–

za ZQ: E. Daun, Rechtsanwalt,

–

za Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts: M. Wehner, Rechtsanwalt,

–

za Irsko: M. Browne, Chief State Solicitor, A. Joyce a M. Lane, jako zmocněnci, ve spolupráci s: D. Fennelly, BL,

–

za italskou vládu: G. Palmieri, jako zmocněnkyně, ve spolupráci s: M. Russo, avvocato dello Stato,

–

za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 9 odst. 1, odst. 2 písm. h) a odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1; Zvl. vyd. 13/15, s. 355, dále jen „GDPR“) ve spojení s čl. 6 odst. 1 tohoto nařízení, jakož i výkladu čl. 82 odst. 1 tohoto nařízení.

2

Tato žádost byla předložena v rámci sporu mezi ZQ a jeho zaměstnavatelem, Medizinischer Dienst der Krankenversicherung Nordrhein (Lékařská služba zdravotní pojišťovny v Severním Porýní, Německo) (dále jen „MDK Nordrhein“), ve věci náhrady újmy, která ZQ údajně vznikla v důsledku zpracování údajů o jeho zdravotním stavu, které bylo ze strany MDK Nordrhein provedeno nezákonně.

3

Body 4 až 8, 10, 35, 51 až 53, 75 a 146 odůvodnění GDPR znějí následovně:

[…]

[…]

[…]

[…]

[…]

4

Článek 2, nadepsaný „Věcná působnost“, obsažený v kapitole I tohoto nařízení týkající se „[o]becn[ých] ustanovení“, v odstavci 1 stanoví:

„Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.“

5

Článek 4 uvedeného nařízení, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

[…]“

6

Kapitola II GDPR, která se týká „[z]ásad“ stanovených tímto nařízením, obsahuje články 5 až 11 tohoto nařízení.

7

Článek 5 tohoto nařízení, nadepsaný „Zásady zpracování osobních údajů“, stanoví:

„1.   Osobní údaje musí být:

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

8

Článek 6 uvedeného nařízení, nadepsaný „Zákonnost zpracování“, v odstavci 1 stanoví:

„Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.“

9

Článek 9 téhož nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, zní následovně:

„1.   Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.   Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

[…]

[…]

[…]

3.   Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány nebo na jeho odpovědnost nebo jinou osobou rovněž vázanou povinností mlčenlivosti podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány.

4.   Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.“

10

Kapitola IV GDPR, nadepsaná „Správce a zpracovatel“, obsahuje články 24 až 43.

11

Článek 24 tohoto nařízení, nadepsaný „Odpovědnost správce“, obsažený v oddíle 1 této kapitoly, nadepsaném „Obecné povinnosti“, v odstavci 1 stanoví:

„S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.“

12

Článek 32 uvedeného nařízení, nadepsaný „Zabezpečení zpracování“, obsažený v oddíle 2 uvedené kapitoly, nadepsaném „Zabezpečení osobních údajů“, v odstavci 1 stanoví:

„S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

[…]“

13

Kapitola VIII GDPR, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84 tohoto nařízení.

14

Článek 82 uvedeného nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, stanoví:

„1.   Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2.   Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. […]

3.   Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

[…]“

15

Článek 83 GDPR, nadepsaný „Obecné podmínky pro ukládání správních pokut“, stanoví:

„1.   Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.

2.   […] Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

[…]

[…]

3.   Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

[…]“

16

Článek 84 tohoto nařízení, nadepsaný „Sankce“, v odstavci 1 stanoví:

„Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

17

Podle § 275 odst. 1 Sozialgesetzbuch, Fünftes Buch (zákoník sociálního zabezpečení, pátá kniha), ve znění použitelném na spor v původním řízení, jsou pojišťovny povinného zdravotního pojištění v zákonem stanovených případech, nebo pokud to onemocnění pojištěnce vyžaduje, povinny vyžádat si od Medizinischer Dienst (lékařská služba), která je jim nápomocna, posudek, a to zejména za účelem odstranění pochybností o jeho pracovní neschopnosti.

18

Ustanovení § 278 odst. 1 tohoto zákoníku stanoví, že taková lékařská služba se zřizuje v každé ze spolkových zemí ve formě veřejnoprávního subjektu.

19

MDK Nordrhein je veřejnoprávní subjekt, který má jakožto lékařská služba ze zákona za úkol vypracovávat mimo jiné lékařské posudky, jejichž cílem je vypořádat se s pochybnostmi o pracovní neschopnosti osob pojištěných u pojišťoven povinného zdravotního pojištění, které spadají do její působnosti, včetně případů, kdy se tyto posudky týkají jejích vlastních zaměstnanců.

20

V takovém případě jsou ke zpracování tzv. „sociálních“ údajů tohoto zaměstnance prostřednictvím blokované domény informačního systému tohoto orgánu a k přístupu k digitálním archivům po uzavření posudkového spisu oprávnění pouze členové zvláštního útvaru nazvaného „organizační jednotka pro speciální případy“. Interní služební pokyn týkající se těchto případů zejména stanoví, že k uvedeným údajům má přístup omezený počet oprávněných zaměstnanců, včetně některých zaměstnanců IT oddělení.

21

Před tím, než byl v pracovní neschopnosti ze zdravotních důvodů, pracoval žalobce v původním řízení v IT oddělení MDK Nordrhein. Na konci šestiměsíčního období, během něhož mu tento orgán jakožto zaměstnavatel nadále vyplácel mzdu, mu pojišťovna povinného zdravotního pojištění, u které byl pojištěn, začala vyplácet nemocenské.

22

Tato pojišťovna tedy požádala MDK Nordrhein, aby vypracovala posudek o pracovní neschopnosti žalobce v původním řízení. Lékař působící v rámci „organizační jednotky pro speciální případy“ MDK Nordrhein vypracoval posudek, přičemž vycházel zejména z informací od ošetřujícího lékaře žalobce v původním řízení. Když o tom byl žalobce informován svým ošetřujícím lékařem, kontaktoval jednu ze svých kolegyň z IT oddělení a požádal ji, aby pořídila a následně mu zaslala fotografie znaleckého posudku, který byl v digitálních archivech MDK Nordrhein.

23

Vzhledem k tomu, že žalobce v původním řízení měl za to, že jeho zaměstnavatel tímto způsobem nezákonně zpracovával údaje o jeho zdravotním stavu, požadoval po něm, aby mu zaplatil náhradu ve výši 20000 eur, což MDK Nordrhein odmítl.

24

Následně žalobce v původním řízení podal k Arbeitsgericht Düsseldorf (Pracovní soud v Düsseldorfu, Německo) žalobu, kterou se na základě čl. 82 odst. 1 GDPR a ustanovení německého práva domáhal toho, aby byla MDK Nordrhein uložena povinnost nahradit mu újmu, kterou údajně utrpěl v důsledku takto provedeného zpracování osobních údajů. V podstatě tvrdil, že dotčený znalecký posudek měl být vypracován jinou lékařskou službou, aby se zabránilo tomu, že jeho kolegové budou mít přístup k údajům o jeho zdravotním stavu, a že bezpečnostní opatření v souvislosti s archivací zprávy týkající se tohoto posudku jsou nedostatečná. Rovněž tvrdil, že toto zpracování představuje porušení právních pravidel chránících takové údaje, což mu způsobilo nehmotnou i hmotnou újmu.

25

MDK Nordrhein na svou obranu především tvrdila, že shromažďování a uchovávání údajů týkajících se zdraví žalobce v původním řízení bylo prováděno v souladu s ustanoveními o ochraně takových údajů.

26

Vzhledem k tomu, že jeho žaloba v prvním stupni byla zamítnuta, podal žalobce v původním řízení odvolání k Landesarbeitsgericht Düsseldorf (Zemský pracovní soud v Düsseldorfu, Německo), který jeho žalobu rovněž zamítl. Podal tedy opravný prostředek „Revision“ k Bundesarbeitsgericht (Spolkový pracovní soud, Německo), který je předkládajícím soudem v projednávané věci.

27

Posledně uvedený soud vychází z předpokladů, že ve sporu v původním řízení představuje lékařský posudek vypracovaný MDK Nordrhein jakožto lékařskou službou „zpracování“„osobních údajů“ a konkrétně „údajů o zdravotním stavu“ ve smyslu čl. 4 bodů 1, 2 a 15 GDPR, takže tato operace spadá do věcné působnosti tohoto nařízení, která je definována v jeho čl. 2 odst. 1. Kromě toho má za to, že MDK Nordrhein je „správcem“ ve smyslu čl. 4 bodu 7 uvedeného nařízení.

28

Otázky předkládajícího soudu se týkají zaprvé výkladu několika ustanovení článku 9 GDPR, který se týká zpracování zvláštních kategorií osobních údajů, zejména s ohledem na skutečnost, že zpracování dotčené ve věci v původním řízení bylo provedeno subjektem, který je rovněž zaměstnavatelem subjektu údajů, který je definován v čl. 4 bodě 1 tohoto nařízení.

29

Předkládající soud má nejprve pochybnosti o tom, zda zpracování údajů o zdravotním stavu dotčené ve věci v původním řízení může spadat pod některou z výjimek stanovených v čl. 9 odst. 2 GDPR. Podle tohoto soudu jsou v projednávaném případě relevantní pouze výjimky uvedené v písmenech b) a h) tohoto odstavce 2. Rovnou však vylučuje uplatnění výjimky stanovené v tomto písmeni b) v projednávaném případě z důvodu, že zpracování ve věci v původním řízení nebylo nezbytné pro účely práv a povinností správce jakožto zaměstnavatele subjektu údajů. Toto zpracování bylo totiž zahájeno jiným subjektem, který požádal MDK Nordrhein, aby jakožto lékařská služba provedla prohlídku. Naproti tomu, i když se předkládající soud přiklání k neuplatnění výjimky stanovené v tomto písm. h), neboť má za to, že se tato výjimka uplatní jen na zpracování, které provádí „neutrální třetí strana“ a že subjekt nemůže vycházet ze své „dvojí funkce“ zaměstnavatele a lékařské služby za účelem vyloučení zákazu takového zpracování, není v tomto ohledu kategorický.

30

Dále v případě, že by zpracování údajů o zdravotním stavu bylo za takových okolností povoleno na základě čl. 9 odst. 2 písm. h) GDPR, předkládající soud se táže na pravidla ochrany údajů o zdravotním stavu, která musí být v této souvislosti dodržována. Dle tohoto soudu z nařízení vyplývá, že nestačí, aby správce splňoval požadavky stanovené v jeho čl. 9 odst. 3. Tento správce by měl kromě toho zajistit, aby žádný z kolegů subjektu údajů nemohl mít jakýkoli přístup k údajům o jeho zdravotním stavu.

31

Nakonec a stále za téhož předpokladu se předkládající soud táže, zda musí být navíc splněna alespoň jedna z podmínek uvedených v čl. 6 odst. 1 GDPR, aby takové zpracování bylo zákonné. Podle tohoto soudu by tomu tak mělo být a v rámci sporu v původním řízení by mohly býta priori relevantní pouze písmena c) a e) tohoto čl. 6 odst. 1 prvního pododstavce. Tato dvě písmena c) a e) by se však neměla uplatnit z důvodu, že dotčené zpracování není „nezbytné“ ve smyslu těchto ustanovení, neboť by jej mohla provádět i jiná lékařská služba než MDK Nordrhein.

32

Zadruhé za předpokladu, že v projednávané věci došlo k porušení GDPR, si předkládající soud klade otázku ohledně možné náhrady újmy, na kterou má žalobce v původním řízení nárok na základě článku 82 tohoto nařízení.

33

Předkládající soud si přeje zjistit, zda pravidlo stanovené v čl. 82 odst. 1 GDPR má kromě své nápravné funkce odrazující nebo sankční povahu a zda je případně třeba zohlednit uvedenou povahu při stanovení výše náhrady přiznané z titulu nehmotné újmy, zejména s ohledem na zásady efektivity, proporcionality a rovnocennosti zakotvené v jiných oblastech unijního práva.

34

Tento soud se dále přiklání k názoru, že odpovědnost správce může vzniknout na základě uvedeného čl. 82 odst. 1, aniž je nutné prokázat jeho zavinění. Nicméně vzhledem k pochybnostem, zejména s ohledem na pravidla německého práva, si předkládající soud klade otázku, zda je třeba ověřit, zda je dotčené porušení GDPR přičitatelné správci z důvodu jeho úmyslného jednání nebo nedbalosti a zda by míra závažnosti zavinění, kterého se případně dopustil, měla mít vliv na náhradu újmy přiznanou jako náhrada nehmotné újmy.

35

Za těchto podmínek se Bundesarbeitsgericht (Spolkový pracovní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

36

Podstatou první otázky předkládajícího soudu je, zda s ohledem na zákaz zpracování údajů o zdravotním stavu stanovený v čl. 9 odst. 1 GDPR musí být odst. 2 písm. h) tohoto článku vykládán v tom smyslu, že se výjimka, kterou stanoví, použije na situace, ve kterých subjekt provádějící lékařskou prohlídku zpracovává údaje o zdravotním stavu jednoho ze svých zaměstnanců nikoli jako zaměstnavatel, nýbrž jako lékařská služba, za účelem posouzení pracovní schopnosti tohoto zaměstnance.

37

Podle ustálené judikatury platí, že výklad ustanovení unijního práva vyžaduje, aby bylo zohledněno nejen znění takového ustanovení, ale i kontext, do něhož spadá, jakož i cíle a účel, které sleduje akt, jehož je součástí. Informace relevantní pro výklad ustanovení unijního práva může rovněž poskytnout historie jeho vzniku (rozsudek ze dne 16. března 2023, Towercast, C‑449/21, EU:C:2023:207, bod 31 a citovaná judikatura).

38

V první řadě je třeba připomenout, že článek 9 GDPR se týká, jak uvádí jeho nadpis, „[z]pracování zvláštních kategorií osobních údajů“, které jsou rovněž kvalifikovány jako „citlivé“ údaje v bodech 10 a 51 odůvodnění tohoto nařízení.

39

Bod 51 odůvodnění GDPR uvádí, že osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody.

40

Článek 9 odst. 1 GDPR zakotvuje zásadu zákazu zpracování zvláštních kategorií osobních údajů, které vyjmenovává. Mezi tyto údaje patří „údaje o zdravotním stavu“, jak jsou definovány v čl. 4 bodě 15 tohoto nařízení ve spojení s bodem 35 jeho odůvodnění, o které se jedná v projednávané věci.

41

Soudní dvůr upřesnil, že účelem čl. 9 odst. 1 uvedeného nařízení je zajistit zvýšenou ochranu proti zpracováním, která z důvodu zvláštní citlivosti údajů, jež jsou jejich předmětem, mohou zvláště závažným způsobem zasáhnout do základních práv na respektování soukromého života a na ochranu osobních údajů zaručených v článcích 7 a 8 Listiny základních práv [v tomto smyslu viz rozsudek ze dne 5. června 2023, Komise v. Polsko (Nezávislost a soukromý život soudců), C‑204/21, EU:C:2023:442, bod 345 a citovaná judikatura].

42

Článek 9 odst. 2 písm. a) až j) GDPR však stanoví taxativní výčet výjimek ze zásady zákazu zpracování těchto citlivých údajů.

43

Konkrétně čl. 9 odst. 2 písm. h) GDPR umožňuje takové zpracování, pokud je „nezbytné pro účely [zejména] posouzení pracovní schopnosti zaměstnance […] na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem“. Toto ustanovení upřesňuje, že každé zpracování na jeho základě navíc podléhá právě „splnění podmínek a záruk uvedených v odstavci 3“ tohoto článku 9.

44

Z článku 9 odst. 2 písm. h) GDPR ve spojení s odstavcem 3 tohoto článku vyplývá, že možnost zpracovávat takové citlivé údaje, jako jsou údaje o zdravotním stavu, je striktně upravena řadou kumulativních podmínek. Tyto podmínky se týkají zaprvé účelů uvedených v písmeni h) – mezi něž patří posouzení pracovní schopnosti zaměstnance – zadruhé právního základu tohoto zpracování – ať už se jedná o právo Unie, právo členského státu nebo smlouvu se zdravotnickým pracovníkem podle téhož písmeni h) – a konečně zatřetí povinnosti mlčenlivosti, kterou mají podle tohoto čl. 9 odst. 3 osoby oprávněné provádět takové zpracování, přičemž všechny tyto osoby musí podléhat povinnosti mlčenlivosti v souladu s posledně uvedeným ustanovením.

45

Jak v podstatě uvedl generální advokát v bodech 32 a 33 svého stanoviska, ani znění čl. 9 odst. 2 písm. h) GDPR, ani historie vzniku tohoto ustanovení nenabízejí nic, co by mohlo vést k závěru, že použití výjimky stanovené v uvedeném ustanovení je – jak naznačuje předkládající soud – vyhrazeno pro případy, kdy zpracování provádí „neutrální třetí strana, a nikoli zaměstnavatel“ subjektu údajů, jak je definován v čl. 4 bodě 1 tohoto nařízení.

46

S ohledem na stanovisko předkládajícího soudu, podle něhož subjekt v podstatě nemůže vycházet ze své „dvojí funkce“ zaměstnavatele subjektu údajů a lékařské služby s cílem vyhnout se zásadě zákazu zpracování údajů o zdravotním stavu stanovené v čl. 9 odst. 1 GDPR, je třeba upřesnit, že je rozhodující vzít v potaz titul, z jakého je zpracování těchto údajů prováděno.

47

I když totiž tento čl. 9 odst. 1 v zásadě zakazuje zpracování údajů o zdravotním stavu, odstavec 2 uvedeného článku v písmenech a) až j) stanoví deset výjimek, které jsou na sobě nezávislé, a které tedy musí být posuzovány samostatně. Z toho vyplývá, že skutečnost, že podmínky pro uplatnění jedné z výjimek stanovených v tomto odstavci 2 nejsou splněny, nemůže bránit tomu, aby se správce mohl dovolávat jiné výjimky uvedené v tomto ustanovení.

48

Z výše uvedeného vyplývá, že čl. 9 odst. 2 písm. h) GDPR ve spojení s odstavcem 3 tohoto článku nevylučuje uplatnitelnost výjimky uvedené v tomto písmeni h) na situace, ve kterých subjekt provádějící lékařskou prohlídku zpracovává údaje o zdravotním stavu jednoho ze svých zaměstnanců jakožto lékařská služba, a nikoli jako zaměstnavatel, za účelem posouzení pracovní schopnosti tohoto zaměstnance.

49

V druhé řadě je takový výklad podpořen zohledněním systému, do něhož spadá čl. 9 odst. 2 písm. h) GDPR, jakož i cílů, které toto nařízení a toto ustanovení sledují.

50

Zaprvé je pravda, že jelikož čl. 9 odst. 2 GDPR stanoví výjimku ze zásady zákazu zpracování zvláštních kategorií osobních údajů, musí být vykládán restriktivně [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 76].

51

Dodržování zásady zákazu uvedené v čl. 9 odst. 1 GDPR však nemůže vést k omezení působnosti jiného ustanovení tohoto nařízení způsobem, který by byl v rozporu s jeho jasným zněním. Navrhovaný výklad, podle kterého by působnost výjimky stanovené v tomto čl. 9 odst. 2 písm. h) měla být omezena na případy, kdy údaje o zdravotním stavu za účelem posouzení pracovní schopnosti pracovníka zpracovává „neutrální třetí strana“, by přitom doplnil požadavek, který nijak nevyplývá z jasného znění posledně uvedeného ustanovení.

52

V tomto ohledu je irelevantní, že kdyby v projednávaném případě bylo MDK Nordrhein zakázáno plnit úlohu lékařské služby, pokud jde o jednoho z jejích vlastních zaměstnanců, mohl by tuto úlohu plnit jiný subjekt provádějící lékařské prohlídky. Je třeba zdůraznit, že tato alternativa uvedená předkládajícím soudem není nutně dána nebo proveditelná ve všech členských státech a ve všech situacích, na které se může vztahovat čl. 9 odst. 2 písm. h) GDPR. Výklad tohoto ustanovení se přitom nemůže řídit úvahami vycházejícími ze systému zdravotnictví jediného členského státu nebo vyplývajícími z okolností vlastních sporu v původním řízení.

53

Zadruhé, výklad uvedený v bodě 48 tohoto rozsudku je v souladu s cíli GDPR a cíli článku 9 tohoto nařízení.

54

Bod 4 odůvodnění GDPR stanoví, že právo na ochranu osobních údajů není právem absolutním, neboť musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy (v tomto smyslu viz rozsudek ze dne 22. června 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 78). Kromě toho Soudní dvůr již poukázal na to, že mechanismy umožňující nalézt spravedlivou rovnováhu mezi jednotlivými dotčenými právy a zájmy jsou zakotveny v samotném GDPR (v tomto smyslu viz rozsudek ze dne 17. června 2021, M. I. C. M.C‑597/19, EU:C:2021:492, bod 112).

55

Tyto úvahy platí i v případě, že dotčené údaje spadají do zvláštních kategorií uvedených v článku 9 tohoto nařízení [v tomto smyslu viz rozsudek ze dne 24. září 2019, GC a další (Odstranění odkazů na citlivé údaje), C‑136/17, EU:C:2019:773, body 57 a 66 až 68], jako jsou údaje o zdravotním stavu.

56

Konkrétně z bodu 52 odůvodnění GDPR vyplývá, že „odchylky od zákazu zpracování zvláštních kategorií osobních údajů“ je třeba povolit, „je-li toto zpracování ve veřejném zájmu, zejména […] v oblasti pracovního práva a práva v oblasti sociální ochrany,“ jakož i „z důvodů zdraví, […] zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění“. Bod 53 odůvodnění tohoto nařízení rovněž uvádí, že zpracování „pro zdravotní účely“ by mělo být možné, „je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče a systémů“.

57

Právě z tohoto hlediska a s ohledem na různé dotčené oprávněné zájmy stanovil unijní normotvůrce v čl. 9 odst. 2 písm. h) GDPR možnost odchýlit se od zásady zákazu zpracování údajů o zdravotním stavu uvedené v odstavci 1 tohoto článku za předpokladu, že dotyčné zpracování splňuje podmínky a záruky výslovně stanovené tímto písmenem h) a ostatními relevantními ustanoveními tohoto nařízení, zejména odstavcem 3 uvedeného článku 9, v nichž není uveden požadavek, aby lékařská služba, která zpracovává takové údaje na základě uvedeného písmene h), byla subjektem odlišným od zaměstnavatele subjektu údajů.

58

S ohledem na výše uvedené důvody, aniž jsou dotčeny odpovědi, které budou poskytnuty na druhou a třetí otázku, je třeba na první otázku odpovědět tak, že čl. 9 odst. 2 písm. h) GDPR musí být vykládán v tom smyslu, že výjimka stanovená v tomto ustanovení se uplatní v situacích, v nichž lékařský posudkový útvar zpracovává údaje o zdravotním stavu některého ze svých zaměstnanců nikoli jakožto zaměstnavatel, ale jakožto lékařská služba, za účelem posouzení pracovní schopnosti tohoto zaměstnance, za předpokladu, že dotyčné zpracování splňuje podmínky a záruky výslovně stanovené v tomto písmeni h) a v odstavci 3 uvedeného článku 9.

59

Podle předkládajícího soudu z bodů 35, 51, 53 a 75 odůvodnění GDPR vyplývá, že v takové situaci, jako je situace ve věci v původním řízení, kdy je správce rovněž zaměstnavatelem osoby, jejíž pracovní schopnost je posuzována, nestačí splnit požadavky čl. 9 odst. 3 GDPR. Toto nařízení mimoto ukládá vyloučit ze zpracování údajů o zdravotním stavu všechny zaměstnance správce, kteří byli s touto osobou v jakémkoli profesním styku. Podle tohoto soudu by každý správce, který má k dispozici několik územních pracovišť, jako je MDK Nordrhein, měl zajistit, aby subjekt pověřený zpracováním údajů o zdravotním stavu zaměstnanců tohoto správce vždy spadal pod jiné pracoviště, než ve kterém dotyčný zaměstnanec vykonává práci. Povinnost zachovávat mlčenlivost, kterou mají zaměstnanci oprávnění zpracovávat takové údaje, navíc ve skutečnosti nebrání tomu, aby měl kolega subjektu údajů přístup k údajům, které se tohoto subjektu týkají, což by s sebou neslo riziko vzniku újmy, jako je poškození dobré pověsti subjektu údajů.

60

Za těchto podmínek se předkládající soud druhou otázkou v podstatě táže, zda musí být ustanovení GDPR vykládána v tom smyslu, že správce údajů o zdravotním stavu na základě čl. 9 odst. 2 písm. h) tohoto nařízení je povinen zajistit, aby žádný z kolegů subjektu údajů neměl přístup k údajům o zdravotním stavu tohoto subjektu údajů.

61

Je třeba připomenout, že podle čl. 9 odst. 3 GDPR lze zpracování údajů pro účely uvedené v odstavci 1 a odst. 2 písm. h) tohoto článku 9, v projednávaném případě zpracování údajů o zdravotním stavu pracovníka za účelem posouzení jeho pracovní schopnosti, uskutečnit pouze tehdy, jsou-li tyto údaje zpracovávány pracovníkem vázaným služebním tajemstvím podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány nebo na jeho odpovědnost nebo jinou osobou rovněž vázanou povinností mlčenlivosti podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány.

62

Unijní normotvůrce přijetím čl. 9 odst. 3 tohoto nařízení, který odkazuje právě na odst. 2 písm. h) téhož článku, definoval zvláštní ochranná opatření, která zamýšlel uložit správcům takových zpracování, která spočívají v tom, že tato zpracování jsou vyhrazena osobám, na které se vztahuje povinnost mlčenlivosti, v souladu s podrobnými podmínkami stanovenými v uvedeném odstavci 3. Ke znění posledně uvedeného ustanovení tedy není třeba přidávat požadavky, které toto ustanovení nezmiňuje.

63

Z toho vyplývá, jak v podstatě uvedl generální advokát v bodě 43 svého stanoviska, že čl. 9 odst. 3 GDPR nemůže sloužit jako právní základ pro opatření zajišťující, aby žádný z kolegů subjektu údajů neměl přístup k údajům o zdravotním stavu tohoto subjektu.

64

Je však třeba posoudit, zda požadavek spočívající v zajištění toho, aby žádný z kolegů subjektu údajů neměl přístup k údajům o zdravotním stavu tohoto subjektu, může být uložen správci, který zpracovává údaje o zdravotním stavu podle čl. 9 odst. 2 písm. h) GDPR, na základě jiného ustanovení tohoto nařízení.

65

V tomto ohledu je třeba upřesnit, že jediná možnost členských států doplnit takový požadavek oproti požadavkům stanoveným v čl. 9 odst. 2 a 3 uvedeného nařízení spočívá v možnosti, kterou jim výslovně přiznává odstavec 4 tohoto článku, „zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování […] údajů o zdravotním stavu“.

66

Tyto případné dodatečné podmínky však nevyplývají ze samotných ustanovení GDPR, ale případně z pravidel vnitrostátního práva upravujících zpracování tohoto typu, tedy pravidel, ve vztahu k nimž toto nařízení výslovně ponechává členským státům prostor pro uvážení (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, body 51 a 78).

67

Kromě toho je třeba zdůraznit, že členský stát, který by měl v úmyslu využít možnosti poskytnuté v čl. 9 odst. 4 uvedeného nařízení, by se měl v souladu se zásadou proporcionality ujistit, že praktické důsledky, zejména organizační, hospodářské a lékařské povahy, způsobené dodatečnými požadavky, jejichž dodržování tento stát zamýšlí uložit, nejsou nepřiměřené pro správce takového zpracování, kteří nemusí mít nutně dimenze nebo technické a lidské nebo zdroje dostatečné ke splnění těchto požadavků. Tyto požadavky totiž nemohou narušit užitečný účinek povolení ke zpracování, které je výslovně stanoveno v čl. 9 odst. 2 písm. h) téhož nařízení a vymezeno v odstavci 3 tohoto článku.

68

A konečně, je třeba zdůraznit, že podle čl. 32 odst. 1 písm. a) a b) GDPR, který konkretizuje zásady integrity a důvěrnosti uvedené v čl. 5 odst. 1 písm. f) tohoto nařízení, je každý správce osobních údajů povinen provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, zejména pseudonymizaci a šifrování takových údajů, jakož i schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování. Pro určení praktických podmínek této povinnosti musí správce v souladu s tímto čl. 32 odst. 1 zohlednit stav techniky, náklady na provedení, povahu, rozsah, kontext a účely zpracování i různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob.

69

Je však na předkládajícím soudu, aby posoudil, zda jsou všechna technická a organizační opatření, která provedla v projednávané věci MDK Nordrhein, v souladu s požadavky čl. 32 odst. 1 písm. a) a b) GDPR.

70

Na druhou otázku je tedy třeba odpovědět tak, že čl. 9 odst. 3 GDPR musí být vykládán v tom smyslu, že správce údajů o zdravotním stavu podle čl. 9 odst. 2 písm. h) tohoto nařízení není na základě těchto ustanovení povinen zajistit, aby žádný z kolegů subjektu údajů neměl přístup k údajům o jeho zdravotním stavu. Taková povinnost však může být uložena správci takového zpracování buď na základě právní úpravy přijaté členským státem podle čl. 9 odst. 4 uvedeného nařízení, nebo na základě zásad integrity a důvěrnosti uvedených v čl. 5 odst. 1 písm. f) téhož nařízení a konkretizovaných v jeho čl. 32 odst. 1 písm. a) a b).

71

Podstatou třetí otázky předkládajícího soudu je, zda čl. 9 odst. 2 písm. h) a čl. 6 odst. 1 GDPR musí být vykládány v tom smyslu, že zpracování údajů o zdravotním stavu založené na tomto prvním ustanovení musí k tomu, aby bylo zákonné, nejen splňovat požadavky vyplývající z tohoto ustanovení, ale rovněž splňovat alespoň jednu z podmínek zákonnosti stanovených v tomto čl. 6 odst. 1.

72

V tomto ohledu je třeba připomenout, že články 5, 6 a 9 GDPR jsou obsaženy v kapitole II tohoto nařízení, nadepsané „Zásady“, a týkají se zásad zpracování osobních údajů, podmínek zákonnosti zpracování a zpracování zvláštních kategorií osobních údajů.

73

Kromě toho je třeba uvést, že bod 51 odůvodnění GDPR výslovně uvádí, že „[s]polečně se zvláštními požadavky“ na zpracování „obzvláště citliv[ých]“ údajů, které jsou stanoveny v čl. 9 odst. 2 a 3 tohoto nařízení, aniž by byla dotčena opatření případně přijatá členským státem na základě odstavce 4 tohoto článku, „by se měly [na takové zpracování] uplatňovat [rovněž] obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování“, jak vyplývají z článku 6 téhož nařízení.

74

V souladu s čl. 6 odst. 1 prvním pododstavcem GDPR je tedy zpracování takových „obzvláště citlivých“ údajů, jako jsou údaje o zdravotním stavu, zákonné, pouze pokud je splněna nejméně jedna z podmínek uvedených v tomto odst. 1 prvním pododstavci písm. a) až f).

75

Článek 6 odst. 1 první pododstavec uvedeného nařízení stanoví taxativní výčet případů, kdy lze zpracování osobních údajů považovat za zákonné. Aby mohlo být zpracování považováno za oprávněné, musí tedy jít o jeden z případů stanovených v tomto ustanovení [rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 90, jakož i citovaná judikatura].

76

Soudní dvůr tudíž opakovaně rozhodl, že každé zpracování osobních údajů musí být v souladu se zásadami zpracování údajů, které jsou uvedeny v čl. 5 odst. 1 GDPR, a musí splňovat podmínky zákonnosti zpracování, které jsou vyjmenovány v článku 6 tohoto nařízení [rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland (Elektronická soudní schránka), C‑60/22, EU:C:2023:373, bod 57 a citovaná judikatura].

77

Navíc již bylo rozhodnuto, že vzhledem k tomu, že články 7 až 11 GDPR, které jsou stejně jako články 5 a 6 uvedeného nařízení součástí jeho kapitoly II, jež se týká zásad, mají za účel upřesnit rozsah povinností vyplývajících pro správce z čl. 5 odst. 1 písm. a) a z čl. 6 odst. 1 uvedeného nařízení, musí zpracování osobních údajů, aby bylo zákonné, respektovat podle judikatury Soudního dvora i tato ostatní ustanovení uvedené kapitoly, která se týkají v podstatě vyjádření souhlasu, zpracování zvláštních kategorií citlivých osobních údajů a zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů [rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland (Elektronická soudní schránka), C‑60/22, EU:C:2023:373, bod 58 a citovaná judikatura].

78

Z toho zejména vyplývá, že vzhledem k tomu, že cílem čl. 9 odst. 2 písm. h) GDPR je upřesnit rozsah povinností správce podle čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 tohoto nařízení, zpracování údajů o zdravotním stavu, které je založeno na tomto prvním ustanovení, musí k tomu, aby bylo zákonné, splňovat jak požadavky vyplývající z tohoto ustanovení, tak povinnosti vyplývající z těchto dvou posledně uvedených ustanovení, a zejména splňovat alespoň jednu z podmínek zákonnosti stanovených v tomto čl. 6 odst. 1.

79

S ohledem na výše uvedené je třeba na třetí otázku odpovědět tak, že čl. 9 odst. 2 písm. h) a čl. 6 odst. 1 GDPR musí být vykládány v tom smyslu, že zpracování údajů o zdravotním stavu založené na tomto prvním ustanovení musí k tomu, aby bylo zákonné, splňovat nejen požadavky vyplývající z tohoto ustanovení, ale rovněž splňovat alespoň jednu z podmínek zákonnosti stanovených v tomto čl. 6 odst. 1.

80

Podstatou čtvrté otázky předkládajícího soudu je, zda čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní nejen kompenzační funkci, ale také odrazující nebo represivní funkci, a pokud ano, zda tato funkce musí být případně zohledněna při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě tohoto ustanovení.

81

Je třeba připomenout, že čl. 82 odst. 1 GDPR stanoví, že „[k]dokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy“.

82

Soudní dvůr vyložil toto ustanovení v tom smyslu, že pouhé porušení GDPR nestačí k přiznání práva na náhradu újmy poté, co zdůraznil zejména to, že existence „utrpěné“„újmy“ je jednou z podmínek práva na náhradu újmy stanoveného v tomto čl. 82 odst. 1 stejně jako existence porušení tohoto nařízení a příčinná souvislost mezi touto újmou a tímto porušením, přičemž tyto tři podmínky jsou kumulativní [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 32 a 42].

83

Soudní dvůr kromě toho rozhodl, že vzhledem k tomu, že GDPR neobsahuje ustanovení, jehož cílem by bylo definovat pravidla týkající se posouzení náhrady újmy, která má být přiznána na základě práva na náhradu újmy zakotveného v článku 82 tohoto nařízení, musí vnitrostátní soudy za tímto účelem uplatnit na základě zásady procesní autonomie vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva, jak jsou definovány ustálenou judikaturou Soudního dvora [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 53, 54 a 59].

84

V tomto kontextu a s ohledem na bod 146 šestou větu odůvodnění GDPR, podle kterého tento nástroj směřuje k zajištění „plné a účinné náhrady [utrpěné] újmy“, Soudní dvůr uvedl, že s ohledem na kompenzační funkci práva na náhradu újmy stanoveného v článku 82 tohoto nařízení musí být peněžitá náhrada založená na tomto článku považována za „plnou a účinnou“, pokud umožňuje plně nahradit újmu, která konkrétně vznikla v důsledku porušení uvedeného nařízení, aniž je pro účely takové plné kompenzace nezbytné uložit povinnost k zaplacení sankční náhrady újmy [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 57 a 58].

85

V tomto ohledu je třeba zdůraznit, že článek 82 GDPR nemá sankční, ale kompenzační funkci, na rozdíl od jiných ustanovení tohoto nařízení, která jsou rovněž obsažena v kapitole VIII tohoto nařízení, a sice jeho článků 83 a 84, které mají v zásadě sankční účel, neboť umožňují uložit správní pokuty, jakož i jiné sankce. Vztah mezi pravidly stanovenými v uvedeném článku 82 a pravidly stanovenými v uvedených článcích 83 a 84 ukazuje, že mezi těmito dvěma kategoriemi ustanovení existuje rozdíl, ale také komplementarita, pokud jde o motivaci k dodržování GDPR, přičemž je třeba poznamenat, že právo každého požadovat náhradu újmy posiluje vymahatelnost pravidel ochrany stanovených tímto nařízením a může odrazovat od opakování protiprávního jednání [v tomto smyslu viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C‑300/21, EU:C:2023:370, body 38 a 40].

86

Vzhledem k tomu, že právo na náhradu újmy stanovené v čl. 82 odst. 1 GDPR neplní odrazující, či dokonce sankční funkci, jak ji zamýšlí předkládající soud, závažnost porušení tohoto nařízení, které způsobilo dotyčnou újmu, nemůže mít vliv na výši náhrady újmy přiznané na základě tohoto ustanovení, a to ani v případě, že se nejedná o hmotnou, ale nehmotnou újmu. Z toho vyplývá, že tato částka nemůže být stanovena na úrovni překračující plnou kompenzaci této újmy.

87

V důsledku toho je třeba na čtvrtou otázku odpovědět tak, že čl. 82 odst. 1 GDPR musí být vykládán v tom smyslu, že právo na náhradu újmy stanovené v tomto ustanovení plní kompenzační funkci v tom smyslu, že peněžitá náhrada na základě uvedeného ustanovení musí umožnit plnou náhradu újmy, která konkrétně vznikla v důsledku porušení tohoto nařízení, a nikoli odrazující nebo sankční funkci.

88

Z informací poskytnutých předkládajícím soudem v odpovědi na žádost o vysvětlení, která mu byla zaslána v souladu s článkem 101 jednacího řádu Soudního dvora, vyplývá, že cílem páté otázky je určit, zda existence nebo prokázání zavinění jsou podmínkami požadovanými k tomu, aby mohla být založena odpovědnost správce nebo zpracovatele, a dále jaký dopad může mít stupeň závažnosti zavinění správce nebo zpracovatele na konkrétní posouzení náhrady újmy, která má být zaplacena jako náhrada utrpěné nehmotné újmy.

89

S ohledem na tuto odpověď předkládajícího soudu je třeba pátou otázku chápat tak, že její podstatou je jednak to, zda článek 82 GDPR musí být vykládán v tom smyslu, že vznik odpovědnosti správce je podmíněn existencí jeho zavinění, a jednak to, zda musí být při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě tohoto ustanovení zohledněn stupeň závažnosti tohoto zavinění.

90

Pokud jde o první část této otázky, je třeba poznamenat, že jak bylo připomenuto v bodě 82 tohoto rozsudku, čl. 82 odst. 1 GDPR podmiňuje právo na náhradu újmy splněním tří podmínek, a sice existence porušení tohoto nařízení, existence vzniklé újmy, jakož i existence příčinné souvislosti mezi tímto porušením a touto újmou.

91

Článek 82 odst. 2 GDPR stanoví, že správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Znění tohoto ustanovení v některých jeho jazykových zněních, zejména v německém znění, které je jednacím jazykem v projednávané věci, přitom neumožňuje s jistotou určit, zda musí být dotčené porušení přičitatelné správci, aby mohla být založena jeho odpovědnost.

92

V tomto ohledu z analýzy jednotlivých jazykových verzí první věty čl. 82 odst. 2 GDPR vyplývá, že se má za to, že byl správce zapojen do zpracování, které představuje uvedené porušení tohoto nařízení. Zatímco německá, francouzská nebo finská verze jsou formulovány otevřeně, některé jiné jazykové verze se jeví být přesnější a používají ukazovací zájmena při třetím výskytu výrazu „zpracování“ nebo při třetím odkazu na tento výraz, takže je jasné, že se tento třetí výskyt nebo odkaz vztahuje na totéž zpracování jako druhý výskyt tohoto výrazu. Tak je tomu v případě znění ve španělském, estonském, řeckém, italském nebo rumunském jazyce.

93

Článek 82 odst. 3 GDPR v této souvislosti upřesňuje, že správce je odpovědnosti podle čl. 82 odst. 2 zproštěn, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která vedla ke vzniku újmy.

94

Ze společné analýzy těchto jednotlivých ustanovení článku 82 GDPR vyplývá, že tento článek stanoví režim odpovědnosti za zavinění, v jehož rámci nese důkazní břemeno nikoli osoba, které vznikla škoda, nýbrž správce.

95

Takový výklad je potvrzen kontextem článku 82, jakož i cíli, které unijní normotvůrce sledoval v GDPR.

96

V tomto ohledu zaprvé ze znění článků 24 a 32 GDPR vyplývá, že tato ustanovení pouze ukládají správci povinnost přijmout technická a organizační opatření, jejichž cílem je v co největším možném rozsahu zabránit jakémukoliv porušení zabezpečení osobních údajů. Vhodnost takových opatření musí být posouzena konkrétně, přičemž se prověří, zda tato opatření byla tímto správcem zavedena s přihlédnutím k jednotlivým kritériím stanoveným v uvedených článcích a potřebám ochrany údajů dotyčného zpracování, jakož i rizikům plynoucím z tohoto zpracování (v tomto smyslu viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 30).

97

Taková povinnost by přitom byla zpochybněna, kdyby byl správce následně povinen nahradit jakoukoli újmu způsobenou zpracováním provedeným v rozporu s GDPR.

98

Zadruhé, pokud jde o cíle GDPR, z bodů 4 až 8 odůvodnění tohoto nařízení vyplývá, že jeho cílem je zavést rovnováhu mezi zájmy správců osobních údajů a právy osob, jejichž osobní údaje jsou zpracovávány. Cílem je umožnit rozvoj digitální ekonomiky a zároveň zajistit vysokou úroveň ochrany osob. Cílem je tedy vyvážení zájmů správce a osob, jejichž osobní údaje jsou zpracovávány. Mechanismus odpovědnosti za zavinění spojený s obrácením důkazního břemene, jak stanoví článek 82 GDPR, přitom právě takovou rovnováhu umožňuje zajistit.

99

Na jedné straně, jak v podstatě uvedl generální advokát v bodě 93 svého stanoviska, by nebylo v souladu s cílem takové vysoké ochrany zvolit výklad, podle kterého by subjekty údajů, které utrpěly újmu z důvodu porušení GDPR, měly v rámci žaloby na náhradu újmy podle článku 82 GDPR nést nejen důkazní břemeno ohledně existence tohoto porušení a újmy, která jim vznikla, ale také ohledně existence zavinění správce, k němuž došlo úmyslně nebo z nedbalosti, či dokonce ohledně stupně závažnosti tohoto zavinění, i když uvedený článek 82 takové požadavky nestanoví (obdobně viz rozsudek ze dne 14. prosince 2023, Nacionalna agencia za prichodite, C‑340/21, EU:C:2023:986, bod 56).

100

Na druhé straně by režim objektivní odpovědnosti nezajistil dosažení cíle právní jistoty, který sleduje normotvůrce, jak vyplývá z bodu 7 odůvodnění GDPR.

101

Pokud jde o druhou část páté otázky, která se týká stanovení výše případné náhrady újmy podle článku 82 GDPR, je třeba připomenout, jak bylo zdůrazněno v bodě 83 tohoto rozsudku, že k posouzení této náhrady újmy musí vnitrostátní soudy uplatnit vnitrostátní pravidla každého členského státu týkající se rozsahu peněžité náhrady za předpokladu, že jsou dodrženy zásady rovnocennosti a efektivity unijního práva, jak jsou definovány ustálenou judikaturou Soudního dvora.

102

Je třeba upřesnit, že s ohledem na svou kompenzační funkci článek 82 GDPR nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě tohoto ustanovení zohledněn stupeň závažnosti porušení tohoto nařízení, kterého se správce údajně dopustil, ale vyžaduje, aby tato částka byla stanovena tak, aby v plném rozsahu nahradila újmu, která konkrétně vznikla v důsledku porušení uvedeného nařízení, jak vyplývá z bodů 84 a 87 tohoto rozsudku.

103

V důsledku toho je třeba na pátou otázku odpovědět tak, že článek 82 GDPR musí být vykládán v tom smyslu, že vznik odpovědnosti správce je podmíněn existencí jeho zavinění, které se předpokládá, pokud tento správce neprokáže, že skutečnost, která způsobila újmu, mu není nijak přičitatelná, a že tento článek 82 nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy na základě tohoto ustanovení zohledněn stupeň závažnosti tohoto zavinění.

104

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (třetí senát) rozhodl takto: