Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62022CJ0590

Решение на Съда (трети състав) от 20 юни 2024 г.
AT и BT срещу PS GbR и др.
Преюдициално запитване, отправено от Amtsgericht Wesel.
Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 82, параграф 1 — Право на обезщетение за вредите, причинени от обработване на данни, което е извършено в нарушение на този регламент — Понятието „нематериални вреди“– Значение на тежестта на нанесените вреди — Изчисляване на размера на обезщетението — Искане на обезщетение на нематериални вреди въз основа на опасения — Неприложимост на критериите, предвидени за административните наказания „глоба“ или „имуществена санкция“ по член 83 — Възпираща функция — Изчисляване в случай на едновременно нарушаване на посочения регламент и на националното право.
Дело C-590/22.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2024:536

Неокончателна редакция

РЕШЕНИЕ НА СЪДА (трети състав)

20 юни 2024 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 82, параграф 1 — Право на обезщетение за вредите, причинени от обработване на данни, което е извършено в нарушение на този регламент — Понятието „нематериални вреди“– Значение на тежестта на нанесените вреди — Изчисляване на размера на обезщетението — Искане на обезщетение на нематериални вреди въз основа на опасения — Неприложимост на критериите, предвидени за административните наказания „глоба“ или „имуществена санкция“ по член 83 — Възпираща функция — Изчисляване в случай на едновременно нарушаване на посочения регламент и на националното право“

По дело C‑590/22

с предмет преюдициално запитване на основание член 267 ДФЕС, отправено от Amtsgericht Wesel (Районен съд Везел, Германия) с акт от 5 август 2022 г., постъпил в Съда на 9 септември 2022 г. в рамките на производство по дело

AT,

BT

срещу

PS GbR,

VG,

MB,

DH,

WB,

GS,

СЪДЪТ (трети състав),

състоящ се от: K. Jürimäe, председател на състава, K. Lenaerts, председател на Съда, изпълняващ функциите на съдия от трети състав, N. Piçarra, N. Jääskinen (докладчик) и M. Gavalec, съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce и M. Tierney, в качеството на представители, подпомагани от D. Fennelly, BL,

–        за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2        Запитването е отправено в рамките на спор между AT и BT, ищци в главното производство, от една страна, и PS GbR, счетоводно-консултантско дружество, и VG, MB, DH, WB и GS, съдружници в PS, от друга страна, по повод правото на ищците в главното производство на присъждане на обезщетение за вреди на основание член 82, параграф 1 от ОРЗД като обезщетение за страданията, които твърдят, че са претърпели поради това, че данъчната им декларация, съдържаща лични данни, е била разкрита без тяхно съгласие на трети лица по погрешка от PS.

 Правна уредба

3        Съображения 85, 146 и 148 от ОРЗД гласят следното:

„(85)      Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. […]

[…]

(146)      Администраторът или обработващият лични данни следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава настоящия регламент. Администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. Това не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или правото на държава членка. Обработване на данни, което нарушава настоящия регламент, включва и обработване, което нарушава делегираните актове и актовете за изпълнение, приети в съответствие с настоящия регламент, и правото на държава членка, конкретизиращо правилата на настоящия регламент. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. […]

[…]

(148)      За да се укрепи прилагането на правилата на настоящия регламент, освен или вместо подходящи мерки, наложени от надзорния орган съгласно настоящия регламент, при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“. При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. […] »

4        Член 4 от този регламент, озаглавен „Определения“, предвижда:

„За целите на настоящия регламент:

1)      „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]

[…]

7)      „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…]

10)      „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

[…]

12)      „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

[…]“.

5        Член 79, параграф 1 от посочения регламент предвижда:

„1.      Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

6        Член 82 от този регламент, озаглавен „Право на обезщетение и отговорност за причинени вреди“, предвижда в параграфи 1—3:

„1.      Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.      Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. […]

3.      Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата“.

7        Член 83 от същия регламент, озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, предвижда в параграфи 2, 3 и 5:

„2.      […] Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

а)      естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б)      дали нарушението е извършено умишлено или по небрежност;

[…]

к)      всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3.      Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

[…]

5.      Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

а)      основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б)      правата на субектите на данни съгласно членове 12—22;

[…]“.

 Спорът в главното производство и преюдициалните въпроси

8        Ищците в главното производство, AT и BT, са клиенти на PS, което е счетоводно-консултантска кантора. Те уведомяват консултантската кантора за промяната на пощенския си адрес, който е въведен в информационната система на PS за обработване на лични данни. След това новият адрес на ищците в главното производство е използван от PS при изпращането на няколко писма.

