This document is an excerpt from the EUR-Lex website
Document 62023CJ0655
Judgment of the Court (Fourth Chamber) of 4 September 2025.#IP v Quirin Privatbank AG.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Rights of the data subject – Article 17 – Right to erasure of data – Article 18 – Right to restriction of processing – Article 79 – Right to an effective judicial remedy – Unlawful processing of personal data – Action seeking an order requiring the controller to refrain from any further unlawful processing in the future – Basis – Conditions – Article 82(1) – Right to compensation – Concept of ‘non-material damage’ – Assessment of the compensation – Possible consideration of the degree of fault on the part of the controller – Possible impact of the grant of a ‘prohibitory injunction’.#Case C-655/23.
Hotărârea Curții (Camera a patra) din 4 septembrie 2025.
IP împotriva Quirin Privatbank AG.
Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Drepturile persoanei vizate – Articolul 17 – Dreptul la ștergerea datelor – Articolul 18 – Dreptul la restricționarea prelucrării – Articolul 79 – Dreptul la o cale de atac judiciară eficientă – Prelucrare ilegală a datelor cu caracter personal – Acțiune prin care se solicită obligarea operatorului să se abțină de la efectuarea pe viitor a oricărei noi prelucrări ilegale – Temei – Condiții – Articolul 82 alineatul (1) – Drept la reparație – Noțiunea de «prejudiciu moral» – Evaluarea despăgubirii – Eventuala luare în considerare a gravității culpei operatorului – Eventuala incidență a beneficiului unui «ordin de abținere».
Cauza C-655/23.
Hotărârea Curții (Camera a patra) din 4 septembrie 2025.
IP împotriva Quirin Privatbank AG.
Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Drepturile persoanei vizate – Articolul 17 – Dreptul la ștergerea datelor – Articolul 18 – Dreptul la restricționarea prelucrării – Articolul 79 – Dreptul la o cale de atac judiciară eficientă – Prelucrare ilegală a datelor cu caracter personal – Acțiune prin care se solicită obligarea operatorului să se abțină de la efectuarea pe viitor a oricărei noi prelucrări ilegale – Temei – Condiții – Articolul 82 alineatul (1) – Drept la reparație – Noțiunea de «prejudiciu moral» – Evaluarea despăgubirii – Eventuala luare în considerare a gravității culpei operatorului – Eventuala incidență a beneficiului unui «ordin de abținere».
Cauza C-655/23.
ECLI identifier: ECLI:EU:C:2025:655
- Date of document:
- 04/09/2025
- Author:
- Curtea de Justiţie
- Form:
- Hotărâre
- Authentic language:
- germană
Ediție provizorie
HOTĂRÂREA CURȚII (Camera a patra)
4 septembrie 2025(*)
„ Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Drepturile persoanei vizate – Articolul 17 – Dreptul la ștergerea datelor – Articolul 18 – Dreptul la restricționarea prelucrării – Articolul 79 – Dreptul la o cale de atac judiciară eficientă – Prelucrare ilegală a datelor cu caracter personal – Acțiune prin care se solicită obligarea operatorului să se abțină de la efectuarea pe viitor a oricărei noi prelucrări ilegale – Temei – Condiții – Articolul 82 alineatul (1) – Drept la reparație – Noțiunea de «prejudiciu moral» – Evaluarea despăgubirii – Eventuala luare în considerare a gravității culpei operatorului – Eventuala incidență a beneficiului unui «ordin de abținere» ”
În cauza C‑655/23,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesgerichtshof (Curtea Federală de Justiție, Germania), prin decizia din 26 septembrie 2023, primită de Curte la 7 noiembrie 2023, în procedura
IP
împotriva
Quirin Privatbank AG,
CURTEA (Camera a patra),
compusă din domnul I. Jarukaitis, președinte de cameră, domnii N. Jääskinen (raportor), A. Arabadjiev și M. Condinanzi și doamna R. Frendo, judecători,
avocat general: domnul M. Campos Sánchez‑Bordona,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru IP, de M. Rodenhausen, Rechtsanwältin;
– pentru Quirin Privatbank AG, de F. Buchmann, Rechtsanwalt;
– pentru Comisia Europeană, de A. Bouchagiar și M. Heller, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 20 martie 2025,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolelor 17, 18, 79, 82 și 84 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).
2 Această cerere a fost formulată în cadrul unui litigiu între IP, o persoană fizică, pe de o parte, și Quirin Privatbank AG, o societate, pe de altă parte, în legătură cu cererea acestei persoane având ca obiect, în primul rând, obligarea acestei societăți să se abțină de la o nouă divulgare neautorizată către o parte terță a datelor sale cu caracter personal și, în al doilea rând, repararea prejudiciului moral pretins suferit ca urmare a divulgării inițiale a acestora.
Cadrul juridic
Dreptul Uniunii
3 Considerentele (1), (10), (11), (75), (85) și (146) ale RGPD au următorul cuprins:
„(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene («carta») și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
[…]
(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii [Europene], nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […] Prezentul regulament oferă, de asemenea, statelor membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce privește prelucrarea categoriilor speciale de date cu caracter personal («date sensibile»). În acest sens, prezentul regulament nu exclude dreptul statelor membre care stabilește circumstanțele aferente unor situații de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condițiilor în care prelucrarea datelor cu caracter personal este legală.
(11) Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.
[…]
(75) Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să‑și exercite controlul asupra datelor lor cu caracter personal; […]
[…]
(85) Dacă nu este soluționată la timp și într‑un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. […]
[…]
(146) Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament. Operatorul sau persoana împuternicită de operator ar trebui să fie exonerați de răspundere dacă dovedesc că nu sunt în niciun fel răspunzători pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament. Această dispoziție nu aduce atingere niciunei cereri de despăgubire care rezultă din încălcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care încalcă prezentul regulament include și prelucrarea care încalcă actele delegate și de punere în aplicare adoptate în conformitate cu prezentul regulament și cu dreptul intern care specifică norme din prezentul regulament. Persoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru prejudiciul pe care l‑au suferit. […]”
4 Articolul 1 din RGPD, intitulat „Obiect și obiective”, prevede la alineatul (2):
„Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.”
5 Articolul 4 din acest regulament, intitulat „Definiții”, prevede:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); […]
2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi […] divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
[…]
7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]
[…]
10. «parte terță» înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
[…]
12. «încălcarea securității datelor cu caracter personal» înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într‑un alt mod, sau la accesul neautorizat la acestea;
[…]”
6 Capitolul II din RGPD, intitulat „Principii”, cuprinde articolele 5-11 din acest regulament.
7 Articolul 5 din regulamentul menționat, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:
„(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; […] («limitări legate de scop»);
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);
[…]
(f) prelucrate într‑un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare («integritate și confidențialitate»).
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”
8 Articolul 6 din același regulament, intitulat „Legalitatea prelucrării”, prevede la alineatul (1):
„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
[…]”
9 Capitolul III din RGPD, intitulat „Drepturile persoanei vizate”, cuprinde articolele 12-23 din acest regulament.
10 Figurând în secțiunea 3 din acest capitol III, intitulată „Rectificare și ștergere”, articolul 17 din regulamentul menționat, el însuși intitulat „Dreptul la ștergerea datelor («dreptul de a fi uitat»)”, prevede la alineatul (1):
„(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:
[…]
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
[…]”
11 Figurând de asemenea în această secțiune 3, articolul 18 din același regulament, intitulat „Dreptul la restricționarea prelucrării”, prevede la alineatul (1):
„Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în care se aplică unul din următoarele cazuri:
[…]
(b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
[…]”
12 Capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde articolele 77-84 din acest regulament.
13 Articolul 77 din RGPD este intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, iar articolul 78 din acest regulament este intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”.
14 Articolul 79 din regulamentul menționat, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”, prevede la alineatul (1):
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
15 Potrivit articolului 82 din RGPD, intitulat „Dreptul la despăgubiri și răspunderea”:
„(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
[…]
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător/răspunzătoare în niciun fel pentru evenimentul care a cauzat prejudiciul.
[…]”
16 Articolul 83 din acest regulament, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede la alineatul (2):
„[…] Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
(a) natura, gravitatea și durata încălcării, ținându‑se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;
(b) dacă încălcarea a fost comisă intenționat sau din neglijență;
(c) orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată;
[…]
(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.”
17 Articolul 84 din regulamentul menționat, intitulat „Sancțiuni”, prevede la alineatul (1):
„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”
Dreptul german
18 Articolul 2 alineatul (1) din Grundgesetz für die Bundesrepublik Deutschland (Legea fundamentală a Republicii Federale Germania) din 23 mai 1949 (BGBl. 1949 I, p. 1), în versiunea aplicabilă litigiului principal, are următorul cuprins:
„Fiecare persoană are dreptul la libera dezvoltare a personalității sale, cu condiția să nu încalce drepturilor altora și nici să nu încalce ordinea constituțională sau legea morală.”
19 Articolul 253 din Bürgerliches Gesetzbuch (Codul civil), în versiunea aplicabilă litigiului principal (denumit în continuare „BGB”), intitulat „Prejudiciul moral”, prevede:
„(1) Nu este posibil să se solicite o reparație în bani pentru o daună nepatrimonială decât în cazurile prevăzute de lege.
(2) În cazul în care trebuie plătite daune‑interese pentru o vătămare corporală ori pentru o atingere adusă sănătății, libertății sau autodeterminării sexuale, se poate solicita și o reparație echitabilă în bani pentru dauna nepatrimonială.”
20 Articolul 823 din BGB, intitulat „Obligația de reparare a prejudiciului”, prevede:
„(1) Cel care, cu intenție sau din culpă, aduce atingere în mod ilicit vieții, corpului, sănătății, libertății, proprietății sau oricărui alt drept al altuia este obligat să repare prejudiciul care rezultă din aceasta.
(2) Aceeași obligație le revine celor care încalcă o lege având ca obiect protecția altuia. Dacă, potrivit legii, o încălcare a acesteia este posibilă chiar și fără culpă, obligația de reparare nu intervine decât în cazul culpei.”
21 Articolul 1004 („Dreptul de a obține încetarea sau abținerea din partea altuia”) prevede la alineatul (1):
„În cazul în care se aduce atingere proprietății altfel decât prin deposedare sau reținere, proprietarul poate solicita autorului tulburării să înceteze acțiunile în discuție. În cazul în care există temeri privind noi atingeri aduse proprietății, proprietarul poate introduce o acțiune în abținere.”
22 Potrivit deciziei de trimitere, articolul 1004 din BGB este aplicabil prin analogie în procedura principală în cazul încălcării unor drepturi absolute sau al încălcării unei legi prin care se urmărește protecția altuia în sensul alineatului (1) și, respectiv, al alineatului (2) ale articolului 823 din acest cod.
Litigiul principal și întrebările preliminare
23 Reclamantul din litigiul principal a candidat, prin intermediul unei rețele sociale profesionale online, pentru un loc de muncă în cadrul Quirin Privatbank, o societate de drept german. Ulterior, o angajată a societății menționate a utilizat serviciul de mesagerie electronică al acestei rețele pentru a trimite unui terț, care nu era implicat în procesul de recrutare respectiv, un mesaj destinat doar reclamantului din litigiul principal, în care îl informa pe acesta din urmă cu privire la respingerea pretențiilor sale salariale și îi propunea o altă remunerație (denumit în continuare „mesajul în cauză”). Această terță persoană, care îl cunoștea pe reclamantul din litigiul principal pentru că lucrase cu el anterior, i‑a transmis mesajul respectiv și l‑a întrebat dacă era în căutarea unui loc de muncă.
24 Reclamantul din litigiul principal a introdus la Landgericht Darmstadt (Tribunalul Regional din Darmstadt, Germania) o acțiune având ca obiect obligarea Quirin Privatbank, pe de o parte, să se abțină de la orice prelucrare a datelor cu caracter personal care îl privesc în raport cu candidatura sa care ar reitera divulgarea neautorizată a acestora în urma transmiterii mesajului în cauză și, pe de altă parte, să îi plătească despăgubiri pentru repararea prejudiciului moral care ar fi rezultat din acest eveniment. El a susținut în esență că prejudiciul respectiv consta în îngrijorările sale legate de faptul că cel puțin o terță persoană care îl cunoștea și care lucra în același sector profesional ca acesta a avut posibilitatea să transmită datele confidențiale menționate unor foști sau potențiali angajatori, să beneficieze de un avantaj față de acesta într‑o posibilă situație de concurență pentru o recrutare și să perceapă umilirea resimțită de acesta cu ocazia eșecului negocierilor sale salariale.
25 Printr‑o hotărâre din 26 mai 2020, instanța de prim grad a obligat Quirin Privatbank să se abțină de la acțiunile menționate în cerere și să plătească reclamantului din litigiul principal despăgubiri în cuantum de 1 000 de euro, majorat cu dobânzi. Quirin Privatbank a formulat apel împotriva acestei hotărâri.
26 Printr‑o hotărâre din 2 martie 2022, Oberlandesgericht Frankfurt (Tribunalul Regional Superior din Frankfurt, Germania) a modificat în parte hotărârea menționată. Acesta a considerat că reclamantul din litigiul principal avea dreptul, în temeiul articolului 17 alineatul (1) din RGPD, de a solicita ca Quirin Privatbank să se abțină pe viitor de la prelucrarea datelor sale cu caracter personal într‑o formă similară cu cea a mesajului în cauză și că exista un risc de recidivă în această privință. În schimb, acesta a respins cererea de despăgubire în temeiul articolului 82 din regulamentul respectiv, pentru motivul că a existat fără îndoială o încălcare a normelor de protecție a datelor cu caracter personal, ca urmare a transmiterii unor astfel de date către o parte terță nevizată, dar că dovada unui prejudiciu concret nu fusese totuși furnizată de reclamantul din litigiul principal și că, chiar presupunând că acesta ar suferit o umilire, ea nu poate fi calificată drept prejudiciu moral.
27 Reclamantul din litigiul principal și Quirin Privatbank au formulat recurs împotriva respectivei hotărâri la Bundesgerichtshof (Curtea Federală de Justiție, Germania), care este instanța de trimitere. În fața acestei instanțe, reclamantul își menține pretențiile inițiale, în timp ce Quirin Privatbank solicită respingerea în totalitate a acestora.
28 Instanța de trimitere consideră că operațiunile contestate de reclamantul din litigiul principal intră în domeniul de aplicare al RGPD. Ea arată că aceste operațiuni constituie o „prelucrare” a unor „date cu caracter personal” ale „persoanei vizate” și că Quirin Privatbank are calitatea de „operator” în sensul articolului 4 punctele 1, 2 și 7 din acest regulament. În opinia sa, este cert că operațiunile menționate, care au luat forma unei transmiteri neautorizate a unor astfel de date către o „parte terță” în sensul articolului 4 punctul 10 din RGPD, au încălcat dispoziții ale acestui regulament și au caracter ilegal în temeiul articolului 6 alineatul (1) din acesta, în special pentru că reclamantul din litigiul principal nu își dăduse consimțământul pentru aceasta.
29 Această instanță își pune în primul rând problema dacă RGPD conferă unei persoane ale cărei date cu caracter personal au făcut obiectul unei prelucrări ilegale dreptul de a solicita ca operatorul să se abțină de la repetarea acestei prelucrări, inclusiv atunci când respectiva persoană nu solicită ștergerea datelor sale. Ținând seama de jurisprudența națională și de dezbaterile doctrinare cu privire la acest subiect, instanța menționată dorește să afle dacă acest drept, cu privire la care precizează că este exercitat cu titlu pur preventiv, ar putea rezulta din articolul 17 din regulamentul amintit, referitor la dreptul la o astfel de ștergere, din articolul 18 din acesta, referitor la dreptul la restricționarea prelucrării, din articolul 79 din regulamentul menționat, referitor la dreptul la o cale de atac judiciară eficientă împotriva operatorului sau a persoanei împuternicite de operator, ori din orice altă dispoziție din același regulament.
30 În al doilea rând, în ipoteza unui răspuns afirmativ la aceste întrebări, instanța de trimitere urmărește să se stabilească, având în vedere propria jurisprudență întemeiată pe articolul 2 din Legea fundamentală a Republicii Federale Germania și pe o aplicare coroborată a articolelor 823 și 1004 din BGB, pe de o parte, dacă un astfel de drept de a solicita operatorului să se abțină de la o nouă încălcare a RGPD este condiționat de existența unui risc de recidivă și, pe de altă parte, dacă acesta din urmă trebuie, dacă este cazul, să fie prezumat ținând seama de încălcarea inițială.
31 În al treilea rând, în ipoteza inversă, în care s‑ar da un răspuns negativ la cele două aspecte ale primei sale întrebări, această instanță dorește să afle dacă din coroborarea articolelor 79 și 84 din RGPD, referitoare la dreptul la o cale de atac judiciară eficientă împotriva operatorului și, respectiv, la sancțiunile în caz de încălcare a regulamentului respectiv, rezultă că o instanță dintr‑un stat membru este autorizată să impună operatorului o asemenea abținere în temeiul unor dispoziții naționale, acordând în același timp persoanei vizate beneficiul drepturilor prevăzute la articolele 17, 18 și 82 din regulamentul menționat.
32 În al patrulea rând, instanța de trimitere ridică problema condițiilor cărora le este subordonat dreptul la repararea unui prejudiciu în temeiul articolului 82 alineatul (1) din RGPD, interpretat în lumina considerentelor (75) și (85) ale acestuia. Ea solicită mai precis să se precizeze care sunt elementele ce permit stabilirea existenței unui „prejudiciu moral” în sensul acestui articol 82 alineatul (1), în cazul în care persoana vizată invocă doar sentimente negative care, potrivit acestei instanțe, țin de riscurile generale ale vieții curente.
33 În al cincilea rând, instanța menționată își pune problema dacă trebuie să fie luată în considerare gravitatea culpei săvârșite de operator cu ocazia evaluării despăgubirii pentru un prejudiciu moral datorate în temeiul articolului 82 alineatul (1) din RGPD. Ea precizează că, în dreptul german, despăgubirea pecuniară pentru un prejudiciu moral impune să se țină seama printre altele de gravitatea culpei autorului prejudiciului, întrucât această despăgubire îndeplinește în același timp o funcție de compensare a prejudiciului suferit de persoana vătămată și o funcție de satisfacție datorată acesteia de respectivul autor, conform jurisprudenței referitoare la articolul 253 din BGB.
34 În al șaselea rând, în cazul unui răspuns afirmativ la unul dintre cele două aspecte ale primei întrebări sau la a treia întrebare, instanța de trimitere dorește să afle dacă dreptul unei persoane vizate de a solicita ca operatorul să se abțină de la o nouă încălcare a RGPD constituie un criteriu pertinent pentru a reduce sau chiar a exclude despăgubirea pentru un prejudiciu moral în temeiul articolului 82 alineatul (1) din acest regulament, astfel cum ar fi posibil în temeiul dreptului german.
35 În aceste condiții, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) a) Articolul 17 din RGPD trebuie interpretat în sensul că persoana vizată, ale cărei date cu caracter personal au fost divulgate în mod ilegal prin transmitere de către operator, are dreptul de a‑i solicita acestuia din urmă să se abțină de la orice nouă transmitere ilegală în cazul în care nu îi solicită ștergerea datelor respective?
b) Un astfel de drept poate rezulta (și) din articolul 18 din RGPD sau dintr‑o altă dispoziție din RGPD?
2) În cazul unui răspuns afirmativ [la prima întrebare literele a) și/sau b)]:
a) Dreptul Uniunii conferă persoanei vizate dreptul de a solicita autorului unei încălcări a drepturilor conferite de RGPD să se abțină de la săvârșirea oricărei noi încălcări a acestor drepturi numai în cazul în care există riscul unor noi încălcări (risc de recidivă)?
b) Existența unui risc de recidivă se prezumă, dacă este cazul, ca urmare a încălcării anterioare a RGPD?
3) În cazul unui răspuns negativ [la prima întrebare literele a) și b)]:
Dispozițiile coroborate ale articolelor 84 și 79 din RGPD trebuie interpretate în sensul că permit instanței naționale să recunoască persoanei vizate ale cărei date cu caracter personal au făcut obiectul unei divulgări prin transmitere ilegală de către operator, pe lângă repararea prejudiciului material sau moral în temeiul articolului 82 din RGPD și drepturile care decurg din articolele 17 și 18 din RGPD, dreptul de a solicita operatorului să se abțină de la orice nouă transmitere ilegală a acestor date, în temeiul dispozițiilor dreptului național?
4) Simple sentimente negative precum supărarea, indignarea, nemulțumirea, îngrijorarea și teama, care, în sine, fac parte din riscurile generale inerente vieții și, adesea, din experiența cotidiană, sunt suficiente pentru a stabili existența unui prejudiciu moral în sensul articolului 82 alineatul (1) din RGPD? Sau este necesar, pentru a admite existența unui prejudiciu, ca persoana fizică vizată să fi suferit un prejudiciu care depășește aceste sentimente?
5) Articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că gradul de gravitate a culpei operatorului sau a persoanei împuternicite de operator sau a personalului acestora reprezintă un criteriu relevant pentru evaluarea prejudiciului moral care trebuie reparat?
6) În cazul unui răspuns afirmativ [la prima întrebare litera a) sau litera b) sau la a treia întrebare]:
Articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că faptul că persoana vizată, pe lângă dreptul la reparație, poate solicita autorului încălcării să se abțină de la săvârșirea oricărei noi încălcări, poate fi luat în considerare pentru a reduce cuantumul prejudiciului moral care trebuie reparat cu ocazia evaluării acestuia?”
Cu privire la întrebările preliminare
Cu privire la primele trei întrebări
36 Prin intermediul primelor trei întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile RGPD trebuie interpretate în sensul că acestea prevăd în beneficiul persoanei vizate de prelucrarea ilegală a datelor cu caracter personal, în ipoteza în care persoana respectivă nu solicită ștergerea datelor sale, o cale de atac judiciară care să îi permită să obțină, cu titlu preventiv, obligarea operatorului să se abțină de la efectuarea pe viitor a unei noi prelucrări ilegale și dacă, în cazul unui răspuns negativ, aceste dispoziții împiedică statele membre să prevadă o asemenea cale de atac în ordinile lor juridice respective.
37 Cu titlu introductiv, trebuie amintit că, în vederea interpretării unei dispoziții de drept al Uniunii, trebuie să se țină seama nu numai de formularea acesteia, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte această dispoziție (Hotărârea din 4 octombrie 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punctul 52 și jurisprudența citată).
38 În această privință, în primul rând, trebuie arătat că RGPD se întemeiază pe existența unui drept recunoscut oricărei persoane fizice de a beneficia de protecție în ceea ce privește prelucrarea datelor cu caracter personal care o privesc. Această protecție constituie un drept fundamental, consacrat la articolul 8 alineatul (1) din cartă, la care face trimitere considerentul (1) al acestui regulament. Obiectivul de a garanta efectivitatea acestui drept fundamental, prin asigurarea unei protecții la un nivel ridicat și echivalent în toate statele membre, stă la baza aplicării regulamentului menționat, astfel cum reiese din articolul 1 și din considerentul (10) al acestuia [a se vedea în acest sens Hotărârea din 5 octombrie 2023, Ministerstvo zdravotnictví (Aplicație mobilă COVID-19), C‑659/22, EU:C:2023:745, punctul 28, Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctul 28, precum și Hotărârea din 3 aprilie 2025, Ministerstvo zdravotnictví (Date referitoare la reprezentantul unei persoane juridice), C‑710/23, EU:C:2025:231, punctul 29].
39 Conform unei jurisprudențe constante a Curții, orice prelucrare a datelor cu caracter personal trebuie să respecte principiile care reglementează prelucrarea unor astfel de date, precum și drepturile „persoanei vizate” în sensul articolului 4 punctul 1 din RGPD, prevăzute în capitolele II și, respectiv, III din acest regulament. În special, ea trebuie să fie conformă cu principiile referitoare la prelucrarea acestor date prevăzute la articolul 5 din regulamentul menționat și să îndeplinească condițiile de legalitate a prelucrării enumerate la articolul 6 din acesta [a se vedea în acest sens Hotărârea din 19 decembrie 2024, K GmbH (Prelucrarea de date cu caracter personal ale angajaților), C‑65/23, EU:C:2024:1051, punctul 46, și Hotărârea din 3 aprilie 2025, Ministerstvo zdravotnictví (Date referitoare la reprezentantul unei persoane juridice), C‑710/23, EU:C:2025:231, punctul 33].
40 După cum a arătat în esență domnul avocat general la punctele 32, 34 și 38 din concluzii, articolul 8 din cartă proclamă la alineatul (1) dreptul la protecția datelor cu caracter personal, dar impune de asemenea, la alineatul (2), ca aceste date să fie prelucrate cu respectarea anumitor condiții, de care depinde legalitatea prelucrării avute în vedere. De asemenea, obligațiile prevăzute în capitolul II din RGPD, ce revin operatorului, au drept contraparte drepturi specifice prevăzute de acest regulament, care sunt conferite persoanelor vizate. Astfel, acestea din urmă beneficiază de un drept la o prelucrare legală a datelor lor cu caracter personal, care este corolarul obligației generale ce revine operatorului respectiv de a nu prelucra asemenea date într‑un mod care nu este conform cu cerințele regulamentului menționat.
41 În al doilea rând, Curtea a statuat în mod repetat că dreptul Uniunii, inclusiv dispozițiile cartei, nu are efectul de a constrânge statele membre să instituie alte căi de drept decât cele stabilite de dreptul intern, cu excepția însă a cazului în care din economia ordinii juridice naționale în cauză rezultă că nu există nicio cale de atac judiciară care să permită, fie și numai pe cale incidentală, garantarea respectării drepturilor conferite justițiabililor de dreptul Uniunii (Hotărârea din 8 mai 2025, Barało, C‑530/23, EU:C:2025:322, punctul 99 și jurisprudența citată).
42 În speță, este necesar să se sublinieze de la bun început că situația în cauză în litigiul principal nu privește posibilitatea unei instanțe naționale de a adopta măsuri provizorii, ci eventuala posibilitate a persoanei vizate de a obține pe fond, printr‑o acțiune în justiție cu caracter preventiv, un ordin prin care să se interzică operatorului să săvârșească o nouă încălcare a acestor drepturi.
43 În această privință, trebuie arătat că RGPD nu conține dispoziții care să prevadă în mod explicit sau implicit că persoana vizată beneficiază, astfel cum preconizează instanța de trimitere, de un drept de a obține în mod preventiv, prin intermediul unei acțiuni judiciare, ca operatorul de date cu caracter personal să fie constrâns să se abțină pe viitor de la săvârșirea unei încălcări a dispozițiilor acestui regulament, în special sub forma unei repetări a unei prelucrări ilegale. În special, așa cum a arătat domnul avocat general la punctele 54-69 din concluzii, un asemenea drept nu poate fi dedus nici din articolul 17 din regulamentul menționat, nici din articolul 18 din acesta.
44 În ceea ce privește capitolul VIII din RGPD, trebuie amintit că acest capitol reglementează printre altele căile de atac care permit protejarea drepturilor persoanei vizate atunci când datele cu caracter personal care o privesc au făcut obiectul unei prelucrări pretins contrare dispozițiilor regulamentului amintit. Protecția drepturilor respective poate fi în special solicitată în mod direct de persoana vizată, în temeiul articolelor 77-79 din regulamentul menționat, care prevăd diferite căi de atac care pot fi exercitate în mod concurent și independent de această persoană (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punctul 47 și jurisprudența citată, precum și Hotărârea din 30 aprilie 2025, Inspektorat kam Visshia sadeben savet, C‑313/23, C‑316/23 și C‑332/23, EU:C:2025:303, punctul 128, precum și jurisprudența citată).
45 Din formularea dispozițiilor capitolului VIII din RGPD reiese că niciuna dintre acestea nu obligă statele membre să prevadă o acțiune preventivă precum cea descrisă la punctul 42 din prezenta hotărâre. În special, textul articolului 79 alineatul (1) din acest regulament se limitează să prevadă că, fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul regulamentului menționat au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta același regulament. Formularea acestei dispoziții nu impune statelor membre să prevadă o cale de atac specifică care să permită obținerea prin intermediul unei acțiuni în justiție, cu titlu preventiv, a unui ordin de abținere precum cel avut în vedere de instanța de trimitere.
46 În aceste condiții, având în vedere formularea dispozițiilor capitolului VIII din RGPD și în special recunoașterea la articolul 79 alineatul (1) din acesta a dreptului fiecărei persoane vizate la o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul acestui regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal cu încălcarea regulamentului menționat, „fără a aduce atingere” oricărei alte căi de atac administrative sau extrajudiciare, trebuie să se considere că statele membre nu sunt împiedicate să prevadă o astfel de cale de atac preventivă pentru a obliga operatorul să se abțină de la orice nouă încălcare a acestor drepturi (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punctul 53).
47 Trebuie subliniat în această privință că, deși RGPD urmărește să asigure o armonizare a legislațiilor naționale referitoare la protecția datelor cu caracter personal care este, în principiu, completă, nu este mai puțin adevărat că mai multe dispoziții ale regulamentului menționat oferă în mod expres posibilitatea ca statele membre să prevadă norme naționale suplimentare, mai stricte sau derogatorii, care le lasă acestora o marjă de apreciere asupra modului în care pot fi puse în aplicare respectivele dispoziții („clauze de deschidere”) (Hotărârea din 4 octombrie 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punctul 57 și jurisprudența citată).
48 Desigur, dispozițiile capitolului VIII din RGPD nu cuprind în mod specific o asemenea clauză de deschidere care ar permite în mod expres statelor membre să prevadă posibilitatea persoanei vizate care dorește să împiedice operatorul să încalce dispoziții materiale ale acestui regulament de a introduce o acțiune pentru a obține în privința acestuia un ordin de abținere în acest sens. Totuși, legiuitorul Uniunii nu a intenționat să realizeze o armonizare exhaustivă a căilor de atac disponibile în cazul încălcării dispozițiilor regulamentului menționat și mai ales nu a exclus o asemenea posibilitate de a formula o cale de atac (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punctele 59 și 60).
49 Această interpretare este confirmată de obiectivele vizate de RGPD. Într‑adevăr, acest regulament urmărește printre altele, după cum se arată în considerentul (10) al acestuia, să asigure un nivel consecvent și ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal care le privesc. În plus, considerentul (11) al regulamentului menționat enunță în special că o protecție efectivă a acestor date necesită consolidarea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punctul 61).
50 Or, posibilitatea persoanei vizate de a introduce o acțiune în justiție pentru a obține obligarea unui operator să se abțină pe viitor de la o încălcare a dispozițiilor materiale ale RGPD nu aduce atingere acestor obiective, ci, dimpotrivă, este de natură să consolideze efectul util al acestor dispoziții și, astfel, nivelul ridicat de protecție a persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal avută în vedere de acest regulament. Prin urmare, dispozițiile capitolului VIII din RGPD nu se opun unei reglementări naționale care conferă persoanei vizate o asemenea posibilitate de acțiune preventivă (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punctele 62 și 73).
51 Rezultă că RGPD nu se opune ca un drept la o cale de atac prin care se urmărește obținerea unui ordin care să permită prevenirea unei eventuale săvârșiri a unei încălcări a dispozițiilor materiale ale acestui regulament, mai ales printr‑o potențială repetare a unei prelucrări ilegale, să fie disponibil în temeiul unor dispoziții ale dreptului unui stat membru care ar fi aplicabile în fața instanței naționale sesizate.
52 Având în vedere ansamblul motivelor care precedă, este necesar să se răspundă la primele trei întrebări că dispozițiile RGPD trebuie interpretate în sensul că nu prevăd în beneficiul persoanei vizate de prelucrarea ilegală a datelor cu caracter personal, în ipoteza în care această persoană nu solicită ca datele sale să fie șterge, o cale de atac judiciară care să îi permită să obțină cu titlu preventiv obligarea operatorului să se abțină de la efectuarea pe viitor a unei noi prelucrări ilegale. Totuși, aceste dispoziții nu împiedică statele membre să prevadă o astfel de cale de atac în ordinile lor juridice respective.
Cu privire la a patra întrebare
53 Prin intermediul celei de a patra întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că noțiunea de „prejudiciu moral” care figurează în această dispoziție include sentimente negative resimțite de persoana vizată în urma unei transmiteri neautorizate a datelor sale cu caracter personal către o parte terță, precum teama sau supărarea care sunt cauzate de o pierdere a controlului asupra acestor date, de o potențială utilizare abuzivă a acestora sau de o compromitere a reputației sale.
54 Trebuie amintit că articolul 82 alineatul (1) din RGPD prevede că orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
55 Conform unei jurisprudențe constante, având în vedere lipsa oricărei trimiteri, în cuprinsul articolului 82 alineatul (1) din RGPD, la dreptul intern al statelor membre, noțiunea de „prejudiciu moral” în sensul acestei dispoziții trebuie să primească o definiție autonomă și uniformă, proprie dreptului Uniunii (a se vedea în acest sens Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 64, și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 139, precum și jurisprudența citată).
56 În această privință, Curtea a statuat în mod repetat, în special în lumina considerentelor (75), (85) și (146) ale RGPD, că simpla încălcare a acestui regulament nu este suficientă pentru a conferi un drept la despăgubiri în temeiul articolului 82 alineatul (1) din acesta. Existența unui „prejudiciu”, material sau moral, ori a unui „prejudiciu” care a fost „suferit”, a unei încălcări a dispozițiilor regulamentului menționat, precum și a unei legături de cauzalitate între respectivul prejudiciu și această încălcare constituie cele trei condiții cumulative, necesare și suficiente ale acestui drept la despăgubiri. Astfel, persoana vizată care solicită repararea unui prejudiciu moral în temeiul acestui articol 82 alineatul (1) este obligată să dovedească nu numai încălcarea regulamentului amintit, ci și că respectiva încălcare i‑a cauzat efectiv un asemenea prejudiciu [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 32, 33, 37 și 42, Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctele 140-142, precum și Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctele 24 și 25].
57 În speță, instanța de trimitere arată că reclamantul din litigiul principal invocă în esență, cu titlu de prejudiciu moral pe care afirmă că l‑a suferit din cauza încălcării RGPD în discuție, „teama transmiterii datelor către terți care lucrează în același sector, faptul că o persoană a luat la cunoștință informații pentru care discreția este în principiu obligatorie, [precum și] umilința legată de respingerea pretențiilor sale salariale și de faptul că terții află acest lucru”. Instanța menționată dorește să afle dacă „sentimente negative precum supărarea, indignarea, nemulțumirea, îngrijorarea și teama”, pe care le califică drept „riscuri generale inerente vieții”, sunt suficiente pentru a stabili existența unui „prejudiciu moral” în sensul articolului 82 din acest regulament sau dacă este necesar ca persoana vizată să fi suferit un prejudiciu care să depășească aceste sentimente.
58 În această privință, în primul rând, din jurisprudența Curții reiese că articolul 82 alineatul (1) din RGPD se opune unei norme sau unei practici naționale care subordonează repararea unui prejudiciu moral în sensul acestei dispoziții condiției ca prejudiciul suferit de persoana vizată să fi atins un anumit grad de gravitate. Dispoziția menționată nu impune ca un prejudiciu moral invocat de persoana vizată să trebuiască să atingă un „prag de minimis” pentru ca acest prejudiciu să poată fi reparat [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctul 51, precum și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctele 147 și 149].
59 În al doilea rând, astfel cum a arătat Comisia Europeană în observațiile sale scrise, situații precum cele invocate în litigiul principal, referitoare la o „compromitere a reputației” care rezultă dintr‑o încălcare a securității datelor cu caracter personal sau dintr‑o „pierdere a controlului” asupra unor asemenea date, figurează în mod explicit printre exemplele de posibile prejudicii care sunt enumerate în considerentele (75) și (85) ale RGPD.
60 În special, Curtea a subliniat că din lista ilustrativă a „daunelor” sau a „prejudiciilor” care pot fi suferite de persoanele vizate care figurează în prima teză a considerentului (85) al RGPD reiese că legiuitorul Uniunii a intenționat să includă în aceste două noțiuni printre altele simpla „pierdere a controlului” asupra propriilor date cu caracter personal ale acestor persoane, ca urmare a unei încălcări a respectivului regulament, chiar dacă nu s‑ar fi produs în mod concret o utilizare abuzivă a datelor în cauză. O astfel de pierdere a controlului poate fi suficientă pentru a cauza un „prejudiciu moral” în sensul articolului 82 alineatul (1) din regulamentul menționat, cu condiția ca persoana vizată să demonstreze că a suferit efectiv un asemenea prejudiciu, oricât de nesemnificativ ar fi, fără ca această noțiune de „prejudiciu moral” să impună demonstrarea existenței unor consecințe negative tangibile suplimentare (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctele 145, 150 și 156, precum și jurisprudența citată).
61 În al treilea rând, Curtea a statuat deja că teama resimțită de persoana vizată că datele sale cu caracter personal vor face obiectul unei utilizări abuzive pe viitor ca urmare a unei încălcări a RGPD poate constitui în sine un „prejudiciu moral” în sensul articolului 82 alineatul (1) din acesta, cu condiția ca această teamă, cu consecințele sale negative, să fie dovedită în mod corespunzător, aspect a cărui verificare este de competența instanței naționale sesizate [a se vedea în acest sens Hotărârea din 20 iunie 2024, PS (Adresă eronată), C‑590/22, EU:C:2024:536, punctele 32, 35 și 36, precum și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctele 143, 144 și 155, precum și jurisprudența citată].
62 Astfel, deși sentimentele menționate de instanța de trimitere, în special teama sau supărarea, pot face parte, de altfel, din riscurile generale inerente vieții curente, după cum observă însăși această instanță, asemenea sentimente negative sunt susceptibile să constituie un „prejudiciu moral” în sensul articolului 82 alineatul (1) din RGPD, cu condiția ca, în conformitate cu cerința unei legături de cauzalitate amintite la punctul 56 din prezenta hotărâre, persoana vizată să demonstreze că resimte astfel de sentimente, cu consecințele lor negative, tocmai din cauza încălcării în discuție a acestui regulament, precum o transmitere neautorizată a datelor sale cu caracter personal către o parte terță care generează riscul unei utilizări abuzive a acestora, aspect a cărui apreciere este de competența instanțelor naționale sesizate.
63 În al patrulea și ultimul rând, această interpretare este conformă cu formularea articolului 82 alineatul (1) din RGPD, interpretat în lumina considerentelor (85) și (146) ale acestui regulament, care invită la reținerea unei accepțiuni largi a noțiunii de „prejudiciu moral” în sensul acestui articol 82 alineatul (1). În plus, ea este susținută de obiectivul regulamentului menționat, care reiese din articolul 1, precum și din considerentele (1) și (10) ale acestuia, care constă în asigurarea unui nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (a se vedea prin analogie Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punctele 19 și 20, precum și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctele 144 și 146).
64 Având în vedere motivele care precedă, este necesar să se răspundă la a patra întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că noțiunea de „prejudiciu moral” care figurează în această dispoziție include sentimente negative resimțite de persoana vizată ca urmare a unei transmiteri neautorizate a datelor sale cu caracter personal către o parte terță, precum teama sau supărarea, care sunt cauzate de o pierdere a controlului asupra acestor date, de o potențială utilizare abuzivă a acestora sau de o compromitere a reputației sale, cu condiția ca persoana vizată să demonstreze că resimte astfel de sentimente, cu consecințele lor negative, din cauza încălcării în discuție a acestui regulament.
Cu privire la a cincea întrebare
65 Prin intermediul celei de a cincea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că permite ca gradul de gravitate a faptei culpabile săvârșite de operator să fie luat în considerare în scopul evaluării despăgubirii pentru un prejudiciu moral datorat în temeiul acestui articol 82 alineatul (1).
66 În această privință, din jurisprudența Curții reiese că, întrucât RGPD nu conține nicio dispoziție care să aibă ca obiect definirea normelor privind evaluarea daunelor interese datorate în temeiul dreptului la despăgubiri consacrat la articolul 82 din acest regulament, instanțele naționale trebuie în acest scop să aplice normele interne ale fiecărui stat membru referitoare la întinderea despăgubirii pecuniare, cu condiția să fie respectate principiile echivalenței și efectivității dreptului Uniunii [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 54 și 59, precum și Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctul 32].
67 În speță, instanța de trimitere ridică problema dacă gradul de gravitate a culpei autorului prejudiciului, care este un criteriu prevăzut în dreptul german pentru evaluarea despăgubirilor pecuniare pentru prejudiciile morale, s‑ar putea aplica de asemenea în cazul despăgubirii pentru un prejudiciu moral întemeiate pe articolul 82 din RGPD.
68 Din hotărârile Curții, dintre care unele au fost pronunțate după introducerea prezentei cereri de decizie preliminară, rezultă că trebuie să se dea un răspuns negativ la această a cincea întrebare.
69 Astfel, Curtea a statuat că, ținând seama de funcția compensatorie a dreptului la despăgubiri prevăzut la articolul 82 din RGPD, instanțele naționale sunt obligate să asigure o despăgubire „integrală și eficace” pentru prejudiciul suferit, după cum se arată în considerentul (146) al acestui regulament, fără a fi necesar, în vederea unei asemenea compensări integrale, să se impună plata unor daune interese punitive [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 57 și 58, și Hotărârea Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctul 34].
70 Spre deosebire de ceea ce prevede articolul 83 din RGPD pentru amenzile administrative, ale căror criterii nu sunt aplicabile mutatis mutandis în cadrul articolului 82 din regulamentul respectiv, dreptul la despăgubiri prevăzut la acest articol 82, în special în cazul unui prejudiciu moral, îndeplinește o funcție exclusiv compensatorie, întrucât o despăgubire pecuniară întemeiată pe articolul 82 menționat trebuie să permită compensarea integrală a prejudiciului concret suferit ca urmare a încălcării regulamentului amintit, iar nu o funcție disuasivă sau punitivă (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 153, și Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctele 39-41).
71 Astfel, pe de o parte, angajarea răspunderii operatorului în temeiul articolului 82 din RGPD este condiționată de existența unei culpe a acestuia care este prezumată, cu excepția cazului în care acesta din urmă dovedește că evenimentul care a provocat prejudiciul nu îi este nicidecum imputabil și, pe de altă parte, acest articol 82 nu impune ca gradul de gravitate a respectivei culpe să fie luat în considerare la stabilirea cuantumului daunelor interese acordate pentru repararea unui prejudiciu moral în temeiul articolului menționat (Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 154).
72 Mai precis, funcția exclusiv compensatorie a dreptului la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD se opune ca gradul de gravitate și eventualul caracter intenționat al încălcării acestui regulament săvârșite de operator să fie luate în considerare în scopul reparării unui prejudiciu în temeiul acestei dispoziții. Rezultă că, în cadrul acestei dispoziții, atitudinea și motivația operatorului nu pot fi luate în considerare pentru a acorda persoanei vizate, dacă este cazul, o despăgubire inferioară în raport cu prejudiciul pe care l‑a suferit în mod concret, indiferent de cuantumul sau de forma acestei despăgubiri (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctele 42-45 și jurisprudența citată).
73 Având în vedere motivele care precedă, este necesar să se răspundă la a cincea întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că se opune ca gradul de gravitate a faptei culpabile săvârșite de operator să fie luat în considerare în scopul evaluării despăgubirii pentru un prejudiciu moral datorate în temeiul acestui articol.
Cu privire la a șasea întrebare
74 A șasea întrebare este adresată în eventualitatea în care Curtea ar răspunde afirmativ fie la unul dintre aspectele primei întrebări, fie la a treia întrebare, și anume în cazul în care s‑ar considera în esență că un drept de a solicita ca operatorul să se abțină pe viitor de la o nouă încălcare a securității datelor cu caracter personal este recunoscut de RGPD în beneficiul persoanei vizate, direct în temeiul dispozițiilor acestuia sau prin intermediul unei aplicări a unor dispoziții naționale autorizate de regulamentul menționat. Ținând seama de răspunsul dat la primele trei întrebări, care figurează la punctul 52 din prezenta hotărâre, este necesar să se răspundă la această a șasea întrebare.
75 Pentru a preciza obiectul acestei din urmă întrebări, instanța de trimitere arată că, potrivit dreptului german și propriei jurisprudențe, împrejurarea că o persoană care a suferit un prejudiciu moral a solicitat sau chiar a obținut ca autorul acestuia să fie constrâns să se abțină de la noi acte prejudiciabile poate fi luată în considerare pentru a diminua sau chiar pentru a exclude o despăgubire pecuniară pentru respectivul prejudiciu. Instanța de trimitere dorește să afle dacă acest criteriu de apreciere a despăgubirii pentru prejudiciu poate fi aplicat și în cadrul RGPD, în special în lumina principiului efectivității dreptului Uniunii, și, dacă acesta este cazul, în ce măsură.
76 Astfel, prin intermediul întrebării formulate, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că împrejurarea că persoana vizată a obținut, în temeiul dreptului național aplicabil, un ordin de abținere de la repetarea unei încălcări a acestui regulament, opozabil operatorului, poate fi luată în considerare pentru a reduce întinderea despăgubirii pecuniare pentru un prejudiciu moral datorate în temeiul acestui articol 82 alineatul (1) sau chiar pentru a înlocui respectiva despăgubire.
77 În această privință, trebuie amintit că, astfel cum s‑a menționat la punctul 66 din prezenta hotărâre, RGPD nu conține dispoziții care să definească normele de evaluare a daunelor interese datorate în temeiul articolului 82 din acest regulament, astfel încât instanțele naționale trebuie în acest sens să aplice normele interne ale fiecărui stat membru referitoare la întinderea despăgubirii pecuniare, cu condiția respectării principiilor echivalenței și efectivității dreptului Uniunii.
78 În special, trebuie subliniat că criteriile de evaluare a despăgubirii datorate în cadrul acțiunilor destinate să asigure protecția drepturilor conferite justițiabililor de articolul 82 din RGPD, criterii care sunt stabilite în cadrul ordinii juridice a fiecărui stat membru, trebuie să permită asigurarea unei despăgubiri integrale și eficace pentru prejudiciul suferit de persoana vizată ca urmare a unei încălcări a respectivului regulament (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 152, și Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctul 34, precum și jurisprudența citată).
79 Curtea a admis deja că, în limitele care decurg din principiul efectivității, anumite împrejurări pot influența evaluarea despăgubirii datorate în temeiul articolului 82 din RGPD, în special pentru a limita această despăgubire. S‑a statuat că, în lipsa gravității prejudiciului suferit de persoana vizată, o instanță națională îi poate acorda acesteia o despăgubire minimă, cu condiția ca valoarea puțin ridicată a despăgubirii astfel acordate să fie de natură să compenseze integral acest prejudiciu suferit, aspect a cărui verificare este de competența respectivei instanțe. De asemenea, prezentarea de scuze poate constitui o reparare adecvată a unui prejudiciu moral în temeiul articolului 82 menționat, în special atunci când este imposibil să se restabilească situația anterioară producerii prejudiciului respectiv, cu condiția ca această formă de despăgubire, în măsura în care este prevăzută de dreptul național, să permită o astfel de compensare integrală a prejudiciului menționat (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punctele 35-37, precum și jurisprudența citată).
80 În speță, prin întrebarea adresată se urmărește să se stabilească dacă, în cadrul aplicării articolului 82 din RGPD, o instanță națională are posibilitatea de a ține seama de faptul că persoana vizată beneficiază de un ordin de abținere pentru a reduce despăgubirile care pot fi acordate acestei persoane pentru un prejudiciu moral, astfel încât, în practică, respectiva instanță ar dispune repararea unui asemenea prejudiciu în parte sub formă pecuniară și în parte sub forma acestui ordin sau chiar doar sub această din urmă formă.
81 Or, din jurisprudența menționată la punctele 78 și 79 din prezenta hotărâre reiese că o formă de reparație prevăzută de dreptul național aplicabil nu poate fi considerată conformă cu RGPD decât cu condiția ca această formă să respecte principiile echivalenței și efectivității dreptului Uniunii, ceea ce presupune printre altele ca ea să fie de natură să asigure o despăgubire integrală și eficace pentru prejudiciul suferit de persoana vizată.
82 În special, o reparație datorată în temeiul articolului 82 din acest regulament nu poate fi acordată, în tot sau în parte, sub forma unui ordin de abținere, întrucât dreptul la repararea unui prejudiciu prevăzut la acest articol 82 îndeplinește o funcție exclusiv compensatorie, așa cum s‑a amintit la punctul 70 din prezenta hotărâre, în timp ce un ordin de abținere impus autorului prejudiciului are o finalitate pur preventivă. Astfel, după cum a arătat în esență domnul avocat general la punctul 86 din concluzii, un ordin de această natură urmărește să prevină repetarea unor acțiuni care au cauzat prejudicii, astfel încât să evite producerea de noi prejudicii, însă nu le repară pe cele care au fost deja suferite de persoana vizată.
83 Având în vedere motivele care precedă, este necesar să se răspundă la a șasea întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că se opune ca împrejurarea că persoana vizată a obținut în temeiul dreptului național aplicabil un ordin de abținere de la repetarea unei încălcări a acestui regulament, opozabil operatorului, să fie luată în considerare pentru a se reduce întinderea despăgubirii pecuniare pentru un prejudiciu moral datorate în temeiul acestui articol sau, a fortiori, pentru a se înlocui această despăgubire.
Cu privire la cheltuielile de judecată
84 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera a patra) declară:
1) Dispozițiile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretate în sensul că
nu prevăd în beneficiul persoanei vizate de prelucrarea ilegală a datelor cu caracter personal, în ipoteza în care această persoană nu solicită ca datele sale să fie șterse, o cale de atac judiciară care să îi permită să obțină cu titlu preventiv obligarea operatorului să se abțină de la efectuarea pe viitor a unei noi prelucrări ilegale. Totuși, aceste dispoziții nu împiedică statele membre să prevadă o astfel de cale de atac în ordinile lor juridice respective.
2) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
noțiunea de „prejudiciu moral” care figurează în această dispoziție include sentimente negative resimțite de persoana vizată ca urmare a unei transmiteri neautorizate a datelor sale cu caracter personal către o parte terță, precum teama sau supărarea, care sunt cauzate de o pierdere a controlului asupra acestor date, de o potențială utilizare abuzivă a acestora sau de o compromitere a reputației sale, cu condiția ca persoana vizată să demonstreze că resimte astfel de sentimente, cu consecințele lor negative, din cauza încălcării în discuție a acestui regulament.
3) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
se opune ca gradul de gravitate a faptei culpabile săvârșite de operator să fie luat în considerare în scopul evaluării despăgubirii pentru un prejudiciu moral datorate în temeiul acestui articol.
4) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
se opune ca împrejurarea că persoana vizată a obținut în temeiul dreptului național aplicabil un ordin de abținere de la repetarea unei încălcări a acestui regulament, opozabil operatorului, să fie luată în considerare pentru a se reduce întinderea despăgubirii pecuniare pentru un prejudiciu moral datorate în temeiul acestui articol sau, a fortiori, pentru a se înlocui această despăgubire.
Semnături
* Limba de procedură: germana.
