Byla C-655/23

IP

prieš

Quirin Privatbank AG

(Bundesgerichtshof prašymas priimti prejudicinį sprendimą)

2025 m. rugsėjo 4 d. Teisingumo Teismo (ketvirtoji kolegija) sprendimas

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – Duomenų subjekto teisės – 17 straipsnis – Teisė į duomenų ištrynimą – 18 straipsnis – Teisė apriboti duomenų tvarkymą – 79 straipsnis – Teisė į veiksmingą teisminę gynybą – Neteisėtas asmens duomenų tvarkymas – Ieškinys, kuriuo prašoma įpareigoti duomenų valdytoją ateityje susilaikyti nuo bet kokio naujo neteisėto duomenų tvarkymo – Pagrindas – Sąlygos – 82 straipsnio 1 dalis – Teisė į žalos atlyginimą – Sąvoka „neturtinė žala“ – Žalos atlyginimo vertinimas – Galimas atsižvelgimas į duomenų valdytojo kaltės laipsnį – Galimas „įpareigojimo susilaikyti“ taikymo poveikis

1. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Teisių gynimo būdai – Valstybių narių pareiga numatyti teisių gynimo priemonę, leidžiančią įpareigoti duomenų valdytoją neatlikti jokio naujo neteisėto duomenų tvarkymo – Nebuvimas – Nacionalinės teisės normos, pagal kurias leidžiama pasinaudoti tokia priemone vidaus teisės sistemoje – Leistinumas

   (Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 ir 2 dalys; Europos Parlamento ir Tarybos reglamento 2016/679 1, 10, 11 konstatuojamosios dalys, 1 straipsnis, 4 straipsnio 1 punktas, 5, 6, 17, 18 ir 77–79 straipsniai)

   (žr. 38–52 punktus, rezoliucinės dalies 1 punktą)

2. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Teisė į kompensaciją ir atsakomybė – Teisė į kompensaciją už patirtą žalą – Neturtinė žala – Sąvoka – Neigiami jausmai, kuriuos duomenų subjektas patiria, kai jo asmens duomenys be leidimo perduodami trečiajam asmeniui – Įtraukimas – Sąlygos – Būtinybė įrodyti tokių jausmų buvimą ir jų neigiamas pasekmes dėl šio reglamento pažeidimo

   (Europos Parlamento ir Tarybos reglamento 2016/679 1, 10, 75, 85 ir 146 konstatuojamosios dalys, 1 straipsnis ir 82 straipsnio 1 dalis)

   (žr. 55, 56, 58– 64 punktus ir rezoliucinės dalies 2 punktą)

3. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Teisė į kompensaciją ir atsakomybė – Teisė į kompensaciją už patirtą žalą – Kompensacijos sumos ir formos nustatymas – Nacionalinės teisės normos, pagal kurias leidžiama atsižvelgti į žalą padariusio asmens kaltės laipsnį vertinant neturtinės žalos atlyginimą – Neleistinumas

   (Europos Parlamento ir Tarybos reglamento 2016/679 146 konstatuojamoji dalis ir 82 bei 83 straipsniai)

   (žr. 66, 67, 69–73 punktus ir rezoliucinės dalies 3 punktą)

4. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Teisė į kompensaciją ir atsakomybė – Teisė į kompensaciją už patirtą žalą – Kompensacijos sumos ir formos nustatymas – Atsižvelgimas, siekiant sumažinti piniginį neturtinės žalos atlyginimą arba visai jo nesuteikti, į įpareigojimą nekartoti šio reglamento pažeidimo – Neleistinumas

   (Europos Parlamento ir Tarybos reglamento 2016/679 82 straipsnis)

   (žr. 77–79, 81–83 punktus ir rezoliucinės dalies 4 punktą)

Santrauka

Išnagrinėjęs Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija) prašymą priimti prejudicinį sprendimą, Teisingumo Teismas išsamiau išaiškino teisių, kurios duomenų subjektui suteiktos pagal įvairias BDAR ( 1 ) nuostatas tuo atveju, jei jo asmens duomenys buvo tvarkomi neteisėtai, aprėptį.

IP per internetinį specialistų socialinį tinklą pateikė paraišką dėl darbo pagal Vokietijos teisę įsteigtoje bendrovėje Quirin Privatbank. Vėliau šios bendrovės darbuotoja, naudodamasi šio tinklo elektroninių žinučių siuntimo paslauga, trečiajam asmeniui, nesusijusiam su šiuo įdarbinimo procesu, išsiuntė tik IP skirtą pranešimą, kuriame informavo apie jo su darbo užmokesčiu susijusių pageidavimų atmetimą ir pasiūlė kitą darbo užmokestį. Šis trečiasis asmuo, anksčiau dirbęs su IP, persiuntė jam šį pranešimą ir pasiteiravo, ar jis ieško darbo.

IP Landgericht Darmstadt (Darmštato apygardos teismas, Vokietija) pareiškė ieškinį, juo prašė įpareigoti Quirin Privatbank, pirma, susilaikyti nuo bet kokio su juo susijusių asmens duomenų tvarkymo, kad jo, kaip kandidato, asmens duomenys nebūtų vėl neteisėtai atskleisti, ir, antra, priteisti jam patirtos neturtinės žalos atlyginimą. Pirmosios instancijos teismas šiuos prašymus patenkino.

Quirin Privatbank pateikus apeliacinį skundą Oberlandesgericht Frankfurt (Frankfurto aukštesnysis apygardos teismas, Vokietija), šis teismas tą sprendimą iš dalies pakeitė, atmesdamas prašymą atlyginti žalą. Anot šio teismo, IP nepateikė konkrečios žalos įrodymų ir, net darant prielaidą, kad jis patyrė pažeminimą, tai negali būti laikoma neturtine žala.

Tiek IP, tiek Quirin Privatbank dėl to sprendimo pateikė kasacinius skundus Bundesgerichtshof (Aukščiausiasis Federalinis Teismas, Vokietija), prašymą priimti prejudicinį sprendimą pateikusiam teismui.

Kadangi aukščiausiosios instancijos teismui kilo abejonių dėl to, kaip aiškinti kai kurias BDAR nuostatas, jis Teisingumo Teismui uždavė klausimų dėl teisių gynimo priemonių aprėpties, teisės į patirtos žalos atlyginimą taikymo srities ir kriterijų, leidžiančių nustatyti atlygintiną neturtinę žalą.

Teisingumo Teismo vertinimas

Visų pirma, Teisingumo Teismo prašyta atsakyti į klausimą, ar BDAR nuostatose duomenų subjekto, kurio asmens duomenys buvo tvarkomi neteisėtai ir kuris neprašo jų ištrinti, naudai numatyta teisminė teisių gynimo priemonė, leidžianti jam prevenciškai pasiekti, kad duomenų valdytojas būtų įpareigotas ateityje neatlikti naujo neteisėto duomenų tvarkymo, ir, jei atsakymas būtų neigiamas, ar pagal šias nuostatas valstybėms narėms draudžiama numatyti tokią teisių gynimo priemonę savo atitinkamose teisės sistemose.

Jis šiuo klausimu pažymėjo, kad BDAR nėra nuostatų, kuriose būtų aiškiai ar netiesiogiai numatyta, kad duomenų subjektas turi teisę prevenciškai, kreipdamasis į teismą, reikalauti, kad asmens duomenų valdytojas būtų įpareigotas ateityje susilaikyti nuo šio reglamento nuostatų pažeidimo, t. y. pasikartojančio neteisėto duomenų tvarkymo.

Be to, Teisingumo Teismas konstatavo, kad nė viena šio reglamento nuostatų, numatančių teisių gynimo priemones ( 2 ), neįpareigoja valstybių narių numatyti prevencinio ieškinio. BDAR 79 straipsnio, kuriame įtvirtinta teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją, 1 dalyje nereikalaujama, kad valstybės narės numatytų konkrečią teisių gynimo priemonę, kuri leistų prevenciškai pareiškiant ieškinį teisme pasiekti, kad būtų nurodyta susilaikyti nuo veiksmų.

Vis dėlto, atsižvelgdamas, be kita ko, į tai, kad BDAR pripažįstama kiekvieno duomenų subjekto teisė į veiksmingą teisminę teisių gynimo priemonę, jeigu jis mano, kad tvarkant jo asmens duomenis pažeidžiant šį reglamentą buvo pažeistos tame reglamente jam suteikiamos teisės, „nedarant poveikio“ galimybei imtis kitų administracinių ar neteisminių teisių gynimo priemonių, Teisingumo Teismas konstatavo, kad valstybėms narėms nedraudžiama numatyti tokios prevencinės teisių gynimo priemonės, kuria siekiama įpareigoti duomenų valdytoją susilaikyti nuo bet kokio naujo šių teisių pažeidimo.

Šiuo aspektu Teisingumo Teismas pažymėjo, kad vis dėlto keliose BDAR nuostatose aiškiai numatyta valstybių narių galimybė numatyti papildomas, griežtesnes ar leidžiančias nukrypti nacionalines nuostatas, kurios suteikia joms diskreciją dėl galimo šių nuostatų įgyvendinimo būdo („leidžiančiosios nuostatos“). Šiame kontekste jis pažymėjo, kad nors BDAR nuostatose konkrečiai nėra tokios leidžiančiosios nuostatos, Sąjungos teisės aktų leidėjas neketino išsamiai suderinti teisių gynimo priemonių, kuriomis galima pasinaudoti minėto reglamento nuostatų pažeidimo atveju, ir, konkrečiai kalbant, neuždraudė tokios prevencinio ieškinio galimybės.

Teisingumo Teismas pridūrė, kad tokį aiškinimą patvirtina BDAR siekiami tikslai. Duomenų subjekto galimybė pareikšti ieškinį teisme, kad duomenų valdytojui būtų nurodyta ateityje susilaikyti nuo BDAR materialinių nuostatų pažeidimo, gali sustiprinti šių nuostatų veiksmingumą, taigi ir šiuo reglamentu siekiamą aukštą duomenų subjektų apsaugos lygį tvarkant jų asmens duomenis.

Tuo remdamasis Teisingumo Teismas padarė išvadą, jog pagal BDAR nedraudžiama, kad teise į teisinę gynybą, siekiant, kad būtų nustatytas įpareigojimas, leidžiantis užkirsti kelią galimam šio reglamento materialinių nuostatų pažeidimui, be kita ko, galimai pakartojant neteisėtą duomenų tvarkymą, būtų galima pasinaudoti remiantis valstybės narės teisės nuostatomis, taikytinomis nacionaliniame teisme, į kurį kreiptasi.

Toliau Teisingumo Teismas aiškino sąvoką „neturtinė žala“, kuri, kaip matyti iš BDAR ( 3 ), duomenų subjektui suteikia teisę iš duomenų valdytojo gauti kompensaciją už patirtą žalą.

Šiame kontekste jis priminė, kad pagal BDAR 82 straipsnio 1 dalį, susijusią su teise į kompensaciją, draudžiama nacionalinės teisės norma ar praktika, pagal kurią „neturtinės žalos“ kompensavimas, kaip tai suprantama pagal šią nuostatą, siejamas su sąlyga, kad duomenų subjekto patirta žala turi būti tam tikro dydžio. Minėtoje nuostatoje nereikalaujama, kad duomenų subjekto nurodyta neturtinė žala pasiektų „de minimis ribą“, kad ši žala galėtų būti atlyginta ( 4 ).

Be to, Teisingumo Teismas pažymėjo, kad situacijos, kaip antai nurodytos pagrindinėje byloje, susijusios su „pakenkimu reputacijai“ dėl asmens duomenų pažeidimo arba tokių duomenų „kontrolės praradimo“, yra aiškiai nurodytos kaip galimos žalos pavyzdžiai, išvardyti BDAR ( 5 ).

Jis taip pat priminė, kad vien duomenų subjekto baimė, jog dėl BDAR pažeidimo jo asmens duomenys ateityje bus naudojami netinkamai, gali būti laikoma „neturtine žala“, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį, su sąlyga, kad ši baimė ir neigiamos pasekmės bus tinkamai įrodytos, o tai turi patikrinti nacionalinis teismas, į kurį kreiptasi ( 6 ).

Taigi, Teisingumo Teismas pripažino, kad nors prašymą priimti prejudicinį sprendimą pateikusio teismo nurodyti jausmai, visų pirma baimė ar nepasitenkinimas, taip pat gali būti bendros kasdienio gyvenimo rizikos dalis, jie gali būti laikomi „neturtine žala“, kaip ji suprantama pagal BDAR, jeigu duomenų subjektas įrodo tai, kad turi tokių jausmų, ir neigiamas jų pasekmes būtent dėl aptariamo šio reglamento pažeidimo, pavyzdžiui, neteisėto jo asmens duomenų perdavimo trečiajam asmeniui, sukeliančio piktnaudžiavimo jais riziką, o tai turi įvertinti bylą nagrinėjantys nacionaliniai teismai.

Teisingumo Teismas pažymėjo, kad toks aiškinimas atitinka BDAR 82 straipsnio 1 dalies formuluotę, siejamą su šio reglamento 85 ir 146 konstatuojamosiomis dalimis, pagal kurias sąvoka „neturtinė žala“ turi būti aiškinama plačiai, be to, jį patvirtina minėto reglamento tikslas, išplaukiantis iš jo 1 straipsnio ir 1 bei 10 konstatuojamųjų dalių, užtikrinti aukštą fizinių asmenų apsaugos tvarkant asmens duomenis lygį.

Trečia, Teisingumo Teismas konstatavo, kad pagal BDAR 82 straipsnio 1 dalį, susijusią su teise į kompensaciją, draudžiama, siekiant įvertinti pagal šį straipsnį mokėtinos neturtinės žalos atlyginimą, atsižvelgti į duomenų valdytojo kaltės laipsnį.

Šiuo klausimu jis priminė, kad atsižvelgiant į teisės į kompensaciją išimtinai kompensacinę funkciją, nacionaliniai teismai privalo užtikrinti „visą ir veiksmingą“ patirtos žalos atlyginimą, ir tokios visiškos kompensacijos tikslais nereikia nurodyti sumokėti baudinio pobūdžio kompensacijos ( 7 ).

Jis patikslino, kad ši išimtinai kompensacinė BDAR numatytos teisės į kompensaciją funkcija neleidžia atsižvelgti į duomenų valdytojo padaryto šio reglamento pažeidimo sunkumą ir galimą tyčinį pobūdį, siekiant šiuo pagrindu atlyginti žalą. Taigi negalima atsižvelgti į duomenų valdytojo elgesį ir motyvus, siekiant atitinkamu atveju priteisti duomenų subjektui mažesnę kompensaciją nei jo faktiškai patirta žala, nesvarbu, ar tai susiję su šios kompensacijos suma, ar forma.

Galiausiai, ketvirta, Teisingumo Teismas nusprendė, kad pagal BDAR 82 straipsnio 1 dalį draudžiama atsižvelgti į aplinkybę, kad pagal taikytiną nacionalinę teisę duomenų subjektas pasiekė, kad būtų išduotas įpareigojimas – kuriuo galima remtis prieš duomenų valdytoją – nekartoti šio reglamento pažeidimo, siekiant sumažinti piniginės kompensacijos už neturtinę žalą, mokėtinos pagal šį straipsnį, dydį ar, a fortiori, tuo pakeisti šią kompensaciją.

Teisingumo Teismas priminė, kad jau yra pripažinęs, jog, laikantis iš veiksmingumo principo kylančių apribojimų, tam tikros aplinkybės gali turėti įtakos pagal BDAR 82 straipsnį mokėtinos kompensacijos vertinimui, visų pirma siekiant apriboti šią kompensaciją. Taikytinoje nacionalinėje teisėje numatyta kompensacijos forma gali būti laikoma atitinkančia BDAR tik jeigu ja galima užtikrinti visišką ir veiksmingą duomenų subjekto patirtos žalos atlyginimą. Konkrečiai tariant, pagal BDAR 82 straipsnį mokėtinas žalos atlyginimas negali būti priteistas – iš dalies arba visiškai – įpareigojant susilaikyti nuo veiksmų, nes teisė į žalos atlyginimą atlieka tik kompensacinę funkciją, o įpareigojimas susilaikyti nuo veiksmų, taikomas žalą padariusiam asmeniui, turi vien prevencinį tikslą.

( 1 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 17, 18, 79 ir 82 straipsniai.

( 2 ) BDAR VIII skyrius „Teisių gynimo priemonės, atsakomybė ir sankcijos“, kuriame, be kitų, yra, šio reglamento 77–79 straipsniai.

( 3 ) BDAR 82 straipsnio 1 dalis.

( 4 ) Šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post(Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 51 punktą ir 2024 m. spalio 4 d. Sprendimo Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, 147 ir 149 punktus.

( 5 ) BDAR 75 ir 85 konstatuojamosios dalys.

( 6 ) Šiuo klausimu žr. 2024 m. birželio 20 d. Sprendimo PS (Blogas adresas), C‑590/22, EU:C:2024:536, 32, 35 ir 36 punktus ir 2024 m. spalio 4 d. Sprendimo Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, 143, 144 ir 155 punktus ir juose nurodytą jurisprudenciją.

( 7 ) Šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 57 ir 58 punktus ir 2024 m. spalio 4 d. Sprendimo Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, 34 punktą.