Wyrok Trybunału (trzecia izba) z dnia 25 stycznia 2024 r. (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Amtsgericht Hagen – Niemcy) – BL/MediaMarktSaturn Hagen-Iserlohn GmbH, dawniej Saturn Electro-Handelsgesellschaft mbH Hagen

(Sprawa C-687/21) (1)

(Odesłanie prejudycjalne - Ochrona osób fizycznych w zakresie przetwarzania danych osobowych - Rozporządzenie (UE) 2016/679 - Wykładnia art. 5, 24, 32 i 82 - Ocena ważności art. 82 - Niedopuszczalność pytania dotyczącego oceny ważności - Prawo do odszkodowania za szkodę spowodowaną przetwarzaniem takich danych z naruszeniem tego rozporządzenia - Przekazanie danych nieupoważnionej stronie trzeciej z powodu błędu popełnionego przez pracowników administratora - Ocena stosowności środków ochrony wdrożonych przez administratora - Funkcja kompensacyjna spełniana przez prawo do odszkodowania - Wpływ wagi naruszenia - Konieczność wykazania wystąpienia szkody spowodowanej tym naruszeniem - Pojęcie „szkody niemajątkowej”)

(C/2024/1993)

Język postępowania: niemiecki

Sąd odsyłający

Amtsgericht Hagen

Strony w postępowaniu głównym

Strona powodowa: BL

Strona pozwana: MediaMarktSaturn Hagen-Iserlohn GmbH, dawniej Saturn Electro-Handelsgesellschaft mbH Hagen

Sentencja

Artykuły 5, 24, 32 i 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować łącznie w ten sposób, że:

w ramach powództwa o odszkodowanie opartego na owym art. 82 okoliczność, iż pracownicy administratora omyłkowo przekazali nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, wystarcza sama w sobie do uznania, że środki techniczne i organizacyjne wdrożone przez odnośnego administratora nie były „odpowiednie” w rozumieniu art. 24 i 32.

Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

prawo do odszkodowania przewidziane w tym przepisie, w szczególności w przypadku szkody niemajątkowej, pełni funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, nie zaś funkcję represyjną.

3)	Artykuł 82 rozporządzenia 2016/679 należy interpretować w ten sposób, że: artykuł ten nie wymaga, aby stopień wagi naruszenia tego rozporządzenia popełnionego przez administratora został uwzględniony do celów naprawienia szkody na podstawie tego przepisu.

Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

osoba dochodząca odszkodowania na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej szkodę majątkową lub niemajątkową.

Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

w przypadku gdy dokument zawierający dane osobowe został przekazany nieupoważnionej stronie trzeciej, co do której wykazano, że nie zapoznała się z tymi danymi, „szkodę niemajątkową” w rozumieniu tego przepisu może stanowić sam fakt, iż osoba, której dane dotyczą, obawia się, że w następstwie tego ujawnienia umożliwiającego sporządzenie kopii tego dokumentu przed jego zwróceniem dojdzie w przyszłości do rozpowszechnienia, lub nawet do nadużycia jej danych.

(1) Dz.U. C 64 z 7.2.2022.