This document is an excerpt from the EUR-Lex website
Document 62021CJ0687
Judgment of the Court (Third Chamber) of 25 January 2024.#BL v MediaMarktSaturn Hagen-Iserlohn GmbH.#Request for a preliminary ruling from the Amtsgericht Hagen.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Interpretation of Articles 5, 24, 32 and 82 – Assessment of the validity of Article 82 – Inadmissibility of the request for an assessment of validity – Right to compensation for damage caused by data processing which infringes that regulation – Transmission of data to an unauthorised third party on account of an error made by the employees of the controller – Assessment of the appropriateness of the protective measures implemented by the controller – Compensatory function fulfilled by the right to compensation – Effect of the severity of the infringement – Whether necessary to establish the existence of damage caused by that infringement – Concept of ‘non-material damage’.#Case C-687/21.
Решение на Съда (трети състав) от 25 януари 2024 г.
BL срещу MediaMarktSaturn Hagen-Iserlohn GmbH.
Преюдициално запитване, отправено от Amtsgericht Hagen.
Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Тълкуване на членове 5, 24, 32 и 82 — Преценка на валидността на член 82 — Недопустимост на искането за преценка на валидността — Право на обезщетение за вредите, причинени от обработването на такива данни, извършено в нарушение на този регламент — Предаване на лични данни на трето лице, което няма право да разполага с тях, поради допусната от служители на администратора грешка — Преценка дали приложените от администратора мерки за защита са подходящи — Компенсаторна функция, изпълнявана от правото на обезщетение — Влияние на тежестта на нарушението — Необходимост да се докаже наличието на вреди, причинени от посоченото нарушение — Понятие „нематериални вреди.
Дело C-687/21.
Решение на Съда (трети състав) от 25 януари 2024 г.
BL срещу MediaMarktSaturn Hagen-Iserlohn GmbH.
Преюдициално запитване, отправено от Amtsgericht Hagen.
Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Тълкуване на членове 5, 24, 32 и 82 — Преценка на валидността на член 82 — Недопустимост на искането за преценка на валидността — Право на обезщетение за вредите, причинени от обработването на такива данни, извършено в нарушение на този регламент — Предаване на лични данни на трето лице, което няма право да разполага с тях, поради допусната от служители на администратора грешка — Преценка дали приложените от администратора мерки за защита са подходящи — Компенсаторна функция, изпълнявана от правото на обезщетение — Влияние на тежестта на нарушението — Необходимост да се докаже наличието на вреди, причинени от посоченото нарушение — Понятие „нематериални вреди.
Дело C-687/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:72
РЕШЕНИЕ НА СЪДА (трети състав)
25 януари 2024 година ( *1 )
„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Тълкуване на членове 5, 24, 32 и 82 — Преценка на валидността на член 82 — Недопустимост на искането за преценка на валидността — Право на обезщетение за вредите, причинени от обработването на такива данни, извършено в нарушение на този регламент — Предаване на лични данни на трето лице, което няма право да разполага с тях, поради допусната от служители на администратора грешка — Преценка дали приложените от администратора мерки за защита са подходящи — Компенсаторна функция, изпълнявана от правото на обезщетение — Влияние на тежестта на нарушението — Необходимост да се докаже наличието на вреди, причинени от посоченото нарушение — Понятие „нематериални вреди“
По дело C‑687/21
с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Amtsgericht Hagen (Районен съд Хаген, Германия) с акт от 11 октомври 2021 г., постъпил в Съда на 16 ноември 2021 г., в рамките на производство по дело
BL
срещу
MediaMarktSaturn Hagen-Iserlohn GmbH, с предишно наименование Saturn Electro-Handelsgesellschaft mbH Hagen,
СЪДЪТ (трети състав),
състоящ се от: K. Jürimäe, председател на състава, N. Piçarra, M. Safjan, N. Jääskinen (докладчик) и M. Gavalec, съдии,
генерален адвокат: M. Campos Sánchez-Bordona,
секретар: A. Calot Escobar,
като взе предвид изложеното в писмената фаза на производството,
като има предвид становищата, представени:
– |
за BL, от D. Pudelko, Rechtsanwalt, |
– |
за MediaMarktSaturn Hagen-Iserlohn GmbH, с предишно наименование Saturn Electro-Handelsgesellschaft mbH Hagen, от B. Hackl, Rechtsanwalt, |
– |
за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce и M. Lane, в качеството на представители, подпомагани от D. Fennelly, BL, |
