej) laickej domnienke že súhlas je jediným právnym základom v GDPR.

3.3 Súvislosť s voľným pohybom osobných údajov v Únii?

Marginálne č. 78 až 82 zdôrazňujú, že voľný tok osobných údajov sú ďalším cieľom GDPR a GDPR má podporiť hospodársky rast. Hoci sú tieto pripomienky správne, nechápem, ako to súvisí s vymedzením pojmu škoda v článku 82 GDPR:

Voľný tok osobných údajov jednoducho znamená, že v rámci EÚ/EHP neexistujú digitálne hranice, a akékoľvek vnútroštátne obmedzenia voľného toku osobných údajov sú zakázané podľa Článku 1 ods. 3 GDPR. To však nijako nesúvisí s prípadom, ktorý rieši SDEÚ, keď miestny prevádzkovateľ porušil článok 9 GDPR vo vzťahu k miestnej dotknutej osobe a vzniká otázka, ako sa má vykladať slovo "škoda" v článku 82 GDPR.

3.4 Odseky 56 až 82: politika môže pohltiť právnu analýzu

Celkovo sa zdá, že okrajové body č. 56 až 82 sú, žiaľ, do veľkej miery odtrhnuté od otázok, práva a skutočností. Ani otázka dôkazného bremena v odvolaní nie je žiadna, keďže skutkový stav bol prvostupňovým orgánom riadne zistený, ani "strata kontroly" nemá nič spoločné so súhlasom ako právnym základom. Voľný tok osobných údajov je nesporný a v čisto vnútroštátnom prípade úplne irelevantný.

Práve z týchto častí stanoviska AG má čitateľ dojem, že AG sa zrejme viac zaoberá tým, že GDPR vo všeobecnosti zachádza príliš ďaleko, než správnym výkladom článku 82 GDPR. Takéto oddiely tiež vytvárajú obraz, ktorý môže vysvetľovať, prečo sú ostatné časti stanoviska často odtrhnuté od otázok a skutočností prípadu a zdá sa, že sa zaoberajú najmä obmedzením GDPR nad rámec toho, čo by naznačoval text alebo bežné formy právneho výkladu.

4. Vymedzenie nemajetkovej ujmy (otázka 3)

V každodennej praxi sa zdá byť najdôležitejšia otázka č. 3 odkazu o "prahu" pre nemajetkovú ujmu.

4.1. Žiadne pozitívne vymedzenie v stanovisku AG

Pokiaľ viem, v stanovisku AG nie je definované, čo by mohlo byť samotným porušením práva na ochranu údajov. V stanovisku AG sa dôsledne zdôrazňuje, na čo sa článok 82 GDPR nevzťahuje (napr. sankčná náhrada škody, samotné rozrušenie z porušenia alebo strata kontroly), ale zdá sa, že sa v ňom neuvádza, čo by mohlo byť nemajetkovou ujmou.

Ide o veľmi častý problém v diskusiách okolo článku 82 GDPR. Právnici poznajú škody, ktoré sa dajú vypočítať. Existujú niektoré tradičné nemajetkové ujmy, napríklad porušenie práva na telesnú integritu, ale nemajetková ujma za porušenie základného práva? To je novinka.

4.2. Porušenie iných práv je nevyhnutné?

Bežným inštinktom právnikov je predpokladať, že na spustenie článku 82 GDPR musí existovať nejaká tradičná nemajetková ujma - napríklad psychická ujma alebo utrpenie, ktoré sa rovná duševnej ujme.

To by si však nevyžadovalo nové ustanovenie v článku 82 GDPR, ktoré upravuje náhradu škody podľa článku 8 OSP, ani zámerné doplnenie "nemajetkovej" ujmy Európskym parlamentom počas rokovaní o GDPR: Podľa článku 3 CFR a rôznych vnútroštátnych ustanovení má každý právo na rešpektovanie svojej telesnej a duševnej integrity. Ak by len porušenia GDPR, ktoré predstavujú vážne emocionálne utrpenie alebo duševné ochorenia, a teda poškodzujú duševnú integritu osoby, oprávňovali na nemateriálnu ujmu za porušenie GDPR, nebol by potrebný článok 82 GDPR. Takýto zúžený pohľad by z článku 82 GDPR urobil nadbytočné ustanovenie, keďže tieto práva sú už chránené.

Neexistuje žiadny základ, ktorý by podporoval názor, že článok 82 GDPR skutočne len opakuje existujúcu ochranu. Myšlienka, že dotknutá osoba by okrem porušenia práva na ochranu údajov musela preukázať aj nejakú formu tradične chránenej ujmy, jednoducho bagatelizuje akékoľvek porušenie základného práva, čo má za následok, že typické porušenia takéhoto práva nebudú mať odškodnenie, ktoré predpokladá európsky zákonodarca.

4.3. Porušenie práva na ochranu údajov (článok 8 OSP)

Právo na ochranu osobných údajov je základným právom podľa článku 8 OSP. Chráni (často nejasný) pocit, že nie je pod dohľadom, a slobodu. Rovnako ako zlomenú kosť je ťažké merať slobodu v eurách, ale článok 82 všeobecného nariadenia o ochrane údajov stanovuje presne toto: náhradu škody spôsobenú nezákonným spracúvaním osobných údajov.

Je to veľmi novátorské, keďže iné základné práva, ako napríklad právo na zhromažďovanie, sloboda prejavu alebo volebné právo, zvyčajne nie sú spojené s nemajetkovou ujmou, ak sú nezákonne porušené práva ľudí demonštrovať alebo voliť. Je pochopiteľné, že koncepcia článku 82 GDPR je preto pre mnohých právnikov, ktorí sa GDPR pravidelne nezaoberajú, veľkým krokom. Treba však zdôrazniť, že veľmi podobné pocity, ujmy a utrpenie už chránime v mediálnom práve, tradičnej ochrane práva na súkromie a podobne. Koncepty z týchto oblastí práva sa tu môžu rovnako uplatniť. Niekoľko príkladov:

• Aj keď je zrejme ťažké vysvetliť, čo presne je ujmou na práve na súkromie alebo na ochrane údajov, väčšina ľudí sa zhodne na tom, že by im radšej ukradli smartfón za 500 eur, ako by mali zverejniť všetky svoje súkromné textové správy na internete (za predpokladu, že každý má nejaké dôverné správy, ktoré by mohli poškodiť priateľstvá alebo kariéru).
• Rovnako bude veľa ľudí súhlasiť s tým, že byť nazvaný "nacistom" vo verejnom priestore alebo byť zaradený do marketingového zoznamu potenciálnych voličov extrémistickej strany, s ktorou zásadne nesúhlasia, je prinajmenšom rovnako znepokojujúce. Zatiaľ čo nazvať niekoho "nacistom" vás zvyčajne dostane do konfliktu so zákonmi o urážke na cti a vyvolá nemajetkovú ujmu, zdá sa však, že stanovisko AG má obmedzené pochopenie pre náhradu škody, ak je osoba nezákonne zaradená do zoznamu voličov pravicovo-populistickej strany s podobnými historickými koreňmi. Vzhľadom na to, že zoznam rakúskej pošty mal dokonca podobu vecného posúdenia (pripísanie vysokej afinity ku krúžkovej populistickej strane), pýtam sa, či to mnohí ľudia nemusia vnímať aj ako túto väčšiu škodu.
• Emocionálne utrpenie môže byť často ešte väčšie, ak ešte nie je jasný dôsledok, ale neustály pocit, že by mohol byť. SDEÚ to už zdôraznil vo veciach C-293/12 a C-594/12, okrajovo č. 25 a 37, keď konštatoval, že uchovávanie komunikačných metaúdajov môže viesť k autocenzúre, a teda k obmedzeniu slobody prejavu. Skutočnosť, že citlivé údaje jednoducho "zmiznú", môže tiež viesť k úzkosti: skôr ako sa vaše osobné textové správy z predchádzajúceho príkladu zverejnia na internete, môžu sa jednoducho zdieľať alebo stratiť - bez toho, aby bolo jasné, či a kde sa objavia. Práve to sa v odôvodnení 85 GDPR myslí "stratou kontroly".
• Podobne ľudia, ktorí sú nesprávne označení ako osoby so zlým kreditom, zvyčajne považujú za ponižujúce, keď im je zamietnutá aj tá najzákladnejšia zmluva na mobilný telefón. V spoločnosti slobodného trhu sa ľudia nachádzajúci na (zvyčajne centrálnej) čiernej listine odcudzujú našej spoločnosti. Väčšina ľudí by pravdepodobne zaplatila slušnú sumu peňazí, aby túto trápnu situáciu prekonala, čo dokonca viedlo k nárastu služieb "credit managementu", napríklad v Spojených štátoch.

Na týchto príkladoch možno možno ukázať, že hoci existuje nový a nový typ nemajetkovej ujmy podľa článku 82 GDPR, typické ujmy, ktoré môže dotknutá osoba utrpieť, sú podobné ujmám, ktoré sme už dávno akceptovali ako kompenzovateľné - alebo ide o typy zahanbenia či ujmy, s ktorými sa všetci vieme stotožniť.

Každý rozumný právnik uzná, že takéto náhrady by mali byť primerané a zvyčajne nepresiahnu pár stoviek eur. Avšak priradenie (často nepravdivých) politických názorov miliónom ľudí a predaj týchto údajov na roky, ako v uvedenom prípade, sa sotva dá považovať za neškodné - najmä po skúsenostiach so spoločnosťou Cambridge Analytica.

Poškodenie práva na ochranu údajov tiež neznamená, že ide o "automatické" poškodenie (pozri okrajovo č. 29), keďže dotknutej osobe v skutočnosti nemusí vadiť určité nezákonné spracúvanie, alebo ho dokonca môže privítať. Mnohé technické porušenia GDPR sa dotknutej osoby tiež nemusia vôbec týkať. Napríklad nevymenovanie DPO alebo neúplná interná dokumentácia zvyčajne priamo neporušujú práva dotknutej osoby. Ak je však dotknutá osoba pochopiteľne pobúrená nezákonným spracúvaním osobných údajov alebo porušením ochrany údajov, ktorému sa dalo predísť, zvyčajne ide o určitú formu ujmy na strane dotknutej osoby.

SDEÚ má komplexnú úlohu pri vypracúvaní parametrov nemajetkovej ujmy v prípadoch porušenia GDPR, pričom vždy musí mať na pamäti, že sú porovnateľné s inými majetkovými a nemajetkovými ujmami. Na to bude potrebných viacero rozsudkov SDEÚ. Zároveň tvrdím, že zásadné rozhodnutie, že základné právo na ochranu údajov podľa článku 8 OSP a GDPR prichádza s možnosťou náhrady nemajetkovej ujmy, prijal zákonodarca pri doplnení prvku "majetková a nemajetková" v článku 82 ods. 1 GDPR.

4.4. Pridanie "prahového" prvku do článku 82 GDPR?

Vnútroštátny súd v podstate žiada, aby SDEÚ doplnil článok 82 GDPR o ďalší (nepísaný) prvok v prípade nemajetkovej ujmy: "prahovú hodnotude minimis ".

4.4.1. Znenie článku 82 GDPR

Zatiaľ čo stanovisko AG sa pri odpovedi na prvú otázku referenčného dokumentu zaoberá doslovným výkladom, v súvislosti s treťou otázkou táto štandardná forma právneho výkladu chýba.

Článok 82 totiž neobsahuje žiadne slovo, ktoré by mohlo tvoriť základ takejto dodatočnej prahovej hodnoty. Je zrejmé, že zákonodarca sa rozhodol takýto prvok nepridať. To je aj jasný názor dvoch kľúčových vyjednávačov GDPR (pozri Jan Philipp Albrecht, Das neue Datenschutzrecht der EU, s. 121, Paul Nemitz in Ehmann/Selmayr, DSGVO (3. Auflage), čl. 82, Rn 13), ktorí obaja zdôrazňujú, že nemecká koncepcia "prahude minimis " bola zrušená, na čo poukázal aj žalobca vo svojich podaniach (pozri bod 4.1.3 podaní).

Okrem toho, že v článku 82 všeobecného nariadenia o ochrane údajov chýba akákoľvek formulácia, ktorú by bolo možné vykladať ako prahovú hodnotu, v príslušnom odôvodnení 146 sa jasne uvádza, že "pojem škody by sa mal vykladať široko" a že "dotknuté osoby by mali dostať úplnú a účinnú náhradu". Zákonodarca teda jasne poukázal na široký výklad, a nie na zúženie znenia. V stanovisku AG sa tieto odôvodnenia spomínajú, ale nepostupuje sa podľa ich usmernenia.

V niektorých akademických textoch sa odôvodnenia 75 a 85 uvádzajú ako argument v prospech prahovej hodnoty. Ako sa v stanovisku AG správne uvádza v okrajových bodoch č. 98 a 99, tieto odôvodnenia sa týkajú iných prvkov GDPR a neposkytujú základ na obmedzenie článku 82 GDPR.

