–

GP, atstovaujamo Rechtsanwalt H. Schöning,

–

juris GmbH, atstovaujamos Rechtsanwälte E. Brandt ir C. Werkmeister,

–

Airijos, atstovaujamos Chief State Solicitor M. Browne, A. Joyce ir M. Lane, padedamų BL D. Fennelly,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 82 straipsnio 1 ir 3 dalių, siejamų su šio reglamento 29 ir 83 straipsniais ir atsižvelgiant į jo 85 ir 146 konstatuojamąsias dalis, išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant fizinio asmens GP ir Vokietijoje įsteigtos bendrovės juris GmbH ginčą dėl žalos, kurią GP teigia patyręs dėl įvairaus jo asmens duomenų tvarkymo rinkodaros tikslais, atlyginimo, nepaisant prieštaravimų, kuriuos GP pateikė minėtai bendrovei.

3

BDAR 85, 146 ir 148 konstatuojamosios dalys suformuluotos taip:

<…>

<…>

4

Šio reglamento 4 straipsnyje „Apibrėžtys“ nustatyta:

„Šiame reglamente:

<…>

<…>

<…>“

5

Minėto reglamento 5 straipsnyje numatyti įvairūs su asmens duomenų tvarkymu susiję principai.

6

Šio reglamento III skyriuje, susijusiame su „duomenų subjekto teisėmis“, esančio 21 straipsnio „Teisė nesutikti“ 3 dalyje, numatyta:

„Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.“

7

BDAR IV skyriuje „Duomenų valdytojas ir duomenų tvarkytojas“ yra 24–43 straipsniai.

8

Minėto reglamento 24 straipsnio „Duomenų valdytojo atsakomybė“ 1 ir 2 dalyse nustatyta:

„1.   Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.

2.   Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.“

9

Šio reglamento 25 straipsnio „Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga“ 1 dalyje numatyta:

„Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.“

10

BDAR 29 straipsnyje „Duomenų valdytojui ar duomenų tvarkytojui pavaldžių asmenų atliekamas duomenų tvarkymas“ nurodyta:

„Duomenų tvarkytojas ir bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus asmuo, galintis susipažinti su asmens duomenimis, negali tų duomenų tvarkyti, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tai daryti reikalaujama pagal Sąjungos ar valstybės narės teisę.“

11

BDAR 32 straipsnyje „Duomenų tvarkymo saugumas“ nurodyta:

„1.   Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:

<…>

<…>

2.   Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

<…>

4.   Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę.“

12

BDAR VIII skyriuje „Teisių gynimo priemonės, atsakomybė ir sankcijos“ yra šio reglamento 77–84 straipsniai.

13

Šio reglamento 79 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ 1 dalyje nurodyta:

„Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“

14

Minėto reglamento 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1–3 dalyse numatyta:

„1.   Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.

2.   Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. <…>

3.   Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.“

15

Šio reglamento 83 straipsnio „Bendrosios administracinių baudų skyrimo sąlygos“ 2, 3 ir 5 dalyse nustatyta:

„2.   <…> Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

<…>

3.   Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

<…>

5.   Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20000000 [eurų] arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

<…>“

16

Šio reglamento 84 straipsnio „Sankcijos“ 1 dalyje numatyta:

„Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.“

17

Ieškovas pagrindinėje byloje (nepriklausomo advokato veikla besiverčiantis fizinis asmuo) buvo juris, t. y. bendrovės, naudojančios teisinę duomenų bazę, klientas.

18

Sužinojęs, kad juris taip pat naudoja jo asmens duomenis tiesioginės rinkodaros tikslais, ieškovas pagrindinėje byloje 2018 m. lapkričio 6 d. raštu atšaukė visus savo sutikimus gauti informaciją iš šios bendrovės elektroniniu paštu arba telefonu ir nesutiko su bet kokiu šių duomenų tvarkymu, išskyrus „newsletters“ siuntimą, kurių gavėjas jis pageidavo būti ir toliau.

19

Nepaisant to, 2019 m. sausio mėn. ieškovas pagrindinėje byloje gavo du jam adresuotus reklaminius lankstinukus, išsiųstus jo verslo adresu. 2019 m. balandžio 18 d.juris adresuotame rašte jis priminė, kad anksčiau nesutiko su bet kokiomis rinkodaros priemonėmis, nurodė, kad šių lankstinukų parengimas lėmė neteisėtą jo duomenų tvarkymą, ir paprašė atlyginti žalą pagal BDAR 82 straipsnį. 2019 m. gegužės 3 d. gavęs naują reklaminį lankstinuką, jis pakartojo savo nesutikimą, kuris šį kartą juris buvo įteiktas per antstolį.

20

Kiekviename iš minėtų lankstinukų buvo pateiktas „asmeninis bandomasis kodas“, suteikiantis prieigą juris interneto svetainėje prie šios bendrovės produktų užsakymo formos, kurioje buvo pateikta informacija, susijusi su ieškovu pagrindinėje byloje, kaip jo prašymu 2019 m. birželio 7 d. nustatė notaras.

21

Ieškovas pagrindinėje byloje pareiškė ieškinį Landgericht Saarbrücken (Sarbriukeno apygardos teismas, Vokietija), kuris šioje byloje yra prašymą priimti prejudicinį sprendimą pateikęs teismas, ir prašė pagal BDAR 82 straipsnio 1 dalį atlyginti turtinę žalą, susijusią su jo patirtomis išlaidomis antstoliui ir notarui, taip pat neturtinę žalą. Jis, be kita ko, teigė, kad prarado savo asmens duomenų kontrolę dėl to, kad juris juos tvarkė nepaisydama jo prieštaravimų, ir dėl to jam turi būti atlyginta žala, neprivalant įrodyti jo teisių, kurios užtikrinamos pagal Europos Sąjungos pagrindinių teisių chartijos 8 straipsnį ir patikslintos šiuo reglamentu, pažeidimo pasekmių ar sunkumo.

22

Savo atsiliepime į ieškinį juris neigė bet kokią savo atsakomybę, teigdama, kad iš tiesų buvo sukūrusi prieštaravimų dėl rinkodaros pranešimų tvarkymo sistemą ir kad į ieškovo prieštaravimus pagrindinėje byloje buvo atsižvelgta pavėluotai dėl to, kad vienas iš jos darbuotojų nesilaikė duotų nurodymų, arba dėl to, kad atsižvelgti į šiuos prieštaravimus būtų buvę pernelyg sudėtinga. Ji teigia, kad vien iš BDAR kylančios pareigos, būtent iš jo 21 straipsnio 3 dalies, pažeidimas negali būti laikomas „žala“, kaip ji suprantama pagal šio reglamento 82 straipsnio 1 dalį.

23

Pirma, prašymą priimti prejudicinį sprendimą pateikęs teismas remiasi prielaida, kad BDAR 82 straipsnio 1 dalyje numatytai teisei į kompensaciją taikomos trys sąlygos, t. y. šio reglamento pažeidimas, turtinė ar neturtinė žala ir priežastinis ryšys tarp šio pažeidimo ir šios žalos. Be to, atsižvelgiant į ieškovo pagrindinėje byloje reikalavimus, tam teismui kyla klausimas, ar vis dėlto reikia manyti, kad BDAR pažeidimas savaime yra neturtinė žala, dėl kurios atsiranda teisė į kompensaciją, visų pirma kai pažeista šio reglamento nuostata duomenų subjektui suteikiama subjektinė teisė. Galiausiai, kadangi pagal Vokietijos teisę piniginis neturtinės žalos atlyginimas priklauso nuo to, ar turi būti padarytas sunkus saugomų teisių pažeidimas, tam teismui kyla klausimas, ar analogiškas apribojimas turi būti taikomas prašymams atlyginti žalą pagal BDAR, atsižvelgiant į šio reglamento 85 ir 146 konstatuojamosiose dalyse pateiktas nuorodas, susijusias su sąvoka „žala“.

24

Antra, minėtas teismas mano, kad iš BDAR 82 straipsnio matyti, jog, nustačius šio reglamento pažeidimą, už jį yra atsakingas duomenų valdytojas, taigi kyla atsakomybė dėl jo preziumuojamos kaltės ar net be jo kaltės. Be to, pabrėžęs, kad šio straipsnio 3 dalyje nepatikslinti konkrečiai su šioje dalyje numatytu atleidimu nuo atsakomybės susiję reikalavimai pateikti įrodymų, jis pažymi, kad jeigu duomenų valdytojui būtų leidžiama išvengti atsakomybės vien bendrai remiantis vieno iš savo darbuotojų neteisėtu elgesiu, tai labai apribotų minėto straipsnio 1 dalyje numatytos teisės į kompensaciją veiksmingumą.

25

Trečia, prašymą priimti prejudicinį sprendimą pateikęs teismas, be kita ko, siekia išsiaiškinti, ar, siekiant įvertinti žalos, visų pirma neturtinės žalos, mokėtinos pagal BDAR 82 straipsnį, dydį, taikant minėtą 82 straipsnį galima ar net turi būti atsižvelgta į šio reglamento 83 straipsnio 2 ir 5 dalyse numatytus kriterijus, taikomus nustatant administracinių baudų dydį.

26

Galiausiai, ketvirta, tas teismas pažymi, kad jo nagrinėjamoje byloje ieškovo pagrindinėje byloje asmens duomenys buvo kelis kartus tvarkomi rinkodaros tikslais, nepaisant pakartotinių suinteresuotojo asmens prieštaravimų. Taigi jis siekia nustatyti, ar tais atvejais, kai BDAR pažeidimų yra daug, į juos reikia atsižvelgti individualiai ar bendrai, siekiant nustatyti galimos kompensacijos pagal šio reglamento 82 straipsnį dydį.

27

Šiomis aplinkybėmis Landgericht Saarbrücken (Sarbriukeno apygardos teismas, Vokietija) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

28

Visų pirma juris iš esmės teigia, kad pirmasis klausimas yra nepriimtinas, nes juo siekiama nustatyti, ar BDAR 82 straipsnyje numatytos teisės į kompensaciją atsiradimas siejamas su reikalavimu, kad duomenų subjekto, kaip jis apibrėžtas šio reglamento 4 straipsnio 1 punkte, nurodyta žala būtų tam tikro dydžio. Šis klausimas neturi reikšmės sprendžiant ginčą pagrindinėje byloje, nes ieškovo pagrindinėje byloje nurodyta žala, t. y. jo asmens duomenų kontrolės praradimas, neatsirado, kadangi šie duomenys buvo teisėtai tvarkomi atsižvelgiant į ginčo šalis siejančius sutartinius santykius.

29

Šiuo klausimu reikia priminti, pirma, kad tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į konkrečias bylos aplinkybes turi įvertinti tai, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų svarbą; šiems klausimams taikoma svarbos prezumpcija. Vadinasi, kai pateikiamas klausimas susijęs su Sąjungos teisės nuostatos išaiškinimu ar galiojimu, Teisingumo Teismas iš principo turi priimti sprendimą dėl šio klausimo, nebent būtų akivaizdu, kad prašomas išaiškinimas visiškai nesusijęs su ginčo pagrindinėje byloje aplinkybėmis ar dalyku, problema hipotetinė arba Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į tą klausimą (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 23 punktas ir jame nurodyta jurisprudencija).

30

Šioje byloje pirmasis klausimas keliamas dėl BDAR 82 straipsnyje numatytos teisės į kompensaciją įgyvendinimo sąlygų. Be to, nėra akivaizdu, kad prašomas išaiškinimas būtų nesusijęs su pagrindine byla ar iškelta problema hipotetinė. Iš tiesų, pirma, šis ginčas susijęs su prašymu atlyginti žalą, kuriam taikoma BDAR nustatyta asmens duomenų apsaugos sistema. Antra, šiuo klausimu iš esmės siekiama nustatyti, ar taikant šiame reglamente įtvirtintas atsakomybės taisykles būtina ne tik tai, kad būtų patirta neturtinė žala, atskira nuo minėto reglamento pažeidimo, bet ir tai, kad ši žala viršytų tam tikrą dydį.

31

Taigi pirmasis klausimas yra priimtinas.

32

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad vien šio reglamento nuostatų, kuriomis duomenų subjektui suteikiamos teisės, pažeidimo pakanka, kad būtų nustatyta „neturtinė žala“, kaip ji suprantama pagal šią nuostatą, neatsižvelgiant į šio asmens patirtos žalos dydį.

33

Visų pirma reikia priminti, kad BDAR 82 straipsnio 1 dalyje numatyta, kad „[b]et kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ar neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą“.

34

Teisingumo Teismas jau yra išaiškinęs BDAR 82 straipsnio 1 dalį taip, kad vien šio reglamento pažeidimo nepakanka, kad atsirastų teisė į kompensaciją, nes, be kita ko, turtinės ar neturtinės „žalos“ ar „patirtos“„žalos“ buvimas yra viena iš 82 straipsnio 1 dalyje numatytos teisės į kompensaciją sąlygų, kaip ir sąlygos, kad turi būti šio reglamento pažeidimas ir priežastinis ryšys tarp patirtos žalos ir šio pažeidimo; šios trys sąlygos yra kumuliacinės (šiuo klausimu žr. 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 58 punktą ir jame nurodytą jurisprudenciją).

35

Taigi asmuo, prašantis atlyginti neturtinę žalą pagal šią nuostatą, turi įrodyti ne tik šio reglamento nuostatų pažeidimą, bet ir tai, kad dėl šio pažeidimo jis patyrė tokią žalą (šiuo klausimu žr. 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 60 ir 61 punktus ir jame nurodytą jurisprudenciją).

36

Šiuo klausimu reikia pažymėti, kad Teisingumo Teismas yra išaiškinęs BDAR 82 straipsnio 1 dalį taip, kad pagal ją draudžiama nacionalinė taisyklė ar praktika, pagal kurią neturtinės žalos atlyginimas, kaip tai suprantama pagal šią nuostatą, siejamas su sąlyga, kad atitinkamo asmens patirta žala būtų tam tikro dydžio, ir pabrėžęs, kad minėtas asmuo vis dėlto turi įrodyti, kad dėl šio reglamento pažeidimo patyrė tokią neturtinę žalą (šiuo klausimu žr. 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 59 ir 60 punktus ir juose nurodytą jurisprudenciją).

37

Nors pagal BDAR nuostatą, kuri buvo pažeista, fiziniams asmenims suteikiamos teisės, vien toks pažeidimas negali būti laikomas „neturtine žala“, kaip ji suprantama pagal šį reglamentą.

38

Žinoma, iš BDAR 79 straipsnio 1 dalies matyti, kad kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba galimą duomenų tvarkytoją, jeigu mano, kad „šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą“.

39

Vis dėlto pagal šią nuostatą teisė pareikšti ieškinį suteikiama tik asmeniui, kuris mano esąs nukentėjęs nuo pagal BDAR jam suteiktų teisių pažeidimo, tačiau jis neatleidžiamas nuo pareigos pagal šio reglamento 82 straipsnio 1 dalį įrodyti, kad iš tikrųjų patyrė turtinę ar neturtinę žalą.

40

Darytina išvada, kad vien BDAR nuostatų, pagal kurias duomenų subjektui suteikiamos teisės, pažeidimo nepakanka materialinei teisei į kompensaciją pagal šį reglamentą, nes pagal jį reikalaujama, kad būtų įvykdytos ir kitos dvi šios teisės sąlygos, nurodytos šio sprendimo 34 punkte.

41

Nagrinėjamu atveju ieškovas pagrindinėje byloje, remdamasis BDAR, prašo atlyginti neturtinę žalą, t. y. jo asmens duomenų, kurie buvo tvarkomi, nepaisant jo prieštaravimo, kontrolės praradimą, nesant būtinybės įrodyti, kad ši žala viršijo tam tikrą dydį.

42

Šiuo klausimu reikia pažymėti, kad BDAR 85 konstatuojamojoje dalyje aiškiai nurodytas „kontrolės praradimas“ kaip vienas iš žalos, kuri gali būti padaryta dėl asmens duomenų saugumo pažeidimo, atvejų. Be to, Teisingumo Teismas yra nusprendęs, kad tokių duomenų kontrolės praradimas net ir trumpą laikotarpį gali būti laikomas „neturtine žala“, kaip ji suprantama pagal šio reglamento 82 straipsnio 1 dalį, dėl kurios atsiranda teisė į kompensaciją, su sąlyga, kad atitinkamas asmuo įrodo, jog iš tikrųjų patyrė tokią žalą, net jeigu ji yra minimali (šiuo klausimu žr. 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 66 punktą ir jame nurodytą jurisprudenciją).

43

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad vien šio reglamento nuostatų, kuriomis duomenų subjektui suteikiamos teisės, pažeidimo nepakanka, kad būtų nustatyta „neturtinė žala“, kaip ji suprantama pagal šią nuostatą, neatsižvelgiant į šio asmens patirtos žalos dydį.

44

Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnis turi būti aiškinamas taip, jog tam, kad duomenų valdytojas būtų atleistas nuo atsakomybės pagal minėto straipsnio 3 dalį, pakanka remtis tuo, kad aptariama žala buvo padaryta dėl to, kad jam pavaldus asmuo, kaip tai suprantama pagal šio reglamento 29 straipsnį, nevykdė įsipareigojimų.

45

Šiuo klausimu reikia priminti, kad BDAR 82 straipsnio 2 dalyje nustatyta, jog tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą, o šio straipsnio 3 dalyje numatyta, jog duomenų valdytojas atleidžiamas nuo atsakomybės pagal 2 dalį, jeigu įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.

46

Teisingumo Teismas jau yra konstatavęs, kad iš bendros šio 82 straipsnio 2 ir 3 dalių analizės matyti, kad jame numatyta kalte grindžiamos atsakomybės sistema, pagal kurią preziumuojama, kad duomenų valdytojas dalyvavo tvarkant duomenis, kai tokiu tvarkymu pažeidžiamas BDAR, todėl įrodinėjimo pareiga tenka ne žalą patyrusiam asmeniui, o duomenų valdytojui (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 92 ir 94 punktus).

47

Dėl klausimo, ar duomenų valdytojas gali būti atleistas nuo atsakomybės pagal BDAR 82 straipsnio 3 dalį vien dėl to, kad šią žalą sukėlė jam pavaldaus asmens, kaip tai suprantama pagal šio reglamento 29 straipsnį, klaidingi veiksmai, iš šio 29 straipsnio matyti, kad, pirma, duomenų valdytojui pavaldūs asmenys, kaip antai jo darbuotojai, galintys susipažinti su asmens duomenimis, iš principo gali tvarkyti šiuos duomenis tik gavę šio duomenų valdytojo nurodymus ir jų laikydamiesi (šiuo klausimu žr. 2023 m. birželio 22 d. Sprendimo Pankki S, C‑579/21, EU:C:2023:501, 73 ir 74 punktus).

48

Antra, BDAR 32 straipsnio 4 dalyje, susijusioje su asmens duomenų tvarkymo saugumu, numatyta, kad duomenų valdytojas imasi priemonių, siekdamas užtikrinti, kad bet kuris jam pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę

49

Duomenų valdytojo darbuotojas yra fizinis asmuo, pavaldus šiam duomenų valdytojui. Taigi toks duomenų valdytojas turi įsitikinti, kad darbuotojai jo nurodymus taiko teisingai. Vadinasi, duomenų valdytojas negali būti atleistas nuo atsakomybės pagal BDAR 82 straipsnio 3 dalį, vien remdamasis jam pavaldaus asmens aplaidumu ar nurodymų nevykdymu.

50

Nagrinėjamu atveju Teisingumo Teismui pateiktose rašytinėse pastabose juris iš esmės teigia, kad duomenų valdytojas pagal BDAR 82 straipsnio 3 dalį turėtų būti atleistas nuo atsakomybės, kai pažeidimą, dėl kurio buvo padaryta atitinkama žala, lėmė vieno iš jo darbuotojų, kuris nesilaikė minėto duomenų valdytojo nurodymų, elgesys, juo labiau jei šis pažeidimas padarytas ne dėl duomenų valdytojo pareigų, konkrečiai nurodytų šio reglamento 24, 25 ir 32 straipsniuose, neįvykdymo.

51

Šiuo klausimu reikia pažymėti, kad BDAR 82 straipsnio 3 dalyje numatyto atleidimo nuo atsakomybės aplinkybės turi būti griežtai apribotos tomis aplinkybėmis, kai duomenų valdytojas gali įrodyti, kad jam negali būti priskirta atsakomybė už žalą (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 70 punktą). Taigi tuo atveju, kai asmens duomenų saugumo pažeidimą padaro jam pavaldus asmuo, minėtas duomenų valdytojas gali pasinaudoti šiuo atleidimu nuo atsakomybės tik tuo atveju, jeigu įrodo, kad nėra jokio priežastinio ryšio tarp galimo duomenų apsaugos pareigos, jam nustatytos pagal šio reglamento 5, 24 ir 32 straipsnius, pažeidimo ir duomenų subjekto patirtos žalos (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 72 punktą).

52

Taigi tam, kad duomenų valdytojas galėtų būti atleistas nuo atsakomybės pagal BDAR 82 straipsnio 3 dalį, nepakanka, kad jis įrodytų, jog davė nurodymus jam pavaldiems asmenims, kaip tai suprantama pagal šio reglamento 29 straipsnį, ir kad vienas iš šių asmenų neįvykdė savo pareigos vykdyti šiuos nurodymus ir taip prisidėjo prie nagrinėjamos žalos atsiradimo.

53

Iš tiesų, jeigu būtų pripažinta, kad duomenų valdytoją galima atleisti nuo atsakomybės, apsiribojant tik tuo, kad jam pavaldus asmuo nevykdo įsipareigojimų, tai pakenktų BDAR 82 straipsnio 1 dalyje įtvirtintos teisės į kompensaciją veiksmingumui, kaip iš esmės pažymėjo prašymą priimti prejudicinį sprendimą pateikęs teismas, ir tai neatitiktų šio reglamento tikslo užtikrinti aukštą fizinių asmenų apsaugos tvarkant jų asmens duomenis lygį.

54

Atsižvelgiant į tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti: BDAR 82 straipsnis turi būti aiškinamas taip, jog tam, kad duomenų valdytojas būtų atleistas nuo atsakomybės pagal minėto straipsnio 3 dalį, nepakanka remtis tuo, kad aptariama žala buvo padaryta dėl to, kad jam pavaldus asmuo, kaip tai suprantama pagal šio reglamento 29 straipsnį, nevykdė įsipareigojimų.

55

Trečiuoju ir ketvirtuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad siekiant nustatyti žalos, mokėtinos pagal šioje nuostatoje numatytą teisę į kompensaciją, dydį reikia mutatis mutandis taikyti šio reglamento 83 straipsnyje numatytus administracinių baudų dydžio nustatymo kriterijus ir atsižvelgti į tai, kad įvairūs šio reglamento pažeidimai, susiję su ta pačia duomenų tvarkymo operacija, daro poveikį asmeniui, prašančiam atlyginti žalą.

56

Pirma, kalbant apie galimą atsižvelgimą į BDAR 83 straipsnyje nurodytus kriterijus, norint įvertinti pagal jo 82 straipsnį mokėtinos kompensacijos dydį, neginčijama, kad šiomis dviem nuostatomis siekiama skirtingų tikslų. Iš tiesų šio reglamento 83 straipsnyje nustatytos „bendrosios administracinių baudų skyrimo sąlygos“, o šio reglamento 82 straipsnyje reglamentuojama „teisė į kompensaciją ir atsakomybė“.

57

Tuo remiantis darytina išvada, kad BDAR 83 straipsnyje įtvirtinti administracinių baudų dydžio nustatymo kriterijai, kurie taip pat paminėti šio reglamento 148 konstatuojamojoje dalyje, negali būti naudojami vertinant žalos dydį pagal jo 82 straipsnį.

58

Kaip jau yra pabrėžęs Teisingumo Teismas, BDAR nėra nuostatos dėl žalos, mokėtinos remiantis šio reglamento 82 straipsnyje įtvirtinta teise į kompensaciją, vertinimo. Taigi nacionaliniai teismai, atlikdami šį vertinimą, remdamiesi procesinės autonomijos principu, turi taikyti piniginės kompensacijos dydį reglamentuojančias kiekvienos valstybės narės vidaus taisykles, su sąlyga, kad laikomasi Sąjungos teisėje įtvirtintų lygiavertiškumo ir veiksmingumo principų, kaip jie apibrėžti suformuotoje Teisingumo Teismo jurisprudencijoje (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 83 ir 101 punktus ir juose nurodytą jurisprudenciją ir 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 53 punktą).

59

Šiame kontekste Teisingumo Teismas pažymėjo, kad BDAR 82 straipsnis yra ne baudžiamojo, o kompensacinio pobūdžio, priešingai nei kitos šio reglamento nuostatos, taip pat esančios jo VIII skyriuje, t. y. jo 83 ir 84 straipsniai, kuriais iš esmės siekiama baudžiamojo tikslo, nes jais remiantis leidžiama skirti administracines baudas ir kitas sankcijas. Minėtame 82 straipsnyje nustatytų taisyklių ir minėtuose 83 ir 84 straipsniuose nustatytų taisyklių tarpusavio ryšys rodo, kad šios dvi nuostatų kategorijos skiriasi ir papildo viena kitą, kiek tai susiję su skatinimu laikytis BDAR, turint omenyje, kad kiekvieno asmens teisė reikalauti kompensacijos už žalą sustiprina šiame reglamente numatytų apsaugos taisyklių veiksmingumą ir gali atgrasyti nuo neteisėtų veiksmų pasikartojimo (2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 47 punktas ir jame nurodyta jurisprudencija).

60

Be to, Teisingumo Teismas, remdamasis tuo, kad BDAR 82 straipsnio 1 dalyje numatyta teisė į kompensaciją neatlieka atgrasomosios ar net baudžiamosios funkcijos, padarė išvadą, kad šio reglamento pažeidimo, dėl kurio atsirado nurodyta turtinė ar neturtinė žala, sunkumas negali turėti įtakos pagal šią nuostatą priteistos žalos dydžiui. Iš to matyti, kad ši suma negali būti didesnė už visą šios žalos kompensavimą (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86 punktą).

61

Atsižvelgdamas į BDAR 146 konstatuojamosios dalies šeštąjį sakinį, pagal kurį šia priemone siekiama užtikrinti, kad duomenų subjektai „už patirtą žalą [gautų] visą ir veiksmingą kompensaciją“, Teisingumo Teismas pažymėjo, kad, paisant kompensacinės BDAR 82 straipsnyje numatytos teisės į kompensaciją funkcijos, šia nuostata grindžiama piniginė kompensacija turi būti laikoma „visa ir veiksminga“, jeigu ja galima visapusiškai kompensuoti dėl šio reglamento pažeidimo konkrečiai patirtą žalą, ir tokios visapusiškos kompensacijos tikslais nereikia nurodyti sumokėti baudinio pobūdžio kompensacijos (2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 84 punktas ir jame nurodyta jurisprudencija).

62

Taigi, atsižvelgiant į BDAR 82 straipsnio, siejamo su jo 146 konstatuojamąja dalimi, ir minėto reglamento 83 straipsnio, siejamo su jo 148 konstatuojamąja dalimi, formuluočių ir tikslų skirtumus, negalima teigti, kad šiame 83 straipsnyje nustatyti vertinimo kriterijai mutatis mutandis taikomi pagal 82 straipsnį, nepaisant to, kad šiose dviejose nuostatose numatytos teisių gynimo priemonės yra viena kitą papildančios, siekiant užtikrinti, kad būtų laikomasi šio reglamento.

63

Antra, dėl to, kaip nacionaliniai teismai turi vertinti piniginės kompensacijos pagal BDAR 82 straipsnį dydį tais atvejais, kai įvairūs šio reglamento pažeidimai daro poveikį tam pačiam duomenų subjektui, pirmiausia reikia pažymėti, kad, kaip nurodyta šio sprendimo 58 punkte, kiekviena valstybė narė turi numatyti kriterijus, leidžiančius nustatyti šios kompensacijos dydį, su sąlyga, kad laikomasi Sąjungos teisės veiksmingumo ir lygiavertiškumo principų.

64

Be to, atsižvelgiant į BDAR 82 straipsnio ne baudžiamojo, o kompensacinio pobūdžio funkciją, primintą šio sprendimo 60 ir 61 punktuose, aplinkybė, kad duomenų valdytojas padarė kelis pažeidimus to paties duomenų subjekto atžvilgiu, negali būti reikšmingas kriterijus vertinant šiam asmeniui pagal šį 82 straipsnį atlygintiną žalą. Nustatant piniginės kompensacijos, mokėtinos kaip kompensacija, dydį reikia atsižvelgti tik į duomenų subjekto konkrečiai patirtą žalą.

65

Taigi į trečiąjį ir ketvirtąjį klausimus reikia atsakyti: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad siekiant nustatyti žalos, mokėtinos pagal šioje nuostatoje numatytą teisę į kompensaciją, dydį nereikia, pirma, mutatis mutandis taikyti šio reglamento 83 straipsnyje numatytų administracinių baudų dydžio nustatymo kriterijų ir, antra, atsižvelgti į tai, kad įvairūs šio reglamento pažeidimai, susiję su ta pačia duomenų tvarkymo operacija, daro poveikį asmeniui, prašančiam atlyginti žalą.

66

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia: