–

pentru Brillen Rottler GmbH & Co. KG, de J. Tröber, Rechtsanwalt;

–

pentru TC, de P. Brandt, Rechtsanwalt;

–

pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,

1

Cererea de decizie preliminară privește interpretarea articolului 4 punctul 2, a articolului 12 alineatul (5) și a articolului 82 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

2

Această cerere a fost formulată în cadrul unui litigiu între Brillen Rottler GmbH & Co. KG, o întreprindere familială de optică, pe de o parte, și TC, un particular, pe de altă parte, în legătură cu refuzul acestei întreprinderi de a da curs cererii formulate de TC în temeiul articolului 15 din RGPD de acces la datele sale cu caracter personal.

3

Considerentele (4), (10), (11), (63), (85), (141) și (146) ale RGPD au următorul cuprins:

[…]

[…]

[…]

[…]

4

În conformitate cu articolul 4 din acest regulament, intitulat „Definiții”:

„În sensul prezentului regulament:

[…]

[…]”

5

Articolul 12 din regulamentul menționat, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede la alineatele (1), (2) și (5):

„(1)   Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare […]

(2)   Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 15-22. […]

[…]

(5)   Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și orice măsuri luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.”

6

Articolul 15 din același regulament, intitulat „Dreptul de acces al persoanei vizate”, prevede la alineatul (1):

„Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

[…]”

7

Articolul 26 din RGPD, intitulat „Operatori asociați”, prevede la alineatul (1):

„În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. […]”

8

Articolul 30 din acest regulament, intitulat „Evidențele activităților de prelucrare”, prevede la alineatul (1):

„Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor. […]”

9

Articolul 57 din regulamentul menționat, intitulat „Sarcini”, prevede la alineatele (1) și (4):

„(1)   Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

[…]

[…]

(4)   În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o taxă rezonabilă, bazată pe costurile administrative, sau poate refuza să le trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine autorității de supraveghere.”

10

Articolul 79 din același regulament, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”, prevede la alineatul (1):

„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”

11

Articolul 82 din RGPD, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatele (1), (2) și (4):

„(1)   Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

(2)   Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. […]

[…]

(4)   În cazul în care mai mulți operatori sau mai multe persoane împuternicite de operator sau un operator și o persoană împuternicită de operator sunt implicați (implicate) în aceeași operațiune de prelucrare și răspund, în temeiul alineatelor (2) și (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoană împuternicită de operator este răspunzător (răspunzătoare) pentru întregul prejudiciu pentru a asigura despăgubirea efectivă a persoanei vizate.”

12

În luna martie 2023, TC, o persoană fizică cu reședința în Austria, s‑a abonat la buletinul informativ al Brillen Rottler, o întreprindere familială de optică cu sediul în Arnsberg (Germania), introducând datele sale cu caracter personal în formularul de înscriere disponibil pe site‑ul internet al acestei întreprinderi și consimțind la prelucrarea acestor date. Treisprezece zile mai târziu, TC a adresat Brillen Rottler o cerere de acces în temeiul articolului 15 din RGPD.

13

Brillen Rottler a respins cererea de acces în termenul legal de o lună, considerând că era abuzivă, în sensul articolului 12 alineatul (5) primul paragraf a doua teză din RGPD. Ea l‑a somat pe TC să renunțe definitiv la cererea sa.

14

Întrucât acesta din urmă și‑a menținut cererea de acces, la care a adăugat și o cerere de despăgubire în temeiul articolului 82 din RGPD pentru suma de 1000 de euro, Brillen Rottler a sesizat Amtsgericht Arnsberg (Tribunalul Districtual din Arnsberg, Germania), care este instanța de trimitere, cu o cerere având ca obiect constatarea faptului că TC nu are dreptul la nicio despăgubire.

15

În susținerea cererii sale, Brillen Rottler arată că din diverse relatări online și articole de pe blogurile unor avocați reiese că TC introduce în mod sistematic și abuziv cereri de acces la datele sale cu caracter personal cu unicul scop de a obține despăgubiri pentru o pretinsă încălcare, pe care o provoacă în mod deliberat, a drepturilor pe care le are în temeiul RGPD. Acest modus operandi al lui TC ar consta mai întâi în înscrierea într‑un buletin informativ, apoi în introducerea unei cereri de acces și, în sfârșit, în depunerea unei cereri de despăgubire.

16

TC susține în fața instanței de trimitere că cererea de acces cu care a sesizat Brillen Rottler este legitimă, că este expresia dreptului de acces pe care i‑l conferă articolul 15 din RGPD și că această societate urmărește să restrângă în mod nelegal drepturile care îi sunt conferite de regulamentul amintit. Printr‑o cerere reconvențională, el solicită obligarea Brillen Rottler la plata unei despăgubiri de cel puțin 1000 de euro pentru repararea prejudiciului său moral suferit ca urmare a refuzului acestei societăți de a‑i acorda acces la datele sale cu caracter personal.

17

Instanța de trimitere solicită, în primul rând, să se stabilească dacă o primă cerere de acces formulată de persoana vizată poate să fie considerată o „cerere excesivă” în sensul articolului 12 alineatul (5) din RGPD și, așadar, să constituie un abuz de drept, precum și care sunt împrejurările care permit să se constate un asemenea caracter excesiv. Ea ridică în special problema dacă, pentru a respinge o cerere de acces pe baza acestei dispoziții, un operator se poate întemeia pe informații publice care dezvăluie existența a numeroase cereri de acces și de despăgubire formulate de aceeași persoană la alți operatori.

18

În al doilea rând, această instanță se întreabă dacă o cerere de acces formulată în temeiul articolului 15 alineatul (1) din RGPD și/sau răspunsul la respectiva cerere constituie o „prelucrare” în sensul articolului 4 punctul 2 din acest regulament.

19

În al treilea rând, instanța menționată are îndoieli cu privire la criteriile de identificare a prejudiciilor care pot fi reparate în temeiul articolului 82 alineatul (1) din RGPD și în special cu privire la aspectul dacă, chiar în lipsa unei prelucrări, acest articol conferă un astfel de drept ca urmare a simplei încălcări a dreptului de acces prevăzut la articolul 15 alineatul (1) din regulamentul amintit.

20

În aceste condiții, Amtsgericht Arnsberg (Tribunalul Districtual din Arnsberg) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

21

Prin intermediul primelor trei și al celei de a șaptea întrebări, care trebuie analizate împreună și în primul rând, instanța de trimitere solicită în esență să se stabilească dacă articolul 12 alineatul (5) din RGPD trebuie interpretat în sensul că o primă cerere de acces la datele cu caracter personal depusă de persoana vizată la operator în temeiul articolului 15 din regulamentului menționat poate fi considerată „excesivă” în sensul acestui articol 12 alineatul (5) și, în cazul unui răspuns afirmativ, care sunt împrejurările care permit, dacă este cazul, să se constate un asemenea caracter excesiv.

22

În această privință, articolul 15 alineatul (1) din RGPD garantează dreptul persoanei vizate de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, dreptul de acces la datele respective și la informațiile aferente [a se vedea în acest sens Hotărârea din 26 octombrie 2023, FT (Copii din registrul medical), C‑307/22, EU:C:2023:811, punctul 31].

23

În plus, articolul 12 alineatul (5) din RGPD stabilește principiul potrivit căruia exercitarea acestui drept de acces nu presupune suportarea vreunei taxe de către persoana vizată. Totuși, această din urmă dispoziție are în vedere două motive pentru care un operator poate fie să factureze o taxă rezonabilă ținând cont de costurile administrative, fie să refuze să dea curs unei cereri. Aceste motive se referă la cazuri de abuz de drept, în care cererile persoanei vizate trebuie considerate ca fiind „vădit nefondate” sau „excesive”, în special din cauza caracterului lor repetitiv [Hotărârea din 26 octombrie 2023, FT (Copii din registrul medical), C‑307/22, EU:C:2023:811, punctul 31].

24

În ceea ce privește, primo, aspectul dacă o primă cerere de acces depusă de persoana vizată la operator în temeiul articolului 15 din RGPD poate fi considerată „excesivă”, este necesar să se arate că, întrucât noțiunea de „cereri excesive” nu este definită în acest regulament, trebuie, conform unei jurisprudențe constante, pentru a o interpreta, să se țină seama atât de termenii articolului 12 alineatul (5) din regulamentul menționat potrivit sensului lor obișnuit în limbajul curent, cât și de contextul acestei dispoziții și de obiectivele urmărite de reglementarea din care ea face parte [a se vedea Hotărârea din 17 noiembrie 1983, Merck, 292/82, EU:C:1983:335, punctul 12, și Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctul 24, precum și jurisprudența citată].

25

În această privință, referitor la modul de redactare a respectivului articol 12 alineatul (5) și în special la sensul obișnuit al noțiunii de „cereri excesive” în limbajul curent, adjectivul „excesiv” desemnează ceva care depășește măsura obișnuită sau rezonabilă ori de asemenea care depășește măsura dorită sau permisă [a se vedea în acest sens Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctul 43]. Simpla utilizare a acestui adjectiv, care se raportează atât la caracteristici calitative, cât și cantitative, nu permite deci să se excludă ca o primă cerere de acces să fie excesivă.

26

În plus, reiese, desigur, din articolul 12 alineatul (5) primul paragraf a doua teză din RGPD că cererile pot fi excesive „în special din cauza caracterului lor repetitiv”. Multiplicarea cererilor depuse de o persoană poate fi, așadar, un indiciu al caracterului lor excesiv [a se vedea prin analogie Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctul 57]. Cu toate acestea, astfel cum a subliniat în esență domnul avocat general la punctul 28 din concluzii, întrucât caracterul repetitiv este menționat la această dispoziție doar cu titlu indicativ, calificarea unei cereri de acces drept „excesivă” nu impune ca respectiva cerere să se înscrie în mod necesar în contextul depunerii mai multor cereri de către aceeași persoană vizată.

27

Prin urmare, nu se poate exclude, în raport cu o interpretare literală a articolului 12 alineatul (5) din RGPD, ca o primă cerere de acces să poată fi considerată „excesivă” în sensul dispoziției menționate.

28

Această constatare este confirmată de contextul în care se înscrie articolul 12 alineatul (5) primul paragraf a doua teză din RGPD. În această privință, trebuie amintit că acest articol 12, care figurează în capitolul III din regulamentul respectiv, care stabilește drepturile persoanei vizate, prevede obligații generale ale operatorului referitoare la transparența informațiilor și a comunicărilor și stabilește modalitățile de exercitare a drepturilor persoanei vizate. În temeiul alineatului (2) prima teză al articolului 12 menționat, operatorul trebuie să faciliteze exercitarea drepturilor conferite persoanei vizate printre altele în temeiul articolului 15 din regulamentul respectiv, care completează cadrul de transparență organizat de același regulament, acordând acestei persoane un drept de acces la datele sale cu caracter personal [a se vedea prin analogie Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctele 45 și 46].

29

Prin urmare, prevăzând de asemenea posibilitatea ca operatorii, atunci când se confruntă cu cereri care sunt în mod vădit nefondate sau excesive, să perceapă o taxă rezonabilă, bazată pe costurile administrative, sau să refuze să dea curs unei asemenea cereri, acest articol 12 alineatul (5) instituie o excepție de la obligația de facilitare printre altele a dreptului de acces, care trebuie interpretată în mod restrictiv [a se vedea în acest sens Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctul 33].

30

Astfel fiind, reiese din jurisprudența Curții referitoare la interpretarea noțiunii de „cereri excesive” care figurează la articolul 57 alineatul (4) din RGPD, care poate fi transpusă în prezenta cauză din moment ce această dispoziție este redactată în termeni în esență similari cu cei ai articolului 12 alineatul (5) din respectivul regulament și urmărește același obiectiv ca acest din urmă articol, că el constituie o expresie a principiului general de drept al Uniunii în virtutea căruia justițiabilii nu se pot prevala în mod fraudulos sau abuziv de normele Uniunii [a se vedea prin analogie Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctul 49]. Astfel, aplicarea reglementării Uniunii nu poate fi extinsă până la a acoperi operațiunile care sunt realizate într‑un scop abuziv (a se vedea în acest sens Hotărârea din 19 septembrie 2024, Matmut, C‑236/23, EU:C:2024:761, punctul 52 și jurisprudența citată).

31

Așadar, numărul de cereri de acces introduse de persoana vizată la operator nu determină în sine dreptul acestuia din urmă de a recurge la posibilitatea de a nu da curs unei cereri, care îi este oferită de articolul 12 alineatul (5) din RGPD, astfel încât acest operator poate recurge la ea chiar și în cazul unei prime cereri de acces, atunci când demonstrează, având în vedere ansamblul împrejurărilor relevante ale fiecărui caz, existența unei intenții abuzive din partea persoanei respective [a se vedea în acest sens Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctul 50].

32

Această interpretare contextuală este conformă cu obiectivele urmărite de RGPD. Trebuie arătat în această privință că regulamentul menționat are ca finalitate, așa cum se menționează în considerentele (10) și (11) ale acestuia, asigurarea unui nivel coerent și ridicat de protecție a persoanelor fizice în cadrul Uniunii, precum și consolidarea și clarificarea drepturilor persoanelor vizate. Așadar, obligațiile operatorului prevăzute la articolul 12 din regulamentul amintit, referitoare în special la comunicarea în temeiul articolului 15 din același regulament, sunt concepute ca un mecanism capabil să protejeze în mod eficient drepturile și interesele persoanelor vizate [a se vedea în acest sens Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctele 38 și 39, precum și jurisprudența citată].

33

Totuși, considerentul (4) al RGPD enunță că dreptul la protecția datelor cu caracter personal nu este un drept absolut întrucât trebuie să fie luat în considerare în raport cu funcția pe care o îndeplinește în societate și să fie echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. În plus, Curtea a subliniat deja că mecanismele care permit găsirea unui just echilibru între diferitele drepturi și interese în cauză sunt incluse în RGPD însuși (Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctul 54 și jurisprudența citată).

34

Prin urmare, pentru a asigura punerea în aplicare a acestui just echilibru pe calea excepției menționate, precum și efectul util al acesteia, criteriul pertinent în ceea ce privește constatarea unui comportament abuziv este caracterul excesiv al cererii de acces evaluat din punct de vedere calitativ, în conformitate cu punctul 26 din prezenta hotărâre, care nu poate depinde numai de numărul de cereri de acces introduse de persoana vizată și, așadar, de faptul că este vorba despre o primă cerere formulată de aceasta din urmă.

35

Rezultă că o primă cerere de acces adresată operatorului în temeiul articolului 15 din RGPD poate fi considerată „excesivă” în sensul articolului 12 alineatul (5) din acest regulament. Astfel fiind, întrucât noțiunea de „cereri excesive” trebuie interpretată în mod restrictiv, așa cum reiese din cuprinsul punctului 29 din prezenta hotărâre, un operator nu se poate prevala de un asemenea caracter excesiv decât cu titlu excepțional și, după cum a arătat domnul avocat general la punctul 34 din concluzii, criteriile pentru calificarea unei prime cereri de acces drept „excesivă” trebuie să fie exigente. Trebuie subliniat de asemenea că reiese în mod explicit din articolul 12 alineatul (5) al doilea paragraf din RGPD că revine operatorului sarcina de a dovedi acest caracter excesiv.

36

Secundo, în ceea ce privește împrejurările în care prima cerere de acces a persoanei vizate poate fi calificată drept „excesivă” în sensul articolului 12 alineatul (5) din RGPD și poate constitui deci un abuz de drept în sensul jurisprudenței citate la punctele 23 și 30 din prezenta hotărâre, este necesar să se arate că proba unei practici abuzive necesită, pe de o parte, un ansamblu de circumstanțe obiective din care rezultă că, în pofida respectării formale a condițiilor prevăzute de reglementarea Uniunii, obiectivul urmărit de această reglementare nu a fost atins și, pe de altă parte, un element subiectiv care constă în intenția de a obține un avantaj rezultat din reglementarea Uniunii creând în mod artificial condițiile necesare pentru obținerea acestuia. O astfel de calificare impune în plus luarea în considerare a tuturor faptelor și a circumstanțelor speței (a se vedea în acest sens Hotărârea din 21 decembrie 2023, BMW Bank ș.a., C‑38/21, C‑47/21 și C‑232/21, EU:C:2023:1014, punctele 285 și 286, precum și jurisprudența citată).

37

În ceea ce privește, în primul rând, elementul obiectiv al unei practici abuzive, trebuie arătat că articolul 15 din RGPD, interpretat în lumina considerentului (63) al acestuia, urmărește să confere unei persoane vizate dreptul de avea acces la datele cu caracter personal colectate care o privesc și de a exercita acest drept cu ușurință și la intervale rezonabile, în special pentru a lua cunoștință de prelucrarea datelor respective și pentru a verifica legalitatea acesteia pentru a putea astfel să își exercite, dacă este cazul, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, precum și dreptul de opoziție și dreptul la o cale de atac în cazul în care suferă un prejudiciu [a se vedea în acest sens Hotărârea din 12 ianuarie 2023, Österreichische Post (Informații referitoare la destinatarii datelor cu caracter personal), C‑154/21, EU:C:2023:3, punctele 37 și 38].

38

În speță, după cum reiese din dosarul de care dispune Curtea, TC a depus cererea de acces în discuție în litigiul principal după ce s‑a înscris la buletinul informativ al Brillen Rottler și după ce a comunicat acesteia din urmă, cu ocazia respectivei înscrieri, anumite date cu caracter personal, astfel încât această cerere de acces ar putea constitui, pe plan formal, o punere în aplicare a dreptului de acces al lui TC în scopul atingerii obiectivului reglementării menționate.

39

Totuși, având în vedere jurisprudența citată la punctul 36 din prezenta hotărâre, respectarea formală a condițiilor de aplicare a articolului 15 din RGPD nu permite, în sine, excluderea caracterului „excesiv” al unei cereri de acces și, prin urmare, a existenței unui abuz de drept.

40

În această privință, referitor, în al doilea rând, la elementul subiectiv al unei practici abuzive, este necesar să se arate că, pentru a putea califica o cerere de acces drept „excesivă” în sensul articolului 12 alineatul (5) din RGPD, operatorul trebuie să stabilească, având în vedere ansamblul împrejurărilor relevante ale fiecărui caz, existența unei intenții abuzive din partea persoanei vizate, o asemenea intenție putând fi constatată atunci când această persoană depune cererea în discuție în alt scop decât acela de a lua cunoștință de prelucrarea datelor sale și de a verifica legalitatea acesteia, pentru a putea obține ulterior o protecție a drepturilor conferite de acest regulament [a se vedea în acest sens Hotărârea din 9 ianuarie 2025, Österreichische Datenschutzbehörde (Cereri excesive), C‑416/23, EU:C:2025:3, punctele 50 și 56].

41

Astfel, în speță, ținând seama printre altele de ceea ce reiese din cuprinsul punctului 35 din prezenta hotărâre, revine operatorului sarcina de a dovedi în mod neechivoc că persoana vizată a introdus o cerere de acces în temeiul articolului 15 din RGPD nu pentru a lua cunoștință de această prelucrare, ci pentru a crea în mod artificial condițiile necesare pentru obținerea unei despăgubiri din partea operatorului menționat.

42

În această privință, vor trebui să se ia în considerare toate împrejurările speței, în special faptul că persoana vizată a furnizat date cu caracter personal fără a fi constrânsă în acest sens, scopul furnizării acestor date, timpul scurs între furnizarea respectivă și cererea de acces, precum și comportamentul persoanei amintite.

43

În contextul litigiului cu care este sesizată, instanța de trimitere ridică problema posibilității de a ține seama, în vederea evaluării existenței unui abuz de drept, de informațiile publice care ar menționa introducerea sistematică de către TC a unor cereri de acces la datele sale cu caracter personal și a unor cereri de despăgubire la diferiți operatori potrivit unui modus operandi comparabil cu cel folosit în speță. Este necesar să se arate în această privință că acest element poate, desigur, să fie luat în considerare pentru a stabili intențiile abuzive ale persoanei vizate, în măsura în care este coroborat cu alte elemente relevante.

44

Astfel, în speță, revine instanței de trimitere sarcina de a verifica dacă, ținând seama de ansamblul împrejurărilor relevante, Brillen Rottler a dovedit existența unei intenții abuzive a lui TC în ceea ce privește introducerea cererii de acces în cauză.

45

Având în vedere considerațiile care precedă, trebuie să se răspundă la primele trei și la a șaptea întrebare că articolul 12 alineatul (5) din RGPD trebuie interpretat în sensul că o primă cerere de acces la datele cu caracter personal depusă de persoana vizată la operator în temeiul articolului 15 din acest regulament poate fi considerată „excesivă”, în sensul respectivului articol 12 alineatul (5), atunci când acest operator demonstrează, având în vedere ansamblul împrejurărilor relevante ale speței, că, în pofida respectării formale a condițiilor prevăzute de aceste dispoziții, cererea menționată nu a fost depusă de persoana vizată pentru a lua cunoștință de prelucrarea datelor amintite și pentru a verifica legalitatea acesteia, în scopul de a putea obține ulterior o protecție a drepturilor pe care le are în temeiul regulamentului menționat, ci cu o intenție abuzivă, precum crearea artificială a condițiilor necesare pentru obținerea unui avantaj care rezultă din același regulament. Faptul că, potrivit unor informații accesibile publicului, persoana vizată a introdus mai multe cereri de acces la datele sale cu caracter personal, urmate de cereri de despăgubire la diferiți operatori, poate fi luat în considerare pentru a stabili existența unei astfel de intenții abuzive.

46

Prin intermediul celei de a cincea și al celei de a șasea întrebări, care trebuie analizate împreună și în al doilea rând, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că atribuie persoanei vizate dreptul la repararea prejudiciului care rezultă dintr‑o încălcare a dreptului de acces prevăzut la articolul 15 alineatul (1) din acest regulament.

47

După cum s‑a amintit la punctul 24 din prezenta hotărâre, conform unei jurisprudențe constante, în vederea interpretării unei dispoziții de drept al Uniunii trebuie să se țină seama nu numai de termenii acesteia, ci și de contextul său și de obiectivele pe care le urmărește.

48

Din modul de redactare a articolului 82 alineatul (1) din RGPD reiese că o persoană care a suferit un prejudiciu material sau moral „ca urmare a unei încălcări [a acestui] regulament” are dreptul să obțină despăgubiri de la operator pentru prejudiciul suferit. Trebuie să se constate că această dispoziție nu conține nicio referire la „prelucrare”, astfel încât acest drept la despăgubiri nu poate fi limitat la prejudiciile care rezultă dintr‑o prelucrare a datelor cu caracter personal.

49

Această constatare este confirmată, primo, de analiza contextuală a dispoziției menționate, interpretată în lumina considerentului (141) al RGPD, care enunță că orice persoană vizată ar trebui să aibă dreptul la o cale de atac eficientă în conformitate cu articolul 47 din cartă „în cazul în care […] consideră că drepturile sale în temeiul [respectivului regulament] sunt încălcate”. Într‑adevăr, articolul 82 alineatul (1) din RGPD figurează în capitolul VIII din acest regulament, care reglementează căile de atac, normele privind răspunderea și sancțiunile care permit protejarea drepturilor amintite. Or, aceste drepturi includ atât dreptul unei persoane vizate la informare, prevăzut la articolul 12 din regulamentul amintit, cât și dreptul său de acces în temeiul articolului 15 alineatul (1) din același regulament, astfel încât trebuie protejate de articolul 82 din acesta din urmă, care trebuie, așadar, să fie interpretat în sensul că se aplică și prejudiciilor care rezultă din încălcările respectivelor articole 12 și 15.

50

O asemenea interpretare nu poate fi repusă în discuție de faptul că, pe de o parte, din considerentul (146) al RGPD reiese că operatorul ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi „ca urmare a unei prelucrări” care încalcă acest regulament și, pe de altă parte, că articolul 82 din regulamentul amintit menționează, la alineatele (2) și (4), „prejudiciul cauzat de prelucrare”.

51

Astfel, după cum arată în esență Comisia în observațiile sale scrise, în cazul încălcării drepturilor prevăzute de dispozițiile capitolului III din RGPD, în special a drepturilor de acces la date și de rectificare, precum și a drepturilor la ștergerea datelor, la restricționarea prelucrării și la portabilitate, pretinsa încălcare este susceptibilă să decurgă nu dintr‑o prelucrare efectivă a datelor cu caracter personal ca atare, ci mai degrabă din refuzul de a da curs cererii persoanei vizate în ceea ce privește exercitarea acestor drepturi. Prin urmare, condiționarea dreptului la despăgubiri în temeiul articolului 82 alineatul (1) din RGPD de existența unor prejudicii care rezultă dintr‑o prelucrare ca atare ar avea ca efect să excludă asemenea situații din domeniul de aplicare al acestei dispoziții și, așadar, să aducă atingere efectului său util.

52

Pe de altă parte, Curtea a statuat deja că încălcarea de către operator a articolelor 26 și 30 din RGPD, referitoare, primul, la încheierea unui acord care stabilește rolurile operatorilor și raporturile lor față de persoanele vizate și, cel de al doilea, la păstrarea unei evidențe a activităților de prelucrare, nu constituie o „prelucrare ilegală” care să confere persoanei vizate un drept la ștergerea datelor sau la restricționarea prelucrării. Prin urmare, o asemenea încălcare trebuie remediată prin recurgerea la alte măsuri prevăzute de RGPD, printre care repararea eventualului prejudiciu cauzat de operator, în temeiul articolului 82 din acesta [a se vedea în acest sens Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară), C‑60/22, EU:C:2023:373, punctele 66 și 67].

53

Constatarea care figurează la punctul 48 din prezenta hotărâre este confirmată, secundo, de interpretarea teleologică a articolului 82 alineatul (1) din RGPD, acest articol urmărind să asigure punerea în aplicare a obiectivelor respectivului regulament, printre care în special obiectivul de a consolida drepturile persoanelor vizate și obligațiile celor care prelucrează datele cu caracter personal și decid prelucrarea lor, enunțat în considerentul (11) al regulamentului menționat. Or, după cum a arătat în esență domnul avocat general la punctul 72 din concluzii, protecția acestor drepturi, printre care figurează tocmai dreptul de acces vizat de instanța de trimitere, ar fi compromisă în mod semnificativ dacă articolul 82 alineatul (1) amintit ar trebui interpretat ca fiind limitat numai la prejudiciile care rezultă din actele ilicite care implică o prelucrare de date.

54

Prin urmare, chiar și în prezența unei încălcări a RGPD care nu presupune, ca atare, o prelucrare de date, persoana vizată se poate prevala de dreptul la despăgubiri prevăzut la articolul 82 din acest regulament.

55

Ținând seama de cele ce precedă, trebuie să se răspundă la a cincea și la a șasea întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că atribuie persoanei vizate un drept la repararea prejudiciului care rezultă dintr‑o încălcare a dreptului de acces prevăzut la articolul 15 alineatul (1) din acest regulament.

56

Având în vedere răspunsul dat la a cincea și la a șasea întrebare preliminară, nu este necesar să se răspundă la a patra întrebare.

57

Prin intermediul celei de a opta întrebări, care trebuie analizată în al treilea și ultimul rând, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că prejudiciul moral suferit de persoana vizată include pierderea controlului asupra datelor sale cu caracter personal sau incertitudinea sa cu privire la aspectul dacă aceste date au făcut obiectul unei prelucrări.

58

Din moment ce RGPD nu face trimitere la dreptul statelor membre în ceea ce privește sensul și domeniul de aplicare al termenilor care figurează la dispoziția menționată, în special în ceea ce privește noțiunile de „prejudiciu material sau moral” și de „despăgubiri […] pentru prejudiciul suferit”, acești termeni trebuie considerați, în vederea aplicării acestui regulament, ca fiind noțiuni autonome ale dreptului Uniunii, care trebuie interpretate în mod uniform în toate statele membre [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctul 30, precum și Hotărârea din 4 septembrie 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, punctul 55 și jurisprudența citată].

59

În această privință, trebuie amintit că nu se poate considera că orice „încălcare” a dispozițiilor RGPD conferă în sine un drept la despăgubiri în favoarea persoanei vizate. Astfel, articolul 82 alineatul (1) din RGPD prevede că „[o]rice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit”. Reiese de aici cu claritate că existența unui „prejudiciu” care a fost „suferit” constituie una dintre condițiile dreptului la despăgubiri prevăzut de dispoziția menționată, la fel ca existența unei încălcări a RGPD și a unei legături de cauzalitate între acest prejudiciu și această încălcare, aceste trei condiții fiind cumulative [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 31-33, precum și Hotărârea din 4 septembrie 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, punctul 56 și jurisprudența citată].

60

Așadar, persoana care solicită repararea unui prejudiciu moral în temeiul acestei dispoziții este obligată să dovedească nu numai încălcarea dispozițiilor RGDP, ci și că această încălcare i‑a cauzat o un asemenea prejudiciu. Așadar, un atare prejudiciu nu poate fi prezumat numai ca urmare a producerii încălcării menționate (Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 141 și jurisprudența citată).

61

În aceste condiții, Curtea a statuat deja că din lista ilustrativă a „prejudiciilor” care pot fi suferite de persoanele vizate, care figurează în prima teză a considerentului (85) al RGPD, reiese că legiuitorul Uniunii a intenționat să includă în noțiunea respectivă printre altele simpla „pierdere a controlului” asupra propriilor date cu caracter personal, ca urmare a unei încălcări a acestui regulament, chiar dacă nu s‑ar fi produs în mod concret o utilizare abuzivă a datelor în cauză (Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 145 și jurisprudența citată).

62

Curtea a considerat de asemenea că noțiunea de „prejudiciu moral” nu poate fi limitată numai la prejudiciile de o anumită gravitate. În special, o reglementare națională sau o practică națională nu poate stabili în mod valabil un „prag de minimis” pentru a caracteriza un prejudiciu moral cauzat de o încălcare a RGPD. Cu toate acestea, persoana vizată este obligată să demonstreze, pe de o parte, că a suferit efectiv un astfel de prejudiciu, oricât de mic ar fi el, și, pe de altă parte, că consecințele acestei încălcări pe care pretinde că le‑a suferit constituie un prejudiciu care se diferențiază de simpla încălcare a dispozițiilor regulamentului menționat (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punctele 22 și 23).

63

Astfel, simpla invocare de către persoana vizată a unei temeri generate de o pierdere a controlului asupra datelor sale cu caracter personal nu poate da naștere unui drept la despăgubiri în temeiul articolului 82 alineatul (1) din RGPD [a se vedea în acest sens Hotărârea din 20 iunie 2024, PS (Adresă eronată), C‑590/22, EU:C:2024:536, punctele 33 și 35]. În consecință, atunci când o persoană care solicită despăgubiri în temeiul acestei dispoziții invocă temerea că o utilizare abuzivă a datelor sale cu caracter personal va surveni în viitor ca urmare a existenței unei încălcări a regulamentului respectiv, instanța națională sesizată trebuie să verifice dacă această temere poate fi considerată fondată, în împrejurările specifice în cauză și în raport cu persoana vizată (a se vedea în acest sens Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 143 și jurisprudența citată).

64

Considerațiile prezentate la punctele 59-63 din prezenta hotărâre își găsesc aplicarea și într‑o situație în care persoana vizată consideră că există o incertitudine cu privire la aspectul dacă datele sale cu caracter personal au făcut obiectul unei prelucrări.

65

Pentru a da un răspuns util instanței de trimitere, mai trebuie arătat că legătura de cauzalitate dintre încălcarea invocată și pretinsul prejudiciu poate fi ruptă de comportamentul persoanei vizate, atunci când se dovedește că acest comportament a constitui cauza determinantă a prejudiciului. Un astfel de act poate consta printre altele într‑o decizie a persoanei vătămate, însă cu condiția ca această decizie să nu îi fi fost impusă [a se vedea prin analogie Hotărârea din 18 decembrie 2025, WS ș.a./Frontex (Operațiune comună de returnare), C‑679/23 P, EU:C:2025:976, punctele 151 și 152, precum și jurisprudența citată].

66

În plus, reiese din jurisprudența amintită la punctul 59 din prezenta hotărâre că existența unei legături de cauzalitate între încălcarea invocată a RGPD și prejudiciul pretins suferit de persoana vizată este o condiție sine qua non a unui drept la despăgubiri în temeiul articolului 82 alineatul (1) din acest regulament. Așadar, persoanei vizate nu i se poate acorda, în temeiul acestei dispoziții, o despăgubire pentru prejudiciile pretins suferite ca urmare a pierderii controlului asupra datelor sale cu caracter personal sau a incertitudinii sale cu privire la existența prelucrării lor, atunci când legătura de cauzalitate este ruptă ca urmare a comportamentului acestei persoane din moment ce această pierdere a controlului sau această incertitudine au fost cauzate de decizia persoanei respective de a supune aceste date operatorului în scopul de a crea în mod artificial condițiile necesare pentru aplicarea dispoziției menționate.

67

Având în vedere considerațiile care precedă, trebuie să se răspundă la a opta întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că prejudiciul moral suferit de persoana vizată include pierderea controlului asupra datelor sale cu caracter personal sau incertitudinea sa cu privire la aspectul dacă datele sale au făcut obiectul unei prelucrări, în măsura în care se dovedește printre altele că această persoană a suferit efectiv un astfel de prejudiciu, iar comportamentul său nu a constituit cauza determinantă a acestui prejudiciu.

68

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a patra) declară: