Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CJ0687

Решение на Съда (трети състав) от 25 януари 2024 г.
BL срещу MediaMarktSaturn Hagen-Iserlohn GmbH.
Преюдициално запитване, отправено от Amtsgericht Hagen.
Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Тълкуване на членове 5, 24, 32 и 82 — Преценка на валидността на член 82 — Недопустимост на искането за преценка на валидността — Право на обезщетение за вредите, причинени от обработването на такива данни, извършено в нарушение на този регламент — Предаване на лични данни на трето лице, което няма право да разполага с тях, поради допусната от служители на администратора грешка — Преценка дали приложените от администратора мерки за защита са подходящи — Компенсаторна функция, изпълнявана от правото на обезщетение — Влияние на тежестта на нарушението — Необходимост да се докаже наличието на вреди, причинени от посоченото нарушение — Понятие „нематериални вреди.
Дело C-687/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2024:72

 РЕШЕНИЕ НА СЪДА (трети състав)

25 януари 2024 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Тълкуване на членове 5, 24, 32 и 82 — Преценка на валидността на член 82 — Недопустимост на искането за преценка на валидността — Право на обезщетение за вредите, причинени от обработването на такива данни, извършено в нарушение на този регламент — Предаване на лични данни на трето лице, което няма право да разполага с тях, поради допусната от служители на администратора грешка — Преценка дали приложените от администратора мерки за защита са подходящи — Компенсаторна функция, изпълнявана от правото на обезщетение — Влияние на тежестта на нарушението — Необходимост да се докаже наличието на вреди, причинени от посоченото нарушение — Понятие „нематериални вреди“

По дело C‑687/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Amtsgericht Hagen (Районен съд Хаген, Германия) с акт от 11 октомври 2021 г., постъпил в Съда на 16 ноември 2021 г., в рамките на производство по дело

BL

срещу

MediaMarktSaturn Hagen-Iserlohn GmbH, с предишно наименование Saturn Electro-Handelsgesellschaft mbH Hagen,

СЪДЪТ (трети състав),

състоящ се от: K. Jürimäe, председател на състава, N. Piçarra, M. Safjan, N. Jääskinen (докладчик) и M. Gavalec, съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: A. Calot Escobar,

като взе предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

за BL, от D. Pudelko, Rechtsanwalt,

за MediaMarktSaturn Hagen-Iserlohn GmbH, с предишно наименование Saturn Electro-Handelsgesellschaft mbH Hagen, от B. Hackl, Rechtsanwalt,

за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce и M. Lane, в качеството на представители, подпомагани от D. Fennelly, BL,

за Европейския парламент, от O. Hrstková Šolcová и J.‑C. Puffer, в качеството на представители,

за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители,

като взе предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1

Преюдициалното запитване се отнася до тълкуването на член 2, параграф 1, член 4, точка 7, член 5, параграф 1, буква е), член 6, параграф 1, член 24, член 32, параграф 1, буква б) и параграф 2 и член 82 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“), както и до преценката валиден ли е посоченият член 82.

2

Запитването е отправено в рамките на спор между BL, физическо лице, и MediaMarktSaturn Hagen-Iserlohn GmbH, с предишно наименование Saturn Electro-Handelsgesellschaft mbH Hagen (наричано по-нататък „Saturn“), относно обезщетение за неимуществените вреди, които посоченото лице твърди, че е претърпяло в резултат на предаването на трето лице на някои негови лични данни поради грешка, допусната от служители на дружеството.

Правна уредба

3

Съображения 11, 74, 76, 83, 85 и 146 от ОРЗД гласят следното:

„(11)

Ефективната защита на личните данни в рамките на [Европейския с]ъюз[…] изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, […]

[…].

(74)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица.

[…]

(76)

Вероятността и тежестта на риска за правата и свободите на субекта на данни следва да се определят с оглед на естеството, обхвата, контекста и целта на обработването. Рискът следва да се оценява въз основа на обективна оценка, с която се определя дали операцията по обработването на данни води до риск или до висок риск.