– |
за Европейския парламент, от O. Hrstková Šolcová и J.‑C. Puffer, в качеството на представители, |
– |
за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители, |
като взе предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,
постанови настоящото
Решение
1 |
Преюдициалното запитване се отнася до тълкуването на член 2, параграф 1, член 4, точка 7, член 5, параграф 1, буква е), член 6, параграф 1, член 24, член 32, параграф 1, буква б) и параграф 2 и член 82 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“), както и до преценката валиден ли е посоченият член 82. |
2 |
Запитването е отправено в рамките на спор между BL, физическо лице, и MediaMarktSaturn Hagen-Iserlohn GmbH, с предишно наименование Saturn Electro-Handelsgesellschaft mbH Hagen (наричано по-нататък „Saturn“), относно обезщетение за неимуществените вреди, които посоченото лице твърди, че е претърпяло в резултат на предаването на трето лице на някои негови лични данни поради грешка, допусната от служители на дружеството. |
Правна уредба
3 |
Съображения 11, 74, 76, 83, 85 и 146 от ОРЗД гласят следното:
[…].
[…]
[…]
[…]
[…]
|
4 |
В глава I от Регламента, отнасяща се до „[о]бщи[те] разпоредби“, се съдържа член 2, озаглавен „Материален обхват“, който в параграф 1 предвижда: „Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни“. |
5 |
Член 4 от посочения регламент, озаглавен „Определения“, гласи: „За целите на настоящия регламент:
[…]
[…]
[…]
[…]“. |
6 |
Глава II от ОРЗД, озаглавена „Принципи“, включва членове 5—11. |
7 |
Член 5 от Регламента, озаглавен „Принципи, свързани с обработването на лични данни“, предвижда: „1. „Личните данни са: […]
2. Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“. |
8 |
Член 6 от посочения регламент, озаглавен „Законосъобразност на обработването“, определя в параграф 1 условията, които трябва да бъдат изпълнени, за да бъде обработването законосъобразно. |
9 |
Глава IV от ОРЗД, озаглавена „Администратор и обработващ лични данни“, включва членове 24—43. |
10 |
В глава IV, раздел 1, озаглавен „Общи задължения“, се съдържа член 24, озаглавен „Отговорност на администратора“, който в параграфи 1 и 2 гласи: „1. Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират. 2. Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните“. |
11 |
В раздел 2 от посочената глава IV, озаглавен „Сигурност на личните данни“, се съдържа член 32 от ОРЗД, озаглавен „Сигурност на обработването“, който в параграф 1, буква б) и параграф 2 предвижда: „1. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, когато е целесъобразно: […]
[…] 2. При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни“. |
12 |
Глава VIII от ОРЗД, озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“, съдържа членове 77—84. |
13 |
Съгласно член 82 от Регламента, озаглавен „Право на обезщетение и отговорност за причинени вреди“: „1. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. 2. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. […] 3. Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата. […]“. |
14 |
Член 83 от ОРЗД, озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, предвижда: „1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи. 2. […] Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:
[…]
[…]
3. Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение. […]“. |
15 |
Член 84 от Регламента, озаглавен „Санкции“, гласи в параграф 1: „Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“. |
Спорът в главното производство и преюдициалните въпроси
16 |
Ищецът в главното производство отива в търговския обект на Saturn, където закупува домакински електроуред. За тази цел служител на дружеството изготвя договор за продажба и кредит. По този повод той въвежда в информационната система на Saturn някои лични данни на клиента, а именно неговите фамилно и собствено име, адрес, местопребиваване, име на работодателя, доходи и банкови данни. |
17 |
Договорните документи, съдържащи тези лични данни, са разпечатани и подписани от двете страни. След това ищецът в главното производство ги занася на служителите на Saturn, работещи на мястото за отвеждане на стоката. Тогава друг клиент, който тихомълком е прередил ищеца в главното производство, получава по погрешка както поръчания от него уред, така и съответните документи, и си тръгва с тях. |
18 |
