T-354/22
Citované zákony (0)
Žádné explicitní citace zákonů v textu.
Rubrum
Ve věci T-354/22, Thomas Bindl, s bydlištěm v Mnichově (Německo), zástupce: T. Herbrich, advokát, žalobce, proti Evropské komisi, zastupci: A. Bouchagiar, B. Hofstötter a H. Kranenborg, jako zmocněnci, žalované, TRIBUNÁL (šestý rozšířený senát), ve složení: M. J. Costeira (zpravodajka), předsedkyně, M. Kančeva, U. Öberg, P. Zilgalvis a E. Tichy-Fisslberger, soudci, za soudní kancelář: S. Jund, radová, s přihlédnutím k písemné části řízení, s přihlédnutím k organizačnímu procesnímu opatření ze dne 21. července 2023 a k odpovědím Komise a žalobce došlým kanceláři Tribunálu dne 7. září 2023 a dne 8. září 2023, po jednání konaném dne 17. října 2023, s přihlédnutím k organizačnímu procesnímu opatření ze dne 9. února 2024 a k odpovědím Komise a žalobce došlým kanceláři Tribunálu dne 12. března 2024 a dne 13. března 2024, vydává tento Rozsudek
Výrok
1) Žaloba se odmítá jako nepřípustná, pokud jde o návrhová žádání směřující ke zrušení. 2) O návrhových žádáních směřujících k určení, že Evropská komise v rozporu s právem nezaujala stanovisko k žádosti Thomase Bindla o informace ze dne 1. dubna 2022, již není důvodné rozhodovat. 3) Komisi se ukládá zaplatit T. Bindlovi částku 400 eur jako náhradu za utrpěnou morální újmu. 4) Ve zbývající části se návrhová žádání znějící na náhradu újmy zamítají. 5) Komise ponese vlastní náklady řízení a nahradí polovinu nákladů řízení vynaložených T. Bindlem. 6) Thomas Bindl ponese polovinu vlastních nákladů řízení.
Odůvodnění
1 Žalobou podanou na základě článků 263, 265 a 268 SFEU se žalobce, Thomas Bindl, domáhá, aby Tribunál zaprvé zrušil předání jeho osobních údajů do třetích zemí, které nemají odpovídající úroveň ochrany, zadruhé aby konstatoval, že Evropská komise v rozporu s právem nezaujala stanovisko k jeho žádosti o informace ze dne 1. dubna 2022, a zatřetí aby uložil povinnost nahradit morální újmu, která mu údajně vznikla v důsledku porušení jeho práva na přístup k informacím a předání jeho osobních údajů. Skutečnosti předcházející sporu a skutečnosti, které nastaly po podání žaloby 2 Žalobce je německý občan, který se zajímá o témata v oblasti informatiky a ochrany osobních údajů. 3 Generální ředitelství Komise pro komunikaci je správcem osobních údajů pro účely internetových stránek Konference o budoucnosti Evropy na adrese „https://futureu.europa.eu“ (dále jen „internetové stránky KBE“). 4 Žalobce několikrát navštívil internetové stránky KBE v letech 2021 a 2022. Tyto internetové stránky navštívil zejména dne 30. března 2022 a zaregistroval se na akci „GoGreen“, která na nich byla uvedena, pomocí svého účtu na Facebooku a dne 8. června 2022 znovu navštívil uvedené internetové stránky. 5 E-mailem ze dne 9. listopadu 2021 (dále jen „žádost o informace ze dne 9. listopadu 2021“) požádal žalobce pověřence Komise pro ochranu osobních údajů, aby mu poskytl informace podle nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. 2018, L 295, s. 39). 6 V uvedeném e-mailu žalobce zaprvé uvedl, že si všiml, že když se přihlásil na internetové stránky KBE, bylo aktivováno spojení s třetími poskytovateli, jako je americký podnik Amazon Web Services; zadruhé požádal, aby mu bylo sděleno, které jeho osobní údaje byly zpracovány nebo uchovány a které byly případně předány třetím osobám; zatřetí požádal o informace o právním základě takového předání, jakož i o existenci případných záruk týkajících se předávání do třetích zemí, které nemají odpovídající úroveň ochrany. 7 E-mailem ze dne 3. prosince 2021 zaslalo generální ředitelství Komise pro komunikaci žalobci elektronický odkaz a informovalo jej, že tento odkaz mu umožňuje přímo vytvořit seznam osobních údajů, které byly zpracovány při návštěvě internetových stránek KBE. Kromě toho sdělila žalobci, že jeho osobní údaje nebyly předány příjemcům nacházejícím se mimo Evropskou unii a že jsou uchovávány a zpracovávány internetovými stránkami KBE, která používá síť pro šíření obsahu spravovanou společností Amazon Web Services EMEA SARL (dále jen „AWS EMEA“), se sídlem v Lucemburku (Lucembursko). Navíc uvedla, že v rámci smluvních dohod uzavřených mezi Komisí a AWS EMEA správce údajů nevyužíval služby, které by vyžadovaly předávání údajů partnerům AWS EMEA nacházejícím se ve Spojených státech, a že předávání údajů mimo území Unie není v zásadě povoleno. 8 E-mailem ze dne 1. dubna 2022 požádal žalobce Komisi podle nařízení 2018/1725 o informace o zpracování jeho údajů (dále jen „žádost o informace ze dne 1. dubna 2022“). Nejprve uvedl, že si všiml, že při přihlášení na internetové stránky KBE bylo vytvořeno spojení s třetími poskytovateli, jako je AWS EMEA, a že spojení s podnikem Microsoft bylo údajně vytvořeno, když použil své údaje o připojení na Facebook k registraci na uvedených internetových stránkách. Zadruhé požádal, aby mu bylo sděleno, které jeho osobní údaje byly zpracovány nebo uchovány a které byly případně předány třetím osobám. Zatřetí požádal o informace o právním základě takového předání, jakož i o existenci případných záruk týkajících se předávání do třetích zemí, které nemají odpovídající úroveň ochrany. Začtvrté požádal o kopii svých údajů, včetně údajů uchovávaných nebo zpracovávaných takovými třetími osobami, jako je Facebook. 9 E-maily ze dne 22. dubna a 2. května 2022 žalobce trval na tom, aby mu Komise poskytla odpověď na žádost o informace ze dne 1. dubna 2022. 10 Žalobce podal projednávanou žalobu návrhem došlým kanceláři Tribunálu dne 9. června 2022. 11 E-mailem ze dne 30. června 2022 informovala Komise žalobce, že se domnívá, že žádost o informace ze dne 1. dubna 2022 je téměř totožná s žádostí o informace ze dne 9. listopadu 2021 a že na ni již odpověděla e-mailem ze dne 3. prosince 2021. 12 Amazon Web Services je podnik se sídlem ve Spojených státech amerických a AWS EMEA je podnik se sídlem v Lucembursku. Tyto dva podniky jsou dceřinými společnostmi společnosti Amazon.com, Inc., založené podle amerického práva. Návrhová žádání účastníků řízení 13 Žalobce navrhuje, aby Tribunál: – zrušil předání jeho osobních údajů do třetích zemí, které nemají odpovídající úroveň ochrany, ke kterým došlo ve dnech 30. března 2022 a 8. června 2022; – určil, že Komise protiprávně nezaujala stanovisko k žádosti o informace ze dne 1. dubna 2022; – uložil Komisi, aby mu zaplatila částku 1 200 eur spolu s úroky, odpovídající jednak částce 800 eur jako náhradu morální újmy utrpěné v důsledku porušení jeho práva na přístup k informacím a jednak částce 400 eur jako náhradu morální újmy utrpěné v důsledku uvedeného předání jeho údajů; – uložil Komisi náhradu nákladů řízení. 14 Komise navrhuje, aby Tribunál: – odmítl návrhová žádání směřující ke zrušení a návrhová žádání na určení nečinnosti jako nepřípustná; – podpůrně určil, že již není důvodné rozhodnout o návrhových žádáních na určení nečinnosti; – zamítl návrhová žádání směřující k náhradě škody jako neopodstatněná; – uložil žalobci náhradu nákladů řízení. Právní otázky Úvodní úvahy k ochraně osobních údajů orgány, institucemi a jinými subjekty Unie 15 Článek 16 odst. 1 SFEU a čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) stanoví, že každý má právo na ochranu osobních údajů, které se ho týkají. 16 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1) stanoví obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a pro zajištění volného pohybu těchto údajů (čl. 1 odst. 1 nařízení 2016/679). 17 Nařízení 2018/1725 stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů orgány a subjekty Unie a pravidla týkající se volného pohybu osobních údajů mezi nimi navzájem nebo mezi nimi a jinými příjemci, kteří jsou usazeni v Unii (čl. 1 odst. 1 nařízení 2018/1725). Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů (čl. 1 odst. 2 nařízení 2018/1725). Toto nařízení se vztahuje na zpracování osobních údajů všemi orgány a subjekty Unie (čl. 2 odst. 1 nařízení 2018/1725). 18 Bod 5 odůvodnění nařízení 2018/1725 připomíná, že podle judikatury Soudního dvora platí, že kdekoliv ustanovení nařízení 2018/1725 vycházejí ze stejných zásad jako ustanovení nařízení (EU) 2016/679, měla by být obě ustanovení vykládána jednotně, především proto, že režim tohoto nařízení by měl být chápán jako odpovídající režimu nařízení (EU) 2016/679. V tomto ohledu z výkladu ustanovení čl. 2 odst. 3 nařízení 2016/679 ve spojení s článkem 99 nařízení 2018/1725 dále vyplývá, že posledně uvedené nařízení je přizpůsobeno zásadám a pravidlům nařízení 2016/679. K přípustnosti Přípustnost návrhových žádání znějících na zrušení 19 Prvním bodem návrhových žádání se žalobce domáhá zrušení předání svých osobních údajů do třetích zemí, které nemají odpovídající úroveň ochrany, ke kterým došlo ve dnech 30. března 2022 a 8. června 2022 (dále jen „sporná předání“). 20 V žalobní odpovědi Komise namítá nepřípustnost tohoto návrhu na zrušení z důvodu, že nesměřuje proti napadnutelnému aktu ve smyslu článku 263 SFEU, ale směřuje k tomu, aby jí byl uložen příkaz. 21 Žalobce tvrdí, že návrh na zrušení je přípustný, přičemž tvrdí, že sporná předání jsou akty, které vyvolávají závazné právní účinky a dotýkají se jeho právního postavení tím, že zasahují do jeho základního práva na ochranu osobních údajů zaručeného článkem 8 Listiny. Jakýkoli jiný výklad by byl neslučitelný se základním právem na účinnou soudní ochranu, zatímco čl. 64 odst. 1 nařízení 2018/1725 toto právo výslovně uznává. 22 Jak je připomenuto v čl. 64 odst. 1 a bodě 79 odůvodnění nařízení 2018/1725, má každý právo na účinnou soudní ochranu před Soudním dvorem Evropské unie v souladu se Smlouvami, pokud se domnívá, že byla porušena jeho práva podle uvedeného nařízení. 23 Z toho vyplývá, že v rámci nařízení 2018/1725 má každý subjekt údajů zejména právo podat žalobu na neplatnost za podmínek stanovených v článku 263 SFEU. 24 Podle ustálené judikatury platí, že žalobu na neplatnost podle článku 263 SFEU lze podat vůči všem aktům orgánů v jakékoliv formě, jejichž účelem je vyvolat závazné právní účinky, jimiž mohou být dotčeny zájmy žalobce tím, že podstatným způsobem mění jeho právní postavení (viz rozsudky ze dne 19. ledna 2017, Komise v. Total a Elf Aquitaine, C-351/15 P, EU:C:2017:27, body 35 a 36 a citovaná judikatura, a ze dne 16. července 2020, Inclusion Alliance for Europe v. Komise, C-378/16 P, EU:C:2020:575, bod 71 a citovaná judikatura). 