Неокончателна редакция

РЕШЕНИЕ НА СЪДА (трети състав)

20 юни 2024 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 82 — Право на обезщетение за вредите, причинени от обработване на данни, което е извършено в нарушение на този регламент — Понятието „нематериални вреди“ — Обезщетение с наказателен или с чисто компенсаторен и удовлетворителен характер — Минимално или символично обезщетение — Кражба на лични данни, въведени в приложение за търговия с ценни книжа — Кражба на самоличност или измама с фалшива самоличност“

По съединени дела C‑182/22 и C‑189/22

с предмет преюдициални запитвания на основание член 267 ДФЕС, отправени от Amtsgericht München (Районен съд Мюнхен, Германия) с актове от 3 март 2022 г., постъпили в Съда на 10 и 11 март 2022 г., в рамките на производства по дела

JU (C‑182/22),

SO (C‑189/22)

срещу

Scalable Capital GmbH,

СЪДЪТ (трети състав),

състоящ се от: K. Jürimäe, председател на състава, N. Piçarra и N. Jääskinen (докладчик), съдии,

генерален адвокат: A. M. Collins,

секретар: M. A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за SO, от M. Ruigrok van de Werve, Rechtsanwalt,

–        за Scalable Capital GmbH, от M. C. Mekat, Rechtsanwalt,

–        за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce и M. Tierney, в качеството на представители, подпомагани от D. Fennelly, BL,

–        за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 26 октомври 2023 г.,

постанови настоящото

Решение

1        Преюдициалните запитвания се отнасят до тълкуването на член 82 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2        Запитванията са отправени в рамките на два спора между съответно JU и SO, и Scalable Capital GmbH по повод на обезщетение за нематериалните вреди, за които JU и SO претендират, че са им причинени от извършена от трети неизвестни лица кражба на личните им данни, въведени в управлявано от това дружество приложение за търговия с ценни книжа.

 Правна уредба

3        Съображения 75, 85 и 146 от ОРЗД гласят следното:

„(75)      Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация, или други значителни икономически или социални неблагоприятни последствия; или когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация, и обработването на генетични данни, данни за здравословното състояние или данни за сексуалния живот или за присъди и нарушения или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-специално анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията в пространството, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни.

[…]

(85)      Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. […]“.

[…]

(146)      […] Администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. […] Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. […]“.

4        Член 4 от този регламент, озаглавен „Определения“, предвижда:

„За целите на настоящия регламент:

1)      „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]

[…]

7)      „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…]

10)      „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

[…]

12)      „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

[…]“.

5        Член 82 от този регламент, озаглавен „Право на обезщетение и отговорност за причинени вреди“, предвижда в параграфи 1—3:

„1.      Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.      Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.

3.      Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата“.

 Споровете в главните производства и преюдициалните въпроси

6        Scalable Capital, дружество по германското право, управлява trading app (приложение за търговия с ценни книжа), в което ищците в главното производство, JU и SO, си откриват сметки. В тази връзка JU и SO въвеждат в съответните си сметки някои лични данни, по-специално име, дата на раждане, пощенски адрес, адрес на електронна поща и цифрово копие на личната си карта. Сума в размер на няколко хиляди евро, необходима за откриването на тези сметки, е внесена от ищците в главните производства.

7        През 2020 г. лични данни и данни за сметките за ценни книжа на ищците в главните производства са обект на хакерска атака от трети лица, чиято самоличност не е разкрита. Според Scalable Capital с посочените лични данни не е било злоупотребено до настоящия момент.

8        В този контекст ищците в главните производства предявяват пред Amtsgericht München (Районен съд Мюнхен, Германия), който е запитващата юрисдикция, искове за обезщетение за нематериалните вреди, за които претендират, че са им причинени от кражбата на личните им данни.

9        На първо място, съмненията на запитващата юрисдикция се дължат на различните подходи на германските съдилища за изчисляване на обезщетението, което следва да се присъди в подобни случаи. От това произтичат значителни разлики в размера на паричното обезщетение за вреди, присъждано при това в сходни с тези в главното производство случаи, по-специално в зависимост от това дали се взема предвид евентуален възпиращ ефект. Запитващата юрисдикция посочва, че в случая няколко десетки хиляди души са засегнати от загубата на въпросните лични данни и съответно трябва да се възприеме еднакъв начин за изчисляване на вредите.

10      На второ място, що се отнася до изчисляването на нематериалните вреди, запитващата юрисдикция се позовава на германското право, за да направи разграничение между „компенсаторна“ функция и функция на „индивидуално удовлетворение“. Компенсаторната функция има за цел обезщетяване на претърпените и очаквани вредни последици, а функцията на индивидуално удовлетворение цели да неутрализира усещането за несправедливост в резултат на настъпването на посочената вреда. Запитващата юрисдикция посочва, че в германското право функцията на удовлетворение играе само второстепенна роля, като счита, че в случая тази функция изобщо не трябва да окаже влияние при изчисляването на претендираното от ищците обезщетение.

11      На трето място, в германското право не съществува скàла за определяне на размера на обезщетенията, които следва да се присъждат в зависимост от обстоятелствата по случая, по който се претендират. Голям брой постановени индивидуални решения обаче позволяват изграждането на референтна рамка, което води до известна систематизация на обезщетенията. В това отношение съгласно германското право парично обезщетение за вреди от нарушения на правата на личността може да се присъжда само в особено тежки случаи. Паричното обезщетяване на физически вреди е по-обективно. Поради това запитващата юрисдикция счита, че загубата на лични данни би трябвало да е с по-малка тежест отколкото физическите вреди.

12      На четвърто място, запитващата юрисдикция поставя въпроса за възможността да се присъждат ниски обезщетения, които могат да се разглеждат като символични, в случаите, когато вредите, свързани с нарушение на ОРЗД, са незначителни.

13      На пето място, запитващата юрисдикция отбелязва, че страните в главните производства тълкуват различно понятието „кражба на самоличност“. В това отношение тя счита, че е налице кражба на самоличност само когато неправомерно придобитите данни са използвани от трето лице, за да се представи за субекта на данни.

14      При тези обстоятелства Amtsgericht München (Районен съд Мюнхен) решава да спре производствата по дела C‑182/22 и C‑189/22 и да постави на Съда следните преюдициални въпроси, които са идентични по двете дела:

„1)      Трябва ли член 82 от [ОРЗД] да се тълкува в смисъл, че правото на обезщетение за вреди, включително и в контекста на определянето на размера на обезщетението, няма характер на санкция, по-специално няма обща или специална възпираща функция, а има само компенсаторна функция и евентуално функция на удовлетворение?

2)      Трябва ли за целите на определянето на размера на правото на обезщетение за неимуществени вреди да се приеме, че правото на обезщетение за вреди има и индивидуална функция на удовлетворение — в случая разбирана като наличието на личен интерес на увреденото лице от наказването на причинилото вредата поведение, или правото на обезщетение за вреди има само компенсаторна функция — в случая разбирана като функция по обезщетяване на претърпените неблагоприятни последици?

Ако се приеме, че правото на обезщетение за неимуществени вреди има както компенсаторна функция, така и функция на удовлетворение: трябва ли при определяне на размера му да се приеме, че компенсаторната функция има структурно предимство спрямо функцията на удовлетворение или най-малкото предимство, произтичащо от обстоятелството, че помежду им е налице отношение на правило и изключение? Означава ли това, че функцията на удовлетворение може да е налице само в случай на нарушения, извършени с умисъл или груба небрежност?

Ако правото на обезщетение за неимуществени вреди няма функция на удовлетворение: при определянето на размера на обезщетението имат ли допълнително утежняващо значение само нарушенията на защитата на данни, причинени с умисъл или груба небрежност, при оценката на приноса за причиняването на вреди?

3)      За разбирането на обезщетението за неимуществени вреди при определянето на размера му трябва ли да се приеме, че е налице структурно предимство или най-малкото предимство, произтичащо от отношението на правило и изключение, при което претърпяването на неблагоприятни последици в резултат от нарушение на защитата на данни има по-малка тежест отколкото претърпяването на неблагоприятни последици и болка, свързани с телесна повреда?

4)      Ако се приеме, че е налице вреда, може ли поради липса на достатъчно тежест националният съд да присъди обезщетение за вреди, което по същество е незначително и поради това може евентуално да се възприеме от увреденото лице или общо за символично?

5)      Трябва ли за разбирането на обезщетението за неимуществени вреди при оценката на последиците му да се приеме, че кражба на самоличност по смисъла на съображение 75 от [ОРЗД] е налице само ако извършител на неправомерно деяние действително е приел самоличността на субекта на данните, т.е. представил се е за субекта на данните под някаква форма, или самото обстоятелство, че междувременно извършители на неправомерно деяние разполагат с данни, които позволяват субектът на данни да бъде идентифициран, представлява такава кражба на самоличност?“.

 Производството пред Съда

15      С решение от 19 април 2022 г. председателят на Съда съединява дела C‑182/22 и C‑189/22 за целите на писмената и устната фаза на производството, както и за целите на постановяването на съдебното решение.

16      На 1 юни 2022 г. председателят на Съда отхвърля искането на Scalable Capital за запазване на анонимността в настоящото производство на основание член 95, параграф 2 от Процедурния правилник на Съда.

 По допустимостта на преюдициалните запитвания

17      Scalable Capital твърди по същество, че настоящите преюдициални запитвания са недопустими, доколкото са ирелевантни за решаването на споровете в главните производства. То счита, че абстрактната загуба на контрол върху лични данни, както в случая, не трябва да се квалифицира като „вреди“ по смисъла на член 82, параграф 1 от ОРЗД, ако загубата на контрол е останала без конкретни последствия и съответно не са изпълнени условията за прилагане на посочения член 82. Всъщност, противно на текста, структурата и генезиса на член 82 от ОРЗД, подобно квалифициране би означавало, че всяко нарушение на този регламент поражда презумпция за вреди.

18      В това отношение съгласно постоянната практика само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда, които се ползват с презумпция за релевантност. Следователно, след като поставеният въпрос се отнася до тълкуването или валидността на норма от правото на Съюза, Съдът по принцип е длъжен да се произнесе, освен ако е очевидно, че исканото тълкуване няма никаква връзка с действителността или с предмета на спора в главното производство, ако проблемът е от хипотетично естество или още ако Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на посочения въпрос (вж. решения от 5 май 2022 г., Zagrebačka banka, C‑567/20, EU:C:2022:352, т. 43, и от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 23).

19      В случая е достатъчно да се припомни, че когато не може да се приеме за очевидно, че тълкуването на разпоредбата от правото на Съюза няма никаква връзка с действителността или с предмета на спора в главното производство, възражението за неприложимост на тази разпоредба по делото в главното производство не засяга допустимостта на преюдициалното запитване, а се отнася до съществото на въпросите (вж. в този смисъл решения от 13 юли 2006 г., Manfredi и др., C‑295/04—C‑298/04, EU:C:2006:461, т. 30, от 4 юли 2019 г., Kirschstein, C‑393/17, EU:C:2019:563, т. 28, и от 24 юли 2023 г., Lin, C‑107/23 PPU, EU:C:2023:606, т. 66).

20      Следователно настоящите преюдициални запитвания са допустими.

 По преюдициалните въпроси

 По първия въпрос и по първата част на втория въпрос

21      С първия си въпрос и с първата част на втория си въпрос, които следва да се разгледат заедно, запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение има компенсаторна функция, доколкото паричното обезщетение на основание на тази разпоредба трябва да позволи да се обезщети изцяло конкретната вреда, претърпяна в резултат на нарушението на този регламент, или има и наказателна функция, която цели по-специално да удовлетвори личния интерес на субекта на данни.

22      В това отношение Съдът вече е постановил, че член 82 от ОРЗД има не наказателна, а компенсаторна функция, за разлика от други разпоредби на този регламент, които също се съдържат в глава VIII от него, а именно членове 83 и 84, които от своя страна имат предимно наказателна цел, тъй като позволяват налагането на административни наказания „глоба“ или „имуществена санкция“, както и на други санкции. От връзката между правилата, предвидени в член 82 от ОРЗД, и установените в членове 83 и 84 от него, е видно, че съществува разлика между тези две категории разпоредби, но и взаимно допълване от гледна точка на стимулите за спазване на ОРЗД, като се има предвид, че правото на всяко лице да иска обезщетение за вреди, засилва оперативността на предвидените в този регламент правила за защита и може да възпре повторното извършване на неправомерни действия (вж. в този смисъл по-специално решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 38 и 40, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 59).

23      Поради това член 82, параграф 1 от ОРЗД е разтълкуван в смисъл, че предвиденото в тази разпоредба право на обезщетение, по-специално в случай на нематериални вреди, има изключително компенсаторна функция, а не възпираща или наказателна функция, доколкото паричното обезщетение на основание на тази разпоредба трябва да позволи да се обезщети изцяло конкретната вреда, претърпяна в резултат на нарушението на този регламент (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 57 и 58, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 61).

24      Поради това на първия въпрос и на първата част от втория въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че предвиденото в тази разпоредба право на обезщетение има изключително компенсаторна функция, доколкото паричното обезщетение на основание на тази разпоредба трябва да позволи да се обезщети изцяло претърпяната вреда.

 По втората част на втория въпрос

25      Предвид отговора на първия въпрос и на първата част от втория въпрос не следва да се отговаря на втората част от втория въпрос.

 По третата част от втория въпрос

26      С третата част на втория си въпрос запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че изисква степента на тежест или евентуално умишленият характер на нарушението на този регламент, което се презумира, че е извършил администраторът, да бъдат взети предвид за целите на обезщетяването на вреди на основание на тази разпоредба.

27      Що се отнася до оценката на евентуално дължимото по силата на член 82 от ОРЗД обезщетение за вреди, тъй като този регламент не съдържа разпоредба с такъв предмет, националните съдилища трябва да прилагат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 53, 54 и 59, и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 53).

28      Важно е да се припомни обаче, от една страна, че ангажирането на отговорността на администратора на основание на член 82 от ОРЗД е обусловено от неговата вина, която се презумира, освен ако последният докаже, че по никакъв начин не е отговорен за събитието, причинило вредите, и от друга страна, че посоченият член 82 не изисква при определянето на размера на обезщетението, присъдено за нематериални вреди на основание на тази разпоредба, да се вземе предвид степента на вината (решения от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 103, и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 52).

29      Освен това, изключително компенсаторната функция на правото на обезщетение, предвидено в член 82, параграф 1 от ОРЗД, изключва вземането предвид на евентуално умишления характер на нарушението на този регламент, което се презумира, че е извършил администраторът, при определянето на размера на обезщетението, присъждано за нематериални вреди на основание на посочената разпоредба. Този размер обаче трябва да бъде определен така, че да компенсира изцяло конкретните вреди, претърпени в резултат на нарушението на посочения регламент (вж. по аналогия решения от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 102 и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 54).

30      Предвид изложените съображения на третата част на втория въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трява да се тълкува в смисъл, че не изисква степента на тежест или евентуално умишленият характер на нарушението на този регламент, което се презумира, че е извършил администраторът, да бъдат взети предвид за целите на обезщетяването на вреди на основание на тази разпоредба.

 По третия въпрос

31      С третия си въпрос запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че при определяне на размера на обезщетението, което се дължи на основание на правото на обезщетение за нематериални вреди, следва да се приеме, че по своето естество такива вреди, причинени от нарушение на сигурността на личните данни, са по-малко сериозни в сравнение с физическите вреди.

32      В това отношение е важно да се припомни, че съгласно постоянната съдебна практика, когато в правото на Съюза няма правила в съответната област, по силата на принципа на процесуалната автономия във вътрешния правен ред на всяка държава членка трябва да се уредят процесуалните аспекти на съдебните производства, предназначени да гарантират защитата на правата на страните в процеса, при условие все пак, че в случаите, обхванати от правото на Съюза, тези правила да не са по-неблагоприятни от правилата, които уреждат подобни вътрешноправни положения (принцип на равностойност), и да не правят практически невъзможно или прекомерно трудно упражняването на правата, предоставени от правото на Съюза (принцип на ефективност) (вж. в този смисъл решения от 13 декември 2017 г., El Hassani, C‑403/16, EU:C:2017:960, т. 26, и от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 53).

33      В случая следва да се отбележи, че ОРЗД не съдържа разпоредба, която да определя правилата за оценка на обезщетението, което субект на данни по смисъла на член 4, точка 1 от този регламент може да претендира по силата на член 82, когато нарушение на посочения регламент му е причинило вреди. Следователно, когато в правото на Съюза няма правила в тази област, във вътрешния правен ред на всяка държава членка трябва да се определят правилата за съдебните искове, предназначени да гарантират защитата на правата, които страните в процеса черпят от посочения член 82, и по-специално критериите, позволяващи да се определи обхватът на дължимото в този контекст обезщетение, при условие че се спазват посочените принципи на равностойност и ефективност (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 54).

34      Доколкото нищо в преписката, с която разполага Съдът, не дава основание да се приеме, че принципът на равностойност е от значение в контекста на настоящите дела по главните производства, акцентът следва да се постави върху принципа на ефективност. За тази цел запитващата юрисдикция следва да определи дали предвидените в германското право правила за определяне по съдебен ред на обезщетението, което се дължи на основание на правото на обезщетение, закрепено в член 82 от ОРЗД, не правят практически невъзможно или прекомерно трудно упражняването на правата, предоставени от правото на Съюза, и по-специално от този регламент.

35      В това отношение от припомнената в точка 23 от настоящото решение съдебна практика следва, че с оглед на компенсаторната функция на предвиденото в член 82 от този регламент право на обезщетение, паричното обезщетение на основание на този член трябва да се приеме за „пълно и действително“, ако позволява да се обезщети изцяло конкретната вреда, претърпяна в резултат на нарушението на този регламент.

36      В тази връзка в съображение 146 от този регламент е посочено също, че „[п]онятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент“ и че „[с]убектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди“.

37      Следва да се отбележи също така, че в съображения 75 и 85 от ОРЗД са посочени различни обстоятелства, които могат да се квалифицират като „физически, материални или нематериални вреди“, без между тях да е установена градация или да е посочено, че по своето естество претърпените неблагоприятни последици в резултат на нарушение на сигурността на данните са по-малко сериозни в сравнение с физическите вреди.

38      Да се допусне по принцип обаче, че по своето естество физическите вреди са по-сериозни от нематериалните вреди, би застрашило принципа на пълно и действително обезщетяване за претърпените вреди.

39      Предвид изложените по-горе съображения на третия въпрос следва да се отговори, че член 82 параграф 1 от ОРЗД следва да се тълкува в смисъл, че при определяне на размера на обезщетението, което се дължи на основание на правото на обезщетение за нематериални вреди, следва да се приеме, че по своето естество такива вреди, причинени от нарушение на сигурността на личните данни, не са по-малко сериозни в сравнение с физическите вреди.

 По четвъртия въпрос

40      С четвъртия си въпрос запитващата юрисдикция по същество иска да се установи дали член 82 параграф 1 от ОРЗД трябва да се тълкува в смисъл, че при наличието на вреда, поради липсата на достатъчно тежест на тази вреда, национален съд може да я компенсира като присъди на субекта на данни минимално обезщетение, което евентуално да се възприеме за символично.

41      Следва да се припомни, че съгласно постоянната съдебна практика член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че самото нарушение на този регламент не е достатъчно, за да предостави право на обезщетение, защото наличието на материални или нематериални „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в член 82, параграф 1, също както наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 34).

42      Ето защо лицето, което иска обезщетение за нематериални вреди на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило такива вреди, които следователно не може само да се презумират поради настъпването на посоченото нарушение (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32, и от 11 април 2024 г., juris, C‑741/21, EU:C:2024:288, т. 35).

43      Ако дадено лице успее да докаже, че нарушението на ОРЗД му е причинило вреди по смисъла на член 82 от този регламент, от точка 33 от настоящото решение по същество следва, че критериите за изчисляване на дължимото обезщетение в рамките на съдебните искове, предназначени да гарантират защитата на правата, които страните в процеса черпят от този член, трябва да се определят във вътрешния правен ред на всяка държава членка, при условие че това обезщетение е пълно и действително.

44      В това отношение Съдът е постановил, че член 82, параграф 1 от ОРЗД не изисква при установено нарушение на разпоредбите на този регламент твърдяната от субекта на данни вреда да достигне определен „праг de minimis“, за да може да възникне право на обезщетение (вж. в този смисъл решение от 14 декември 2023 г., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, т. 18).

45      Въпреки това тези съображения не изключват възможността националните съдилища да присъждат по-ниско по размер обезщетение, при условие че обезщетението компенсира изцяло посочената вреда, което запитващата юрисдикция следва да провери при спазване на принципите, припомнени в точка 43 от настоящото решение.

46      Предвид изложените по-горе съображения на четвъртия въпрос следва да се отговори, че член 82 параграф 1 от ОРЗД трябва да се тълкува в смисъл, че при наличието на вреда, поради липсата на достатъчно тежест на тази вреда, национален съд може да я обезщети като присъди на субекта на данни минимално обезщетение, при условие че това обезщетение може да компенсира изцяло претърпяната вреда.

 По петия въпрос

 По допустимостта

47      В писменото си становище Европейската комисия изразява съмнение относно релевантността на петия въпрос за решаването на споровете в главните производства, доколкото констатира липса на позоваване на конкретна разпоредба от правото на Съюза от страна на запитващата юрисдикция.

48      В това отношение петият въпрос е свързан с понятието „кражба на самоличност“ по смисъла на съображение 75 от ОРЗД и формално не се отнася до член 82 от този регламент. Самото обстоятелство обаче, че от Съда се иска да се произнесе по абстрактен и общ начин, не може да доведе до недопустимост на дадено преюдициално запитване (решение от 15 ноември 2007 г., International Mail Spain, C‑162/06, EU:C:2007:681, т. 24).

49      С този въпрос обаче запитващата юрисдикция иска от Съда да разтълкува понятието „кражба на самоличност“, което се съдържа в съображение 75 от ОРЗД, за да определи размера на паричното обезщетение за вреди, предвидено в член 82 от ОРЗД. Следователно посоченият въпрос всъщност се отнася до разпоредба от правото на Съюза. Освен това отговорът на този въпрос е от значение и поради обстоятелството, че запитващата юрисдикция и страните в главното производство не постигат съгласие относно дефинирането на това понятие за нуждите на изчисляването на претърпените по делата в главните производства вреди.

50      При това положение петият въпрос е допустим.

 По същество

51      Съгласно постоянната съдебна практика в рамките на въведеното с член 267 ДФЕС производство за сътрудничество между националните юрисдикции и Съда задачата на последния е да даде на националния съд полезен отговор, който да му позволи да реши спора, с който е сезиран. С оглед на това при необходимост Съдът може да преформулира въпросите, които са му зададени. Освен това може да се наложи Съдът да вземе предвид норми от правото на Съюза, които националният съд не е посочил във въпросите си (решение от 7 септември 2023 г., Groenland Poultry, C‑169/22, EU:C:2023:638, т. 47 и цитираната съдебна практика).

52      В случая петият въпрос се отнася до предвиденото в член 82, параграф 1 от ОРЗД право на обезщетение за вреди и по-конкретно до понятието „кражба на самоличност“, посочено в съображение 75 от ОРЗД. Следва да се отбележи обаче, че освен посоченото съображение, това понятие е употребено и в съображение 85 от този регламент.

53      Поради това следва да се приеме, че с петия си въпрос запитващата юрисдикция иска по същество да се установи дали член 82, параграф 1 от ОРЗД във връзка със съображения 75 и 85 от този регламент трябва да се тълкува в смисъл, че за да е налице „кражба на самоличност“, която води до възникване на право на обезщетение за нематериални вреди на основание на тази разпоредба, това понятие изисква трето лице действително да е злоупотребило със самоличността на засегнатия от кражбата на лични данни субект на данни, или „кражба на самоличност“ е налице, когато трето лице разполага с данните, които позволяват субектът на данните да бъде идентифициран.

54      В ОРЗД липсва определение на понятието „кражба на самоличност“. Въпреки това „кражбата на самоличност“ или „измамата с фалшива самоличност“ са посочени в съображение 75 от този регламент като част от неизчерпателно изброяване на последиците от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди. В съображение 85 от посочения регламент „кражбата на самоличност“ или „измамата с фалшива самоличност“ отново са посочени заедно при изброяване на физическите, материалните или нематериални вреди, които могат да бъдат причинени от нарушаване на сигурността на лични данни.

55      Както посочва генералният адвокат в точка 29 от заключението си, текстовете на различните езици на съображения 75 и 85 от ОРЗД използват понятията „кражба на самоличност“, „измама с фалшива самоличност“, „злоупотреба със самоличност“, „неправомерно използване на самоличност“, „неправомерно приемане на самоличност“ и „присвояване на самоличност“, които са употребени, без да се прави разграничение помежду им. Следователно понятията „кражба на самоличност“ и „измама с фалшива самоличност“ са взаимозаменяеми и не може да се прави разграничение между тях. Последните две понятия водят до презумпцията за наличието на намерение за присвояване на самоличността на дадено лице, чиито лични данни преди това са били предмет на кражба.

56      Освен това, както посочва и генералният адвокат в точка 30 от заключението си, при различните понятия, изброени в съображения 75 и 85 от ОРЗД, се прави разграничение между „загуба на контрол“ или лишаване от „упражняване на контрол“ върху лични данни и „кражба на самоличност“ и „измама с фалшива самоличност“. Следователно сами по себе си достъпът и поемането на контрол върху такива данни, което може да бъде приравнено на кражба на тези данни, не е равнозначно на „кражба на самоличност“ или на „измама с фалшива самоличност“. С други думи самата кражба на лични данни не представлява кражба на самоличност или измама с фалшива самоличност.

57      В това отношение следва да се уточни обаче, че обезщетението на основание член 82, параграф 1 от ОРЗД за нанесени нематериални вреди в резултат на кражба на лични данни, не подлежи на ограничения, ако се докаже, че кражбата на лични данни впоследствие е довела до кражба на самоличност или до измама с фалшива самоличност. Всъщност кражбата на лични данни на даден субект на данни води до възникване на право на обезщетение за нанесените нематериални вреди на основание член 82, параграф 1 от ОРЗД, ако са налице трите условия, установени в тази разпоредба, а именно обработване на лични данни в нарушение на разпоредбите на ОРЗД, вреди, нанесени на субекта на данните, и причинно-следствена връзка между това незаконосъобразно обработване и вредите (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни) (C‑300/21, EU:C:2023:370, т. 32 и 36).

58      По изложените съображения на петия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД във връзка със съображения 75 и 85 от този регламент трябва да се тълкува в смисъл, че за да е налице и да води до възникване на право на обезщетение за нематериални вреди на основание на тази разпоредба, понятието „кражба на самоличност“ изисква трето лице действително да е злоупотребило със самоличността на засегнатия от кражбата на лични данни субект на данни. Обезщетението за нематериални вреди на основание на тази разпоредба обаче, нанесени в резултат на кражбата на лични данни, не подлежи на ограничения, ако се докаже, че кражбата на лични данни впоследствие е довела до кражба на самоличност или до измама с фалшива самоличност.

 По съдебните разноски

59      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (трети състав) реши:

1)      Член 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

предвиденото в тази разпоредба право на обезщетение има изключително компенсаторна функция, доколкото паричното обезщетение на основание на тази разпоредба трябва да позволи да се обезщети изцяло претърпяната вреда.

2)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

не изисква степента на тежест или евентуално умишленият характер на нарушението на този регламент, което се презумира, че е извършил администраторът, да бъдат взети предвид за целите на обезщетяването на вреди на основание на тази разпоредба.

3)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

при определяне на размера на обезщетението, което се дължи на основание на правото на обезщетение за нематериални вреди, следва да се приеме, че по своето естество такива вреди, причинени от нарушение на сигурността на личните данни, не са по-малко сериозни в сравнение с физическите вреди.

4)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

при наличието на вреда, поради липсата на достатъчно тежест на тази вреда, национален съд може да я обезщети като присъди на субекта на данни минимално обезщетение, при условие че това обезщетение може да компенсира изцяло претърпяната вреда.

5)      Член 82, параграф 1 от Регламент 2016/679 във връзка със съображения 75 и 85 от този регламент

трябва да се тълкува в смисъл, че

за да е налице и да води до възникване на право на обезщетение за нематериални вреди на основание на тази разпоредба, понятието „кражба на самоличност“ изисква трето лице действително да е злоупотребило със самоличността на засегнатия от кражбата на лични данни субект на данни. Обезщетението за нематериални вреди на основание на тази разпоредба обаче, нанесени в резултат на кражбата на лични данни, не подлежи на ограничения, ако се докаже, че кражбата на лични данни впоследствие е довела до кражба на самоличност или до измама с фалшива самоличност.

Подписи


*      Език на производството: немски.