–

za osobu BL, D. Pudelko, Rechtsanwalt,

–

za MediaMarktSaturn Hagen‑Iserlohn GmbH, prije Saturn Electro‑Handelsgesellschaft mbH Hagen, B. Hackl, Rechtsanwalt,

–

za Irsku, M. Browne, Chief State Solicitor, A. Joyce i M. Lane, u svojstvu agenata, uz asistenciju D. Fennellyja, BL,

–

za Europski parlament, O. Hrstková Šolcová i J.-C. Puffer, u svojstvu agenata,

–

za Europsku komisiju, A. Bouchagiar, M. Heller i H. Kranenborg, u svojstvu agenata,

1

Zahtjev za prethodnu odluku odnosi se na tumačenje članka 2. stavka 1., članka 4. točke 7., članka 5. stavka 1. točke (f), članka 6. stavka 1., članka 24., članka 32. stavka 1. točke (b) i članka 32. stavka 2. kao i članka 82. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. te ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.; u daljnjem tekstu: OUZP) te na ocjenu valjanosti tog članka 82.

2

Zahtjev je upućen u okviru spora između BL‑a, fizičke osobe, i društva MediaMarktSaturn Hagen‑Iserlohn GmbH, prije Saturn Electro‑Handelsgesellschaft mbH Hagen (u daljnjem tekstu: Saturn), u vezi s naknadom nematerijalne štete za koju navedena osoba tvrdi da ju je pretrpjela zbog prenošenja nekih njezinih osobnih podataka trećoj osobi uslijed pogreške koju su počinili djelatnici tog društva.

3

Uvodne izjave 11., 74., 76., 83., 85. i 146. OUZP‑a glase kako slijedi:

[…]

[…]

[…]

[…]

[…]

4

U poglavlju I. te uredbe, naslovljenom „[o]pće odredbe”, članak 2., naslovljen „[Materijalno] područje primjene”, u stavku 1. propisuje:

„Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti [ili djelomično] obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.”

5

Članak 4. navedene uredbe, naslovljen „Definicije”, određuje:

„Za potrebe ove uredbe:

[…]

[…]

[…]

[…]”

6

Poglavlje II. OUZP‑a, naslovljeno „Načela”, sadržava članke 5. do 11.

7

Člankom 5. te uredbe, naslovljenim „Načela obrade osobnih podataka”, predviđa se:

„1.   Osobni podaci moraju biti:

[…]

2.   Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (‚pouzdanost’).”

8

Članak 6. navedene uredbe, naslovljen „Zakonitost obrade”, u stavku 1. definira uvjete koji moraju biti ispunjeni kako bi obrada bila zakonita.

9

Poglavlje IV. OUZP‑a, naslovljeno „Voditelj obrade i izvršitelj obrade”, sadržava članke 24. do 43.

10

U odjeljku 1. tog poglavlja IV, naslovljenom „Opće obveze”, taj članak 24., koji je pak naslovljen „Obveze voditelja obrade”, u stavcima 1. i 2. predviđa:

„1.   Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom uredbom. Te se mjere prema potrebi preispituju i ažuriraju.

2.   Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade.”

11

U odjeljku 2. navedenog poglavlja IV., naslovljenom „Sigurnost osobnih podataka”, nalazi se članak 32. OUZP‑a naslovljen „Sigurnost obrade” koji u stavku 1. točki (b) i stavku 2. određuje:

„1.   Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

[…]

[…]

2.   Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.”

12

U poglavlju VIII. OUZP‑a, naslovljenom „Pravna sredstva, odgovornost i sankcije”, nalaze se članci 77. do 84. te uredbe.

13

U skladu s člankom 82. navedene uredbe, naslovljenim „Pravo na naknadu štete i odgovornost”:

„1.   Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

2.   Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova uredba. […]

3.   Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.

[…]”

14

Članak 83. OUZP‑a, naslovljen „Opći uvjeti za izricanje upravnih novčanih kazni”, predviđa:

„1.   Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.

2.   […] Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

[…]

[…]

3.   Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove uredbe ukupan iznos [upravne] novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje.

[…]”

15

Članak 84. te uredbe, naslovljen „Sankcije”, u stavku 1. propisuje:

„Države članice utvrđuju pravila o ostalim sankcijama koje se primjenjuju na kršenja ove Uredbe, a posebno na ona kršenja koja ne podliježu upravnim novčanim kaznama na temelju članka 83., te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Te sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.”