25 Za účelem určení, zda akt vyvolává závazné právní účinky, je třeba v souladu s ustálenou judikaturou Soudního dvora vycházet z podstaty tohoto aktu a posoudit jeho účinky podle takových objektivních kritérií, jako je obsah uvedeného aktu, případně s přihlédnutím k souvislostem jeho přijetí, jakož i pravomocem orgánu, instituce nebo jiného subjektu Unie, jenž je jeho autorem (viz rozsudek ze dne 15. července 2021, FBF, C-911/19, EU:C:2021:599, bod 38 a citovaná judikatura). 26 V projednávané věci se žalobce domáhá zrušení sporných předání, k nimž podle něj došlo třikrát. Zaprvé při návštěvě internetových stránek KBE dne 30. března 2022 (dále jen „sporné předání při návštěvě internetových stránek KBE dne 30. března 2022“) byly jeho osobní údaje, zejména jeho IP adresa, jakož i informace o jeho prohlížeči a terminálu, údajně předány americkému podniku Amazon Web Services, jakožto provozovateli sítě pro šíření obsahu nazvané Amazon CloudFront, který je používán uvedenými internetovými stránkami. 27 Zadruhé při připojení provedeném žalobcem dne 30. března 2022 ke službě autentizace uživatele Komise EU Login za pomoci jeho účtu na Facebooku za účelem přihlášení se na událost „GoGreen“ na internetových stránkách KBE (dále jen „sporné předání při připojení k EU Login dne 30. března 2022“) byly jeho osobní údaje, zejména jeho IP adresa a informace o jeho prohlížeči a terminálu, údajně předány americkému podniku Meta Platforms, Inc. 28 Zatřetí při návštěvě internetových stránek KBE žalobcem dne 8. června 2022 (dále jen „sporné předání při návštěvách internetových stránek KBE dne 8. června 2022“) byly jeho osobní údaje údajně předány na server společnosti Amazon CloudFront nacházející se v Newarku (New Jersey, Spojené státy). 29 Kromě toho žalobce v žalobě uvádí, že se dne 9. listopadu 2021 připojil na internetové stránky KBE a že se k tomuto datu prostřednictvím svého účtu na Facebooku zaregistroval na internetových stránkách KBE. Neuvádí však žádnou konkrétní skutečnost, která by umožnila dospět k závěru, že se na tyto okolnosti vztahuje jeho návrh na zrušení sporných předání. Je tedy třeba zohlednit pouze sporná předání uvedená v bodech 26 až 28 výše. 30 Je třeba uvést, že sporná předání, jejichž zrušení se žalobce domáhá, uvedená v bodech 26 až 28 výše, odpovídají podle samotného žalobce počítačovým operacím migrace dat, které byly zahájeny informačními systémy nebo službami Komise, zejména internetovými stránkami KBE, vůči serverům patřícím třetím podnikům usazeným mimo území Unie. 31 Je zajisté pravda, že operace spočívající v předávání osobních údajů orgánem nebo institucí Unie do třetí země představuje jako taková zpracování osobních údajů ve smyslu čl. 3 bodu 3 nařízení 2018/1725 prováděné na území Unie, tedy zpracování, na které se toto nařízení vztahuje na základě jeho čl. 2 odst. 5 (obdobně viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C-311/18, dále jen „rozsudek Schrems II“, EU:C:2020:559, bod 83). 32 Nicméně ne všechny operace, které mohou vést k předání osobních údajů ve smyslu čl. 3 bodu 3 nařízení 2018/1725, jsou napadnutelnými akty ve smyslu článku 263 SFEU, jak je vykládán judikaturou připomenutou v bodě 24 výše. 33 V projednávané věci je za předpokladu, že by sporná předání byla prokázána, nutno konstatovat, že se jedná o materiální úkony, a nikoli o právní akty. Sporná předání, jak jsou popsána v žalobě, jsou totiž počítačovými operacemi migrace dat z jednoho terminálu nebo serveru na jiný, které vyplývají z interakcí mezi žalobcem a informačními systémy nebo službami Komise při jeho návštěvách internetových stránek KBE nebo služby EU Login. Naproti tomu sporná předání nejsou akty Komise se závaznými právními účinky, to znamená, že jejich cílem není upravit právní situaci, a jak vyplývá z jejich samotné povahy, Komise neměla vůbec v úmyslu jim takové účinky přiznat. 34 Sporná předání tudíž nemohou mít právně závazné účinky, jimiž mohou být dotčeny zájmy žalobce tím, že v souladu s judikaturou připomenutou v bodě 24 výše podstatným způsobem mění jeho právní postavení. Nelze je tedy považovat za napadnutelné akty ve smyslu článku 263 SFEU. 35 Z toho vyplývá, že návrhová žádání žalobce směřující ke zrušení musí být odmítnuta jako nepřípustná. Přípustnost návrhových žádání na určení nečinnosti 36 Druhým bodem návrhových žádání žalobce navrhuje, aby Tribunál určil, že Komise v rozporu s právem nezaujala stanovisko k žádosti o informace ze dne 1. dubna 2022. 37 Komise v žalobní odpovědi namítá nepřípustnost tohoto návrhu na určení nečinnosti z důvodu neexistence výzvy k jednání ve smyslu čl. 265 druhého pododstavce SFEU. Podpůrně Komise tvrdí, že vzhledem k její odpovědi žalobci e-mailem ze dne 30. června 2022 již není důvodné rozhodnout o návrhu na určení nečinnosti. 38 Žalobce v podstatě tvrdí, že Komise je stále povinna odpovědět na žádost o informace ze dne 1. dubna 2022, jelikož informace, které poskytla v e-mailu ze dne 30. června 2022, jsou nedostatečné a nepřesné. 39 Podle ustálené judikatury je procesní prostředek stanovený v článku 265 SFEU založen na myšlence, že protiprávní nečinnost napadeného orgánu umožňuje obrátit se na unijní soud, aby prohlásil, že nečinnost je v rozporu se Smlouvou, pokud dotyčný orgán tuto nečinnost nenapravil (rozsudek ze dne 12. července 1988, Parlament v. Rada, 377/87, EU:C:1988:387, bod 9; viz rovněž rozsudek ze dne 16. prosince 2015, Švédsko v. Komise, T-521/14, nezveřejněný, EU:T:2015:976, bod 33 a citovaná judikatura. 40 V případě, kdy je akt, jehož nevydání představuje předmět sporu, přijat po podání žaloby, avšak před vyhlášením rozsudku, prohlášení unijního soudu konstatující protiprávnost původní nečinnosti již nemůže vést k důsledkům stanoveným v článku 266 SFEU. Z toho vyplývá, že v takovém případě předmět žaloby zanikl, takže již není důvodné rozhodnout ve věci samé (rozsudek ze dne 12. července 1988, Parlament v. Rada, 377/87, EU:C:1988:387, body 10 a 11; viz rovněž usnesení ze dne 13. prosince 2000, Sodima v. Komise, C-44/00 P, EU:C:2000:686, bod 83 a citovaná judikatura. 41 V projednávané věci je třeba konstatovat, že Komise odpověděla na žádost o informace ze dne 1. dubna 2022 e-mailem ze dne 30. června 2022 (viz bod 11 výše). Komise tedy ukončila nečinnost tvrzenou žalobcem v rámci projednávané žaloby po podání této žaloby. Druhý bod návrhových žádání znějící na určení nečinnosti Komise na základě článku 265 SFEU neposkytnutím odpovědi na žádost o informace ze dne 1. dubna 2022 se tedy stal bezpředmětným. 42 Skutečnost, že obsah e-mailu Komise ze dne 30. června 2022 neodpovídá odpovědi požadované žalobcem, je v tomto ohledu irelevantní. Okolnost, že toto stanovisko orgánu nevyhovuje žalobci, je totiž v tomto ohledu irelevantní, neboť článek 265 SFEU se týká nečinnosti spočívající v nepřijetí aktu nebo nezaujetí stanoviska, a nikoli v přijetí jiného aktu, než který si tato strana přála nebo považovala za nezbytný (viz usnesení ze dne 6. dubna 2017, Brancheforeningen for Regulerkraft i Danmark v. Komise, T-203/16, nezveřejněné, EU:T:2017:279, bod 22 a citovaná judikatura). 43 Z toho vyplývá, že již není důvodné rozhodovat o návrhových žádáních žalobce na určení nečinnosti a není třeba rozhodovat o námitce nepřípustnosti těchto návrhových žádání vznesené Komisí. K návrhovým žádáním směřujícím k náhradě újmy 44 Třetím bodem návrhových žádání žalobce předkládá dva návrhy na náhradu újmy. Zaprvé požaduje zaplacení 800 eur jako náhrady morální újmy, která mu údajně vznikla v důsledku toho, že Komise nedodržela jeho právo na přístup k informacím v rozporu s čl. 14 odst. 3 a 4 a čl. 17 odst. 1 a 2 nařízení 2018/1725, jakož i z důvodu nedodržení zásady transparentnosti stanovené v čl. 4 odst. 1 písm. a) uvedeného nařízení. Zadruhé požaduje zaplacení 400 eur jako náhrady morální újmy, kterou údajně utrpěl v důsledku sporných předání, k nimž došlo v rozporu s článkem 46 a čl. 48 odst. 1 a odst. 2 písm. b) nařízení 2018/1725. 45 Komise navrhuje, aby byla návrhová žádání znějící na náhradu újmy zamítnuta. Úvodní poznámky k podmínkám vzniku mimosmluvní odpovědnosti Unie v rámci nařízení 2018/1725 46 Článek 65 nařízení 2018/1725 stanoví, že kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od orgánu nebo subjektu Unie náhradu utrpěné újmy „za podmínek stanovených ve Smlouvách“. 47 Tento článek 65 nařízení 2018/1725 je třeba vykládat v tom smyslu, že stanoví, že právo na získání náhrady újmy vzniklé v důsledku porušení tohoto nařízení od orgánu nebo instituce Unie je vázáno na splnění podmínek stanovených v čl. 340 druhém pododstavci SFEU, podle kterého nahradí Unie v souladu s obecnými zásadami společnými právním řádům členských států škody způsobené jejími orgány nebo jejími zaměstnanci při výkonu funkce. 48 Podle ustálené judikatury předpokládá vznik mimosmluvní odpovědnosti Unie splnění tří kumulativních podmínek, a sice protiprávnosti jednání vytýkaného orgánům, skutečné škody a příčinné souvislosti mezi tímto jednáním a uplatňovanou škodou (v tomto smyslu viz rozsudky ze dne 4. července 2000, Bergaderm a Goupil v. Komise, C-352/98 P, EU:C:2000:361, body 39 až 42, a ze dne 28. října 2021, Vialto Consulting v. Komise, C-650/19 P, EU:C:2021:879, bod 138). 49 Kumulativní povaha těchto podmínek znamená, že pokud jedna z nich není splněna, musí být žaloba na náhradu škody zamítnuta v plném rozsahu, aniž je nezbytné zkoumat ostatní podmínky (rozsudek ze dne 9. září 1999, Lucaccioni v. Komise, C-257/98 P, EU:C:1999:402, body 14 a 63; viz rovněž rozsudek ze dne 25. února 2021, Dalli v. Komise, C-615/19 P, EU:C:2021:133, bod 42 a citovaná judikatura. 50 Pokud jde o první podmínku, judikatura vyžaduje, aby bylo prokázáno dostatečně závažné porušení právní normy, jejímž účelem je přiznat práva jednotlivcům (viz rozsudek ze dne 4. července 2000, Bergaderm a Goupil v. Komise, C-352/98 P, EU:C:2000:361, bod 42 a citovaná judikatura). 51 Cílem tohoto požadavku dostatečně závažného porušení unijního práva je bez ohledu na povahu dotčeného protiprávního aktu předejít tomu, aby riziko, že bude nutné odškodnit újmu tvrzenou dotyčnými podniky, narušilo schopnost dotčeného orgánu plně vykonávat své pravomoci v obecném zájmu jak v rámci jeho normativní činnosti nebo jeho hospodářskopolitických rozhodnutí, tak v oblasti jeho administrativní pravomoci, aniž jsou přitom jednotlivci zatíženi důsledky případů závažných a neomluvitelných porušení (v tomto smyslu viz rozsudek ze dne 14. prosince 2018, East West Consulting v. Komise, T-298/16, EU:T:2018:967, bod 124 a citovaná judikatura). 52 Rozhodujícím kritériem umožňujícím mít za to, že je porušení dostatečně závažné, je kritérium spočívající v tom, že dotčený orgán či dotčená instituce Unie zjevným a závažným způsobem překročily meze své posuzovací pravomoci. Pokud tento orgán nebo instituce disponuje pouze značně omezeným prostorem pro uvážení, nebo dokonce žádný prostor pro uvážení nemá, pouhé porušení unijního práva může stačit k prokázání existence dostatečně závažného porušení (viz rozsudek ze dne 10. prosince 2002, Komise v. Camar a Tico, C-312/00 P, EU:C:2002:736, bod 54 a citovaná judikatura). Tato judikatura však nestanoví žádnou automatickou souvislost mezi neexistencí posuzovací pravomoci dotyčného orgánu na jedné straně a kvalifikací protiprávního jednání jako dostatečně závažného porušení unijního práva na straně druhé (rozsudek ze dne 3. března 2010, Artegodan v. Komise, T-429/05, EU:T:2010:60, bod 59). I když má rozsah posuzovací pravomoci dotyčného orgánu určující povahu, není výlučným kritériem. V tomto ohledu Soudní dvůr soustavně judikoval, že systém, k němuž Soudní dvůr dospěl na základě čl. 340 druhého pododstavce SFEU, zohledňuje především složitost upravovaných situací a obtížnost použití nebo výkladu ustanovení právních předpisů (viz rozsudek ze dne 23. listopadu 2011, Sison v. Rada, T-341/07, EU:T:2011:687, body 36 a 37 a citovaná judikatura) nebo obecně oblast, podmínky a kontext, v nichž je porušené pravidlo pro dotčený orgán nebo instituci Unie závazné (viz rozsudek ze dne 4. dubna 2017, Veřejný ochránce práv v. Staelen (C-337/15 P, EU:C:2017:256, bod 40 a citovaná judikatura). 53 Z toho plyne, že založit odpovědnost Unie umožňuje pouze zjištění nesprávnosti, které by se za obdobných okolností běžně obezřetná a s řádnou péčí postupující správa nedopustila. Přísluší tedy unijnímu soudu, aby poté, co nejprve stanoví, zda měl dotyčný orgán prostor pro uvážení, zohlednil složitost upravované situace, obtížnost použití nebo výkladu ustanovení právních předpisů, stupeň jasnosti a přesnosti porušeného pravidla a úmyslnost nebo neomluvitelnost pochybení, k němuž došlo (viz rozsudek ze dne 3. března 2010, Artegodan v. Komise, T-429/05, EU:T:2010:60, bod 62). 54 Pokud jde o podmínku týkající se skutečné existence újmy, tato újma musí být skutečná a určitá, což přísluší prokázat žalobci (viz rozsudek ze dne 9. listopadu 2006, Agraz a další v. Komise, C-243/05 P, EU:C:2006:708, bod 27 a citovaná judikatura). Naopak újma čistě hypotetická a neurčitá nezakládá právo na náhradu (viz rozsudek ze dne 26. října 2011, Dufour v. ECB, T-436/09, EU:T:2011:634, bod 192 a citovaná judikatura). 55 Pokud jde o podmínku týkající se příčinné souvislosti, ta se týká existence dostatečně přímého vztahu příčiny a následku mezi jednáním vytýkaným unijnímu orgánu a újmou, přičemž rozhodující příčinou újmy musí být vytýkané jednání, což musí doložit žalobce (viz rozsudek ze dne 13. prosince 2018, Evropská unie v. ASPLA a Armando Álvarez, C-174/17 P a C-222/17 P, EU:C:2018:1015, bod 23 a citovaná judikatura). 56 Kromě toho je třeba připomenout, že žaloba na náhradu škody na základě čl. 340 druhého pododstavce SFEU byla zavedena jako autonomní procesní prostředek, který má v rámci systému procesních prostředků zvláštní funkci a podléhá podmínkám pro použití, které jsou stanoveny s ohledem na jeho zvláštní účel, takže nepřípustnost návrhu na zrušení automaticky neznamená nepřípustnost návrhu na náhradu škody (viz rozsudek ze dne 5. září 2019, Evropská unie v. Guardian Europe a Guardian Europe v. Evropská unie (C-447/17 P a C-479/17 P, EU:C:2019:672, bod 49 a citovaná judikatura). 57 Z toho vyplývá, že odmítnutí návrhu na zrušení jako nepřípustného a zamítnutí návrhu na určení nečinnosti z důvodu, že není důvodně rozhodnout ve věci samé, v souladu s body 35 a 43 výše, tedy neznamenají odmítnutí návrhů na náhradu újmy uvedených v bodě 44 výše jako nepřípustných. 58 Právě ve světle těchto úvah je třeba přezkoumat výtky uplatněné žalobcem v rámci jeho návrhů na náhradu újmy. K prvnímu návrhu na náhradu újmy, směřujícímu k náhradě morální újmy způsobené porušením práva na přístup k informacím 59 Prvním návrhem na náhradu újmy se žalobce domáhá toho, aby byla Komisi uložena povinnost zaplatit mu částku 800 eur jako náhradu nemajetkové újmy, která mu vznikla v důsledku porušení jeho práva na přístup k informacím. 60 Žalobce nejprve vytýká Komisi, že neodpověděla na žádost o informace ze dne 1. dubna 2022 ve stanovené lhůtě a nesdělila mu důvody své nečinnosti, čímž porušila čl. 14 odst. 3 a 4 a čl. 17 odst. 1 a 2 nařízení 2018/1725, jakož i zásadu transparentnosti stanovenou v čl. 4 odst. 1 písm. a) téhož nařízení. Kromě toho Komise nedodržela čl. 17 odst. 1 písm. c) a odst. 2 nařízení 2018/1725, jelikož prohlášení o ochraně soukromí, které je uvedeno na internetových stránkách KBE, neobsahuje informace týkající se předávání osobních údajů do třetích zemí a případných vhodných záruk pro účely uvedeného předávání, jak vyžaduje článek 48 uvedeného nařízení. Navíc v e-mailu ze dne 3. prosince 2021 poskytla Komise nesprávné informace, jelikož popřela předání osobních údajů žalobce příjemcům nacházejícím se ve Spojených státech. 61 Žalobce dále tvrdí, že zaviněná nečinnost Komise mu zabránila v kontrole zpracování jeho osobních údajů, což představuje morální újmu ve smyslu bodu 46 odůvodnění nařízení 2018/1725. Konečně tvrdí, že tato morální újma, kterou odhaduje na 800 eur, je přímo způsobena protiprávním jednáním Komise. 62 Komise tyto argumenty zpochybňuje a v podstatě tvrdí, že žádná z podmínek vzniku mimosmluvní odpovědnosti není v projednávaném případě splněna. 63 Pokud jde nejprve o podmínku protiprávnosti vytýkaného jednání, je třeba ověřit, zda se žalobce dovolával porušení právních norem, jejichž účelem je přiznat práva jednotlivcům. 64 V tomto ohledu je třeba poznamenat, že čl. 17 odst. 1 písm. c) nařízení 2018/1725 stanoví právo subjektu údajů na přístup k informacím týkajícím se příjemců, kterým byly jeho osobní údaje zpřístupněny, zejména příjemců ve třetích zemích. Toto ustanovení tedy konkretizuje zásadu zakotvenou v čl. 4 odst. 1 písm. a) nařízení 2018/1725, podle níž veškeré informace a sdělení týkající se zpracování osobních údajů musí být snadno přístupné. 65 Kromě toho čl. 14 odst. 3 nařízení 2018/1725 stanoví lhůtu jednoho měsíce pro odpověď správce osobních údajů na žádosti o informace. Článek 14 odst. 4 tohoto nařízení navíc ukládá správci osobních údajů, aby v případě, že nepřijme opatření, o něž subjekt údajů požádal, informoval nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u evropského inspektora ochrany údajů (EIOÚ) a žádat o soudní ochranu. Tato ustanovení jsou tedy pravidly správního řízení, která přispívají k provádění práva na přístup k informacím o osobních údajích subjektu údajů tím, že jej konkretizují a zakotvují. Tato ustanovení navíc přispívají ke konkretizaci práva přiznaného každému na základě článku 41 Listiny, aby jeho záležitosti byly orgány a institucemi Unie řešeny v přiměřené lhůtě. 66 Ustanovení čl. 4 odst. 1 písm. a), čl. 14 odst. 3 a 4 ve spojení s čl. 17 odst. 1 písm. c) nařízení 2018/1725 tudíž společně představují právní normy, jejichž účelem je přiznat práva jednotlivcům, ve smyslu judikatury uvedené v bodě 50 výše. 67 Dále je třeba přezkoumat, zda je v projednávaném případě prokázáno porušení těchto ustanovení Komisí. 68 Žalobce tvrdí, že Komise porušila čl. 17 odst. 1 písm. c) a odst. 2 nařízení 2018/1725, jelikož prohlášení o ochraně soukromí, které je uvedeno na internetových stránkách KBE, neobsahuje informace o předávání osobních údajů příjemcům ve třetích zemích, o případných vhodných zárukách týkajících se uvedeného předávání nebo o identifikaci smluvních stran jako příjemců těchto údajů. 69 Jak je uvedeno v bodě 64 výše, čl. 17 odst. 1 písm. c) a odst. 2 nařízení 2018/1725 stanoví, že subjekt údajů má zejména právo získat informace o příjemcích ve třetích zemích, kterým byly osobní údaje zpřístupněny, jakož i vhodné záruky týkající se předávání údajů těmto příjemcům. 70 Z toho vyplývá, že tato ustanovení stanoví právo subjektu údajů na přístup k určitým informacím, ale nestanoví, že uvedené informace musí být povinně uvedeny v daném dokumentu, či dokonce v takovém prohlášení týkajícím se ochrany soukromí, jako je prohlášení uvedené na internetových stránkách KBE. Jinými slovy, z těchto ustanovení nevyplývá, že dotčené informace musí být zpřístupněny prostřednictvím uvedeného prohlášení. Žalobce si však stejně jako každý subjekt údajů zachovává právo získat takové informace výkonem svého práva na přístup k informacím, stanoveného v čl. 17 odst. 1 písm. c) a odst. 2 nařízení 2018/1725, což je otázka, která přesahuje rozsah protiprávnosti, kterou žalobce vytýká Komisi a která je omezena na obsah prohlášení o ochraně soukromí (viz bod 68 výše). 71 Každopádně v projednávaném případě ze znění uvedeného prohlášení o ochraně soukromí, připojeného k žalobě, vyplývá, že toto prohlášení obsahuje informace o příjemcích nebo kategoriích příjemců, kterým byly nebo budou osobní údaje zpřístupněny. V bodě 7 uvedeného prohlášení je zejména uvedeno, že přístup k údajům je „poskytnut oprávněným zaměstnancům [Komise] a jejím smluvním partnerům pověřeným provedením dotčeného zpracování, v souladu se zásadou ‚vědět jen to nejnutnější‘ “. Kromě toho argument žalobce vycházející z toho, že uvedené prohlášení neobsahuje informace o předávání osobních údajů příjemcům usazeným ve třetích zemích, je založen na předpokladu, že návštěva internetových stránek KBE znamená předání osobních údajů uživatelů do třetí země. Projednávaný návrh na náhradu újmy je však založen na porušení práva na přístup k informacím, a nikoli na porušení ustanovení týkajících se předávání osobních údajů do třetích zemí, na němž je ostatně založen druhý návrh na náhradu újmy. 72 V projednávané věci tudíž nebylo prokázáno, že Komise porušila čl. 17 odst. 1 písm. c) a odst. 2 nařízení 2018/1725, pokud jde o prohlášení o ochraně soukromí, které je uvedeno na internetových stránkách KBE. 73 Žalobce dále Komisi vytýká, že neodpověděla na žádost o informace ze dne 1. dubna 2022 ve stanovené lhůtě a neinformovala jej o důvodech své nečinnosti v rozporu s čl. 14 odst. 3 a 4 a čl. 17 odst. 1 a 2 nařízení 2018/1725, jakož i v rozporu se zásadou transparentnosti. Komise mu navíc sdělila nesprávné informace v e-mailu ze dne 3. prosince 2021. 74 Rovnou je třeba poznamenat, že žalobce nepředkládá žádný konkrétní argument na podporu porušení zásady transparentnosti. Tento argument tedy nemá samostatný obsah ve vztahu k výtce vycházející z nedodržení lhůty pro odpověď na žádost o informace a povinnosti sdělit důvody překročení této lhůty. 75 Kromě toho argumenty žalobce vycházející z porušení čl. 17 odst. 1 a 2 nařízení 2018/1725, jakož i ze skutečnosti, že mu Komise sdělila v e-mailu ze dne 3. prosince 2021 nesprávné informace, vycházejí z předpokladu, že návštěva internetových stránek KBE znamená předání osobních údajů uživatelů do třetí země. Jak je přitom uvedeno v bodě 71 výše, projednávaný návrh na náhradu újmy je založen na porušení práva na přístup k informacím, a nikoli na porušení ustanovení týkajících se předávání osobních údajů do třetích zemí, které je základem druhého návrhu na náhradu újmy. 76 V projednávané věci tudíž nebylo prokázáno, že Komise porušila čl. 17 odst. 1 a 2 nařízení 2018/1725. 77 Pokud jde o výtku žalobce vycházející z porušení čl. 14 odst. 3 a 4 nařízení 2018/1725, ze spisu vyplývá, že Komise odpověděla na žádost o informace ze dne 9. listopadu 2021 ve lhůtě jednoho měsíce stanovené v čl. 14 odst. 3 nařízení 2018/1725 (viz body 5 a 7 výše). Pokud jde o žádost o informace ze dne 1. dubna 2022, Komise informovala žalobce e-mailem ze dne 30. června 2022, že se domnívá, že žádost o informace ze dne 1. dubna 2022 je téměř totožná s žádostí o informace ze dne 9. listopadu 2021 a že na ni již odpověděla e-mailem ze dne 3. prosince 2021 (viz bod 11 výše). 78 Z toho vyplývá, že pokud jde o žádost o informace ze dne 1. dubna 2022, Komise nedodržela lhůtu jednoho měsíce stanovenou v čl. 14 odst. 4 nařízení 2018/1725 (viz bod 65 výše). 79 Z bodů 68 až 78 výše vyplývá, že jedinou protiprávností vytýkanou Komisi, která je v projednávané věci prokázána, je protiprávnost nedodržení lhůty stanovené v čl. 14 odst. 4 nařízení 2018/1725. 80 Za těchto okolností a nezávisle na otázce, zda nedodržení uvedené lhůty Komisí představuje dostatečně závažné porušení právní normy, je třeba nejprve zkoumat, zda nedodržení této lhůty způsobilo žalobci skutečnou a určitou morální újmu ve smyslu judikatury připomenuté v bodě 54 výše. 81 Pokud jde o skutečnost údajně utrpěné nemajetkové újmy, je třeba připomenout, že i když předložení důkazního návrhu nelze nezbytně považovat za podmínku pro uznání morální újmy, žalobci nicméně přísluší, aby prokázal, že jednáním, jež je dotyčnému orgánu vytýkáno, mu taková újma mohla být způsobena (rozsudek ze dne 16. července 2009, SELEX Sistemi Integrati v. Komise, C-481/07 P, nezveřejněný, EU:C:2009:461, bod 38; viz rovněž rozsudek ze dne 2. července 2019, Fulmen v. Rada, T-405/15, EU:T:2019:469, bod 188 a citovaná judikatura). 82 V projednávané věci se žalobce domáhá náhrady morální újmy ve výši 800 eur, přičemž tvrdí, že jednání vytýkané Komisi mu zabránilo v kontrole zpracování jeho osobních údajů. 83 Je však třeba konstatovat, že taková morální újma není v projednávané věci prokázána. Jedinou protiprávností prokázanou v projednávané věci je totiž skutečnost, že Komise nedodržela lhůtu jednoho měsíce stanovenou v čl. 14 odst. 4 nařízení 2018/1725 (viz bod 79 výše). Tato lhůta však nebyla překročena o více než dva měsíce (viz bod 77 výše). Kromě toho byly žádosti o informace ze dne 9. listopadu 2021 a ze dne 1. dubna 2022 v podstatě stejné (viz body 5 a 8 výše), takže žalobce již obdržel odpověď přinejmenším k jedné části své žádosti o informace dne 3. prosince 2021, kdy Komise odpověděla na žádost o informace ze dne 9. listopadu 2021. (viz bod 7 výše). 84 Kromě toho argument žalobce vycházející ze sdělení nesprávných informací (viz bod 75 výše) se týká opodstatněnosti informací, a nikoli dodržení procesního pravidla, jehož porušení bylo shledáno v bodě 78 výše, a není tedy relevantní pro prokázání uplatňované morální újmy. 85 Z toho vyplývá, že nebylo prokázáno, že nedodržení lhůty stanovené v čl. 14 odst. 4 nařízení 2018/1725 Komisí mohlo způsobit žalobci tvrzenou morální újmu. 86 Jelikož tedy není splněna jedna z kumulativních podmínek vzniku mimosmluvní odpovědnosti Unie stanovených v čl. 340 druhém pododstavci SFEU, je třeba první návrh žalobce na náhradu újmy zamítnout. Ke druhému návrhu na náhradu újmy, směřujícímu k náhradě morální újmy vyplývající ze sporných předání 87 Druhým návrhem na náhradu újmy se žalobce domáhá zaplacení 400 eur jako náhrady nemajetkové újmy, kterou údajně utrpěl v důsledku sporných předání uvedených v bodech 26 až 28 výše, a sice sporného předání při návštěvě internetových stránek KBE dne 30. března 2022, sporného předání při připojení k EU Login dne 30. března 2022 a sporného předání při návštěvách internetových stránek KBE dne 8. června 2022. 88 Žalobce v podstatě tvrdí, že ke sporným předáním došlo vůči příjemcům usazeným ve Spojených státech, tedy zemi, která nemá odpovídající úroveň ochrany. Komise neuvedla žádnou z vhodných záruk, které by mohly odůvodnit toto předávání, stanovených v kapitole V nařízení 2018/1725, a porušila tedy článek 46 a čl. 48 odst. 1 a odst. 2 písm. b) tohoto nařízení, jakož i články 7, 8 a 47 Listiny. Sporná předání vedla k riziku přístupu bezpečnostních a zpravodajských služeb této země k údajům žalobce, a v důsledku toho mu způsobila morální újmu ve smyslu bodu 46 odůvodnění nařízení 2018/1725, jelikož byl zbaven svých práv a svobod a bylo mu zabráněno ve výkonu kontroly nad jeho údaji. 89 Komise tyto argumenty zpochybňuje a v podstatě tvrdí, že podmínky vzniku mimosmluvní odpovědnosti nejsou v projednávaném případě splněny. – Úvodní poznámky k ustanovením týkajícím se předávání osobních údajů do třetí země 90 Zaprvé je třeba poznamenat, že podle čl. 2 odst. 5 nařízení 2018/1725 se toto nařízení vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. 91 Zadruhé je třeba pojem „osobní údaje“ vykládat tak, že odpovídá veškerým informacím o identifikované nebo identifikovatelné fyzické osobě v souladu s čl. 3 bodem 1 nařízení 2018/1725. 92 Zatřetí je třeba poznamenat, že předání údajů představuje operaci „zpracování“ údajů ve smyslu čl. 3 bodu 3 nařízení 2018/1725. 93 Začtvrté je třeba poznamenat, že „předávání osobních údajů do třetích zemí nebo mezinárodním organizacím“ se řídí kapitolou V nařízení 2018/1725, která je však nedefinuje. 94 Z bodu 63 odůvodnění nařízení 2018/1725 však vyplývá, že předávání podle ustanovení kapitoly V tohoto nařízení se týká osobních údajů předávaných z orgánů a subjektů Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích. 95 Navíc ze systematického výkladu nařízení 2018/1725 vyplývá, že předávání osobních údajů do třetích zemí ve smyslu jeho článku 46 zaprvé vyžaduje, aby správce dotčených údajů patřil k orgánu nebo instituci Unie, a podléhal tedy uvedenému nařízení (článek 1 nařízení 2018/1725); zadruhé, aby správce předáním nebo jiným způsobem zpřístupnil osobní údaje příjemci, zejména jiné fyzické nebo právnické osobě (čl. 3 body 3 a 13 nařízení 2018/1725), a zatřetí, aby byl tento příjemce usazen ve třetí zemi (článek 46 nařízení 2018/1725), tj. zemi, která není členem Unie ani Evropského hospodářského prostoru (EHP). 96 Zapáté je třeba konstatovat, že cílem ustanovení kapitoly V nařízení 2018/1725 je zachovat při předávání osobních údajů do třetích zemí nebo mezinárodním organizacím úroveň ochrany fyzických osob zaručenou v Unii v souladu s cílem uvedeným v bodě 63 jeho odůvodnění. 97 Zašesté článek 46 nařízení 2018/1725 stanoví obecnou zásadu, že k jakémukoli předání osobních údajů do třetí země nebo mezinárodní organizaci může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole V. 98 Zasedmé, pokud jde o podmínky vymezené v kapitole V nařízení 2018/1725, je třeba poznamenat, že čl. 47 odst. 1 tohoto nařízení stanoví, že předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla rozhodnutím o odpovídající ochraně přijatým mimo jiné podle čl. 45 odst. 3 nařízení 2016/679, že dotyčná země nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany, a jestliže jsou osobní údaje předány pouze s cílem umožnit plnění úkolů v mezích pravomoci správce. 99 V tomto ohledu je třeba připomenout, že obě rozhodnutí Komise o odpovídající ochraně týkající se Spojených států byla prohlášena za neplatná. Rozsudkem ze dne 6. října 2015, Schrems (C-362/14, EU:C:2015:650), Soudní dvůr prohlásil za neplatné rozhodnutí Komise ze dne 26. července 2000 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně poskytované podle zásad bezpečného přístavu a s tím souvisejících často kladených otázek vydaných Ministerstvem obchodu Spojených států (Úř. věst. 2000, L 215, s. 7) . Dále Soudní dvůr rozsudkem Schrems II prohlásil za neplatné prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (Úř. věst. 2016, L 207, s. 1). 100 Z toho vyplývá, že ke dni sporných předání neexistovalo ve vztahu ke Spojeným státům žádné rozhodnutí o odpovídající ochraně ve smyslu článku 47 nařízení 2018/1725. 101 V případě neexistence rozhodnutí Komise o odpovídající ochraně ve vztahu ke Spojeným státům se použije čl. 48 odst. 1 nařízení 2018/1725, podle kterého může správce nebo zpracovatel předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud poskytl vhodné záruky, a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů. 102 Vhodné záruky uvedené v čl. 48 odst. 1 nařízení 2018/1725, vyjmenované v čl. 48 odst. 2 a 3 tohoto nařízení, mohou být stanoveny zejména prostřednictvím standardních doložek o ochraně osobních údajů přijatých Komisí v souladu s čl. 48 odst. 2 písm. b) tohoto nařízení. 103 Standardní doložky o ochraně osobních údajů stanovené v čl. 48 odst. 2 písm. b) nařízení 2018/1725 však mohou vyžadovat přijetí dalších opatření k zajištění dodržování odpovídající úrovně ochrany s ohledem na unijní právo (obdobně viz rozsudek Schrems II, body 133 a 134). 104 Kromě toho mohou být vhodné záruky uvedené v čl. 48 odst. 1 nařízení 2018/1725 stanoveny zejména prostřednictvím smluvních doložek stanovených v čl. 48 odst. 3 písm. a) uvedeného nařízení uzavřených mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi, s výhradou povolení EIOÚ. 105 Kromě toho je třeba připomenout, že články 7, 8 a 47 Listiny zakotvují právo na soukromí, právo na ochranu osobních údajů a právo na účinnou právní ochranu a spravedlivý proces. 106 V projednávané věci je třeba bez dalšího poznamenat, že druhý návrh žalobce na náhradu újmy vychází z toho, že Komise porušila ustanovení článku 46 a čl. 48 odst. 1 a odst. 2 písm. b) nařízení 2018/1725, jakož i článků 7, 8 a 47 Listiny. Z bodů 91 až 105 výše přitom vyplývá, že uvedená ustanovení nařízení 2018/1725 konkretizují taková základní práva, jako jsou práva stanovená v článcích 7 a 8 Listiny, a jako celek mají zajistit kontinuitu vysoké úrovně ochrany osobních údajů v případě předávání těchto údajů do třetích zemí nebo mezinárodním organizacím. 107 Z toho vyplývá, že ustanovení, jejichž porušení se žalobce dovolává na podporu svého druhého návrhu na náhradu škody, mají za cíl chránit osobní zájem dotčených osob a představují právní normy, jejichž účelem je přiznání práv jednotlivcům ve smyslu judikatury připomenuté v bodě 50 výše. 108 Nyní je třeba ověřit, zda podmínky vzniku mimosmluvní odpovědnosti Komise jsou splněny u každého ze tří sporných předání uvedených v bodě 87 výše. 109 Vzhledem k tomu, že ke sporným předáním uvedeným v bodech 26 a 28 výše došlo z důvodu, že internetové stránky KBE používají síť pro šíření obsahu nebo „RDC“ (anglicky „content delivery network“ nebo „CDN“) s názvem Amazon CloudFront (dále jen „služba Amazon CloudFront“), je třeba nejprve zjistit podmínky fungování této služby v rámci těchto internetových stránek. – K fungování služby Amazon CloudFront v rámci internetových stránek KBE 110 V projednávané věci je nesporné, že internetové stránky KBE využívají síť pro šíření obsahu Amazon CloudFront a že tato síť je aktivována při každé návštěvě uvedených internetových stránek uživatelem. 111 Ze spisu, zejména z odpovědí účastníků řízení na organizační procesní opatření ze dne 21. července 2023, jakož i z jejich řečí a odpovědí na jednání konaném dne 17. října 2023 vyplývá, že zaprvé je služba Amazon CloudFront internetovou službou, která urychluje distribuci internetového obsahu, v projednávané věci obsahu internetových stránek KBE, uživatelům. Služba Amazon CloudFront šíří obsah prostřednictvím globální sítě serverů nebo datových center nazvaných „periferní místa“ nebo „periferní servery“. 112 Zadruhé je služba Amazon CloudFront založena na mechanismu směrování, v rámci kterého je požadavek uživatele internetových stránek KBE směrován na periferní server, jenž poskytuje dobu nejmenšího zpoždění na základě zásady blízkosti s terminálem uživatele, tak, aby byl obsah poskytován uživateli za co nejlepších podmínek. Pokud z důvodu zejména technických obtíží není periferní server s nejmenším zpožděním k dispozici, naváže se spojení se serverem s druhým nejmenším zpožděním a tak dále. 113 Zatřetí je služba Amazon CloudFront užívána pro internetové stránky KBE na základě smlouvy č. 2020–1742, podepsané mezi Komisí a AWS EMEA, která je dceřinou společností vlastněnou podnikem Amazon.com založeným podle amerického práva a která má sídlo v Lucembursku (viz bod 12 výše). 114 Začtvrté si v rámci této smlouvy Komise zvolila, pokud jde o internetové stránky KBE, zeměpisnou oblast nazvanou „Severní Amerika (Spojené státy, Mexiko, Kanada), Evropa a Izrael“. To znamená, že k šíření obsahu této internetové stránky nedochází prostřednictvím globální sítě periferních míst Amazon CloudFront, ale pouze prostřednictvím periferních míst ve výše uvedených zeměpisných oblastech, a sice ve Spojených státech, Mexiku, Kanadě, Evropě a Izraeli. 115 Zapáté jsou z důvodu zásady blízkosti uvedené v bodě 112 výše požadavky uživatelů v Unii aktivující návštěvu internetových stránek KBE obvykle směrovány na periferní servery sítě Amazon CloudFront umístěné na tomto území, zatímco případy, kdy jsou tyto požadavky směrovány na servery mimo Unii, jsou vzácné. 116 Zašesté, pokud jde o infrastrukturu sítě periferních poloh společnosti Amazon CloudFront, ze spisu vyplývá, že ji poskytuje okruh podniků, z nichž některé patří do skupiny Amazon a jiné jsou třetí podniky, přičemž jejichž seznam lze nalézt na internetových stránkách Amazon Web Services v závislosti na dotčené zeměpisné oblasti. Pokud jde o zeměpisnou oblast nazvanou „Severní Amerika (USA, Mexiko, Kanada), Evropa a Izrael“, jsou dotyčné podniky usazeny jak v členských státech Unie, tak mimo Unii, zejména ve Spojených státech, Izraeli, Mexiku, Švýcarsku nebo ve Spojeném království. Každý podnik provozuje servery v zemi, kde je usazen, a proto závisí zeměpisné určení serverů, které jsou využívány k poskytování služby Amazon CloudFront, rovněž na zeměpisné poloze dotčených podniků. 117 Zasedmé ustanovení smlouvy mezi Komisí a AWS EMEA stanoví mimo jiné následující: – AWS EMEA musí být schopna zajistit, aby údaje zůstaly ve stavu klidu a při přenosu na území EHP (oddíl 11.2 smlouvy); – AWS EMEA není oprávněna změnit místo zpracování údajů bez předchozího souhlasu Komise [oddíl 12.2.3(a) smlouvy]; – jakékoli předávání osobních údajů na základě smlouvy do třetích zemí nebo mezinárodním organizacím musí být plně v souladu s požadavky stanovenými v kapitole V nařízení 2018/1725 [oddíl 12.2.3(b) smlouvy]; – AWS EMEA nesmí předávat žádné osobní údaje do země mimo EHP, ledaže by Komise k takovému předání dala předchozí písemný souhlas a k předání došlo v souladu s podmínkami uvedené kapitoly V (oddíl 1.8.9 smlouvy); – AWS EMEA musí Komisi předat každou žádost o přístup k osobním údajům a musí využít všech dostupných právních prostředků vůči těmto žádostem (oddíly 1.8.3, 1.8.4 a 1.8.5 smlouvy); – AWS EMEA se musí ujistit, že tato opatření jsou rovněž prováděna v případě využití subdodavatelů (oddíl 1.8.8 smlouvy). 118 Zaosmé Komise konzultovala výše uvedená smluvní ustanovení s EIOÚ, ale tato ustanovení jím nebyla formálně povolena podle čl. 48 odst. 3 písm. a) nařízení 2018/1725. – Sporné předání při návštěvě internetových stránek KBE dne 30. března 2022 119 Žalobce v podstatě tvrdí, že při návštěvě internetových stránek KBE dne 30. března 2022 konstatoval, že některé jeho osobní údaje, zejména jeho IP adresa a informace o jeho prohlížeči a terminálu, byly předány do Spojených států. Zaprvé totiž uvedené internetové stránky využívaly síť šíření obsahu nazvanou „Amazon CloudFront“, jejímž provozovatelem je Amazon Web Services, americká dceřiná společnost amerického podniku Amazon.com. Zadruhé byly při této návštěvě osobní údaje žalobce zaslány službě Amazon CloudFront, konkrétně serveru Amazon.com nacházejícímu se v Seattlu (Washington, Spojené státy), jehož IP adresa je 18.66.192.
74. Zatřetí byl bezpečnostní klíč použitý na internetových stránkách KBE (takzvaný „certifikát SSL“) poskytnut společností Amazon, což je důvod, proč je třeba předpokládat, že Amazon měla možnost dekódovat veškeré osobní údaje žalobce předané na servery Amazon, včetně jeho názorů na budoucnost Evropy. Začtvrté podnik, který poskytuje službu Amazon CloudFront, podléhá americkým zákonům, a je tedy povinen sdělovat informace bezpečnostním a dozorčím službám Spojených států, a to i v případě, kdy jsou servery umístěny mimo tuto zemi. Navíc Komise nepřijala „další opatření“ ve smyslu rozsudku Schrems II, aby zajistila odpovídající úroveň ochrany údajů předávaných do Spojených států. 120 Komise s těmito argumenty nesouhlasí. 121 Pokud jde o návštěvu internetových stránek KBE dne 30. března 2022, ze spisu vyplývá, že žalobce navštívil tyto internetové stránky k tomuto datu (viz bod 3 výše) a při této konzultaci došlo k předání jeho IP adresy a informací o jeho prohlížeči a terminálu. 122 V tomto ohledu je třeba konstatovat, že IP adresa musí být kvalifikována jako osobní údaj ve smyslu čl. 3 bodu 1 nařízení 2018/1725, neboť splňuje obě v něm stanovené podmínky. Zaprvé se tato informace vztahuje k fyzické osobě a zadruhé se týká identifikované nebo identifikovatelné osoby, v projednávané věci žalobce (rozsudek ze dne 26. dubna 2023, SRB v. EIOÚ, T-557/20, napadený kasačním opravným prostředkem, EU:T:2023:219, bod 59; v tomto smyslu a obdobně viz rovněž rozsudky ze dne 24. listopadu 2011, Scarlet Extended, C-70/10, EU:C:2011:771, bod 51, a ze dne 19. října 2016, Breyer, C-582/14, EU:C:2016:779, bod 49). I tzv. „dynamické“ IP adresy, které jsou svou povahou proměnlivé, totiž odpovídají konkrétní totožnosti v daném okamžiku, která se v projednávané věci shoduje s okamžikem, kdy došlo k návštěvě internetových stránek KBE. 123 Je rovněž prokázáno, že předání údajů uvedené v bodě 121 výše bylo spuštěno prostřednictvím internetových stránek KBE v rámci služby Amazon CloudFront na server, jehož IP adresa je 18.66.192.74. 124 Dále je prokázáno, že v rozhodné době byla IP adresa 18.66.192.74 přiřazena serveru nacházejícímu se v Mnichově (Německo) a že tento server patřil podniku A 100 ROW GmbH, se sídlem v Německu, který byl součástí seznamu podniků uvedeného v bodě 116 výše. 125 Z toho vyplývá, že při návštěvě internetových stránek KBE ze dne 30. března 2022 došlo k předání osobních údajů žalobce ve smyslu čl. 3 bodu 1 nařízení 2018/1725, zejména jeho IP adresy. 126 V projednávané věci však nebylo prokázáno, že při návštěvě internetových stránek KBE dne 30. března 2022 došlo k předání osobních údajů žalobce do třetí země, a zejména do Spojených států. 127 Naproti tomu z bodů 121 až 124 výše vyplývá, že při návštěvě internetových stránek KBE dne 30. března 2022 bylo předání osobních údajů žalobce spuštěno prostřednictvím internetových stránek KBE v rámci služby Amazon CloudFront na server v Mnichově. Uvedený server patřil podniku se sídlem v Německu, který byl součástí sítě poskytovatelů infrastruktury služby Amazon CloudFront, která je Komisi poskytována na základě smlouvy s AWS EMEA, podnikem se sídlem v Lucembursku. 128 Z toho vyplývá, že při návštěvě internetových stránek KBE dne 30. března 2022 byly osobní údaje žalobce předány příjemci usazenému v Unii. 129 Kromě toho, i kdyby se připustilo, že osobní údaje žalobce neopustily území Unie, tyto údaje byly přesto předány serveru, který patří do sítě periferních míst v rámci služby Amazon CloudFront, která zahrnuje, pokud jde o šíření obsahu internetových stránek KBE, síť periferních míst, která se neomezuje na území EHP, ale přesahuje území EHP (Viz bod 116 výše). 130 Konkrétní okolnosti popsané v bodě 127 výše však neprokazují existenci předání osobních údajů příjemcům usazeným mimo území EHP, zejména ve Spojených státech. 131 Sporné předání při návštěvě internetových stránek KBE dne 30. března 2022 tedy neodpovídá předání osobních údajů do třetí země ve smyslu článku 46 nařízení 2018/1725, jelikož pojem předání do třetí země vyžaduje, aby byly osobní údaje zpřístupněny příjemci usazenému mimo EHP (viz bod 93 výše). 132 Argument žalobce vycházející ze skutečnosti, že AWS EMEA je jakožto dceřiná společnost amerického podniku povinna předávat americkým orgánům osobní údaje, i když jsou tyto údaje uchovávány na území Unie, tento závěr nezpochybňuje. 133 I když je pravda, že přístup k osobním údajům zpracovávaným v EHP orgány třetí země na základě právních předpisů této země představuje předání osobních údajů do třetí země ve smyslu článku 46 nařízení 2018/1725, nic to nemění na tom, že v projednávané věci není prokázáno, že k takovému přístupu došlo. Žalobce totiž neprokázal ani netvrdil, že by byl americkým orgánům předán jakýkoli jeho osobní údaj, ani neprokázal či netvrdil existenci žádosti těchto orgánů týkající se údajů, které byly předány na uvedený server Amazon CloudFront, umístěný v Mnichově. 134 Argument navrhovatele se tudíž netýká přímého porušení ustanovení kapitoly V nařízení 2018/1725, ale pouze rizika takového porušení v případě, že by se AWS EMEA nemohla z důvodu postavení dceřiné společnosti amerického podniku bránit požadavku amerických orgánů o přístup k údajům uchovávaným na serverech umístěných na území EHP. 135 Pouhé riziko přístupu třetí země k osobním údajům přitom nemůže odpovídat předání údajů ve smyslu článku 46 nařízení 2018/1725, jak je vyložen v bodě 93 výše, neboť není prokázáno, že došlo k předání nebo zpřístupnění osobních údajů žalobce příjemci ve třetí zemi jiným způsobem. Jinými slovy, riziko porušení uvedeného článku 46 nelze stavět na roveň přímému porušení tohoto ustanovení. 136 Navíc je třeba připomenout, že v rámci projednávaného návrhu na náhradu újmy se přezkum Tribunálu týká ověření podmínek vzniku mimosmluvní odpovědnosti Komise, a zejména podmínky týkající se protiprávnosti jednání Komise, která vyžaduje, aby bylo prokázáno dostatečně závažné porušení ustanovení nařízení 2018/1725 a Listiny, jichž se žalobce dovolává. 137 V tomto ohledu pouhé riziko porušení ustanovení kapitoly V nařízení 2018/1725 každopádně nemůže stačit k prokázání protiprávního jednání Komise, které by odpovídalo dostatečně závažnému porušení těchto ustanovení. 138 Tento závěr není zpochybněn argumentem žalobce vycházejícím z rozsudku Schrems II. Je totiž třeba poznamenat, že v tomto rozsudku se Soudní dvůr vyjádřil k některým podmínkám, za kterých může dojít k předání osobních údajů do Spojených států, a nikoliv k podmínkám, za kterých mohou být takové údaje zpracovávány na území EHP dceřinými společnostmi společností založených podle amerického práva, jako je AWS EMEA. 139 Ze všech předcházejících úvah vyplývá, že pokud jde o sporné předání údajů při návštěvě internetových stránek KBE dne 30. března 2022, žalobce neprokázal, že se Komise dopustila dostatečně závažného porušení ustanovení článku 46 a čl. 48 odst. 1 a čl. 48 odst. 2 písm. b) nařízení 2018/1725, jakož i článků 7, 8 a 47 Listiny, ve smyslu judikatury připomenuté v bodě 50 výše. 140 Vzhledem k tomu, že jedna z kumulativních podmínek vzniku mimosmluvní odpovědnosti Unie stanovených v čl. 340 druhém pododstavci SFEU není splněna, je třeba zamítnout druhý návrh na náhradu újmy, pokud jde o sporné předání při návštěvě internetových stránek KBE dne 30. března 2022, aniž je třeba zkoumat ostatní argumenty žalobce. – Sporné předání při návštěvách internetových stránek KBE dne 8. června 2022 141 Žalobce tvrdí, že při návštěvách internetových stránek KBE dne 8. června 2022 došlo k předání jeho osobních údajů, zejména jeho IP adresy, serverům Amazon CloudFront nacházejícím se ve Spojených státech. Podle žalobce tato předání nevyplývají z jeho činnosti jakožto uživatele internetových stránek, ale jsou výsledkem fungování služby Amazon CloudFront, v jehož rámci je riziko přenosu dat do Spojených států inherentní celosvětové infrastruktuře, na které je tato služba založena. Situace žalobce se neliší od situace občana Unie, který navštíví internetové stránky KBE například při profesním přemístění do Spojených států. Komise neprokázala veškerou řádnou péči vyžadovanou k tomu, aby zabránila předávání údajů do Spojených států, jelikož namísto čistě celoevropského řešení hostingu si zvolila síť pro šíření obsahu založenou na globální struktuře. 142 Podle žalobce mu uvedené předání osobních údajů způsobilo morální újmu ve smyslu bodu 46 odůvodnění nařízení 2018/1725, jelikož ztratil kontrolu nad svými údaji, které byly předány do Spojených států a byly podrobeny protiprávnímu dohledu ze strany amerických orgánů, a byl zbaven svých práv a svobod. 143 Komise s těmito argumenty nesouhlasí. 144 Úvodem a s ohledem na argumentaci žalobce je třeba připomenout, že v rámci projednávaného návrhu na náhradu újmy se přezkum Tribunálu netýká přímo legality rozhodnutí Komise používat službu Amazon CloudFront pro šíření obsahu internetových stránek KBE, ale ověření podmínek vzniku mimosmluvní odpovědnosti Komise, pokud jde o sporné předání při návštěvách internetových stránek KBE dne 8. června 2022. 145 V projednávané věci považuje Tribunál za vhodné zabývat se rovnou podmínkou týkající se existence příčinné souvislosti mezi údajným protiprávním jednáním Komise a uplatňovanou morální újmou. 146 Z judikatury připomenuté v bodě 55 výše vyplývá, že podmínka týkající se příčinné souvislosti se týká existence dostatečně přímého vztahu příčiny a následku mezi jednáním vytýkaným unijnímu orgánu a újmou, takže rozhodující příčinou újmy musí být vytýkané jednání. 147 Z judikatury navíc vyplývá, že příčinná souvislost vyžadovaná pro vznik mimosmluvní odpovědnosti Unie ve smyslu čl. 340 druhého pododstavce SFEU je dána tehdy, je-li újma přímým důsledkem dotčeného protiprávního aktu (rozsudek ze dne 28. června 2007, Internationaler Hilfsfonds v. Komise, C-331/05 P, EU:C:2007:390, bod 23). 148 Pokud jde o bezprostřední povahu příčinné souvislosti, Tribunál již rozhodl, že újma musí vyplývat přímo z dovolávané protiprávnosti, a nikoli z volby žalobce, pokud jde o způsob reakce na údajně protiprávní akt. V této souvislosti bylo konstatováno, že pouhá skutečnost, že existence protiprávního jednání představovala nezbytnou podmínku (conditio sine qua non) pro vznik újmy v tom smyslu, že by újma nevznikla, kdyby k protiprávnímu jednání nedošlo, nestačí k prokázání dostatečně přímé příčinné souvislosti ve smyslu unijní judikatury (v tomto smyslu a obdobně viz rozsudky ze dne 30. listopadu 2011, Transnational Company „Kazchrome“ a ENRC Marketing v. Rada a Komise, T-107/08, EU:T:2011:704, bod 80 a citovaná judikatura, a ze dne 23. května 2019, Remag Metallhandel a Jaschinsky v. Komise, T-631/16, nezveřejněný, EU:T:2019:352, bod 52 a citovaná judikatura). 149 Z judikatury vyplývá, že taková příčinná souvislost není prokázána, pokud je uplatňovaná újma přímým důsledkem vlastního rozhodnutí nebo svobodné volby žalobce, a nemůže být v důsledku toho přičtena dotčenému orgánu nebo instituci (v tomto smyslu a obdobně viz rozsudky ze dne 28. června 2007, Internationaler Hilfsfonds v. Komise, C-331/05 P, EU:C:2007:390, body 22 až 29; ze dne 17. února 2017, Novar v. EUIPO, T-726/14, EU:T:2017:99, body 31 a 32, a ze dne 28. února 2018, Vakakis kai Synergates v. Komise, T-292/15, EU:T:2018:103, bod 173 a citovaná judikatura). 150 V projednávané věci je tedy třeba zkoumat, zda je jednání vytýkané Komisi, a sice využívání služby Amazon CloudFront jako sítě šíření obsahu internetových stránek KBE, přímou příčinou uplatňované nemajetkové újmy, která spočívá ve ztrátě kontroly nad osobními údaji žalobce, které měly být předmětem předání do Spojených států při jeho návštěvách uvedených internetových stránek dne 8. června 2022. 151 V tomto ohledu zaprvé ze spisu, jakož i z odpovědí účastníků řízení na otázky položené na jednání vyplývá, že dne 8. června 2022 byl žalobce v Mnichově a několikrát navštívil internetové stránky KBE. Během těchto návštěv vytvořila IP adresa žalobce následná spojení s různými servery služby Amazon CloudFront, které jsou zeměpisně vzájemně velmi vzdálené. V 7:13 hodin tak došlo k propojení na server nacházející se v Mnichově, v 11:13 hodin na server nacházející se v Londýně (Spojené království), ve 12:56 hod. na server umístěný v Hillsboro (Oregon, Spojené státy), ve 13:05 hod. na server nacházející se v Newarku a v 19:12 hodin na server nacházející se ve Frankfurtu nad Mohanem (Německo). 152 Zadruhé ze spisu vyplývá, že IP adresa žalobce byla předána na různé servery služby Amazon CloudFront uvedené v bodě 151 výše, včetně serverů nacházejících se ve Spojených státech. 153 Zatřetí je třeba připomenout, že IP adresa žalobce představuje osobní údaj. 154 Začtvrté je třeba poznamenat, že dne 8. června 2022 zaznamenaly internetové stránky KBE 4 548 přístupů a 18 různých IP adres. Mezi nimi vytvořila jediná IP adresa, a sice adresa žalobce, spojení se servery nacházejícími se mimo Unii, a sice ve Spojených státech a ve Spojeném království. V tomto ohledu je třeba poznamenat, že nebylo prokázáno, ani tvrzeno, že dne 8. června 2022 měla služba Amazon CloudFront u internetových stránek KBE technické nebo jiné problémy, zabraňující běžnému fungování jejího mechanismu směrování podle zásady blízkosti, který směruje požadavky uživatelů aktivující návštěvu internetových stránek KBE na periferní server s nejmenším zpožděním podle zeměpisné polohy uživatele (Viz bod 112 výše). 155 Zapáté, pokud jde o okolnosti týkající se spojení vytvořených IP adresou žalobce se servery nacházejícími se ve Spojených státech, ze spisu, jakož i z odpovědí účastníků řízení na jednání vyplývá, že žalobce tvrdí, že tato spojení byla výsledkem fungování Amazon CloudFront, a nikoliv jakýchkoli kroků z jeho strany. Komise dále poznamenává, že tato spojení byla netypická a lze je vysvětlit pouze technickými úkony žalobce. 156 V tomto ohledu je třeba konstatovat, že okolnosti popsané v bodě 151 výše prokazují, že jednotlivá zeměpisná určení serverů, ke kterým se připojila IP adresa žalobce, nemohla být dána fyzickým přemístěním žalobce v tomtéž dni, což by bylo nemožné s ohledem na dotčené vzdálenosti a časové intervaly. Navíc nebyla prokázána, dokonce ani tvrzena, jakákoliv nefunkčnost služby Amazon CloudFront, což umožňuje dospět k závěru, že dne 8. června 2022 tato služba fungovala podle zásady blízkosti s terminálem uživatele, přičemž její mechanismus směrování směroval požadavky uživatelů aktivující návštěvu internetových stránek KBE na periferní server, který poskytuje dobu nejmenšího zpoždění (viz bod 154 výše). 157 Za těchto okolností nemohou spojení IP adresy žalobce se servery nacházejícími se ve Spojených státech, zatímco se nacházel v Německu, vyplývat z běžného fungování služby Amazon CloudFront, ale spíše z technického nastavení provedeného žalobcem za účelem změny jeho uváděné polohy tím, že se v digitálním prostoru prezentuje tak, jako by se nacházel ve stejný den postupně na místech blízkých Mnichova, Londýna, Hillsboro, Newarku a Frankfurtu nad Mohanem. 158 Z toho vyplývá, že je sice pravda, že to bylo fungování služby Amazon CloudFront s jejím mechanismem směrování, který funguje podle zásady blízkosti a pokrývá širší zeměpisnou oblast než území EHP, zahrnující zejména Spojené státy (viz body 112 a 114 výše), které umožnilo, aby při prohlížení internetových stránek KBE vytvořila IP adresa žalobce spojení se servery Amazon CloudFront umístěnými ve Spojených státech. 159 Nicméně, i když je použití služby Amazon CloudFront Komisí nezbytnou podmínkou pro předání osobních údajů uvedených v bodě 152 výše do Spojených států, tato okolnost za podmínek projednávané věci nestačí k prokázání dostatečně přímé příčinné souvislosti mezi morální újmou uplatňovanou žalobcem a údajně protiprávním jednáním Komise spočívajícím ve využívání takové služby v rozporu s ustanoveními kapitoly V nařízení 2018/1725. 160 Za přímou a bezprostřední příčinu tvrzené morální újmy je totiž třeba považovat jednání žalobce, a nikoli pochybení, kterého se údajně dopustila Komise využíváním služby Amazon CloudFront. 161 Je to tedy žalobce, kdo vytvořil podmínky nezbytné k vytvoření spojení k serverům umístěným ve Spojených státech prostřednictvím fungování služby Amazon CloudFront. Právě jednání žalobce způsobilo odeslání, prostřednictvím mechanismu směrování v rámci služby Amazon CloudFront, jeho požadavků aktivujících návštěvu internetových stránek KBE na servery nacházející se ve Spojených státech, neboť právě tyto servery měly nejmenší zpoždění ve vztahu k uváděné zeměpisné poloze žalobce v digitálním prostoru, ačkoli tato poloha neodpovídala jeho skutečné poloze. 162 Kromě toho žalobce není oprávněn dopustit se jednání, jehož cílem bylo způsobit určitý výsledek (tedy předání svých osobních údajů do třetí země) a následně požadovat náhradu újmy údajně způsobené tímto výsledkem, jehož přímou příčinou bylo jeho jednání. Na rozdíl od toho, co tvrdí žalobce, v rámci žaloby na náhradu újmy, jako je žaloba v projednávané věci, nelze jeho situaci posuzovat podobně jako situaci uživatele, který se skutečně přemístil do Spojených států, a v důsledku toho navštívil internetové stránky KBE z této země. 163 Ze všech předcházejících úvah vyplývá, že pokud jde o sporné předání při návštěvách internetových stránek KBE dne 8. června 2022, nebyla prokázána dostatečně přímá příčinná souvislost mezi údajně protiprávním jednáním Komise a uplatňovanou morální újmou. 164 Vzhledem k tomu, že jedna z kumulativních podmínek vzniku mimosmluvní odpovědnosti Unie není splněna, je třeba návrh na náhradu újmy, pokud jde o sporné předání při návštěvách internetových stránek KBE dne 8. června 2022, zamítnout, aniž je nutné zkoumat ostatní podmínky vzniku uvedené odpovědnosti. – Sporné předání při připojení k EU Login dne 30. března 2022 165 Žalobce tvrdí, že dne 30. března 2022, když se zapsal na událost „GoGreen“ dostupnou na internetových stránkách KBE, byla jeho IP adresa, jakož i informace o jeho prohlížeči a terminálu předány podniku Meta Platforms se sídlem ve Spojených státech, který je vlastníkem sociální sítě Facebook. Při tomto zápisu byl totiž žalobce nasměrován na unijní službu ověřování EU Login, která mimo jiné nabízí možnost připojení prostřednictvím různých sociálních sítí. Žalobce si zvolil připojení prostřednictvím svého účtu na Facebooku, a když klikl na hypertextový odkaz, který ho přesměroval na Facebook, vedl tento odkaz k tomu, že jeho IP adresa byla předána na Facebook. Žalobce akceptoval pouze „základní soubory cookie“ společnosti Facebook. Další osobní údaje žalobce, a sice jeho e-mailová adresa, příjmení, jméno a profilová fotografie, byly Facebookem shromážděny pomocí souborů cookies, zejména cookie nazvané „sb“, a předány serverům společnosti Meta Platforms. Z judikatury vyplývá, že provozovatelé internetových stránek, kteří používají Facebook na svých internetových stránkách, jako je tomu v případě Komise, jsou společně s Facebookem odpovědni za dodržování unijního práva týkajícího se ochrany údajů. Komise je tedy spoluodpovědná za umístění souborů cookie uchovávaných Facebookem. Žalobce tvrdí, že ztratil kontrolu nad svými osobními údaji předanými platformě Facebook a byl zbaven svých práv a svobod, což představuje morální újmu ve smyslu bodu 46 odůvodnění nařízení 2018/1725. 166 Komise s těmito argumenty nesouhlasí. V podstatě tvrdí, že neuskutečnila ani žádné přenosy dat ke společnosti Meta Platforms, ani k nim nedala podnět. Není povinné zapsat se prostřednictvím EU Login za účelem účasti na události „GoGreen“ a i při použití EU Login měl žalobce různé možnosti ověření, včetně možností, které nevyžadují použití účtu na sociálních sítích. Bylo tedy volbou žalobce připojit se ke službě EU Login prostřednictvím svého účtu na Facebooku, a byl to tedy on, a nikoli Komise, kdo způsobil propojení s internetovými stránkami Facebooku. Navíc z technického hlediska se možnost ověření prostřednictvím Facebooku uskutečňuje hypertextovým odkazem zobrazeným na internetových stránkách EU Login, který neobsahuje osobní údaje uživatele. Na rozdíl od toho, co tvrdí žalobce, údaje shromážděné prostřednictvím souborů cookie používaných Facebookem nejsou předávány Komisi během připojení k EU Login a nespadají do její odpovědnosti. Tyto soubory cookie jsou výsledkem výměny informací mezi Facebookem a žalobcem na základě souhlasů, které udělil, přičemž Komise nebyla do této výměny zapojena. Kromě toho Komise tvrdí, že judikatura uplatněná žalobcem není v projednávané věci použitelná a argument žalobce vycházející z údajné společné odpovědnosti Komise a společnosti Meta Platforms je v každém případě novým žalobním důvodem uplatněným poprvé až ve fázi repliky, který je z toho důvodu nepřípustný. 167 V projednávané věci je třeba nejprve zkoumat skutkový rámec, do něhož bylo zasazeno sporné předání při připojení k EU Login dne 30. března 2022, s přihlédnutím ke skutečnostem, které vyplývají ze spisu, jakož i k odpovědím účastníků řízení na otázky položené Tribunálem na jednání a organizačním procesním opatřením ze dne 9. února 2024. 168 V tomto ohledu je třeba konstatovat, že událost „GoGreen“ organizovaná subjektem se sídlem v Nizozemsku byla oznámena na internetových stránkách KBE. Na tuto událost bylo možné se zapsat mimo jiné prostřednictvím služby EU Login na internetových stránkách KBE. 169 Žalobce se rozhodl zapsat se na internetových stránkách KBE použitím EU Login. 170 EU Login je uživatelská ověřovací služba Komise, která chrání několik stovek internetových stránek a aplikací souvisejících s Unií. V projednávané věci bylo cílem připojení na EU Login pro účely zápisu na událost „GoGreen“ zajistit, aby byl tento zápis proveden prostřednictvím ověřené e-mailové adresy, a tím snížit rizika spojená se zápisem falešných uživatelů nebo s krádeží identity. 171 EU Login zobrazuje na svých internetových stránkách několik možností připojení. První možností je připojit se přímo k EU Login, a to buď vyplněním údajů o připojení na již existující účet EU Login, nebo vytvořením účtu pro tuto službu. Druhou možností je používat elektronický průkaz totožnosti „eID“, který je k dispozici občanům některých členských států. Třetí možnost, která je dostupná pro omezený počet služeb, spočívá v použití účtu, který má uživatel již na Facebooku, Twitteru nebo Googlu kliknutím na odpovídající hypertextový odkaz zobrazený na internetových stránkách EU Login. 172 Možnost připojení k EU Login prostřednictvím účtu na Facebooku vyplývá ze skutečnosti, že Komise měla za to, že je vhodné dát uživatelům možnost připojit se k EU Login prostřednictvím již existujících účtů na platformách, aby jim byl poskytnut snadnější a rychlejší přístup, jakož i možnost potvrdit svou totožnost bez potřeby vytvořit účet EU Login, a vyhnout se tak znásobení počtu účtů a subjektů, s nimiž by uživatelé museli sdílet své osobní údaje. Kromě toho měla Komise za to, že Facebook je spolehlivý pro účely ověření e-mailových adres uživatelů s ohledem na opatření, která zavedl. Hypertextový odkaz umožňující připojení prostřednictvím již existujícího účtu na Facebooku je však dostupný na EU Login pouze pro internetové stránky nebo aplikace vyžadující pouze základní úroveň bezpečnosti. 173 Žalobce si zvolil možnost připojení k EU Login prostřednictvím svého účtu na Facebooku s použitím hypertextového odkazu „Sign in with Facebook“, který je zobrazen na internetových stránkách EU Login (dále jen „hypertextový odkaz ‚Sign in with Facebook‘ “). 174 Hhypertextový odkaz „Sign in with Facebook“ obsahuje odkaz na internetové stránky mimo Komisi. Je-li tento hypertextový odkaz aktivován kliknutím, poskytuje přístup k URL internetových stránek Facebooku, tedy k individuální adrese těchto internetových stránek. 175 Přístup na adresu URL internetových stránek Facebooku vede ke komunikaci mezi prohlížečem uživatele a uvedenými internetovými stránkami, v jejímž rámci prohlížeč předává IP adresu uživatele na dotčené internetové stránky. Tento přenos je podobný přenosu, k němuž dochází, když uživatel přímo zadá adresu URL jakýchkoli internetových stránek do svého prohlížeče, neboť IP adresu musí nutně sdělit každý uživatel internetu, který chce získat přístup k internetové stránce. 176 Prostřednictvím hypertextového odkazu „Sign in with Facebook“ zasílá EU Login určité informace Facebooku, které jsou nezbytné pro účely procesu ověření a mají podobu následujícího příkladu: [OBRÁZEK] 177 Přesněji řečeno informace, které jsou obsaženy v hypertextovém odkazu „Sign in with Facebook“, jsou následující: – Zaprvé část „klient_id= 1200572836629487“ obsahuje „jedinečný identifikační kód“, který identifikuje EU Login jako aplikaci. Toto identifikační číslo je stejné pro všechny uživatele, kteří chtějí potvrdit svou totožnost na EU Login za použití Facebooku. – Zadruhé, část „redirect_uri=https %3A%2F%2Fecas.ec.europa.eu%2Fcas%2FoAuthCallback“ obsahuje obecnou adresu URL EU Login, která je adresou, na kterou musí Facebook přivést uživatele poté, co uživatel dal souhlas s předáním jeho osobních údajů Facebookem do EU Login. – Zatřetí část „scope=email“ obsahuje údaje, které Facebook musí předat službě EU Login, aby zaručil úspěšné ověření uživatele, zejména e-mailovou adresu uživatele, jakož i jméno a příjmení uvedené na stránkách Facebooku při vytvoření účtu na Facebooku. – Začtvrté část „state=useFacebook“ naznačuje, že dlouhý řetězec znaků, který následuje, je náhodnou bezpečnostní hodnotou, která se používá k zabránění bezpečnostním útokům a má časově omezenou platnost. Tuto náhodnou bezpečnostní hodnotu vytváří EU Login náhodně a plní funkci tajné věty, kterou Facebook musí opakovat při předávání údajů službě EU Login, aby EU Login věděl, že sdělená e-mailová adresa, jméno a příjmení se týkají uživatele, který inicioval způsob ověření. Po uplynutí lhůty nebo po ověření uživatele již není možné bezpečnostní hodnotu použít. – A zapáté část „response_type=code“ uvádí, že přenos údajů Facebookem do EU Login je stále doprovázen jedinečným kódem. Tento jedinečný kód zahrnuje náhodnou bezpečnostní hodnotu uvedenou výše. Jedinečný kód je ekvivalentem jedinečného registračního čísla nebo sériového čísla, které ověřuje pravost údajů předávaných společností Facebook službě EU Login. 178 Jakmile uživatel získá přístup na adresu URL Facebooku, nachází se na těchto internetových stránkách, kde se nejprve zobrazí okno, v němž je uživatel požádán, aby souhlasil s používáním „cookies“ Facebookem. Dále, pokud jsou cookies přijaty, se otevře okno, které umožňuje vyplnit uživatelské jméno a heslo uživatelského účtu na Facebooku. Konečně po připojení na svůj účet na Facebooku může uživatel Facebooku povolit používání souborů cookie na jiných aplikacích a internetových stránkách, přičemž odpoví na otázku „Allow Facebook to use cookies and similar technologies placed on other apps and websites?“ Pokud uživatel s tímto používáním souhlasí, bude následně vyzván k tomu, aby souhlasil s tím, aby Facebook poskytl službě EU Login jméno, příjmení, profilovou fotografii a e-mailovou adresu, které jsou spojeny s jeho účtem na Facebooku. Kromě toho může uživatel během celého tohoto procesu přerušit ověření prostřednictvím svého účtu na Facebooku tím, že si zvolí možnost „Cancel“. V takovém případě je přesměrován na internetovou stránku EU Login, kde se stránka s možnostmi připojení zobrazí znovu. 179 V projednávané věci, když žalobce kliknul na hypertextový odkaz „Sign in with Facebook“, jeho internetový prohlížeč vstoupil na adresu URL internetových stránek Facebooku a následně sdělil jeho IP adresu těmto internetovým stránkám. Dále, když se žalobce nacházel na internetových stránkách Facebooku, zvolil si možnosti umožňující Facebooku používat pouze klíčové soubory cookie, poté se připojil ke svému účtu na Facebooku a konečně umožnil Facebooku sdělit službě EU Login své jméno, příjmení, profilovou fotografii a e-mailovou adresu, jak je uvedl na svém účtu na Facebooku. 180 V návaznosti na tato povolení udělená žalobcem jej Facebook vrátil na internetovou stránku EU Login v souladu s údaji obsaženými v hypertextovém odkazu „Sign in with Facebook“ (viz bod 177 první a druhá odrážka výše). 181 Současně Facebook sdělil EU Login náhodnou bezpečnostní hodnotu a jedinečný kód, které jsou uvedeny v bodě 177 čtvrté a páté odrážce výše. Zaprvé toto sdělení Facebooku umožnilo službě EU Login zjistit, že se osobní údaje, které jí Facebook poskytl, týkaly uživatele, který zahájil proces ověření, a sice v projednávané věci žalobce. Zadruhé toto sdělení poskytlo službě EU Login po omezenou dobu přístup k osobním údajům uvedeným v bodě 177 třetí odrážce výše, a sice zejména ke jménu, příjmení a e-mailové adrese žalobce, jak je uvedl na svém účtu na Facebooku. K předání těchto údajů Facebookem službě EU Login došlo prostřednictvím šifrovaného spojení mezi nimi. EU Login tak ověřil e-mailovou adresu žalobce na základě údajů poskytnutých Facebookem. 182 Kromě toho je třeba poznamenat, že sociální síť Facebook je vlastněna společností Meta Platforms, podnikem se sídlem ve Spojených státech. 183 Kromě toho je třeba uvést, že zobrazení tohoto hypertextového odkazu na internetových stránkách EU Login se řídí obecnými podmínkami platformy Facebook zpřístupněnými na internetové adrese „https://developers.facebook.com/terms“. 184 Ve světle těchto úvah je třeba zkoumat, zda jsou splněny podmínky vzniku mimosmluvní odpovědnosti Komise. 185 Žalobce v podstatě tvrdí, že při jeho připojení k EU Login dne 30. března 2022 došlo k předání jeho osobních údajů, zejména z jeho IP adresy, na servery sociální sítě Facebook, jejíž vlastník má sídlo ve Spojených státech. K tomuto předání došlo v rozporu s článkem 46 nařízení 2018/1725 a způsobilo žalobci morální újmu spočívající ve ztrátě kontroly jeho údajů a ve zbavení jeho práv a svobod. 186 Úvodem je třeba připomenout, že jak vyplývá z bodu 95 výše, předání osobních údajů do třetí země ve smyslu článku 46 nařízení 2018/1725 vyžaduje, aby unijní orgán, subjekt nebo instituce zpřístupnily osobní údaje předáním nebo jiným způsobem příjemci ve třetí zemi, tedy zemi, která není členem Unie ani EHP. 187 V projednávané věci je prokázáno, že zaprvé žalobce z možností připojení k EU Login zvolil připojení pomocí svého účtu na Facebooku. Zadruhé hypertextový odkaz „Sign in with Facebook“ obsahuje odkaz na adresu URL internetových stránek Facebooku. Zatřetí, když žalobce aktivoval tento hypertextový odkaz tím, že na něj klikl, jeho prohlížeč získal přístup k adrese URL internetových stránek společnosti Facebook a následně předal jeho IP adresu společnosti Facebook (viz body 173 až 175 výše). 188 Z toho vyplývá, že Komise prostřednictvím hypertextového odkazu „Sign in with Facebook“ zobrazeného na internetových stránkách EU Login vytvořila podmínky umožňující předání IP adresy žalobce Facebooku. Tato IP adresa přitom představuje osobní údaj žalobce (viz bod 122 výše), který byl prostřednictvím uvedeného hypertextového odkazu předán společnosti Meta Platforms, podniku se sídlem ve Spojených státech. Toto předání tedy odpovídá předání osobních údajů do třetí země ve smyslu článku 46 nařízení 2018/1725. 189 Kromě toho je v projednávané věci prokázáno, že v okamžiku tohoto předání údajů, tj. dne 30. března 2022, neexistovalo ve vztahu ke Spojeným státům žádné rozhodnutí o odpovídající ochraně ve smyslu článku 47 nařízení 2018/1725 (viz bod 100 výše). 190 V případě neexistence rozhodnutí Komise o odpovídající ochraně ve vztahu ke Spojeným státům může dojít k předání osobních údajů do třetí země nebo mezinárodní organizaci pouze tehdy, když správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektů údajů a účinná právní ochrana subjektů údajů v souladu s čl. 48 odst. 1 nařízení 2018/1725 (viz bod 101 výše). 191 V projednávané věci Komise neprokázala ani netvrdila existenci vhodné záruky, zejména standardní doložky o ochraně údajů nebo smluvní doložky přijatých za podmínek stanovených v čl. 48 odst. 2 a 3 nařízení 2018/1725 (viz bod 102 až 104 výše). Naproti tomu je prokázáno, že zobrazení hypertextového odkazu „Sign in with Facebook“ na internetových stránkách EU Login se jednoduše řídí obecnými podmínkami platformy Facebook (viz bod 183 výše). 192 Komise tudíž vytvořila podmínky pro předání osobních údajů žalobce do třetí země, aniž dodržela podmínky stanovené v článku 46 nařízení 2018/1725. 193 Je tedy třeba dospět k závěru, aniž je třeba zkoumat ostatní argumenty žalobce, že se Komise dopustila dostatečně závažného porušení ve smyslu judikatury připomenuté v bodě 50 výše, článku 46 nařízení 2018/1725, pokud jde o sporné předání při připojení k EU Login dne 30. března 2022. 194 Je tedy třeba přezkoumat, zda jsou v projednávaném případě splněny ostatní podmínky vzniku mimosmluvní odpovědnosti Komise týkající se újmy a příčinné souvislosti. 195 Žalobce tvrdí, že protiprávní předání jeho IP adresy podniku se sídlem ve Spojených státech mu způsobilo morální újmu spočívající ve ztrátě kontroly nad jeho údaji a ve zbavení jeho práv a svobod. 196 V tomto ohledu je třeba mít za to, že článek 65 nařízení 2018/1725 zakládá nárok na náhradu nejen majetkové újmy, ale i morální újmy utrpěné v důsledku porušení tohoto nařízení, aniž je třeba prokazovat jakoukoli míru závažnosti [v tomto smyslu a obdobně viz rozsudek ze dne 4. května 2023, Österreichische Post (Nehmotná újma související se zpracováním osobních údajů), C-300/21, EU:C:2023:370, body 45 a 51]. 197 V projednávané věci musí být morální újma uplatňovaná žalobcem považována za skutečnou a určitou ve smyslu judikatury připomenuté v bodě 54 výše, jelikož předání uvedené v bodě 188 výše, provedené v rozporu s článkem 46 nařízení 2018/1725, uvedlo žalobce do stavu nejistoty, pokud jde o zpracování jeho osobních údajů, zejména jeho IP adresy. 198 Kromě toho existuje dostatečně přímá příčinná souvislost ve smyslu judikatury připomenuté v bodě 55 výše mezi porušením článku 46 nařízení 2018/1725 ze strany Komise a morální újmou, kterou žalobce utrpěl. 199 Za okolností projednávané věci je třeba vyčíslit ex aequo et bono výši morální újmy způsobené Komisí na částku 400 eur. 200 V důsledku toho je třeba Komisi uložit, aby žalobci zaplatila částku 400 eur z titulu morální újmy utrpěné v důsledku sporného předání při připojení k EU Login dne 30. března 2022. K nákladům řízení 201 Podle čl. 134 odst. 3 jednacího řádu Tribunálu platí, že pokud měli účastníci řízení ve věci částečně úspěch i neúspěch, ponese každý z nich vlastní náklady řízení. Jeví-li se to však vzhledem k okolnostem v projednávané věci jako odůvodněné, může Tribunál rozhodnout, že účastník řízení ponese vlastní náklady řízení a nahradí část nákladů řízení vynaložených druhým účastníkem řízení. 202 V projednávané věci neměl žalobce úspěch, pokud jde o první a druhý bod návrhových žádání, jakož i část třetího bodu návrhových žádání. Třetímu bodu návrhových žádání však bylo částečně vyhověno a Komisi se ukládá náhrada újmy, kterou žalobce požadoval z titulu náhrady morální újmy, kterou utrpěl v důsledku sporného předání při připojení k EU Login dne 30. března 2022. Za těchto podmínek je třeba rozhodnout, že Komise ponese vlastní náklady řízení a nahradí polovinu nákladů řízení vynaložených žalobcem. Žalobce ponese polovinu vlastních nákladů řízení.
Poučení
Skutečnosti předcházející sporu a skutečnosti, které nastaly po podání žaloby Návrhová žádání účastníků řízení Právní otázky Úvodní úvahy k ochraně osobních údajů orgány, institucemi a jinými subjekty Unie K přípustnosti Přípustnost návrhových žádání znějících na zrušení Přípustnost návrhových žádání na určení nečinnosti K návrhovým žádáním směřujícím k náhradě újmy Úvodní poznámky k podmínkám vzniku mimosmluvní odpovědnosti Unie v rámci nařízení 2018/1725 K prvnímu návrhu na náhradu újmy, směřujícímu k náhradě morální újmy způsobené porušením práva na přístup k informacím Ke druhému návrhu na náhradu újmy, směřujícímu k náhradě morální újmy vyplývající ze sporných předání – Úvodní poznámky k ustanovením týkajícím se předávání osobních údajů do třetí země – K fungování služby Amazon CloudFront v rámci internetových stránek KBE – Sporné předání při návštěvě internetových stránek KBE dne 30. března 2022 – Sporné předání při návštěvách internetových stránek KBE dne 8. června 2022 – Sporné předání při připojení k EU Login dne 30. března 2022 K nákladům řízení
Citovaná rozhodnutí (0)
Žádné citované rozsudky.