9        През юли 2020 г. ищците в главното производство искат от PS да изготви годишната им данъчна декларация за 2019 г. След като не получават никакъв отговор, те се свързват с PS и то ги уведомява, че данъчната декларация им е била изпратена по пощата на 29 септември 2020 г., но без да конкретизира адреса, на който посоченото писмо е било изпратено по пощата.

10      Новите обитатели на стария им адрес ги уведомяват, че са получили на адреса адресирана до тях пощенска пратка и са я отворили по погрешка. Един от новите обитатели посочва, че след като установил, че въпросната пощенска пратка не е адресирана до него, поставил обратно в плика документите, които намерил вътре. След това предал плика на роднини, живеещи в близост до стария адрес на ищците в главното производство, така че ищците да могат да го получат.

11      Когато ищците в главното производство получават въпросния плик, те установяват, че в него има само копие на данъчната декларация и придружително писмо. Те обаче предполагат, че в плика се е намирал и оригиналът на данъчната декларация, в който се съдържат лични данни, сред които имената и датите на раждане на ищците и техните деца, данъчните им идентификационни номера, информация за банковите им сметки и дори данни за принадлежността им към определена религиозна общност, за статута на лице с уреждания на член от семейството им, както и за професията, работното им място и различни техни разходи.

12      В това отношение запитващата юрисдикция уточнява, че е невъзможно да се установи какви точно документи е имало първоначално в посочения плик, както и дали и доколко новите обитатели на стария адрес на ищците в главното производство са се запознали с документите, съдържащи се в плика. Запитващата юрисдикция посочва също така, че изпращането на въпросната пощенска пратка на грешен адрес се дължи на обстоятелството, че PS ползвал данни от база данни, в която все още фигурира старият адрес на ищците в главното производство.

13      В този контекст ищците в главното производство предявяват пред Amtsgericht Wesel (Районен съд Везел, Германия), който е запитващата юрисдикция, иск на основание член 82, параграф 1 от ОРЗД за обезщетение на нематериалните вреди, които считат, че са претърпели в резултат на разкриването на личните им данни на трета лица, и оценяват на 15 000 евро.

14      Запитващата юрисдикция иска да се установи, на първо място, дали когато става въпрос за нематериални вреди, може да се обоснове право на обезщетение за вреди на основание член 82 от ОРЗД единствено от нарушение на разпоредбите на този регламент, като се има предвид, че в германското право е прието, че право на парично обезщетение може да бъде признато само в случай на значителни вреди, извън самото нарушение на правна разпоредба, при условие че тези вреди не могат да бъдат поправени по друг начин.

15      На второ място, тази юрисдикция иска да се установи дали само по себе си опасението, че личните данни са попаднали в лица, които нямат право на достъп до тях, може да се счита за нематериална вреда, която да обоснове право на парично обезщетение на основание член 82 от ОРЗД.

16      На трето място, запитващата юрисдикция отбелязва, че член 83 от ОРЗД съдържа критериите, които позволяват да се определи по еднакъв начин размерът на налаганите административни наказания „глоба“ или „имуществена санкция“ в случай на нарушение на този регламент. В този член обаче не се съдържат подобни критерии по отношение на обезщетенията за нематериални вреди. Поради това запитващата юрисдикция поставя въпроса дали тези критерии са приложими по аналогия в областта на паричните обезщетения за нематериални вреди, дължими на основание член 82 от ОРЗД.

17      На четвърто място, запитващата юрисдикция припомня, че съображение 146 от ОРЗД изисква понятието „вреда“ да се тълкува в по-широк смисъл, за да се гарантира пълно и действително обезщетение за претърпяната вреда. Запитващата юрисдикция изпитва съмнение обаче дали посочването на „действително“ обезщетение означава, че определянето на обезщетението за нематериални вреди трябва да има и възпираща функция. Евентуално администраторите на лични данни могат да се изкушат от възможността да не се съобразяват с разпоредбите на ОРЗД в случай, че разходите при стриктното спазване на този регламент са по-високи от размера на обезщетението, което биха платили при нарушение на този регламент.

18      На пето и последно място, запитващата юрисдикция иска да се установи дали едновременното нарушаване на разпоредби от ОРЗД и на разпоредби от германското право, като тези, с които се налагат задължения за поверителност за някои професии трябва да бъде взето предвид при изчисляване на дължимото обезщетение за нематериални вреди на основание член 82 от ОРЗД. Запитващата юрисдикция изпитва съмнения по този въпрос, доколкото в случая релевантните разпоредби от въпросното германско право вече са били в сила към момента на приемане на ОРЗД и съответно не могат да бъдат разглеждани като делегирани актове и актове за изпълнение, приети в съответствие с този регламент по смисъла на съображение 146 от него.

