–

an Natsionalna agentsia za prihodite, ag R. Spetsov,

–

Rialtas na Bulgáire, ag M. Georgieva agus L. Zaharieva, i gcáil Gníomhairí,

–

Rialtas na Seice, ag O. Serdula, M. Smolek agus J. Vláčil, i gcáil gníomhairí,

–

Éire, ag M. Browne, Príomh-Aturnae Stáit, A. Joyce, J. Quaney agus M. Tierney, i gcáil Gníomhairí, agus ag D. Fennelly, Abhcóide,

–

Rialtas na hIodáile, ag G. Palmieri, i gcáil Gníomhaire, agus ag E. De Bonis, avvocato dello Stato,

–

Rialtas na Portaingéile, ag P. Barros da Costa, A. Pimenta, M.J. Ramos agus C. Vieira Guerra, i gcáil Gníomhairí,

–

an Coimisiún Eorpach, ag A. Bouchagiar, H. Kranenborg agus N. Nikolova, i gcáil Gníomhairí,

1

Baineann an iarraidh ar réamhrialú le léiriú Airteagal 5(2), Airteagail 24 agus 32 agus Airteagal 82(1) go (3) de Rialachán (AE) 2016/679 ó Pharlaimint na hEorpa agus ón gComhairle an 27 Aibreán 2016 maidir le daoine nádúrtha a chosaint i ndáil le sonraí pearsanta a phróiseáil agus maidir le saorghluaiseacht sonraí den sórt sin, agus lena n‑aisghairtear Treoir 95/46/CE (an Rialachán Ginearálta maidir le Cosaint Sonraí) (IO 2016 L 119, lch. 1) (‘RGCS’).

2

Rinneadh an iarraidh seo in imeachtaí idir VB, duine nádúrtha, agus an Natsionalna agentsia za prihodite (an Ghníomhaireacht Náisiúnta Ioncaim, an Bhulgáir) (‘NAP’) maidir le cúiteamh as damáiste neamhábhartha a éilíonn an duine sin gur baineadh dó mar gheall ar mhainneachtain líomhainte an údaráis sin a chuid oibleagáidí dlíthiúla mar rialaitheoir sonraí pearsanta a chomhlíonadh.

3

Foráiltear mar seo a leanas le haithrisí 4, 10, 11, 74, 76, 83, 85 agus 146 de RGCS:

[…]

[…]

[…]

[…]

[…]

[…]

4

Foráiltear mar seo a leanas in Airteagal 4 den Rialachán sin, dar teideal ‘Sainmhínithe’:

‘Chun críocha an Rialacháin seo, tá feidhm ag na sainmhínithe seo a leanas:

[…]

[…]

[…]

[…]’

5

Foráiltear mar a leanas le hAirteagal 5 den Rialachán sin, dar teideal ‘Prionsabail a bhaineann le próiseáil sonraí pearsanta’:

‘1.   Maidir le sonraí pearsanta:

[…]

2.   Is é an rialaitheoir a bheidh freagrach as mír 1 a chomhlíonadh, agus beidh sé in ann an comhlíonadh sin a thaispeáint (“cuntasacht”).’

6

Faoi Airteagal 24 den Rialachán sin, dar teideal ‘Freagracht an rialaitheora’:

‘1.   Agus cineál, raon feidhme, comhthéacs agus críocha na próiseála á gcur san áireamh aige, mar aon leis na rioscaí do chearta agus do shaoirsí daoine nádúrtha, ar rioscaí iad lena ngabhann dóchúlacht agus déine éagsúil, cuirfidh an rialaitheoir bearta iomchuí teicniúla agus eagraíochtúla chun feidhme lena áirithiú agus le bheith in ann a thaispeáint go ndéantar an phróiseáil i gcomhréir leis an Rialachán seo. Déanfar na bearta sin a athbhreithniú agus a thabhairt cothrom le dáta i gcás inar gá.

2.   Áireofar sna bearta dá dtagraítear i mír 1 go gcuirfidh an rialaitheoir beartais iomchuí um chosaint sonraí chun feidhme má tá sin comhréireach i dtaca le gníomhaíochtaí próiseála.

3.   Má chloítear le cóid fhormheasta iompair amhail dá dtagraítear in Airteagal 40 nó le sásraí formheasta deimhniúcháin amhail dá dtagraítear in Airteagal 42, féadfar sin a úsáid mar ghné lena thaispeáint go gcomhlíontar oibleagáidí an rialaitheora.’

7

Foráiltear le hAirteagal 32 de RGCS, dar teideal ‘Slándáil na próiseála’:

‘1.   Agus an úrscothacht, na costais a bhaineann leis an gcur chun feidhme, agus cineál, raon feidhme, comhthéacs agus críocha na próiseála á gcur san áireamh, mar aon leis an riosca do chearta agus do shaoirsí daoine nádúrtha a bhaineann leis an bpróiseáil, ar riosca é lena ngabhann dóchúlacht agus déine éagsúil, déanfaidh an rialaitheoir agus an próiseálaí bearta iomchuí teicniúla agus eagraíochtúla a chur chun feidhme chun leibhéal slándála a áirithiú is iomchuí don riosca sin, lena n‑áirítear, inter alia, de réir mar is iomchuí:

2.   Agus measúnú á dhéanamh ar an leibhéal iomchuí slándála, tabharfar aird go háirithe ar na rioscaí a bhaineann leis an bpróiseáil, go háirithe scrios, cailleadh, athrú nó nochtadh neamhúdaraithe sonraí pearsanta a rinneadh a tharchur, a stóráil nó a phróiseáil ar bhealach eile, nó rochtain neamhúdaraithe ar na sonraí sin, bíodh sé sin de thaisme nó neamhdhleathach.

3.   Má chloítear le cód formheasta iompair amhail dá dtagraítear in Airteagal 40 nó le sásra formheasta deimhniúcháin amhail dá dtagraítear in Airteagal 42, féadfar sin a úsáid mar eilimint lena thaispeáint go gcomhlíontar na ceanglais a leagtar amach i mír 1 den Airteagal seo.

[…]’

8

Sonraítear an méid seo a leanas in Airteagal 79(1) den Rialachán sin, dar teideal ‘An ceart chun leigheas breithiúnach éifeachtach a fháil i gcoinne rialaitheora nó próiseálaí’:

‘Gan dochar d'aon leigheas riaracháin nó neamhbhreithiúnach atá ar fáil, lena n‑áirítear an ceart gearán a thaisceadh le húdarás maoirseachta de bhun Airteagal 77, beidh an ceart chun leigheas breithiúnach éifeachtach a fháil ag gach ábhar sonraí i gcás ina measann sé nó sí gur sáraíodh a gcearta faoin Rialachán seo mar thoradh ar phróiseáil a shonraí pearsanta nó a sonraí pearsanta i neamhchomhlíonadh an Rialacháin seo.’

9

Sonraítear i míreanna 1 go 3 d’Airteagal 82 den Rialachán sin, dar teideal ‘An ceart chun cúiteamh a fháil agus dliteanas’:

‘1.   Aon duine a mbaineann damáiste ábhartha nó neamhábhartha dó mar thoradh ar shárú an Rialacháin seo, beidh sé i dteideal cúiteamh a fháil ón rialaitheoir nó ón bpróiseálaí as an damáiste a bhain dó.

2.   Aon rialaitheoir a bhfuil baint aige le próiseáil, beidh sé faoi dhliteanas i leith an damáiste a eascraíonn ó phróiseáil a sháraíonn an Rialachán seo. […]

3.   Beidh rialaitheoir nó próiseálaí díolmhaithe ó dhliteanas faoi mhír 2 má chruthaíonn sé nach bhfuil sé ar dhóigh ar bith freagrach as an imeacht ba shiocair leis an damáiste.’

10

Is údarás é an NAP atá ceangailte le hAire Airgeadais na Bulgáire. Mar chuid dá chúraimí, arb éard iad, inter alia, fiacha poiblí a shainaithint, a áirithiú agus a aisghabháil, is rialaitheoir sonraí pearsanta é, de réir bhrí Airteagal 4(7) de RGCS.

11

An 15 Iúil 2019, léirigh na meáin go raibh rochtain neamhúdaraithe ar chóras TF NAP tar éis tarlú agus, tar éis an cibirionsaí sin, gur foilsíodh sonraí pearsanta a bhí sa chóras sin ar an idirlíon.

12

Chuir na himeachtaí sin isteach ar níos mó ná 6 mhilliún duine nádúrtha, a bhfuil náisiúntacht na Bulgáire agus coigríche acu. Thionscain na céadta acu, lena n‑áirítear an t‑achomharcóir sna príomhimeachtaí, caingne i gcoinne NAP mar chúiteamh as damáiste neamhábhartha a líomhnaítear a d’eascair as nochtadh a gcuid sonraí pearsanta.

13

Ba sa chúlra sin a thionscain an t‑achomharcóir sna príomhimeachtaí caingean os comhair Administrativen sad Sofia-grad (an Chúirt Riaracháin, Sóifia, an Bhulgáir) ag iarraidh ordú go n‑íocfadh NAP suim 1000 leva (BGN) (tuairim is EUR 510) léi mar dhamáistí, ar bhonn Airteagal 82 de RGCS agus fhorálacha dhlí na Bulgáire. Mar thaca leis an iarraidh sin, d’éiligh sí gur bhain damáiste neamhábhartha di mar thoradh ar shárú ar shonraí pearsanta, de réir bhrí Airteagal 4(12) de RGCS, go sonrach, sárú slándála a tharla de bharr mhainneachtain NAP a oibleagáidí a chomhlíonadh faoi, inter alia, Airteagal 5(1)(f) agus Airteagail 24 agus 32 den Rialachán sin. Is éard atá i gceist lena damáiste neamhábhartha ná an faitíos go bhféadfaí mí-úsáid a bhaint as a sonraí pearsanta amach anseo, tar éis dóibh a bheith foilsithe gan a toiliú, nó go ndéanfaí dúmhál nó ionsaí uirthi nó fiú go bhfuadófaí í.

14

Ina chosaint, mhaígh NAP, ar dtús, nár iarr an t‑achomharcóir sna príomhimeachtaí faisnéis air maidir leis na sonraí beachta a nochtadh. Ansin, tháirg NAP doiciméid a raibh sé mar aidhm leo a chruthú go raibh gach beart riachtanach déanta aige, roimh ré, chun sárú na sonraí pearsanta atá ina chóras TF a chosc agus, ina dhiaidh sin, chun éifeachtaí an tsáraithe sin a theorannú agus chun saoránaigh a chur ar a suaimhneas. Ina theannta sin, de réir NAP, ní raibh aon nasc cúiseach idir an damáiste líomhainte neamhábhartha agus an sárú sin. Ar deireadh, d'áitigh sé, ós rud é go ndearna daoine nach raibh fostaithe acu ionsaí mailíseach air, nach bhféadfaí é a chur faoi dhliteanas as iarmhairtí díobhálacha an ionsaithe sin.

15

Le cinneadh an 27 Samhain 2020, dhíbh Administrativen sad Sofia-grad (an Chúirt Riaracháin, Sóifia) an chaingean arna tionscnamh ag an achomharcóir sna príomhimeachtaí. Chinn an chúirt sin, ar an gcéad dul síos, go raibh rochtain neamhúdaraithe ar bhunachar sonraí NAP mar thoradh ar phíoráideacht bogearraí a rinne tríú páirtithe agus, ar an dara dul síos, nár chruthaigh an t‑achomharcóir sna príomhimeachtaí gur theip ar an NAP gníomhú maidir le bearta slándála a ghlacadh. Ina theannta sin, chinn sí nár bhain aon damáiste neamhábhartha don achomharcóir as a d’eascair ceart chun cúitimh.

16

Thionscain an t‑achomharcóir sna príomhimeachtaí achomharc ar phointe dlí i gcoinne an chinnidh sin os comhair an Varhoven administrativen sad (an Chúirt Uachtarach Riaracháin, an Bhulgáir), arb í an chúirt a rinne an tarchur sa chás seo. Mar thaca lena hachomharc, áitíonn sí go ndearna an chúirt chéadchéime earráid dlí agus í ag leithdháileadh an dualgas cruthúnais maidir leis na bearta slándála a ghlac NAP agus nár léirigh NAP nár theip air gníomhú chuige sin. Ina theannta sin, maíonn an t‑achomharcóir sna príomhimeachtaí gur damáiste neamhábhartha iarbhír, seachas hipitéiseach, é an faitíos roimh mhí-úsáid fhéideartha dá sonraí pearsanta sa todhchaí. Ina chosaint, cuireann NAP i gcoinne gach ceann de na hargóintí sin.

17

Ar dtús, measann an chúirt a rinne an tarchur an fhéidearthacht go bhféadfadh sárú ar shonraí pearsanta a bheith mar chúis, leis féin, teacht ar an gconclúid nach raibh na bearta a chuir an rialaitheoir sonraí i bhfeidhm ‘iomchuí’ de réir bhrí Airteagail 24 agus 32 de RGCS.

18

Mar sin féin, i gcás nach leor an cinneadh sin chun teacht ar chonclúid den sórt sin, ardaíonn sí an cheist, ar an gcéad dul síos, maidir le raon feidhme an athbhreithnithe nach mór do na cúirteanna náisiúnta a dhéanamh chun oiriúnacht na mbeart lena mbaineann a mheasúnú agus, ar an dara dul síos, maidir leis na rialacha i ndáil le glacadh fianaise nach mór a bheith infheidhme sa chomhthéacs sin, maidir leis an dualgas cruthúnais agus leis an bhfianaise araon, go háirithe i gcás ina dtugtar caingean os comhair na gcúirteanna sin faoi Airteagal 82 den Rialachán sin.

19

Ansin, is mian leis an gcúirt sin a fháil amach an bhfuil, i bhfianaise Airteagal 82(3) den Rialachán sin, an sárú ar shonraí pearsanta atá de thoradh ar ghníomh a rinne tríú páirtithe, sa chás seo cibirionsaí, ina fhachtóir lena ndíolmhaítear go córasach rialaitheoir na sonraí sin ó dhliteanas i leith an damáiste a bhaintear don ábhar sonraí.

20

Ar deireadh, fiafraíonn an chúirt sin an bhfuil sé de chumas ag faitíos an duine go bhféadfaí mí-úsáid a bhaint as a shonraí pearsanta sa todhchaí, sa chás seo tar éis rochtain neamhúdaraithe ar na sonraí sin agus a nochtadh ag cibearchoirpigh, ann féin, a bheith ina ‘damáiste neamhábhartha’, de réir bhrí Airteagal 82(1) de RGCS. Más amhlaidh, ní bheadh ar an duine sin a shuíomh go ndearna tríú páirtithe, roimh a éileamh nó a héileamh ar chúiteamh, úsáid mhídhleathach a bhaint as na sonraí sin, amhail mí-úsáid a chéannachta nó a céannachta.

