HOTĂRÂREA CURȚII (Camera a treia)
25 ianuarie 2024 ( *1 )
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Interpretarea articolelor 5, 24, 32 și 82 – Aprecierea validității articolului 82 – Inadmisibilitatea cererii de apreciere a validității – Dreptul la repararea prejudiciului cauzat de prelucrarea unor astfel de date efectuată cu încălcarea acestui regulament – Transmitere a unor date către o parte terță neautorizată ca urmare a unei erori săvârșite de angajați ai operatorului – Aprecierea caracterului adecvat al măsurilor de protecție implementate de operator – Funcție compensatorie îndeplinită de dreptul la despăgubiri – Incidența gravității încălcării – Necesitatea de a stabili existența unui prejudiciu cauzat de încălcarea menționată – Noțiunea de «prejudiciu moral»”
În cauza C‑687/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Amtsgericht Hagen (Tribunalul Districtual din Hagen, Germania), prin decizia din 11 octombrie 2021, primită de Curte la 16 noiembrie 2021, în procedura
BL
împotriva
MediaMarktSaturn Hagen‑Iserlohn GmbH, fostă Saturn Electro‑Handelsgesellschaft mbH Hagen,
CURTEA (Camera a treia),
compusă din doamna K. Jürimäe, președintă de cameră, și domnii N. Piçarra, M. Safjan, N. Jääskinen (raportor) și M. Gavalec, judecători,
avocat general: domnul M. Campos Sánchez‑Bordona,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– |
pentru BL, de D. Pudelko, Rechtsanwalt; |
– |
pentru MediaMarktSaturn Hagen‑Iserlohn GmbH, fostă Saturn Electro‑Handelsgesellschaft mbH Hagen, de B. Hackl, Rechtsanwalt; |
– |
pentru Irlanda, de M. Browne, Chief State Solicitor, A. Joyce și M. Lane, în calitate de agenți, asistați de D. Fennelly, BL; |
– |
pentru Parlamentul European, de O. Hrstková Šolcová și J.‑C. Puffer, în calitate de agenți; |
– |
pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți, |
având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avocatului general,
pronunță prezenta
Hotărâre
1 |
Cererea de decizie preliminară privește interpretarea articolului 2 alineatul (1), a articolului 4 punctul 7, a articolului 5 alineatul (1) litera (f), a articolului 6 alineatul (1), a articolului 24, a articolului 32 alineatul (1) litera (b) și alineatul (2), precum și a articolului 82 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”) și aprecierea validității acestui articol 82. |
2 |
Această cerere a fost formulată în cadrul unui litigiu între BL, o persoană fizică, pe de o parte, și MediaMarktSaturn Hagen‑Iserlohn GmbH, fostă Saturn Electro‑Handelsgesellschaft mbH Hagen (denumită în continuare „Saturn”), pe de altă parte, în legătură cu repararea prejudiciului moral pe care persoana menționată afirmă că l‑a suferit din cauza transmiterii către o parte terță a unora dintre datele sale cu caracter personal ca urmare a unei erori săvârșite de angajați ai acestei societăți. |
Cadrul juridic
3 |
Considerentele (11), (74), (76), (83), (85) și (146) ale RGPD au următorul cuprins:
[…]
[…]
[…]
[…]
[…]
|
4 |
Figurând în capitolul I din regulamentul menționat, referitor la „[d]ispoziții generale”, articolul 2 din acesta, intitulat la rândul său „Domeniul de aplicare material”, prevede la alineatul (1): „Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.” |
5 |
Articolul 4 din regulamentul menționat, intitulat „Definiții”, prevede: „În sensul prezentului regulament:
[…]
[…]
[…]
[…]” |
6 |
Capitolul II din RGPD, intitulat „Principii”, cuprinde articolele 5-11 din acesta. |
7 |
Articolul 5 din acest regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede: „(1) Datele cu caracter personal sunt: […]
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).” |
8 |
Articolul 6 din regulamentul menționat, intitulat „Legalitatea prelucrării”, definește la alineatul (1) condițiile care trebuie îndeplinite pentru ca prelucrarea să fie legală. |
9 |
Capitolul IV din RGPD, intitulat „Operatorul și persoana împuternicită de operator”, cuprinde articolele 24-43 din acesta. |
10 |
Figurând în secțiunea 1 din acest capitol IV, intitulată „Obligații generale”, acest articol 24, intitulat la rândul său „Responsabilitatea operatorului”, prevede la alineatele (1) și (2): „(1) Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar. (2) Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecție a datelor.” |
11 |
Figurând în secțiunea 2 din capitolul IV menționat, intitulată „Securitatea datelor cu caracter personal”, articolul 32 din RGPD, intitulat la rândul său „Securitatea prelucrării”, prevede la alineatul (1) litera (b) și la alineatul (2): „(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz: […]
[…] (2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într‑un alt mod.” |
12 |
Capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde articolele 77-84 din acesta. |
13 |
Potrivit articolului 82 din acest regulament, intitulat „Dreptul la despăgubiri și răspunderea”: „(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. (2) Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. […] (3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător/răspunzătoare în niciun fel pentru evenimentul care a cauzat prejudiciul. […]” |
14 |
Articolul 83 din RGPD, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede: „(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și (6) este, în fiecare caz, eficace, proporțională și disuasivă. (2) […] Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
[…]
[…]
(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare. […]” |
15 |
Articolul 84 din acest regulament, intitulat „Sancțiuni”, prevede la alineatul (1): „Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.” |
Litigiul principal și întrebările preliminare
16 |
Reclamantul din litigiul principal s‑a deplasat la spațiile comerciale ale Saturn, unde a achiziționat un aparat electrocasnic. În acest scop, un angajat al societății menționate a întocmit un contract de vânzare și de credit. Cu această ocazie, el a introdus în sistemul informatic al Saturn mai multe date cu caracter personal ale clientului respectiv, și anume numele și prenumele, adresa, locul de reședință, numele angajatorului, veniturile, precum și coordonatele bancare ale acestuia. |
17 |
Documentele contractuale care conțineau aceste date cu caracter personal au fost imprimate și semnate de ambele părți. Reclamantul din litigiul principal le‑a înmânat ulterior angajaților Saturn care lucrau la punctul de livrare a mărfurilor. Un alt client, care se strecurase pe furiș în fața reclamantului din litigiul principal, a primit atunci, din greșeală, atât aparatul comandat de acesta din urmă, cât și documentele în cauză și a luat totul. |
18 |
Întrucât eroarea a fost descoperită rapid, un angajat al Saturn a obținut restituirea aparatului și a documentelor și ulterior le‑a înapoiat reclamantului din litigiul principal, în jumătate de oră de la predarea lor către celălalt client. Întreprinderea a dorit să despăgubească reclamantul din litigiul principal pentru această eroare prin livrarea gratuită a aparatului respectiv la domiciliul său, însă persoana în cauză a apreciat că această despăgubire era insuficientă. |
19 |
Reclamantul din litigiul principal a sesizat Amtsgericht Hagen (Tribunalul Districtual din Hagen, Germania), care este instanța de trimitere în prezenta cauză, cu o acțiune având ca obiect, în special în temeiul dispozițiilor RGPD, repararea prejudiciului moral pe care afirmă că l‑a suferit din cauza erorii săvârșite de angajații Saturn și a riscurilor de pierdere a controlului care decurg din aceasta în ceea ce privește datele sale cu caracter personal. |
20 |
În apărare, Saturn obiectează, pe de o parte, că nu a existat o încălcare a RGPD și că aceasta din urmă ar putea fi constituită numai dacă ar depăși un anumit prag de gravitate, care nu a fost atins în speță. Pe de altă parte, această societate arată că reclamantul din litigiul principal nu a suferit niciun prejudiciu, întrucât nu s‑a constatat și nici măcar nu s‑a invocat că partea terță implicată ar fi utilizat în mod abuziv datele cu caracter personal ale persoanei în cauză. |
21 |
Instanța de trimitere ridică, în primul rând, problema validității articolului 82 din RGPD, ca urmare a faptului că acest articol este lipsit de precizie în ceea ce privește efectele sale juridice în cazul reparării unui prejudiciu moral. |
22 |
În al doilea rând, în ipoteza în care respectivul articol 82 nu ar fi declarat nevalid de către Curte, aceasta ridică problema dacă exercitarea dreptului la despăgubiri prevăzut la acest articol presupune să se stabilească nu numai existența unei încălcări a RGPD, ci și a unui prejudiciu, în special moral, suferit de persoana care solicită despăgubiri. |
23 |
În al treilea rând, instanța de trimitere urmărește să se stabilească dacă simplul fapt că documentele imprimate care conțineau date cu caracter personal au fost transmise fără autorizație unei părți terțe, ca urmare a unei erori săvârșite de angajații operatorului, permite sau nu caracterizarea unei încălcări a RGPD. |
24 |
În al patrulea rând, apreciind totodată că „întreprinderea [pârâtă] trebuie să suporte sarcina probei privind nevinovăția sa”, această instanță dorește să afle dacă este suficient să se constate că a avut loc o astfel de predare a documentelor din neglijență pentru a considera că există o încălcare a RGPD, având în vedere în special obligația care ar reveni operatorului de a pune în aplicare măsuri adecvate pentru a asigura securitatea datelor prelucrate, în temeiul articolelor 2, 5, 6 și 24 din acest regulament. |
25 |
În al cincilea rând, instanța de trimitere ridică problema dacă, chiar și atunci când se pare că partea terță neautorizată nu a luat cunoștință de datele cu caracter personal în cauză înainte de restituirea documentelor în care figurau acestea, se poate stabili existența unui „prejudiciu moral”, în sensul articolului 82 din RGPD, pentru simplul fapt că persoana ale cărei date au fost astfel transmise resimte o teamă față de riscul, care nu poate fi exclus potrivit instanței menționate, ca ele să fie comunicate altor indivizi de către partea terță respectivă sau chiar să fie utilizate în mod abuziv în viitor. |
26 |
În al șaselea rând, instanța menționată ridică problema incidenței eventuale, în cadrul unei acțiuni în repararea unui prejudiciu moral întemeiate pe acest articol 82, a gradului de gravitate prezentat de o încălcare săvârșită în împrejurări precum cele din litigiul principal, ținând seama de faptul că, în opinia sa, operatorul ar fi putut adopta măsuri de securitate mai eficiente. |
27 |
În sfârșit, în al șaptelea rând, ea dorește să afle finalitatea reparării unui prejudiciu moral datorat în temeiul RGPD, sugerând că aceasta din urmă ar putea avea un caracter de sancțiune echivalent cu cel al unei penalități contractuale. |
28 |
În aceste condiții, Amtsgericht Hagen (Tribunalul Districtual din Hagen) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
Cu privire la întrebările preliminare
Cu privire la prima întrebare
29 |
Prin intermediul primei întrebări, instanța de trimitere solicită să se stabilească dacă articolul 82 din RGPD este nevalid în măsura în care nu ar conține nicio precizare cu privire la consecințele juridice care se impun cu titlu de despăgubire pentru un prejudiciu moral. |
30 |
Parlamentul European susține că această întrebare este inadmisibilă, întrucât instanța de trimitere nu a îndeplinit cerințele prevăzute la articolul 94 litera (c) din Regulamentul de procedură al Curții, în condițiile în care instanța respectivă ridică în acest caz o problematică deosebit de complexă, și anume aprecierea validității unei dispoziții a dreptului Uniunii. |
31 |
În conformitate cu articolul 94 litera (c) din Regulamentul de procedură, cererea de decizie preliminară trebuie să cuprindă printre altele, pe lângă textul întrebărilor adresate Curții cu titlu preliminar, o expunere a motivelor care au determinat instanța de trimitere să aibă îndoieli cu privire la interpretarea sau validitatea anumitor dispoziții ale dreptului Uniunii. |
32 |
În această privință, expunerea de motive a trimiterii preliminare este indispensabilă pentru a permite nu numai Curții să dea răspunsuri utile, ci și guvernelor statelor membre, precum și celorlalte persoane interesate să prezinte observații, conform articolului 23 din Statutul Curții de Justiție a Uniunii Europene. Mai precis, Curtea trebuie să examineze validitatea unei dispoziții de drept al Uniunii în lumina motivelor de nevaliditate enunțate în decizia de trimitere, astfel încât lipsa oricărei menționări a motivelor exacte care au determinat instanța de trimitere să ridice această problemă atrage inadmisibilitatea întrebărilor referitoare la validitatea menționată (a se vedea în acest sens Hotărârea din 15 iunie 2017, T.KUP,C‑349/16, EU:C:2017:469, punctele 16-18, și Hotărârea din 22 iunie 2023, Vitol,C‑268/22, EU:C:2023:508, punctele 52-55). |
33 |
Or, în speță instanța de trimitere nu prezintă niciun element precis care să permită Curții să examineze validitatea articolului 82 din RGPD. |
34 |
În consecință, prima întrebare trebuie declarată inadmisibilă. |
Cu privire la a treia și la a patra întrebare
35 |
Prin intermediul celei de a treia și al celei de a patra întrebări, care trebuie examinate împreună și în primul rând, instanța de trimitere solicită în esență să se stabilească dacă articolele 5, 24, 32 și 82 din RGPD coroborate trebuie interpretate în sensul că, în cadrul unei acțiuni în despăgubire întemeiate pe acest articol 82, faptul că angajații operatorului au predat din greșeală unei părți terțe neautorizate un document care conținea date cu caracter personal este suficient, în sine, pentru a se considera că măsurile tehnice și organizatorice implementate de operatorul în cauză nu erau „adecvate”, în sensul acestor articole 24 și 32. |
36 |
Articolul 24 din RGPD prevede o obligație generală ce revine operatorului de date cu caracter personal de a pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și pentru a putea demonstra că prelucrarea se efectuează în conformitate cu acest regulament (Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctul 24). |
37 |
Articolul 32 din RGPD precizează, la rândul său, obligațiile operatorului și ale unei eventuale persoane împuternicite de acesta în ceea ce privește securitatea prelucrării. Astfel, alineatul (1) al acestui articol prevede că aceștia din urmă trebuie să implementeze măsurile tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor legate de prelucrarea menționată, ținând seama de stadiul actual al dezvoltării, de costurile implementării, precum și de natura, domeniul de aplicare, contextul și scopurile prelucrării în cauză. De asemenea, alineatul (2) al articolului respectiv prevede că la evaluarea nivelului adecvat de securitate trebuie să se țină seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctele 26 și 27). |
38 |
Astfel, din modul de redactare a articolelor 24 și 32 din RGPD reiese că caracterul adecvat al măsurilor implementate de operator trebuie evaluat în mod concret, ținând seama de diferitele criterii prevăzute la aceste articolele și de nevoile de protecție a datelor inerente în mod specific prelucrării în cauză, precum și riscurile pe care le presupune aceasta din urmă, cu atât mai mult cu cât operatorul menționat trebuie să fie în măsură să demonstreze conformitatea cu acest regulament a măsurilor respective, posibilitate de care ar fi privat dacă s‑ar admite o prezumție irefragabilă (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctele 30-32). |
39 |
Această interpretare literală este confirmată de coroborarea respectivelor articole 24 și 32 cu articolul 5 alineatul (2) și cu articolul 82 din regulamentul menționat, interpretate în lumina considerentelor (74), (76) și (83) ale acestuia, din care rezultă în special că operatorul este obligat să atenueze riscurile de încălcare a securității datelor cu caracter personal, iar nu să împiedice orice încălcare a acesteia (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctele 33-38). |
40 |
Prin urmare, Curtea a interpretat articolele 24 și 32 din RGPD în sensul că o divulgare neautorizată de date cu caracter personal sau un acces neautorizat la asemenea date de către „părți terțe”, în sensul articolului 4 punctul 10 din acest regulament, nu sunt în sine suficiente pentru a se considera că măsurile tehnice și organizatorice implementate de operatorul în cauză nu erau „adecvate”, în sensul acestor articole 24 și 32 (Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctul 39). |
41 |
În speță, împrejurarea că angajații operatorului au predat din greșeală unei părți terțe neautorizate un document care conținea date cu caracter personal poate indica faptul că măsurile tehnice și organizatorice implementate de operatorul în cauză nu erau „adecvate”, în sensul articolelor 24 și 32 menționate. În special, o asemenea împrejurare poate rezulta dintr‑o neglijență sau dintr‑o deficiență în organizarea operatorului, care nu ține seama în mod concret de riscurile legate de prelucrarea datelor în cauză. |
42 |
În această privință, trebuie să se sublinieze că din coroborarea articolelor 5, 24 și 32 din RGPD, interpretate în lumina considerentului (74) al acestuia, rezultă că, în cadrul unei acțiuni în despăgubire întemeiate pe articolul 82 din acest regulament, sarcina de a dovedi că datele cu caracter personal sunt prelucrate într‑un mod care asigură securitatea adecvată a acestora din urmă, în sensul articolului 5 alineatul (1) litera (f) și al articolului 32 din regulamentul menționat, revine operatorului în cauză. O asemenea repartizare a sarcinii probei este de natură nu numai să încurajeze operatorii acestor date să adopte măsurile de securitate impuse de RGPD, ci și să asigure efectul util al dreptului la despăgubiri prevăzut la articolul 82 din acest regulament și să respecte intențiile legiuitorului Uniunii menționate în considerentul (11) al acestuia (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctele 49-56). |
43 |
În consecință, Curtea a interpretat principiul răspunderii operatorului, enunțat la articolul 5 alineatul (2) din RGPD și concretizat la articolul 24 din acesta, în sensul că, în cadrul unei acțiuni în despăgubire întemeiate pe articolul 82 din acest regulament, operatorului în cauză îi revine sarcina de a dovedi caracterul adecvat al măsurilor de securitate pe care le‑a implementat în temeiul articolului 32 din regulamentul amintit (Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctul 57). |
44 |
Așadar, o instanță sesizată cu o asemenea acțiune în repararea unui prejudiciu întemeiată pe articolul 82 din RGPD nu poate ține seama numai de împrejurarea că angajații operatorului au predat din greșeală unei părți terțe neautorizate un document care conținea date cu caracter personal, pentru a stabili dacă există o încălcare a unei obligații prevăzute de acest regulament. Astfel, instanța respectivă trebuie de asemenea să ia în considerare toate elementele de probă pe care operatorul le‑a furnizat pentru a demonstra caracterul adecvat al măsurilor tehnice și organizatorice pe care le‑a adoptat pentru a se conforma obligațiilor sale în temeiul articolelor 24 și 32 din regulamentul menționat. |
45 |
Având în vedere motivele care precedă, trebuie să se răspundă la a treia și la a patra întrebare că articolele 5, 24, 32 și 82 din RGPD coroborate trebuie interpretate în sensul că, în cadrul unei acțiuni în despăgubire întemeiate pe acest articol 82, faptul că angajații operatorului au predat din greșeală unei părți terțe neautorizate un document care conținea date cu caracter personal nu este suficient, în sine, pentru a se considera că măsurile tehnice și organizatorice implementate de operatorul în cauză nu erau „adecvate”, în sensul acestor articole 24 și 32. |
Cu privire la a șaptea întrebare
46 |
Prin intermediul celei de a șaptea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 din RGPD trebuie interpretat în sensul că dreptul la despăgubiri prevăzut de această dispoziție, în special în cazul prejudiciului moral, îndeplinește o funcție punitivă. |
47 |
În această privință, Curtea a statuat că articolul 82 din RGPD nu are o funcție punitivă, ci compensatorie, spre deosebire de alte dispoziții din acest regulament care figurează de asemenea în capitolul VIII din acesta, și anume articolele 83 și 84, care au, la rândul lor, un scop în esență punitiv, întrucât permit aplicarea unor amenzi administrative, precum și a altor sancțiuni. Corelația dintre normele prevăzute la articolul 82 menționat și cele prevăzute la articolele 83 și 84 menționate demonstrează că există o diferență între aceste două categorii de dispoziții, dar și o complementaritate în ceea ce privește incitarea la respectarea RGPD, observându‑se că dreptul oricărei persoane de a solicita despăgubiri pentru un prejudiciu consolidează caracterul operațional al normelor de protecție prevăzute de acest regulament și este de natură să descurajeze repetarea comportamentelor ilegale [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal),C‑300/21, EU:C:2023:370, punctele 38 și 40, precum și Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punctul 85]. |
48 |
Curtea a precizat că, din moment ce dreptul la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD nu îndeplinește o funcție disuasivă, chiar punitivă, ci îndeplinește o funcție compensatorie, gravitatea încălcării acestui regulament care a cauzat prejudiciul în cauză nu poate influența cuantumul daunelor interese acordate în temeiul acestei dispoziții, nici chiar atunci când nu este vorba despre un prejudiciu material, ci despre un prejudiciu moral, astfel încât acest cuantum nu poate fi stabilit la un nivel care să depășească compensarea integrală a acestui prejudiciu (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punctele 86 și 87). |
49 |
Din cele ce precedă rezultă că nu este necesară pronunțarea cu privire la legătura, care este avută în vedere de instanța de trimitere, dintre finalitatea vizată de dreptul la despăgubiri consacrat la acest articol 82 alineatul (1) și funcția punitivă a unei penalități contractuale. |
50 |
În consecință, este necesar să se răspundă la a șaptea întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că dreptul la despăgubiri prevăzut de această dispoziție, în special în cazul prejudiciului moral, îndeplinește o funcție compensatorie, întrucât o despăgubire pecuniară întemeiată pe dispoziția menționată trebuie să permită compensarea integrală a prejudiciului concret suferit ca urmare a încălcării acestui regulament, iar nu o funcție punitivă. |
Cu privire la a șasea întrebare
51 |
Prin intermediul celei de a șasea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 din RGPD trebuie interpretat în sensul că acest articol impune ca gradul de gravitate a încălcării acestui regulament săvârșite de operator să fie luat în considerare în scopul reparării unui prejudiciu în temeiul dispoziției menționate. |
52 |
În această privință, din articolul 82 din RGPD rezultă că, pe de o parte, angajarea răspunderii operatorului este condiționată printre altele de existența unei culpe a acestuia care este prezumată cu excepția cazului în care acesta din urmă dovedește că evenimentul care a provocat prejudiciul nu îi este nicidecum imputabil și, pe de altă parte, acest articol 82 nu impune ca gravitatea acestei culpe să fie luată în considerare la stabilirea cuantumului daunelor interese acordate ca despăgubiri pentru un prejudiciu moral în temeiul acestei dispoziții (Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punctul 103). |
53 |
În ceea ce privește evaluarea daunelor interese eventual datorate în temeiul articolului 82 din RGPD, întrucât acest regulament nu conține nicio dispoziție care să aibă un astfel de obiect, instanțele naționale trebuie, în vederea acestei evaluări, să aplice normele interne ale fiecărui stat membru referitoare la întinderea despăgubirilor pecuniare, cu condiția de a fi respectate principiile echivalenței și efectivității dreptului Uniunii (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punctele 83 și 101, precum și jurisprudența citată). |
54 |
În plus, Curtea a precizat că, având în vedere funcția compensatorie a dreptului la despăgubiri prevăzut la articolul 82 din RGPD, această dispoziție nu impune luarea în considerare a gradului de gravitate a încălcării acestui regulament, pe care se prezumă că a săvârșit‑o operatorul, la stabilirea cuantumului daunelor interese acordate pentru repararea prejudiciului moral în temeiul dispoziției menționate, ci impune ca acest cuantum să fie stabilit astfel încât să compenseze integral prejudiciul concret suferit ca urmare a încălcării regulamentului menționat (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punctele 84-87 și 102, precum și jurisprudența citată). |
55 |
Având în vedere motivele care precedă, trebuie să se răspundă la a șasea întrebare că articolul 82 din RGPD trebuie interpretat în sensul că acest articol nu impune ca gradul de gravitate a încălcării săvârșite de operator să fie luat în considerare în scopul reparării unui prejudiciu în temeiul dispoziției menționate. |
Cu privire la a doua întrebare
56 |
Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că persoana care solicită despăgubiri în temeiul acestei dispoziții este obligată să dovedească nu numai încălcarea dispozițiilor regulamentului menționat, ci și că această încălcare i‑a cauzat un prejudiciu material sau moral. |
57 |
În această privință, trebuie amintit că, potrivit articolului 82 alineatul (1) din RGPD, „[o]rice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit”. |
58 |
Din modul de redactare a acestei dispoziții reiese că simpla încălcare a RGPD nu este suficientă pentru a conferi un drept la despăgubiri. Astfel, existența unui „prejudiciu” sau a unei „daune” care a fost „suferit/ă” constituie una dintre condițiile dreptului la despăgubiri prevăzut la acest articol 82 alineatul (1), la fel ca existența unei încălcări a acestui regulament și a unei legături de cauzalitate între acest prejudiciu și această încălcare, aceste trei condiții fiind cumulative [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal),C‑300/21, EU:C:2023:370, punctele 32 și 42, Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctul 77, Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punctul 14, precum și Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punctul 82]. |
59 |
În ceea ce privește în special prejudiciile morale, Curtea a statuat de asemenea că articolul 82 alineatul (1) din RGPD se opune unei norme sau unei practici naționale care subordonează obținerea de despăgubiri pentru un prejudiciu moral, în sensul acestei dispoziții, condiției ca prejudiciul suferit de persoana vizată, astfel cum este definită la articolul 4 punctul 1 din acest regulament, să fi atins un anumit grad de gravitate [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal),C‑300/21, EU:C:2023:370, punctul 51, Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctul 78, precum și Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punctul 16]. |
60 |
Curtea a precizat că o persoană vizată de o încălcare a RGPD care i-a produs consecințe negative este însă obligată să demonstreze că aceste consecințe constituie un prejudiciu moral, în sensul articolului 82 din acest regulament, întrucât simpla încălcare a dispozițiilor acestuia nu este suficientă pentru a conferi un drept la despăgubiri [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal),C‑300/21, EU:C:2023:370, punctele 42 și 50, Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctul 84, precum și Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punctele 21 și 23]. |
61 |
Având în vedere motivele care precedă, trebuie să se răspundă la a doua întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că persoana care solicită despăgubiri în temeiul acestei dispoziții este obligată să dovedească nu numai încălcarea dispozițiilor regulamentului menționat, ci și că această încălcare i‑a cauzat un prejudiciu material sau moral. |
Cu privire la a cincea întrebare
62 |
Prin intermediul celei de a cincea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, în ipoteza în care un document care conținea date cu caracter personal a fost predat unei părți terțe neautorizate despre care s‑a dovedit că nu a luat cunoștință de acestea, un „prejudiciu moral”, în sensul dispoziției menționate, poate fi constituit de simplul fapt că persoana vizată se teme că, în urma acestei comunicări care a făcut posibilă realizarea unei copii a documentului menționat înainte de restituirea sa, va avea loc în viitor o difuzare sau chiar o utilizare abuzivă a datelor sale. |
63 |
Trebuie să se precizeze că această instanță arată că, în speță, documentul în care figurau datele în cauză a fost restituit reclamantului din litigiul principal în jumătate de oră de la predarea către o parte terță neautorizată și că aceasta nu a luat cunoștință de datele respective înainte de a restitui documentul, însă reclamantul menționat susține că această predare i‑a dat părții terțe respective posibilitatea de a realiza copii ale documentului înainte de a‑l restitui și că, prin urmare, a generat pentru el o temere legată de riscul ca în viitor să aibă loc o utilizare abuzivă a datelor menționate. |
64 |
Având în vedere lipsa oricărei trimiteri, în cuprinsul articolului 82 alineatul (1) din RGPD, la dreptul intern al statelor membre, noțiunea de „prejudiciu moral”, în sensul acestei dispoziții, trebuie să primească o definiție autonomă și uniformă, proprie dreptului Uniunii [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal),C‑300/21, EU:C:2023:370, punctele 30 și 44, precum și Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punctul 15]. |
65 |
Curtea a statuat că reiese nu numai din modul de redactare a articolului 82 alineatul (1) din RGPD, interpretat în lumina considerentelor (85) și (146) ale acestui regulament, care invită la reținerea unei concepții largi a noțiunii de „prejudiciu moral” în sensul acestei prime dispoziții, ci și din obiectivul ce constă în asigurarea unui nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, care este vizat de regulamentul menționat, că temerea față de o potențială utilizare abuzivă a datelor sale cu caracter personal de către părți terțe pe care o resimte o persoană vizată în urma unei încălcări a aceluiași regulament poate constitui, în sine, un „prejudiciu moral”, în sensul acestui articol 82 alineatul (1) (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punctele 79-86). |
66 |
Pe de altă parte, întemeindu‑se de asemenea pe considerații de ordin în același timp literal, sistemic și teleologic, Curtea a considerat că pierderea controlului asupra datelor cu caracter personal pe o perioadă scurtă poate cauza persoanei vizate un „prejudiciu moral”, în sensul articolului 82 alineatul (1) din RGPD, care dă dreptul la despăgubiri, cu condiția ca persoana respectivă să demonstreze că a suferit efectiv un asemenea prejudiciu, oricât de nesemnificativ ar fi el, amintindu‑se că simpla încălcare a dispozițiilor acestui regulament nu este suficientă pentru a conferi un drept la despăgubiri în acest temei (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punctele 18-23). |
67 |
De asemenea, în speță, trebuie să se arate că este conform atât cu modul de redactare a articolului 82 alineatul (1) din RGPD, cât și cu obiectivul de protecție urmărit de acest regulament ca noțiunea de „prejudiciu moral” să includă o situație în care persoana vizată resimte o temere întemeiată, aspect a cărui verificare revine instanței naționale sesizate, că unele dintre datele sale cu caracter personal ar face obiectul unei difuzări sau al unei utilizări abuzive de către părți terțe în viitor, ca urmare a faptului că un document care conținea datele menționate a fost predat unei părți terțe neautorizate care a avut posibilitatea de a realiza copii ale acestuia înainte de a‑l restitui. |
68 |
Totuși, nu este mai puțin adevărat că revine reclamantului dintr‑o acțiune în despăgubire întemeiată pe articolul 82 din RGPD sarcina de a demonstra existența unui astfel de prejudiciu. În special, un risc pur ipotetic de utilizare abuzivă de către o parte terță neautorizată nu poate da naștere unei despăgubiri. Acest lucru este valabil atunci când nicio parte terță nu a luat cunoștință de datele cu caracter personal în discuție. |
69 |
Prin urmare, este necesar să se răspundă la a cincea întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, în ipoteza în care un document care conținea date cu caracter personal a fost predat unei părți terțe neautorizate despre care s‑a dovedit că nu a luat cunoștință de acestea, un „prejudiciu moral”, în sensul dispoziției menționate, nu este constituit de simplul fapt că persoana vizată se teme că, în urma acestei comunicări care a făcut posibilă realizarea unei copii a documentului menționat înainte de restituirea sa, va avea loc în viitor o difuzare sau chiar o utilizare abuzivă a datelor sale. |
Cu privire la cheltuielile de judecată
70 |
Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări. |
Pentru aceste motive, Curtea (Camera a treia) declară: |
|
|
|
|
|
Semnături |
( *1 ) Limba de procedură: germana.