Förslag till avgörande av generaladvokat Manuel Campos Sánchez-Bordona föredraget den 6 oktober 2022
1 Originalspråk: spanska.
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1). Nedan kallad den allmänna dataskyddsförordningen.
3 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
4 Enligt rapporten från Europeiska unionens byrå för grundläggande rättigheter (FRA), Access to data protection remedies in the EU Member States, Europeiska unionens publikationsbyrå, 2013, punkterna 3 och 4.
5 Erkännandet av denna rättighet i lagstiftningen är till stor del ett särdrag i unionens skyddssystem. Vid en bedömning av giltigheten av rättsliga instrument som rör överföring av personuppgifter till tredjeland, beaktas särskilt huruvida det finns en bestämmelse som har samma syfte eller inte. Se punkterna 226 och 227 i yttrande 1/15 (PNR-avtalet mellan EU och Kanada av den 26 juli 2017, EU:C:2017:592) samt dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559), och dom av den 21 juni 2022, Ligue des droits humains ( C‑817/19, EU:C:2022:491).
6 När detta förslag till avgörande avfattas har förhandsavgörande begärts i ytterligare sju mål rörande detta område (mål C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22, C‑189/22 och C-456/22). Parallellt har Europaparlamentets utskott för framställningar ombetts att klargöra skälen i den allmänna dataskyddsförordningen, i synnerhet beträffande immateriella skador, för att förhindra fler orättvisa domar i tyska domstolar (framställning nr 0386/2021).
7 Den biföll däremot ett förbudsyrkande och detta fastställdes av appellationsdomstolen. Oberster Gerichtshof (Högsta domstolen) har ogillat Österreichische Posts överklagande av förbudsföreläggandet.
8 Jag använder detta ord i den mening som avses i artikel 4.1 i den allmänna dataskyddsförordningen.
9 Ibland behöver den registrerade inte ens styrka att han eller hon inte lämnat sitt samtycke. I artikel 7.1 i den allmänna dataskyddsförordningen föreskrivs att [o]m behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Det kan dock krävas att käranden tillhandahåller uppgifter som gör det möjligt att kvantifiera skadan.
10 Ordet indemnización används i den spanska och den portugisiska versionen (indemnização). Mycket belysande är även Schadenersatz, i den tyska versionen. I den franska används inte indemnisation, utan réparation; i den engelska, compensation. Jag anser att resultatet är detsamma i alla dessa, och andra motsvarande, versioner: skadan är fortfarande en nödvändig förutsättning för skadeståndsansvaret.
11 Skäl 146 i den allmänna dataskyddsförordningen. Ersättningen syftar till att återställa jämvikten i den rättsliga situation som rubbats på ett negativt sätt (skadats) på grund av överträdelsen av lagstiftningen.
12 Straffliknande skadestånd (punitive damages) är utmärkande för den anglosaxiska rätten. Andra rättsordningar använder sig av skadestånd som en reaktion i vissa fall där någon handlat med särskilt uppsåt eller visat grov oaktsamhet. Ibland förknippas det med en värdering av den ideella skada som uppkommit efter skadan på hälsan eller den personliga integriteten.
13 Dom av den 13 juli 2006, Manfredi m.fl. ( C‑295/04–C‑298/04, EU:C:2006:461, punkt 92). Vad gäller utdömandet av skadestånd och den eventuella möjligheten att utdöma skadestånd med karaktär av sanktionsåtgärd, skall, i avsaknad av gemenskapsrättsliga bestämmelser på området, varje medlemsstats interna rättsordning ange kriterierna för storleken på ersättningen, under förutsättning att likvärdighets- och effektivitetsprinciperna iakttas.. Min kursivering.
14 Dom av den 11 oktober 2007, Paquay ( C‑460/06, EU:C:2007:601, punkt 44 och följande punkter), med avseende på artikel 6 i rådets direktiv 76/207/EEG av den 9 februari 1976 om genomförandet av principen om likabehandling av kvinnor och män i fråga om tillgång till anställning, yrkesutbildning och befordran samt arbetsvillkor (EGT L 39, 1976, s. 40; svensk specialutgåva, område 5, volym 1, s. 191).
15 Artikel 28 i Europaparlamentets och rådets direktiv 2004/109/EG av den 15 december 2004 om harmonisering av insynskraven angående upplysningar om emittenter vars värdepapper är upptagna till handel på en reglerad marknad och om ändring av direktiv 2001/34/EG (EUT L 390, 2004, s. 38), eller artikel 25 i Europaparlamentets och rådets direktiv 2006/54/EG av den 5 juli 2006 om genomförandet av principen om lika möjligheter och likabehandling av kvinnor och män i arbetslivet (EUT L 204, 2006, s. 23).
16 Exempelvis skäl 26 i Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (EUT L 157, 2004, s. 45). I det fallet är det inte förbjudet att anta den straffliknande åtgärden, men medlemsstaterna är inte heller skyldiga att göra det: dom av den 25 januari 2017, Stowarzyszenie Oławska Telewizja Kablowa ( C‑367/15, EU:C:2017:36, punkt 28).
17 Artikel 3.3 i Europaparlamentets och rådets direktiv 2014/104/EU av den 26 november 2014 om vissa regler som styr skadeståndstalan enligt nationell rätt för överträdelser av medlemsstaternas och Europeiska unionens konkurrensrättsliga bestämmelser (EUT L 349, 2014, s. 1), eller skälen 10 och 42 i Europaparlamentets och rådets direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22/EG (EUT L 409, 2020, s. 1), som omfattar dataskyddsområdet.
18 Som exempel brukar nämnas artikel 18.2 i kommissionens förordning (EG) nr 1768/95 av den 24 juli 1995 om införande av genomförandebestämmelser för det undantag i jordbruket som föreskrivs i artikel 14.3 i förordning (EG) nr 2100/94 (EGT L 173, 1995, s. 14): … skall skyldigheten att ersätta rättsinnehavaren för eventuella … skador … omfatta minst en klumpsumma beräknad på basis av det fyrdubbla genomsnittliga belopp som skall betalas ….
19 Se nedan, punkt 47.
20 Jag använder här uttrycken offentlig tillämpning och privat tillämpning på samma sätt som de används i direktiv 2014/104.
21 Skäl 55 varslade om innehållet i kapitel III (Rättslig prövning, ansvar och sanktioner) i direktiv 95/46. Dessa begrepp behandlades i artiklarna 22, 23 respektive 24. Kapitel VI handlade om tillsynsmyndigheterna.
22 Domstolen har bekräftat att dessa myndigheter har en central roll i systemet, exempelvis i sin dom av den 9 mars 2010 kommissionen/Tyskland ( C‑518/07, EU:C:2010:125, punkt 23). Det hänvisas till dessa i artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och i artikel 1.2 in fine FEUF.
23 Estland och Danmark har ett särskilt system, vilket nämns i skäl 151 i den allmänna dataskyddsförordningen.
24 Trots att den allmänna dataskyddsförordningen inte innehåller någon direkt formulering om betydelsen av den privata tillämpningen av bestämmelserna, som den som finns i skäl 3 i direktiv 2014/104.
25 Möjligheten att väcka grupptalan fanns redan före den allmänna dataskyddsförordningen: dom av den 29 juli 2019, Fashion ID ( C‑40/17, EU:C:2019:629). Enligt artikel 80.1 i den allmänna dataskyddsförordningen får de organ som försvarar de registrerades rättigheter inte vidta åtgärder när det gäller ersättning om medlemsstaterna inte föreskriver det i sin nationella rätt och den registrerade samtycker till det. Situationen kan komma att ändras till följd av direktiv 2020/1828.
26 Såsom generaladvokat Richard de la Tour påpekade i sitt förslag till avgörande i målet Meta Platforms Ireland ( C‑319/20, EU:C:2021:979), kan en talan enligt artikel 80 i den allmänna dataskyddsförordningen skydda enskilda och allmänna intressen. Det målet handlade om att föreläggande om upphörande.
27 I synnerhet i medlemsstater som inte ville godta domar om ersättning för immateriella skador utan att det föreskrevs i lag.
28 Som talerätt, skäl för undantag och ansvarssystemet för gemensamt personuppgiftsansvariga och gemensamma personuppgiftsbiträden. I ett dokument från rådet återges följande fråga från den belgiska delegationen: whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage. Svaret från kommissionen var att det var nödvändigt att styrka skada: se första gången i not från ordförandeskapet nr 17831/13 av den 16 december 2013, not 541. Det finns ingen uppgift om att denna fråga skulle ha varit föremål för någon omfattande debatt.
29 Jag hänvisar till förarbetena inför antagandet av direktiven 2004/48 och 2014/104. En tolkning som innebär att straffliknande skadestånd skulle omfattas av artikel 82 i den allmänna dataskyddsförordningen skulle få stora konsekvenser för medlemsstaterna. De skulle då till exempel behöva ta ställning till vem som ska ta emot den ersättning som fungerar som påföljd, hur den ska beräknas för att uppfylla syftet och vilket samband den ska ha med de administrativa sanktionsavgifterna och de straffrättsliga påföljderna, för att undvika en alltför sträng bestraffning.
30 Dessa andra sanktioner, som kan vara av straffrättslig eller förvaltningsrättslig art, har inte harmoniserats. I likhet med sanktionsavgifterna ska de vara effektiva, proportionella och avskräckande (artikel 84.1 in fine).
31 Jag utesluter inte, i teorin, att några av dem även kan beaktas när det gäller skadeståndsansvar (jag tänker till exempel på [o]m överträdelsen skett med uppsåt eller genom oaktsamhet, enligt artikel 83.2 b i den allmänna dataskyddsförordningen) eller avspeglas i skadeståndet (som [d]e kategorier av personuppgifter som påverkas av överträdelsen enligt artikel 83.2 g). Inte ens i dessa fall kan dock var och en av dessa faktorer automatiskt överföras från ett område till ett annat.
32 Artikel 83.2 a i den allmänna dataskyddsförordningen.
33 Varken som beräkningsgrund eller för att dra av det från beloppet.
34 Artikel 1 i den allmänna dataskyddsförordningen samt skälen 6, 9 och 170. I skäl 9 erinras om att dessa var målen med direktiv 95/46 och att de fortfarande gäller. Det brukar betonas att i direktiv 95/46 gavs målet fri rörlighet för personuppgifter företräde framför skyddsmålet, medan det förhåller sig tvärtom i den allmänna dataskyddsförordningen. Förklaringen till detta skulle vara det formella erkännandet av denna rätt i artikel 8 i stadgan och att detta satt sin prägel på det nya regelverket. Artikel 1 i den allmänna dataskyddsförordningen visar emellertid tydligt att det funnits en vilja att göra en avvägning mellan skyddet av personuppgifter och deras fria rörlighet. Det innebär naturligtvis att man ska sträva efter att skyddsnivån ska vara likvärdig i samtliga medlemsstater och förhindra att hinder uppstår på grund av fragmentering av reglerna, men också motverka enskildas motvilja mot att dela eller tillhandahålla personuppgifter för att de ska behandlas, genom att skapa tilltro till att de är skyddade.
35 I punkt 53 i sitt skriftliga yttrande påpekar den irländska regeringen följande: … very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage (min kursivering). I Tyskland varnas i vissa delar av doktrinen för risken för att möjligheten att väcka talan ska missbrukas och att det måste förhindras att det uppstår en datenschutzrechtliche Klageindustrie: Wybitul, T., Neu, L., Strauch, M., Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen, Zeitschrift für Datenschutz, 2018, sidan 202 och följande sidor, särskilt sidan 206. Paal, B.P., Kritzer, I., Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell, Neue Juristische Wochenschrift, 2022, sidan 2433 och följande sidor.
36 Det kan inte uteslutas att det uppstår en spridningseffekt på grund av framgångarna med att väcka skadeståndstalan utan att det föreligger skada. Därmed ökar sannolikheten för att ekonomiska aktörer ställs inför fall med grupptalan eller en mängd enskilda stämningar (i förekommande fall mer eller mindre obefogade), utöver eventuella administrativa sanktionsavgifter eller straffrättsliga påföljder.
37 Den antyds bara i parternas yttranden men den utvecklas inte. Det klargörs till exempel inte om presumtionen är motbevisbar eller inte. Det sistnämnda alternativet överensstämmer bäst med den hänskjutande domstolens fråga och jag ska därför begränsa mig till det.
38 Se artikel 7 i Europaparlamentets och rådets förordning (EG) nr 261/2004 av den 11 februari 2004 om fastställande av gemensamma regler om kompensation och assistans till passagerare vid nekad ombordstigning och inställda eller kraftigt försenade flygningar och om upphävande av förordning (EEG) nr 295/91 (EUT L 46, 2004, s. 1), eller artikel 19 i Europaparlamentets och rådets förordning (EU) nr 1177/2010 av den 24 november 2010 om passagerares rättigheter vid resor till sjöss och på inre vattenvägar och om ändring av förordning (EG) nr 2006/2004 (EUT L 334, 2010, s. 1).
39 Det räcker att se till punkterna 3 och 4 i artikel 82 i den allmänna dataskyddsförordningen.
40 om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter.
41 En personuppgiftsincident … kan för fysiska personer leda till … förlust av kontrollen över de egna personuppgifterna ….
42 Konsekvenserna som räknas upp i det skälet är inte automatiska. Enligt artikel 34 i den allmänna dataskyddsförordningen ska den personuppgiftsansvarige i varje enskilt fall bedöma om det är nödvändigt att informera den registrerade om personuppgiftsincidenten.
43 De känslomässiga konsekvenserna av en förlust av kontrollen över uppgifterna, som rädsla eller oro för vad som kan hända med dem, är en följd av förlusten men de är inte identiska med den.
44 Vissa medlemsstater hade infört en presumtion om skada inom områden som låg nära dataskyddsområdet. I Spanien föreskrevs till exempel i artikel 9.3 i Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (lag 1/1982 av den 5 maj 1982 om civilrättsligt skydd av rätten till heder, rätten till privatliv och familjeliv och rätten till den egna bilden (BOE nr 115 av den 14 maj 1982, s. 12546–12548), att det presumeras att det föreligger en skada under förutsättning att det har skett ett otillåtet intrång [i de rättigheter som garanteras genom den lagen].
45 Jag vill erinra om att i förevarande mål är handlandets rättsstridighet just knuten till avsaknaden av samtycke från den registrerade. Argumenten om att rätten till ersättning ingår i garantierna för att bestämmelserna i den allmänna dataskyddsförordningen efterlevs är också tillämpliga här.
46 Det handlar emellertid bara om en grund för en laglig behandling och alla de grunder som räknas upp i den allmänna dataskyddsförordningen har samma värde. Se yttrande 6/2014 från Artikel 29-arbetsgruppen för skydd av personuppgifter om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG, antaget den 9 april 2014, s. 10. Den registeransvarige får emellertid inte ändra grunden för behandlingen, när den väl har påbörjats: Se Europeiska dataskyddsstyrelsens riktlinjer 05/2020 om samtycke enligt förordning (EU) 2016/679, punkterna 121–123.
47 Artikel 17.1 i den allmänna dataskyddsförordningen. Det innebär inte att det inte skulle föreligga rätt till ersättning för skador som behandlingen kan ha gett upphov till innan uppgifterna raderades.
48 Dom av den 13 maj 2014, Google Spain och Google ( C‑131/12, EU:C:2014:317, punkt 4 i domslutet).
49 Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM(2012) 011 final), s. 2 och skäl 6 i den föreslagna texten. Se även punkt 2 i Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén: Skydd av den personliga integriteten i en uppkopplad värld. En europeisk ram för personuppgiftsskydd för tjugohundratalet (COM(2012) 9 final).
50 Mitt intryck är att denna tystnad inte är någon tillfällighet. Oavsett de begreppsmässiga analyserna rörande äganderätten till personuppgifterna, är frågan om det ska godtas att kontrollen över de egna uppgifterna innebär att fysiska personer har äganderättsbefogenheter rörande den information som berör dem (vilket sannolikt inte är förenligt med tredje parts intressen och inte heller med samhällets intressen som helhet). Rekommendationen att erkänna äganderätt till personuppgifterna finns i Yttrande från Europeiska ekonomiska och sociala kommittén om Förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten), COM(2020) 767 final, (EUT C 286, 2021, s. 38), i punkt 4.18: EESK rekommenderar … att man erkänner den europeiska äganderätten till digitala data, så att medborgarna (arbetstagare, konsumenter, företagare) kan kontrollera, hantera eller förbjuda användningen av sina data (min kursivering). Däremot förnekas att uppgifterna skulle utgöra en vara, se fotnot 53 in fine.
51 I den spanska versionen står det att las personas físicas deben tener el control de sus propios datos personales (min kursivering). I den engelska versionen anges det att natural persons should have control of their own personal data (och inte the control). I andra versioner, som den portugisiska, är lydelsen as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Enligt artikel 4 i den allmänna dataskyddsförordningen handlar kontrollen över personuppgifterna om den information som de representerar. Kontrollen över hur uppgifterna används handlar snarare om behandlingen av dem.
52 I praktiken begränsar sig samtycket till att godkänna eller förkasta förslaget från den som vill behandla uppgifterna.
53 Jag utesluter inte att regelverkets kan komma att utvecklas i riktning mot att erkänna den registrerades äganderätt. Jag betvivlar emellertid att det kommer att leda till en maximering av den individuella kontrollen. Det är inte säkert att en ställning där den registrerade har äganderätt till personuppgifterna är helt förenlig med ekonomins och innovationernas utveckling; dess förenlighet med den grundläggande rättighetsdimensionen är diskutabel. Se skäl 24 i Europaparlamentets och rådets direktiv (EU) 2019/770 av den 20 maj 2019 om vissa aspekter på avtal om tillhandahållande av digitalt innehåll och digitala tjänster (EUT L 136, 2019, s. 1): Det är viktigt att till fullo erkänna att skyddet av personuppgifter är en grundläggande rättighet och att personuppgifter därför inte kan betraktas som en vara… Min kursivering.
54 Inget gehör vanns för formuleringar som föreslogs för artikel 19 i Presidiets not – Projet de Charte des Droits Fondamentaux de l'Union Européenne, Charte 4284/1/00 REV 1, av den 11 maj 2000: Toute personne a le droit de décider elle-même de la divulgation et de l'utilisation de ses données personnelles. Inte heller för den som finns för samma bestämmelse i Presidiets not – Projet de Charte des Droits Fondamentaux de l'Union Européenne, Charte 4333/00, av den 4 juni 2000: Toute personne a le droit de décider elle-même de la collecte, de l'utilisation et de la divulgation des données à caractère personnel la concernant. På nationell nivå har tanken med självbestämmande i fråga om information slagit rot i vissa medlemsstater, exempelvis Tyskland, efter Bundesverfassungsgerichts (Författningsdomstolen) beslut av den 15 december 1983, 1 BvR 209/83. I Spanien, se exempelvis Tribunal Constitucionals (Federala författningsdomstolen) dom 292/2000 av den 30 november 2000 (BOE av den 4 januari 2001). Jag är inte säker på att det förhåller sig så när det gäller unionen, även om förslaget till avgörande av generaladvokaten Szpunar i målet Orange Romania ( C‑61/19, EU:C:2020:158, punkt 37) pekar i den riktningen: Den grundläggande princip som ligger till grund för unionens dataskyddslagstiftning är en självständig enskild person som kan fatta beslut om användning och behandling av sina uppgifter, just med hänvisning till den tyska rättspraxisen.
55 Utkast till rapport angående förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM(2012) 0011 final 2012/0011 (COD)), PE501.927v04–0, av den 16 januari 2013, ändring 29.
56 Jag menar inte att bestämmelsen får överträdas ostraffat. Vad jag syftar på är att en ersättning inte är ett lämpligt redskap om det inte har uppkommit någon skada.
57 Även om det utesluts att rätten för den enskilde att ha kontroll över sina uppgifter i sig är ett syfte med den allmänna dataskyddsförordningen, utesluter jag inte att förlusten av kontroll kan beaktas som vägledning för att fastställa de immateriella skadorna, på så sätt att reaktionerna på denna förlust beaktas.
58 Se punkt 51 i detta förslag till avgörande. Det fria flödet av uppgifter är det enda syftet när det gäller andra data än personuppgifter: artikel 1 i Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (EUT L 303, 2018, s. 59).
59 Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén: Skydd av den personliga integriteten i en uppkopplad värld. En europeisk ram för personuppgiftsskydd för tjugohundratalet (COM(2012) 9 final), punkt 1. Längre fram, på sidan 5: … oro för den personliga integriteten [är] ett av de vanligaste skälen som nämns för att inte köpa varor eller tjänster över nätet.
60 Skäl 2 i den allmänna dataskyddsförordningen: … bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande. I skäl 4: … Rätten till skydd av personuppgifter är inte en absolut rättighet; den måste förstås utifrån sin uppgift i samhället …. Se, för ett liknande resonemang, dom av den 24 september 2019, Google (Territoriell räckvidd för rätten till borttagande av länkar) ( C‑507/17, EU:C:2019:772, punkt 60, med andra hänvisningar).
61 Detta syfte gäller även det regelverk som syftar till att stärka den inre datamarknaden. Se, för ett liknande resonemang, Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén En EU-strategi för data (COM(2020) 66 final) punkt 1: I ett samhälle där enskilda personer genererar allt större datamängder måste data samlas in och användas på ett sätt som först och främst beaktar individens intressen, i enlighet med europeiska värden, grundläggande rättigheter och regler. Allmänheten kommer att lita på och ta till sig datadrivna innovationer först när de är övertygade om att all delning av personuppgifter inom EU sker i full överensstämmelse med unionens strikta dataskyddsregler.
62 Det tycks bekymra den hänskjutande domstolen (beslutet att begära förhandsavgörande, skäl 5 i skälen till att förhandsavgörandet begärs) att skadeståndet blir straffliknande, eftersom den allmänna dataskyddsförordningen redan föreskriver höga sanktionsavgifter och det därför inte dessutom krävs hög ersättning för ideella skador för att säkerställa effektiviteten.
63 Mål C‑30/19, Braathens Regional Aviation ( EU:C:2021:269, punkt 49): betalningen av ett penningbelopp [är] inte tillräcklig för att tillmötesgå de yrkanden som framställs av en person som i första hand, för att få upprättelse för den lidna ideella skadan, vill få fastställt att han eller hon har utsatts för diskriminering. Detta innebär att denna betalning, när det gäller att uppnå detta ändamål, inte kan anses ha en tillfredsställande reparativ funktion. Det målet handlade om rådets direktiv 2000/43/EG av den 29 juni 2000 om genomförandet av principen om likabehandling av personer oavsett deras ras eller etniska ursprung (EGT L 180, 2000, s. 22)
64 Se Magnus, U., Comparative Report on the Law of Damages, i Unification of Tort Law: Damages, Kluwer Law International, 2001, s. 187, avsnitt 14 och 15.
65 Vanligtvis i system som bygger på common law, i synnerhet i USA, där ett yrkande om symbolisk ersättning utgör den yttersta möjligheten att försvara grundlagsstadgade rättigheter. För en sammanfattning av diskussionerna kring dess nytta i det landet, se Grealish, M-B., A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion, i Fordham L. Rev., vol. 87, s. 733; samt, på senare tid, USA:s högsta domstols avgörande av den 8 mars 2021 i målet Uzuegbunam mot Preczewski. Så kallade nominal damages är inte heller oomtvistade i Förenade kungariket. I praktiken antas intresset av en dom om nominellt skadestånd vara beroende av att mottagaren betraktas som vinnande part med avseende på rättegångskostnader, vilket inte automatiskt är fallet sedan avgörandet i målet Anglo-Cyprian Trade Agencies Ltd mot Paphos Wine Industries Ltd [1951] 1 All ER 873.
66 Domstolen krävde inom ramen för den (dåvarande) artikel 215 i EEG-fördraget att skadan skulle styrkas, även när käranden yrkade en symbolisk ersättning på grund av svårigheten att styrka skadan: dom av den 21 maj 1976, Roquette Frères/kommissionen ( 26/74, EU:C:1976:69, punkterna 23 och 24).
67 I samband med immateriella rättigheter är syftet med ersättningen, som en reaktion på överträdelsen av bestämmelsen, att uppnå själva målet, vilket är centralt inom detta område, att skydda rättighetens ekonomiska integritet. I artikel 13.1 a i direktiv 2004/48 nämns den otillbörliga vinst som intrångsgöranden har gjort som en av de faktorer som de rättsliga myndigheterna ska beakta när de fastställer skadeståndet.
68 En motsvarande bestämmelse finns i artikel 94.2 i rådets förordning (EG) nr 2100/94 av den 27 juli 1994 om gemenskapens växtförädlarrätt (EGT L 227, 1994, s. 1; svensk specialutgåva; område 3, volym 60, s. 196): Vid ringa försumlighet kan sådana krav sänkas i förhållande till graden av ringa försumlighet, dock inte i sådan utsträckning att de blir lägre än den fördel som den överträdande parten haft till följd av överträdelsen.
69 Känslornas obeskrivliga karaktär, i synnerhet om de knyts till risker om vad som kan hända med uppgifterna i framtiden, har gjort att de inte betraktas som skador, på grund av att de inte är tillräckligt precisa eller på grund av deras hypotetiska karaktär.
70 Det vill säga om chefs de préjudice eller heads of damage.
71 Enligt det skälet bör registrerade få full och effektiv ersättning. Jag anser inte att denna utsaga är relevant för den tredje tolkningsfrågan, eftersom den inte handlar om vilka kategorier av skador som är ersättningsgilla utan beräkningen av ersättningen (eftersom det är en åtgärd som kommer efter fastställandet av vad som är ersättningsgillt och som inte ska blandas samman med det). Med beaktande av förarbetena till den allmänna dataskyddsförordningen, säkerställer betoningen av en full och effektiv ersättning att den registrerade inte bara delvis får ersättning om flera personuppgiftsansvariga eller personuppgiftsbiträden är inblandade. Därför anges det i artikel 82.4 i den allmänna dataskyddsförordningen att … varje personuppgiftsansvarig eller personuppgiftsbiträde [ska] hållas ansvarig för hela skadan för att säkerställa att den registrerade får effektiv ersättning.
72 I artikel 23 i direktiv 95/46 angavs inte uttryckligen vilka skador som är ersättningsgilla, vilket ledde till en diskussion om vilka som omfattades. De förhandlingar som föregick den allmänna dataskyddsförordningen inriktades på att skingra tvivlen om huruvida immateriella skador skulle inkluderas. I skäl 118 i kommissionens förslag som jag hänvisat till i fotnot 49, innehöll formuleringen ersättning för skada. I de efterföljande skedena av lagstiftningsförfarandet användes formuleringen ekonomisk skada eller annan skada, vilket banade väg för uttrycket ideell skada och slutligen mynnade ut i det nuvarande immateriella skador.
73 Det hade den inte gjort med avseende på artikel 23 i direktiv 95/46, och den har ännu inte gjort det avseende artikel 82 i den allmänna dataskyddsförordningen. Såvitt jag inte misstar mig har den heller inte uttalat sig med avseende på artikel 56 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 19) eller artikel 19 i det upphävda rambeslutet.
74 Domstolen har heller inte angett någon tolkningsmetod – självständig eller genom hänvisning till de nationella rättsordningarna – som i första hand bör tillämpas, utan denna är beroende av vilket område som är föremål för prövning. Jämför dom av den 10 maj 2001, Veedfald ( C‑203/99, EU:C:2001:258, punkt 27), rörande produkter med säkerhetsbrister, dom av den 6 maj 2010, Walz ( C‑63/09, EU:C:2010:251, punkt 21), rörande lufttrafikföretags skadeståndsansvar, eller dom av den 10 juni 2021, Van Ameyde España ( C‑923/19, EU:C:2021:475, punkt 37 och följande punkter), rörande civilrättsligt skadeståndsansvar som ska tillämpas vid trafikolyckor. Dokument rörande förhandlingarna om den allmänna dataskyddsförordningen avspeglar medlemsstaternas osäkerhet om huruvida begreppen skador och skadestånd i (den dåvarande) artikel 77 skulle vara självständiga eller inte och de visar att olika ståndpunkter förekom rörande detta. Kommissionen ansåg att frågan skulle överlämnas till EU-domstolen. Se Europeiska unionens råd, Not från ordförandeskapet nr 17831/13 av den 16 december 2013, not 539.
75 Till exempel konsumenter av produkter eller skadelidande i trafikolyckor.
76 Inom området paketresor, dom av den 12 mars 2002, Leitner ( C‑168/00, EU:C:2002:163), inom området civilrättsligt ansvar för motorfordon, dom av den 24 oktober 2013, Haasová ( C‑22/12, EU:C:2013:692, punkterna 47–50), dom av den 24 oktober 2013, Drozdovs ( C‑277/12, EU:C:2013:685, punkt 40), och dom av den 23 januari 2014, Petillo ( C‑371/12, EU:C:2014:26, punkt 35).
77 Dom av den 23 januari 2014, Petillo ( C‑371/12, EU:C:2014:26, domslutet): unionsrätten utgör inte hinder för en nationell lagstiftning … enligt vilken ett särskilt system för ersättning för immateriella skador som är följden av lindriga personskador, vilka orsakats av trafikolyckor, begränsar ersättningen för dessa skador i förhållande till den ersättning som beviljas för identiska skador som är följden av andra händelser än trafikolyckor.
78 Till exempel dom av den 12 mars 2002, Leitner ( C‑168/00, EU:C:2002:163), rörande utebliven semesterglädje, och dom av den 6 maj 2010, Walz ( C‑63/09, EU:C:2010:251), rörande förlust av bagage i samband med paketresor.
79 I dom av den 17 mars 2016, Liffers ( C‑99/15, EU:C:2016:173, punkt 17), som rörde tolkningen av direktiv 2004/48, underströk domstolen att en ideell skada utgör en del av den faktiska skada som har orsakats förutsatt att den har styrkts. Logiskt sett måste det faktiskt föreligga en skada för att den ska kunna styrkas. Detta liknar i sin tur tanken om skadans svårighetsgrad, även om den inte är identisk med den.
80 Se punkt 51 ovan.
81 Se punkt 45 och följande punkter ovan.
82 Nyligen, inom området skydd av uppgifter, i Italien, Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 nr. 5261, samt Cass Civ. Ord. Sez 6, nr. 17383/2020. I Tyskland bland annat AG Diez, 07.11.2018–8 C‑130/18; LG Karlsruhe, 02.08.2019–8 O 26/19; och AG Frankfurt am Main, 10.07.2020–385 C‑155/19 (70). I Österrike, OGH 6 Ob 56/21k.
83 Se dom av den 23 oktober 2012, Nelson m.fl. ( C‑581/10 och C‑629/10, EU:C:2012:657, punkt 51), rörande skillnaden mellan skador i den mening som avses i artikel 19 i konventionen om vissa enhetliga regler för internationella lufttransporter, som ingicks i Montreal den 28 maj 1999, och olägenheter i den mening som avses i förordning nr 261/2004, vilka är ersättningsgilla enligt artikel 7 i den förordningen, enligt dom av den 19 november 2009, Sturgeon m.fl. ( C‑402/07 och C‑432/07, EU:C:2009:716). Inom detta område, liksom inom området passagerartrafik till sjöss eller på inre vattenvägar som förordning nr 1177/2010 handlar om, har lagstiftaren kunnat identifiera en abstrakt kategori tack vare att den faktor som ger upphov till problemet, och dess väsentliga innehåll, är identiska för alla som berörs. Jag anser inte att det går att dra en sådan slutsats när det gäller området dataskydd.
84 Den vanligaste mekanismen för att utöva rättigheten enligt artikel 82 i den allmänna dataskyddsförordningen är att väcka talan i allmän domstol. Effektivitetsprincipen kan naturligtvis villkora tillämpningen av nationella regler rörande aspekter som kostnader för rättegången eller för bevisningen. Svårigheten att godta att rena obehag skulle vara ersättningsgilla beror inte bara på bristen på proportion mellan dess ekonomiska värde och kostnaden för en tvist (förutom de kostnader för rättsväsendet som inte enbart faller på parterna). Jag anser att det mot bakgrund av att inget nämns i den allmänna dataskyddsförordningen, inte är berättigat att kräva att medlemsstaterna ska utforma ett ad hoc-förfarande.
85 Jag vill erinra om att den personuppgiftsansvarige eller personuppgiftsbiträdet enligt artikel 82.3 i den allmänna dataskyddsförordningen, bara ska undgå ansvar om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.
86 Syftet med dessa överväganden är inte att föregripa svaret på vilken kategori UI omfattades av i förevarande mål, vilket det ankommer på den hänskjutande domstolen att avgöra.
87 Samma sak gäller ersättningens storlek.