21

Sna himthosca sin, chinn an Varhoven administrativen sad (an Chúirt Riaracháin Uachtarach) bac a chur ar na himeachtaí agus na ceisteanna seo a leanas a tharchur chuig an gCúirt Bhreithiúnais le haghaidh réamhrialú:

22

Lena chéad cheist, fiafraíonn an chúirt a rinne an tarchur, go bunúsach, an gá Airteagal 24 agus Airteagal 32 de RGCS a léiriú sa chaoi a gciallaíonn gur leor nochtadh neamhúdaraithe sonraí pearsanta nó rochtain neamhúdaraithe ag ‘tríú páirtí’ ar na sonraí sin, de réir bhrí Airteagal 4(10) den Rialachán sin, iontu féin, chun go measfaí nach raibh na bearta teicniúla agus eagraíochtúla a chuir an rialaitheoir lena mbaineann chun feidhme ‘iomchuí’, de réir bhrí Airteagal 24 agus Airteagal 32.

23

Mar réamhphointe, ba cheart a mheabhrú de réir cásdlí socair, maidir le téarmaí forála de dhlí an AE, amhail Airteagail 24 agus 32 de RGCS, nach ndéantar tagairt shainráite iontu do dhlí na mBallstát i dtéarmaí forála de dhlí an Aontais chun críche brí agus raon feidhme an dlí sin a chinneadh, nach mór léirmhíniú uathrialach aonfhoirmeach a thabhairt orthu ar fud an Aontais Eorpaigh, ag féachaint, inter alia, don fhoráil lena mbaineann, do na cuspóirí a shaothraítear leis an bhforáil sin agus dá comhthéacs (féach, chuige sin, breithiúnais an 18 Eanáir 1984, Ekro, 327/82, EU:C:1984:11, mír 11; an 1 Deireadh Fómhair 2019, Planet49, C‑673/17, EU:C:2019:801, míreanna 47 agus 48; agus an 4 Bealtaine 2023, Österreichische Post (Damáiste neamhábhartha a bhaineann le próiseáil sonraí pearsanta), C‑300/21, EU:C:2023:370, mír 29).

24

Sa chéad áit, maidir le foclaíocht na bhforálacha ábhartha, ba cheart a thabhairt faoi deara go leagtar síos le hAirteagal 24 den RGCS oibleagáid ghinearálta, ar thaobh an rialaitheora sonraí pearsanta, bearta teicniúla agus eagraíochtúla iomchuí a chur chun feidhme chun a áirithiú go ndéanfar an phróiseáil sin i gcomhréir leis an Rialachán sin agus go mbeidh an rialaitheoir ábalta é sin a thaispeáint.

25

Chuige sin, liostaítear in Airteagal 24(1) roinnt critéar atá le cur san áireamh agus measúnú á dhéanamh ar oiriúnacht beart den sórt sin, eadhon, cineál, raon feidhme, comhthéacs agus cuspóir na próiseála chomh maith leis na rioscaí a bhaineann le dóchúlachtaí agus déine éagsúla do chearta agus do shaoirsí daoine nádúrtha. Cuirtear leis, leis an bhforáil sin go bhfuil na bearta sin le hathbhreithniú agus le nuashonrú nuair is gá.

26

Ón taobh sin de, leagtar amach in Airteagal 32 de RGCS na hoibleagáidí atá ar an rialaitheoir agus ar phróiseálaí féideartha maidir le slándáil na próiseála sin. Mar sin, foráiltear le mír 1 den Airteagal sin nach mór don rialaitheoir agus don phróiseálaí bearta teicniúla agus eagraíochtúla iomchuí a chur chun feidhme chun leibhéal slándála a áirithiú atá oiriúnach do na rioscaí a luaitear sa mhír roimhe seo den bhreithiúnas seo, agus an úrscothacht, na costais a bhaineann le cur chun feidhme agus cineál, raon feidhme, comhthéacs agus críocha na próiseála a chur san áireamh lena mbaineann á gcur san áireamh.

27

Ar an gcaoi chéanna, sonraítear i mír 2 den Airteagal sin, agus an leibhéal iomchuí slándála á mheasúnú, tabharfar aird go háirithe ar na rioscaí a bhaineann leis an bpróiseáil, go háirithe scrios, cailleadh, athrú nó nochtadh neamhúdaraithe sonraí pearsanta nó rochtain ar na sonraí sin, bíodh sé sin de thaisme nó neamhdhleathach.

28

Ina theannta sin, sonraítear in Airteagal 24(3) agus in Airteagal 32(3) den Rialachán sin go bhféadfaidh an rialaitheoir nó an próiseálaí a léiriú gur chomhlíon sé ceanglais mhír 1 faoi seach de na hairteagail sin trína bheith ag brath ar an bhfíoras go gcloíonn sé le cóid iompair fhormheasta nó le sásraí deimhniúcháin formheasta, dá dtagraítear in Airteagal 40 agus in Airteagal 42 den Rialachán sin.

29

Léirítear leis an tagairt in Airteagal 32(1) agus (2) de RGCS do ‘chun leibhéal slándála a áirithiú is iomchuí don riosca sin’ agus do ‘leibhéal iomchuí slándála’ go suitear leis an Rialachán sin córas bainistithe riosca agus nach n‑airbheartaítear leis ar dhóigh ar bith deireadh a chur leis na rioscaí a bhaineann le sáruithe ar shonraí pearsanta.

30

Mar sin, is léir ó fhoclaíocht Airteagal 24 agus Airteagal 32 de RGCS nach gceanglaítear leis na forálacha sin ach ar an rialaitheoir bearta teicniúla agus eagraíochtúla a ghlacadh atá beartaithe chun, a mhéid is féidir, aon sárú ar shonraí pearsanta a sheachaint. Ní mór oiriúnacht beart den sórt sin a mheasúnú ar bhealach nithiúil, trí mheasúnú a dhéanamh ar cé acu ar chuir an rialaitheoir sin na bearta sin chun feidhme, ag cur san áireamh na gcritéar éagsúil dá dtagraítear sna hAirteagail sin agus na riachtanais chosanta sonraí is gné dhílis go sonrach sa phróiseáil lena mbaineann agus na rioscaí a eascraíonn as an bpróiseáil sin.

31

Dá bhrí sin, ní féidir le hAirteagal 24 agus le hAirteagal 32 de RGCS a thuiscint sa chaoi gur leor nochtadh neamhúdaraithe sonraí pearsanta nó rochtain neamhúdaraithe ar shonraí den sórt sin ag tríú páirtí chun a chinneadh nach raibh na bearta arna nglacadh ag an rialaitheoir lena mbaineann iomchuí, de réir bhrí na bhforálacha sin, gan fiú ligean don rialaitheoir sin fianaise dá mhalairt a thabhairt ar aird.

32

Tá gá le léiriú den sórt sin ós rud é go bhforáiltear go sainráite le hAirteagal 24 den RGCS nach mór don rialaitheoir a bheith in ann a léiriú go gcomhlíonann na bearta a chuir sé chun feidhme an Rialachán sin, féidearthacht a bhainfí de dá nglacfaí le toimhde do-chúlghairthe.

33

Sa dara háit, tacaíonn gnéithe comhthéacsúla agus teileaeolaíocha leis an léiriú sin ar Airteagail 24 agus 32 de RGCS.

34

Ar an gcéad dul síos, maidir le comhthéacs an dá airteagal sin, ba cheart a thabhairt faoi deara gur léir ó Airteagal 5(2) de RGCS nach mór don rialaitheoir a bheith ábalta a léiriú gur chomhlíon sé na prionsabail a bhaineann le próiseáil sonraí pearsanta atá leagtha amach i mír 1 den Airteagal sin. Déantar an oibleagáid sin a atáirgeadh agus a shoiléiriú in Airteagal 24(1) agus (3) agus in Airteagal 32(3) den Rialachán sin, maidir leis an oibleagáid bearta teicniúla agus eagraíochtúla a chur chun feidhme chun sonraí den sórt sin a chosaint le linn na próiseála arna déanamh ag an rialaitheoir sin. Ní bheadh aon chiall le hoibleagáid den sórt sin chun oiriúnacht na mbeart sin a léiriú dá mbeadh oibleagáid ar an rialaitheoir sin gach sárú ar na sonraí sin a chosc.

35

Ina theannta sin, leagtar béim in aithris 74 de RGCS ar a thábhachtaí atá sé go mbeadh oibleagáid ar an rialaitheoir bearta iomchuí agus éifeachtacha a chur chun feidhme agus a bheith ábalta a léiriú go gcomhlíontar an Rialachán sin le gníomhaíochtaí próiseála, lena n‑áirítear éifeachtacht na mbeart, ar cheart dóibh na critéir, a bhaineann le saintréithe na próiseála lena mbaineann agus leis an riosca a bhaineann leis, a leagtar amach in Airteagal 24 agus in Airteagal 32 den Rialachán sin a chur san áireamh freisin.

36

Ar an gcaoi chéanna, de réir aithris 76 den Rialachán sin, braitheann dóchúlacht agus déine an riosca ar ghnéithe sonracha na próiseála atá i gceist agus ba cheart an riosca sin a bheith faoi réir measúnú oibiachtúil.

37

Ina theannta sin, leanann sé ó Airteagal 82(2) agus (3) de RGCS, cé go bhfuil rialaitheoir faoi dhliteanas i leith damáiste a dhéantar de bharr próiseála atá de shárú ar an Rialachán sin, tá sé díolmhaithe mar sin féin ó dhliteanas má chruthaíonn sé nach bhfuil sé freagrach ar dhóigh ar bith as an teagmhas as ar eascair an damáiste.

38

Ar an dara dul síos, tacaítear freisin leis an léiriú a thugtar i mír 31 thuas in aithris 83 de RGCS, ina sonraítear, sa chéad abairt, ‘Chun an tslándáil a chothabháil agus chun cosc a chur ar phróiseáil de shárú ar an Rialachán seo, ba cheart don rialaitheoir nó don phróiseálaí meastóireacht a dhéanamh ar na rioscaí a bhaineann go bunúsach leis an bpróiseáil agus ba cheart dó bearta,... a chur chun feidhme chun na rioscaí sin a mhaolú’. Agus é sin á dhéanamh aige, chuir reachtóir an Aontais in iúl a rún na rioscaí a bhaineann le sáruithe ar shonraí pearsanta a ‘mhaolú’, gan a mhaíomh go bhféadfaí deireadh a chur leo.

39

I bhfianaise an méid sin thuas, is é an freagra ar an gcéad cheist ná nach mór Airteagal 24 agus Airteagal 32 de RGCS a léiriú sa chaoi a gciallaíonn nár leor nochtadh neamhúdaraithe sonraí pearsanta nó rochtain neamhúdaraithe ag ‘tríú páirtí’ ar na sonraí sin, de réir bhrí Airteagal 4(10) den Rialachán sin, iontu féin, chun go measfaí nach raibh na bearta teicniúla agus eagraíochtúla a chuir an rialaitheoir lena mbaineann chun feidhme ‘iomchuí’, de réir bhrí Airteagal 24 agus Airteagal 32.

40

Lena dara ceist, fiafraíonn an chúirt a rinne an tarchur, go bunúsach, an gá Airteagal 32 de RGCS a léiriú sa chaoi a gciallaíonn nach mór do na cúirteanna náisiúnta oiriúnacht na mbeart teicniúil agus eagrúcháin arna gcur chun feidhme ag an rialaitheoir, faoin Airteagal sin, a mheasúnú ar bhealach nithiúil, go háirithe trí na rioscaí a bhaineann leis an bpróiseáil lena mbaineann a chur san áireamh.

41

I dtaca leis sin, ba cheart a mheabhrú, mar a cuireadh in iúl i gcomhthéacs an fhreagra ar an gcéad cheist, go gceanglaítear le hAirteagal 32 de RGCS ar an rialaitheoir agus ar an bpróiseálaí, de réir mar is iomchuí, bearta teicniúla agus eagraíochtúla iomchuí a chur chun feidhme chun leibhéal slándála is iomchuí don riosca a áirithiú, agus na critéir measúnaithe a leagtar amach i mír 1 de á gcur san áireamh. Ina theannta sin, i mír 2 den Airteagal sin liostaítear, ar bhealach neamh-uileghabhálach, roinnt fachtóirí atá ábhartha chun an leibhéal sábháilteachta is iomchuí do na rioscaí a bhaineann leis an bpróiseáil lena mbaineann a mheasúnú.

42

Is léir ó Airteagal 32(1) agus (2) nach mór oiriúnacht beart eagraíochtúil agus teicniúil den sórt sin a mheasúnú in dhá chéim. Ar an gcéad dul síos, is gá na rioscaí a bhaineann le sárú ar shonraí pearsanta de bharr na próiseála lena mbaineann agus na hiarmhairtí a d’fhéadfadh a bheith acu do chearta agus do shaoirsí daoine nádúrtha a shainaithint. Ní mór an measúnú sin a dhéanamh ar bhealach nithiúil, ag cur san áireamh dóchúlacht na rioscaí arna sainaithint agus a ndéine. Ar an dara dul síos, is gá a fháil amach an bhfuil na bearta arna gcur chun feidhme ag an rialaitheoir iomchuí do na rioscaí sin, ag cur san áireamh an úrscothacht, na costais a bhaineann le cur chun feidhme agus cineál, raon feidhme, comhthéacs agus críocha na próiseála sin.

43

Is fíor go bhfuil lánrogha éigin ag an rialaitheoir maidir leis na bearta teicniúla agus eagraíochtúla iomchuí a chinneadh chun leibhéal slándála is iomchuí don riosca a áirithiú, mar a cheanglaítear le hAirteagal 32(1) de RGCS. Is é fírinne an scéil fós nach mór do chúirt náisiúnta a bheith ábalta meastóireacht a dhéanamh ar an measúnú casta arna dhéanamh ag an rialaitheoir agus, á dhéanamh sin, a áirithiú go bhfuil na bearta arna nglacadh ag an rialaitheoir iomchuí chun leibhéal slándála den sórt sin a áirithiú.

44

Ina theannta sin, tá sé de chumas ag léiriú den sórt sin, ar an gcéad dul síos, éifeachtacht chosaint sonraí pearsanta a leagtar béim orthu in aithris 11 agus in aithris 74 den Rialachán sin a áirithiú agus, ar an dara dul síos, an ceart chun leigheas breithiúnach éifeachtach a fháil i gcoinne rialaitheora, arna chosaint ag Airteagal 79(1) den Rialachán sin, arna léamh i gcomhar le haithris 4 de.

45

Dá bhrí sin, d’fhonn athbhreithniú a dhéanamh ar oiriúnacht na mbeart teicniúil agus eagraíochtúil arna gcur chun feidhme faoi Airteagal 32 de RGCS, níor cheart do chúirt náisiúnta í féin a theorannú chun a fháil amach conas a bheartaigh an rialaitheoir lena mbaineann a oibleagáidí faoin airteagal sin a chomhlíonadh, ach ní mór di scrúdú a dhéanamh ar shubstaint na mbeart sin, i bhfianaise na gcritéar uile dá dtagraítear san Airteagal sin, imthosca sonracha an cháis agus na fianaise atá ar fáil don chúirt sin ina leith sin.

46

Ceanglaítear le scrúdú den sórt sin anailís nithiúil ar chineál agus ar ábhar na mbeart a chuir an rialaitheoir chun feidhme, ar an mbealach ar cuireadh na bearta sin i bhfeidhm agus ar a n‑éifeachtaí praiticiúla ar an leibhéal slándála a raibh sé de cheangal ar an rialaitheoir a ráthú, ag féachaint do na rioscaí atá mar ghné dhílis den phróiseáil sin.

47

Dá bhrí sin, is é an freagra ar an dara ceist ná nach mór Airteagal 32 de RGCS a léiriú sa chaoi a gciallaíonn nach mór do na cúirteanna náisiúnta oiriúnacht na mbeart teicniúil agus eagraíochtúil arna gcur chun feidhme ag an rialaitheoir faoin airteagal sin a mheas ar bhealach nithiúil, trí na rioscaí a bhaineann leis an bpróiseáil lena mbaineann a chur san áireamh agus trí mheasúnú a dhéanamh an bhfuil cineál, ábhar agus cur chun feidhme na mbeart sin iomchuí do na rioscaí sin.

48

Leis an gcéad chuid dá tríú ceist, fiafraíonn an chúirt a rinne an tarchur, go bunúsach, an gá prionsabal cuntasachta an rialaitheora, atá leagtha amach in Airteagal 5(2) de RGCS agus a chuirtear in iúl in Airteagal 24 de, a léiriú sa chaoi a gciallaíonn, i gcaingean le haghaidh damáistí faoi Airteagal 82 den Rialachán sin, go bhfuil an dualgas ar an rialaitheoir i dtrácht a chruthú gur iomchuí na bearta slándála arna gcur chun feidhme aige faoi Airteagal 32 den Rialachán sin.

49

I dtaca leis sin, sa chéad áit, ba cheart a mheabhrú go mbunaítear le hAirteagal 5(2) de RGCS prionsabal na cuntasachta, faoina bhfuil an rialaitheoir freagrach as na prionsabail a bhaineann le próiseáil sonraí pearsanta a leagtar amach i mír 1 den Airteagal sin a chomhlíonadh, agus foráiltear leis nach mór don rialaitheoir sin a bheith ábalta comhlíonadh na bprionsabal sin a thaispeáint.

50

Go háirithe, ní mór don rialaitheoir, i gcomhréir le prionsabal sláine agus rúndacht na sonraí pearsanta atá leagtha síos in Airteagal 5(1)(f) den Rialachán sin, a áirithiú go ndéantar sonraí den sórt sin a phróiseáil ar bhealach lena n‑áirithítear slándáil iomchuí na sonraí sin, lena n‑áirítear cosaint ar phróiseáil neamhúdaraithe nó neamhdhleathach agus ar chailleadh, scrios nó damáiste de thaisme, agus úsáid á baint as bearta iomchuí teicniúla nó eagraíochtúla, agus ní mór dó a bheith ábalta comhlíonadh an phrionsabail sin a thaispeáint.

51

Ba cheart a thabhairt faoi deara freisin go gceanglaítear le hAirteagal 24(1) de RGCS, arna léamh i bhfianaise aithris 74 de, agus le hAirteagal 32(1) den Rialachán sin, ar an rialaitheoir, maidir le haon phróiseáil sonraí pearsanta a dhéanann sé nó a dhéantar thar a cheann, bearta teicniúla agus eagraíochtúla iomchuí a chur chun feidhme chun a áirithiú go ndéantar an phróiseáil i gcomhréir leis an Rialachán sin agus ní mór dó a bheith ábalta é sin a thaispeáint.

52

Is léir ó fhoclaíocht Airteagal 5(2), Airteagal 24(1) agus Airteagal 32(1) den RGCS go bhfuil an dualgas ar an rialaitheoir lena mbaineann a chruthú go ndéantar na sonraí pearsanta a phróiseáil ar bhealach a áiritheoidh slándáil iomchuí na sonraí sin, de réir bhrí Airteagal 5(1)(f) agus Airteagal 32 den Rialachán sin (féach, de réir analaí, breithiúnais an 4 Bealtaine 2023. Bundesrepublik Deutschland (Bosca poist leictreonach cúirte), C‑60/22, EU:C:2023:373, míreanna 52 agus 53, agus an 4 Iúil 2023, Meta Platforms agus páirtithe eile (Téarmaí ginearálta úsáide líonra sóisialta), C‑252/21, EU:C:2023:537, mír 95).

53

Mar sin leagtar amach sna trí airteagal sin riail maidir le cur i bhfeidhm ginearálta, nach mór, in éagmais aon tásc dá mhalairt in RGCS, a chur i bhfeidhm freisin i gcomhthéacs caingne le haghaidh damáistí atá bunaithe ar Airteagal 82 den Rialachán sin.

54

Sa dara háit, ní mór a chinneadh go bhfuil tacaíocht ann don léiriú litriúil roimhe seo le breithniú ar na cuspóirí arna saothrú ag RGCS.

55

Ar an gcéad dul síos, ós rud é go bhfuil an leibhéal cosanta dá bhforáiltear le RGCS ag brath ar na bearta slándála arna nglacadh ag rialaitheoirí sonraí pearsanta, ní mór na rialaitheoirí sin a spreagadh chun gach rud is féidir leo a dhéanamh chun cosc a chur ar tharlú oibríochtaí próiseála nach gcomhlíonann an Rialachán sin, ós rud é go bhfuil an dualgas orthu oiriúnacht na mbeart sin a thaispeáint.

56

Ar an dara dul síos, dá gcinnfí gur ar na hábhair sonraí atá an dualgas cruthúnais maidir le hoiriúnacht na mbeart sin, mar atá sainmhínithe in Airteagal 4(1) de RGCS, leanfadh sé go mbainfí cuid mhór dá éifeachtacht den cheart chun cúitimh dá bhforáiltear in Airteagal 82(1) de, cé go raibh sé beartaithe ag reachtóir an Aontais cearta na n‑ábhar sonraí agus oibleagáidí an rialaitheora a neartú, i gcomparáid leis na forálacha a bhí ann roimh an Rialachán sin, mar a shonraítear in aithris 11 de.

57

Is é an freagra ar an gcéad chuid den tríú ceist, dá bhrí sin, nach mór prionsabal cuntasachta an rialaitheora, atá leagtha amach in Airteagal 5(2) de RGCS agus a chuirtear in iúl in Airteagal 24 de, a léiriú sa chaoi a gciallaíonn, i gcaingean le haghaidh damáistí faoi Airteagal 82 den Rialachán sin, go bhfuil an dualgas ar an rialaitheoir i dtrácht a chruthú gur iomchuí na bearta slándála arna gcur chun feidhme aige de bhun Airteagal 32 den Rialachán sin.

58

Leis an dara cuid dá tríú ceist, féachann an chúirt a rinne an tarchur lena fháil amach, go bunúsach, an gá Airteagal 32 de RGCS agus prionsabal éifeachtacht dhlí an Aontais a léiriú sa chaoi a gciallaíonn d’fhonn measúnú a dhéanamh ar oiriúnacht na mbeart slándála arna gcur chun feidhme ag an rialaitheoir faoin Airteagal sin, gur féidir le tuarascáil ó shaineolaí a bheith ina modh cruthúnais atá riachtanach agus leordhóthanach.

59

I dtaca leis sin, ba cheart a mheabhrú gur cásdlí socair é, in éagmais rialacha an Aontais maidir leis an ábhar, go bhfuil sé faoin dlíchóras náisiúnta de gach Ballstáit rialacha nós imeachta a shuíomh le haghaidh gníomhaíochtaí a bheartaítear cearta daoine aonair a chosaint, i gcomhréir le prionsabal an neamhspleáchais nós imeachta, ar an gcoinníoll, áfach, i gcásanna a chumhdaítear le dlí an Aontais, nach lú fabhar na rialacha sin ná na rialacha lena rialaítear cásanna intíre comhchosúla (prionsabal na coibhéise) agus nach bhfágann siad go bhfuil sé ródheacair ná dodhéanta i gcleachtas na cearta a thugtar le dlí an Aontais Eorpaigh a fheidhmiú (prionsabal na héifeachtachta) (breithiúnas an 4 Bealtaine 2023, Österreichische Post (Damáiste neamhábhartha a bhaineann le próiseáil sonraí pearsanta), C‑300/21, EU:C:2023:370, mír 53 agus an cásdlí dá dtagraítear).

60

Sa chás seo, ba cheart a thabhairt faoi deara nach leagtar síos in RGCS rialacha maidir le hiontráil agus luach promhaidh na fianaise, amhail tuarascáil ó shaineolaí, nach mór do na cúirteanna náisiúnta a éisteann caingean le haghaidh damáistí faoi Airteagal 82 den Rialachán sin a chur i bhfeidhm agus atá freagrach as measúnú a dhéanamh, i bhfianaise Airteagal 32 de, ar oiriúnacht na mbeart slándála arna gcur chun feidhme ag an rialaitheoir lena mbaineann. Dá bhrí sin, i gcomhréir leis an méid atá sonraithe sa mhír roimhe seo den bhreithiúnas seo agus in éagmais rialacha dhlí an Aontais lena rialaítear an t‑ábhar, is faoi chóras dlí gach Ballstáit atá sé na rialacha mionsonraithe a fhorordú maidir le cearta a chosaint a fhaigheann daoine aonair ó Airteagal 82 agus, go háirithe, na rialacha a bhaineann leis na cineálacha fianaise a fhágann gur féidir measúnú a dhéanamh ar oiriúnacht beart den sórt sin sa chomhthéacs sin, faoi réir comhlíonadh na bprionsabal sin de choibhéis agus éifeachtacht (féach, de réir analaí, breithiúnais an 21 Meitheamh 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, mír 297, agus an 4 Bealtaine 2023, Österreichische Post (Damáiste neamhábhartha a bhaineann le próiseáil sonraí pearsanta), C‑300/21, EU:C:2023:370, mír 54).

61

Sna himeachtaí seo, níl aon fhianaise ag an gCúirt a d’fhéadfadh a bheith ina chúis le hamhras maidir le comhlíonadh phrionsabal na coibhéise. Ní hionann an scéal maidir le comhlíonadh phrionsabal na héifeachtachta, sa mhéid go gcuirtear i láthair le foclaíocht an dara cuid den tríú ceist úsáid thuarascáil saineolaí mar ‘modh cruthúnais atá riachtanach agus leordhóthanach’.

62

Go háirithe, d’fhéadfadh riail náisiúnta nós imeachta faoina mbeadh sé ‘riachtanach’ go córasach do chúirteanna náisiúnta a ordú go bhfaighfí tuarascáil ó shaineolaí teacht salach ar phrionsabal na héifeachtachta. D’fhéadfadh úsáid chórasach thuarascáil saineolaí den sórt sin a bheith iomarcach i bhfianaise na fianaise eile atá i seilbh na cúirte ar tugadh caingean os a comhair, go háirithe, mar a shonraigh Rialtas na Bulgáire ina bharúlacha i scríbhinn, i bhfianaise thorthaí athbhreithnithe arna dhéanamh ag údarás neamhspleách ar chomhlíonadh beart um shonraí pearsanta a chosaint, arna bhunú le dlí, ar choinníoll gur athbhreithniú a rinneadh le déanaí é an t‑athbhreithniú, ós rud é go gcaithfear na bearta sin a athbhreithniú agus a nuashonrú más gá, i gcomhréir le hAirteagal 24(1) de RGCS.

63

Ina theannta sin, mar a thug an Coimisiún Eorpach faoi deara ina bharúlacha i scríbhinn, d’fhéadfaí prionsabal na héifeachtachta a shárú dá dtuigfí go gciallódh an téarma ‘leordhóthanach’ go gcaithfidh cúirt náisiúnta an tátal a bhaint as go heisiach nó go huathoibríoch ó thuarascáil saineolaí go bhfuil na bearta slándála arna gcur chun feidhme ag an rialaitheoir i dtrácht ‘iomchuí’, de réir bhrí Airteagal 32 de RGCS. D’fhonn na cearta a thugtar leis an Rialachán sin a chosaint, a bhfuil sé d’aidhm ag prionsabal na héifeachtachta a áirithiú, agus go háirithe an ceart chun leigheas breithiúnach éifeachtach a fháil i gcoinne an rialaitheora, a ráthaítear le hAirteagal 79(1) den Rialachán sin, ceanglaítear ar bhinse neamhchlaonta measúnú oibiachtúil a dhéanamh ar oiriúnacht na mbeart lena mbaineann, in ionad í féin a theorannú do thátal den sórt sin (féach, chuige sin, breithiúnas an 12 Eanáir 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, mír 50).

64

I bhfianaise an mhéid sin thuas, is é an freagra ar an dara cuid den tríú ceist ná nach mór Airteagal 32 de RGCS agus prionsabal éifeachtachta dhlí an Aontais a léiriú sa chaoi a gciallaíonn d’fhonn measúnú a dhéanamh ar oiriúnacht na mbeart slándála arna gcur chun feidhme ag an rialaitheoir faoin Airteagal sin, gur féidir le tuarascáil ó shaineolaí a bheith ina modh cruthúnais atá riachtanach agus leordhóthanach

65

Lena ceathrú ceist, fiafraíonn an chúirt a rinne an tarchur, go bunúsach, an gá Airteagal 82(3) den RGCS a léiriú sa chaoi a gciallaíonn go bhfuil an rialaitheoir díolmhaithe óna oibleagáid cúiteamh a íoc as an damáiste a baineadh d’ábhar sonraí, faoi Airteagal 82(1) agus (2) den Rialachán sin, ar an gcúis amháin go bhfuil an damáiste sin ina thoradh ar nochtadh neamhúdaraithe sonraí pearsanta nó rochtain neamhúdaraithe ar shonraí pearsanta ag ‘tríú páirtí’, de réir bhrí Airteagal 4(10) den Rialachán sin.

66

Mar réamhphointe, ba cheart a thabhairt faoi deara go leanann sé ó Airteagal 4(10) de RGCS go meastar gur ‘tríú páirtí’ é daoine seachas iad siúd atá, faoi údarás díreach an rialaitheora nó an phróiseálaí, atá údaraithe chun sonraí pearsanta a phróiseáil. Cumhdaítear leis an sainmhíniú sin daoine nach fostaithe de chuid an rialaitheora iad agus nach bhfuil faoina smacht, amhail na daoine sin a luaitear sa cheist a tharchuirtear.

67

Ansin, ba cheart a mheabhrú, sa chéad áit, go bhforáiltear le hAirteagal 82(2) de RGCS go mbeidh ‘aon rialaitheoir atá bainteach leis an bpróiseáil faoi dhliteanas i leith an damáiste a eascraíonn ó phróiseáil a sháraíonn an Rialachán [sin]’ agus go bhforáiltear le mír 3 den Airteagal sin go bhfuil rialaitheoir, nó próiseálaí de réir mar a bheidh, díolmhaithe ón dliteanas sin ‘má chruthaíonn sé nach bhfuil sé ar dhóigh ar bith freagrach as an imeacht ba shiocair leis an damáiste’.

68

Ina theannta sin, sonraítear in aithris 146 de RGCS, a bhaineann go sonrach le hAirteagal 82 de, sa chéad agus sa dara habairt di, ‘[gur] cheart don rialaitheoir nó don phróiseálaí aon damáiste a d'fhéadfadh duine a fhulaingt de bharr próiseáil a sháraíonn an Rialachán seo a chúiteamh’ agus ‘[gur cheart] [é] a dhíolmhú ón dliteanas má chruthaíonn sé nach bhfuil sé freagrach ar shlí ar bith as an damáiste’.

69

Leanann sé ó na forálacha sin, ar an gcéad dul síos, nach mór don rialaitheoir i dtrácht, i bprionsabal, aon damáiste a shlánú a tharla de bharr sárú ar an Rialachán sin a bhaineann leis an bpróiseáil sin agus, ar an dara dul síos, nach féidir é a dhíolmhú ó dhliteanas ach amháin má chruthaíonn sé nach bhfuil sé freagrach ar dhóigh ar bith as an imeacht ba shiocair leis an damáiste sin.

70

Mar sin, mar is léir ó na focail a chuirtear leis go sainráite ‘ar shlí ar bith’ le linn an phróisis reachtaigh, ní mór na himthosca ina bhféadfaidh an rialaitheoir a éileamh a bheith díolmhaithe ó dhliteanas sibhialta faoi Airteagal 82 den RGCS a theorannú go docht dóibh siúd ina bhfuil an rialaitheoir ábalta a thaispeáint nach bhfuil an damáiste inchurtha ina leith.

71

Más rud é, mar atá sa chás seo, go bhfuil sárú sonraí pearsanta, de réir bhrí Airteagal 4(12) de RGCS, déanta ag cibearchoirpigh, agus mar sin ag ‘tríú páirtí’, de réir bhrí Airteagal 4(10) den Rialachán sin, ní féidir an sárú sin a chur i leith an rialaitheora, ach amháin má tá an sárú sin indéanta ag an rialaitheoir trí mhainneachtain an oibleagáid atá leagtha síos in RGCS a chomhlíonadh agus go háirithe an oibleagáid maidir le cosaint sonraí atá sé faoina réir faoi Airteagal 5(1)(f) agus Airteagail 24 agus 32 den Rialachán sin.

72

Dá bhrí sin, i gcás sárú sonraí pearsanta ag tríú páirtí, féadfaidh an rialaitheoir a bheith díolmhaithe ó dhliteanas, ar bhonn Airteagal 82(3) de RGCS, trína chruthú nach bhfuil aon nasc cúiseach idir an sárú féideartha ar an oibleagáid cosanta sonraí agus an damáiste a baineadh den duine nádúrtha.

73

Sa dara háit, tá an léiriú thuasluaite ar Airteagal 82(3) comhsheasmhach freisin le cuspóir RGCS maidir le hardleibhéal cosanta a áirithiú do dhaoine nádúrtha maidir le próiseáil a gcuid sonraí pearsanta, atá leagtha amach in aithris 10 agus in aithris 11 den Rialachán sin.

74

I bhfianaise na mbreithnithe thuas, is é an freagra ar an gceathrú ceist ná nach mór Airteagal 82(3) den RGCS a léiriú sa chaoi a gciallaíonn nach féidir díolúine a thabhairt don rialaitheoir óna oibleagáid cúiteamh a íoc ar an damáiste a bhain d’ábhar sonraí, faoi Airteagal 82(1) agus (2) den Rialachán sin, ar an gcúis amháin go bhfuil an damáiste sin ina thoradh ar nochtadh neamhúdaraithe sonraí pearsanta nó rochtain neamhúdaraithe ar shonraí pearsanta ag ‘tríú páirtí’, de réir bhrí Airteagal 4(10) den Rialachán sin, agus sa chás sin ní mór don rialaitheoir sin a chruthú ansin nach bhfuil sé ar dhóigh ar bith freagrach as an imeacht ba shiocair leis an damáiste lena mbaineann.

75

Lena cúigiú ceist, fiafraíonn an chúirt a rinne an tarchur, go bunúsach, an gá Airteagal 82(1) de RGCS a léiriú sa chaoi a gciallaíonn go bhféadfaidh an faitíos go mbainfidh tríú páirtí mí-úsáid fhéideartha as sonraí pearsanta ábhar sonraí mar thoradh ar shárú ar an Rialachán sin, ann féin, a bheith ina ‘dhamáiste neamhábhartha’ de réir bhrí na forála sin.

76

Sa chéad áit, maidir le foclaíocht Airteagal 82(1) de RGCS, ba cheart a mheabhrú go sonraítear sa mhír sin an méid seo a leanas, ‘aon duine a mbaineann damáiste ábhartha nó neamhábhartha dó mar thoradh ar shárú an Rialacháin seo, beidh sé i dteideal cúiteamh a fháil ón rialaitheoir nó ón bpróiseálaí as an damáiste a bhain dó’.

77

Chuige sin, thug an Chúirt faoi deara gur léir ó fhoclaíocht Airteagal 82(1) de RGCS gurb ionann ‘damáiste’ a ‘bhain [de dhuine]’ agus ceann de na coinníollacha maidir leis an gceart chun cúitimh a leagtar síos san fhoráil sin, mar aon le sárú ar an rialachán sin a bheith ann agus nasc cúiseach idir an damáiste sin agus an sárú sin, gus na trí choinníoll sin a bheith carnach (féach, chuige sin, breithiúnas an 4 Bealtaine 2023, Österreichische Post (Damáiste neamhábhartha a bhaineann le próiseáil sonraí pearsanta), C‑300/21, EU:C:2023:370, mír 32).

78

Ina theannta sin, ar bhonn breithnithe de chineál liteartha, córasach agus teileaeolaíoch, rinne an Chúirt léiriú ar Airteagal 82(1) de RGCS sa chaoi go gcuirtear cosc leis ar riail náisiúnta nó cleachtas lena ndéantar cúiteamh i leith ‘damáiste neamhábhartha’, de réir bhrí na forála sin, faoi réir an choinníll go bhfuil tromchúis áirithe i gceist leis an damáiste a baineadh don ábhar sonraí (breithiúnas an 4 Bealtaine 2023, Österreichische Post (Damáiste neamhábhartha a bhaineann le próiseáil sonraí pearsanta), C‑300/21, EU:C:2023:370, mír 51).

79

É sin ráite, ní mór a chur in iúl, sa chás seo, nach ndéantar idirdhealú in Airteagal 82(1) de RGCS idir cásanna ina bhfuil, mar thoradh ar shárú bunaithe ar fhorálacha an Rialacháin sin, an ‘damáiste neamhábhartha’ a líomhnaíonn an t‑ábhar sonraí, ar an gcéad dul síos, nasctha le mí-úsáid a chuid nó a cuid sonraí pearsanta ag tríú páirtithe atá tarlaithe cheana féin, ar dháta a éilimh nó a héilimh, nó, ar an dara dul síos, nasctha le faitíos an duine sin go dtarlódh úsáid dá leithéid sa todhchaí.

80

Dá bhrí sin, ní chuirtear as an áireamh trí fhoclaíocht Airteagal 82(1) den RGCS an fhéidearthacht go gcuimsítear leis an gcoincheap ‘damáiste neamhábhartha’ san fhoráil sin cás, amhail an cás dá dtagraítear ag an gcúirt a rinne an tarchur, ina n‑agraíonn an t‑ábhar sonraí, d’fhonn cúiteamh a fháil ar bhonn na forála sin, an faitíos go mbainfidh tríú páirtithe mí-úsáid as a shonraí pearsanta mar thoradh ar an sárú a rinneadh ar an Rialachán sin.

81

Sa dara háit, tacaítear leis an léiriú sin le haithris 146 de RGCS, a bhaineann go sonrach leis an gceart chun cúitimh dá bhforáiltear in Airteagal 82(1) de agus ina sonraítear, ina tríú habairt, ‘[gur] cheart coincheap an damáiste a léiriú go leathan i bhfianaise chásdlí na Cúirte Breithiúnais ar shlí ina léireofaí go hiomlán cuspóirí’ an Rialacháin sin. Maidir le léiriú ar an gcoincheap ‘damáiste neamhábhartha’, de réir bhrí Airteagal 82(1), nach n‑áirítear cásanna ina mbraitheann an duine lena mbaineann sárú ar an Rialachán sin ar an bhfaitíos go mbainfear mí-úsáid as a shonraí pearsanta féin sa todhchaí, ní bheadh sé comhsheasmhach le léiriú leathan ar an gcoincheap sin, mar atá beartaithe ag reachtóir an Aontais (féach, de réir analaí, breithiúnas an 4 Bealtaine 2023, Österreichische Post (Damáiste neamhábhartha a bhaineann le próiseáil sonraí pearsanta), C‑300/21, EU:C:2023:370, míreanna 37 agus 46).

82

Ina theannta sin, sonraítear sa chéad abairt d’aithris 85 den RGCS ‘Mura dtéitear i ngleic le sárú i ndáil le sonraí pearsanta ar bhealach iomchuí tráthúil, d'fhéadfadh gurb é an toradh a bheadh air damáiste fisiciúil, ábhartha nó neamhábhartha do dhaoine nádúrtha amhail smacht ar a gcuid sonraí pearsanta a chailleadh, nó teorannú ar a gcearta, idirdhealú, goid aitheantais nó calaois aitheantais, caillteanas airgeadais, […] nó aon mhíbhuntáiste eacnamaíoch nó sóisialta eile don duine nádúrtha lena mbaineann’. Is léir ón liosta léiritheach sin de chineálacha ‘damáiste’ a d’fhéadfadh na hábhair sonraí a fhulaingt a raibh sé beartaithe ag reachtóir an Aontais a áireamh sna coincheapa sin, go háirithe ‘smacht […] a chailleadh’ ar a gcuid sonraí féin, mar thoradh ar shárú ar an Rialachán sin, fiú mura ndearnadh aon mhí-úsáid ar na sonraí atá i gceist chun aimhleasa na n‑ábhar sonraí sin.

83

Sa tríú háit agus san áit dheireanach, tá cuspóirí RGCS ag tacú leis an léiriú a leagtar amach i mír 80 thuas, nach mór a chur san áireamh chun an coincheap ‘damáiste’ a shainiú, mar a shonraítear sa tríú habairt d’aithris 146 den Rialachán sin. Dá ndéanfaí Airteagal 82(1) den RGCS a léiriú sa chaoi nach n‑áirítear leis an gcoincheap ‘damáiste neamhábhartha’, de réir bhrí na forála sin, cásanna ina mbraitheann ábhar sonraí go hiomlán ar an bhfaitíos go mbainfeadh tríú páirtithe mí-úsáid as a chuid nó a cuid sonraí pearsanta, sa todhchaí, ní bheadh sé comhsheasmhach leis an ráthaíocht go dtabharfar ardleibhéal cosanta do dhaoine nádúrtha maidir le próiseáil sonraí pearsanta san Aontas, arb é is aidhm den ionstraim sin.

84

Mar sin féin, ní mór a chur in iúl, go gceanglaítear ar dhuine lena mbaineann sárú ar RGCS a raibh iarmhairtí diúltacha aige dó nó di a thaispeáint gur damáiste neamhábhartha de réir bhrí Airteagal 82 den Rialachán sin iad na hiarmhairtí sin (féach, chuige sin, breithiúnas an 4 Bealtaine 2023, Österreichische Post (Damáiste neamhábhartha a bhaineann le próiseáil sonraí pearsanta), C‑300/21, EU:C:2023:370, mír 50).

85

Go háirithe, i gcás ina mbraitheann duine a éilíonn cúiteamh ar an mbonn sin ar an bhfaitíos go mbainfear mí-úsáid as a chuid nó a cuid sonraí pearsanta sa todhchaí mar gheall ar shárú den sórt sin, ní mór don chúirt náisiúnta ar tugadh caingean os a comhair a fhíorú go bhféadfar a mheas go bhfuil bunús maith leis an bhfaitíos sin, sna himthosca sonracha atá i gceist agus maidir leis an ábhar sonraí.

86

I bhfianaise na gcúiseanna thuasluaite, is é an freagra ar an gcúigiú ceist ná nach mór Airteagal 82(1) den RGCS a léiriú sa chaoi a gciallaíonn go bhféadfaidh an faitíos go mbainfidh tríú páirtí mí-úsáid fhéideartha as sonraí pearsanta ábhar sonraí mar thoradh ar shárú ar an Rialachán sin, ann féin, a bheith ina ‘dhamáiste neamhábhartha’ de réir bhrí na forála sin.

87

Ós rud é, a mhéid a bhaineann sé leis na páirtithe sna príomhimeachtaí, go bhfuil na himeachtaí mar chéim sa chás os comhair na cúirte a rinne an tarchur, baineann ceist na gcostas leis an gcúirt sin. Níl na costais a tabhaíodh trí bharúlacha a chur faoi bhráid na Cúirte, seachas costais na bpáirtithe sin, inghnóthaithe.

Ar na forais sin, rialaíonn an Chúirt (an Tríú Dlísheomra) mar seo a leanas: