DOMSTOLENS DOM (tredje avdelningen)
den 25 januari 2024 ( *1 )
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Tolkning av artiklarna 5, 24, 32 och 82 – Bedömning av giltigheten av artikel 82 – Begäran om giltighetsbedömning kan inte tas upp till prövning – Rätt till ersättning för skada som uppkommit genom en behandling av sådana uppgifter i strid med denna förordning – Överlämnande av uppgifter till en obehörig tredje part på grund av ett fel som begåtts av den personuppgiftsansvariges anställda – Bedömning av om de skyddsåtgärder som den personuppgiftsansvarige har vidtagits är lämpliga – Den kompensatoriska funktionen uppfylls genom rätten till ersättning – Betydelsen av överträdelsens allvar – Nödvändigheten av att fastställa att denna överträdelse har orsakat en skada – Begreppet ’immateriell skada’”
I mål C‑687/21,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Amtsgericht Hagen (Distriktsdomstolen i Hagen, Tyskland) genom beslut av den 11 oktober 2021, som inkom till domstolen den 16 november 2021, i målet
BL
mot
MediaMarktSaturn Hagen-Iserlohn GmbH, tidigare Saturn Electro-Handelsgesellschaft mbH Hagen,
meddelar
DOMSTOLEN (tredje avdelningen)
sammansatt av avdelningsordföranden K. Jürimäe, samt domarna N. Piçarra, M. Safjan, N. Jääskinen (referent) och M. Gavalec,
generaladvokat: M. Campos Sánchez-Bordona,
justitiesekreterare: A. Calot Escobar,
efter det skriftliga förfarandet,
med beaktande av de yttranden som avgetts av:
– |
BL, genom D. Pudelko, Rechtsanwalt, |
– |
MediaMarktSaturn Hagen-Iserlohn GmbH, tidigare Saturn Electro-Handelsgesellschaft mbH Hagen, genom B. Hackl, Rechtsanwalt, |
– |
Irland, genom M. Browne, Chief State Solicitor, A. Joyce och M. Lane, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL, |
– |
Europaparlamentet, genom O. Hrstková Šolcová och J.-C. Puffer, båda i egenskap av ombud, |
– |
Europeiska kommissionen, genom A. Bouchagiar, M. Heller och H. Kranenborg, samtliga i egenskap av ombud, |
med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,
följande
Dom
1 |
Begäran om förhandsavgörande avser tolkningen av artiklarna 2.1, 4 led 7, 5.1 f, 6.1, 24, 32.1 b, 32.2 och 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen), och bedömningen av giltigheten av nämnda artikel 82. |
2 |
Begäran har framställts i ett mål mellan BL, som är en fysisk person, och MediaMarktSaturn Hagen-Iserlohn GmbH, tidigare Saturn Electro-Handelsgesellschaft mbH Hagen (nedan kallat Saturn). Målet rör ersättning för den immateriella skada som BL påstår sig ha lidit till följd av att vissa av dennes personuppgifter överförts till tredje part på grund av ett fel som begåtts av anställda i detta bolag. |
Tillämpliga bestämmelser
3 |
Skälen 11, 74, 76, 83, 85 och 146 i dataskyddsförordningen har följande lydelse:
…
…
…
…
…
|
4 |
I kapitel I i denna förordning, avseende ”[a]llmänna bestämmelser”, återfinns artikel 2, med rubriken ”Materiellt tillämpningsområde”. I punkt 1 i den artikeln föreskrivs följande: ”Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.” |
5 |
I artikel 4 i förordningen, med rubriken ”Definitioner”, föreskrivs följande: ”I denna förordning avses med
…
…
…
…” |
6 |
Kapitel II i dataskyddsförordningen har rubriken ”Principer” och innehåller artiklarna 5–11. |
7 |
I artikel 5 i dataskyddsförordningen, med rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande: ”1. Vid behandling av personuppgifter ska följande gälla: …
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).” |
8 |
I artikel 6 i förordningen har rubriken ”Laglig behandling av personuppgifter”. I punkt 1 i den artikeln anges att de villkor som ska vara uppfyllda för att en behandling ska vara laglig. |
9 |
Kapitel IV i dataskyddsförordningen, med rubriken ”Personuppgiftsansvarig och personuppgiftsbiträde”, innehåller artiklarna 24–43. |
10 |
Avsnitt 1 i kapitel IV har rubriken ”Allmänna skyldigheter”. I artikel 24, som i sin tur har rubriken ”Den personuppgiftsansvariges ansvar”, föreskrivs följande i punkterna 1 och 2: ”1. Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov. 2. Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.” |
