Προσωρινό κείμενο

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τρίτο τμήμα)

της 11ης Απριλίου 2024 (*)

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 82 – Δικαίωμα αποζημίωσης για ζημία που προκλήθηκε από επεξεργασία δεδομένων κατά παράβαση του κανονισμού – Έννοια της “μη υλικής ζημίας” – Συνέπειες της σοβαρότητας της προκληθείσας ζημίας – Ευθύνη του υπευθύνου επεξεργασίας – Ενδεχόμενο απαλλαγής σε περίπτωση σφάλματος προσώπου που ενεργεί υπό την εποπτεία του κατά την έννοια του άρθρου 29 – Εκτίμηση του ύψους της αποζημίωσης – Μη εφαρμογή των κριτηρίων που προβλέπονται για τα διοικητικά πρόστιμα στο άρθρο 83 – Εκτίμηση σε περίπτωση πολλαπλών παραβάσεων του εν λόγω κανονισμού»

Στην υπόθεση C‑741/21,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Landgericht Saarbrücken (πρωτοδικείο Saarbrücken, Γερμανία) με απόφαση της 22ας Νοεμβρίου 2021, η οποία περιήλθε στο Δικαστήριο την 1η Δεκεμβρίου 2021, στο πλαίσιο της δίκης

GP

κατά

juris GmbH,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τρίτο τμήμα),

συγκείμενο από τους K. Jürimäe, πρόεδρο τμήματος, N. Piçarra και N. Jääskinen (εισηγητή), δικαστές,

γενικός εισαγγελέας: M. Campos Sánchez-Bordona,

γραμματέας: A. Calot Escobar

έχοντας υπόψη την έγγραφη διαδικασία,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

–        ο GP, εκπροσωπούμενος από τον H. Schöning, Rechtsanwalt,

–        η juris GmbH, εκπροσωπούμενη από τους E. Brandt και C. Werkmeister, Rechtsanwälte,

–        η Ιρλανδία, εκπροσωπούμενη από τη M. Browne, Chief State Solicitor, τον A. Joyce και τη M. Lane, επικουρούμενους από τον D. Fennelly, BL,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τον A. Μπουχάγιαρ, τη M. Heller και τον H. Kranenborg,

κατόπιν της αποφάσεως που έλαβε, αφού άκουσε τον γενικό εισαγγελέα, να εκδικάσει την υπόθεση χωρίς ανάπτυξη προτάσεων,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 82, παράγραφοι 1 και 3, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ), σε συνδυασμό με τα άρθρα 29 και 83 του ίδιου κανονισμού και υπό το πρίσμα των αιτιολογικών σκέψεων 85 και 146 αυτού.

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ, αφενός, του GP, φυσικού προσώπου, και, αφετέρου, της juris GmbH, εταιρίας με έδρα στη Γερμανία, σχετικά με την αποκατάσταση της ζημίας που ισχυρίζεται ότι υπέστη ο GP λόγω διάφορων μορφών επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τον αφορούν, η οποία πραγματοποιήθηκε για σκοπούς απευθείας εμπορικής προώθησης, παρά τις αντιρρήσεις που αυτός εξέφρασε στην εν λόγω εταιρία.

 Το νομικό πλαίσιο

3        Οι αιτιολογικές σκέψεις 85, 146 και 148 του ΓΚΠΔ έχουν ως εξής:

«(85)      Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. [...]

[...]

(146)      Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντα κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. Αυτό δεν επηρεάζει τυχόν αξιώσεις αποζημίωσης, ασκούμενες λόγω παραβίασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. [...] Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. [...]

[...]

(148)      Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού [...] Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. [...]»

4        Το άρθρο 4 του κανονισμού, το οποίο φέρει τον τίτλο «Ορισμοί», προβλέπει τα εξής:

«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

1)      “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)·

[...]

7)      “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· [...]

[...]

12)      “παραβίαση δεδομένων προσωπικού χαρακτήρα”: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

[...]».

5        Το άρθρο 5 του κανονισμού θεσπίζει μια σειρά από αρχές σχετικές με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

6        Το άρθρο 21, με τίτλο «Δικαίωμα εναντίωσης», το οποίο περιέχεται στο κεφάλαιο ΙΙI του ΓΚΠΔ που αναφέρεται στα «[δ]ικαιώματα του υποκειμένου των δεδομένων», προβλέπει στην παράγραφο 3 τα εξής:

«Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα προσωπικού χαρακτήρα δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς.»

7        Το κεφάλαιο IV του κανονισμού, το οποίο επιγράφεται «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», περιλαμβάνει τα άρθρα 24 έως 43.

8        Το άρθρο 24 του κανονισμού, με τίτλο «Ευθύνη του υπευθύνου επεξεργασίας», προβλέπει στις παραγράφους 1 και 2 τα εξής:

«1.      Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.

2.      Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο της επεξεργασίας.»

9        Το άρθρο 25 του κανονισμού, με τίτλο «Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού», ορίζει στην παράγραφο 1 τα εξής:

«Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.»

10      Το άρθρο 29 του ΓΚΠΔ, με τίτλο «Επεξεργασία υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία», έχει ως εξής:

«Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.»

11      Το άρθρο 32 του κανονισμού, με τίτλο «Ασφάλεια επεξεργασίας», προβλέπει τα εξής:

«1.      Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

[...]

β)      της δυνατότητας διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

[...]

2.      Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

[...]

4.      Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.»

12      Το κεφάλαιο VIII του ΓΚΠΔ, το οποίο επιγράφεται «Προσφυγές, ευθύνη και κυρώσεις», περιλαμβάνει τα άρθρα 77 έως 84 του κανονισμού.

13      Το άρθρο 79, το οποίο φέρει τον τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία», ορίζει στην παράγραφο 1 τα εξής:

«Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.»

14      Το άρθρο 82 του κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει στις παραγράφους 1 έως 3 τα εξής:

«1.      Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2.      Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. [...]

