Wyrok TSUE w Luksemburg z dnia 04 września 2025, sygn. C-655/23

 Postępowanie główne i pytania prejudycjalne

23      Skarżący w postępowaniu głównym ubiegał się, za pośrednictwem internetowej sieci społecznościowej do nawiązywania kontaktów zawodowych, o zatrudnienie w Quirin Privatbank, spółce prawa niemieckiego. Następnie pracownica tej spółki skorzystała z usług poczty elektronicznej tej sieci w celu wysłania do osoby trzeciej, która nie uczestniczyła w tym procesie rekrutacji, wiadomości skierowanej wyłącznie do skarżącego w postępowaniu głównym, w której informowała go o odrzuceniu jego żądań płacowych i oferowała mu inne wynagrodzenie (zwanej dalej „sporną wiadomością”). Ta osoba trzecia, która znała skarżącego w postępowaniu głównym, ponieważ wcześniej z nim pracowała, przekazała mu tę wiadomość i zapytała go, czy szuka on pracy.

24      Skarżący w postępowaniu głównym wytoczył przed Landgericht Darmstadt (sądem krajowym w Darmstadt, Niemcy) powództwo o nakazanie Quirin Privatbank, po pierwsze, zaniechania przetwarzania dotyczących go danych osobowych w związku z jego kandydaturą – co ponowiłoby ich nieuprawnione ujawnienie w następstwie wysłania spornej wiadomości, a po drugie, zasądzenia na jego rzecz odszkodowania za szkodę niemajątkową wynikającą jego zdaniem z tego zdarzenia. Podniósł on zasadniczo, że szkoda ta tkwi w jego obawach wynikających z faktu, że co najmniej jedna osoba trzecia, która go zna i pracuje w tym samym sektorze zawodowym co on, może przekazać te poufne dane byłym lub potencjalnym pracodawcom, skorzystać z przewagi nad nim w wypadku ewentualnej konkurencji przy rekrutacji oraz dostrzec upokorzenie, które odczuwał, gdy jego negocjacje płacowe zakończyły się niepowodzeniem.

25      Wyrokiem z dnia 26 maja 2020 r. sąd pierwszej instancji nakazał Quirin Privatbank zaniechanie działań, o których mowa w pozwie, i zapłatę na rzecz skarżącego w postępowaniu głównym odszkodowania w wysokości 1000 EUR wraz z odsetkami. Quirin Privatbank wniósł apelację od tego wyroku.

26      Wyrokiem z dnia 2 marca 2022 r. Oberlandesgericht Frankfurt (wyższy sąd krajowy we Frankfurcie, Niemcy) częściowo zmienił wspomniany wyrok. Sąd ten uznał, że skarżący w postępowaniu głównym miał prawo, na podstawie art. 17 ust. 1 RODO, wymagać, aby Quirin Privatbank zaniechał przetwarzania w przyszłości jego danych osobowych w formie podobnej jak w przypadku spornej wiadomości i że istniało w tym względzie ryzyko ponowienia naruszenia. Sąd ten oddalił natomiast żądanie odszkodowania na podstawie art. 82 tego rozporządzenia ze względu na to, że wprawdzie doszło do naruszenia przepisów o ochronie danych osobowych z uwagi na przekazanie takich danych osobie trzeciej, której dane te nie dotyczą, ale skarżący w postępowaniu głównym nie przedstawił dowodu na istnienie konkretnej szkody, oraz że nawet przy założeniu, iż doznał on upokorzenia, nie można tego uznać za szkodę niemajątkową.

27      Zarówno skarżący w postępowaniu głównym, jak i Quirin Privatbank wnieśli skargę rewizyjną od tego wyroku do Bundesgerichtshof (federalnego trybunału sprawiedliwości, Niemcy), który jest sądem odsyłającym. Przed sądem tym pierwszy z nich podtrzymuje swoje pierwotne żądania, podczas gdy drugi wnosi o oddalenie ich w całości.

28      Sąd odsyłający uważa, że operacje kwestionowane przez skarżącego w postępowaniu głównym są objęte zakresem stosowania RODO. Wskazuje on, że operacje te stanowią „przetwarzanie” „danych osobowych” „osoby, której dane dotyczą” i że Quirin Privatbank ma status „administratora” w rozumieniu art. 4 pkt 1, 2 i 7 tego rozporządzenia. Zdaniem tego sądu bezsporne jest, że wspomniane operacje, które przybrały formę nieuprawnionego przekazania takich danych „osobie trzeciej” w rozumieniu art. 4 pkt 10 RODO, naruszyły przepisy tego rozporządzenia i są niezgodne z prawem na podstawie jego art. 6 ust. 1, w szczególności dlatego, że skarżący w postępowaniu głównym nie wyraził na nie zgody.

29      Sąd ten zastanawia się, po pierwsze, czy RODO przyznaje osobie, której dane osobowe były przetwarzane niezgodnie z prawem, prawo do żądania, aby administrator zaniechał takiego ponownego powtarzania, również w sytuacji gdy osoba ta nie żąda usunięcia swoich danych. W świetle orzecznictwa krajowego i debat na ten temat w doktrynie wspomniany sąd pragnie dowiedzieć się, czy prawo to, które, jak wyjaśnia, jest wykonywane na zasadzie czysto prewencyjnej, może wynikać z art. 17 tego rozporządzenia, dotyczącego prawa do takiego usunięcia danych, z art. 18 tego rozporządzenia, dotyczącego prawa do ograniczenia przetwarzania, z art. 79 wspomnianego rozporządzenia, dotyczącego prawa do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu, lub z jakiegokolwiek innego przepisu tego rozporządzenia.

30      Po drugie, na wypadek udzielenia odpowiedzi twierdzącej na te pytania sąd odsyłający zamierza do ustalenia, w świetle swojego własnego orzecznictwa opartego na art. 2 ustawy zasadniczej Republiki Federalnej Niemiec i na stosowaniu § 823 w związku z § 1004 BGB, po pierwsze, czy takie prawo do żądania od administratora zaniechania ponownego naruszenia RODO jest uzależnione od istnienia ryzyka ponowienia naruszenia, a po drugie, czy to ryzyko to należy w stosownym przypadku domniemywać z uwagi na pierwotne naruszenie.

31      Po trzecie, w przeciwnym wypadku, gdyby na dwie części pytania pierwszego udzielono odpowiedzi przeczącej, sąd ten dąży do ustalenia, czy z łącznej lektury art. 79 i 84 RODO, które dotyczą, odpowiednio, prawa do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi oraz sankcji za naruszenie tego rozporządzenia, wynika, że sąd państwa członkowskiego jest uprawniony do nakazania administratorowi takiego zaniechania na podstawie przepisów krajowych, przyznając jednocześnie osobie, której dane dotyczą, możliwość korzystania z praw przewidzianych w art. 17, 18 i 82 wspomnianego rozporządzenia.

32      Po czwarte, sąd odsyłający zastanawia się nad przesłankami, od których spełnienia uzależnione jest prawo do odszkodowania za szkodę na podstawie art. 82 ust. 1 RODO w związku z motywami 75 i 85 tego rozporządzenia. Sąd ten zastanawia się w szczególności, jakie elementy pozwalają scharakteryzować „szkodę niemajątkową” w rozumieniu tego art. 82 ust. 1, w przypadku gdy osoba, której dane dotyczą, powołuje się wyłącznie na negatywne odczucia, które zdaniem tego sądu stanowią część ogólnego ryzyka życia codziennego.

33      Po piąte, wspomniany sąd zastanawia się, czy przy ustalaniu wysokości odszkodowania za szkodę niemajątkową należnego na podstawie art. 82 ust. 1 RODO należy wziąć pod uwagę stopień winy administratora. Wyjaśnia on, że w prawie niemieckim odszkodowanie pieniężne za szkodę niemajątkową wymaga uwzględnienia między innymi stopnia winy sprawcy szkody, ponieważ zgodnie z orzecznictwem dotyczącym § 253 BGB odszkodowanie to pełni zarówno funkcję wyrównawczą za szkodę poniesioną przez poszkodowanego, jak i funkcję zadośćuczynienia należnego tej osobie od sprawcy.

34      Po szóste, na wypadek udzielenia odpowiedzi twierdzącej na jedną z dwóch części pytania pierwszego lub na pytanie trzecie, sąd odsyłający zmierza do ustalenia, czy prawo osoby, której dane dotyczą, do żądania, aby administrator zaniechał ponownego naruszenia RODO, stanowi istotne kryterium dla ograniczenia, a nawet wykluczenia odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 tego rozporządzenia, podobnie jak byłoby to możliwe na mocy prawa niemieckiego.

35      W tych okolicznościach Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      a)      Czy wykładni art. 17 RODO należy dokonywać w ten sposób, że osobie, której dane osobowe zostały ujawnione przez administratora w sposób niezgodny z prawem poprzez ich przekazanie, przysługuje wobec administratora roszczenie o zaniechanie ponownego bezprawnego przekazania tych danych, jeżeli nie żąda ona od administratora usunięcia danych?

b)      Czy takie roszczenie o zaniechanie może wynikać (również) z art. 18 RODO lub z innego przepisu RODO?

2)      W wypadku udzielenia na [pytanie pierwsze lit. a) lub lit. b)] odpowiedzi twierdzącej:

a)      Czy roszczenie o zaniechanie w świetle prawa Unii przysługuje tylko wtedy, kiedy w przyszłości należy obawiać się kolejnych naruszeń wynikających z RODO praw osoby, której dane dotyczą (ryzyko ponowienia)?

b)      Czy istnieje ewentualnie domniemanie ryzyka ponowienia ze względu na występujące już naruszenie RODO?

3)      W wypadku udzielenia na [pytanie pierwsze lit. a) lub lit. b)] odpowiedzi przeczącej:

Czy wykładni art. 84 w związku z art. 79 RODO należy dokonywać w ten sposób, że pozwalają one sądowi krajowemu przyznać osobie, której dane osobowe zostały ujawnione przez administratora w sposób niezgodny z prawem poprzez ich przekazanie – oprócz odszkodowania za szkodę majątkową lub niemajątkową zgodnie z art. 82 RODO oraz roszczeń wynikających z art. 17 i art. 18 RODO – również roszczenie wobec administratora o zaniechanie ponownego niezgodnego z prawem przekazania tych danych na podstawie prawa krajowego?

4)      Czy wykładni art. 82 ust. 1 RODO należy dokonywać w ten sposób, że aby przyjąć wystąpienie szkody niemajątkowej w rozumieniu tego przepisu, wystarczą same negatywne emocje takie jak na przykład gniew, złość, niezadowolenie, zmartwienie i strach, które same w sobie stanowią część ogólnego ryzyka życiowego i często towarzyszą ludziom na co dzień? Czy też dla przyjęcia wystąpienia szkody konieczny jest negatywny skutek wobec osoby fizycznej, której dane dotyczą, wykraczający poza te uczucia?

5)      Czy wykładni art. 82 ust. 1 RODO należy dokonywać w ten sposób, że przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu istotne kryterium stanowi stopień winy administratora lub podmiotu przetwarzającego czy też ich pracowników?

6)      W wypadku udzielenia na [pytanie pierwsze lit. a) lub lit. b) lub na pytanie trzecie] odpowiedzi twierdzącej:

Czy wykładni art. 82 ust. 1 RODO należy dokonywać w ten sposób, że przy ustalaniu wysokości szkody niemajątkowej podlegającej naprawieniu jako kryterium ograniczające zakres roszczenia można uwzględnić to, że osobie, której dane dotyczą, oprócz roszczenia o odszkodowanie przysługuje także roszczenie o zaniechanie?”.

 W przedmiocie pytań prejudycjalnych

 W przedmiocie pytań od pierwszego do trzeciego

36      Poprzez pytania od pierwszego do trzeciego, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy przepisy RODO należy interpretować w ten sposób, że przewidują one, iż osobie, której dotyczy niezgodne z prawem przetwarzanie danych osobowych, przysługuje – w sytuacji gdy osoba ta nie żąda usunięcia swoich danych – środek ochrony prawnej przed sądem umożliwiający jej uzyskanie prewencyjnego nakazania administratorowi zaniechania ponownego niezgodnego z prawem przetwarzania danych w przyszłości, a w przypadku odpowiedzi przeczącej, czy przepisy te stoją na przeszkodzie temu, by państwa członkowskie przewidziały taki środek ochrony w swych porządkach prawnych.

37      Na wstępie należy przypomnieć, że przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko jego brzmienie, ale także jego kontekst i cel aktu prawnego, którego jest on częścią (wyrok z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 52 i przytoczone tam orzecznictwo).

38      W tym względzie w pierwszej kolejności należy zauważyć, że RODO opiera się na istnieniu przyznanego każdej osobie fizycznej prawa do korzystania z ochrony w związku z przetwarzaniem dotyczących jej danych osobowych. Ochrona ta stanowi prawo podstawowe ustanowione w art. 8 ust. 1 Karty, do którego odsyła motyw 1 tego rozporządzenia. Jak wynika z art. 1 i motywu 10 wspomnianego rozporządzenia, stosowaniu tego rozporządzenia przyświeca cel polegający na zapewnieniu skuteczności tego prawa podstawowego poprzez zapewnienie ochrony na wysokim i równorzędnym poziomie we wszystkich państwach członkowskich [zob. podobnie wyroki: z dnia 5 października 2023 r., Ministerstvo zdravotnictví (Aplikacja mobilna Covid‑19), C‑659/22, EU:C:2023:745, pkt 28; z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 28; a także z dnia 3 kwietnia 2025 r., Ministerstvo zdravotnictví (Dane dotyczące przedstawiciela osoby prawnej), C‑710/23, EU:C:2025:231, pkt 29].

39      Zgodnie z utrwalonym orzecznictwem Trybunału przy każdym przetwarzaniu danych osobowych należy przestrzegać zasad dotyczących przetwarzania takich danych oraz praw „osoby, której dane dotyczą”, w rozumieniu art. 4 pkt 1 RODO, które zostały określone, odpowiednio, w rozdziałach II i III tego rozporządzenia. W szczególności każde przetwarzanie musi być zgodne z zasadami dotyczącymi przetwarzania tych danych przewidzianymi w art. 5 wspomnianego rozporządzenia i spełniać warunki zgodności przetwarzania z prawem wymienione w art. 6 tego rozporządzenia [zob. podobnie wyroki: z dnia 19 grudnia 2024 r., K GmbH (Przetwarzanie danych osobowych pracowników), C‑65/23, EU:C:2024:1051, pkt 46; z dnia 3 kwietnia 2025 r., Ministerstvo zdravotnictví (Dane dotyczące przedstawiciela osoby prawnej), C‑710/23, EU:C:2025:231, pkt 33].

40      Jak zauważył zasadniczo rzecznik generalny w pkt 32, 34 i 38 opinii, art. 8 Karty w ust. 1 ustanawia prawo do ochrony danych osobowych, lecz wymaga również w ust. 2, aby dane takie były przetwarzane zgodnie z określonymi warunkami, od których przestrzegania zależy zgodność z prawem danego przetwarzania. Podobnie obowiązkom określonym w rozdziale II RODO, które ciążą na administratorze, odpowiadają przewidziane w tym rozporządzeniu konkretne prawa przysługujące osobom, których dane dotyczą. Osoby te korzystają zatem z prawa do zgodnego z prawem przetwarzania ich danych osobowych, które jest następstwem ciążącego na tym administratorze ogólnego obowiązku nieprzetwarzania takich danych w sposób niezgodny z wymogami wspomnianego rozporządzenia.

41      W drugiej kolejności – Trybunał wielokrotnie orzekał, że prawo Unii, w tym postanowienia Karty, nie skutkuje zobowiązaniem państw członkowskich do ustanowienia środków prawnych innych niż środki przewidziane w prawie krajowym, chyba że z systematyki danego krajowego porządku prawnego wynika, iż nie istnieje żaden środek prawny pozwalający, choćby w trybie wpadkowym, zapewnić ochronę uprawnień wynikających dla podmiotów prawa z prawa Unii (wyrok z dnia 8 maja 2025 r., Barało, C‑530/23, EU:C:2025:322, pkt 99 i przytoczone tam orzecznictwo).

42      W niniejszej sprawie należy na wstępie podkreślić, że sytuacja rozpatrywana w postępowaniu głównym dotyczy nie możliwości zastosowania przez sąd krajowy środków tymczasowych, lecz ewentualnej możliwości uzyskania przez osobę, której dane dotyczą, w drodze powództwa o charakterze prewencyjnym, nakazu zakazującego administratorowi ponownego naruszenia tych praw.

43      W tym względzie należy zauważyć, że RODO nie zawiera przepisów przewidujących w sposób wyraźny lub dorozumiany, że osoba, której dane dotyczą, może skorzystać – jak rozważa to sąd odsyłający – z prawa do uzyskania na zasadzie prewencyjnej, w drodze postępowania sądowego, nakazu zobowiązującego administratora danych osobowych do zaniechania w przyszłości naruszenia przepisów tego rozporządzenia, w szczególności w postaci ponownego niezgodnego z prawem przetwarzania. W szczególności, jak zauważył rzecznik generalny w pkt 54–69 opinii, takiego prawa nie można wywieść ani z art. 17 wspomnianego rozporządzenia, ani z jego art. 18.

44      Co się tyczy rozdziału VIII RODO, należy przypomnieć, że rozdział ten reguluje między innymi środki ochrony prawnej umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe zostały przetworzone w sposób sprzeczny z przepisami tego rozporządzenia. Ochrony tych praw może żądać w szczególności bezpośrednio osoba, której dane dotyczą, na podstawie art. 77–79 owego rozporządzenia, przewidujących różne środki ochrony prawnej, które mogą być wykonywane przez tę osobę w sposób równoległy i niezależnie od siebie (zob. podobnie wyroki: z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 47 i przytoczone tam orzecznictwo; a także z dnia 30 kwietnia 2025 r., Inspektorat kam Visshia sadeben savet, C‑313/23, C‑316/23 i C‑332/23, EU:C:2025:303, pkt 128 i przytoczone tam orzecznictwo).

45      Z brzmienia przepisów rozdziału VIII RODO wynika, że żaden z nich nie zobowiązuje państw członkowskich do ustanowienia prewencyjnego środka ochrony prawnej takiego jak opisany w pkt 42 niniejszego wyroku. W szczególności treść art. 79 ust. 1 tego rozporządzenia ogranicza się do stwierdzenia, że bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy tego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem tego rozporządzenia. Brzmienie tego przepisu nie nakłada na państwa członkowskie obowiązku ustanowienia szczególnego środka ochrony prawnej umożliwiającego uzyskanie w drodze powództwa, tytułem prewencyjnym, nakazu zaniechania takiego jak rozważany przez sąd odsyłający.

46      W związku z tym, mając na uwadze brzmienie przepisów rozdziału VIII RODO, a w szczególności uznanie w art. 79 ust. 1 tego rozporządzenia prawa każdej osoby, której dane dotyczą, do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przyznane jej na mocy tego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem wspomnianego rozporządzenia, „bez uszczerbku” dla innych dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, należy uznać, że państwa członkowskie nie są pozbawione możliwości ustanowienia takiego prewencyjnego środka ochrony prawnej w celu nakazania administratorowi zaniechania wszelkich dalszych naruszeń tych praw (zob. podobnie wyrok z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 53).

47      Należy podkreślić w tym względzie, że o ile RODO na celu zapewnienie harmonizacji ustawodawstw krajowych w zakresie ochrony danych osobowych, która jest co do zasady pełna, o tyle kilka przepisów tego rozporządzenia wyraźnie daje państwom członkowskim możliwość ustanowienia dodatkowych – bardziej restrykcyjnych lub wprowadzających odstępstwa – uregulowań krajowych, które pozostawiają tym państwom pewien zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie („klauzule upoważniające”) (wyrok z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 57 i przytoczone tam orzecznictwo).

48      Jest prawdą, że przepisy rozdziału VIII RODO nie zawierają konkretnie takiej klauzuli upoważniającej, która wyraźnie pozwalałaby państwom członkowskim na zapewnienie możliwości wniesienia przez osobę, której dane dotyczą i która pragnie uniemożliwić administratorowi naruszenie przepisów materialnych tego rozporządzenia, powództwa w celu uzyskania względem niego nakazu zaniechania takiego działania. Jednakże prawodawca Unii nie zamierzał dokonywać wyczerpującej harmonizacji środków ochrony prawnej dostępnych w przypadku naruszenia przepisów tego rozporządzenia, a w szczególności nie wykluczył takiej możliwości wniesienia powództwa (zob. podobnie wyrok z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 59, 60).

49      Wykładnię tę potwierdzają cele realizowane przez RODO. Rozporządzenie to ma bowiem na celu w szczególności, jak wskazuje jego motyw 10, zapewnienie spójnego i wysokiego stopnia ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Ponadto z motywu 11 wspomnianego rozporządzenia wynika w szczególności, że aby ochrona tych danych była skuteczna, należy wzmocnić prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane i decydujących o przetwarzaniu (zob. podobnie wyrok z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 61).

50      Otóż możliwość wniesienia przez osobę, której dane dotyczą, środka prawnego do sądu w celu nakazania administratorowi zaniechania naruszenia przepisów materialnych RODO w przyszłości nie narusza tych celów, lecz przeciwnie, może wzmocnić skuteczność (effet utile) tych przepisów, a tym samym wysoki stopień ochrony osób, których dane dotyczą, w związku z przetwarzaniem ich danych osobowych, o którym mowa w tym rozporządzeniu. W związku z tym przepisy rozdziału VIII RODO nie stoją na przeszkodzie uregulowaniom krajowym, które przyznają osobie, której dane dotyczą, taką możliwość skorzystania z prewencyjnego środka ochrony prawnej (zob. podobnie wyrok z dnia 4 października 2024 r., Lindenapotheke, C‑21/23, EU:C:2024:846, pkt 62, 73).

51      Wynika z tego, że RODO nie stoi na przeszkodzie temu, by prawo do wniesienia do środka prawnego zmierzającego do uzyskania nakazu umożliwiającego zapobieżenie ewentualnemu naruszeniu przepisów materialnych tego rozporządzenia, w szczególności poprzez potencjalne ponowne niezgodne z prawem przetwarzanie, było dostępne na podstawie przepisów prawa państwa członkowskiego, które miałyby zastosowanie przed sądem krajowym rozpatrującym sprawę.

52      W świetle całości powyższych rozważań na pytania od pierwszego do trzeciego trzeba odpowiedzieć, iż przepisy RODO należy interpretować w ten sposób, że nie przewidują one, aby osobie, której dotyczy niezgodne z prawem przetwarzanie danych osobowych, przysługiwał – w sytuacji gdy osoba ta nie żąda usunięcia swoich danych – środek ochrony prawnej przed sądem umożliwiający jej uzyskanie prewencyjnego nakazania administratorowi zaniechania ponownego niezgodnego z prawem przetwarzania danych w przyszłości. Jednakże przepisy te nie stoją na przeszkodzie temu, by państwa członkowskie przewidziały taki środek ochrony w swych porządkach prawnych.

 W przedmiocie pytania czwartego

53      Poprzez pytanie czwarte sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że zawarte w tym przepisie pojęcie „szkody niemajątkowej” obejmuje negatywne uczucia, jakich doświadcza osoba, której dane dotyczą, w następstwie nieuprawnionego przekazania jej danych osobowych osobie trzeciej, takie jak obawa lub niezadowolenie, które są wywołane utratą kontroli nad tymi danymi, ich ewentualnym wykorzystaniem w sposób stanowiący nadużycie lub naruszeniem jej dobrego imienia.

54      Należy przypomnieć, że art. 82 ust. 1 RODO przewiduje, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

55      Zgodnie z utrwalonym orzecznictwem z uwagi na brak jakiegokolwiek odniesienia w art. 82 ust. 1 RODO do prawa krajowego państw członkowskich pojęcie „szkody niemajątkowej” w rozumieniu tego przepisu powinno otrzymać autonomiczną i jednolitą definicję, właściwą prawu Unii (zob. podobnie wyroki: z dnia 25 stycznia 2024 r., MediaMarktSaturn, C‑687/21, EU:C:2024:72, pkt 64; z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 139 i przytoczone tam orzecznictwo).

56      W tym względzie Trybunał wielokrotnie orzekał, w szczególności w świetle motywów 75, 85 i 146 RODO, że samo naruszenie tego rozporządzenia nie wystarcza do przyznania prawa do odszkodowania na podstawie art. 82 ust. 1 tego rozporządzenia. Istnienie „szkody”, majątkowej lub niemajątkowej, lub „szkody”, która została „poniesiona”, naruszenia przepisów wspomnianego rozporządzenia oraz związku przyczynowego między tą szkodą a tym naruszeniem stanowią trzy kumulatywne, konieczne i wystarczające przesłanki powstania owego prawa do odszkodowania. Tak więc osoba, której dane dotyczą, która domaga się naprawienia szkody niemajątkowej na podstawie tego art. 82 ust. 1, jest zobowiązana wykazać nie tylko naruszenie tego rozporządzenia, ale również to, że naruszenie to rzeczywiście wyrządziło jej taką szkodę [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 32, 33, 37, 42; z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 140–142; a także z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 24, 25].

57      W niniejszej sprawie sąd odsyłający wyjaśnia, że skarżący w postępowaniu głównym podnosi zasadniczo, w odniesieniu do szkody niemajątkowej, którą, jak twierdzi, poniósł ze względu na rozpatrywane naruszenie RODO, „obawę przed przekazaniem danych osobom trzecim pracującym w tej samej branży, posiadanie przez inną osobę wiedzy o okolicznościach podlegających dyskrecji, [jak również] upokorzenie spowodowane porażką w negocjacjach płacowych i posiadanie przez osoby trzecie wiedzy na ten temat”. Sąd ten zmierza do ustalenia, czy „negatywne emocje, takie jak na przykład gniew, złość, niezadowolenie, zmartwienie i strach”, które dla tego sądu stanowią „ogólne ryzyko życiowe”, są wystarczające do wykazania istnienia „szkody niemajątkowej” w rozumieniu art. 82 tego rozporządzenia, czy też konieczne jest, aby osoba, której dane dotyczą, poniosła szkodę wykraczającą poza te uczucia.

58      W tym względzie w pierwszej kolejności z orzecznictwa Trybunału wynika, że art. 82 ust. 1 RODO sprzeciwia się przepisowi krajowemu lub praktyce krajowej, które uzależniają uzyskanie odszkodowania za szkodę niemajątkową w rozumieniu tego przepisu od warunku, by szkoda poniesiona przez osobę, której dane dotyczą, osiągnęła pewien stopień wagi. Wspomniany przepis nie wymaga, aby szkoda niemajątkowa podnoszona przez osobę, której dane dotyczą, musiała osiągnąć „próg de minimis” dla celów odszkodowania [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 51; a także z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 147, 149].

59      W drugiej kolejności, jak zauważyła Komisja Europejska w uwagach na piśmie, sytuacje takie jak przywołane w sporze w postępowaniu głównym, dotyczące „naruszenia dobrego imienia”, które wynika z naruszenia ochrony danych osobowych, lub „utraty kontroli” nad takimi danymi znajdują się wyraźnie wśród przykładów możliwych szkód wymienionych w motywach 75 i 85 RODO.

60      W szczególności Trybunał podkreślił, że z przedstawionej w motywie 85 zdanie pierwsze RODO przykładowej listy „szkód” lub „uszczerbków”, jakie mogą ponieść osoby, których dane dotyczą, wynika, że prawodawca Unii zamierzał włączyć do tych dwóch pojęć w szczególności zwykłą „utratę kontroli” nad własnymi danymi osobowymi tych osób w następstwie naruszenia owego rozporządzenia, nawet gdyby nie doszło konkretnie do wykorzystania rozpatrywanych danych w sposób stanowiący nadużycie. Taka utrata kontroli może wystarczyć do spowodowania „szkody niemajątkowej” w rozumieniu art. 82 ust. 1 wspomnianego rozporządzenia, o ile osoba, której dane dotyczą, wykaże, że rzeczywiście poniosła taką szkodę, nawet jeśli jest ona nieznaczna, przy czym to pojęcie „szkody niemajątkowej” nie wymaga wykazania istnienia dodatkowych wymiernych negatywnych konsekwencji (zob. podobnie wyrok z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 145, 150, 156 i przytoczone tam orzecznictwo).

61      W trzeciej kolejności – Trybunał orzekł już, że odczuwana przez osobę, której dane dotyczą, obawa, iż jej dane osobowe zostaną w przyszłości wykorzystane w sposób stanowiący nadużycie w następstwie naruszenia RODO, może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 tego rozporządzenia, pod warunkiem że obawa ta, wraz z jej negatywnymi konsekwencjami, zostanie należycie udowodniona, czego zbadanie należy do sądu krajowego rozpoznającego sprawę [zob. podobnie wyroki: z dnia 20 czerwca 2024 r., PS (Nieprawidłowy adres), C‑590/22, EU:C:2024:536, pkt 32, 35, 36; a także z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 143, 144, 155 i przytoczone tam orzecznictwo].

62      Tak więc mimo że uczucia wymienione przez sąd odsyłający, w szczególności obawa lub niezadowolenie, mogą skądinąd wpisywać się w ogólne ryzyko nieodłącznie związane z życiem codziennym – jak sąd ten sam zauważa, to takie negatywne uczucia mogą stanowić „szkodę niemajątkową” w rozumieniu art. 82 ust. 1 RODO, o ile, zgodnie z wymogiem związku przyczynowego przypomnianym w pkt 56 niniejszego wyroku, osoba, której dane dotyczą, wykaże, że doświadcza takich uczuć, wraz z ich negatywnymi konsekwencjami, właśnie ze względu na rozpatrywane naruszenie tego rozporządzenia, takie jak nieuprawnione przekazanie jej danych osobowych osobie trzeciej rodzące ryzyko ich wykorzystania w sposób stanowiący nadużycie, czego ocena należy do sądów krajowych rozpatrujących sprawę.

63      W czwartej i ostatniej kolejności – wykładnia ta jest zgodna z brzmieniem art. 82 ust. 1 RODO w związku z motywami 85 i 146 tego rozporządzenia, które skłaniają do przyjęcia szerokiego rozumienia pojęcia „szkody niemajątkowej” w rozumieniu tego art. 82 ust. 1. Ponadto wykładnię tę potwierdza cel wspomnianego rozporządzenia, wynikający z art. 1, a także z motywów 1 i 10 tego rozporządzenia, który polega na zapewnieniu wysokiego poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych (zob. analogicznie wyroki: z dnia 14 grudnia 2023 r., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, pkt 19, 20; a także z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 144, 146).

64      W świetle powyższych rozważań na pytanie czwarte trzeba odpowiedzieć, że art. 82 ust. 1 RODO należy interpretować w ten sposób, że zawarte w tym przepisie pojęcie „szkody niemajątkowej” obejmuje negatywne uczucia, jakich doświadcza osoba, której dane dotyczą, w następstwie nieuprawnionego przekazania jej danych osobowych osobie trzeciej, takie jak obawa lub niezadowolenie, które są wywołane utratą kontroli nad tymi danymi, ich ewentualnym wykorzystaniem w sposób stanowiący nadużycie lub naruszeniem jej dobrego imienia, pod warunkiem że osoba, której dane dotyczą, wykaże, że doświadcza takich uczuć, wraz ich negatywnymi konsekwencjami, ze względu na rozpatrywane naruszenie tego rozporządzenia.

 W przedmiocie pytania piątego

65      Poprzez pytanie piąte sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że do celów ustalenia wysokości odszkodowania za szkodę niemajątkową należnego na podstawie tego art. 82 ust. 1 zezwala on na uwzględnienie stopnia winy administratora.

66      W tym względzie z orzecznictwa Trybunału wynika, że ponieważ RODO nie zawiera przepisów mających na celu określenie zasad dotyczących oszacowania odszkodowania należnego z tytułu ustanowionego w art. 82 tego rozporządzenia prawa do odszkodowania, sądy krajowe powinny w tym celu stosować wewnętrzne przepisy każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, pod warunkiem przestrzegania zasad równoważności i skuteczności prawa Unii [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 54, 59; a także z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 32].

67      W niniejszej sprawie sąd odsyłający zastanawia się, czy stopień winy sprawcy szkody, który jest przewidzianym w prawie niemieckim kryterium ustalenia wysokości odszkodowania pieniężnego za szkody niemajątkowe, mógłby również znaleźć zastosowanie w odniesieniu do odszkodowania za szkodę niemajątkową opartego na art. 82 RODO.

68      Z wyroków Trybunału, z których niektóre zostały wydane po złożeniu niniejszego wniosku o wydanie orzeczenia w trybie prejudycjalnym, wynika, że na to pytanie piąte należy udzielić odpowiedzi przeczącej.

69      Trybunał orzekł bowiem, że z uwagi na funkcję kompensacyjną prawa do odszkodowania przewidzianego w art. 82 RODO sądy krajowe są zobowiązane do zapewnienia „pełnego i skutecznego” odszkodowania za poniesione szkody, jak wskazano w motywie 146 tego rozporządzenia, przy czym do celów takiego pełnego wyrównania nie jest konieczne nakazanie zapłaty odszkodowania o charakterze represyjnym [zob. podobnie wyroki: z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych), C‑300/21, EU:C:2023:370, pkt 57, 58; a także z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 34].

70      W odróżnieniu od tego, co art. 83 RODO przewiduje w odniesieniu do administracyjnych kar pieniężnych, których kryteria nie mają zastosowania mutatis mutandis w ramach art. 82 tego rozporządzenia, prawo do odszkodowania przewidziane w tym art. 82, w szczególności w przypadku szkody niemajątkowej, pełni funkcję wyłącznie kompensacyjną, ponieważ odszkodowanie pieniężne oparte na wspomnianym art. 82 powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, nie zaś funkcję odstraszającą lub represyjną (zob. podobnie wyroki: z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 153; z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 39–41).

71      I tak, po pierwsze, powstanie odpowiedzialności administratora danych na podstawie art. 82 RODO jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody, i po drugie, art. 82 RODO nie wymaga wzięcia pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie wspomnianego przepisu (wyrok z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 154).

72      W szczególności wyłącznie kompensacyjna funkcja prawa do odszkodowania przewidzianego w art. 82 ust. 1 RODO stoi na przeszkodzie uwzględnieniu wagi i ewentualnego umyślnego charakteru naruszenia tego rozporządzenia, jakiego dopuścił się administrator, przy naprawianiu szkody na tej podstawie. Wynika z tego, że w ramach tego przepisu postawa i motywacja administratora nie mogą zostać uwzględnione w celu ewentualnego przyznania osobie, której dane dotyczą, odszkodowania w zakresie niższym niż zakres szkody rzeczywiście przez nią poniesionej, zarówno jeśli chodzi o wysokość, jak i formę tego odszkodowania (zob. podobnie wyrok z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 42–45 i przytoczone tam orzecznictwo).

73      W świetle powyższych rozważań na pytanie piąte trzeba odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że stoi on na przeszkodzie temu, aby stopień winy administratora został uwzględniony do celów ustalenia wysokości odszkodowania za szkodę niemajątkową należnego na podstawie tego artykułu.

 W przedmiocie pytania szóstego

74      Pytanie szóste zostało zadane na wypadek, gdyby Trybunał odpowiedział twierdząco albo na jedną z części pytania pierwszego, albo na pytanie trzecie, to znaczy na wypadek, gdyby należało zasadniczo uznać, że w RODO przyznaje się osobie, której dane dotyczą – bezpośrednio na podstawie przepisów tego rozporządzenia lub poprzez zastosowanie przepisów krajowych, na które zezwala rzeczone rozporządzenie – prawo do żądania, aby administrator danych zaniechał ponownego naruszenia ochrony danych osobowych w przyszłości. Z uwagi na odpowiedź udzieloną łącznie na pytania od pierwszego do trzeciego, przedstawioną w pkt 52 niniejszego wyroku, na pytanie szóste należy udzielić odpowiedzi.

75      W celu sprecyzowania przedmiotu tego ostatniego pytania sąd odsyłający wskazuje, że zgodnie z prawem niemieckim i jego własnym orzecznictwem okoliczność, iż osoba, która poniosła szkodę niemajątkową, zażądała, a nawet zostało na jej rzecz zasądzone, aby sprawca tej szkody został zobowiązany do zaniechania dalszych działań powodujących szkodę, może zostać wzięta pod uwagę w celu zmniejszenia, a nawet wykluczenia odszkodowania pieniężnego z tytułu tej szkody. Sąd odsyłający zmierza do ustalenia, czy to kryterium oceny odszkodowania można zastosować również w kontekście RODO, w szczególności w świetle zasady skuteczności prawa Unii, a jeśli tak, to w jakim zakresie.

76      Tak więc poprzez swoje pytanie sąd odsyłający dąży w istocie do ustalenia, czy art. 82 ust. 1 RODO należy interpretować w ten sposób, że okoliczność, iż osoba, której dane dotyczą, uzyskała na podstawie mającego zastosowanie prawa krajowego skuteczny wobec administratora nakaz zaniechania ponownego naruszenia tego rozporządzenia, może zostać uwzględniona w celu ograniczenia zakresu odszkodowania pieniężnego za szkodę niemajątkową należnego na podstawie tego art. 82 ust. 1, a nawet zastąpienia tego odszkodowania.

77      W tym względzie należy przypomnieć, że – jak wskazano w pkt 66 niniejszego wyroku – RODO nie zawiera przepisów określających zasady ustalania odszkodowania należnego na podstawie art. 82 tego rozporządzenia, w związku z czym sądy krajowe powinny w tym celu stosować przepisy wewnętrzne każdego państwa członkowskiego dotyczące zakresu odszkodowania pieniężnego, z zastrzeżeniem poszanowania zasad równoważności i skuteczności prawa Unii.

78      W szczególności należy podkreślić, że kryteria oszacowania należnego odszkodowania w ramach powództw mających na celu zapewnienie ochrony praw, które jednostki wywodzą z art. 82 RODO, które to kryteria zostały ustalone w ramach porządku prawnego każdego państwa członkowskiego, powinny umożliwiać zapewnienie pełnego i skutecznego naprawienia szkody poniesionej przez osobę, której dane dotyczą, w następstwie naruszenia tego rozporządzenia (zob. podobnie wyroki: z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 152; z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 34 i przytoczone tam orzecznictwo).

79      Trybunał przyznał już, że w granicach wynikających z zasady skuteczności pewne okoliczności mogą mieć wpływ na ustalenie wysokości odszkodowania należnego na podstawie art. 82 RODO, w szczególności w celu ograniczenia tego odszkodowania. Orzeczono, że w braku poważnego charakteru szkody poniesionej przez osobę, której dane dotyczą, sąd krajowy może przyznać jej odszkodowanie minimalne, pod warunkiem że niewielka kwota przyznanego w ten sposób odszkodowania może w pełni skompensować tę szkodę, czego ustalenie należy do tego sądu. Podobnie przeprosiny mogą stanowić odpowiednie naprawienie szkody niemajątkowej na podstawie owego art. 82, w szczególności gdy niemożliwe jest przywrócenie stanu sprzed wystąpienia tej szkody, pod warunkiem że taka forma naprawienia szkody może w pełni skompensować szkodę poniesioną przez osobę, której dane dotyczą (zob. podobnie wyrok z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, pkt 35–37 i przytoczone tam orzecznictwo).

80      W niniejszej sprawie przedstawione pytanie zmierza do ustalenia, czy w ramach stosowania art. 82 RODO sąd krajowy ma możliwość uwzględnienia, w celu obniżenia wysokości odszkodowania, jakie może zostać przyznane tej osobie z tytułu szkody niemajątkowej, faktu, że osoba, której dane dotyczą, korzysta z nakazu zaniechania, w związku z czym sąd ten w praktyce zasądziłby naprawienie takiej szkody częściowo w formie pieniężnej, a częściowo w formie tego nakazu, lub nawet wyłącznie w formie nakazu.

81      Otóż z orzecznictwa przytoczonego w pkt 78 i 79 niniejszego wyroku wynika, że formę odszkodowania przewidzianą w mającym zastosowanie prawie krajowym można uznać za zgodną z RODO tylko pod warunkiem, że forma ta jest zgodna z zasadami równoważności i skuteczności prawa Unii, co oznacza w szczególności, że może ona zapewnić pełne i skuteczne naprawienie szkody poniesionej przez osobę, której dane dotyczą.

82      W szczególności odszkodowania należnego na podstawie art. 82 tego rozporządzenia nie można przyznać w formie, w części lub w całości, nakazu zaniechania, ponieważ – jak przypomniano w pkt 70 niniejszego wyroku – przewidziane w tym art. 82 prawo do naprawienia szkody pełni wyłącznie funkcję kompensacyjną, podczas gdy nakaz zaniechania skierowany przeciwko sprawcy szkody ma cel czysto prewencyjny. Jak bowiem zauważył w istocie rzecznik generalny w pkt 86 opinii, nakaz tego rodzaju ma na celu zapobieżenie ponownemu podjęciu działań, które spowodowały szkodę, tak aby nie doszło do dalszych szkód, lecz nie naprawia szkód już poniesionych przez osobę, której dane dotyczą.

83      W świetle powyższych rozważań na pytanie szóste trzeba odpowiedzieć, iż art. 82 ust. 1 RODO należy interpretować w ten sposób, że stoi on na przeszkodzie temu, aby okoliczność, że osoba, której dane dotyczą, uzyskała na podstawie mającego zastosowanie prawa krajowego skuteczny wobec administratora nakaz zaniechania ponownego naruszenia tego rozporządzenia, została uwzględniona w celu ograniczenia zakresu odszkodowania pieniężnego za szkodę niemajątkową należnego na podstawie tego artykułu lub, a fortiori, zastąpienia tego odszkodowania.

 W przedmiocie kosztów

84      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (czwarta izba) orzeka, co następuje:

1)      Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

należy interpretować w ten sposób, że:

nie przewidują one, aby osobie, której dotyczy niezgodne z prawem przetwarzanie danych osobowych, przysługiwał – w sytuacji gdy osoba ta nie żąda usunięcia swoich danych – środek ochrony prawnej przed sądem umożliwiający jej uzyskanie prewencyjnego nakazania administratorowi zaniechania ponownego niezgodnego z prawem przetwarzania danych w przyszłości. Jednakże przepisy te nie stoją na przeszkodzie temu, by państwa członkowskie przewidziały taki środek ochrony w swych porządkach prawnych.

2)      Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

zawarte w tym przepisie pojęcie „szkody niemajątkowej” obejmuje negatywne uczucia, jakich doświadcza osoba, której dane dotyczą, w następstwie nieuprawnionego przekazania jej danych osobowych osobie trzeciej, takie jak obawa lub niezadowolenie, które są wywołane utratą kontroli nad tymi danymi, ich ewentualnym wykorzystaniem w sposób stanowiący nadużycie lub naruszeniem jej dobrego imienia, pod warunkiem że osoba, której dane dotyczą, wykaże, że doświadcza takich uczuć, wraz ich negatywnymi konsekwencjami, ze względu na rozpatrywane naruszenie tego rozporządzenia.

3)      Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

stoi on na przeszkodzie temu, aby stopień winy administratora został uwzględniony do celów ustalenia wysokości odszkodowania za szkodę niemajątkową należnego na podstawie tego artykułu.

4)      Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

stoi on na przeszkodzie temu, aby okoliczność, że osoba, której dane dotyczą, uzyskała na podstawie mającego zastosowanie prawa krajowego skuteczny wobec administratora nakaz zaniechania ponownego naruszenia tego rozporządzenia, została uwzględniona w celu ograniczenia zakresu odszkodowania pieniężnego za szkodę niemajątkową należnego na podstawie tego artykułu lub, a fortiori, zastąpienia tego odszkodowania.

Podpisy

*      Język postępowania: niemiecki.

Top