4.4.2. Prahové hodnoty v iných právnych predpisoch EÚ

Zatiaľ čo článok 82 GDPR a príslušné odôvodnenie 146 neobsahujú žiadny údaj o tom, že by mal existovať prah, podobné zákony takéto znenie stanovujú. Napríklad v odôvodnení 34 smernice o balíku cestovných služieb (EÚ) 2015/230 sa predpokladá nemajetková ujma len v prípade "závažných" problémov. Súdy doteraz akceptovali ako "podstatnú"nemajetkovú ujmu aj nefunkčnú klimatizáciu alebo nedostatok piesku na pláži. Ťažko si predstaviť, ako by väčšina závažných porušení GDPR bola menej "podstatná" ako nefunkčná klimatizácia.

Namiesto vyvodenia záveru, že v iných právnych predpisoch EÚ existujú jasné prahové hodnoty a absencia takejto formulácie v GDPR by naznačovala, že takáto prahová hodnota sa nepredpokladá, stanovisko AG poukazuje na nariadenie (ES) č. 261/2004, v ktorom sa stanovuje paušálne odškodnenie za meškanie letu, a vyvodzuje záver, že zákonodarca nechcel "automatické odškodnenie", keďže takéto ustanovenia v GDPR chýbajú (pozri okrajovo č. 60).

Pochybujem, že prechod na (pochybné) paušálne zákonné odškodnenie by mal byť jediným spôsobom, ako môže európsky zákonodarca zabezpečiť, aby sa drobná alebo priemerná nemajetková ujma skutočne vymáhala, ale zdá sa, že stanovisko AG by takéto ustanovenia v budúcnosti vyžadovalo.

4.4.3. Zdroj "prahovej hodnoty": Rakúsko a Nemecko?

Pri argumentácii, že takýto prah by sa mal zaviesť, sa v bode 111 stanoviska AG v poznámke pod čiarou č. 82 odkazuje na taliansku, nemeckú a rakúsku judikatúru - nie na GDPR, judikatúru EÚ alebo iné zásady EÚ.

Aj keď sa mi nepodarilo preskúmať citovaný taliansky prípad, iróniou prinajmenšom nemeckých a rakúskych rozsudkov je, že tieto prípady sa opierajú o názory vnútroštátneho práva spred účinnosti nariadenia GDPR. V Nemecku existoval "prah" založený na práve na súkromie v nemeckej ústave ("Allgemeines Persönlichkeitsrecht" alebo "APR"). V Rakúsku existuje v § 1328a ABGB výslovná prahová hodnota pre porušenie práva na súkromie podľa vnútroštátneho práva. Vnútroštátne súdy sa riadili touto tradíciou a ignorovali nadradenosť článku 82 GDPR.

Vzájomná interakcia medzi vnútroštátnymi súdmi a stanoviskom AG tak vytvára uzavretý kruh, keď sa súdy v Rakúsku a Nemecku pýtajú, či sa má právo EÚ vykladať rovnako, ako doteraz vykladali vnútroštátne právo, a AG odpovedá, že by mal existovať prah podľa práva EÚ, pretože tieto súdy predtým takýto prah vo svojom vnútroštátnom práve mali.

Zdá sa, že tento prístup je v rozpore s nezávislým výkladom práva EÚ.

V skutočnosti je situácia ešte zložitejšia, pretože ani nemecké a rakúske súdy nemajú jednotné stanovisko (pozri napr. pracovný súd v Düsseldorfe, 9 Ca 6557/18 alebo rakúsky najvyšší súd 6 Ob 56/21k). Je prekvapujúce, že stanovisko AG nereflektuje tento rozpor vo vnútroštátnej judikatúre, ale skôr sa tvári, že v členských štátoch existuje jednotná tradícia.

4.4.4. Súdy členských štátov definujú "prah"?

Aj keby mal takýto "prahde minimis " skutočne právny základ, bolo by potrebné tento prah definovať. Zatiaľ čo okrajové č. 116 stanoviska AG pripúšťa, že existuje tenká hranica medzi "obyčajným rozrušením" a skutočnou nemajetkovou ujmou, toto určenie je ponechané výlučne na súdy členských štátov - bez akéhokoľvek usmernenia, ktoré by umožnilo čo i len najmenšiu harmonizáciu.

Stanovisko AG nezaujíma ani jasné stanovisko k skutkovým okolnostiam postúpeného prípadu a k tomu, či tento prípad spĺňa údajnú "hranicude minimis ". Zdá sa, že prinajmenšom skutkový stav presahuje "obyčajné rozrušenie", ale v poznámke pod čiarou č. 86 sa v stanovisku AG zdôrazňuje, že "uvedením týchto úvah [AG] nepredurčuje, či v tomto prípade situácia[žalobcu] spadala do jednej alebo druhej kategórie". Zdá sa, že v stanovisku AG sa uvedený prípad považuje za príliš blízko "tenkej hranice" na to, aby sa dalo rozhodnúť - ukazuje, že prvok "prahovej hodnotyde minimis " by neviedol k jasným rozhodnutiam, ale naopak by podnietil väčšiu právnu neistotu, keďže o ďalšom prvku by sa diskutovalo na súdoch v celej Únii.

Tento prístup by umožnil sudcom v celej EÚ/EHP zaujať vlastné stanovisko k takejto prahovej hodnote a k tomu, kde by sa mala stanoviť, čím by dotknuté osoby a prevádzkovatelia zostali v neistote, pokiaľ ide o správny výklad nárokov podľa článku 82 GDPR. V skutočnosti bude pre mnohých sudcov veľmi jednoduché takéto prípady jednoducho zamietnuť.

4.4.5. Žaloby s nízkou hodnotou sporu sa zvyčajne nevymáhajú

Správne určenie faktorov na výpočet škody podľa otázky č. 2 by tiež znamenalo, že pri menších alebo priemerných porušeniach by sa uplatňovali skôr nízke sumy odškodnenia, čo by malo prekonať akékoľvek obavy, že sa podáva príliš veľa žalôb.

Napríklad krátke oneskorenie pri odpovedi na žiadosť o prístup sa môže považovať za malú škodu, ktorá vedie k náhrade škody vo výške pár eur. Štrukturálne neposkytnutie odpovede po celé roky, keď sú príslušné osobné údaje často už vymazané alebo prepísané, však môže viesť k niekoľkým stovkám eur, keďže sa zdá, že neexistuje žiadna možnosť vecného odškodnenia.

Zdá sa, že AG uznáva v okrajovej časti č. 114, že drobné porušenia sa ťažko vymáhajú, keď hovorí, že takéto súdne spory "nie sú efektívne", ale namiesto toho, aby dospel k záveru, že drobné žaloby nie sú reálnou záležitosťou, zdá sa, že AG túto skutočnosť obracia proti priznaniu takýchto práv vôbec.

V tomto ohľade sa zdá, že stanovisko AG je nekonzistentné aj v tom, že nedostatok efektívneho vymáhania sa používa ako argument proti menším nárokom na náhradu nemajetkovej ujmy, ale zároveň poukazuje na ešte triviálnejšie nároky (ako sú vyhlásenia, nominálne náhrady škody a podobne) ako na alternatívu.

Neexistuje ani pravidlo "de minimis" pre materiálne škody. Žalobcovia môžu podať žalobu aj v prípade jedného ukradnutého eura. V článku 82 GDPR nie je žiadny údaj, ktorý by rozlišoval medzi menšími nemajetkovými a menšími majetkovými škodami.

Zdá sa, že prístup stanoviska AG je tiež v rozpore s úsilím práva EÚ zlepšiť prístup k spravodlivosti pre malé pohľadávky, keď prijala zákony na prekonanie takýchto prekážok, ako napríklad nariadenie o európskom konaní vo veciach s nízkou hodnotou sporu (nariadenie (ES) č. 861/2007) alebo nedávne prijatie smernice o zastupovaní v konaní (smernica (EÚ) 2020/1828).

Tak ako v prípade iných nárokov, žalobcovia sa len ťažko súdia o nezaplatenie malých súm alebo o minimálne porušenia, pretože náklady a úsilie na podanie žaloby sa jednoducho neoplatí (viac o tom v bode 4.5.). To však nie je dôvod na vymýšľanie ďalších hmotnoprávnych prekážok na podanie žaloby, už existujúce procesné prekážky sú zvyčajne ťažko prekonateľné.

4.4.6. Zhrnutie o "prahu"

V stanovisku AG sa objasňuje, že znenie ustanovenia a príslušné odôvodnenie nepredpokladajú prahovú hodnotu, ale okrajovo č. 108 až 115 sa stále dospieva k opačnému záveru, aj keď sa v nich neidentifikuje žiadny rozumný právny základ pre súdy členských štátov, aby do článku 82 ods. 1 GDPR doplnili prvok " prahová hodnota de minimis ".

Okrem iných právnych nejasností by sa každý budúci žalobca musel obávať, či by jeho nárok podľa GDPR sudca považoval za dostatočne "podstatný" na to, aby mu priznal akúkoľvek náhradu škody, keďže stanovisko AG nezaujíma k postúpenému prípadu ani stanovisko.

Celkovo sa zdá, že nemecké a rakúske súdy môžu byť úspešné pri zavádzaní starých nemeckých obmedzení práv na ochranu údajov späť do judikatúry SDEÚ, aj keď ich mal európsky zákonodarca prekonať.

4.5. Náznaky alternatív k náhrade škody

Stanovisko AG sa vo veľkej miere opiera o myšlienku, že pre dotknutú osobu existuje mnoho iných ciest, ktoré by si mala zvoliť namiesto požadovania náhrady nemajetkovej ujmy.

Ako všeobecnú poznámku treba zdôrazniť, že dotknutá osoba má vo všeobecnosti právo vybrať si právny nárok (nároky), ktorý (ktoré) považuje za najvýhodnejší (najvýhodnejšie) alebo najsľubnejší (najsľubnejšie). Medzi sťažnosťou podľa článku 77 a občianskoprávnym sporom podľa článku 79 GDPR neexistuje žiadna "hierarchia". Rovnako článok 79 GDPR umožňuje akúkoľvek formu občianskoprávneho nároku. V závislosti od prípadu môže byť dobrý dôvod žiadať napríklad o zákaz budúceho nezákonného spracúvania a o náhradu škody za porušenia v minulosti. Je na žalobcovi, aby si vybral, ktoré nároky podľa neho najlepšie napravia situáciu.

Hoci stanovisko AG poukazuje na mnohé alternatívy, často nemusia byť schopné nahradiť nemajetkovú ujmu. Napríklad:

• Mnohé orgány na ochranu údajov (OOÚ) už vyhlásili, že dotknuté osoby nemajú subjektívne právo na to, aby sa ich základné právo na ochranu údajov presadzovalo prostredníctvom OOÚ (napríklad francúzsky CNIL alebo švédsky IMY). Iné orgány na ochranu údajov väčšinu prípadov jednoducho "uzavrú" bez akýchkoľvek krokov v oblasti presadzovania (ako napríklad írsky DPC) alebo nevydávajú rozhodnutia o sťažnostiach týkajúcich sa GDPR v primeranej lehote (ako napríklad rakúsky DSB, ktorému to trvá roky namiesto zákonom stanovenej lehoty šiestich mesiacov). V mnohých prípadoch orgány na ochranu údajov dokonca navrhli, aby sa dotknuté osoby obrátili na občianskoprávne súdy, ak chcú, aby sa ich práva podľa GDPR uplatnili. Je preto odtrhnuté od reality, keď sa v stanovisku AG tvrdí, že občianskoprávne vymáhanie môže "pripraviť" orgány na ochranu údajov o viac sťažností a relevantných informácií (okrajovo č. 50). V porovnaní s realitou v praxi sa takéto tvrdenia čítajú jednoducho cynicky.
• Keď sa v stanovisku AG navrhuje, aby občianskoprávne súdy "uznali" porušenia len preto, aby poskytli "morálnu satisfakciu" (marginálna poznámka č. 89), čitateľ si kladie otázku, či by akékoľvek "uznanie" za túto cenu viedlo k nejakej satisfakcii, alebo skôr len k (finančnej) druhej viktimizácii dotknutej osoby. Treba mať na pamäti, že občianskoprávne spory sú spojené so značným rizikom nákladov. Aj keby takéto uznanie bolo právne možné (napr. v Rakúsku je deklaratórna žaloba procesne obmedzená), pravdepodobne by si mnohí sudcovia položili otázku, prečo by sa mali angažovať vo veľmi zložitom prípade GDPR len preto, aby vydali rozsudok, ktorým sa "uznáva" porušenie.
• Rovnako súdne príkazy majú často obmedzené použitie, najmä ak ide o porušenia v minulosti. V tomto prípade pošta nemôže "odprocesovať" politickú príslušnosť žalobcu za uplynulé roky. Často sa osobné údaje po ich zverejnení alebo predaji tiež nedajú stiahnuť, ani dôsledky porušenia ochrany údajov sa nedajú jednoducho zrušiť. Rovnako, ak prevádzkovateľ nedodrží právo na prístup v stanovenej lehote, zdá sa, že nie je možné spätne získať kópiu osobných údajov, ktoré po prejednaní a rozhodnutí občianskoprávneho súdu už nemusia ani existovať.
• Hoci zmienka o nezákonných ziskoch je zaujímavá, v skutočnosti sa tieto zisky často dajú len veľmi ťažko vypočítať a tiež sa sotva oplatia v súdnom spore - sú oveľa menšie ako aj tá najminimálnejšia nemajetková ujma.
• Prekvapilo ma aj to, že AG zdôrazňuje, že možnosť zastupovania mimovládnymi organizáciami podľa článku 80 GDPR uľahčuje ochranu všeobecných záujmov jednotlivcov, a používa to ako argument proti nemajetkovej ujme (okrajovo č. 41). V skutočnosti je noyb jedinou mimovládnou organizáciou v Európe, ktorá sa špecializuje na súdne spory podľa článku 80 GDPR, a náš ročný rozpočet by v najlepšom prípade umožnil podať päť až desať občianskoprávnych žalôb ročne - pre celý Európsky hospodársky priestor.

Súhrnne možno povedať, že tieto náznaky a myšlienky v stanovisku AG sú čiastočne zaujímavé, ale zväčša nepredstavujú relevantnú alternatívu. GDPR výslovne umožňuje aj paralelné presadzovanie prostredníctvom DPA alebo systému občianskoprávnych súdov. Je škoda, že orgány DPA a občianske súdy pravidelne poukazujú jeden na druhého, keď sa dotknuté osoby domáhajú nápravy. V praxi je zrejmé, že žaloby podľa GDPR sa príliš často stretávajú s odpoveďou "nemám na stole". Je zrejmé, že nemáme problém s príliš veľkým počtom účinných nástrojov na presadzovanie GDPR, ale v skutočnosti momentálne nemáme žiadnu účinnú cestu.

Aj keby alternatívy presadzovania, ktoré uviedla AG, v praxi skutočne bezproblémovo fungovali (čo sa nedeje), zjavne by nemohli nahradiť potrebu odškodnenia podľa článku 82 GDPR.

4.6. Nasleduje EÚ model odmietnutia zo strany USA?

Každému, kto sa zaoberá ochranou osobných údajov, pripomína stanovisko AG prístup, ktorý v súčasnosti prevláda na súdoch USA. Keďže americké súdy zvyčajne nevidia v žiadnom porušení ochrany osobných údajov "škodu", väčšinu prípadov zamietajú hneď na začiatku, aj keď bol porušený zákon.

Súdy majú silnú motiváciu riadiť sa takouto judikatúrou a stále viac ju rozširovať, pretože sudcom umožňuje bez väčšej námahy zamietnuť komplikované a často skôr politické prípady. táto dynamika vedie k tomu, že zákony o ochrane súkromia sú na občianskoprávnych súdoch takmer nevymáhateľné, pretože ani najagresívnejšie porušenia nevedú v očiach amerických sudcov k žiadnej "škode".

4.7. Kritériá na posudzovanie nemajetkovej ujmy

Stanovisko AG tiež neodpovedalo na otázku o ďalších požiadavkách práva EÚ na posúdenie náhrady škody. Ak by sa stanovisko AG skutočne zaoberalo druhou otázkou, navrhlo by možné objektívne kritériá podľa GDPR na posúdenie náhrady škody, ktoré by mohli vnútroštátne súdy použiť na určenie, či dotknutá osoba utrpela skutočnú nemajetkovú ujmu, a tiež na určenie výšky oprávnenej náhrady škody. Podľa môjho názoru by takéto kritériá mohli obsahovať:

• Druh nezákonného spracúvania alebo iné konanie, ktoré viedlo k porušeniu (napr. sledovanie, profilovanie, sprístupnenie tretím stranám, prenos do tretích krajín, porušenie ochrany údajov, ignorovanie žiadostí podľa kapitoly III GDPR)
• Účel spracúvania (Bol účel aj v záujme dotknutej osoby? Bolo spracúvanie zamerané najmä na komerčný zisk? Išlo o zlý úmysel?)
• Kategória spracúvaných údajov (Porušenie GDPR v súvislosti s údajmi podľa článku 9 alebo 10 GDPR má zvyčajne väčšiu váhu ako porušenie týkajúce sa "necitlivých" údajov. V danom prípade sa pripísaná politická príbuznosť považovala za údaj podľa článku 9 GDPR, čo AG nezaznamenala)
• Rozsah a čas porušenia (Odpoveď na žiadosť o poskytnutie údajov, ktorej sa údaje týkajú, dva dni po uplynutí lehoty podľa článku 12 ods. 1 GDPR nemusí oprávňovať dotknutú osobu na náhradu škody, oneskorenie o dva týždne alebo mesiace by mohlo)

Takéto kritériá by pomohli vnútroštátnym súdom vytvoriť primeranú a harmonickú judikatúru. V skutočnosti to bude (podobne ako v prípade iných právnych predpisov) trvať niekoľko rokov a bude potrebná ďalšia judikatúra, aby sa dospelo k jednotnému systému náhrady škody, podobne ako v prípade náhrady škody v iných oblastiach.

Rozhodujúce je, že relatívne zanedbateľná nemajetková ujma by oprávňovala len na nízke odškodnenie. To je dôležité zdôrazniť, pretože sa zdá, že existujú obavy, že priznanie náhrady nemajetkovej ujmy by viedlo k tomu, že dotknuté osoby by podávali žaloby pre nepatrné porušenia GDPR. Skúsenosti z praxe ukazujú, že táto obava je úplne neopodstatnená. Vysoké náklady na občianskoprávne spory zvyčajne bránia obetiam podávať na súdy iné ako závažné prípady. V skutočnosti ľudia nepodávajú žaloby v hodnote 50 eur bez ohľadu na oblasť práva.

4.8. Zhrnutie o nemajetkovej ujme

Súhrnne možno konštatovať, že stanovisko AG neposkytuje odpovede na výklad článku 82 GDPR. V stanovisku sa výslovne nezaujíma ani konečné stanovisko, či má žalobca vo veci prejednávanej pred SDEÚ nárok na nemajetkovú ujmu.

Stanovisko AG nielenže nevyužíva príležitosť poskytnúť určité usmernenie k článku 82 GDPR v rámci druhej otázky vnútroštátneho súdu, ale namiesto toho dokonca odmieta myšlienku, že by zásady EÚ týkajúce sa účinnosti a rovnocennosti zohrávali úlohu, ak by členské štáty mohli bližšie vymedziť nemajetkovú ujmu podľa GDPR.

Problematické je najmä to, že nemecký pojem "prahde minimis " sa potenciálne zavádza podľa článku 82 GDPR, aj keď zákon takýto prah nestanovuje.

(D) Osobné pripomienky

Zatiaľ čo rozsudky SDEÚ o GDPR sa doteraz riadili prísnou líniou zásad, argumentov a výkladových línií, zdá sa, že stanovisko AG vo veci C-300/21 sa do veľkej miery odchyľuje od akademického alebo čisto právneho výkladu GDPR.

Od nadobudnutia účinnosti GDPR v roku 2018 sme svedkami mnohých súdnych rozhodnutí, ktoré sa snažia "skrotiť" GDPR. Zdá sa, že tento trend sotva vychádza zo skutočného prísneho presadzovania, chýb zákonodarcu alebo príliš prísnych ustanovení - ale z rozsiahlych verejných výkrikov zo strany priemyslu a obchodných praktík (ako sú napríklad zámerne mätúce a frustrujúce "cookie bannery"), ktoré vyvolali problematické vnímanie GDPR vo verejnosti. Pri čítaní niektorých častí stanoviska AG je ťažké ignorovať, že neustále posolstvo priemyslu o tom, že GDPR "zachádza príliš ďaleko", bohužiaľ, pracovalo na výsledku v tomto stanovisku.

Toto PR úsilie treba dať do kontrastu so skutočnosťou, že Európsky parlament schválil GDPR 621 hlasmi za, 22 sa zdržalo hlasovania a 10 hlasov bolo proti tomuto pilieru práv EÚ na ochranu osobných údajov. Rovnako len jeden členský štát hlasoval proti GDPR - keďže Rakúsko považovalo úroveň ochrany za nižšiu ako predchádzajúce vnútroštátne právo. Jedným z hlavných prísľubov bolo v tom čase posilnené presadzovanie práva.

Teraz môžeme len dúfať, že sudcovia SDEÚ zamerajú svoj konečný rozsudok vo veci C-300/21 na to, na čo sa pýtal vnútroštátny súd, čoho sa základný prípad skutočne týka a čo zákonodarca napísal v článku 82 GDPR. Ak sa budú dôsledne uplatňovať len ustálené právne formy výkladu, môžeme dúfať v rozsudok, ktorý objasní uplatňovanie článku 82 GDPR, namiesto toho, aby sa ho snažil prepísať.

* Tieto podania poskytol žalobca, keďže spoločnosť noyb podporovala žalobcu počas podaní na SDEÚ na základe pro-bono. Predloženia iných strán sa podľa rokovacieho poriadku SDEÚ nesmú sprístupniť.