–

za BL D. Pudelko, Rechtsanwalt,

–

za MediaMarktSaturn Hagen‑Iserlohn GmbH, nekdanjo Saturn Electro‑Handelsgesellschaft mbH Hagen, B. Hackl, Rechtsanwalt,

–

za Irsko M. Browne, Chief State Solicitor, A. Joyce in M. Lane, agenta, skupaj z D. Fennellyjem, BL,

–

za Evropski parlament O. Hrstková Šolcová in J.‑C. Puffer, agenta,

–

za Evropsko komisijo A. Bouchagiar, M. Heller in H. Kranenborg, agenti,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 2(1), člena 4, točka 7, člena 5(1)(f), člena 6(1), člena 24, člena 32(1)(b) in (2) ter člena 82 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: SUVP) in presojo veljavnosti tega člena 82.

2

Ta predlog je bil vložen v okviru spora med BL, fizično osebo, in družbo MediaMarktSaturn Hagen‑Iserlohn GmbH, nekdanjo Saturn Electro‑Handelsgesellschaft mbH Hagen (v nadaljevanju: Saturn), v zvezi z odškodnino za nepremoženjsko škodo, za katero ta oseba trdi, da jo je utrpela, ker so bili nekateri njeni osebni podatki zaradi napake zaposlenih te družbe posredovani tretji osebi.

3

V uvodnih izjavah 11, 74, 76, 83, 85 in 146 SUVP je navedeno:

[…]

[…]

[…]

[…]

[…]

4

V poglavju I te uredbe, ki se nanaša na „[s]plošne določbe“, njen člen 2, naslovljen „Področje uporabe“, v odstavku 1 določa:

„Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.“

5

Člen 4 navedene uredbe, naslovljen „Opredelitev pojmov“, določa:

„V tej uredbi:

[…]

[…]

[…]

[…].“

6

Poglavje II SUVP, naslovljeno „Načela“, vsebuje člene od 5 do 11 te uredbe.

7

Člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:

„1.   Osebni podatki morajo biti:

[…]

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (‚odgovornost‘).“

8

Člen 6 navedene uredbe, naslovljen „Zakonitost obdelave“, v odstavku 1 določa pogoje, ki morajo biti izpolnjeni, da je obdelava zakonita.

9

Poglavje IV SUVP, naslovljeno „Upravljavec in obdelovalec“, vsebuje člene od 24 do 43 te uredbe.

10

V oddelku 1 tega poglavja, naslovljenem „Splošne obveznosti“, je ta člen 24 te uredbe, naslovljen „Odgovornost upravljavca“, ki v odstavkih 1 in 2 določa:

„1.   Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.“

11

V oddelku 2 navedenega poglavja IV, naslovljenem „Varnost osebnih podatkov“, člen 32 SUVP, naslovljen „Varnost obdelave“, v odstavkih 1(b) in 2 določa:

„1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

[…]

[…]

2.   Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.“

12

Poglavje VIII SUVP, naslovljeno „Pravna sredstva, odgovornost in kazni“, vsebuje člene od 77 do 84 te uredbe.

13

Člen 82 te uredbe, naslovljen „Pravica do odškodnine in odgovornost“, določa:

„1.   Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2.   Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. […]

3.   Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

[…].“

14

Člen 83 SUVP, naslovljen „Splošni pogoji za naložitev upravnih glob“, določa:

„1.   Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2.   […] Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

[…]

[…]

3.   Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

[…].“

15

Člen 84 te uredbe, naslovljen „Kazni“, v odstavku 1 določa:

„Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.“

16

Tožeča stranka v postopku v glavni stvari se je odpravila v poslovne prostore družbe Saturn, kjer je kupila gospodinjski aparat. Zaposleni v tej družbi je za to pripravil prodajno in kreditno pogodbo. Ob tej priložnosti je v informacijski sistem družbe Saturn vnesel več osebnih podatkov te stranke, in sicer ime in priimek, naslov, kraj prebivališča, ime delodajalca, prihodke in bančne podatke.

