–

za GP H. Schöning, Rechtsanwalt,

–

za juris GmbH E. Brandt in C. Werkmeister, Rechtsanwälte,

–

za Irsko M. Browne, Chief State Solicitor, A. Joyce in M. Lane, agenta, skupaj z D. Fennellyjem, BL,

–

za Evropsko komisijo A. Bouchagiar, M. Heller in H. Kranenborg, agenti,

1

Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 82(1) in (3) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: SUVP) v povezavi s členoma 29 in 83 te uredbe ter glede na njeni uvodni izjavi 85 in 146.

2

Ta predlog je bil vložen v okviru spora med GP, fizično osebo, in juris GmbH, družbo s sedežem v Nemčiji, v zvezi s povračilom škode, za katero GP trdi, da mu je nastala zaradi različnih obdelav njegovih osebnih podatkov, ki so bile kljub njegovemu ugovarjanju, ki ga je naslovil na navedeno družbo, opravljene zaradi trženja.

3

V uvodnih izjavah 85, 146 in 148 SUVP je navedeno:

[…]

[…]

4

Člen 4 te uredbe, naslovljen „Opredelitev pojmov“, določa:

„V tej uredbi:

[…]

[…]

[…]“

5

Člen 5 navedene uredbe določa vrsto načel v zvezi z obdelavo osebnih podatkov.

6

V poglavju III SUVP, ki se nanaša na „[p]ravice posameznika, na katerega se nanašajo osebni podatki“, člen 21 te uredbe, naslovljen „Pravica do ugovora“, v odstavku 3 določa:

„Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.“

7

Poglavje IV te uredbe, naslovljeno „Upravljavec in obdelovalec“, zajema člene od 24 do 43 te uredbe.

8

Člen 24 navedene uredbe, naslovljen „Odgovornost upravljavca“, v odstavkih 1 in 2 določa:

„1.   Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.“

9

Člen 25 iste uredbe, naslovljen „Vgrajeno in privzeto varstvo podatkov“, v odstavku 1 določa:

„Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.“

10

Člen 29 SUVP, naslovljen „Obdelava pod vodstvom upravljavca ali obdelovalca“, določa:

„Obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.“

11

Člen 32 te uredbe, naslovljen „Varnost obdelave“, določa:

„1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

[…]

[…]

2.   Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

[…]

4.   Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.“

12

Poglavje VIII SUVP, naslovljeno „Pravna sredstva, odgovornost in kazni“, zajema člene od 77 do 84 te uredbe.

13

Člen 79 te uredbe, naslovljen „Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca“, v odstavku 1 določa:

„Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.“

14

Člen 82 navedene uredbe, naslovljen „Pravica do odškodnine in odgovornost“, v odstavkih od 1 do 3 določa:

„1.   Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2.   Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. […]

3.   Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.“

15

Člen 83 SUVP, naslovljen „Splošni pogoji za naložitev upravnih glob“, v odstavkih 2, 3 in 5 določa:

„2.   […] Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

[…]

3.   Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

[…]

5.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20.000.000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

[…]“

16

Člen 84 te uredbe, naslovljen „Kazni“, v odstavku 1 določa:

„Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.“

17

Tožeča stranka v postopku v glavni stvari, fizična oseba, ki opravlja poklic neodvisnega odvetnika, je bila stranka juris, družbe, ki upravlja pravno bazo podatkov.

18

Tožeča stranka v postopku v glavni stvari je 6. novembra 2018, potem ko je izvedela, da družba juris njene osebne podatke uporablja tudi za neposredno trženje, pisno preklicala vse svoje privolitve, da od te družbe prejema informacije po elektronski pošti ali telefonu, in ugovarjala vsakršni obdelavi teh podatkov, razen za pošiljanje newsletters, naslovnik katerih je želela biti še naprej.

19

Tožeča stranka v postopku v glavni stvari je kljub temu januarja 2019 prejela reklamna dopisa, ki sta bila poimensko poslana na njen službeni naslov. Z dopisom, naslovljenim na družbo juris 18. aprila 2019, je tožeča stranka v postopku v glavni stvari to družbo opozorila na svoje prejšnje ugovarjanje vsakemu trženju, jo obvestila, da so bili s pripravo teh dopisov nezakonito obdelani njeni podatki, in od nje zahtevala odškodnino za škodo na podlagi člena 82 SUVP. Potem ko je 3. maja 2019 prejela nov reklamni dopis, je ponovila svoj ugovor, ki ga je družbi juris tokrat vročila po sodnem izvršitelju.

20

Na vsakem od navedenih reklamnih dopisov je bila natisnjena „osebna testna koda“, ki je omogočala, da se na spletnem mestu družbe juris dostopi do obrazca za naročilo izdelkov te družbe, ki je vseboval navedbe v zvezi s tožečo stranko v postopku v glavni stvari, kot je na njeno zahtevo 7. junija 2019 ugotovil notar.

21

Tožeča stranka v postopku v glavni stvari je pri Landgericht Saarbrücken (deželno sodišče v Saarbrücknu, Nemčija), ki je predložitveno sodišče v obravnavani zadevi, vložila tožbo, s katero je predlagala, naj se na podlagi člena 82(1) SUVP povrne njena premoženjska škoda, povezana s stroški sodnega izvršitelja in notarja, ki so ji nastali, ter njena nepremoženjska škoda. Med drugim trdi, da je utrpela izgubo nadzora nad svojimi osebnimi podatki, ker jih je kljub njenim ugovorom družba juris obdelala, in da lahko iz tega naslova dobi odškodnino, ne da bi morala dokazati učinke ali resnost posega v svoje pravice, zagotovljene s členom 8 Listine Evropske unije o temeljnih pravicah in podrobneje pojasnjene s to uredbo.

22

Družba juris v obrambo zavrača vsakršno odgovornost, pri čemer trdi, da je vzpostavila sistem upravljanja ugovorov zoper trženje in da je prepozno upoštevanje ugovorov tožeče stranke v postopku v glavni stvari posledica bodisi dejstva, da eden od njenih sodelavcev ni upošteval navodil, ki so bila dana, bodisi dejstva, da bi bilo te ugovore pretirano težko upoštevati. Trdi, da zgolj kršitev obveznosti, ki izhaja iz SUVP, kot je tista, ki izhaja iz njenega člena 21(3), sama po sebi ne more pomeniti „škode“ v smislu člena 82(1) te uredbe.

23

Na prvem mestu, predložitveno sodišče najprej izhaja iz predpostavke, da je pravica do odškodnine iz člena 82(1) SUVP odvisna od izpolnitve treh pogojev, in sicer kršitve te uredbe, premoženjske ali nepremoženjske škode ter vzročne zveze med to kršitvijo in to škodo. Dalje, ob upoštevanju zahtevkov tožeče stranke v postopku v glavni stvari se sprašuje, ali bi bilo vseeno treba šteti, da kršitev SUVP sama po sebi pomeni nepremoženjsko škodo, ki daje pravico do odškodnine, zlasti kadar kršena določba te uredbe posamezniku, na katerega se nanašajo osebni podatki, podeljuje subjektivno pravico. Nazadnje, ker nemško pravo denarno odškodnino za nepremoženjsko škodo pogojuje z zahtevo resnega posega v varovane pravice, se to sodišče sprašuje, ali je treba podobno omejitev uporabiti za odškodninske zahtevke na podlagi SUVP glede na navedbe v zvezi s pojmom „škoda“, ki so v uvodnih izjavah 85 in 146 te uredbe.

24

Na drugem mestu, navedeno sodišče ocenjuje kot mogoče, da iz člena 82 SUVP izhaja, da kadar je ugotovljen obstoj kršitve te uredbe, se za to kršitev šteje, da jo je mogoče pripisati upravljavcu, tako da naj bi obstajala odgovornost za domnevano krivdo ali celo nekrivdo upravljavca. Poleg tega po tem, ko je poudarilo, da odstavek 3 tega člena ne določa dokaznih zahtev, ki so konkretno povezane z oprostitvijo, določeno v tem odstavku, izpostavlja, da če bi bilo upravljavcu dovoljeno, da je oproščen svoje odgovornosti s tem, da zgolj na splošno uveljavlja krivdno ravnanje enega od svojih sodelavcev, bi to znatno omejilo polni učinek pravice do odškodnine iz odstavka 1 navedenega člena.

25

Na tretjem mestu, predložitveno sodišče želi zlasti izvedeti, ali se za oceno zneska denarne odškodnine za škodo, zlasti nepremoženjsko škodo, ki naj bi jo bilo treba plačati na podlagi člena 82 SUVP, merila iz člena 83(2) in (5) te uredbe za določitev višine upravnih glob lahko oziroma morajo upoštevati tudi v okviru navedenega člena 82.

26

Na četrtem in zadnjem mestu, to sodišče poudarja, da so bili v sporu, o katerem odloča, osebni podatki tožeče stranke v postopku v glavni stvari kljub njenim večkratnim ugovorom večkrat obdelani za namene trženja. Zato želi ugotoviti, ali je treba v primeru obstoja takih večkratnih kršitev SUVP te upoštevati posamično ali skupaj, da bi se določil znesek odškodnine, ki je morebiti dolgovan na podlagi člena 82 te uredbe.

27

V teh okoliščinah je Landgericht Saarbrücken (deželno sodišče v Saarbrücknu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

28

Najprej, družba juris v bistvu trdi, da prvo vprašanje ni dopustno v delu, v katerem se nanaša na ugotovitev, ali je nastanek pravice do odškodnine iz člena 82 SUVP odvisen od zahteve, da mora škoda, ki jo zatrjuje posameznik, na katerega se nanašajo osebni podatki, kot je opredeljen v členu 4, točka 1, te uredbe, doseči določeno stopnjo resnosti. To vprašanje naj ne bi bilo upoštevno za rešitev spora o glavni stvari, ker naj škoda, ki jo navaja tožeča stranka v postopku v glavni stvari, in sicer izguba nadzora nad njenimi osebnimi podatki, ne bi nastala, saj naj bi bili ti podatki zakonito obdelani, ker so del okvira pogodbenega razmerja, ki je zavezovalo stranki v tem sporu.

29

V zvezi s tem je treba opozoriti, da je le nacionalno sodišče, ki odloča o sporu in ki mora prevzeti odgovornost za sodno odločbo, ki bo izdana, pristojno, da ob upoštevanju posebnosti zadeve presodi potrebo po predhodni odločbi, da bi lahko izdalo sodbo, in tudi upoštevnost vprašanj, ki jih postavi Sodišču, pri čemer za ta vprašanja velja domneva upoštevnosti. Zato Sodišče, kadar se postavljeno vprašanje nanaša na razlago ali veljavnost pravila prava Unije, načeloma mora odločiti, razen če je očitno, da zahtevana razlaga nima nobene zveze z dejanskim stanjem ali predmetom spora o glavni stvari, če je problem hipotetičen ali če Sodišče nima na voljo pravnih in dejanskih elementov, ki so potrebni, da bi lahko na navedeno vprašanje dalo koristen odgovor (sodba z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 23 in navedena sodna praksa).

30

V tem primeru se prvo vprašanje nanaša na pogoje, ki se zahtevajo za uveljavljanje pravice do odškodnine iz člena 82 SUVP. Poleg tega ni očitno, da zahtevana razlaga ne bi bila povezana s sporom o glavni stvari ali da bi bil navedeni problem hipotetičen. Na eni strani se namreč ta spor nanaša na odškodninski zahtevek, ki spada v okvir ureditve varstva osebnih podatkov, vzpostavljene s SUVP. Na drugi strani je namen tega vprašanja v bistvu ugotoviti, ali je za uporabo pravil o odgovornosti iz te uredbe nujno ne le, da obstaja nepremoženjska škoda, ki se razlikuje od kršitve navedene uredbe, ampak tudi, da ta škoda presega določen prag resnosti.

31

Zato je prvo vprašanje dopustno.

32

Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da kršitev določb te uredbe, s katerimi so posamezniku, na katerega se nanašajo osebni podatki, podeljene pravice, sama po sebi zadostuje za to, da pomeni „nepremoženjsko škodo“ v smislu te določbe, ne glede na stopnjo resnosti škode, ki jo je ta posameznik utrpel.

33

Najprej je treba opozoriti, da člen 82(1) SUVP določa, da ima „[v]sak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, […] pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.“

34

Sodišče je člen 82(1) SUVP že razlagalo tako, da zgolj kršitev te uredbe ne zadostuje za podelitev pravice do odškodnine, ker je obstoj premoženjske ali nepremoženjske „škode“ oziroma „škode“, ki je „nastala“, eden od pogojev za pravico do odškodnine iz navedenega člena 82(1), in sicer poleg obstoja kršitve te uredbe ter vzročne zveze med to škodo in to kršitvijo, pri čemer so ti trije pogoji kumulativni (glej v tem smislu sodbo z dne 25. januarja 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, točka 58 in navedena sodna praksa).

35

Tako mora oseba, ki zahteva povračilo nepremoženjske škode na podlagi te določbe, dokazati ne le kršitev določb te uredbe, ampak tudi, da ji je bila s to kršitvijo povzročena taka škoda (glej v tem smislu sodbo z dne 25. januarja 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, točki 60 in 61 ter navedena sodna praksa).

36

V zvezi s tem je treba poudariti, da je Sodišče člen 82(1) SUVP razlagalo tako, da nasprotuje nacionalnemu pravilu ali praksi, ki odškodnino za nepremoženjsko škodo v smislu te določbe pogojuje s tem, da je škoda, ki je nastala posamezniku, na katerega se nanašajo osebni podatki, dosegla določeno stopnjo resnosti, pri čemer je izpostavilo, da mora navedeni posameznik vseeno dokazati, da mu je kršitev te uredbe povzročila tako nepremoženjsko škodo (glej v tem smislu sodbo z dne 25. januarja 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, točki 59 in 60 ter navedena sodna praksa).

37

Tudi če bi bile z določbo SUVP, ki je bila predmet kršitve, posameznikom podeljene pravice, taka kršitev sama po sebi ne more pomeniti „nepremoženjske škode“ v smislu te uredbe.

38

Res je, da iz člena 79(1) SUVP izhaja, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva proti upravljavcu ali morebitnemu obdelovalcu, če meni, da so bile „njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu z [navedeno] uredbo“.

39

Vendar ta določba zgolj podeljuje pravico do pravnega sredstva osebi, ki meni, da je žrtev kršitve pravic, ki so ji podeljene s SUVP, ne da bi bila ta oseba oproščena obveznosti, ki jo ima na podlagi člena 82(1) te uredbe, da dokaže, da je dejansko utrpela premoženjsko ali nepremoženjsko škodo.

40

Iz tega sledi, da kršitev določb SUVP, s katerimi so posamezniku, na katerega se nanašajo osebni podatki, podeljene pravice, sama po sebi ne zadostuje za utemeljitev materialne pravice do odškodnine na podlagi te uredbe, s katero se zahteva, da sta izpolnjena tudi druga dva pogoja za to pravico, navedena v točki 34 te sodbe.

41

V obravnavanem primeru želi tožeča stranka v postopku v glavni stvari na podlagi SUVP pridobiti odškodnino za nepremoženjsko škodo, in sicer izgubo nadzora nad svojimi osebnimi podatki, ki so bili predmet obdelave kljub njenemu ugovarjanju, ne da bi morala dokazati, da je ta škoda presegla določen prag resnosti.

42

V zvezi s tem je treba poudariti, da je v uvodni izjavi 85 SUVP med škodo, ki bi lahko nastala zaradi kršitve varstva osebnih podatkov, izrecno omenjena „izguba nadzora“. Poleg tega je Sodišče razsodilo, da izguba nadzora nad takimi podatki, tudi v kratkem času, lahko pomeni „nepremoženjsko škodo“ v smislu člena 82(1) te uredbe, ki daje pravico do odškodnine, če posameznik, na katerega se nanašajo osebni podatki, dokaže, da je dejansko utrpel tako škodo, pa čeprav je ta minimalna (glej v tem smislu sodbo z dne 25. januarja 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, točka 66 in navedena sodna praksa).

43

Ob upoštevanju zgoraj navedenih razlogov je treba na prvo vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da kršitev določb te uredbe, s katerimi so posamezniku, na katerega se nanašajo osebni podatki, podeljene pravice, sama po sebi ne zadostuje za to, da bi pomenila „nepremoženjsko škodo“ v smislu te določbe, ne glede na stopnjo resnosti škode, ki jo je ta posameznik utrpel.

44

Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba člen 82 SUVP razlagati tako, da za to, da bi bil upravljavec oproščen odgovornosti na podlagi odstavka 3 navedenega člena, zadostuje, da se sklicuje na to, da je zadevna škoda nastala zaradi neizpolnitve obveznosti osebe, ki ukrepa pod njegovim vodstvom, v smislu člena 29 te uredbe.

45

V zvezi s tem je treba opozoriti, da člen 82 SUVP v odstavku 2 določa, da je vsak upravljavec, vključen v obdelavo, odgovoren za škodo, ki jo povzroči obdelava, s katero se krši ta uredba, v odstavku 3 pa določa, da je upravljavec izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

46

Sodišče je že ugotovilo, da iz povezane analize odstavkov 2 in 3 tega člena 82 izhaja, da ta določa ureditev krivdne odgovornosti, v okviru katere se domneva, da je upravljavec sodeloval pri obdelavi, ki pomeni zadevno kršitev SUVP, tako da dokaznega bremena ne nosi oseba, ki je utrpela škodo, ampak upravljavec (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točke od 92 do 94).

47

V zvezi z vprašanjem, ali je mogoče upravljavca na podlagi člena 82(3) SUVP oprostiti njegove odgovornosti zgolj zato, ker je to škodo povzročilo krivdno ravnanje osebe, ki ukrepa pod njegovim vodstvom, v smislu člena 29 te uredbe, na eni strani iz tega člena 29 izhaja, da lahko osebe, ki ukrepajo pod vodstvom upravljavca, kot so njegovi zaposleni, ki imajo dostop do osebnih podatkov, te podatke načeloma obdelujejo le po navodilih navedenega upravljavca in v skladu z njimi (glej v tem smislu sodbo z dne 22. junija 2023, Pankki S, C‑579/21, EU:C:2023:501, točki 73 in 74).

48

Po drugi strani člen 32(4) SUVP, ki se nanaša na varnost obdelave osebnih podatkov, določa, da upravljavec sprejme ukrepe, s katerimi zagotovi, da katera koli fizična oseba, ki ukrepa pod njegovim vodstvom in ki ima dostop do takih podatkov, teh ne sme obdelati brez navodil tega upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.

49

Zaposleni pri upravljavcu pa je fizična oseba, ki ukrepa pod vodstvom tega upravljavca. Tako se mora navedeni upravljavec prepričati, da njegovi zaposleni njegova navodila uporabljajo pravilno. Zato upravljavec ne more biti razbremenjen svoje odgovornosti na podlagi člena 82(3) SUVP zgolj s sklicevanjem na malomarnost ali neizpolnitev obveznosti osebe, ki ukrepa pod njegovim vodstvom.

50

V obravnavanem primeru družba juris v pisnem stališču pred Sodiščem v bistvu trdi, da bi moral biti upravljavec na podlagi člena 82(3) SUVP oproščen svoje odgovornosti, kadar je kršitev, ki je povzročila zadevno škodo, mogoče pripisati ravnanju enega od njegovih zaposlenih, ki ni spoštoval navodil tega upravljavca, in če ta kršitev ni posledica neizpolnitve obveznosti navedenega upravljavca, ki so zlasti navedene v členih 24, 25 in 32 te uredbe.

51

V zvezi s tem je treba poudariti, da morajo biti okoliščine oprostitve iz člena 82(3) SUVP strogo omejene na okoliščine, v katerih lahko upravljavec dokaže, da škode ni mogoče pripisati njemu (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 70). Zato je v primeru kršitve varstva osebnih podatkov, ki jo stori oseba, ki ukrepa pod vodstvom tega upravljavca, navedeni upravljavec lahko upravičen do te oprostitve le, če dokaže, da ni nobene vzročne zveze med morebitno kršitvijo obveznosti varstva podatkov, ki jo ima na podlagi členov 5, 24 in 32 te uredbe, in škodo, ki jo je utrpel posameznik, na katerega se nanašajo osebni podatki (glej po analogiji sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 72).

52

Torej za to, da bi bil upravljavec lahko oproščen svoje odgovornosti na podlagi člena 82(3) SUVP, ne more zadostovati, da dokaže, da je dal navodila osebam, ki ukrepajo pod njegovim vodstvom, v smislu člena 29 te uredbe, in da ena od navedenih oseb svoje obveznosti upoštevanja teh navodil ni izpolnila, tako da je prispevala k nastanku zadevne škode.

53

Če bi se namreč dopustilo, da je lahko upravljavec razbremenjen svoje odgovornosti, tako da navaja zgolj neizpolnitev obveznosti osebe, ki ukrepa pod njegovim vodstvom, bi to, kot je v bistvu navedlo predložitveno sodišče, škodilo polnemu učinku pravice do odškodnine, določene v členu 82(1) SUVP, in ne bi bilo v skladu s ciljem te uredbe, ki je zagotoviti visoko raven varstva posameznikov pri obdelavi njihovih osebnih podatkov.

54

Glede na navedeno je treba na drugo vprašanje odgovoriti, da je treba člen 82 SUVP razlagati tako, da za to, da bi bil upravljavec oproščen svoje odgovornosti na podlagi odstavka 3 navedenega člena, ne more zadostovati, da se sklicuje na to, da je zadevna škoda nastala zaradi neizpolnitve obveznosti osebe, ki ukrepa pod njegovim vodstvom, v smislu člena 29 te uredbe.

55

Predložitveno sodišče s tretjim in četrtim vprašanjem, ki ju je treba obravnavati skupaj, v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da je treba za določitev zneska odškodnine, dolgovane iz naslova povrnitve škode, ki temelji na tej določbi, na eni strani smiselno uporabiti merila za določitev zneska upravnih glob, ki so določena v členu 83 te uredbe, in na drugi strani upoštevati dejstvo, da več kršitev navedene uredbe v zvezi z istim dejanjem obdelave vpliva na osebo, ki zahteva odškodnino.

56

Na prvem mestu, v zvezi z morebitnim upoštevanjem meril iz člena 83 SUVP za oceno zneska odškodnine, dolgovanega na podlagi člena 82 te uredbe, ni sporno, da imata ti določbi različne cilje. Medtem ko člen 83 te uredbe določa „[s]plošne pogoje za naložitev upravnih glob“, člen 82 navedene uredbe namreč ureja „[p]ravico do odškodnine in odgovornost“.

57

Iz tega izhaja, da meril iz člena 83 SUVP za določitev zneska upravnih glob, ki so prav tako omenjena v uvodni izjavi 148 te uredbe, ni mogoče uporabiti za oceno zneska odškodnine na podlagi člena 82 te uredbe.

58

Kot je Sodišče že poudarilo, SUVP ne vsebuje določbe o oceni odškodnine, dolgovane na podlagi pravice do odškodnine iz člena 82 te uredbe. Zato morajo nacionalna sodišča za namene te ocene v skladu z načelom procesne avtonomije uporabiti nacionalna pravila vsake države članice v zvezi z obsegom denarne odškodnine, pod pogojem, da sta spoštovani načeli enakovrednosti in učinkovitosti prava Unije, kot sta opredeljeni v ustaljeni sodni praksi Sodišča (glej v tem smislu sodbi z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točki 83 in 101 ter navedena sodna praksa, in z dne 25. januarja 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, točka 53).

59

V tem okviru je Sodišče poudarilo, da člen 82 SUVP nima kaznovalne funkcije, temveč kompenzacijsko funkcijo, v nasprotju z drugimi določbami te uredbe, ki so prav tako v poglavju VIII te uredbe, in sicer členoma 83 in 84 navedene uredbe, ki imata v bistvu kaznovalno funkcijo, saj omogočata naložitev tako upravnih glob kot drugih sankcij. Odnos med pravili iz navedenega člena 82 in pravili iz navedenih členov 83 in 84 dokazuje, da obstaja razlika med tema kategorijama določb, vendar tudi dopolnjevanje v smislu spodbujanja k spoštovanju SUVP, pri čemer je treba opozoriti, da pravica vsakogar, da zahteva odškodnino za škodo, krepi uspešnost pravil o varstvu, določenih s to uredbo, in lahko odvrača od ponavljanja nezakonitih ravnanj (sodba z dne 25. januarja 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, točka 47 in navedena sodna praksa).

60

Poleg tega je Sodišče iz dejstva, da pravica do odškodnine iz člena 82(1) SUVP nima odvračalne oziroma celo kaznovalne funkcije, sklepalo, da resnost kršitve te uredbe, s katero je bila povzročena zatrjevana premoženjska ali nepremoženjska škoda, ne more vplivati na znesek odškodnine, dodeljene na podlagi te določbe. Iz tega sledi, da tega zneska ni mogoče določiti na ravni, ki bi presegala polno nadomestilo te škode (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točka 86).

61

Sodišče je ob navedbi uvodne izjave 146, šesti stavek, SUVP, v skladu s katero je namen tega instrumenta zagotoviti „celotno in učinkovito odškodnino za škodo, ki so jo [posamezniki] utrpeli“, poudarilo, da je treba ob upoštevanju kompenzacijske funkcije pravice do odškodnine iz člena 82 te uredbe za denarno odškodnino, ki temelji na tem členu, šteti, da je „celotna in učinkovita“, če omogoča, da se v celoti nadomesti škoda, ki je konkretno nastala zaradi kršitve navedene uredbe, ne da bi bilo treba za tako polno nadomestilo naložiti plačilo kaznovalne odškodnine (sodba z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točka 84 in navedena sodna praksa).

62

Tako ob upoštevanju razlik glede besedila in ciljev, ki obstajajo med členom 82 SUVP v povezavi z njeno uvodno izjavo 146 ter členom 83 navedene uredbe v povezavi z njeno uvodno izjavo 148 ni mogoče šteti, da se merila za ocenjevanje, ki so posebej določena v tem členu 83, smiselno uporabljajo v okviru tega člena 82, čeprav se pravni sredstvi iz teh dveh določb dejansko dopolnjujeta za zagotovitev spoštovanja te uredbe.

63

Na drugem mestu, v zvezi z načinom, na katerega morajo nacionalna sodišča oceniti znesek denarne odškodnine na podlagi člena 82 SUVP v primerih večkratnih kršitev te uredbe, ki vplivajo na istega posameznika, na katerega se nanašajo osebni podatki, je treba najprej poudariti, da mora, kot je navedeno v točki 58 te sodbe, vsaka država članica določiti merila, ki omogočajo določitev zneska te odškodnine, s pridržkom spoštovanja načel učinkovitosti in enakovrednosti prava Unije.

64

Dalje, ob upoštevanju funkcije člena 82 SUVP, ki ni kaznovalna, ampak kompenzacijska, in ki je navedena v točkah 60 in 61 te uredbe, okoliščina, da je upravljavec v zvezi z istim posameznikom, na katerega se nanašajo osebni podatki, storil več kršitev, ne more pomeniti upoštevnega merila za oceno odškodnine, ki jo je treba prisoditi temu posamezniku na podlagi tega člena 82. Za določitev zneska denarne odškodnine, dolgovane iz naslova kompenzacije, je namreč treba upoštevati le škodo, ki jo je navedeni posameznik konkretno utrpel.

65

Zato je treba na tretje in četrto vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da za določitev zneska odškodnine, dolgovane iz naslova povračila škode, ki temelji na tej določbi, ni treba, prvič, smiselno uporabiti meril za določitev zneska upravnih glob, ki so določena v členu 83 te uredbe, in drugič, upoštevati tega, da več kršitev navedene uredbe v zvezi z istim dejanjem obdelave vpliva na osebo, ki zahteva odškodnino.

66

Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (tretji senat) razsodilo: