Z půlky prosince loňského roku pocházejí dva rozsudky Soudního dvora Evropské unie („SDEU“), které se zabývaly předběžnými otázkami národních soudů Bulharska a Německa ohledně výkladu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („GDPR“).

V prvním případě byla žalována bulharská Národní agentura pro veřejné příjmy (Nacionalna agencia za prichodite), která v roli správce shromažďovala osobní údaje za účelem identifikace, zajištění a vymáhání veřejných pohledávek. V důsledku hackerského útoku byly tyto údaje z jejího informačního systému zveřejněny. Ze zhruba šesti milionů dotčených fyzických osob podalo několik set žalobu. Jednou z těchto osob byla i žalobkyně, která tvrdila, že v důsledku zveřejnění svých údajů utrpěla újmu spočívající v obavě, že její osobní údaje zveřejněné bez jejího souhlasu, budou v budoucnu zneužity, nebo že bude sama vystavena vydírání, útoku, nebo dokonce únosu.

Bulharský odvolací soud při projednávání věci vznesl několik předběžných otázek na SDEU, který se jimi zabýval a dospěl k následujícím závěrům. Ohledně dostatečnosti zabezpečení spravovaných údajů je nutné nejprve posoudit možná rizika s nimi spojená a jejich závažnost. Teprve pak lze stanovit, jaká opatření jsou dostatečná, a to i s přihlédnutím ke stavu techniky, nákladům na provedení, jakož i k povaze, rozsahu, kontextu a účelům konkrétního zpracování. Podstatné pak je, že důkazní břemeno o dostatečnosti a vhodnosti provedených bezpečnostních opatření nese správce a nikoli žalobkyně. K otázce, jak má správce vhodnost těchto opatření prokazovat, SDEU konstatoval, že je na vnitrostátním právním řádu každého členského státu, aby stanovil pravidla týkající se důkazních prostředků, přičemž znalecký posudek nemusí být vždy nezbytným, ovšem někdy ani dostatečným důkazem o splnění povinnosti správce údajů. K odpovědnosti správce za způsobenou újmu se pak SDEU vyjádřil v tom smyslu, že zprostit se odpovědnosti může správce pouze v případě, kdy prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

Poslední předběžná otázka bulharského odvolacího soudu směřovala k povaze utrpěné újmy. Jak je zmíněno výše, žalobkyně spatřovala újmu už v obavě z možného zneužití osobních údajů třetími stranami. Soud se tedy tázal, zda už jen tato obava může sama o sobě představovat nehmotnou újmu. Závěr SDEU v tomto směru byl velice zajímavý. Podle něj GDPR v názorném výčtu příkladů hmotné či nehmotné újmy uvádí i ztrátu kontroly nad svými osobními údaji, a to i v případě, jak dovozuje SDEU, že nedošlo ke skutečnému zneužití dotčených údajů na úkor uvedených osob.

K  újmě, za kterou je možno požadovat odškodnění, se dále vyslovil SDEU i ve věci žaloby dvou osob proti německé obci Ummendorf. Obec na svých stránkách po dobu tří dnů zveřejnila program jednání schůze obecního zastupitelstva, v němž byla několikrát uvedena jména žalobců bez jejich souhlasu, a rozsudek, který uváděl jejich jména, příjmení a adresy bydliště. V tomto případě se německý soud obrátil na SDEU s otázkou, zda má být pojem „nehmotná újma“ podle GDPR vykládán jako citelná újma a objektivně pochopitelný zásah do osobnostních zájmů, anebo zda postačuje pouhá krátkodobá ztráta kontroly subjektu nad vlastními údaji. SDEU zde zdůraznil, že GDPR v této věci neodkazuje na vnitrostátní úpravu, ale samo uvádí, že „výklad pojmu ‚újma‘ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení“. Náhrada újmy tedy nemůže být ze strany vnitrostátního pravidla či praxe podmíněna určitou mírou závažnosti. Jedním z cílů GDPR je i zajištění soudržné a vysoké úrovně ochrany fyzických osob v Evropské unii v souvislosti se zpracováním osobních údajů, proto není možné ponechat výklad pojmu újma na roztříštěné praxi národních soudů.

V obou svých rozhodnutích však SDEU zdůraznil, že porušení GDPR samo o sobě nárok na odškodnění nezakládá. Je třeba unést důkazní břemeno o povaze a rozsahu utrpěné újmy a toto břemeno leží plně na osobách porušením dotčených.

Aby újma způsobená porušením GDPR byla žalovatelná, nerozhoduje její míra, ani fakt, zda je spojena se zneužitím osobních údajů, ke kterému již došlo, nebo s obavou subjektu, že k takovému zneužití může v budoucnu dojít. Jedinou podmínkou při nárokování náhrady je prokázat, že k újmě skutečně došlo.