11 |
I avsnitt 2 i nämnda kapitel IV, med rubriken ”Säkerhet för personuppgifter”, återfinns artikel 32 i dataskyddsförordningen, med rubriken ”Säkerhet i samband med behandlingen”. I punkterna 1 b och 2 i den artikeln föreskrivs följande: ”1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt …
… 2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.” |
12 |
Kapitel VIII i dataskyddsförordningen, med rubriken ”Rättsmedel, ansvar och sanktioner”, innehåller artiklarna 77–84. |
13 |
I artikel 82 i förordningen, med rubriken ”Ansvar och rätt till ersättning”, föreskrivs följande: ”1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. 2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. … 3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan. …” |
14 |
I artikel 83 i dataskyddsförordningen, med rubriken ”Allmänna villkor för påförande av administrativa sanktionsavgifter”, föreskrivs följande: ”1. Varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med denna artikel för sådana överträdelser av denna förordning som avses i punkterna 4, 5 och 6 i varje enskilt fall är effektivt, proportionellt och avskräckande. 2. … Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:
…
…
3. Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. …” |
15 |
I artikel 84 i förordningen, med rubriken ”Sanktioner”, föreskrivs följande i punkt 1: ”Medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.” |
Målet vid den nationella domstolen och tolkningsfrågorna respektive giltighetsfrågan
16 |
Käranden i det nationella målet besökte Saturns affärslokaler för att köpa en elektrisk hushållsapparat. Ett försäljnings- och kreditavtal upprättades för detta ändamål av en anställd i detta bolag. Vid detta tillfälle förde denne anställde in flera personuppgifter om BL i Saturns datasystem, nämligen för- och efternamn, adress, bostadsort, namn på arbetsgivare samt inkomst- och bankuppgifter. |
17 |
Avtalshandlingarna med dessa personuppgifter skrevs ut och undertecknades av båda parter. Käranden i det nationella målet lämnade därefter dessa uppgifter till en anställd vid Saturn som arbetade vid utlämningen av varorna. En annan kund, som i smyg hade trängt sig före käranden i kön, mottog då av misstag både den apparat som käranden hade beställt och de aktuella handlingarna, och tog med sig allt. |
18 |
Felet upptäcktes snabbt och en av Saturns anställda fick tillbaka apparaten och handlingarna vilka därefter återlämnades till käranden i det nationella målet inom en halvtimme efter det att de hade lämnats ut till den andra kunden. Företaget ville ersätta käranden i det nationella målet för detta fel genom att erbjuda en kostnadsfri leverans av apparaten till dennes bostad, men BL ansåg att ersättningen inte var tillräcklig. |
19 |
Käranden i det nationella målet väckte talan vid Amtsgericht Hagen (Distriktsdomstolen i Hagen, Tyskland), som är den hänskjutande domstolen i förevarande mål, och yrkade, bland annat med stöd av bestämmelserna i dataskyddsförordningen, ersättning för den immateriella skada som denne påstod sig ha lidit till på grund av dels det fel som Saturns anställda hade begått, dels risken för att kontrollen över dennes personuppgifter hade gått förlorad. |
20 |
Saturn har till sitt försvar invänt, för det första, att det inte har skett någon överträdelse av dataskyddsförordningen och att en överträdelse endast kan anses föreligga om denna överstiger en viss grad av allvar, vilket inte har skett i förevarande fall. För det andra har bolaget gjort gällande att käranden i det nationella målet inte har lidit någon skada, eftersom det varken har konstaterats eller ens påståtts att den inblandade tredje parten har missbrukat kärandens personuppgifter. |
21 |
Den hänskjutande domstolen vill för det första få klarhet i huruvida artikel 82 i dataskyddsförordningen är giltig med hänvisning till att denna artikel saknar precisering vad gäller dess rättsverkningar vid ersättning för immateriell skada. |
22 |
För det andra, för det fall att EU-domstolen inte skulle förklara artikel 82 ogiltig, vill den hänskjutande domstolen få klarhet i huruvida utövandet av den rätt till ersättning som föreskrivs i den artikeln förutsätter ett fastställande av att det inte bara föreligger en överträdelse av dataskyddsförordningen, utan även en skada, i synnerhet immateriell skada, som den person som begär ersättning har lidit. |
23 |
För det tredje vill den hänskjutande domstolen få klarhet i huruvida enbart den omständigheten att tryckta handlingar innehållande personuppgifter utan tillstånd har överlämnats till en tredje part, på grund av ett fel som begåtts av den personuppgiftsansvariges anställda, gör det möjligt att fastställa en överträdelse av dataskyddsförordningen eller inte. |
24 |
För det fjärde vill den hänskjutande domstolen, som samtidigt anser att ”[svarande]bolaget ska ha bevisbördan för sin oskuld”, få klarhet i huruvida konstaterandet av att ett sådant oaktsamt utlämnande av handlingar har ägt rum räcker för att dataskyddsförordningen ska anses ha åsidosatts, särskilt med hänsyn till den personuppgiftsansvariges skyldighet, enligt artiklarna 2, 5, 6 och 24 i denna förordning, att vidta lämpliga åtgärder för att garantera säkerheten för de uppgifter som behandlas. |
25 |
För det femte vill den hänskjutande domstolen få klarhet i huruvida förekomsten av en ”immateriell skada”, i den mening som avses i artikel 82 i dataskyddsförordningen, kan fastställas även om den obehöriga tredje parten inte verkar har tagit del av de berörda personuppgifterna innan de återlämnades, enbart på grund av att den person vars uppgifter har överförts på detta sätt, känner en rädsla inför risken, som enligt den hänskjutande domstolen inte kan uteslutas, för att uppgifterna lämnas ut av den utomstående personen till andra personer eller att uppgifterna kommer att missbrukas i framtiden. |
26 |
För det sjätte vill den hänskjutande domstolen få klarhet i vilken eventuell betydelse allvaret av en överträdelse som begåtts under sådana omständigheter som de som är aktuella i det nationella målet eventuellt har, inom ramen för en talan om ersättning för immateriell skada med stöd av nämnda artikel 82, med hänsyn till att den personuppgiftsansvarige, enligt denna domstol, hade kunnat vidta effektivare säkerhetsåtgärder. |
27 |
Slutligen, och för det sjunde, vill den hänskjutande domstolen, få klarhet i vilket syfte det tjänar att ersätta en immateriell skada i enlighet med dataskyddsförordningen. Denna domstol antyder därvid att ersättningen skulle kunna utgöra en sanktion som motsvarar ett avtalsvite. |
28 |
Mot denna bakgrund beslutade Amtsgericht Hagen (Distriktsdomstolen i Hagen) att vilandeförklara målen och ställa följande frågor till domstolen:
|
Prövning av tolkningsfrågorna
Den första frågan
29 |
Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 82 i dataskyddsförordningen är ogiltig på grund av att den inte preciserar vilka rättsliga konsekvenser som gäller vid ersättning för immateriell skada. |
30 |
Europaparlamentet har gjort gällande att denna fråga inte kan tas upp till sakprövning, eftersom den hänskjutande domstolen inte har uppfyllt kraven i artikel 94 c i domstolens rättegångsregler, och detta trots att den hänskjutande domstolen har tagit upp en särskilt komplicerad frågeställning, nämligen bedömningen av giltigheten av en unionsrättslig bestämmelse. |
31 |
Enligt artikel 94 c i rättegångsreglerna ska begäran om förhandsavgörande, förutom de frågor som hänskjuts till domstolen för förhandsavgörande, innehålla en redogörelse för de skäl som fått den hänskjutande domstolen att undra över tolkningen eller giltigheten av de aktuella unionsrättsliga bestämmelserna. |
32 |
Redogörelsen för skälen till begäran om förhandsavgörande är härvidlag nödvändig inte bara för att domstolen ska kunna lämna användbara svar, utan också för att ge medlemsstaternas regeringar och andra berörda möjlighet att avge yttranden i enlighet med artikel 23 i stadgan för Europeiska unionens domstol. Närmare bestämt är det mot bakgrund av de ogiltighetsgrunder som anges i beslutet om hänskjutande som domstolen ska pröva giltigheten av en unionsbestämmelse, vilket innebär att om de specifika skäl som fått den hänskjutande domstolen att undra i detta avseende inte har angetts, medför detta att frågorna om nämnda giltighet inte kan tas upp till sakprövning (se, för ett liknande resonemang, dom av den 15 juni 2017, T.KUP,C‑349/16, EU:C:2017:469, punkterna 16–18, och dom av den 22 juni 2023, Vitol,C‑268/22, EU:C:2023:508, punkterna 52–55). |
33 |
I förevarande fall har den hänskjutande domstolen inte lämnat några specifika omständigheter som gör det möjligt för EU-domstolen att pröva giltigheten av artikel 82 i dataskyddsförordningen. |
34 |
Den första frågan kan följaktligen inte tas upp till sakprövning. |
Den tredje och den fjärde frågan
35 |
Den hänskjutande domstolen har ställt den tredje och den fjärde frågan, vilka ska prövas tillsammans och först, för att få klarhet i huruvida artiklarna 5, 24, 32 och 82 i dataskyddsförordningen, jämförda med varandra, ska tolkas så, att den omständigheten att den personuppgiftsansvariges anställda, inom ramen för en talan om ersättning med stöd av nämnda artikel 82, felaktigt har överlämnat en handling som innehåller personuppgifter till en obehörig tredje part, i sig räcker för att anse att de tekniska och organisatoriska åtgärder som vidtagits av den personuppgiftsansvarige inte var ”lämpliga” i den mening som avses i artiklarna 24 och 32. |
36 |
I artikel 24 i dataskyddsförordningen föreskrivs en allmän skyldighet för den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter sker i överensstämmelse med förordningen, och att kunna visa detta (dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkt 24). |
37 |
I artikel 32 i dataskyddsförordningen anges vilka skyldigheter den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde har när det gäller säkerheten i samband med denna behandling. I artikel 32.1 i förordningen föreskrivs således att dessa personer ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till de risker som är kopplade till denna behandling, med beaktande av den senaste utvecklingen inom teknik- och säkerhetsområdet och kostnaderna för att genomföra åtgärderna samt av behandlingens art, omfattning, sammanhang och ändamål. På samma sätt anges i artikel 32.2 i förordningen att personuppgiftsansvariga och eventuella personuppgiftsbiträden är skyldiga att vid bedömningen av vilken säkerhetsnivå som är lämplig, särskilt ta hänsyn till de risker som personuppgiftsbehandlingen medför, bland annat risken för att uppgifter förstörs, förloras eller ändras samt risken för obehörigt röjande av eller obehörig åtkomst till personuppgifter som skett på ett oavsiktligt eller olagligt sätt (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkterna 26 och 27). |
38 |
Det framgår således av ordalydelsen i artiklarna 24 och 32 i dataskyddsförordningen att lämpligheten av de åtgärder som den personuppgiftsansvarige vidtar ska bedömas på ett konkret sätt, med beaktande av de olika faktorer som avses i nämnda artiklar och de skyddsbehov som särskilt gör sig gällande i samband med den aktuella personuppgiftsbehandlingen samt därmed förenade risker, och detta särskilt som den personuppgiftsansvarige måste kunna visa att dessa åtgärder är förenliga med förordningen, vilket den personuppgiftsansvarige inte skulle ha möjlighet att göra om det ansågs föreligga en sådan icke motbevisbar presumtion (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkterna 30–32). |
39 |
Denna bokstavstolkning stöds av en jämförelse mellan å ena sidan de nämnda artiklarna 24 och 32 och å andra sidan artiklarna 5.2 och 82 i samma förordning, mot bakgrund av skälen 74, 76 och 83 i densamma. Av dessa framgår i synnerhet att den personuppgiftsansvarige är skyldig att minska riskerna för personuppgiftsincidenter och inte att förhindra varje överträdelse av dessa (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkterna 33–38). |
40 |
Domstolen har således tolkat artiklarna 24 och 32 i dataskyddsförordningen så, att den omständigheten att det har skett ett obehörigt röjande av eller obehörig åtkomst till personuppgifter till följd av agerande från ”tredje part”, i den mening som avses i artikel 4.10 i förordningen, inte i sig räcker för att anse att de tekniska och organisatoriska åtgärder som vidtagits av den personuppgiftsansvarige inte var ”lämpliga”, i den mening som avses i artiklarna 24 och 32 i förordningen (dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkt 39). |
41 |
Att den personuppgiftsansvariges anställda av misstag har överlämnat en handling som innehåller personuppgifter till en obehörig tredje part, skulle i förevarande fall kunna tala för att de tekniska och organisatoriska åtgärder som vidtagits av den registeransvarige i fråga inte var ”lämpliga” i den mening som avses i artiklarna 24 och 32. En sådan omständighet kan till exempel bero på försummelse eller en brist i den personuppgiftsansvariges organisation, som inte på ett konkret sätt tar hänsyn till de risker som är förknippade med behandlingen av uppgifterna i fråga. |
42 |
Det framgår av artiklarna 5, 24 och 32 i dataskyddsförordningen, jämförda med skäl 74 i samma förordning, att det vid en talan om ersättning med stöd av artikel 82 i förordningen är den personuppgiftsansvarige som har bevisbördan för att personuppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, i den mening som avses i artikel 5.1 f och artikel 32 i förordningen. En sådan fördelning av bevisbördan är inte bara ägnad att uppmuntra de personuppgiftsansvariga att vidta de säkerhetsåtgärder som krävs enligt dataskyddsförordningen, utan även att säkerställa den ändamålsenliga verkan av rätten till ersättning enligt artikel 82 i förordningen och respektera unionslagstiftarens avsikter som nämns i skäl 11 i förordningen (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkterna 49–56). |
43 |
Domstolen har således tolkat principen om den personuppgiftsansvariges ansvar, som anges i artikel 5.2 i dataskyddsförordningen och konkretiseras i artikel 24 i förordningen, på så sätt att bevisbördan i ett mål om skadeersättning enligt artikel 82 i förordningen är sådan att det åligger den personuppgiftsansvarige att visa att de säkerhetsåtgärder som denne vidtagit enligt artikel 32 i förordningen är lämpliga (dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkt 57). |
44 |
En domstol vid vilken en sådan talan om ersättning för en skada har väckts med stöd av artikel 82 i dataskyddsförordningen ska således, för att avgöra huruvida det föreligger ett åsidosättande av en skyldighet som föreskrivs i denna förordning, beakta inte enbart den omständigheten att den personuppgiftsansvariges anställda av misstag har överlämnat en handling som innehåller personuppgifter till en obehörig tredje part. Denna domstol måste nämligen även beakta all bevisning som den personuppgiftsansvarige har lagt fram för att visa att de tekniska och organisatoriska åtgärder som denne har vidtagit för att uppfylla sina skyldigheter enligt artiklarna 24 och 32 i förordningen är lämpliga. |
45 |
Mot bakgrund av det ovan anförda ska den tredje och den fjärde frågan besvaras enligt följande. Artiklarna 5, 24, 32 och 82 i dataskyddsförordningen, jämförda med varandra, ska tolkas så, att den omständigheten att den personuppgiftsansvariges anställda, inom ramen för en talan om ersättning med stöd av nämnda artikel 82, felaktigt har överlämnat en handling som innehåller personuppgifter till en obehörig tredje part, inte i sig räcker för att anse att de tekniska och organisatoriska åtgärder som vidtagits av den personuppgiftsansvarige inte var ”lämpliga” i den mening som avses i artiklarna 24 och 32. |
Den sjunde frågan
46 |
Den hänskjutande domstolen har ställt den sjunde frågan för att få klarhet i huruvida artikel 82 i dataskyddsförordningen ska tolkas så, att den rätt till ersättning som föreskrivs i denna bestämmelse, bland annat vid immateriell skada, har en bestraffande funktion. |
47 |
I detta avseende har domstolen slagit fast att artikel 82 i dataskyddsförordningen inte har en bestraffande utan en kompenserande funktion, till skillnad från andra bestämmelser i förordningen som också återfinns i kapitel VIII i förordningen, nämligen artiklarna 83 och 84. Dessa bestämmelser har huvudsakligen ett bestraffande syfte, eftersom de gör det möjligt att ålägga administrativa sanktionsavgifter och andra sanktioner. Förhållandet mellan de regler som anges i nämnda artikel 82 och reglerna i artiklarna 83 och 84 visar att det föreligger en skillnad mellan dessa båda kategorier av bestämmelser, men även att de kompletterar varandra vad gäller de incitament att iaktta dataskyddsförordningen som de innebär. Rätten för var och en att begära ersättning för skada stärker den ändamålsenliga verkan av de skyddsregler som fastställs i förordningen och är ägnade att avskräcka från att överträdelser upprepas (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 38 och 40, och dom av den 21 december 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punkt 85). |
48 |
Domstolen har slagit fast att eftersom den rätt till ersättning som föreskrivs i artikel 82.1 i dataskyddsförordningen inte fyller en avskräckande, eller rent av bestraffande, utan en kompenserande funktion, kan graden av allvar av den överträdelse av förordningen varigenom den ifrågavarande skadan uppkommit inte påverka storleken på det skadestånd som ska utgå med stöd av denna bestämmelse, även om det inte handlar om en materiell utan om en immateriell skada, vilket innebär att detta belopp inte kan fastställas till en nivå som överstiger full ersättning för denna skada (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punkterna 86 och 87). |
49 |
Av det ovan anförda följer att det inte är nödvändigt att uttala sig om den tillnärmning som den hänskjutande domstolen har avsett mellan syftet med rätten till ersättning enligt artikel 82.1 och avtalsvitets bestraffande funktion. |
50 |
Den sjunde frågan ska således besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den rätt till ersättning som föreskrivs i denna bestämmelse, bland annat i samband med immateriell skada, fyller en kompenserande funktion, och inte en bestraffande funktion, i det att den ekonomiska ersättning som beviljas med stöd av denna bestämmelse ska göra det möjligt att fullt ut kompensera den skada som faktiskt uppkommit till följd av en överträdelse av förordningen. |
Den sjätte frågan
51 |
Den hänskjutande domstolen har ställt den sjätte frågan för att få klarhet i huruvida artikel 82 i dataskyddsförordningen ska tolkas så, att denna artikel kräver att allvaret i den personuppgiftsansvariges överträdelse av förordningen beaktas vid fastställandet av ersättningen för skada med stöd av denna bestämmelse. |
52 |
Det framgår av artikel 82 i dataskyddsförordningen att en förutsättning för att den personuppgiftsansvarige ska kunna hållas ansvarig är att denne har gjort fel, varvid det föreligger en presumtion om ett sådant fel om inte den personuppgiftsansvarige visar att denne inte på något sätt kan tillskrivas ansvar för den händelse varigenom skadan uppkom. Vidare krävs det inte att felets svårighetsgrad beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för immateriell skada med stöd av denna bestämmelse (dom av den 21 december 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punkt 103). |
53 |
Vad gäller bedömningen av det skadestånd som eventuellt ska betalas enligt artikel 82 i dataskyddsförordningen ska de nationella domstolarna, vid beräkningen av detta skadestånd, tillämpa varje medlemsstats interna bestämmelser om den ekonomiska ersättningens omfattning, under förutsättning att de unionsrättsliga principerna om likvärdighet och effektivitet iakttas (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punkterna 83 och 101 samt där angiven rättspraxis). |
54 |
Domstolen har dessutom preciserat att med hänsyn till den kompensationsfunktion som den rätt till ersättning som föreskrivs i artikel 82 i dataskyddsförordningen har, så kräver denna bestämmelse inte att svårighetsgraden av den överträdelse av denna förordning som den personuppgiftsansvarige presumeras ha gjort sig skyldig till ska beaktas vid fastställandet av det skadestånd som ska utgå som ersättning för en immateriell skada med stöd av denna bestämmelse. Emellertid krävs att detta belopp fastställs på ett sådant sätt att det fullt ut kompenserar den skada som faktiskt uppkommit till följd av överträdelsen av förordningen (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punkterna 84–87 och 102 samt där angiven rättspraxis). |
55 |
Mot bakgrund av ovanstående skäl ska den sjätte frågan besvaras enligt följande. Artikel 82 i dataskyddsförordningen ska tolkas så, att denna artikel inte kräver att allvaret i den personuppgiftsansvariges överträdelse av förordningen beaktas vid fastställandet av ersättningen för skada med stöd av denna bestämmelse. |
Den andra frågan
56 |
Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att den som begär ersättning enligt denna bestämmelse är skyldig att visa inte bara att bestämmelserna i denna förordning har åsidosatts, utan även att denna överträdelse har orsakat vederbörande materiell eller immateriell skada. |
57 |
I artikel 82.1 i dataskyddsförordningen föreskrivs att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”. |
58 |
Det framgår av ordalydelsen i denna bestämmelse att enbart en överträdelse av dataskyddsförordningen inte räcker för att ge rätt till ersättning. Förekomsten av en ”skada” som har ”lidits” utgör nämligen ett av villkoren för den rätt till ersättning som föreskrivs i nämnda bestämmelse, liksom att det ska föreligga en överträdelse av förordning och ett orsakssamband mellan denna skada och denna överträdelse, varvid dessa tre villkor är kumulativa (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 32 och 42; dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkt 77, dom av den 14 december 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punkt 14, och dom av den 21 december 2023, Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, punkt 82). |
59 |
Vad särskilt gäller immateriell skada har domstolen även slagit fast att artikel 82.1 i dataskyddsförordningen utgör hinder för nationell lagstiftning, eller praxis, enligt vilken en förutsättning för ersättning för immateriell skada, såsom denna definieras i artikel 4 led i denna förordning, är att den skada som den registrerade har lidit är av en viss allvarlighetsgrad (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 51, dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkt 78, och dom av den 14 december 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punkt 16). |
60 |
En registrerad som berörs av en sådan överträdelse av dataskyddsförordningen som har haft negativa konsekvenser för vederbörande måste visa att dessa konsekvenser utgör en immateriell skada, i den mening som avses i artikel 82 i förordningen, eftersom enbart en överträdelse av förordningens bestämmelser inte räcker för att ge rätt till ersättning (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 42 och 50, dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkt 84, och dom av den 14 december 2023, Gemeinde Ummendorf,C‑456/22, EU:C:2023:988, punkterna 21 och 23). |
61 |
Mot bakgrund av det ovanstående ska den andra frågan besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att den som begär ersättning enligt denna bestämmelse är skyldig att visa inte bara att bestämmelserna i denna förordning har åsidosatts, utan även att denna överträdelse har orsakat vederbörande materiell eller immateriell skada. |
Den femte frågan
62 |
Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas så, att för det fall att en handling som innehåller personuppgifter har överlämnats till en obehörig tredje part som inte, vilket har konstaterats, har fått kännedom om dessa uppgifter, så kan en ”immateriell skada”, i den mening som avses i denna bestämmelse, uppkomma genom att den registrerade, till följd av att uppgifterna har lämnats ut, vilket gjort det möjligt att upprätta en kopia av handlingen innan den återlämnades, befarar att uppgifterna i framtiden kommer att spridas eller till och med missbrukas. |
63 |
Det ska preciseras att den hänskjutande domstolen i förevarande fall har påpekat dels att handlingen med de berörda uppgifterna återlämnades till käranden i det nationella målet inom en halvtimme efter det att den lämnades ut till en obehörig tredje part, dels att denna tredje part senare inte fick kännedom om dessa uppgifter innan det att handlingen återlämnades. Käranden har emellertid gjort gällande att överlämnandet gav nämnda tredje part möjlighet att ta kopior av handlingen innan den återlämnades och att utlämnandet således gav upphov till en fruktan hos käranden på grund av risken för att dennes uppgifter skulle komma att missbrukas i framtiden. |
64 |
Eftersom artikel 82.1 i dataskyddsförordningen inte innehåller någon hänvisning till medlemsstaternas interna rätt, ska begreppet ”immateriell skada”, i den mening som avses i denna bestämmelse, ges en självständig och enhetlig definition som är specifik för unionsrätten (se, för ett liknande resonemang, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 30 och 44, och dom av den 14 december 2023, Krankenversicherung Nordrhein, C‑456/21, EU:C:2023:988, punkt 15). |
65 |
Domstolen har konstaterat följande. Det framgår inte bara av ordalydelsen i artikel 82.1 i direktivet, jämförd med skälen 85 och 146 i samma förordning – enligt vilka begreppet ”immateriell skada”, i den mening som avses i den första bestämmelsen, ska ges en vid tolkning –, utan även av förordningens syfte att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av deras personuppgifter, att den fruktan som en registrerad känner för att hans eller hennes personuppgifter kan komma att missbrukas av tredje part till följd av en överträdelse av förordningen, i sig kan anses utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, punkterna 79–86). |
66 |
Domstolen har även, på grundval av såväl bokstavliga och systematiska överväganden som teleologiska överväganden, slagit fast att förlusten av kontroll över personuppgifter under en kort tidsperiod kan vålla den registrerade en ”immateriell skada”, i den mening som avses i artikel 82.1 i dataskyddsförordningen, som ger rätt till ersättning under förutsättning att denna person visar att han eller hon faktiskt har lidit en sådan skada, även om den är obetydlig, varvid enbart den omständigheten att bestämmelserna i denna förordning har åsidosatts inte i sig räcker för att ge rätt till ersättning på denna grund (se, för ett liknande resonemang, dom av den 14 december 2023, Krankenversicherung Nordrhein, C‑456/22, EU:C:2023:988, punkterna 18–23). |
67 |
På samma sätt påpekar domstolen att det i förevarande är förenligt med såväl ordalydelsen i artikel 82.1 dataskyddsförordningen som det skyddssyfte som eftersträvas med denna förordning, att begreppet ”immateriell skada” omfattar en situation där den registrerade hyser välgrundad fruktan, vilket det ankommer på den nationella domstolen att kontrollera, för att vissa av dennes personuppgifter kommer att spridas eller missbrukas av tredje part i framtiden, på grund av att en handling innehållande dessa uppgifter har överlämnats till en obehörig tredje part som har getts möjlighet att ta kopior av handlingen innan denna återlämnades. |
68 |
Icke desto mindre ankommer det på käranden i en talan om ersättning som grundas på artikel 82 i dataskyddsförordningen att visa att det föreligger en sådan skada. En rent hypotetisk risk för missbruk från tredje part kan till exempel inte ge rätt till ersättning. Så är fallet när ingen tredje part har fått kännedom om de aktuella personuppgifterna. |
69 |
Den femte frågan ska således besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas så, att för det fall att en handling som innehåller personuppgifter har överlämnats till en obehörig tredje part som inte, vilket har konstaterats, har fått kännedom om dessa uppgifter, så kan en ”immateriell skada”, i den mening som avses i denna bestämmelse, inte uppkomma genom att den registrerade, till följd av att uppgifterna har lämnats ut, vilket gjort det möjligt att upprätta en kopia av handlingen innan den återlämnades, befarar att uppgifterna i framtiden kommer att spridas eller till och med missbrukas. |
Rättegångskostnader
70 |
Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla. |
Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande: |
|
|
|
|
|
Underskrifter |
( *1 ) Rättegångsspråk: tyska.