3.      Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.»

15      Το άρθρο 83 του ΓΚΠΔ, το οποίο επιγράφεται «Γενικοί όροι επιβολής διοικητικών προστίμων», προβλέπει στις παραγράφους 2, 3 και 5 τα εξής:

«2.      [...] Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

α)      η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,

β)      ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,

[...]

ια)      κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

3.      Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

[...]

5.      Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 [ευρώ] ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο:

α)      οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για τη συγκατάθεση, σύμφωνα με τα άρθρα 5, 6, 7 και 9,

β)      τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 έως 22,

[...]».

16      Το άρθρο 84 του κανονισμού, το οποίο επιγράφεται «Κυρώσεις», προβλέπει στην παράγραφο 1 τα εξής:

«Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Οι εν λόγω κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.»

 Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

17      Ο ενάγων της κύριας δίκης, φυσικό πρόσωπο που ασκεί τη δικηγορία ως ελεύθερο επάγγελμα, ήταν πελάτης της εταιρίας juris, η οποία εκμεταλλεύεται βάση νομικών πληροφοριών.

18      Στις 6 Νοεμβρίου 2018, όταν πληροφορήθηκε ότι τα δεδομένα του προσωπικού χαρακτήρα χρησιμοποιούνταν από τη juris και για σκοπούς απευθείας εμπορικής προώθησης, ο ενάγων της κύριας δίκης ανακάλεσε εγγράφως κάθε συγκατάθεση που είχε δώσει στο παρελθόν προκειμένου να λαμβάνει από την εταιρία αυτή πληροφορίες μέσω ηλεκτρονικού ταχυδρομείου ή τηλεφώνου και εξέφρασε την αντίθεσή του σε κάθε επεξεργασία των δεδομένων αυτών, πλην της αποστολής ηλεκτρονικών ενημερωτικών δελτίων (newsletters), τα οποία επιθυμούσε να συνεχίσει να λαμβάνει.

19      Παρά το διάβημα αυτό, ο ενάγων της κύριας δίκης έλαβε τον Ιανουάριο του 2019 δύο διαφημιστικά έντυπα τα οποία είχαν αποσταλεί ονομαστικά στην επαγγελματική του διεύθυνση. Με επιστολή που απέστειλε στη juris στις 18 Απριλίου 2019, της υπενθύμισε την ήδη εκπεφρασμένη αντίθεσή του σε κάθε εμπορική προώθηση, της επισήμανε ότι τα δεδομένα του είχαν υποστεί παράνομη επεξεργασία λόγω της παραγωγής αυτών των διαφημιστικών εντύπων και ζήτησε αποκατάσταση της ζημίας του δυνάμει του άρθρου 82 του ΓΚΠΔ. Επανέλαβε την αντίθεσή του αυτή στις 3 Μαΐου 2019, όταν έλαβε νέο διαφημιστικό έντυπο, και αυτή τη φορά την κοινοποίησε στη juris με δικαστικό επιμελητή.

20      Καθένα από τα εν λόγω έντυπα περιείχε έναν «προσωπικό κωδικό δοκιμής», ο οποίος παρείχε τη δυνατότητα πρόσβασης, από τον ιστότοπο της juris, σε έντυπο παραγγελίας προϊόντων της εταιρίας, το οποίο περιείχε στοιχεία του ενάγοντος της κύριας δίκης, όπως διαπιστώθηκε, μετά από σχετικό αίτημά του, από συμβολαιογράφο στις 7 Ιουνίου 2019.

21      Ο ενάγων της κύριας δίκης άσκησε ενώπιον του Landgericht Saarbrücken (πρωτοδικείου Saarbrücken, Γερμανία), αιτούντος δικαστηρίου στην υπό κρίση υπόθεση, αγωγή βάσει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, με αίτημα την αποκατάσταση τόσο της υλικής ζημίας του, η οποία συνδέεται με τα έξοδα δικαστικού επιμελητή και συμβολαιογράφου στα οποία είχε υποβληθεί, όσο και της μη υλικής ζημίας του. Υποστηρίζει, μεταξύ άλλων, ότι απώλεσε τον έλεγχο επί των δεδομένων προσωπικού χαρακτήρα που τον αφορούν λόγω της επεξεργασίας των δεδομένων αυτών από τη juris παρά τις αντιρρήσεις του και ότι δικαιούται για τον λόγο αυτόν αποζημίωση, χωρίς να υποχρεούται να αποδείξει τις συνέπειες ή τη σοβαρότητα της προσβολής των δικαιωμάτων του, τα οποία κατοχυρώνονται από το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και εξειδικεύονται από τον εν λόγω κανονισμό.

22      Αμυνόμενη, η juris αποποιείται κάθε ευθύνη, ισχυριζόμενη ότι είχε θέσει σε εφαρμογή ένα σύστημα διαχείρισης των αντιρρήσεων επί της εμπορικής προώθησης και ότι ο λόγος για τον οποίον δεν είχε λάβει εγκαίρως υπόψη τις αντιρρήσεις του ενάγοντος της κύριας δίκης ήταν είτε ότι κάποιος από τους συνεργάτες της δεν τήρησε τις οδηγίες που είχε λάβει είτε ότι κάτι τέτοιο είχε αποδειχθεί υπερβολικά επαχθές. Υποστηρίζει δε ότι μόνη η παράβαση υποχρέωσης που απορρέει από τον ΓΚΠΔ, όπως αυτή του άρθρου 21, παράγραφος 3, δεν μπορεί να αποτελέσει αφ’ εαυτής «ζημία» κατά την έννοια του άρθρου 82, παράγραφος 1, του κανονισμού.