16

Tužitelj u glavnom postupku otišao je u poslovni prostor društva Saturn, gdje je kupio električni kućanski aparat. U tu je svrhu djelatnik tog društva sastavio ugovor o prodaji i kreditu. Tom je prilikom u informatički sustav društva Saturn unio više osobnih podataka tog klijenta, odnosno njegovo ime i prezime, adresu, mjesto boravišta, ime njegova poslodavca, prihode i bankovne podatke.

17

Ugovorni dokumenti s tim osobnim podacima ispisani su te su ih potpisale obje strane. Zatim ih je tužitelj u glavnom postupku odnio djelatnicima društva Saturn koji rade na mjestu izdavanja robe. Drugi klijent, koji se ispred tužitelja u glavnom postupku neopaženo progurao, pogreškom je primio kako uređaj koji je potonji naručio tako i predmetne dokumente te ih je sve odnio.

18

Budući da je pogreška bila brzo otkrivena, djelatnik društva Saturn uspio se pobrinuti za povrat uređaja i dokumenata, a zatim ih je u roku od pola sata nakon njihove predaje drugom kupcu vratio tužitelju u glavnom postupku. Društvo je tužitelju u glavnom postupku htjelo nadoknaditi tu pogrešku besplatnom isporukom predmetnog uređaja na njegovu kućnu adresu, ali je potonji smatrao da bi ta naknada štete bila nedostatna.

19

Tužitelj u glavnom postupku podnio je Amtsgerichtu Hagen (Općinski sud u Hagenu, Njemačka), sudu koji je uputio zahtjev u ovom predmetu, tužbu kojom traži, osobito na temelju odredbi OUZP‑a, naknadu nematerijalne štete koju je navodno pretrpio zbog pogreške koju su počinili djelatnici društva Saturn i proizašlog rizika od gubitka nadzora nad svojim osobnim podacima.

20

Saturn u svoju obranu ističe, s jedne strane, da nije došlo do povrede OUZP‑a i da bi se ta povreda mogla utvrditi samo ako prelazi određeni stupanj ozbiljnosti, koji u ovom slučaju nije dosegnut. S druge strane, to društvo ističe da tužitelj iz glavnog postupka nije pretrpio nikakvu štetu jer nije utvrđeno, pa čak ni istaknuto, da je uključena treća strana zloupotrijebila osobne podatke dotične osobe.

21

Sud koji je uputio zahtjev pita se, kao prvo, o valjanosti članka 82. OUZP‑a jer mu se taj članak čini nepreciznim u pogledu pravnih učinaka u slučaju naknade nematerijalne štete.

22

Kao drugo, u slučaju da Sud taj članak 82. ne proglasi nevaljanim, pita se pretpostavlja li ostvarivanje prava na naknadu štete koje je njime predviđeno da se utvrdi postojanje ne samo povrede OUZP‑a nego i štete, među ostalim nematerijalne, koju je pretrpjela osoba koja traži naknadu.

23

Kao treće, sud koji je uputio zahtjev nastoji utvrditi može li se povreda OUZP‑a utvrditi na temelju puke činjenice da su, zbog pogreške koju su počinili djelatnici voditelja obrade, ispisani dokumenti koji sadržavaju osobne podatke bez odobrenja predani trećoj osobi.

24

Kao četvrto, iako smatra da „društvo [tuženik] mora snositi teret dokazivanja svoje nedužnosti”, taj sud želi doznati je li dovoljno utvrditi da je do takve predaje dokumenata došlo iz nepažnje kako bi se smatralo da je došlo do povrede OUZP‑a, osobito s obzirom na obvezu voditelja obrade da provede odgovarajuće mjere za osiguravanje sigurnosti obrađenih podataka na temelju članaka 2., 5., 6. i 24. te uredbe.

25

Kao peto, sud koji je uputio zahtjev pita se može li se, čak i ako se čini da neovlaštena treća osoba nije doznala za predmetne osobne podatke prije vraćanja dokumenata u kojima su se nalazili, postojanje „nematerijalne štete” u smislu članka 82. OUZP‑a utvrditi samo na temelju činjenice da se osoba čiji su podaci tako proslijeđeni pribojava ostvarenja rizika, koji se prema mišljenju tog suda ne može isključiti, da će ih ta treća osoba priopćiti drugim pojedincima ili ih u budućnosti zloupotrijebiti.

26

Kao šesto, taj se sud pita o eventualnom utjecaju, u okviru tužbe za naknadu nematerijalne štete koja se temelji na tom članku 82., stupnja ozbiljnosti povrede počinjene u okolnostima poput onih u glavnom postupku, uzimajući u obzir da je voditelj obrade, prema mišljenju tog suda, mogao donijeti učinkovitije sigurnosne mjere.

27

Naposljetku, kao sedmo, želi doznati svrhu naknade nematerijalne štete na temelju OUZP‑a, pri čemu sugerira da ta naknada može poprimiti narav kazne kao što je ugovorna kazna.

28

U tim okolnostima Amtsgericht Hagen (Općinski sud u Hagenu) odlučio je prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

29

Svojim prvim pitanjem sud koji je uputio zahtjev pita je li članak 82. OUZP‑a nevaljan jer nije dovoljno precizan u pogledu pravnih posljedica u slučaju naknade nematerijalne štete.

30

Europski parlament smatra da je to pitanje nedopušteno jer sud koji je uputio zahtjev nije ispunio zahtjeve iz članka 94. točke (c) Poslovnika Suda iako je otvorio osobito složeno pitanje, odnosno ocjenu valjanosti odredbe prava Unije.

31

U skladu s člankom 94. točkom (c) Poslovnika, zahtjev za prethodnu odluku mora među ostalim sadržavati, osim teksta prethodnih pitanja upućenih Sudu, i prikaz razloga koji su naveli sud koji je uputio zahtjev da se zapita o tumačenju ili valjanosti određenih odredaba prava Unije.

32

S tim u vezi, podaci dostavljeni u odluci kojom se upućuje zahtjev za prethodnu odluku ne služe samo tome da omoguće Sudu davanje korisnih odgovora, već također da omoguće vladama država članica kao i drugim zainteresiranim strankama podnošenje očitovanja u skladu s člankom 23. Statuta Suda Europske unije. Konkretno, Sud mora ispitati valjanost odredbe prava Unije upravo u vezi s razlozima za nevaljanost navedenima u odluci kojom se upućuje zahtjev za prethodnu odluku, tako da nespominjanje preciznih razloga koji su naveli sud koji je uputio zahtjev da se zapita o toj stvari dovodi do nedopuštenosti odgovora vezanih uz navedenu valjanost (vidjeti u tom smislu presude od 15. lipnja 2017., T.KUP,C‑349/16, EU:C:2017:469, t. 16. do 18., i od 22. lipnja 2023., Vitol,C‑268/22, EU:C:2023:508, t. 52. do 55.).

33

U ovom slučaju sud koji je uputio zahtjev ne iznosi nijedan precizan element na temelju kojeg Sud može ispitati valjanost članka 82. OUZP‑a.

34

Slijedom toga‚ prvo pitanje valja proglasiti nedopuštenim.

35

Svojim trećim i četvrtim pitanjem, koja valja ispitati zajedno i na prvom mjestu, sud koji je uputio zahtjev u biti pita treba li članke 5., 24., 32. i 82. OUZP‑a, uzete u cjelini, tumačiti na način da je, u okviru tužbe za naknadu štete koja se temelji na tom članku 82., činjenica da su djelatnici voditelja obrade pogreškom neovlaštenoj trećoj osobi predali dokument koji sadržava osobne podatke sama po sebi dovoljna da bi se smatralo da tehničke i organizacijske mjere koje je proveo predmetni voditelj obrade nisu bile „odgovarajuće” u smislu tih članaka 24. i 32.

36

Članak 24. OUZP‑a predviđa opću obvezu voditelja obrade osobnih podataka da provede odgovarajuće tehničke i organizacijske mjere kako bi osigurao da se navedena obrada provodi u skladu s tom uredbom i kako bi je mogao dokazati (presuda od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 24.).

37

Članak 32. OUZP‑a pak pobliže određuje obveze voditelja obrade i eventualnog izvršitelja obrade kad je riječ o sigurnosti te obrade. Tako je u stavku 1. tog članka navedeno da potonji moraju provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizike vezane uz navedenu obradu, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade o kojoj je riječ. Isto tako, u stavku 2. navedenog članka navedeno je da se prilikom procjene odgovarajuće razine sigurnosti u obzir posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa takvim podacima (vidjeti u tom smislu presudu od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 26. i 27.).

38

Stoga iz teksta članaka 24. i 32. OUZP‑a proizlazi da prikladnost mjera koje provodi voditelj obrade treba konkretno ocijeniti, uzimajući u obzir različite kriterije iz tih članaka, kao i potrebu za zaštitom podataka koja je posebno svojstvena dotičnoj obradi kao i rizicima koje ona podrazumijeva, i to tim više što navedeni voditelj obrade mora moći dokazati usklađenost navedenih mjera s tom uredbom, što bi mu bilo uskraćeno ako bi se prihvatila neoboriva pretpostavka (vidjeti u tom smislu presudu od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 30. do 32.).

39

To doslovno tumačenje potvrđuje i tumačenje navedenih članaka 24. i 32. zajedno s člankom 5. stavkom 2. i člankom 82. navedene uredbe, u vezi s njezinim uvodnim izjavama 74., 76. i 83., iz kojih osobito proizlazi da je voditelj obrade dužan ublažiti rizike od povrede osobnih podataka, a ne spriječiti svaku njihovu povredu (vidjeti u tom smislu presudu od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 33. do 38.).

40

Posljedično, Sud je protumačio članke 24. i 32. OUZP‑a u smislu da neovlašteno otkrivanje osobnih podataka „trećim stranama” ili njihov neovlašteni pristup takvim podacima u smislu članka 4. točke 10. te uredbe nisu dostatni za zaključak da tehničke i organizacijske mjere koje je proveo voditelj obrade o kojem je riječ nisu bile „odgovarajuće” u smislu tih članaka 24. i 32. (presuda od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 39.).

41

U predmetnom slučaju, činjenica da su djelatnici voditelja obrade pogreškom neovlaštenoj trećoj osobi dostavili dokument koji sadržava osobne podatke može uputiti na to da tehničke i organizacijske mjere koje je poduzeo predmetni voditelj obrade nisu bile „odgovarajuće” u smislu tih članaka 24. i 32. Konkretno, takva okolnost može proizlaziti iz nemara ili nedostatka u organizaciji voditelja obrade, koji ne uzima u obzir rizike povezane s obradom podataka o kojima je riječ.

42

U tom pogledu valja naglasiti da iz zajedničkog tumačenja članaka 5., 24. i 32. OUZP‑a, u vezi s uvodnom izjavom 74. te uredbe proizlazi da je u okviru tužbe za naknadu štete na temelju članka 82. te uredbe na predmetnom voditelju obrade da dokaže da se osobni podaci obrađuju na način kojim se jamči njihova odgovarajuća sigurnost u smislu članka 5. stavka 1. točke (f) i članka 32. navedene uredbe. Takva raspodjela tereta dokazivanja može ne samo potaknuti voditelje obrade tih podataka da donesu sigurnosne mjere koje se zahtijevaju OUZP‑om nego i očuvati koristan učinak prava na naknadu štete predviđenog člankom 82. te uredbe i poštovati namjere zakonodavca Unije navedene u njezinoj uvodnoj izjavi 11. (vidjeti u tom smislu presudu od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 49. do 56.).

43

Stoga je Sud protumačio načelo pouzdanosti voditelja obrade, navedeno u članku 5. stavku 2. OUZP‑a i konkretizirano u članku 24. te uredbe na način da je u okviru tužbe za naknadu štete koja se temelji na njezinu članku 82. na voditelju obrade o kojem je riječ teret dokazivanja toga da su sigurnosne mjere koje je on proveo na temelju članka 32. navedene uredbe bile odgovarajuće (presuda od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 57.).

44

Stoga sud kojem je podnesena takva tužba za naknadu štete na temelju članka 82. OUZP‑a ne može uzeti u obzir samo okolnost da su djelatnici voditelja obrade neovlaštenoj trećoj osobi pogrešno predali dokument koji sadržava osobne podatke, kako bi utvrdio postoji li povreda obveze predviđene tom uredbom. Naime, taj sud također mora uzeti u obzir sve dokaze koje je voditelj obrade podnio kako bi dokazao prikladnost tehničkih i organizacijskih mjera koje je proveo radi ispunjavanja svojih obveza na temelju članaka 24. i 32. navedene uredbe.

45

S obzirom na sve prethodno navedeno, na treće i četvrto pitanje valja odgovoriti tako da članke 5., 24., 32. i 82. OUZP‑a, uzete zajedno, treba tumačiti na način da u okviru tužbe za naknadu štete koja se temelji na tom članku 82., činjenica da su djelatnici voditelja obrade pogreškom neovlaštenoj trećoj osobi predali dokument koji sadržava osobne podatke sama po sebi nije dovoljna da bi se smatralo da tehničke i organizacijske mjere koje je proveo predmetni voditelj obrade nisu bile „odgovarajuće” u smislu tih članaka 24. i 32.

46

Svojim sedmim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 82. OUZP‑a tumačiti na način da pravo na naknadu štete predviđeno tom odredbom, osobito u slučaju nematerijalne štete, ispunjava kaznenu funkciju.

47

U tom pogledu Sud je presudio da članak 82. OUZP‑a nema kaznenu, nego kompenzacijsku funkciju, za razliku od drugih odredbi te uredbe koje se također nalaze u njezinu poglavlju VIII., odnosno njezinih članaka 83. i 84., koji pak imaju u bitnom kaznenu svrhu jer omogućuju izricanje upravnih novčanih kazni i drugih sankcija. Odnos između pravila iz navedenog članka 82. i onih iz članaka 83. i 84. dokazuje da postoji razlika, ali i komplementarnost između tih dviju kategorija odredbi, u pogledu poticanja na postupanje u skladu s OUZP‑om, pri čemu pravo svake osobe da zahtijeva naknadu štete osnažuje operativni karakter pravila o zaštiti predviđenih tom uredbom i može obeshrabriti ponavljanje nezakonitih ponašanja (vidjeti u tom smislu presude od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka),C‑300/21, EU:C:2023:370, t. 38. i 40., kao i od 21. prosinca 2023., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, t. 85.).

48

Sud je pojasnio da, s obzirom na to da pravo na naknadu štete predviđeno člankom 82. stavkom 1. OUZP‑a ne ispunjava odvraćajuću ili kaznenu funkciju, nego ima kompenzacijsku funkciju, ozbiljnost povrede te uredbe kojom je prouzročena dotična šteta ne može utjecati na iznos naknade štete dodijeljene na temelju te odredbe, čak i ako se ne radi o materijalnoj, nego nematerijalnoj šteti, tako da taj iznos ne može prelaziti punu naknadu te štete (vidjeti u tom smislu presudu od 21. prosinca 2023., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, t. 86. i 87.).

49

Iz prethodno navedenog proizlazi da nije potrebno odlučiti o povezanosti, koju je predvidio sud koji je uputio zahtjev, svrhe prava na naknadu štete iz tog članka 82. stavka 1. i kaznene funkcije ugovorne kazne.

50

Slijedom toga, na sedmo pitanje valja odgovoriti tako da članak 82. stavak 1. OUZP‑a treba tumačiti na način da pravo na naknadu štete predviđeno tom odredbom, osobito u slučaju nematerijalne štete, ispunjava kompenzacijsku, a ne kaznenu funkciju jer novčana naknada koja se temelji na navedenoj odredbi mora omogućiti da se u potpunosti nadoknadi šteta koja je konkretno pretrpljena zbog povrede te uredbe.

51

Svojim šestim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 82. OUZP‑a tumačiti na način da se njime zahtijeva da se stupanj ozbiljnosti povrede te uredbe koju je počinio voditelj obrade uzme u obzir u svrhu naknade štete na temelju te odredbe.

52

U tom pogledu, iz članka 82. OUZP‑a proizlazi, s jedne strane, da je utvrđivanje odgovornosti voditelja obrade uvjetovano postojanjem njegove krivnje koja se presumira, osim ako on dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu, i da se, s druge strane, tim člankom 82. ne zahtijeva da se stupanj ozbiljnosti te krivnje uzme u obzir prilikom određivanja iznosa naknade nematerijalne štete dodijeljene na temelju te odredbe (presuda od 21. prosinca 2023., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, t. 103.).

53

Kad je riječ o procjeni naknade štete koja se eventualno duguje na temelju članka 82. OUZP‑a, s obzirom na to da ta uredba ne sadržava odredbu u tu svrhu, nacionalni sudovi radi te procjene moraju primijeniti nacionalna pravila pojedine države članice o opsegu novčane naknade, pod uvjetom da se poštuju načela ekvivalentnosti i djelotvornosti prava Unije (vidjeti u tom smislu presudu od 21. prosinca 2023., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, t. 83. i 101. i navedenu sudsku praksu).

54

Nadalje, Sud je pojasnio da s obzirom na kompenzacijsku funkciju prava na naknadu štete predviđenog člankom 82. OUZP‑a, ta odredba ne zahtijeva da se stupanj ozbiljnosti povrede te uredbe, za koju se pretpostavlja da ju je počinio voditelj obrade, uzme u obzir prilikom određivanja iznosa naknade nematerijalne štete na temelju te odredbe, nego se njome zahtijeva da se taj iznos odredi tako da se u cijelosti nadoknadi šteta koja je konkretno pretrpljena zbog povrede navedene uredbe (vidjeti u tom smislu presudu od 21. prosinca 2023., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, t. 84. do 87. i 102., kao i navedenu sudsku praksu).

55

S obzirom na prethodno navedeno, na šesto pitanje valja odgovoriti tako da članak 82. OUZP‑a treba tumačiti na način da se njime ne zahtijeva da se u svrhu naknade štete na temelju te odredbe uzme u obzir stupanj ozbiljnosti povrede koju je počinio voditelj obrade.

56

Svojim drugim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 82. stavak 1. OUZP‑a tumačiti na način da osoba koja zahtijeva naknadu na temelju te odredbe mora dokazati ne samo povredu odredbi te uredbe nego i to da joj je ta povreda prouzročila materijalnu ili nematerijalnu štetu.

57

S tim u vezi, valja podsjetiti na to da se u članku 82. stavku 1. OUZP‑a navodi da „svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu”.

58

Iz teksta te odredbe proizlazi da obična povreda OUZP‑a nije dovoljna za dodjelu prava na naknadu štete. Naime, postojanje „pretrpljene štete” jedan je od uvjeta za nastanak prava na naknadu štete predviđenog tim člankom 82. stavkom 1., uz postojanje povrede te uredbe i uzročne veze između te štete i te povrede, pri čemu su ta tri uvjeta kumulativna (vidjeti u tom smislu presude od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka),C‑300/21, EU:C:2023:370, t. 32. i 42.; od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 77.; od 14. prosinca 2023., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, t. 14., kao i od 21. prosinca 2023., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, t. 82.).

59

Kad je riječ, konkretnije, o nematerijalnoj šteti, Sud je također presudio da se članku 82. stavku 1. OUZP‑a protivi nacionalno pravilo ili praksa koji naknadu nematerijalne štete u smislu te odredbe uvjetuju time da je šteta koju je pretrpio ispitanik, kako je definiran u članku 4. točki 1. te uredbe, dosegnula određeni stupanj ozbiljnosti (vidjeti u tom smislu presude od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka),C‑300/21, EU:C:2023:370, t. 51.; od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 78., kao i od 14. prosinca 2023., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, t. 16.).

60

Sud je pojasnio da je ispitanik u odnosu na kojeg je došlo do povrede OUZP‑a te koja mu je prouzročila štetne posljedice, ipak dužan dokazati da te posljedice predstavljaju nematerijalnu štetu u smislu članka 82. te uredbe jer puka povreda njezinih odredbi nije dovoljna za dodjelu prava na naknadu štete (vidjeti u tom smislu presude od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka),C‑300/21, EU:C:2023:370, t. 42. i 50.; od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 84., kao i od 14. prosinca 2023., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, t. 21. i 23).

61

S obzirom na prethodno navedeno, na drugo pitanje valja odgovoriti tako da članak 82. stavak 1. OUZP‑a treba tumačiti na način da osoba koja zahtijeva naknadu na temelju te odredbe mora dokazati ne samo povredu odredbi te uredbe već i to da joj je ta povreda prouzročila materijalnu ili nematerijalnu štetu.

62

Svojim petim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 82. stavak 1. OUZP‑a tumačiti na način da se, u slučaju da je dokument koji sadržava osobne podatke predan neovlaštenoj trećoj osobi za koju se utvrdi da nije znala za te podatke, „nematerijalna šteta” u smislu te odredbe može sastojati od puke činjenice da se ispitanik pribojava da će se, nakon tog priopćavanja koje je omogućilo izradu preslike navedenog dokumenta prije njegova povrata, širenje ili čak zlouporaba njegovih podataka dogoditi u budućnosti.

