Cauza C‑655/23

împotriva

Quirin Privatbank AG

(cerere de decizie preliminară formulată de Bundesgerichtshof)

Hotărârea Curții (Camera a patra) din 4 septembrie 2025

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Drepturile persoanei vizate – Articolul 17 – Dreptul la ștergerea datelor – Articolul 18 – Dreptul la restricționarea prelucrării – Articolul 79 – Dreptul la o cale de atac judiciară eficientă – Prelucrare ilegală a datelor cu caracter personal – Acțiune prin care se solicită obligarea operatorului să se abțină de la efectuarea pe viitor a oricărei noi prelucrări ilegale – Temei – Condiții – Articolul 82 alineatul (1) – Drept la reparație – Noțiunea de «prejudiciu moral» – Evaluarea despăgubirii – Eventuala luare în considerare a gravității culpei operatorului – Eventuala incidență a beneficiului unui «ordin de abținere»”

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Căi de atac – Obligația statelor membre de a prevedea o acțiune prin care se solicită obligarea operatorului să se abțină de la efectuarea pe viitor a oricărei noi prelucrări ilegale – Inexistență – Reglementare națională care permite exercitarea unei astfel de acțiuni în ordinea juridică internă – Admisibilitate

[Carta drepturilor fundamentale a Uniunii Europene, art. 8 alin. (1) și (2); Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentele (1), (10) și (11) și art. 1, art. 4 pct. 1, 5, 6, 17, 18 și art. 77-79]

(a se vedea punctele 38-52 și dispozitivul 1)
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Dreptul la despăgubiri și răspunderea – Dreptul la despăgubiri pentru prejudiciul suferit – Prejudiciu moral – Noțiune – Sentimente negative resimțite de persoana vizată în urma unei transmiteri neautorizate a datelor sale cu caracter personal către o parte terță – Includere – Condiții – Necesitatea de a demonstra existența, din cauza încălcării acestui regulament, a unor astfel de sentimente și a consecințelor negative ale acestora

[Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentele (1), (10), (75), (85) și (146) și art. 1 și 82 alin. (1)]

(a se vedea punctele 55, 56, 58-64 și dispozitivul 2)
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Dreptul la despăgubiri și răspunderea – Dreptul la despăgubiri pentru prejudiciul suferit – Stabilirea cuantumului și a formei reparației – Reglementare națională care autorizează luarea în considerare a gradului de gravitate a faptei culpabile săvârșite de autorul prejudiciului în scopul evaluării despăgubirii pentru un prejudiciu moral – Inadmisibilitate

[Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul (146) și art. 82 și 83]

(a se vedea punctele 66, 67, 69-73 și dispozitivul 3)
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Dreptul la despăgubiri și răspunderea – Dreptul la despăgubiri pentru prejudiciul suferit – Stabilirea cuantumului și a formei reparației – Luarea în considerare a unui ordin de abținere de la repetarea unei încălcări a acestui regulament pentru a reduce sau a exclude despăgubirea pecuniară a unui prejudiciu moral – Inadmisibilitate

(Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 82)

(a se vedea punctele 77-79, 81-83 și dispozitivul 4)

Rezumat

Sesizată cu titlu preliminar de Bundesgerichtshof (Curtea Federală de Justiție, Germania), Curtea precizează întinderea drepturilor conferite de diverse dispoziții ale RGPD ( 1 ) persoanei vizate în cazul prelucrării ilegale a datelor sale cu caracter personal.

IP a candidat, prin intermediul unei rețele sociale profesionale online, pentru un loc de muncă în cadrul Quirin Privatbank, o societate de drept german. Ulterior, o angajată a acesteia a utilizat serviciul de mesagerie electronică al acestei rețele pentru a trimite unei părți terțe, care nu era implicată în acest proces de recrutare, un mesaj destinat doar lui IP, în care îl informa pe acesta din urmă cu privire la respingerea pretențiilor sale salariale și îi propunea o altă remunerație. Lucrând anterior cu IP, această parte terță i‑a transmis mesajul respectiv și l‑a întrebat dacă era în căutarea unui loc de muncă.

IP a introdus la Landgericht Darmstadt (Tribunalul Regional din Darmstadt, Germania) o acțiune având ca obiect obligarea Quirin Privatbank, pe de o parte, să se abțină de la orice prelucrare a datelor cu caracter personal care îl privesc în raport cu candidatura sa, care ar reitera divulgarea neautorizată a acestora și, pe de altă parte, să îi plătească despăgubiri pentru repararea prejudiciului moral suferit. Instanța de prim grad a admis această acțiune.

În urma apelului formulat de Quirin Privatbank la Oberlandesgericht Frankfurt (Tribunalul Regional Superior din Frankfurt, Germania), această hotărâre a fost modificată în parte în sensul că cererea de despăgubire a fost respinsă. Astfel, în opinia acestei instanțe, dovada unui prejudiciu concret nu fusese totuși furnizată de IP și, chiar presupunând că acesta ar suferit o umilire, ea nu poate fi calificată drept prejudiciu moral.

IP și Quirin Privatbank au formulat recurs împotriva acestei hotărâri la Bundesgerichtshof (Curtea Federală de Justiție, Germania), care este instanța de trimitere.

Având îndoieli cu privire la interpretarea mai multor dispoziții ale RGPD, înalta autoritate judiciară a solicitat Curții să se pronunțe cu privire la întinderea căilor de atac, la conținutul dreptului la repararea prejudiciului suferit și la criteriile care permit evaluarea prejudiciului moral care trebuie reparat.

Aprecierea Curții

În primul rând, i se solicită Curții să stabilească dacă dispozițiile RGPD prevăd în beneficiul persoanei vizate de prelucrarea ilegală a datelor cu caracter personal care nu solicită ștergerea acestora o cale de atac judiciară care să îi permită să obțină, cu titlu preventiv, obligarea operatorului să se abțină de la efectuarea pe viitor a unei noi prelucrări ilegale și dacă, în cazul unui răspuns negativ, aceste dispoziții împiedică statele membre să prevadă o asemenea cale de atac în ordinile lor juridice respective.

Ea arată, în această privință, că RGPD nu conține dispoziții care să prevadă în mod explicit sau implicit că persoana vizată beneficiază de un drept de a obține în mod preventiv, prin intermediul unei acțiuni judiciare, ca operatorul de date cu caracter personal să fie constrâns să se abțină pe viitor de la săvârșirea unei încălcări a dispozițiilor acestui regulament, în special sub forma unei repetări a unei prelucrări ilegale.

De altfel, Curtea constată că niciuna dintre dispozițiile acestui regulament ce reglementează căile de atac ( 2 ) nu obligă statele membre să prevadă o acțiune preventivă. În special, articolul 79 alineatul (1) din RGPD, care consacră dreptul la o cale de atac judiciară eficientă împotriva unui operator, nu impune statelor membre să prevadă o cale de atac specifică care să permită obținerea prin intermediul unei acțiuni în justiție, cu titlu preventiv, a unui ordin de abținere.

În aceste condiții, având în vedere în special recunoașterea de către RGPD a dreptului fiecărei persoane vizate la o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul acestui regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal cu încălcarea regulamentului menționat, „fără a aduce atingere” oricărei alte căi de atac administrative sau extrajudiciare, Curtea consideră că statele membre nu sunt împiedicate să prevadă o astfel de cale de atac preventivă pentru a obliga operatorul să se abțină de la orice nouă încălcare a acestor drepturi conferite de acest regulament persoanei vizate.

Curtea subliniază în această privință că mai multe dispoziții ale RGPD oferă în mod expres posibilitatea ca statele membre să prevadă norme naționale suplimentare, mai stricte sau derogatorii, care le lasă acestora o marjă de apreciere asupra modului în care pot fi puse în aplicare respectivele dispoziții („clauze de deschidere”). În acest context, ea arată că, deși dispozițiile RGPD ce reglementează căile de atac nu cuprind în mod specific o asemenea clauză de deschidere, legiuitorul Uniunii nu a intenționat să realizeze o armonizare exhaustivă a căilor de atac disponibile în cazul încălcării acestui regulament și mai ales nu a exclus o asemenea posibilitate de a formula o cale de atac preventivă.

Curtea adaugă că această interpretare este confirmată de obiectivele vizate de RGPD. Într‑adevăr, posibilitatea persoanei vizate de a introduce o acțiune în justiție pentru a obține obligarea unui operator să se abțină pe viitor de la o încălcare a dispozițiilor materiale ale RGPD este de natură să consolideze efectul util al acestor dispoziții și, astfel, nivelul ridicat de protecție a persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal.

Pe baza acestora, Curtea statuează că RGPD nu se opune ca un drept la o cale de atac, prin care se urmărește obținerea unui ordin care să permită prevenirea unei eventuale săvârșiri a unei încălcări a dispozițiilor materiale ale acestui regulament, mai ales printr‑o potențială repetare a unei prelucrări ilegale, să fie disponibil în temeiul unor dispoziții ale dreptului unui stat membru care ar fi aplicabile în fața instanței naționale sesizate.

În al doilea rând, Curtea aduce precizări cu privire la noțiunea de „prejudiciu moral” care conferă, în temeiul RGPD ( 3 ), persoanei vizate dreptul de a obține despăgubiri de la operator pentru prejudiciul suferit.

În acest context, ea amintește că articolul 82 alineatul (1) din RGPD, privind dreptul la despăgubiri, se opune unei norme sau unei practici naționale care subordonează repararea unui „prejudiciu moral” condiției ca prejudiciul suferit de persoana vizată să fi atins un anumit grad de gravitate. Dispoziția menționată nu impune ca un prejudiciu moral invocat de persoana vizată să trebuiască să atingă un „prag de minimis” pentru ca acest prejudiciu să poată fi reparat ( 4 ).

În plus, Curtea arată că situații precum cele invocate în litigiul principal, referitoare la o „compromitere a reputației” care rezultă dintr‑o încălcare a securității datelor cu caracter personal sau dintr‑o „pierdere a controlului” asupra unor asemenea date, figurează în mod explicit printre exemplele de posibile prejudicii care sunt enumerate de RGPD ( 5 ).

Aceasta amintește de asemenea că teama resimțită de persoana vizată că datele sale cu caracter personal vor face obiectul unei utilizări abuzive pe viitor ca urmare a unei încălcări a RGPD poate constitui în sine un „prejudiciu moral”, cu condiția ca această teamă, cu consecințele sale negative, să fie dovedită în mod corespunzător, aspect a cărui verificare este de competența instanței naționale sesizate ( 6 ).

Așadar, Curtea recunoaște că, deși pot face parte, de altfel, din riscurile generale inerente vieții curente, sentimentele negative menționate de instanța de trimitere, în special teama sau supărarea, sunt susceptibile să constituie un „prejudiciu moral” în sensul RGPD, cu condiția ca persoana vizată să demonstreze că resimte astfel de sentimente, cu consecințele lor negative, tocmai din cauza încălcării în discuție a acestui regulament, precum o transmitere neautorizată a datelor sale cu caracter personal către o parte terță, care generează riscul unei utilizări abuzive a acestora, aspect a cărui apreciere este de competența instanțelor naționale sesizate.

Curtea subliniază că această interpretare este conformă cu formularea articolului 82 alineatul (1) din RGPD, interpretat în lumina considerentelor (85) și (146) ale acestui regulament, care invită la reținerea unei concepții largi a noțiunii de „prejudiciu moral” și este susținută de obiectivul regulamentului menționat ce constă în asigurarea unui nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

În al treilea rând, Curtea constată că articolul 82 alineatul (1) din RGPD privind dreptul la despăgubiri trebuie interpretat în sensul că se opune ca gradul de gravitate a faptei culpabile săvârșite de operator să fie luat în considerare în scopul evaluării despăgubirii pentru un prejudiciu moral datorate în temeiul acestui articol.

În această privință, ea amintește că, ținând seama de funcția exclusiv compensatorie a dreptului la despăgubiri, instanțele naționale sunt obligate să asigure o despăgubire „integrală și eficace” pentru prejudiciul suferit, fără a fi necesar, în vederea unei asemenea compensări integrale, să se impună plata unor daune interese punitive ( 7 ).

Ea precizează că această funcție exclusiv compensatorie a dreptului la despăgubiri în temeiul RGPD se opune ca gradul de gravitate și eventualul caracter intenționat al încălcării acestui regulament săvârșite de operator să fie luate în considerare în scopul reparării unui prejudiciu în temeiul acestei dispoziții. Astfel, atitudinea și motivația operatorului nu pot fi luate în considerare pentru a acorda persoanei vizate, dacă este cazul, o despăgubire inferioară în raport cu prejudiciul pe care l‑a suferit în mod concret, indiferent de cuantumul sau de forma acestei despăgubiri.

În al patrulea și ultimul rând, Curtea consideră că articolul 82 alineatul (1) din RGPD se opune ca împrejurarea că persoana vizată a obținut în temeiul dreptului național aplicabil un ordin de abținere de la repetarea unei încălcări a acestui regulament, opozabil operatorului, să fie luată în considerare pentru a se reduce întinderea despăgubirii pecuniare pentru un prejudiciu moral datorate în temeiul acestui articol sau, a fortiori, pentru a se înlocui această despăgubire.

Curtea amintește că a admis deja că, în limitele care decurg din principiul efectivității, anumite împrejurări pot influența evaluarea despăgubirii datorate în temeiul articolului 82 din RGPD, în special pentru a limita această despăgubire. Or, o formă de reparație prevăzută de dreptul național aplicabil nu poate fi considerată conformă cu RGPD decât în măsura în care ea este de natură să asigure o despăgubire integrală și eficace pentru prejudiciul suferit de persoana vizată. În special, o reparație datorată în temeiul articolului 82 din acest regulament nu poate fi acordată, în tot sau în parte, sub forma unui ordin de abținere, întrucât dreptul la repararea unui prejudiciu îndeplinește o funcție exclusiv compensatorie, în timp ce un ordin de abținere impus autorului prejudiciului are o finalitate pur preventivă.

( 1 ) Articolele 17, 18, 79 și 82 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

( 2 ) Capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde printre altele articolele 77-79 din acesta.

( 3 ) Articolul 82 alineatul (1) din RGPD.

( 4 ) A se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal) (C‑300/21, EU:C:2023:370, punctul 51), precum și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, punctele 147 și 149).

( 5 ) A se vedea considerentele (75) și (85) ale RGPD.

( 6 ) A se vedea în acest sens Hotărârea din 20 iunie 2024, PS (Adresă eronată) (C‑590/22, EU:C:2024:536, punctele 32, 35 și 36), precum și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, punctele 143, 144 și 155, precum și jurisprudența citată).

( 7 ) A se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal) (C‑300/21, EU:C:2023:370, punctele 57 și 58), precum și Hotărârea din 4 octombrie 2024, Patērētāju tiesību aizsardzības centrs (C‑507/23, EU:C:2024:854, punctul 34).