23      Κατά πρώτον, το αιτούν δικαστήριο εκκινεί κατ’ αρχάς από την παραδοχή ότι το δικαίωμα αποζημίωσης που προβλέπεται από το άρθρο 82, παράγραφος 1, του ΓΚΠΔ εξαρτάται από τη συνδρομή τριών προϋποθέσεων, ήτοι παράβαση του κανονισμού αυτού, υλική ή μη υλική ζημία και αιτιώδης συνάφεια μεταξύ παράβασης και ζημίας. Εν συνεχεία, λαμβανομένων υπόψη των αιτημάτων του ενάγοντος της κύριας δίκης, το αιτούν δικαστήριο διερωτάται αν πρέπει, παρά ταύτα, να γίνει δεκτό ότι η παράβαση του ΓΚΠΔ συνιστά αφ’ εαυτής μη υλική ζημία η οποία γεννά δικαίωμα αποζημίωσης, ιδίως όταν η παραβιασθείσα διάταξη του κανονισμού παρέχει δικαίωμα στο υποκείμενο των δεδομένων. Τέλος, δεδομένου ότι το γερμανικό δίκαιο εξαρτά τη χρηματική αποκατάσταση μη υλικής ζημίας από σοβαρή προσβολή των προστατευόμενων δικαιωμάτων, το αιτούν δικαστήριο διερωτάται αν πρέπει να εφαρμοστεί ανάλογος περιορισμός όσον αφορά τις αγωγές αποζημίωσης βάσει του ΓΚΠΔ, υπό το πρίσμα των στοιχείων που περιέχονται στις αιτιολογικές σκέψεις 85 και 146 του κανονισμού σχετικά με την έννοια της «ζημίας».

24      Κατά δεύτερον, το αιτούν δικαστήριο εκτιμά ότι από το άρθρο 82 του ΓΚΠΔ προκύπτει ότι, όταν διαπιστωθεί παράβαση του κανονισμού, αυτή καταλογίζεται στον υπεύθυνο επεξεργασίας και ότι, επομένως, η ευθύνη του λόγω υπαιτιότητας τεκμαίρεται, ακόμη και χωρίς να συντρέχει τέτοια υπαιτιότητα. Επιπλέον, έχοντας υπογραμμίσει ότι η παράγραφος 3 του άρθρου αυτού δεν διευκρινίζει τι είδους αποδείξεις απαιτούνται συγκεκριμένα για την προβλεπόμενη στην παράγραφο αυτή απαλλαγή, επισημαίνει ότι, αν ο υπεύθυνος της επεξεργασίας μπορούσε να απαλλαγεί από την ευθύνη του προβάλλοντας απλώς και γενικώς υπαίτια συμπεριφορά κάποιου εκ των συνεργατών του, θα περιοριζόταν σημαντικά η πρακτική αποτελεσματικότητα του δικαιώματος αποζημίωσης που προβλέπεται στην παράγραφο 1 του εν λόγω άρθρου.

25      Κατά τρίτον, το αιτούν δικαστήριο ζητεί, μεταξύ άλλων, να διευκρινιστεί αν, ειδικά στην περίπτωση μη υλικής ζημίας, για τον υπολογισμό του ύψους της χρηματικής αποζημίωσης η οποία οφείλεται δυνάμει του άρθρου 82 του ΓΚΠΔ, τα κριτήρια που προβλέπονται στο άρθρο 83, παράγραφοι 2 και 5, για τον καθορισμό του ύψους των διοικητικών προστίμων μπορούν ή και πρέπει να λαμβάνονται υπόψη και στο πλαίσιο του άρθρου 82.

26      Τέλος, κατά τέταρτον, το αιτούν δικαστήριο επισημαίνει ότι, στη διαφορά της οποίας έχει επιληφθεί, τα δεδομένα προσωπικού χαρακτήρα του ενάγοντος της κύριας δίκης υπέστησαν επεξεργασία περισσότερες της μιας φορές για σκοπούς εμπορικής προώθησης, παρά τις επανειλημμένες αντιρρήσεις του ενδιαφερομένου. Διερωτάται, επομένως, αν, σε περίπτωση περισσότερων παραβάσεων του ΓΚΠΔ, πρέπει αυτές να λαμβάνονται υπόψη μεμονωμένα ή συνολικά, προκειμένου να καθοριστεί το ύψος της αποζημίωσης που ενδεχομένως οφείλεται δυνάμει του άρθρου 82 του κανονισμού.

27      Υπό τις συνθήκες αυτές, το Landgericht Saarbrücken (πρωτοδικείο Saarbrücken) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Έχει ο όρος της μη υλικής ζημίας στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ, λαμβανομένων υπόψη των αιτιολογικών σκέψεων 85 και 146, τρίτη περίοδος, του ΓΚΠΔ, την έννοια ότι περιλαμβάνει κάθε προσβολή των προστατευόμενων δικαιωμάτων, ανεξαρτήτως των επιπτώσεων και της σοβαρότητας της προσβολής αυτής;

2)      Αποκλείεται η ευθύνη αποζημίωσης σύμφωνα με το άρθρο 82, παράγραφος 3, του ΓΚΠΔ, όταν η παράβαση αποδίδεται, σε συγκεκριμένη περίπτωση, σε σφάλμα προσώπου το οποίο ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία κατά την έννοια του άρθρου 29 του ΓΚΠΔ;

3)      Επιτρέπεται ή επιβάλλεται να λαμβάνονται υπόψη, κατά τον υπολογισμό της αποζημίωσης για μη υλική ζημία, τα κριτήρια που προβλέπονται στο άρθρο 83 του ΓΚΠΔ και ειδικότερα στις παραγράφους 2 και 5 του άρθρου αυτού;

4)      Πρέπει να καθορίζεται αποζημίωση για κάθε επιμέρους παράβαση ή πρέπει να επιβάλλεται συνολική αποζημίωση ως κύρωση για περισσότερες –τουλάχιστον περισσότερες παρόμοιες– παραβάσεις, η οποία θα υπολογίζεται με βάση όχι το άθροισμα των επιμέρους ποσών, αλλά μια συνολική αξιολογική εκτίμηση;»

 Επί των προδικαστικών ερωτημάτων

 Επί του πρώτου προδικαστικού ερωτήματος

 Επί του παραδεκτού

28      Εκ προοιμίου, η juris υποστηρίζει κατ’ ουσίαν ότι το πρώτο προδικαστικό ερώτημα είναι απαράδεκτο, καθόσον ζητείται να διαπιστωθεί αν η θεμελίωση του δικαιώματος αποζημίωσης που προβλέπεται από το άρθρο 82 του ΓΚΠΔ εξαρτάται από ορισμένο βαθμό σοβαρότητας της προβαλλόμενης από το υποκείμενο των δεδομένων ζημίας, όπως αυτή ορίζεται στο άρθρο 4, σημείο 1, του κανονισμού. Ισχυρίζεται δε ότι το ερώτημα αυτό δεν είναι λυσιτελές για την επίλυση της διαφοράς της κύριας δίκης, διότι δεν επήλθε η ζημία την οποία προβάλλει ο ενάγων της κύριας δίκης, ήτοι η απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα που τον αφορούν, καθόσον τα δεδομένα αυτά υποβλήθηκαν σε σύννομη επεξεργασία στο πλαίσιο της συμβατικής σχέσης που συνέδεε τους διαδίκους.

29      Συναφώς, υπενθυμίζεται ότι, κατά πάγια νομολογία του Δικαστηρίου, εναπόκειται αποκλειστικώς στο εθνικό δικαστήριο που έχει επιληφθεί της διαφοράς και φέρει την ευθύνη της εκδοθησόμενης δικαστικής απόφασης να εκτιμήσει, λαμβάνοντας υπόψη τις ιδιαιτερότητες της υπόθεσης, τόσο την αναγκαιότητα της έκδοσης προδικαστικής απόφασης για την έκδοση της δικής του απόφασης όσο και το λυσιτελές των ερωτημάτων που υποβάλλει στο Δικαστήριο, τα οποία θεωρούνται κατά τεκμήριο λυσιτελή. Συνεπώς, εφόσον τα υποβαλλόμενα ερωτήματα αφορούν την ερμηνεία ή το κύρος κανόνα του δικαίου της Ένωσης, το Δικαστήριο οφείλει κατ’ αρχήν να απαντήσει, εκτός αν προκύπτει προδήλως ότι η ερμηνεία την οποία ζητεί το εθνικό δικαστήριο δεν έχει καμία σχέση με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, αν το πρόβλημα είναι υποθετικής φύσεως ή ακόμη αν το Δικαστήριο δεν διαθέτει τα πραγματικά και νομικά στοιχεία που είναι αναγκαία προκειμένου να δώσει χρήσιμη απάντηση στο ερώτημα [απόφασης της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 23 και εκεί μνημονευόμενη νομολογία].

30      Εν προκειμένω, το πρώτο προδικαστικό ερώτημα αφορά τις προϋποθέσεις που πρέπει να συντρέχουν για την άσκηση του δικαιώματος αποζημίωσης που προβλέπεται στο άρθρο 82 του ΓΚΠΔ. Επιπλέον, δεν προκύπτει προδήλως ότι η ζητούμενη ερμηνεία στερείται οποιασδήποτε σχέσης με τη διαφορά της κύριας δίκης ή ότι το πρόβλημα που εγείρεται έχει υποθετικό χαρακτήρα. Ειδικότερα, αφενός, η κρινόμενη διαφορά αφορά αγωγή αποζημίωσης η οποία εμπίπτει στο καθεστώς προστασίας των δεδομένων προσωπικού χαρακτήρα που θεσπίζει ο ΓΚΠΔ. Αφετέρου, με το ίδιο ερώτημα ζητείται κατ’ ουσίαν να διευκρινιστεί αν, για την εφαρμογή των κανόνων περί ευθύνης που θεσπίζει ο κανονισμός αυτός, πρέπει όχι μόνον να έχει προκληθεί μη υλική ζημία που να διακρίνεται από την παράβαση του κανονισμού, αλλά και να υπερβαίνει η ζημία αυτή ορισμένο βαθμό σοβαρότητας.

31      Επομένως, το πρώτο προδικαστικό ερώτημα υποβάλλεται παραδεκτώς.

 Επί της ουσίας

32      Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι η παράβαση διατάξεων του κανονισμού αυτού οι οποίες απονέμουν δικαιώματα στο υποκείμενο των δεδομένων αρκεί αφ’ εαυτής για τη διαπίστωση «μη υλικής ζημίας», κατά την έννοια της διάταξης αυτής, ανεξαρτήτως της σοβαρότητας της ζημίας που υπέστη το υποκείμενο των δεδομένων.

33      Υπενθυμίζεται εκ προοιμίου ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ ορίζει ότι «[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».

34      Το Δικαστήριο έχει ήδη ερμηνεύσει το άρθρο 82, παράγραφος 1, του ΓΚΠΔ υπό την έννοια ότι η απλή παράβαση του κανονισμού αυτού δεν αρκεί για τη θεμελίωση δικαιώματος αποζημίωσης, δεδομένου ότι η ύπαρξη υλικής ή μη υλικής «ζημίας» την οποία «υπέστη» το πρόσωπο συνιστά μία από τις τρεις προϋποθέσεις του δικαιώματος αποζημίωσης που προβλέπεται στο εν λόγω άρθρο 82, παράγραφος 1, όπως και η παράβαση του εν λόγω κανονισμού και η αιτιώδης συνάφεια μεταξύ ζημίας και παράβασης, προϋποθέσεις οι οποίες πρέπει να συντρέχουν σωρευτικώς (πρβλ. απόφαση της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψη 58 και εκεί μνημονευόμενη νομολογία).

35      Επομένως, το πρόσωπο που ζητεί αποκατάσταση μη υλικής ζημίας βάσει της διάταξης αυτής οφείλει να αποδείξει όχι μόνον την παράβαση των διατάξεων του κανονισμού, αλλά και ότι η παράβαση αυτή του προκάλεσε τέτοια ζημία (πρβλ. απόφαση της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψεις 60 και 61 και εκεί μνημονευόμενη νομολογία).

36      Στο σημείο αυτό επισημαίνεται ότι το Δικαστήριο έχει ερμηνεύσει το άρθρο 82, παράγραφος 1, του ΓΚΠΔ υπό την έννοια ότι αντιτίθεται σε εθνικό κανόνα ή πρακτική που εξαρτά την αποκατάσταση μη υλικής ζημίας, κατά την έννοια της διάταξης αυτής, από την προϋπόθεση η ζημία που υπέστη το υποκείμενο των δεδομένων να υπερβαίνει ορισμένο βαθμό σοβαρότητας, υπογραμμίζοντας παράλληλα ότι το υποκείμενο των δεδομένων οφείλει, παρά ταύτα, να αποδείξει ότι η παράβαση του κανονισμού προκάλεσε σε αυτόν τη μη υλική ζημία (πρβλ. απόφαση της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψεις 59 και 60 και εκεί μνημονευόμενη νομολογία).

37      Ακόμη και αν η διάταξη του ΓΚΠΔ την οποία αφορά η παράβαση απονέμει δικαιώματα στα φυσικά πρόσωπα, η παράβαση αυτή δεν μπορεί αφ’ εαυτής να θεωρηθεί «μη υλική ζημία» κατά την έννοια του κανονισμού αυτού.

38      Βεβαίως, από το άρθρο 79, παράγραφος 1, του ΓΚΠΔ προκύπτει ότι κάθε υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής κατά του υπευθύνου επεξεργασίας ή του ενδεχομένως εκτελούντος την επεξεργασία, εάν θεωρεί ότι «τα δικαιώματά του που απορρέουν από τον [εν λόγω] κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν κατά παράβαση του [εν λόγω] κανονισμού».

39      Ωστόσο, η διάταξη αυτή παρέχει απλώς δικαίωμα προσφυγής στο πρόσωπο που θεωρεί ότι εθίγησαν τα δικαιώματά που του απονέμει ο ΓΚΠΔ, χωρίς να το απαλλάσσει από την υποχρέωση που υπέχει, βάσει του άρθρου 82, παράγραφος 1, του κανονισμού, να αποδείξει ότι υπέστη πράγματι υλική ή μη υλική ζημία.

40      Κατά συνέπεια, η παράβαση διατάξεων του ΓΚΠΔ που απονέμουν δικαιώματα στο υποκείμενο των δεδομένων δεν αρκεί αφ’ εαυτής για τη θεμελίωση ουσιαστικού δικαιώματος αποζημίωσης δυνάμει του κανονισμού αυτού, σύμφωνα με τον οποίον πρέπει να πληρούνται και οι άλλες δύο προϋποθέσεις θεμελίωσης του δικαιώματος αυτού που μνημονεύονται στη σκέψη 34 της παρούσας απόφασης.

41      Εν προκειμένω, ο ενάγων της κύριας δίκης ζητεί, βάσει του ΓΚΠΔ, την αποκατάσταση μη υλικής ζημίας, ήτοι της απώλειας ελέγχου επί των δεδομένων του προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία παρά την αντίθεσή του, και υποστηρίζει ότι δεν υποχρεούται να αποδείξει ότι η βλάβη αυτή υπερέβη ορισμένο βαθμό σοβαρότητας.

42      Συναφώς, επισημαίνεται ότι η αιτιολογική σκέψη 85 του ΓΚΠΔ μνημονεύει ρητώς την «απώλεια του ελέγχου» μεταξύ των ζημιών που μπορούν να προκληθούν από την παραβίαση δεδομένων προσωπικού χαρακτήρα. Επιπλέον, το Δικαστήριο έχει κρίνει ότι η απώλεια του ελέγχου επί των δεδομένων αυτών ακόμη και για σύντομο χρονικό διάστημα μπορεί να αποτελέσει «μη υλική βλάβη», κατά την έννοια του άρθρου 82, παράγραφος 1, του κανονισμού, και να θεμελιώσει δικαίωμα αποζημίωσης, υπό την προϋπόθεση ότι το υποκείμενο των δεδομένων αποδεικνύει ότι υπέστη πράγματι τέτοια ζημία, όσο ασήμαντη και αν είναι αυτή (πρβλ. απόφαση της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψη 66 και εκεί μνημονευόμενη νομολογία).

43      Κατόπιν των ανωτέρω, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι η παράβαση διατάξεων του κανονισμού αυτού που απονέμουν δικαιώματα στο υποκείμενο των δεδομένων δεν αρκεί αφ’ εαυτής για τη διαπίστωση «μη υλικής ζημίας», κατά την έννοια της διάταξης αυτής, ανεξαρτήτως της σοβαρότητας της ζημίας που υπέστη το πρόσωπο αυτό.

 Επί του δεύτερου προδικαστικού ερωτήματος

44      Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ερωτά κατ’ ουσίαν εάν το άρθρο 82 του ΓΚΠΔ έχει την έννοια ότι, προκειμένου ο υπεύθυνος επεξεργασίας να απαλλαγεί από την ευθύνη του βάσει της παραγράφου 3 του άρθρου αυτού, αρκεί να προβάλει ότι η επίμαχη ζημία προκλήθηκε από σφάλμα προσώπου που ενεργεί υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του κανονισμού.

45      Υπενθυμίζεται συναφώς, πρώτον, ότι το άρθρο 82 του ΓΚΠΔ ορίζει στην παράγραφο 2 ότι κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία κατά παράβαση του κανονισμού και, στην παράγραφο 3, ότι ο υπεύθυνος επεξεργασίας απαλλάσσεται από την ευθύνη της παραγράφου 2 εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

46      Το Δικαστήριο έχει διαπιστώσει ότι από τη συνδυασμένη ανάλυση των παραγράφων 2 και 3 του εν λόγω άρθρου 82 προκύπτει ότι το άρθρο αυτό προβλέπει καθεστώς ευθύνης λόγω υπαιτιότητας, στο πλαίσιο του οποίου ο υπεύθυνος επεξεργασίας τεκμαίρεται ότι συμμετείχε στην κατά παράβαση του ΓΚΠΔ επεξεργασία, με αποτέλεσμα να μη φέρει το βάρος απόδειξης το πρόσωπο που υπέστη τη ζημία, αλλά ο υπεύθυνος επεξεργασίας (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψεις 92 έως 94).

47      Όσον αφορά το ζήτημα αν ο υπεύθυνος επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη του δυνάμει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, για τον λόγο και μόνον ότι η ζημία προκλήθηκε από υπαίτια συμπεριφορά προσώπου το οποίο ενεργεί υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του κανονισμού, αφενός, από το εν λόγω άρθρο 29 προκύπτει ότι τα πρόσωπα που ενεργούν υπό την εποπτεία του υπευθύνου επεξεργασίας, όπως οι υπάλληλοί του, τα οποία έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, μπορούν κατ’ αρχήν να επεξεργάζονται τα δεδομένα αυτά μόνον κατ’ εντολή του υπευθύνου επεξεργασίας και σύμφωνα με αυτήν (πρβλ. απόφαση της 22ας Ιουνίου 2023, Pankki S, C‑579/21, EU:C:2023:501, σκέψεις 73 και 74).

48      Αφετέρου, το άρθρο 32, παράγραφος 4, του ΓΚΠΔ, σχετικά με την ασφάλεια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, προβλέπει ότι ο υπεύθυνος επεξεργασίας λαμβάνει μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του και έχει πρόσβαση σε τέτοια δεδομένα τα επεξεργάζεται μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή κράτους μέλους.

49      Ο υπάλληλος του υπευθύνου επεξεργασίας είναι πράγματι φυσικό πρόσωπο το οποίο ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας. Επομένως, εναπόκειται στον εν λόγω υπεύθυνο να διασφαλίζει ότι οι οδηγίες του εφαρμόζονται σωστά από τους υπαλλήλους του. Ως εκ τούτου, ο υπεύθυνος επεξεργασίας δεν μπορεί να απαλλαγεί από την ευθύνη που υπέχει βάσει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, προβάλλοντας απλώς αμέλεια ή παράλειψη προσώπου που ενεργεί υπό την εποπτεία του.

50      Εν προκειμένω, με τις γραπτές παρατηρήσεις της ενώπιον του Δικαστηρίου, η juris υποστηρίζει κατ’ ουσίαν ότι ο υπεύθυνος επεξεργασίας πρέπει να απαλλάσσεται από την ευθύνη του, δυνάμει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, όταν η παράβαση που προκάλεσε τη ζημία καταλογίζεται στη συμπεριφορά υπαλλήλου του ο οποίος δεν ακολούθησε τις οδηγίες του εν λόγω υπευθύνου και εφόσον η παράβαση αυτή δεν οφείλεται σε παράβαση των υποχρεώσεων που υπέχει ο ίδιος ο υπεύθυνος, όπως αυτές προβλέπονται ειδικότερα από τα άρθρα 24, 25 και 32 του κανονισμού.

51      Επισημαίνεται συναφώς ότι οι περιστάσεις της απαλλαγής που προβλέπεται από το άρθρο 82, παράγραφος 3, του ΓΚΠΔ πρέπει να περιορίζονται αυστηρά στις περιπτώσεις στις οποίες ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι η ζημία δεν μπορεί να του καταλογιστεί (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 70). Ως εκ τούτου, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα από πρόσωπο το οποίο ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας, ο τελευταίος μπορεί να απαλλαγεί μόνον εφόσον αποδείξει ότι δεν υφίσταται αιτιώδης συνάφεια μεταξύ της τυχόν παράβασης της υποχρέωσης προστασίας των δεδομένων, την οποία υπέχει δυνάμει των άρθρων 5, 24 και 32 του κανονισμού, και της ζημίας που υπέστη το υποκείμενο των δεδομένων (βλ., κατ’ αναλογίαν, απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 72).

52      Ως εκ τούτου, προκειμένου ο υπεύθυνος επεξεργασίας να απαλλαγεί από την ευθύνη του δυνάμει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, δεν αρκεί να αποδείξει ότι είχε δώσει οδηγίες στα πρόσωπα που ενεργούσαν υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του κανονισμού αυτού, και ότι κάποιο από αυτά παρέβη την υποχρέωσή του να ακολουθεί τις οδηγίες αυτές, με αποτέλεσμα να συμβάλει στην επέλευση της επίμαχης ζημίας.

53      Πράγματι, αν γινόταν δεκτό ότι ο υπεύθυνος επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη του προβάλλοντας απλώς το σφάλμα προσώπου που ενεργεί υπό την εποπτεία του, τούτο θα έθιγε την πρακτική αποτελεσματικότητα του δικαιώματος αποζημίωσης που κατοχυρώνεται από το άρθρο 82, παράγραφος 1, του ΓΚΠΔ, όπως επισήμανε κατ’ ουσίαν το αιτούν δικαστήριο, και, επιπλέον, δεν θα ήταν σύμφωνο με τον σκοπό του κανονισμού αυτού, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

54      Κατόπιν των ανωτέρω, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82 του ΓΚΠΔ έχει την έννοια ότι, προκειμένου ο υπεύθυνος επεξεργασίας να απαλλαγεί από την ευθύνη του βάσει της παραγράφου 3 του άρθρου αυτού, δεν αρκεί να προβάλει ότι η επίμαχη ζημία προκλήθηκε από σφάλμα προσώπου που ενεργεί υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του κανονισμού.

 Επί του τρίτου και του τέταρτου προδικαστικού ερωτήματος

55      Με το τρίτο και το τέταρτο προδικαστικό ερώτημα, τα οποία πρέπει να εξεταστούν από κοινού, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι, για τον καθορισμό του ύψους της αποζημίωσης που οφείλεται για την αποκατάσταση ζημίας βάσει της διάταξης αυτής, πρέπει, αφενός, να εφαρμόζονται, τηρουμένων των αναλογιών, τα κριτήρια για τον καθορισμό του ύψους των διοικητικών προστίμων που προβλέπονται στο άρθρο 83 του κανονισμού και, αφετέρου, να λαμβάνεται υπόψη το γεγονός ότι οι παραβάσεις του κανονισμού από τις οποίες εθίγη το πρόσωπο που ζητεί αποζημίωση είναι περισσότερες της μιας για την ίδια πράξη επεξεργασίας.

56      Πρώτον, όσον αφορά την ενδεχόμενη συνεκτίμηση των κριτηρίων του άρθρου 83 του ΓΚΠΔ κατά τον υπολογισμό του ύψους της οφειλόμενης βάσει του άρθρου 82 του ΓΚΠΔ αποζημίωσης, δεν αμφισβητείται ότι οι δύο αυτές διατάξεις επιδιώκουν διαφορετικούς σκοπούς. Πράγματι, ενώ το άρθρο 83 του κανονισμού θέτει τους «[γενικούς] όρους επιβολής διοικητικών προστίμων», το άρθρο 82 διέπει το «[δ]ικαίωμα αποζημίωσης και [την] ευθύνη».

57      Ως εκ τούτου, τα κριτήρια του άρθρου 83 του ΓΚΠΔ για τον καθορισμό του ύψους των διοικητικών προστίμων, τα οποία μνημονεύονται και στην αιτιολογική σκέψη 148 του κανονισμού αυτού, δεν μπορούν να χρησιμοποιηθούν για τον υπολογισμό του ποσού της αποζημίωσης βάσει του άρθρου 82 του ΓΚΠΔ.

58      Όπως έχει επισημάνει το Δικαστήριο, ο ΓΚΠΔ δεν περιέχει διάταξη σχετική με την εκτίμηση της οφειλόμενης αποζημίωσης βάσει του δικαιώματος αποζημίωσης που κατοχυρώνει στο άρθρο 82. Ως εκ τούτου, τα εθνικά δικαστήρια οφείλουν να εφαρμόζουν κατά την εκτίμηση αυτή, δυνάμει της αρχής της δικονομικής αυτονομίας, τους εσωτερικούς κανόνες κάθε κράτους μέλους σχετικά με την έκταση της χρηματικής αποζημίωσης, υπό την προϋπόθεση ότι τηρούνται οι αρχές της ισοδυναμίας και της αποτελεσματικότητας του δικαίου της Ένωσης, όπως ορίζονται από την πάγια νομολογία του Δικαστηρίου (πρβλ. αποφάσεις της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψεις 83 και 101 και εκεί μνημονευόμενη νομολογία, και της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψη 53).

59      Στο πλαίσιο αυτό, το Δικαστήριο έχει επισημάνει ότι το άρθρο 82 του ΓΚΠΔ επιτελεί όχι τιμωρητική, αλλά αντισταθμιστική λειτουργία, αντιθέτως προς άλλες διατάξεις του κανονισμού οι οποίες περιλαμβάνονται επίσης στο κεφάλαιο VIII αυτού, ήτοι στα άρθρα 83 και 84, τα οποία έχουν κατ’ ουσίαν τιμωρητικό σκοπό, δεδομένου ότι επιτρέπουν την επιβολή, αντιστοίχως, διοικητικών προστίμων και άλλων κυρώσεων. Η σχέση μεταξύ των κανόνων του άρθρου 82 και των κανόνων των άρθρων 83 και 84 καταδεικνύει ότι οι δύο αυτές κατηγορίες διατάξεων είναι διαφορετικές, αλλά και συμπληρωματικές, όσον αφορά την ενθάρρυνση της τήρησης του ΓΚΠΔ, καθώς το δικαίωμα κάθε προσώπου να ζητήσει την αποκατάσταση μιας ζημίας ενισχύει την αποτελεσματικότητα των κανόνων προστασίας του ΓΚΠΔ και αποθαρρύνει την επανάληψη παράνομων συμπεριφορών (απόφαση της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψη 47 και εκεί μνημονευόμενη νομολογία).

60      Εξάλλου, το Δικαστήριο έχει συναγάγει από το γεγονός ότι το δικαίωμα αποζημίωσης που προβλέπεται στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ δεν επιτελεί αποτρεπτική ή και τιμωρητική λειτουργία ότι η σοβαρότητα της παράβασης του κανονισμού αυτού η οποία προκάλεσε την προβαλλόμενη υλική ή μη υλική ζημία δεν μπορεί να επηρεάσει το ύψος της αποζημίωσης που επιδικάζεται δυνάμει της διάταξης αυτής. Επομένως, το σχετικό ποσό δεν μπορεί να καθοριστεί σε επίπεδο που υπερβαίνει την πλήρη αποκατάσταση της ζημίας (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψη 86).

61      Λαμβάνοντας υπόψη την αιτιολογική σκέψη 146, έκτη περίοδος, του ΓΚΠΔ, κατά την οποία το νομοθέτημα αυτό αποσκοπεί στο να διασφαλίσει ότι τα υποκείμενα των δεδομένων λαμβάνουν «πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν», το Δικαστήριο επισήμανε ότι, λαμβανομένης υπόψη της αντισταθμιστικής λειτουργίας του δικαιώματος αποζημίωσης που προβλέπεται στο άρθρο 82 του κανονισμού, η χρηματική αποζημίωση βάσει του ίδιου άρθρου πρέπει να θεωρείται «πλήρης και ουσιαστική» αν παρέχει τη δυνατότητα πλήρους αποκατάστασης της συγκεκριμένης ζημίας που προκλήθηκε από την παράβαση του κανονισμού, χωρίς να απαιτείται, για τους σκοπούς μιας τέτοιας πλήρους αποζημίωσης, να επιβληθεί η επιδίκαση τιμωρητικής αποζημίωσης (απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψη 84 και εκεί μνημονευόμενη νομολογία).

62      Επομένως, λαμβανομένων υπόψη των διαφορών, ως προς το γράμμα και τον σκοπό, μεταξύ του άρθρου 82, σε συνδυασμό με την αιτιολογική σκέψη 146, και του άρθρου 83 του ΓΚΠΔ, ερμηνευόμενου υπό το πρίσμα της αιτιολογικής σκέψης 148, δεν μπορεί να γίνει δεκτό ότι τα κριτήρια αξιολόγησης που προβλέπονται ειδικώς στο εν λόγω άρθρο 83 μπορούν να εφαρμοστούν, τηρουμένων των αναλογιών, στο πλαίσιο του εν λόγω άρθρου 82, παρά το γεγονός ότι τα ένδικα βοηθήματα που προβλέπονται στις δύο αυτές διατάξεις λειτουργούν σαφώς συμπληρωματικά, με σκοπό τη διασφάλιση της συμμόρφωσης προς τον κανονισμό.

63      Δεύτερον, όσον αφορά τον τρόπο με τον οποίο τα εθνικά δικαστήρια οφείλουν να εκτιμούν το ύψος της χρηματικής αποζημίωσης βάσει του άρθρου 82 του ΓΚΠΔ σε περιπτώσεις πολλαπλών παραβάσεων του κανονισμού αυτού εις βάρος του ίδιου υποκειμένου των δεδομένων, πρέπει κατ’ αρχάς να τονιστεί ότι, όπως αναφέρθηκε στη σκέψη 58 της παρούσας απόφασης, εναπόκειται σε κάθε κράτος μέλος να θέσει τα κριτήρια για τον καθορισμό του ύψους της αποζημίωσης αυτής, τηρώντας πάντοτε τις αρχές της αποτελεσματικότητας και της ισοδυναμίας του δικαίου της Ένωσης.

64      Εν συνεχεία, λαμβανομένου υπόψη ότι, όπως υπενθυμίζεται στις σκέψεις 60 και 61 της παρούσας απόφασης, το άρθρο 82 του ΓΚΔΠ επιτελεί αντισταθμιστική και όχι τιμωρητική λειτουργία, το γεγονός ότι ο υπεύθυνος επεξεργασίας διέπραξε περισσότερες της μιας παραβάσεις εις βάρος ενός υποκειμένου δεδομένων δεν μπορεί να αποτελέσει λυσιτελές κριτήριο για την εκτίμηση του ύψους της επιδικαστέας στο πρόσωπο αυτό αποζημίωσης δυνάμει του άρθρου 82. Πράγματι, μόνον η ζημία την οποίαν υπέστη το πρόσωπο αυτό πρέπει να ληφθεί υπόψη για τον καθορισμό του ύψους της χρηματικής αποζημίωσης.

65      Κατά συνέπεια, στο τρίτο και στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι, για τον καθορισμό του ύψους της αποζημίωσης που οφείλεται για την αποκατάσταση ζημίας βάσει της διάταξης αυτής, αφενός, δεν μπορούν να εφαρμόζονται, έστω και τηρουμένων των αναλογιών, τα κριτήρια για τον καθορισμό του ύψους των διοικητικών προστίμων που προβλέπονται στο άρθρο 83 του κανονισμού και, αφετέρου, δεν πρέπει να λαμβάνεται υπόψη το γεγονός ότι οι παραβάσεις του κανονισμού από τις οποίες εθίγη το πρόσωπο που ζητεί αποζημίωση ήταν περισσότερες της μιας για την ίδια πράξη επεξεργασίας.

 Επί των δικαστικών εξόδων

66      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (τρίτο τμήμα) αποφαίνεται:

1)      Το άρθρο 82, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),

έχει την έννοια ότι:

η παράβαση διατάξεων του κανονισμού αυτού που απονέμουν δικαιώματα στο υποκείμενο των δεδομένων δεν μπορεί αφ’ εαυτής να αποτελέσει «μη υλική ζημία», κατά την έννοια της διάταξης αυτής, ανεξαρτήτως της σοβαρότητας της ζημίας που υπέστη το πρόσωπο αυτό.

2)      Το άρθρο 82 του κανονισμού 2016/679

έχει την έννοια ότι:

προκειμένου ο υπεύθυνος επεξεργασίας να απαλλαγεί από την ευθύνη του βάσει της παραγράφου 3 του άρθρου αυτού, δεν αρκεί να προβάλει ότι η επίμαχη ζημία προκλήθηκε από σφάλμα προσώπου που ενεργεί υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του κανονισμού.

3)      Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679

έχει την έννοια ότι:

για τον καθορισμό του ύψους της αποζημίωσης που οφείλεται για την αποκατάσταση ζημίας βάσει της διάταξης αυτής, αφενός, δεν μπορούν να εφαρμόζονται, έστω και τηρουμένων των αναλογιών, τα κριτήρια για τον καθορισμό του ύψους των διοικητικών προστίμων που προβλέπονται στο άρθρο 83 του κανονισμού και, αφετέρου, δεν πρέπει να λαμβάνεται υπόψη το γεγονός ότι οι παραβάσεις του κανονισμού από τις οποίες εθίγη το πρόσωπο που ζητεί αποζημίωση ήταν περισσότερες της μιας για την ίδια πράξη επεξεργασίας.

(υπογραφές)

*      Γλώσσα διαδικασίας: η γερμανική.