[…]

(83)

С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.

[…]

(85)

Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. […].

[…]

(146)

Администраторът или обработващият лични данни следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава настоящия регламент. Администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. Това не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или правото на държава членка. Обработване на данни, което нарушава настоящия регламент, включва и обработване, което нарушава делегираните актове и актовете за изпълнение, приети в съответствие с настоящия регламент, и правото на държава членка, конкретизиращо правилата на настоящия регламент. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. […]“.

4

В глава I от Регламента, отнасяща се до „[о]бщи[те] разпоредби“, се съдържа член 2, озаглавен „Материален обхват“, който в параграф 1 предвижда:

„Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни“.

5

Член 4 от посочения регламент, озаглавен „Определения“, гласи:

„За целите на настоящия регламент:

1)

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]

[…]

7)

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…]

10)

„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват лични данни;

[…]

12)

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

[…]“.

6

Глава II от ОРЗД, озаглавена „Принципи“, включва членове 5—11.

7

Член 5 от Регламента, озаглавен „Принципи, свързани с обработването на лични данни“, предвижда:

„1.   „Личните данни са:

[…]

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2.   Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

8

Член 6 от посочения регламент, озаглавен „Законосъобразност на обработването“, определя в параграф 1 условията, които трябва да бъдат изпълнени, за да бъде обработването законосъобразно.

9

Глава IV от ОРЗД, озаглавена „Администратор и обработващ лични данни“, включва членове 24—43.

10

В глава IV, раздел 1, озаглавен „Общи задължения“, се съдържа член 24, озаглавен „Отговорност на администратора“, който в параграфи 1 и 2 гласи:

„1.   Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

2.   Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните“.

11

В раздел 2 от посочената глава IV, озаглавен „Сигурност на личните данни“, се съдържа член 32 от ОРЗД, озаглавен „Сигурност на обработването“, който в параграф 1, буква б) и параграф 2 предвижда:

„1.   Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, когато е целесъобразно:

[…]

б)

способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

[…]

2.   При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни“.

12

Глава VIII от ОРЗД, озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“, съдържа членове 77—84.

13

Съгласно член 82 от Регламента, озаглавен „Право на обезщетение и отговорност за причинени вреди“:

„1.   Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.   Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. […]

3.   Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

[…]“.

14

Член 83 от ОРЗД, озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, предвижда:

„1.   Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2.   […] Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

а)

естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б)

дали нарушението е извършено умишлено или по небрежност;

[…]

г)

степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

[…]

к)

всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3.   Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

[…]“.

15

Член 84 от Регламента, озаглавен „Санкции“, гласи в параграф 1:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

Спорът в главното производство и преюдициалните въпроси

16

Ищецът в главното производство отива в търговския обект на Saturn, където закупува домакински електроуред. За тази цел служител на дружеството изготвя договор за продажба и кредит. По този повод той въвежда в информационната система на Saturn някои лични данни на клиента, а именно неговите фамилно и собствено име, адрес, местопребиваване, име на работодателя, доходи и банкови данни.

17

Договорните документи, съдържащи тези лични данни, са разпечатани и подписани от двете страни. След това ищецът в главното производство ги занася на служителите на Saturn, работещи на мястото за отвеждане на стоката. Тогава друг клиент, който тихомълком е прередил ищеца в главното производство, получава по погрешка както поръчания от него уред, така и съответните документи, и си тръгва с тях.

18

Тъй като грешката е открита бързо, служител на Saturn успява да върне уреда и документите, след което ищецът в главното производство ги получава обратно, около 30 минути след предаването им на другия клиент. Предприятието е поискало да обезщети ищеца в главното производство за тази грешка, като му достави безплатно въпросния уред на домашния адрес, но заинтересованото лице е счело, че това обезщетение е недостатъчно.

19

Ищецът в главното производство предявява пред Amtsgericht Hagen (Районен съд Хаген, Германия) — запитващата юрисдикция по настоящото дело — иск, на основание по-специално на разпоредбите на ОРЗД, за обезщетение за неимуществените вреди, които твърди, че е претърпял поради допуснатата от служителите на Saturn грешка и произтичащите от това рискове, свързани със загуба на контрол върху личните му данни.

20

В своя защита Saturn възразява, от една страна, че не е имало нарушение на ОРЗД и че такова нарушение би било налице само ако надхвърли определен праг на значимост, който в случая не е достигнат. От друга страна, дружеството изтъква, че ищецът в главното производство не е претърпял никаква вреда, тъй като не било очевидно и дори не се твърди, че замесеното трето лице е злоупотребило с личните данни на заинтересованото лице.

21

Запитващата юрисдикция иска да установи, първо, валиден ли е член 82 от ОРЗД, тъй като според нея този член не е достатъчно прецизен по отношение на правните последици в случай на обезщетение за неимуществени вреди.

22

Второ, ако член 82 не бъде обявен за невалиден от Съда, запитващата юрисдикция иска да установи дали упражняването на предвиденото в него право на обезщетение предполага да се докаже наличието не само на нарушение на ОРЗД, но и на вреди, по-специално неимуществени, претърпени от лицето, което иска обезщетение.

23

Трето, запитващата юрисдикция иска да установи дали фактът, че разпечатани документи, съдържащи лични данни, са били предадени без разрешение на трето лице поради грешка, допусната от служители на администратора, е достатъчен сам по себе си, за да е налице нарушение на ОРЗД.

24

Четвърто, като счита, че „доказването на липсата на вина е в тежест на предприятието [ответник]“, запитващата юрисдикция иска да установи дали е достатъчно да се констатира наличието на подобно небрежно предаване на документи, за да се приеме, че е налице нарушение на ОРЗД, по-специално с оглед на задължението на администратора да приложи подходящи мерки, за да гарантира сигурността на обработваните данни съгласно членове 2, 5, 6 и 24 от този регламент.

25

Пето, запитващата юрисдикция иска да установи дали, дори когато, изглежда, третото лице, което няма право да разполага с въпросните лични данни, не се е запознало с тях, преди да върне документите, в които те се съдържат, може да се докаже наличието на „нематериални вреди“ по смисъла на член 82 от ОРЗД единствено въз основа на това, че субектът, чиито лични данни са били предадени по този начин, се опасява от възможността, която според запитващата юрисдикция не може да бъде изключена, в бъдеще данните да бъдат съобщени от третото лице на други лица или с тях да бъде злоупотребено.

26

Шесто, запитващата юрисдикция иска да установи евентуалното влияние — в исково производство за обезщетение за нематериални вреди по член 82 — на степента на тежест на извършеното нарушение при обстоятелства като тези по главното производство, като се има предвид, че според нея администраторът е можел да предприеме по-ефективни мерки за сигурност.

27

Накрая, седмо, запитващата юрисдикция иска да разбере каква е целта на обезщетението за неимуществени вреди, дължимо по силата на ОРЗД, като предполага, че последното би могло да има характера на глоба като глобата за нарушаване на договор.

28

При тези обстоятелства Amtsgericht Hagen (Районен съд Хаген) решава да спре производството и да отправи към Съда следните преюдициални въпроси:

„1)

Невалидна ли е нормата за обезщетение за причинени вреди в [ОРЗД] относно защитата на данните (а именно член 82 от регламента) поради неопределяне на правните последици при неимуществените вреди?

2)

Изисква ли правото да се получи обезщетение за вреди, освен незаконосъобразното съобщаване на подлежащи на защита лични данни на трето лице, което не е оправомощено да разполага с тях, да се установи наличието на неимуществени вреди?

3)

За да е налице нарушение на [ОРЗД], достатъчно ли е личните данни на субекта на данните (име, адрес, професия, доходи, работодател) да се предадат по погрешка на трето лице върху хартиен документ поради допуснато от служителите на предприятието невнимание при отпечатване на хартиен носител?

4)

Налице ли е незаконно по-нататъшно обработване чрез неволно (огласяване) на трето лице, когато посредством сътрудниците си предприятието по погрешка предава личните данни, които освен това са съхранени в компютърна система, в печатна форма на трето лице, което няма право да разполага с тях [член 2, параграф 1, член 5, параграф 1, буква е), член 6, параграф 1 и член 24 от [ОРЗД]?

5)

За да са налице нематериални вреди по смисъла на член 82 от [ОРЗД], достатъчно ли е третото лице, получило документа, съдържащ личните данни, да не се е запознало с тях преди документът, в който се съдържа тази информация, да бъде върнат, или за да са налице нематериални вреди по смисъла на член 82 от [ОРЗД], е достатъчно неудобството за тези, чиито лични данни са били неправомерно предадени, тъй като всяко неразрешено огласяване на лични данни крие възможността данните да бъдат предадени на неизвестен брой лица или с тях да бъде злоупотребено?

6)

Трябва ли нарушението да се счита за тежко, когато неволното предаване на трети лица може да бъде избегнато чрез по-добра проверка на сътрудниците в предприятието и/или чрез по-добра организация на сигурността на данните, като например отделното обработване на доставката на стоките и на документите, свързани със сключването на договора, и по-специално на финансовата документация, посредством отделни съпътстващи документи, или чрез изпращането им в рамките на предприятието на сътрудника, отговорен за доставката на стоката, без непосредственото участие на клиента, на когото са били предадени разпечатаните документи, включително разрешението да вземе стоката [член 32, параграф 1, буква б) и параграф 2 и член 4, точка 7 от [ОРЗД]?

7)

Следва ли под обезщетение за неимуществени вреди да се разбира налагането на глоба като глобата за нарушаване на договор?“.

По преюдициалните въпроси

По първия въпрос

29

С първия си въпрос запитващата юрисдикция иска да установи дали член 82 от ОРЗД е невалиден поради неопределяне на правните последици при обезщетяването на неимуществените вреди.

30

Европейският парламент твърди, че този въпрос е недопустим, тъй като запитващата юрисдикция не е спазила изискванията на член 94, буква в) от Процедурния правилник на Съда, макар да повдига особено сложна проблематика, а именно преценката валидна ли е разпоредба от правото на Съюза.

31

Съгласно член 94, буква в) от Процедурния правилник преюдициалното запитване трябва по-специално да съдържа, освен текста на отправените до Съда преюдициални въпроси, и изложение на причините, поради които запитващата юрисдикция има въпроси относно тълкуването или валидността на някои разпоредби от правото на Съюза.

32

В това отношение изложението на мотивите за преюдициалното запитване е наложително, за да може не само Съдът да даде полезни отговори, но и правителствата на държавите членки, както и другите заинтересовани страни да представят становища в съответствие с член 23 от Статута на Съда на Европейския съюз. По-конкретно, именно от гледна точка на изложените в акта за преюдициално запитване основания за невалидност Съдът трябва да провери валидността на разпоредба от правото на Съюза, така че, когато изобщо не са споменати точните причини, довели запитващата юрисдикция до съмнения в този смисъл, това води до недопустимост на въпросите относно посочената валидност (вж. в този смисъл решения от 15 юни 2017 г., T.KUP,C‑349/16, EU:C:2017:469, т. 1618, и от 22 юни 2023 г., Vitol,C‑268/22, EU:C:2023:508, т. 5255).

33

В настоящия случай обаче запитващата юрисдикция не е изложила никакви точни данни, които да позволят на Съда да провери валидността на член 82 от ОРЗД.

34

Следователно първият въпрос трябва да бъде обявен за недопустим.

По третия и четвъртия въпрос

35

С третия и четвъртия си въпрос, които следва да се разгледат заедно и на първо място, запитващата юрисдикция по същество иска да установи дали членове 5, 24, 32 и 82 от ОРЗД, разглеждани във връзка един с друг, трябва да се тълкуват в смисъл, че в исково производство за обезщетение по член 82 фактът, че служители на администратора по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, сам по себе си е достатъчен, за да се приеме, че приложените от въпросния администратор технически и организационни мерки не са „подходящи“ по смисъла на членове 24 и 32.

36

Член 24 от ОРЗД предвижда общо задължение за администратора на лични данни да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че посоченото обработване се извършва в съответствие с този регламент (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 24).

37

От своя страна член 32 от ОРЗД уточнява задълженията на администратора и евентуално на обработващия лични данни по отношение на сигурността на обработването. Така параграф 1 от този член гласи, че същите трябва да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с рисковете, свързани с посоченото обработване, ниво на сигурност, като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на съответното обработване. Също така параграф 2 от посочената разпоредба гласи, че при оценката на подходящото ниво на сигурност трябва да се вземат предвид по-специално рисковете, които са свързани с обработването, в частност от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до такива лични данни (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 26 и 27).

38

Така от текста на членове 24 и 32 от ОРЗД следва, че трябва конкретно да се преценява дали приложените от администратора мерки са подходящи, при отчитане на различните критерии, визирани в тези членове, и на нуждите от защита на данните, специфично присъщи на съответното обработване, както и на свързаните с него рискове, още повече че посоченият администратор трябва да е в състояние да докаже съответствието с този регламент на посочените мерки — възможност, от която ще бъде лишен, ако бъде приета необорима презумпция (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 3032).

39

Това буквално тълкуване се потвърждава от прочита на членове 24 и 32 във връзка с член 5, параграф 2 и член 82 от посочения регламент, разглеждани в светлината на съображения 74, 76 и 83 от него, от който следва по-специално, че администраторът е длъжен да ограничи рисковете от нарушение на сигурността на личните данни, а не да възпрепятства всяко нарушение на последните (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 3338).

40

Следователно Съдът е тълкувал членове 24 и 32 от ОРЗД в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32 (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 39).

41

В случая обстоятелството, че служители на администратора по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, може да разкрие, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на посочените членове 24 и 32. По-специално, подобно обстоятелство може да произтича от небрежност или недостатък в организацията на администратора, който не отчита конкретно рисковете, свързани с въпросното обработване на данни.

42

В това отношение е важно да се подчертае, че от прочита на членове 5, 24 и 32 от ОРЗД във връзка със съображение 74 от него следва, че при иск за обезщетение на основание член 82 от този регламент съответният администратор носи тежестта да докаже, че личните данни се обработват по начин, че да се гарантира подходящо ниво на сигурност на същите по смисъла на член 5, параграф 1, буква е) и член 32 от посочения регламент. Подобно разпределяне на доказателствената тежест е от естество не само да насърчи администраторите на тези данни да приемат изискваните от ОРЗД мерки за сигурност, но и да запази полезното действие на правото на обезщетение, предвидено в член 82 от този регламент, и да спази намеренията на законодателя на Съюза, посочени в съображение 11 от него (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 4956).

43

При това положение Съдът е тълкувал принципа на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от ОРЗД, в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 57).

44

Съответно юрисдикция, сезирана с такъв иск за обезщетение за вреди по член 82 от ОРЗД, не може да вземе предвид единствено обстоятелството, че служители на администратора по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, за да установи дали е налице нарушение на предвидено в този регламент задължение. Всъщност тази юрисдикция трябва да вземе предвид и всички доказателства, които администраторът е представил, за да докаже, че техническите и организационните мерки, които той е приел, за да изпълни задълженията си по членове 24 и 32 от посочения регламент, са подходящи.

45

Предвид гореизложените мотиви на третия и четвъртия въпрос следва да се отговори, че членове 5, 24, 32 и 82 от ОРЗД, разглеждани във връзка един с друг, трябва да се тълкуват в смисъл, че в исково производство за обезщетение по член 82 фактът, че служители на администратора на лични данни по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, сам по себе си не е достатъчен, за да се приеме, че приложените от въпросния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32.

По седмия въпрос

46

Със седмия си въпрос запитващата юрисдикция по същество иска да установи дали член 82 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение, по-специално в случай на неимуществени вреди, изпълнява наказателна функция.

47

В това отношение Съдът е постановил, че член 82 от ОРЗД има не наказателна, а компенсаторна функция, за разлика от други разпоредби на този регламент, които също се съдържат в глава VIII от него, а именно членове 83 и 84, които от своя страна имат предимно наказателна цел, тъй като позволяват налагането на административни наказания „глоба“ или „имуществена санкция“, както и на други санкции. Връзката между правилата, предвидени в посочения член 82, и тези, установени във въпросните членове 83 и 84, показва, че съществува разлика между тези две категории разпоредби, но и взаимно допълване от гледна точка на стимулите за спазване на ОРЗД, като се има предвид, че правото на всяко лице да иска обезщетение за вреди, засилва оперативния характер на предвидените в този регламент правила за защита и може да възпре повторното извършване на неправомерни действия (вж. в този смисъл решения от 4 май 2023 г.,Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 38 и 40, и от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 85).

48

Съдът е уточнил, че тъй като предвиденото в член 82, параграф 1 от ОРЗД право на обезщетение не изпълнява възпираща, нито дори наказателна функция, а има компенсаторна функция, тежестта на нарушението на този регламент, причинило съответните вреди, не може да повлияе върху размера на обезщетението, присъждано на основание на тази разпоредба, дори когато става въпрос не за материални, а за нематериални вреди, така че този размер не може да бъде определен на равнище, което надхвърля пълното обезщетение на вредите (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 86 и 87).

49

От изложеното по-горе следва, че не е необходимо произнасяне по поисканото от запитващата юрисдикция съпоставяне между целта на правото на обезщетение, закрепено в член 82, параграф 1, и наказателната функция на глобата за нарушаване на договор.

50

Ето защо на седмия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение, по-специално в случай на нематериални вреди, има компенсаторна функция, тъй като парично обезщетение на основание на посочената разпоредба трябва да позволява да се обезщети изцяло вредата, конкретно претърпяна от факта на нарушението на този регламент, а не наказателна функция.

По шестия въпрос

51

С шестия си въпрос запитващата юрисдикция по същество иска да установи дали член 82 от ОРЗД трябва да се тълкува в смисъл, че този член изисква, за целите на обезщетяването на вреди на основание на тази разпоредба, да бъде взета предвид степента на тежест на извършеното от администратора нарушение на този регламент.

52

В това отношение от член 82 от ОРЗД следва, че от една страна, ангажирането на отговорността на администратора е обусловено по-специално от неговата вина, която се презумира, освен ако последният докаже, че по никакъв начин не е отговорен за събитието, причинило вредите, и от друга страна, че посоченият член 82 не изисква при определянето на размера на обезщетението, присъдено за нематериални вреди на основание на тази разпоредба, да се вземе предвид степента на вината (решение от 21 декември 2023 г., Krankenversicherung Nordrhein EU, C‑667/21:C:2023:1022, т. 103).

53

Що се отнася до оценката на евентуално дължимото по силата на член 82 от ОРЗД обезщетение, тъй като този регламент не съдържа разпоредба с такъв предмет, за целите на тази оценка националните съдилища трябва да прилагат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 83 и 101, както и цитираната съдебна практика).

54

Освен това Съдът е уточнил, че с оглед на компенсаторната функция на правото на обезщетение, предвидено в член 82 от ОРЗД, тази разпоредба не изисква да бъде взета предвид степента на тежест на нарушението на този регламент, което се презумира, че е извършил администраторът при определянето на размера на обезщетението, присъдено за нематериални вреди на основание на посочената разпоредба, а изисква този размер да бъде определен така, че да компенсира изцяло конкретните вреди, понесени в резултат на нарушението на посочения регламент (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 8487 и 102, както и цитираната съдебна практика).

55

Предвид гореизложените мотиви на шестия въпрос следва да се отговори, че член 82 от ОРЗД трябва да се тълкува в смисъл, че този член не изисква степента на тежест на нарушението, което е извършил администраторът, да бъде взета предвид за целите на обезщетяването на вреди на основание на тази разпоредба.

По втория въпрос

56

С втория си въпрос запитващата юрисдикция по същество иска да установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че лицето, което иска обезщетение на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило имуществени или неимуществени вреди.

57

В това отношение следва да се припомни, че съгласно член 82, параграф 1 от ОРЗД „[в]сяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

58

От текста на тази разпоредба следва, че самото нарушение на ОРЗД не е достатъчно, за да се присъди право на обезщетение. Всъщност наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в този член 82, параграф 1, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32 и 42, от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 77, от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 14, и от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 82).

59

Що се отнася по-специално до нематериалните вреди, Съдът е постановил и че член 82, параграф 1 от ОРЗД не допуска национална разпоредба или практика, която поставя поправянето на „нематериални вреди“ по смисъла на тази разпоредба в зависимост от условието нанесените вреди на субекта на данните, както е определен в член 4, точка 1 от този регламент, да са достигнали определена степен на значимост (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 51; от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 78, и от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 16).

60

Съдът е уточнил, че лице, засегнато от нарушение на ОРЗД, което е имало отрицателни последици за него, е длъжно обаче да докаже, че тези последици представляват нематериални вреди по смисъла на член 82 от този регламент, тъй като самото нарушение на разпоредбите на последния не е достатъчно, за да се присъди право на обезщетение (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 42 и 50, от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 84, и от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 21 и 23).

61

Предвид гореизложените мотиви на втория въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че лицето, което иска обезщетение на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило имуществени или неимуществени вреди.

По петия въпрос

62

С петия си въпрос запитващата юрисдикция по същество иска да установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че когато документ, съдържащ лични данни, е предаден на трето лице, което няма право да разполага с тях и за което е установено, че не се е запознало с тях, „нематериални вреди“ по смисъла на тази разпоредба са налице само защото субектът на данни се опасява, че след това съобщаване — направило възможно изготвянето на копие от документа, преди той да бъде върнат — може в бъдеще данните му да бъдат разпространени или с тях да бъде злоупотребено.

63

Важно е да се уточни, че запитващата юрисдикция посочва, че в конкретния случай документът, съдържащи въпросните данни, е бил върнат на ищеца в главното производство около 30 минути след предаването на трето лице, което няма право да разполага с тях, и че то не се е запознало с тези данни, преди да върне документа, но ищецът изтъква, че въпросното предаване е дало възможност на третото лице да направи копия от документа, преди да го върне, и следователно то е породило у него опасение, свързано с риска в бъдеще с тези данни да бъде злоупотребено.

64

Предвид липсата на каквото и да било позоваване в член 82, параграф 1 от ОРЗД на националното право на държавите членки, понятието „нематериални вреди“ по смисъла на тази разпоредба трябва да получи самостоятелно и еднакво определение, специфично на правото на Съюза (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 30 и 44, и от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 15).

65

Съдът е постановил, че не само от текста на член 82, параграф 1 от ОРЗД — разглеждан в светлината на съображения 85 и 146 от този регламент, които изискват широко разбиране на понятието „нематериални вреди“ по смисъла на тази първа разпоредба — но и от целта, състояща се в това да се гарантира високо ниво на защита на физическите лица във връзка с обработването на лични данни, което се цели с посочения регламент, следва, че опасенията, които субект на данни изпитва вследствие на нарушение на същия регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериални вреди“ по смисъла на този член 82, параграф 1 (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 7986).

66

От друга страна, като се основава също така на буквални, систематични и телеологични съображения, Съдът е приел, че загубата на контрол върху личните данни за кратък период от време може да причини на субекта на данните „нематериални вреди“ по смисъла на член 82, параграф 1 от ОРЗД, пораждащи право на обезщетение, при условие че посоченият субект докаже, че действително е претърпял такава вреда, дори минимална, като следва да се припомни, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да възникне право на обезщетение на това основание (вж. в този смисъл решение от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 1823).

67

В случая следва също така да се отбележи, че в съответствие както с текста на член 82, параграф 1 от ОРЗД, така и с целта за защита, посочена в този регламент, e понятието „нематериални вреди“ да обхваща положение, при което субектът на данни има основателни опасения — които следва да се проверят от сезираната национална юрисдикция — че някои от неговите лични данни в бъдеще може да бъдат разпространени или с тях да бъде злоупотребено от трети лица, тъй като документ, съдържащ тези данни, е бил предаден на трето лице, което няма право да разполага с тях и което е получило възможност да направи копия от документа, преди да го върне.

68

Това обаче не променя факта, че ищецът по исково производство за обезщетение по член 82 от ОРЗД трябва да докаже наличието на такива вреди. В частност, чисто хипотетичният риск от злоупотреба с лични данни от страна на трето лице, което няма право да разполага с тях, не би могъл да е основание за поправяне на вредите. Такъв е случаят, когато нито едно трето лице не се е запознало с въпросните лични данни.

69

Ето защо на петия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че когато документ, съдържащ лични данни, е предаден на трето лице, което няма право да разполага с тях и за което е установено, че не се е запознало с тях, „нематериални вреди“ по смисъла на тази разпоредба не са налице само защото субектът на данни се опасява, че след това съобщаване — направило възможно изготвянето на копие от документа, преди той да бъде върнат — в бъдеще данните му може да бъдат разпространени или с тях да бъде злоупотребено.

По съдебните разноски

70

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

 

По изложените съображения Съдът (трети състав) реши:

 

1)

Членове 5, 24, 32 и 82 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), разглеждани във връзка един с друг,

трябва да се тълкуват в смисъл, че

в исково производство за обезщетение по член 82 фактът, че служители на администратора на лични данни по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, сам по себе си не е достатъчен, за да се приеме, че приложените от въпросния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32.

 

2)

Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

предвиденото в тази разпоредба право на обезщетение, по-специално в случай на нематериални вреди, има компенсаторна функция, тъй като парично обезщетение на основание на посочената разпоредба трябва да позволява да се обезщети изцяло вредата, конкретно претърпяна от факта на нарушението на този регламент, а не наказателна функция.

 

3)

Член 82 от Регламент 2016/679

трябва да се тълкува в смисъл, че

този член не изисква степента на тежест на извършеното от администратора нарушение да бъде взета предвид за целите на обезщетяването на вреди на основание на тази разпоредба.

 

4)

Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

лицето, което иска обезщетение на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило имуществени или неимуществени вреди.

 

5)

Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

когато документ, съдържащ лични данни, е предаден на трето лице, което няма право да разполага с тях и за което е установено, че не се е запознало с тях, „нематериални вреди“ по смисъла на тази разпоредба не са налице само защото субектът на данни се опасява, че след това съобщаване — направило възможно изготвянето на копие от документа, преди той да бъде върнат — в бъдеще данните му може да бъдат разпространени или с тях да бъде злоупотребено.

 

Подписи


( *1 ) Език на производството: немски.

Top