Тъй като грешката е открита бързо, служител на Saturn успява да върне уреда и документите, след което ищецът в главното производство ги получава обратно, около 30 минути след предаването им на другия клиент. Предприятието е поискало да обезщети ищеца в главното производство за тази грешка, като му достави безплатно въпросния уред на домашния адрес, но заинтересованото лице е счело, че това обезщетение е недостатъчно. |
19 |
Ищецът в главното производство предявява пред Amtsgericht Hagen (Районен съд Хаген, Германия) — запитващата юрисдикция по настоящото дело — иск, на основание по-специално на разпоредбите на ОРЗД, за обезщетение за неимуществените вреди, които твърди, че е претърпял поради допуснатата от служителите на Saturn грешка и произтичащите от това рискове, свързани със загуба на контрол върху личните му данни. |
20 |
В своя защита Saturn възразява, от една страна, че не е имало нарушение на ОРЗД и че такова нарушение би било налице само ако надхвърли определен праг на значимост, който в случая не е достигнат. От друга страна, дружеството изтъква, че ищецът в главното производство не е претърпял никаква вреда, тъй като не било очевидно и дори не се твърди, че замесеното трето лице е злоупотребило с личните данни на заинтересованото лице. |
21 |
Запитващата юрисдикция иска да установи, първо, валиден ли е член 82 от ОРЗД, тъй като според нея този член не е достатъчно прецизен по отношение на правните последици в случай на обезщетение за неимуществени вреди. |
22 |
Второ, ако член 82 не бъде обявен за невалиден от Съда, запитващата юрисдикция иска да установи дали упражняването на предвиденото в него право на обезщетение предполага да се докаже наличието не само на нарушение на ОРЗД, но и на вреди, по-специално неимуществени, претърпени от лицето, което иска обезщетение. |
23 |
Трето, запитващата юрисдикция иска да установи дали фактът, че разпечатани документи, съдържащи лични данни, са били предадени без разрешение на трето лице поради грешка, допусната от служители на администратора, е достатъчен сам по себе си, за да е налице нарушение на ОРЗД. |
24 |
Четвърто, като счита, че „доказването на липсата на вина е в тежест на предприятието [ответник]“, запитващата юрисдикция иска да установи дали е достатъчно да се констатира наличието на подобно небрежно предаване на документи, за да се приеме, че е налице нарушение на ОРЗД, по-специално с оглед на задължението на администратора да приложи подходящи мерки, за да гарантира сигурността на обработваните данни съгласно членове 2, 5, 6 и 24 от този регламент. |
25 |
Пето, запитващата юрисдикция иска да установи дали, дори когато, изглежда, третото лице, което няма право да разполага с въпросните лични данни, не се е запознало с тях, преди да върне документите, в които те се съдържат, може да се докаже наличието на „нематериални вреди“ по смисъла на член 82 от ОРЗД единствено въз основа на това, че субектът, чиито лични данни са били предадени по този начин, се опасява от възможността, която според запитващата юрисдикция не може да бъде изключена, в бъдеще данните да бъдат съобщени от третото лице на други лица или с тях да бъде злоупотребено. |
26 |
Шесто, запитващата юрисдикция иска да установи евентуалното влияние — в исково производство за обезщетение за нематериални вреди по член 82 — на степента на тежест на извършеното нарушение при обстоятелства като тези по главното производство, като се има предвид, че според нея администраторът е можел да предприеме по-ефективни мерки за сигурност. |
27 |
Накрая, седмо, запитващата юрисдикция иска да разбере каква е целта на обезщетението за неимуществени вреди, дължимо по силата на ОРЗД, като предполага, че последното би могло да има характера на глоба като глобата за нарушаване на договор. |
28 |
При тези обстоятелства Amtsgericht Hagen (Районен съд Хаген) решава да спре производството и да отправи към Съда следните преюдициални въпроси:
|
По преюдициалните въпроси
По първия въпрос
29 |
С първия си въпрос запитващата юрисдикция иска да установи дали член 82 от ОРЗД е невалиден поради неопределяне на правните последици при обезщетяването на неимуществените вреди. |
30 |
Европейският парламент твърди, че този въпрос е недопустим, тъй като запитващата юрисдикция не е спазила изискванията на член 94, буква в) от Процедурния правилник на Съда, макар да повдига особено сложна проблематика, а именно преценката валидна ли е разпоредба от правото на Съюза. |
31 |
Съгласно член 94, буква в) от Процедурния правилник преюдициалното запитване трябва по-специално да съдържа, освен текста на отправените до Съда преюдициални въпроси, и изложение на причините, поради които запитващата юрисдикция има въпроси относно тълкуването или валидността на някои разпоредби от правото на Съюза. |
32 |
В това отношение изложението на мотивите за преюдициалното запитване е наложително, за да може не само Съдът да даде полезни отговори, но и правителствата на държавите членки, както и другите заинтересовани страни да представят становища в съответствие с член 23 от Статута на Съда на Европейския съюз. По-конкретно, именно от гледна точка на изложените в акта за преюдициално запитване основания за невалидност Съдът трябва да провери валидността на разпоредба от правото на Съюза, така че, когато изобщо не са споменати точните причини, довели запитващата юрисдикция до съмнения в този смисъл, това води до недопустимост на въпросите относно посочената валидност (вж. в този смисъл решения от 15 юни 2017 г., T.KUP,C‑349/16, EU:C:2017:469, т. 16—18, и от 22 юни 2023 г., Vitol,C‑268/22, EU:C:2023:508, т. 52—55). |
33 |
В настоящия случай обаче запитващата юрисдикция не е изложила никакви точни данни, които да позволят на Съда да провери валидността на член 82 от ОРЗД. |
34 |
Следователно първият въпрос трябва да бъде обявен за недопустим. |
По третия и четвъртия въпрос
35 |
С третия и четвъртия си въпрос, които следва да се разгледат заедно и на първо място, запитващата юрисдикция по същество иска да установи дали членове 5, 24, 32 и 82 от ОРЗД, разглеждани във връзка един с друг, трябва да се тълкуват в смисъл, че в исково производство за обезщетение по член 82 фактът, че служители на администратора по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, сам по себе си е достатъчен, за да се приеме, че приложените от въпросния администратор технически и организационни мерки не са „подходящи“ по смисъла на членове 24 и 32. |
36 |
Член 24 от ОРЗД предвижда общо задължение за администратора на лични данни да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че посоченото обработване се извършва в съответствие с този регламент (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 24). |
37 |
От своя страна член 32 от ОРЗД уточнява задълженията на администратора и евентуално на обработващия лични данни по отношение на сигурността на обработването. Така параграф 1 от този член гласи, че същите трябва да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с рисковете, свързани с посоченото обработване, ниво на сигурност, като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на съответното обработване. Също така параграф 2 от посочената разпоредба гласи, че при оценката на подходящото ниво на сигурност трябва да се вземат предвид по-специално рисковете, които са свързани с обработването, в частност от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до такива лични данни (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 26 и 27). |
38 |
Така от текста на членове 24 и 32 от ОРЗД следва, че трябва конкретно да се преценява дали приложените от администратора мерки са подходящи, при отчитане на различните критерии, визирани в тези членове, и на нуждите от защита на данните, специфично присъщи на съответното обработване, както и на свързаните с него рискове, още повече че посоченият администратор трябва да е в състояние да докаже съответствието с този регламент на посочените мерки — възможност, от която ще бъде лишен, ако бъде приета необорима презумпция (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 30—32). |
39 |
Това буквално тълкуване се потвърждава от прочита на членове 24 и 32 във връзка с член 5, параграф 2 и член 82 от посочения регламент, разглеждани в светлината на съображения 74, 76 и 83 от него, от който следва по-специално, че администраторът е длъжен да ограничи рисковете от нарушение на сигурността на личните данни, а не да възпрепятства всяко нарушение на последните (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 33—38). |
40 |
Следователно Съдът е тълкувал членове 24 и 32 от ОРЗД в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32 (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 39). |
41 |
В случая обстоятелството, че служители на администратора по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, може да разкрие, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на посочените членове 24 и 32. По-специално, подобно обстоятелство може да произтича от небрежност или недостатък в организацията на администратора, който не отчита конкретно рисковете, свързани с въпросното обработване на данни. |
42 |
В това отношение е важно да се подчертае, че от прочита на членове 5, 24 и 32 от ОРЗД във връзка със съображение 74 от него следва, че при иск за обезщетение на основание член 82 от този регламент съответният администратор носи тежестта да докаже, че личните данни се обработват по начин, че да се гарантира подходящо ниво на сигурност на същите по смисъла на член 5, параграф 1, буква е) и член 32 от посочения регламент. Подобно разпределяне на доказателствената тежест е от естество не само да насърчи администраторите на тези данни да приемат изискваните от ОРЗД мерки за сигурност, но и да запази полезното действие на правото на обезщетение, предвидено в член 82 от този регламент, и да спази намеренията на законодателя на Съюза, посочени в съображение 11 от него (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 49—56). |
43 |
При това положение Съдът е тълкувал принципа на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от ОРЗД, в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи (решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 57). |
44 |
Съответно юрисдикция, сезирана с такъв иск за обезщетение за вреди по член 82 от ОРЗД, не може да вземе предвид единствено обстоятелството, че служители на администратора по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, за да установи дали е налице нарушение на предвидено в този регламент задължение. Всъщност тази юрисдикция трябва да вземе предвид и всички доказателства, които администраторът е представил, за да докаже, че техническите и организационните мерки, които той е приел, за да изпълни задълженията си по членове 24 и 32 от посочения регламент, са подходящи. |
45 |
Предвид гореизложените мотиви на третия и четвъртия въпрос следва да се отговори, че членове 5, 24, 32 и 82 от ОРЗД, разглеждани във връзка един с друг, трябва да се тълкуват в смисъл, че в исково производство за обезщетение по член 82 фактът, че служители на администратора на лични данни по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, сам по себе си не е достатъчен, за да се приеме, че приложените от въпросния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32. |
По седмия въпрос
46 |
Със седмия си въпрос запитващата юрисдикция по същество иска да установи дали член 82 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение, по-специално в случай на неимуществени вреди, изпълнява наказателна функция. |
47 |
В това отношение Съдът е постановил, че член 82 от ОРЗД има не наказателна, а компенсаторна функция, за разлика от други разпоредби на този регламент, които също се съдържат в глава VIII от него, а именно членове 83 и 84, които от своя страна имат предимно наказателна цел, тъй като позволяват налагането на административни наказания „глоба“ или „имуществена санкция“, както и на други санкции. Връзката между правилата, предвидени в посочения член 82, и тези, установени във въпросните членове 83 и 84, показва, че съществува разлика между тези две категории разпоредби, но и взаимно допълване от гледна точка на стимулите за спазване на ОРЗД, като се има предвид, че правото на всяко лице да иска обезщетение за вреди, засилва оперативния характер на предвидените в този регламент правила за защита и може да възпре повторното извършване на неправомерни действия (вж. в този смисъл решения от 4 май 2023 г.,Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 38 и 40, и от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 85). |
48 |
Съдът е уточнил, че тъй като предвиденото в член 82, параграф 1 от ОРЗД право на обезщетение не изпълнява възпираща, нито дори наказателна функция, а има компенсаторна функция, тежестта на нарушението на този регламент, причинило съответните вреди, не може да повлияе върху размера на обезщетението, присъждано на основание на тази разпоредба, дори когато става въпрос не за материални, а за нематериални вреди, така че този размер не може да бъде определен на равнище, което надхвърля пълното обезщетение на вредите (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 86 и 87). |
49 |
От изложеното по-горе следва, че не е необходимо произнасяне по поисканото от запитващата юрисдикция съпоставяне между целта на правото на обезщетение, закрепено в член 82, параграф 1, и наказателната функция на глобата за нарушаване на договор. |
50 |
Ето защо на седмия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение, по-специално в случай на нематериални вреди, има компенсаторна функция, тъй като парично обезщетение на основание на посочената разпоредба трябва да позволява да се обезщети изцяло вредата, конкретно претърпяна от факта на нарушението на този регламент, а не наказателна функция. |
По шестия въпрос
51 |
С шестия си въпрос запитващата юрисдикция по същество иска да установи дали член 82 от ОРЗД трябва да се тълкува в смисъл, че този член изисква, за целите на обезщетяването на вреди на основание на тази разпоредба, да бъде взета предвид степента на тежест на извършеното от администратора нарушение на този регламент. |
52 |
В това отношение от член 82 от ОРЗД следва, че от една страна, ангажирането на отговорността на администратора е обусловено по-специално от неговата вина, която се презумира, освен ако последният докаже, че по никакъв начин не е отговорен за събитието, причинило вредите, и от друга страна, че посоченият член 82 не изисква при определянето на размера на обезщетението, присъдено за нематериални вреди на основание на тази разпоредба, да се вземе предвид степента на вината (решение от 21 декември 2023 г., Krankenversicherung Nordrhein EU, C‑667/21:C:2023:1022, т. 103). |
53 |
Що се отнася до оценката на евентуално дължимото по силата на член 82 от ОРЗД обезщетение, тъй като този регламент не съдържа разпоредба с такъв предмет, за целите на тази оценка националните съдилища трябва да прилагат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 83 и 101, както и цитираната съдебна практика). |
54 |
Освен това Съдът е уточнил, че с оглед на компенсаторната функция на правото на обезщетение, предвидено в член 82 от ОРЗД, тази разпоредба не изисква да бъде взета предвид степента на тежест на нарушението на този регламент, което се презумира, че е извършил администраторът при определянето на размера на обезщетението, присъдено за нематериални вреди на основание на посочената разпоредба, а изисква този размер да бъде определен така, че да компенсира изцяло конкретните вреди, понесени в резултат на нарушението на посочения регламент (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 84—87 и 102, както и цитираната съдебна практика). |
55 |
Предвид гореизложените мотиви на шестия въпрос следва да се отговори, че член 82 от ОРЗД трябва да се тълкува в смисъл, че този член не изисква степента на тежест на нарушението, което е извършил администраторът, да бъде взета предвид за целите на обезщетяването на вреди на основание на тази разпоредба. |
По втория въпрос
56 |
С втория си въпрос запитващата юрисдикция по същество иска да установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че лицето, което иска обезщетение на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило имуществени или неимуществени вреди. |
57 |
В това отношение следва да се припомни, че съгласно член 82, параграф 1 от ОРЗД „[в]сяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“. |
58 |
От текста на тази разпоредба следва, че самото нарушение на ОРЗД не е достатъчно, за да се присъди право на обезщетение. Всъщност наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в този член 82, параграф 1, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32 и 42, от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 77, от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 14, и от 21 декември 2023 г., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, т. 82). |
59 |
Що се отнася по-специално до нематериалните вреди, Съдът е постановил и че член 82, параграф 1 от ОРЗД не допуска национална разпоредба или практика, която поставя поправянето на „нематериални вреди“ по смисъла на тази разпоредба в зависимост от условието нанесените вреди на субекта на данните, както е определен в член 4, точка 1 от този регламент, да са достигнали определена степен на значимост (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 51; от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 78, и от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 16). |
60 |
Съдът е уточнил, че лице, засегнато от нарушение на ОРЗД, което е имало отрицателни последици за него, е длъжно обаче да докаже, че тези последици представляват нематериални вреди по смисъла на член 82 от този регламент, тъй като самото нарушение на разпоредбите на последния не е достатъчно, за да се присъди право на обезщетение (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 42 и 50, от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 84, и от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 21 и 23). |
61 |
Предвид гореизложените мотиви на втория въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че лицето, което иска обезщетение на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило имуществени или неимуществени вреди. |
По петия въпрос
62 |
С петия си въпрос запитващата юрисдикция по същество иска да установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че когато документ, съдържащ лични данни, е предаден на трето лице, което няма право да разполага с тях и за което е установено, че не се е запознало с тях, „нематериални вреди“ по смисъла на тази разпоредба са налице само защото субектът на данни се опасява, че след това съобщаване — направило възможно изготвянето на копие от документа, преди той да бъде върнат — може в бъдеще данните му да бъдат разпространени или с тях да бъде злоупотребено. |
63 |
Важно е да се уточни, че запитващата юрисдикция посочва, че в конкретния случай документът, съдържащи въпросните данни, е бил върнат на ищеца в главното производство около 30 минути след предаването на трето лице, което няма право да разполага с тях, и че то не се е запознало с тези данни, преди да върне документа, но ищецът изтъква, че въпросното предаване е дало възможност на третото лице да направи копия от документа, преди да го върне, и следователно то е породило у него опасение, свързано с риска в бъдеще с тези данни да бъде злоупотребено. |
64 |
Предвид липсата на каквото и да било позоваване в член 82, параграф 1 от ОРЗД на националното право на държавите членки, понятието „нематериални вреди“ по смисъла на тази разпоредба трябва да получи самостоятелно и еднакво определение, специфично на правото на Съюза (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 30 и 44, и от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 15). |
65 |
Съдът е постановил, че не само от текста на член 82, параграф 1 от ОРЗД — разглеждан в светлината на съображения 85 и 146 от този регламент, които изискват широко разбиране на понятието „нематериални вреди“ по смисъла на тази първа разпоредба — но и от целта, състояща се в това да се гарантира високо ниво на защита на физическите лица във връзка с обработването на лични данни, което се цели с посочения регламент, следва, че опасенията, които субект на данни изпитва вследствие на нарушение на същия регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериални вреди“ по смисъла на този член 82, параграф 1 (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 79—86). |
66 |
От друга страна, като се основава също така на буквални, систематични и телеологични съображения, Съдът е приел, че загубата на контрол върху личните данни за кратък период от време може да причини на субекта на данните „нематериални вреди“ по смисъла на член 82, параграф 1 от ОРЗД, пораждащи право на обезщетение, при условие че посоченият субект докаже, че действително е претърпял такава вреда, дори минимална, като следва да се припомни, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да възникне право на обезщетение на това основание (вж. в този смисъл решение от 14 декември 2023 г., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, т. 18—23). |
67 |
В случая следва също така да се отбележи, че в съответствие както с текста на член 82, параграф 1 от ОРЗД, така и с целта за защита, посочена в този регламент, e понятието „нематериални вреди“ да обхваща положение, при което субектът на данни има основателни опасения — които следва да се проверят от сезираната национална юрисдикция — че някои от неговите лични данни в бъдеще може да бъдат разпространени или с тях да бъде злоупотребено от трети лица, тъй като документ, съдържащ тези данни, е бил предаден на трето лице, което няма право да разполага с тях и което е получило възможност да направи копия от документа, преди да го върне. |
68 |
Това обаче не променя факта, че ищецът по исково производство за обезщетение по член 82 от ОРЗД трябва да докаже наличието на такива вреди. В частност, чисто хипотетичният риск от злоупотреба с лични данни от страна на трето лице, което няма право да разполага с тях, не би могъл да е основание за поправяне на вредите. Такъв е случаят, когато нито едно трето лице не се е запознало с въпросните лични данни. |
69 |
Ето защо на петия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че когато документ, съдържащ лични данни, е предаден на трето лице, което няма право да разполага с тях и за което е установено, че не се е запознало с тях, „нематериални вреди“ по смисъла на тази разпоредба не са налице само защото субектът на данни се опасява, че след това съобщаване — направило възможно изготвянето на копие от документа, преди той да бъде върнат — в бъдеще данните му може да бъдат разпространени или с тях да бъде злоупотребено. |
По съдебните разноски
70 |
С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване. |
По изложените съображения Съдът (трети състав) реши: |
|
|
|
|
|
Подписи |
( *1 ) Език на производството: немски.