17

Pogodbeni dokumenti s temi osebnimi podatki so bili natisnjeni in podpisali sta jih obe stranki. Tožeča stranka v postopku v glavni stvari jih je nato odnesla k zaposlenim družbe Saturn, ki delajo na mestu za izdajo blaga. Druga stranka, ki se je neopazno vrinila pred tožečo stranko v postopku v glavni stvari, je tako pomotoma prejela aparat, ki ga je naročila zadnjenavedena stranka, in zadevne dokumente ter vse odnesla.

18

Ker je bila napaka hitro odkrita, je zaposleni družbe Saturn v pol ure po izročitvi drugi stranki dobil nazaj aparat in dokumente ter jih izročil tožeči stranki v postopku v glavni stvari. Podjetje je želelo tožeči stranki v postopku v glavni stvari nadomestiti škodo zaradi te napake tako, da bi ji zadevni aparat brezplačno dostavilo na dom, vendar je zadevna oseba menila, da to nadomestilo ni zadostno.

19

Tožeča stranka v postopku v glavni stvari je pri Amtsgericht Hagen (okrajno sodišče v Hagnu, Nemčija), ki je predložitveno sodišče v tej zadevi, vložila tožbo, s katero zlasti na podlagi določb SUVP zahteva odškodnino za nepremoženjsko škodo, za katero trdi, da jo je utrpela zaradi napake, ki so jo storili zaposleni družbe Saturn, in posledičnih tveganj izgube nadzora nad njenimi osebnimi podatki.

20

Družba Saturn v svojo obrambo na eni strani trdi, da ni bilo kršitve SUVP in da bi ta kršitev lahko bila podana le, če bi presegla določen prag resnosti, ki v tem primeru ni bil dosežen. Na drugi strani ta družba trdi, da tožeča stranka v postopku v glavni stvari ni utrpela nobene škode, ker ni bilo ne ugotovljeno ne zatrjevano, da je vpletena tretja oseba zlorabila osebne podatke zadevne osebe.

21

Predložitveno sodišče se sprašuje, prvič, o veljavnosti člena 82 SUVP, ker se mu zdi, da ta člen ne določa njegovih pravnih učinkov v primeru odškodnine za nepremoženjsko škodo.

22

Drugič, če bi Sodišče ugotovilo, da ta člen 82 ni neveljaven, se sprašuje, ali uveljavljanje pravice do odškodnine iz tega člena predpostavlja, da je treba ugotoviti obstoj ne le kršitve SUVP, ampak tudi škode, zlasti nepremoženjske, ki jo je utrpela oseba, ki zahteva odškodnino.

23

Tretjič, predložitveno sodišče želi ugotoviti, ali zgolj dejstvo, da so bili natisnjeni dokumenti z osebnimi podatki brez dovoljenja izročeni tretji osebi zaradi napake, ki so jo storili zaposleni upravljavca, omogoča, da se ugotovi kršitev SUVP.

24

Četrtič, čeprav to sodišče meni, da „mora [toženo] podjetje dokazati, da ni krivo“, želi izvedeti, ali je dovolj ugotoviti, da je bila taka izročitev dokumentov iz malomarnosti storjena, da se šteje, da je podana kršitev SUVP, zlasti z vidika obveznosti, ki naj bi jo imel upravljavec, da izvaja ustrezne ukrepe za zagotovitev varnosti obdelanih podatkov, na podlagi členov 2, 5, 6 in 24 te uredbe.

25

Petič, predložitveno sodišče se sprašuje, ali je, tudi če se zdi, da se nepooblaščena tretja oseba ni seznanila z zadevnimi osebnimi podatki, preden je vrnila dokumente, v katerih so bili ti podatki navedeni, obstoj „nepremoženjske škode“ v smislu člena 82 SUVP mogoče ugotoviti zgolj zaradi dejstva, da oseba, katere podatki so bili tako posredovani, čuti strah zaradi tveganja – ki ga po mnenju tega sodišča ni mogoče izključiti – da bo v prihodnje ta tretja oseba te podatke posredovala drugim posameznikom ali da bodo celo zlorabljeni.

26

Šestič, navedeno sodišče se sprašuje o morebitnem vplivu, ki ga ima v okviru odškodninskega zahtevka za nepremoženjsko škodo na podlagi tega člena 82 stopnja resnosti, ki jo predstavlja kršitev, storjena v okoliščinah, kot so te iz spora o glavni stvari, ob upoštevanju, da bi po njegovem mnenju upravljavec lahko sprejel učinkovitejše varnostne ukrepe.

27

Nazadnje, sedmič, vedeti želi, kakšen je namen odškodnine za nepremoženjsko škodo na podlagi SUVP, pri čemer namiguje, da bi ta odškodnina lahko imela naravo sankcije, ki je enakovredna pogodbeni kazni.

28

V teh okoliščinah je Amtsgericht Hagen (okrajno sodišče v Hagnu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

29

Predložitveno sodišče s prvim vprašanjem sprašuje, ali člen 82 SUVP ni veljaven, ker ne določa pravnih posledic, ki jih ima odškodnina za nepremoženjsko škodo.

30

Evropski parlament trdi, da to vprašanje ni dopustno, saj predložitveno sodišče ni izpolnilo zahtev iz člena 94(c) Poslovnika Sodišča, čeprav predložitveno sodišče tu načenja posebej zapleteno problematiko, in sicer presojo veljavnosti določbe prava Unije.

31

V skladu s členom 94(c) Poslovnika mora predlog za sprejetje predhodne odločbe poleg besedila vprašanj, ki se Sodišču predložijo v predhodno odločanje, vsebovati med drugim razloge, ki so predložitvenemu sodišču vzbudili dvom o razlagi ali veljavnosti nekaterih določb prava Unije.

32

V zvezi s tem so razlogi za predlog za sprejetje predhodne odločbe nujni, ne le da se Sodišču omogoči dati koristne odgovore, ampak tudi da se vladam držav članic in drugim zainteresiranim strankam da možnost, da predložijo stališča v skladu s členom 23 Statuta Sodišča Evropske unije. Natančneje, Sodišče mora glede na razloge za neveljavnost, navedene v predložitveni odločbi, preučiti veljavnost določbe prava Unije, tako da neobstoj kakršne koli navedbe natančnih razlogov, ki so predložitvenemu sodišču vzbudili pomisleke o tem, povzroči nedopustnost vprašanj v zvezi z navedeno veljavnostjo (glej v tem smislu sodbi z dne 15. junija 2017, T.KUP, C‑349/16, EU:C:2017:469, točke od 16 do 18, in z dne 22. junija 2023, Vitol, C‑268/22, EU:C:2023:508, točke od 52 do 55).

33

V obravnavanem primeru pa predložitveno sodišče ne navaja nobenega natančnega elementa, na podlagi katerega bi Sodišče lahko preučilo veljavnost člena 82 SUVP.

34

Zato je treba prvo vprašanje razglasiti za nedopustno.

35

Predložitveno sodišče s tretjim in četrtim vprašanjem, ki ju je treba preučiti skupaj in na prvem mestu, v bistvu sprašuje, ali je treba člene 5, 24, 32 in 82 SUVP povezano razlagati tako, da v okviru odškodninskega zahtevka na podlagi tega člena 82 že zgolj dejstvo, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, zadostuje za to, da se šteje, da tehnični in organizacijski ukrepi, ki jih je izvajal zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.

36

Člen 24 SUVP določa splošno obveznost upravljavca osebnih podatkov, da izvaja ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da navedena obdelava poteka v skladu s to uredbo (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točka 24).

37

Člen 32 SUVP pa določa obveznosti upravljavca in morebitnega obdelovalca glede varnosti te obdelave. Tako odstavek 1 tega člena določa, da morajo upravljavci in obdelovalci z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganja, povezana z navedeno obdelavo, ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov zadevne obdelave. Prav tako odstavek 2 navedenega člena določa, da je treba pri določanju ustrezne ravni varnosti upoštevati zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do takih osebnih podatkov (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točki 26 in 27).

38

Iz členov 24 in 32 SUVP tako izhaja, da je treba ustreznost ukrepov, ki jih izvaja upravljavec, oceniti konkretno, ob upoštevanju različnih meril iz teh členov in potreb po varstvu podatkov, ki so povezane posebej z zadevno obdelavo, ter tveganj, ki zaradi nje nastajajo, in to zlasti, ker mora biti navedeni upravljavec zmožen dokazati, da so navedeni ukrepi v skladu s to uredbo, če pa bi se sprejela uporaba neizpodbojne domneve, bi mu bila ta možnost odvzeta (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točke od 30 do 32).

39

To jezikovno razlago potrjuje povezana razlaga navedenih členov 24 in 32 ter člena 5(2) in člena 82 navedene uredbe v povezavi z uvodnimi izjavami 74, 76 in 83 te uredbe, iz katerih zlasti izhaja, da mora upravljavec zmanjšati tveganja kršitve osebnih podatkov, in ne preprečiti vsakršno kršitev teh podatkov (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točke od 33 do 38).

40

Zato je Sodišče člena 24 in 32 SUVP razložilo tako, da nepooblaščeno razkritje osebnih podatkov ali nedovoljen dostop do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe sama po sebi ne zadostujeta za to, da bi se štelo, da tehnični in organizacijski ukrepi, ki jih je sprejel zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32 (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točka 39).

41

V obravnavanem primeru bi okoliščina, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, lahko razkrila, da tehnični in organizacijski ukrepi, ki jih je izvajal zadevni upravljavec, niso bili „ustrezni“ v smislu navedenih členov 24 in 32. Zlasti je taka okoliščina lahko posledica malomarnosti ali pomanjkljivosti v organizaciji upravljavca, ki ne upošteva konkretno tveganj, povezanih z obdelavo zadevnih podatkov.

42

V zvezi s tem je pomembno poudariti, da iz povezane razlage členov 5, 24 in 32 SUVP v povezavi z uvodno izjavo 74 te uredbe izhaja, da v okviru odškodninskega zahtevka na podlagi člena 82 te uredbe dokazno breme, da se osebni podatki obdelujejo na način, ki zagotavlja njihovo ustrezno varnost v smislu člena 5(1)(f) in člena 32 navedene uredbe, nosi zadevni upravljavec. Taka porazdelitev dokaznega bremena lahko ne le spodbuja upravljavce teh podatkov k sprejemanju varnostnih ukrepov, zahtevanih v SUVP, ampak tudi k ohranjanju polnega učinka pravice do odškodnine, določene v členu 82 te uredbe, in spoštovanju namenov zakonodajalca Unije, omenjenih v uvodni izjavi 11 navedene uredbe (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točke od 49 do 56).

43

Zato je Sodišče načelo odgovornosti upravljavca, ki je določeno v členu 5(2) SUVP in konkretizirano v členu 24 te uredbe, razlagalo tako, da mora upravljavec v okviru odškodninske tožbe na podlagi člena 82 navedene uredbe dokazati ustreznost varnostnih ukrepov, ki jih je izvedel na podlagi člena 32 iste uredbe (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točka 57).

44

Sodišče, ki odloča o takem odškodninskem zahtevku na podlagi člena 82 SUVP, tako ne more upoštevati le okoliščine, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, da bi ugotovilo, ali obstaja kršitev obveznosti iz te uredbe. To sodišče mora namreč upoštevati tudi vse dokaze, ki jih je upravljavec predložil za dokaz ustreznosti tehničnih in organizacijskih ukrepov, ki jih je sprejel za izpolnitev obveznosti, ki jih ima na podlagi členov 24 in 32 navedene uredbe.

45

Glede na navedene razloge je treba na tretje in četrto vprašanje odgovoriti, da je treba člene 5, 24, 32 in 82 SUVP povezano razlagati tako, da v okviru odškodninskega zahtevka na podlagi tega člena 82 zgolj dejstvo, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, ne zadostuje za to, da se šteje, da tehnični in organizacijski ukrepi, ki jih je izvajal zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.

46

Predložitveno sodišče s sedmim vprašanjem v bistvu sprašuje, ali je treba člen 82 SUVP razlagati tako, da ima pravica do odškodnine iz te določbe, med drugim v primeru nepremoženjske škode, kaznovalno funkcijo.

47

V zvezi s tem je Sodišče razsodilo, da člen 82 SUVP nima kaznovalne funkcije, temveč kompenzacijsko funkcijo, v nasprotju z drugimi določbami te uredbe, ki so prav tako v poglavju VIII te uredbe, in sicer členoma 83 in 84 navedene uredbe, ki imata v bistvu kaznovalno funkcijo, saj omogočata tako naložitev upravnih glob kot drugih sankcij. Odnos med pravili iz navedenega člena 82 in pravili iz navedenih členov 83 in 84 dokazuje, da obstaja razlika med tema kategorijama določb, vendar tudi dopolnjevanje v smislu spodbujanja k spoštovanju SUVP, pri čemer je treba opozoriti, da pravica vsakogar, da zahteva odškodnino za škodo, krepi uspešnost pravil o varstvu, določenih s to uredbo, in lahko odvrača od ponavljanja nezakonitih ravnanj (glej v tem smislu sodbi z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov),C‑300/21, EU:C:2023:370, točki 38 in 40, in z dne 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, točka 85).

48

Sodišče je pojasnilo, da pravica do odškodnine iz člena 82(1) SUVP nima odvračilne ali celo kaznovalne funkcije, ampak kompenzacijsko funkcijo, zato resnost kršitve te uredbe, s katero je bila povzročena zadevna škoda, ne more vplivati na znesek odškodnine, dodeljene na podlagi te določbe, tudi če ne gre za premoženjsko, ampak za nepremoženjsko škodo, tako da tega zneska ni mogoče določiti v višini, ki presega polno nadomestilo te škode (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, točki 86 in 87).

49

Iz navedenega sledi, da ni treba odločiti o približevanju – ki ga predvideva predložitveno sodišče – med namenom pravice do odškodnine, določene v tem členu 82(1), in kaznovalno funkcijo pogodbene kazni.

50

Zato je treba na sedmo vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da ima pravica do odškodnine iz te določbe, med drugim v primeru nepremoženjske škode, kompenzacijsko funkcijo, ker mora denarno nadomestilo, ki temelji na navedeni določbi, omogočiti, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve te uredbe, in nima kaznovalne funkcije.

51

Predložitveno sodišče s šestim vprašanjem v bistvu sprašuje, ali je treba člen 82 SUVP razlagati tako, da ta člen zahteva, da se stopnja resnosti kršitve te uredbe, ki jo stori upravljavec, upošteva pri odškodnini na podlagi te določbe.

52

V zvezi s tem iz člena 82 SUVP izhaja, da je na eni strani uveljavljanje odgovornosti upravljavca med drugim pogojeno z obstojem napake tega upravljavca, ki se domneva, razen če ta upravljavec dokaže, da dogodka, ki je povzročil škodo, nikakor ni mogoče pripisati njemu, in da na drugi strani ta člen 82 ne zahteva, da se pri določitvi zneska odškodnine za nepremoženjsko škodo na podlagi te določbe upošteva stopnja resnosti te napake (sodba z dne 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, točka 103).

53

Pri določitvi morebitne odškodnine na podlagi člena 82 SUVP morajo nacionalna sodišča, ker ta uredba ne vsebuje določbe o tem, uporabiti nacionalna pravila vsake države članice v zvezi z obsegom denarne odškodnine, vendar le če se spoštujeta načeli enakovrednosti in učinkovitosti prava Unije (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, točki 83 in 101 ter navedena sodna praksa).

54

Poleg tega je Sodišče pojasnilo, da glede na kompenzacijsko funkcijo pravice do odškodnine, določene v členu 82 SUVP, ta določba ne zahteva, da se stopnja resnosti kršitve te uredbe, za katero se domneva, da jo je storil upravljavec, upošteva pri določitvi zneska odškodnine, dodeljene za povrnitev nepremoženjske škode na podlagi navedene določbe, ampak zahteva, da se ta znesek določi tako, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve navedene uredbe (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, točke od 84 do 87 in 102 ter navedena sodna praksa).

55

Glede na zgornje razloge je treba na šesto vprašanje odgovoriti, da je treba člen 82 SUVP razlagati tako, da ta člen ne zahteva, da se stopnja resnosti kršitve, ki jo stori upravljavec, upošteva pri odškodnini na podlagi te določbe.

56

Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da mora oseba, ki zahteva odškodnino na podlagi te določbe, dokazati ne le kršitev določb te uredbe, ampak tudi, da ji je bila s to kršitvijo povzročena premoženjska ali nepremoženjska škoda.

57

V zvezi s tem je treba opozoriti, da ima v skladu s členom 82(1) SUVP „[v]sak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, […] pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo“.

58

Iz te določbe izhaja, da zgolj kršitev SUVP ne zadostuje za priznanje pravice do odškodnine. Obstoj „škode“, ki je „nastala“, je namreč eden od pogojev za pravico do odškodnine iz tega člena 82(1), in sicer poleg obstoja kršitve te uredbe in vzročne zveze med to škodo in to kršitvijo, pri čemer so ti trije pogoji kumulativni (glej v tem smislu sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov),C‑300/21, EU:C:2023:370, točki 32 in 42; z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točka 77; z dne 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, točka 14, in z dne 21. decembra 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, točka 82).

59

Sodišče je še posebej v zvezi z nepremoženjsko škodo odločilo tudi, da člen 82(1) SUVP nasprotuje nacionalnemu pravilu ali praksi, ki odškodnino za nepremoženjsko škodo v smislu te določbe pogojuje s tem, da je škoda, ki je nastala posamezniku, na katerega se nanašajo osebni podatki, kot je opredeljen v členu 4, točka 1, te uredbe, dosegla določeno stopnjo resnosti (glej v tem smislu sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov),C‑300/21, EU:C:2023:370, točka 51; z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točka 78, in z dne 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, točka 16).

60

Sodišče je pojasnilo, da mora posameznik, na katerega se nanaša kršitev SUVP, ki je imela negativne posledice zanj, vseeno dokazati, da gre pri teh posledicah za nepremoženjsko škodo v smislu člena 82 te uredbe, ker zgolj kršitev določb te uredbe ne zadostuje za priznanje pravice do odškodnine (glej v tem smislu sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov),C‑300/21, EU:C:2023:370, točki 42 in 50; z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točka 84, in z dne 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, točki 21 in 23).

61

Glede na navedene razloge je treba na drugo vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da mora oseba, ki zahteva odškodnino na podlagi te določbe, dokazati ne le kršitev določb te uredbe, ampak tudi, da ji je bila s to kršitvijo povzročena premoženjska ali nepremoženjska škoda.

62

Predložitveno sodišče s petim vprašanjem v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da če je bil dokument z osebnimi podatki izročen nepooblaščeni tretji osebi, za katero je ugotovljeno, da se ni seznanila s temi podatki, lahko „nepremoženjsko škodo“ v smislu te določbe pomeni zgolj dejstvo, da se posameznik, na katerega se nanašajo osebni podatki, boji, da bodo po tej izročitvi, ki je omogočila kopiranje navedenega dokumenta pred vračilom, v prihodnje njegovi podatki razširjeni ali celo zlorabljeni.

63

Pojasniti je treba, da navedeno sodišče trdi, da je bil v obravnavanem primeru dokument, v katerem so bili zadevni podatki, vrnjen tožeči stranki v postopku v glavni stvari v pol ure po izročitvi nepooblaščeni tretji osebi in da se ta ni seznanila s temi podatki, preden je dokument vrnila, vendar navedena tožeča stranka trdi, da je ta izročitev tej tretji osebi omogočila, da naredi kopije dokumenta, preden ga vrne, in da je torej pri njej vzbudila strah, povezan s tveganjem, da bodo navedeni podatki v prihodnje zlorabljeni.

64

Glede na neobstoj vsakršnega sklicevanja na notranje pravo držav članic v členu 82(1) SUVP je treba pojem „nepremoženjska škoda“ v smislu te določbe opredeliti avtonomno in enotno v okviru prava Unije (glej v tem smislu sodbi z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov),C‑300/21, EU:C:2023:370, točki 30 in 44, in z dne 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, točka 15).

65

Sodišče je razsodilo, da ne le iz člena 82(1) SUVP v povezavi z uvodnima izjavama 85 in 146 te uredbe, ki vabijo k upoštevanju široke razlage pojma „nepremoženjska škoda“ v smislu te prvonavedene določbe, ampak tudi iz cilja zagotavljati visoko raven varstva posameznikov pri obdelavi osebnih podatkov, ki mu sledi navedena uredba, izhaja, da lahko že sam strah, ki ga posameznik, na katerega se nanašajo osebni podatki, občuti po kršitvi iste uredbe, da bi lahko tretje osebe zlorabile njegove osebne podatke, pomeni „nepremoženjsko škodo“ v smislu tega člena 82(1) (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, točke od 79 do 86).

66

Poleg tega je Sodišče na podlagi hkrati jezikovnih, sistemskih in teleoloških preudarkov štelo, da kratkotrajna izguba nadzora nad osebnimi podatki posamezniku, na katerega se nanašajo osebni podatki, lahko povzroči „nepremoženjsko škodo“ v smislu člena 82(1) SUVP, ki daje pravico do odškodnine, vendar le če navedeni posameznik dokaže, da je dejansko utrpel tako škodo, pa čeprav je ta minimalna, pri čemer je treba opozoriti, da zgolj kršitev določb te uredbe ne zadostuje za priznanje pravice do odškodnine na tej podlagi (glej v tem smislu sodbo z dne 14. decembra 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, točke od 18 do 23).

67

Prav tako je treba v obravnavanem primeru poudariti, da je to, da pojem „nepremoženjska škoda“ zajema položaj, v katerem posameznik, na katerega se nanašajo osebni podatki, čuti utemeljen strah – kar mora preveriti nacionalno sodišče, ki odloča o zadevi – da bodo nekatere njegove osebne podatke tretje osebe v prihodnje razširile ali zlorabile, ker je bil dokument z navedenimi podatki izročen nepooblaščeni tretji osebi, ki ji je bilo omogočeno, da naredi njegove kopije, preden ga vrne, v skladu hkrati z besedilom člena 82(1) SUVP in ciljem varstva iz te uredbe.

68

Vendar to ne spremeni dejstva, da mora vlagatelj odškodninskega zahtevka na podlagi člena 82 SUVP dokazati obstoj take škode. Natančneje, povsem hipotetično tveganje zlorabe s strani nepooblaščene tretje osebe ne more dati pravice do odškodnine. To velja, kadar se nobena tretja oseba ni seznanila z zadevnimi osebnimi podatki.

69

Posledično je treba na peto vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da če je bil dokument z osebnimi podatki izročen nepooblaščeni tretji osebi, za katero je ugotovljeno, da se ni seznanila s temi podatki, „nepremoženjska škoda“ v smislu te določbe ne obstaja zgolj zaradi dejstva, da se posameznik, na katerega se nanašajo osebni podatki, boji, da bodo po tej izročitvi, zaradi katere je bilo omogočeno kopiranje navedenega dokumenta pred vračilom, v prihodnje njegovi podatki razširjeni ali celo zlorabljeni.

70

Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški, priglašeni za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (tretji senat) razsodilo: