Wyrok z dnia 2024-10-04 sygn. C-507/23

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

WYROK TRYBUNAŁU (ósma izba)

w dniu 4 października 2024 r.

„Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 82 ust. 1 – Prawo do odszkodowania i odpowiedzialność – Bezprawne przetwarzanie danych – Naruszenie prawa do ochrony danych osobowych – Pojęcie szkody - Naprawienie szkody niemajątkowej w formie przeprosin – Dopuszczalność – Zasada skuteczności – Ocena formy i wysokości naprawienia szkody – Ewentualne uwzględnienie postawa i motywy administratora danych”

W sprawie C-507/23

w sprawie wniosku o wydanie orzeczenia w trybie prejudycjalnym na podstawie art. 267 TFUE złożonego przez Augstākā tiesa (Senāts) (Sąd Najwyższy, Łotwa) postanowieniem z dnia 7 sierpnia 2023 r., które wpłynęło do Trybunału w dniu 8 sierpnia 2023 r., w sprawie

A

przeciwko

centra ochrony prawnej Patērētāju,

powiadamia

SĄD (Ósmy Wydział)

w składzie: Prezes Izby N. Piçarra oraz sędziowie N. Jääskinen (sędzia) i M. Gavalec,

Rzecznik Generalny: M. Szpunara,

Sekretarz Sprawiedliwości: A. Calot Escobar,

po procedurze pisemnej,

uwzględniając opinie wydane przez:

– w imieniu Rządu Łotwy przez J. Davidovičę i K. Pommere, działających w charakterze pełnomocników,

– w imieniu Komisji Europejskiej przez A. Bouchagiara, H. Kranenborga i I. Naglisa, działających w charakterze pełnomocników,

uwzględniając decyzję, po wysłuchaniu Rzecznika Generalnego, o rozstrzygnięciu sprawy bez wydania decyzji,

następny

Osąd

1         Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 2016 r., s. 1, i sprostowanie w UE L 127, 2018, s. 2) (dalej jako rozporządzenie o ochronie danych).

2         Wniosek został złożony w sprawie pomiędzy A a Patērētāju relībūsīdības centrs (Łotewski Urząd Ochrony Konsumentów) (zwanym dalej Urzędem Ochrony Konsumentów). Sprawa dotyczy zadośćuczynienia za szkodę niematerialną, którą według A. poniósł w wyniku przetwarzania przez ten organ części jego danych osobowych bez jego zgody.

 Obowiązujące przepisy

 Prawo Unii

3         Powody 1, 75, 85, 146 i 148 rozporządzenia o ochronie danych mają następujące brzmienie:

„(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest prawem podstawowym. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej Kartą) oraz art. 16 ust. 1 [TFUE] stanowią, że każdy ma prawo do ochrony dotyczących go danych osobowych.

…

(75) Ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze może powstać na skutek przetwarzania danych osobowych, które może spowodować szkodę fizyczną, majątkową lub niematerialną, w szczególności jeżeli przetwarzanie może prowadzić do …naruszona reputacja…lub inna znacząca niedogodność finansowa lub społeczna, jeżeli osoby, których dane dotyczą, mogą zostać pozbawione praw i wolności lub uniemożliwione im sprawowanie kontroli nad ich danymi osobowymi, …

…

(85) Incydent związany z danymi osobowymi, który nie zostanie szybko naprawiony w odpowiedni sposób, może prowadzić do szkód fizycznych, materialnych lub niematerialnych dla osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie ich praw, ... uszkodzenie reputację, ... lub inną niedogodność finansową lub społeczną danej osoby fizycznej. …

…

(146) Administrator danych osobowych lub asystent danych osobowych powinni zrekompensować wszelkie szkody, jakie dana osoba może ponieść w wyniku przetwarzania niezgodnego z niniejszym rozporządzeniem. […] Pojęcie szkody należy interpretować szeroko w świetle orzecznictwa Trybunału, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia odszkodowawcze wynikające z naruszeń innych przepisów prawa Unii lub prawa krajowego Państw Członkowskich. […] Rejestrujący powinni otrzymać pełne i skuteczne odszkodowanie za poniesione szkody. …

…

(148) Aby wzmocnić egzekwowanie niniejszego rozporządzenia, za naruszenia niniejszego rozporządzenia należy nałożyć sankcje, w tym kary administracyjne. Należy jednak zwrócić należytą uwagę na charakter, wagę i czas trwania naruszenia oraz na to, czy było ono zamierzone, jakie środki podjęto w celu złagodzenia szkody, stopień odpowiedzialności… oraz wszelkie inne czynniki obciążające lub łagodzące. …”

4         W art. 1 rozporządzenia o ochronie danych, pod nagłówkiem „Cel”, ust. 2 stanowi, co następuje:

„Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.”

5         Artykuł 4 rozporządzenia, zatytułowany „Definicje”, stanowi, co następuje:

„Niniejsze rozporządzenie odnosi się do

1)       dane osobowe: wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (zwanej dalej osobą, której dane dotyczą ), ….

…

7)       administrator danych osobowych: osoba fizyczna lub prawna, organ publiczny, instytucja lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; …

…

12)       incydent dotyczący danych osobowych: zdarzenie bezpieczeństwa, które prowadzi do przypadkowego lub nielegalnego zniszczenia, utraty lub zmiany albo do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,

…”

6         W art. 6 tego samego rozporządzenia, zatytułowanym „Zgodne z prawem przetwarzanie danych osobowych”, pkt 1 stanowi, że przetwarzanie danych osobowych jest legalne tylko wtedy i w zakresie, w jakim spełniona jest co najmniej jedna z przesłanek wymienionych w tym punkcie.

7         Rozdział VIII rozporządzenia o ochronie danych, zatytułowany „Środki zaradcze, odpowiedzialność i sankcje”, zawiera art. 77–84.

8         Artykuł 82 rozporządzenia o ochronie danych zatytułowany „Odpowiedzialność i prawo do odszkodowania” stanowi w ust. 1 i 2, co następuje:

„1. Każdej osobie, która w wyniku naruszenia niniejszego rozporządzenia poniosła szkodę majątkową lub niematerialną, przysługuje prawo do odszkodowania od administratora danych osobowych lub asystenta ds. danych osobowych za powstałą szkodę.

2. Każdy administrator danych osobowych, który brał udział w przetwarzaniu, ponosi odpowiedzialność za szkody spowodowane przetwarzaniem niezgodnym z niniejszym rozporządzeniem. …”

9         Artykuł 83 rozporządzenia o ochronie danych, zatytułowany „Ogólne warunki nakładania kar administracyjnych”, w ust. 2 stanowi, co następuje:

„...Podejmując decyzję o nałożeniu kar administracyjnych oraz o ich wysokości w każdym indywidualnym przypadku, należy zwrócić szczególną uwagę na:

a) Charakter, wagę i czas trwania naruszenia, biorąc pod uwagę charakter, zakres lub cel danego przetwarzania danych, a także liczbę osób, których dane dotyczą, i poniesione przez nie szkody.

b) Jeżeli naruszenie nastąpiło umyślnie lub w wyniku zaniedbania.

c) Środki podjęte przez administratora danych osobowych lub asystenta danych osobowych w celu złagodzenia szkody poniesionej przez osoby, których dane dotyczą.

…

k) Wszelkie inne czynniki obciążające lub łagodzące mające zastosowanie do okoliczności sprawy, takie jak osiągnięty zysk finansowy lub uniknięta strata, bezpośrednio lub pośrednio, w wyniku naruszenia.

10       Artykuł 84 rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1:

„Państwa członkowskie ustanawiają przepisy dotyczące innych sankcji za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające nałożeniu kar administracyjnych na mocy art. 83, i podejmują wszelkie niezbędne środki w celu zapewnienia ich wdrożenia. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.”

 Łotewskie danie

11       W art. 14 Valsts pārāvādes instātu nodarīto zūzūtu atlīdīnas likums (ustawy o odszkodowaniach za szkody wyrządzone przez władze) z dnia 2 czerwca 2005 r. ( Latvijas Vēstnesis 2005, nr 96) w brzmieniu obowiązującym w postępowaniu głównym (zwanego dalej: Ustawa z 2005 r.), zatytułowana „Ustalanie odszkodowania za szkodę niemajątkową”, stanowi, co następuje:

„1. Obowiązek naprawienia szkody niemajątkowej powstaje w zależności od wagi naruszonych prawnie chronionych praw i interesów oraz wagi danego naruszenia, na tle uzasadnienia oraz podstawy faktycznej i prawnej działania organu, zachowania i współodpowiedzialności pokrzywdzonego oraz innych okoliczności istotnych dla niniejszej sprawy.

2. Naprawienie szkody niematerialnej następuje poprzez przywrócenie stanu, jaki istniał przed powstaniem szkody, a jeżeli jest to całkowicie lub częściowo niemożliwe albo takie rozwiązanie jest niewłaściwe – poprzez złożenie przeprosin albo zapłatę rozsądnego odszkodowania .

3. Jeżeli organ lub sąd po ocenie okoliczności sprawy uzna, że ​​naruszenie dóbr osobistych lub prawnie chronionych interesów jednostki nie jest poważne, pisemne lub publiczne przeprosiny mogą stanowić samodzielne lub uzupełniające naprawienie szkody niematerialnej .

4. Zadośćuczynienie za szkodę niemajątkową można ustalić maksymalnie na kwotę 7 000 euro. W przypadku poważnej szkody niemajątkowej wysokość odszkodowania może zostać ustalona maksymalnie na kwotę 10 000 euro, natomiast w przypadku uszczerbku na życiu lub szczególnie poważnego uszczerbku na zdrowiu maksymalną wysokość odszkodowania można określić na maksymalnie 30 000 euro.”

 Sprawa przed sądem krajowym i pytania interpretacyjne

12       Skarżący w sprawie krajowej jest dziennikarzem znanym na Łotwie jako ekspert w dziedzinie motoryzacji.

13       W ramach kampanii mającej na celu zwiększenie świadomości konsumentów w zakresie zagrożeń związanych z zakupem pojazdów używanych organ ochrony konsumentów rozpowszechnił na kilku stronach internetowych klip wideo, w którym pojawia się m.in. osoba naśladująca A, bez uprzedniego podania przez A jego zgodę na to.

14       Chociaż A sprzeciwił się produkcji i dystrybucji tego klipu wideo, pozostał on dostępny w Internecie. Organ ds. ochrony konsumentów odrzucił także wyraźny wniosek A o zaprzestanie rozpowszechniania informacji oraz jego roszczenie o odszkodowanie ze względu na naruszenie jego reputacji.

15       Następnie A wniósł pozew do administrativā rajona tiesa (Sądu Administracyjnego Pierwszej Instancji, Łotwa) wnosząc o stwierdzenie, że Agencja Ochrony Konsumentów działała niezgodnie z prawem, wykorzystując i rozpowszechniając dane osobowe A bez pozwolenia, oraz że A powinien otrzymać odszkodowanie za szkodę niematerialną w formie przeprosin i odszkodowania w wysokości 2000 euro. Ustaliwszy, że działania te były niezgodne z prawem, wspomniany sąd nakazał Urzędowi Ochrony Konsumentów zaprzestanie działań i publiczne przeproszenie A oraz zapłatę A odszkodowania w wysokości 100 euro w ramach zadośćuczynienia za poniesioną przez niego szkodę niematerialną.

16       Po apelacji Administratīvā apgabaltiesa (regionalny sąd administracyjny, Łotwa) w wyroku z dnia 20 maja 2023 r. stwierdził, że przetwarzanie danych osobowych przez Agencję Ochrony Konsumentów na podstawie art. 6 rozporządzenia o ochronie danych jest niezgodne z prawem. Stosując art. 14 ustawy z 2005 r., wspomniany sąd nakazał UOKiK zaprzestanie działań i zamieszczenie przeprosin na stronach internetowych, które rozpowszechniły wideoklip. Jednakże sąd ten oddalił żądanie naprawienia szkody pieniężnej za niematerialną szkodę poniesioną przez A. W tym względzie sąd krajowy stwierdził między innymi, że naruszenie nie było poważne, ponieważ klip wideo miał na celu wykonanie zadania leżącego w interesie publicznym, a nie wyrządzenie szkody reputacji, honorowi i godności A. Ponadto sąd ten uznał, że naruszenie nastąpiło na skutek błędnej interpretacji przez UOKiK skomplikowanych przepisów prawa.

17       W skardze do Augstākā tiesa (Senāts) (sądu najwyższego, Łotwa), który jest sądem odsyłającym w niniejszej sprawie, A zakwestionował ten wyrok w zakresie, w jakim odmówiono mu naprawienia szkody niemajątkowej. A zasadniczo podniósł, że sąd drugiej instancji błędnie ocenił wagę naruszenia jego praw oraz szkody, jaką to naruszenie spowodowało. Podniósł również, że rekompensata w formie przeprosin nie jest ani sprawiedliwa, ani odpowiednia w świetle art. 82 rozporządzenia o ochronie danych.

18       W pierwszej kolejności sąd odsyłający rozważa w świetle wyroku z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa wskutek przetwarzania danych osobowych) (C‑300/21, EU:C:2023:370) ( zwanego dalej wyrokiem Österreichische Post), że art. 82 rozporządzenia o ochronie danych nie pozwala na podjęcie decyzji w sprawie odszkodowania za naruszenie tego rozporządzenia bez uprzedniego ustalenia, że istnieje szkoda spowodowana tym naruszeniem. Zdaniem sądu odsyłającego sąd drugiej instancji w niniejszej sprawie naruszył art. 82, orzekając o takim zadośćuczynieniu bez ustalenia, czy doszło do naruszenia dobrego imienia, honoru i godności A. W tym kontekście sąd odsyłający pragnie uzyskać jasność co do tego, czy nielegalne przetwarzanie danych osobowych w świetle art. 1 ust. 2 rozporządzenia o ochronie danych oraz jego motywów 75, 85 i 146 może samo w sobie stanowić naruszenie podstawowych prawo do ochrony danych osobowych, które gwarantuje art. 8 ust. 1 Karty, a zatem stanowią „szkodę” w rozumieniu wspomnianego art. 82, nawet jeżeli nie została wykazano, że reputacja, honor lub godność osoby, której dane dotyczą, zostały naruszone.

19       Po drugie, sąd odsyłający zwraca się o wyjaśnienia dotyczące godziwego odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 rozporządzenia o ochronie danych, zgodnie z wykładnią wyroku z dnia 4 maja 2023 r., Österreichische Post (C‑300/21, EU:C :2023:370). Sąd odsyłający pragnie doprecyzować, czy obowiązek złożenia przeprosin pokrzywdzonemu, który zgodnie z prawem łotewskim może stanowić samodzielną lub uzupełniającą formę odszkodowania, może w niektórych przypadkach zostać uznany za wystarczający zadośćuczynienie z punktu widzenia powiedział art. 82 ust. 1.

20       Po trzecie, w świetle pkt 58 wyroku w sprawie Österreichische Post sąd odsyłający pragnie wyjaśnić, czy art. 82 ust. 1 rozporządzenia o ochronie danych umożliwia przy ocenie formy i wysokości odszkodowania, do którego uprawnia ten przepis, uwzględnienia okoliczności towarzyszących, a nawet uzasadnionych, działań osoby winnej naruszenia przepisów niniejszego rozporządzenia.

21       W tym kontekście Augstākā tiesa (Senāts) (sąd najwyższy) postanowił zawiesić sprawę i zadać Europejskiemu Trybunałowi Sprawiedliwości następujące pytania:

„1. Czy art. 82 ust. 1 [rozporządzenia o ochronie danych] należy interpretować w ten sposób, że niezgodne z prawem przetwarzanie danych osobowych, stanowiące naruszenie [tego rozporządzenia], może samo w sobie stanowić nieuzasadnione naruszenie podmiotowego prawa osoby do ochrony danych osobowych i krzywdę tej osoby?

2. Czy art. 82 ust. 1 [rozporządzenia o ochronie danych] należy interpretować w ten sposób, że dopuszczający nałożenie obowiązku przeprosin jako jedynego naprawienia szkody niematerialnej, gdy nie ma możliwości przywrócenia stanu sprzed szkody?

3. Czy art. 82 ust. 1 [rozporządzenia o ochronie danych] należy interpretować w ten sposób, że dopuszcza istnienie okoliczności wskazujących na zamiar i motyw działania administratora danych (np. konieczność wykonania zadania leżącego w interesie publicznym, brak zamiaru wyrządzenia szkody osobie fizycznej) lub trudności w zrozumieniu obowiązujących przepisów) może stanowić podstawę do ustalenia niższego odszkodowania za taką szkodę?”

 Badanie pytań interpretacyjnych

 Pierwsze pytanie

22       Sąd odsyłający zadał pytanie pierwsze w celu wyjaśnienia, czy art. 82 ust. 1 rozporządzenia o ochronie danych w porównaniu z art. 8 ust. 1 statutu należy interpretować w ten sposób, że naruszenie przepisów tego rozporządzenia Rozporządzenie samo w sobie jest wystarczające, aby stanowić szkodę w rozumieniu, o którym mowa w art. 82 ust. 1.

23       Artykuł 82 ust. 1 rozporządzenia o ochronie danych stanowi, że „[każda osoba, która w wyniku naruszenia niniejszego rozporządzenia poniosła szkodę majątkową lub niematerialną, ma prawo do odszkodowania od administratora danych osobowych lub asystenta danych osobowych za powstałą szkodę „.

24       Trybunał wielokrotnie interpretował ten art. 82 ust. 1 w taki sposób, że samo naruszenie tego rozporządzenia nie wystarczy, aby dać prawo do odszkodowania na podstawie tego przepisu, ponieważ istnienie materialnej lub niematerialnej „szkody”, która została „poniesiona „ stanowi jedną z przesłanek prawa do odszkodowania przewidzianego w tym przepisie, a także że musi nastąpić naruszenie przepisów tego rozporządzenia oraz związek przyczynowy pomiędzy tą szkodą a tą szkodą naruszenia, przy czym te trzy warunki kumulują się. Osoba żądająca na podstawie tego przepisu naprawienia szkody niematerialnej ma zatem obowiązek wykazać nie tylko, że doszło do naruszenia przepisów tego rozporządzenia, ale także, że naruszenie to wyrządziło zainteresowanemu taką szkodę (patrz np. z podobnej argumentacji wyrok z dnia 4 maja 2023 r., Österreichische Post, C‑300/21, EU:C:2023:370, pkt 32, 33, 42 i 50, wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C-182/22 i C-189/22, EU:C:2024:531, pkt 41 i 42 oraz wyrok z dnia 20 czerwca 2024 r., PS (Nieprawidłowy adres), C ‑590/22, EU:C:2024:536, pkt 22, 24, 25 i 27).

25       Ponieważ te trzy przesłanki są konieczne i wystarczające, aby móc ubiegać się o odszkodowanie w rozumieniu art. 82 ust. 1 rozporządzenia o ochronie danych (wyrok z 14 grudnia 2023 r., Gemeinde Ummendorf, C-456/22, EU:C:2023 :988, ust. 14), uprawnienia tego nie można uzależniać od wykazania dodatkowo, że osoba, której dane dotyczą, w rozumieniu art. 4 pkt 1 rozporządzenia, została poddana nieuzasadnionej ingerencji w interes prawny, który rozporządzenie ma chronić, jakim jest prawo takiej osoby do ochrony jej danych osobowych.

26       Ponadto Trybunał podkreślił, że nawet jeśli naruszony przepis rozporządzenia o ochronie danych przyznawałby osobom fizycznym prawa, takie naruszenie nie może samo w sobie stanowić „szkody niematerialnej” w rozumieniu tego rozporządzenia i ustanawiać prawa do odszkodowania na podstawie tego rozporządzenia, gdyż zgodnie z rozporządzeniem wymagane jest spełnienie również dwóch pozostałych warunków, o których mowa w paragrafie 24 powyżej (zob. z podobnym uzasadnieniem wyrok z dnia 11 kwietnia 2024 r., juris, C‑741/21, EU:C:2024:288, pkt 40).

27       Za taką wykładnią art. 82 ust. 1 rozporządzenia o ochronie danych przemawiają motywy 75, 85 i 146 tego rozporządzenia. Z tych powodów wynika, po pierwsze, że wystąpienie szkody w związku z niezgodnym z prawem przetwarzaniem danych osobowych jest jedynie potencjalną, a nie automatyczną konsekwencją takiego przetwarzania, po drugie, że naruszenie rozporządzenia o ochronie danych niekoniecznie pociąga za sobą szkody i po trzecie, że aby istniało prawo do odszkodowania, musi istnieć związek przyczynowy pomiędzy danym naruszeniem a szkodą poniesioną przez osobę, której dane dotyczą (zob. z podobnym uzasadnieniem wyrok z dnia z dnia 4 maja 2023 r., Österreichische Post, C‑300/21, EU:C:2023:370, pkt 37).

28       Taka wykładnia może zatem zapewnić ochronę danych osobowych jako prawa podstawowego potwierdzonego w art. 8 ust. 1 karty, o którym mowa w motywie 1 rozporządzenia o ochronie danych.

29       W świetle powyższego na pytanie pierwsze należy odpowiedzieć w następujący sposób: Artykuł 82 ust. 1 rozporządzenia o ochronie danych osobowych w porównaniu z art. 8 ust. 1 ustawy należy interpretować w ten sposób, że naruszenie przepisów tego rozporządzenia rozporządzenie samo w sobie nie wystarcza, aby stanowić szkodę w tym sensie, o której mowa w art. 82 ust.

 Drugie pytanie

30       Sąd odsyłający zadał pytanie drugie w celu wyjaśnienia, czy art. 82 ust. 1 rozporządzenia o ochronie danych należy interpretować w ten sposób, że złożenie przeprosin może stanowić odpowiednie zadośćuczynienie za szkodę niematerialną w rozumieniu tego przepisu, w tym wówczas, gdy niemożliwe jest przywrócenie stanu, jaki istniał przed wystąpieniem szkody.

31       Zgodnie z utrwalonym orzecznictwem do każdego państwa członkowskiego należy określenie w swoim porządku prawnym przepisów proceduralnych mających zastosowanie do form wypowiedzi mających na celu zapewnienie ochrony praw jednostki, zgodnie z zasadą autonomii proceduralnej. Jednakże w przypadkach objętych prawem unijnym przepisy te nie mogą być mniej korzystne niż te regulujące podobne sytuacje krajowe (zasada równoważności), ani uniemożliwiać lub nadmiernie utrudniać w praktyce wykonywanie praw wynikających z prawa Unii (zasada skuteczności) (wyrok z dnia 4 maja 2023 r., Österreichische Post, C‑300/21, EU:C:2023:370, pkt 53 i wyrok z dnia 20 czerwiec 2024 r., Scalable Capital, C‑182/22 i C‑189/22, EU:C:2024:531, pkt 32).

32       Ponieważ rozporządzenie o ochronie danych nie zawiera przepisu mającego na celu ustalenie zasad oceny odszkodowania należnego w ramach prawa do odszkodowania przewidzianego w art. 82 tego rozporządzenia, w niniejszej sprawie sądy krajowe w tym przypadku oceny, zastosować wewnętrzne przepisy każdego państwa członkowskiego dotyczące wysokości rekompensaty finansowej, pod warunkiem zachowania zasad równoważności i skuteczności prawa unijnego (zob. z podobnym uzasadnieniem wyrok z 4 maja 2023, Österreichische Post, C-300/21, EU:C:2023:370, pkt 54 i 59, wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C-182/22 i C-189/22, EU:C: 2024 :531, paragrafy 27 i 33 oraz wyrok z 20 czerwca 2024 r., PS (Incorrect adres), C‑590/22, EU:C:2024:536, pkt 40).

33       Jeśli chodzi o przestrzeganie zasady równoważności, Trybunał nie zapoznał się z żadną informacją wskazującą, że zasada ta mogłaby mieć konkretny wpływ w sprawie krajowej.

34       Jeśli chodzi o przestrzeganie zasady skuteczności, fakt, że prawo do odszkodowania na podstawie art. 82 rozporządzenia o ochronie danych funkcjonuje wyłącznie jako odszkodowanie, oznacza, że ​​kryteria, którymi należy się kierować przy ocenie odszkodowania, któremu ten przepis przyznaje prawo musi być określone w porządku prawnym każdego państwa członkowskiego, przy czym odszkodowanie to musi być pełne i skuteczne, przy czym dla takiego pełnego odszkodowania nie jest konieczne wymierzanie odszkodowania o charakterze karnym (zob. z podobnym uzasadnieniem wyrok z dnia 4 maja 2023, Österreichische Post, C-300/21, EU:C:2023:370, pkt 57 i 58, wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C-182/22 i C-189/22, EU:C: 2024 :531, paragrafy 23, 24, 35, 36 i 43 oraz wyrok Sądu 20 czerwca 2024 r., PS (Nieprawidłowy adres), C‑590/22, EU:C:2024:536, pkt 42).

35       Trybunał przyznał również, że jeżeli szkoda poniesiona przez osobę, której dane dotyczą, nie jest poważna, sąd krajowy może zrekompensować tę szkodę, przyznając tej osobie niewielką kwotę odszkodowania, pod warunkiem że przyznana w ten sposób niewielka kwota odszkodowania w pełni rekompensuje szkody, której zbadanie należy do sądu odsyłającego (zob. podobne uzasadnienie wyrok z dnia 20 czerwca 2024 r., Scalable Capital, C-182/22 i C‑189/22, EU:C:2024:531, pkt 46).

36       Artykuł 82 ust. 1 rozporządzenia o ochronie danych nie stoi również na przeszkodzie temu, aby przeprosiny stanowiły samodzielne lub uzupełniające naprawienie szkody niematerialnej, jak w niniejszej sprawie przewiduje art. 14 ustawy z 2005 r., pod warunkiem że taka forma odszkodowania jest zgodna z zasadą równoważności i zasadą skuteczności, w szczególności powinna umożliwiać pełne zrekompensowanie szkody niematerialnej faktycznie poniesionej w wyniku naruszenia tej zasady rozporządzenia, którego zbadanie należy do sądu krajowego w świetle okoliczności każdego indywidualnego przypadku.

37       W świetle powyższego na pytanie drugie należy odpowiedzieć w następujący sposób: Artykuł 82 ust. 1 rozporządzenia o ochronie danych należy interpretować w ten sposób, że złożenie przeprosin może stanowić odpowiednie zadośćuczynienie za szkodę niematerialną wynikającą z tego przepisu, także wtedy, gdy niemożliwe jest przywrócenie stanu, jaki istniał przed wystąpieniem szkody. Dotyczy to jednak pod warunkiem, że ta forma odszkodowania w pełni zrekompensuje szkodę poniesioną przez osobę zarejestrowaną.

 Trzecie pytanie

38       Sąd odsyłający zadał pytanie trzecie w celu wyjaśnienia, czy art. 82 ust. 1 rozporządzenia o ochronie danych należy interpretować w ten sposób, że stanowi on przeszkodę dla postawy i motywów osoby odpowiedzialnej za przetwarzanie danych osobowych uwzględniane, aby w stosownych przypadkach przyznać osobie, której dane dotyczą, odszkodowanie niższe niż rzeczywista szkoda poniesiona przez tę osobę.

39       Po pierwsze, z art. 83 rozporządzenia o ochronie danych w porównaniu z motywem 148 tego rozporządzenia wynika, że ​​przy podejmowaniu decyzji o nałożeniu kary administracyjnej i ustalaniu jej wysokości uwzględnia się między innymi kryteria dotyczące do postawy i motywów administratora danych osobowych należy wziąć pod uwagę, jako „czynnik obciążający lub łagodzący”. Jednakże kryteria te nie są wymienione w art. 82 rozporządzenia, a ponadto nie w motywie 146 rozporządzenia, który wyraźnie odnosi się do prawa do odszkodowania na mocy art. 82.

40       Brak odniesienia do takich kryteriów uzasadnia fakt, że art. 82 rozporządzenia o ochronie danych pełni wyłącznie funkcję kompensacyjną, gdyż rekompensata, w szczególności finansowa, wsparta art. 82, powinna umożliwić pełną rekompensatę poniesioną szkodę, w odróżnieniu od innych przepisów Rozporządzenia, które znajdują się także w Rozdziale VIII Rozporządzenia, czyli art. 83 i 84. Przepisy te mają głównie cel karny, gdyż umożliwiają nałożyć kary administracyjne i inne sankcje (zob. z podobnym uzasadnieniem wyrok z 4 maja 2023 r., Österreichische Post, C-300/21, EU:C:2023:370, pkt 38 ​​i 40 oraz wyrok z 20 czerwca 2024 r., Scalable Kapitał, C‑182/22 i C‑189/22, EU:C:2024:531, punkt 22).

41       Biorąc pod uwagę różnice w brzmieniu i celu pomiędzy art. 82 rozporządzenia o ochronie danych w porównaniu z motywem 146 tego samego rozporządzenia a art. 83 rozporządzenia w porównaniu z motywem 148 rozporządzenia, kryteria oceny określone szczegółowo w art. 83 nie można zatem uznać za mającego zastosowanie w mających zastosowanie częściach w ramach art. 82 (wyrok z 20 czerwca 2024 r., PS (Nieprawidłowy adres), C‑590/22, EU:C:2024:536, pkt 43 i przytoczone tam orzecznictwo). Stwierdzenie to dotyczy w szczególności ustalenia wysokości odszkodowania należnego z tytułu naprawienia szkody na podstawie wspomnianego art. 82 (zob. podobne uzasadnienie wyrok z 20 czerwca 2024 r., PS (Nieprawidłowy adres), C-590/ 22, EU:C:2024:536, pkt 39 i 44) oraz, szerzej, ustalenie formy, finansowej lub innej, oraz wysokości takiego odszkodowania.

42       Po drugie, fakt, że prawo do odszkodowania przewidziane w art. 82 ust. 1 Rozporządzenia o ochronie danych funkcjonuje wyłącznie jako odszkodowanie, uniemożliwia rozważenie wagi naruszenia tego rozporządzenia przez administratora danych osobowych oraz tego, czy naruszenie to miało miejsce umyślnie ( zob. z podobnej argumentacji wyrok z 20 czerwca 2024 r., Scalable Capital, C‑182/22 i C‑189/22, EU:C:2024:531, pkt 28–30).

43       Zważywszy, że prawo do odszkodowania pełni jedynie funkcję kompensacyjną, a nie represyjną, waga takiego naruszenia nie może mieć wpływu na wysokość odszkodowania zasądzonego na podstawie art. 82 ust. 1 i kwoty tej nie można ustalić na poziomie przekraczającym pełne odszkodowanie za tę szkodę (zob. podobne rozumowanie wyrok z 20 czerwca 2024 r., PS (Nieprawidłowy adres), C-590/22, EU:C:2024:536, pkt 41 i przytoczone tam orzecznictwo). Przy ustalaniu wysokości takiej rekompensaty pieniężnej uwzględnia się jedynie rzeczywistą szkodę poniesioną przez osobę, której dane dotyczą (zob. podobne uzasadnienie wyrok z 11 kwietnia 2024 r., juris, C-741/21, EU:C:2024: 288, pkt 64).

44       Podobnie, wyłącznie kompensacyjna funkcja art. 82 ust. 1 nie byłaby zachowana, gdyby przy ustalaniu formy przyznanego na podstawie tego przepisu odszkodowania lub w celu przyznania odszkodowania „mniejszego” brano pod uwagę postawę i motywy administratora niż „pełne odszkodowanie za szkodę poniesioną przez osobę, której dane dotyczą, jak uznał sąd odsyłający w niniejszej sprawie”.

45       W świetle powyższego na pytanie trzecie należy odpowiedzieć w następujący sposób: Artykuł 82 ust. 1 rozporządzenia o ochronie danych należy interpretować w ten sposób, że uniemożliwiający uwzględnienie postawy i motywów administratora danych osobowych w celu ewentualnego udzielenia danych przedmiotowe odszkodowanie niższe od rzeczywistej szkody poniesionej przez osobę zainteresowaną.

 Koszty prawne

46       Ponieważ postępowanie toczące się pomiędzy stronami w postępowaniu głównym stanowi etap przygotowania tego samego postępowania, rozstrzygnięcie w sprawie kosztów należy do sądu odsyłającego. Koszty przedstawienia opinii do sądu poniesione przez strony inne niż wymienione nie podlegają rekompensacie.

W tym kontekście Trybunał (ósma izba) postanawia, co następuje:

1)       Art. 82 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz w sprawie uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w porównaniu z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej,

należy interpretować jako,

że naruszenie przepisów tego rozporządzenia nie jest samo w sobie wystarczające, aby stanowić szkodę w rozumieniu art. 82 ust. 1.

2)       Art. 82 ust. 1 rozporządzenia 2016/679

należy interpretować jako,

że złożenie przeprosin może stanowić odpowiednie zadośćuczynienie za szkodę niemajątkową w rozumieniu tego przepisu, także wtedy, gdy nie da się przywrócić stanu, jaki istniał przed wystąpieniem szkody. Dotyczy to jednak pod warunkiem, że ta forma odszkodowania w pełni zrekompensuje szkodę poniesioną przez osobę zarejestrowaną.

3)       Art. 82 ust. 1 rozporządzenia 2016/679

należy interpretować jako,

stanowi to przeszkodę w uwzględnieniu postawy i motywów osoby odpowiedzialnej za dane osobowe w celu, w stosownych przypadkach, przyznania osobie, której dane dotyczą, odszkodowania niższego niż rzeczywista szkoda poniesiona przez tę osobę.