19      При тези обстоятелства Amtsgericht Wesel (Районен съд Везел) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      За да се породи право на обезщетение за причинени вреди съгласно член 82, параграф 1 от [ОРЗД], достатъчно ли е да е нарушена разпоредба [от този регламент], която осигурява защита на искащото обезщетение лице, или е необходимо освен нарушението на разпоредбите като такива да е налице и причинена на това лице допълнителна вреда?

2)      Изисква ли правото на Съюза да е причинена вреда с определена тежест, за да се породи право на обезщетение за нематериални вреди съгласно член 82, параграф 1 от ОРЗД?

3)      По-специално, за да се породи право на обезщетение за нематериални вреди съгласно член 82, параграф 1 от ОРЗД, достатъчно ли е обстоятелството, че позоваващият се на това право се опасява, че в резултат на нарушения на разпоредбите на ОРЗД личните му данни са попаднали у трето лице, без това да може да бъде установено по категоричен начин?

4)      Съвместимо ли е с правото на Съюза при определянето на обезщетението за нематериалните вреди съгласно член 82, параграф 1 от ОРЗД националният съд да прилага съответно критериите на член 83, параграф 2, второ изречение от ОРЗД, които съгласно текста са приложими само за административните наказания „глоба“ или „имуществена санкция“?

5)      Трябва ли размерът на обезщетението за нематериални вреди съгласно член 82, параграф 1 от ОРЗД да се определя и въз основа на това, че чрез размера на присъденото обезщетение се постига възпиращ ефект и/или се предотвратява „комерсиализирането“ (калкулирано приемане на административни наказания „глоба“ или „имуществена санкция“/плащане на обезщетения) на нарушения?

6)      Съвместимо ли е с правото на Съюза при определянето на обезщетение за нематериални вреди съгласно член 82, параграф 1 от ОРЗД по отношение на неговия размер да се взема предвид наличието на същевременно извършени нарушения на национални разпоредби, които имат за цел да осигурят защита на личните данни, но не са делегирани актове или актове за изпълнение, приети в съответствие с настоящия регламент, нито разпоредби на правото на държава членка, конкретизиращи правилата на настоящия регламент?“.

 По преюдициалните въпроси

 По първия и втория въпрос

20      С първия и втория си въпрос запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че само по себе си нарушение на този регламент е достатъчно, за да обоснове право на обезщетение на основание на тази разпоредба, или субектът на данни трябва да докаже и наличието на вреди, причинени с това нарушение, които са достигнали определена тежест.

21      Съгласно член 82, параграф 1 от ОРЗД „[в]сяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

22      Съдът вече е констатирал, че от текста на тази разпоредба недвусмислено следва, че наличието на материални или нематериални „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в член 82, параграф 1, също както наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 34).

23      Следователно не може да се приеме, че всяко „нарушение“ на разпоредбите на ОРЗД само по себе си поражда въпросното право на обезщетение в полза на субекта на данни, както е определен в член 4, точка 1 от този регламент. От друга страна, отделното посочване в член 82, параграф 1 от ОРЗД на „вреди“ и „нарушение“ би било излишно, ако законодателят на Съюза е смятал, че нарушение на разпоредбите на този регламент може само по себе си и във всички случаи да е достатъчно, за да обоснове право на обезщетение (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 33 и 34).

24      Поради това член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да се присъди право на обезщетение (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 42).

25      Лицето, което иска обезщетение за нематериални вреди на основание на тази разпоредба, всъщност е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило такива вреди (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 42 и 50, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 35).

26      Що се отнася до последното условие, член 82, параграф 1 от ОРЗД не допуска национална разпоредба или практика, която поставя поправянето на нематериални вреди по смисъла на тази разпоредба в зависимост от условието нанесените вреди на субекта на данните да са достигнали определена тежест (решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 42 и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 36).

27      На основание член 82, параграф 1 от този регламент обаче, субектът на данните има задължението да докаже, че действително са му нанесени материални или нематериални вреди (вж. в този смисъл решение от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 39).

28      Предвид изложените по-горе съображения на първия и втория въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че само по себе си нарушение на този регламент не е достатъчно, за да обоснове право на обезщетение на основание на тази разпоредба. Субектът на данни трябва да докаже и наличието на вреди, причинени с това нарушение, без обаче да е необходимо тези вреди да са достигнали определена тежест.

 По третия въпрос

29      С третия си въпрос запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че наличието на опасения у субект на данни, че в резултат на нарушение на този регламент личните му данни са разкрити на трети лица, без това да може категорично да се докаже, е достатъчно, за да обоснове право на обезщетение за нематериални вреди.

30      От акта за преюдициално запитване следва, че ищците в главното производство искат да получат обезщетение за нематериални вреди на основание ОРЗД предвид загубата на контрол върху обработваните си личните данни, без да могат да докажат дали трети лица действително са се запознали с посочените данни.

31      В това отношение предвид липсата на каквото и да било позоваване в член 82, параграф 1 от ОРЗД на националното право на държавите членки, понятието „нематериални вреди“ по смисъла на тази разпоредба трябва да получи самостоятелно и еднакво определение, присъщо на правото на Съюза (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 30 и 44, и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 64).

32      Съдът е постановил, че не само от текста на член 82, параграф 1 от ОРЗД — разглеждан в светлината на съображения 85 и 146 от този регламент, които изискват широко разбиране на понятието „нематериални вреди“ по смисъла на тази първа разпоредба — но и от целта, състояща се в това да се гарантира високо ниво на защита на физическите лица във връзка с обработването на лични данни, което се цели с посочения регламент, следва, че опасенията, които субект на данни изпитва вследствие на нарушение на същия регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериални вреди“ по смисъла на този член 82, параграф 1 (вж. в този смисъл решения от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 79—86, и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 65).

33      Загубата на контрол върху лични данни, дори за кратък период от време, може да представлява „нематериални вреди“ по смисъла на член 82, параграф 1 от ОРЗД, които пораждат право на обезщетение, при условие че субектът на данни докаже, че действително е претърпял такава вреда, дори минимална, като следва да се припомни, че самото нарушение на разпоредбите на този регламент не е достатъчно, за да възникне право на обезщетение на това основание (вж. в този смисъл решения от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 66 и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 42).

34      Следователно субектът на данни, който счита, че неговите лични данни са обработени в противоречие с релевантните разпоредби от ОРЗД и иска обезщетение на основание член 82, параграф 1 от този регламент, трябва да докаже че действително е претърпял материални или нематериални вреди.

35      Ето защо само твърдението за наличието на опасения, без доказани неблагоприятни последици, не може да породи до право на обезщетение на основание на този член.

36      Предвид изложените по-горе съображения на третия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че наличието на опасения у субект на данни, че в резултат на нарушение на този регламент личните му данни са разкрити на трети лица, без това да може категорично да се докаже, е достатъчно, за да обоснове право на обезщетение, при условие че тази опасения и техните неблагоприятни последици са надлежно доказани.

 По четвъртия и петия въпрос

37      С четвъртия и петия си въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, следва, от една страна, да се приложат mutatis mutandis критериите за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, предвидени в член 83 от този регламент, и от друга, да се придаде възпираща функция на правото на обезщетение.

38      На първо място, що се отнася до евентуалното вземане предвид на критериите, посочени в член 83 от ОРЗД за изчисляване на размера на дължимото обезщетение за вреди на основание член 82 от него, няма спор, че тези две разпоредби преследват различни цели. Всъщност, докато член 83 от този регламент определя „[о]бщите условия за налагане на административни наказания „глоба“ или имуществена санкция“, член 82 от посочения регламент урежда „[п]раво[то] на обезщетение и отговорност[та] за причинени вреди“.

39      Оттук следва, че посочените в член 83 от ОРЗД критерии за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, споменати и в съображение 148 от този регламент, не могат да се използват при изчисляването на размера на обезщетението съгласно член 82 от него (решение от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 57).

40      ОРЗД не съдържа разпоредба, която да определя правилата за оценка на обезщетението, което субект на данни по смисъла на член 4, точка 1 от този регламент може да претендира по силата на член 82, когато нарушение на посочения регламент му е причинило вреди. Следователно, когато в правото на Съюза няма правила в тази област, във вътрешния правен ред на всяка държава членка трябва да се определят правилата за съдебните искове, предназначени да гарантират защитата на правата, които страните в процеса черпят от посочения член 82, и по-специално критериите, позволяващи да се определи обхватът на дължимото в този контекст обезщетение, при условие че се спазват принципите на равностойност и ефективност (решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 54, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 58).

41      На второ място, правото на обезщетение, предвидено в член 82, параграф 1 от ОРЗД не изпълнява възпираща, нито дори наказателна функция. От това следва, че тежестта на нарушението на този регламент, причинило твърдените материални или нематериални вреди, не може да повлияе върху размера на обезщетението, присъждано на основание на тази разпоредба, и че този размер не може да бъде определен на равнище, което надхвърля пълното обезщетяване на вредите (вж. в този смисъл решения от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 86, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 60).

42      В това отношение, като се има предвид компенсаторната функция на правото на обезщетение по член 82 от ОРЗД, посочена в съображение 146, шесто изречение от този регламент, парично обезщетение на основание на тази разпоредба трябва да се приема за „пълно и действително“, ако позволява да се обезщети изцяло конкретната вреда, претърпяна в резултат на нарушението на този регламент, без да е необходимо за целите на такова пълно обезщетяване да се налага изплащането на наказателно обезщетение (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 57 и 58, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 61).

43      Така поради различната формулировка и цели на член 82 от ОРЗД, разглеждан в светлината на съображение 146 от него, и на член 83 от въпросния регламент, разглеждан в светлината на съображение 148 от него, няма как да се приеме, че критериите за изчисляване, залегнали конкретно в член 83, са приложими mutatis mutandis в рамките на член 82, независимо че правните средства за защита, предвидени в тези две разпоредби, са взаимно допълващи се, за да се гарантира спазването на същия регламент (решение от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 62).

44      Предвид изложените по-горе съображения на четвъртия и петия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, не следва, от една страна, да се прилагат mutatis mutandis критериите за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, предвидени в член 83 от този регламент, и от друга, да се придава възпираща функция на правото на обезщетение.

 По шестия въпрос

45      С шестия си въпрос запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, следва да се вземе предвид едновременното наличие на извършени нарушения на национални разпоредби относно защитата на личните данни, които обаче нямат за цел да конкретизират правилата на този регламент.

46      Този въпрос е поставен с оглед на обстоятелството, че според ищците в главното производство едновременното наличие на извършени нарушения на разпоредби от ОРЗД и от приложимото германско законодателство относно данъчните консултанти, което е прието преди влизането в сила на този регламент и съответно няма за цел конкретизирането на неговите правила, трябвало да доведе до увеличаване на претендираното от тях на основание 82, параграф 1 от ОРЗД обезщетение за нематериалните вреди, които твърдят, че са претърпели.

47      В това отношение действително от съображение 146, пето изречение от ОРЗД по същество следва, че обработване на лични данни, което нарушава този регламент „включва и обработване, което нарушава делегираните актове и актовете за изпълнение, приети в съответствие с настоящия регламент, и правото на държава членка, конкретизиращо правилата на настоящия регламент“.

48      Обстоятелството обаче, че такова обработване на лични данни е в нарушение и на разпоредби от националното право относно защитата на личните данни, които обаче нямат за цел да конкретизират правилата на този регламент, не представлява релевантен фактор за изчисляване на обезщетението, присъждано на основание член 82, параграф 1 от ОРЗД. Всъщност нарушаването на такива национални разпоредби не е обхванато от член 82, параграф 1 от този регламент, разглеждан във връзка със съображение 146 от него.

49      Това не променя факта, че ако националното право го допуска, националният съд може да присъди на субекта на данни по-голямо обезщетение от пълното и действително обезщетение по член 82, параграф 1 от ОРЗД, когато с оглед на обстоятелството, че вредата е причинена от нарушение и на национални разпоредби, като посочените в предходната точка, последното обезщетение за вреди би се оказало недостатъчно или неподходящо.

50      Предвид изложените по-горе съображения на шестия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, не следва да се взема предвид едновременното наличие на извършени нарушения на национални разпоредби относно защитата на личните данни, които обаче нямат за цел да конкретизират правилата на този регламент.

 По съдебните разноски

51      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (трети състав) реши:

1)      Член 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

само по себе си нарушение на този регламент не е достатъчно, за да обоснове право на обезщетение на основание на тази разпоредба. Субектът на данни трябва да докаже и наличието на вреди, причинени с това нарушение, без обаче да е необходимо тези вреди да са достигнали определена тежест.

2)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

наличието на опасения у субект на данни, че в резултат на нарушение на този регламент личните му данни са разкрити на трети лица, без това да може категорично да се докаже, е достатъчно, за да обоснове право на обезщетение, при условие че тази опасения и техните неблагоприятни последици са надлежно доказани.

3)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, не следва, от една страна, да се прилагат mutatis mutandis критериите за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, предвидени в член 83 от този регламент, и от друга, да се придава възпираща функция на правото на обезщетение.

4)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, не следва да се взема предвид едновременното наличие на извършени нарушения на национални разпоредби относно защитата на личните данни, които обаче нямат за цел да конкретизират правилата на този регламент.

Подписи


*      Език на производството: немски.

Top