63

Važno je pojasniti da taj sud navodi da je u ovom slučaju dokument u kojem su se nalazili predmetni podaci vraćen tužitelju u glavnom postupku u roku od pola sata nakon što je predan neovlaštenoj trećoj osobi i da ta osoba nije doznala za te podatke prije nego što je vratila dokument, ali navedeni tužitelj ističe da je ta predaja toj trećoj osobi pružila mogućnost da izradi preslike dokumenta prije njegova vraćanja i da je stoga za njega stvorila bojazan da će do zlouporabe navedenih podataka doći u budućnosti.

64

S obzirom na to da u članku 82. stavku 1. OUZP‑a ne postoji nikakvo upućivanje na nacionalno pravo država članica, pojam „nematerijalna šteta” u smislu te odredbe valja definirati autonomno i ujednačeno, svojstveno pravu Unije (vidjeti u tom smislu presudu od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka),C‑300/21, EU:C:2023:370, t. 30. i 44., kao i od 14. prosinca 2023., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, t. 15.).

65

Sud je presudio da proizlazi ne samo iz teksta članka 82. stavka 1. OUZP‑a, u vezi s uvodnim izjavama 85. i 146. te uredbe, u kojima se poziva na široko shvaćanje pojma „nematerijalna šteta” u smislu te prve odredbe, nego i iz cilja osiguranja visoke razine zaštite pojedinaca u pogledu obrade osobnih podataka, koji se nastoji postići navedenom uredbom, da bojazan da će treća osoba zloupotrebljavati osobne podatke ispitanika koju on proživljava uslijed povrede te uredbe može sama po sebi predstavljati „nematerijalnu štetu” u smislu tog članka 82. stavka 1. (vidjeti u tom smislu presudu od 14. prosinca 2023., Nacionalna agencija za prihodite,C‑340/21, EU:C:2023:986, t. 79. do 86.).

66

Osim toga, pozivajući se i na tekstualna, sustavna i teleološka razmatranja, Sud je smatrao da gubitak nadzora nad osobnim podacima tijekom kratkog razdoblja može ispitaniku prouzročiti „nematerijalnu štetu” u smislu članka 82. stavka 1. OUZP‑a, koja otvara pravo na naknadu, pod uvjetom da navedeni ispitanik dokaže da je stvarno pretrpio takvu štetu, koliko god malu, pri čemu valja podsjetiti na to da puka povreda odredbi te uredbe nije dovoljna da bi se na toj osnovi dodijelilo pravo na naknadu štete (vidjeti u tom smislu presudu od 14. prosinca 2023., Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, t. 18. do 23.).

67

Isto tako, u ovom slučaju valja istaknuti da je u skladu s tekstom članka 82. stavka 1. OUZP‑a i s ciljem zaštite iz te uredbe to da pojam „nematerijalna šteta” obuhvaća situaciju u kojoj ispitanik izrazi osnovanu bojazan, što je na nacionalnom sudu pred kojim se vodi postupak da provjeri, da će neke od njegovih osobnih podataka treće osobe u budućnosti širiti ili zloupotrebljavati jer je dokument koji sadržava navedene podatke predan neovlaštenoj trećoj osobi, čime joj je omogućeno da izradi preslike tog dokumenta prije nego što ga vrati.

68

Međutim, ostaje činjenica da je na podnositelju tužbe za naknadu štete na temelju članka 82. OUZP‑a da dokaže postojanje takve štete. Konkretno, potpuno hipotetski rizik od zlouporabe neovlaštene treće osobe ne može dovesti do naknade štete. To je slučaj i kada nitko treći nije doznao za predmetne osobne podatke.

69

Posljedično, na peto pitanje valja odgovoriti tako da članak 82. stavak 1. OUZP‑a treba tumačiti na način da se, u slučaju da je dokument koji sadržava osobne podatke predan neovlaštenoj trećoj osobi za koju se utvrdi da nije doznala za te podatke, „nematerijalna šteta” u smislu te odredbe ne može sastojati od puke činjenice da se ispitanik pribojava da će, nakon tog priopćavanja kojim je otvorena mogućnost izrade preslike navedenog dokumenta prije njegova povrata, u budućnosti doći do širenja ili zlouporabe njegovih podataka.

70

Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.

Slijedom navedenog, Sud (treće vijeće) odlučuje: