ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

M. CAMPOS SÁNCHEZ-BORDONA

представено на 6 октомври 2022 година(1)

Дело C‑300/21

UI

срещу

Österreichische Post AG

(Преюдициално запитване, отправено от Oberster Gerichtshof (Върховен съд, Австрия)

„Преюдициално запитване — Защита на личните данни — Регламент (ЕС) 2016/679 — Нематериална вреда, претърпяна в резултат на незаконосъобразно използване на данни — Условия за възникване на правото на обезщетение — Вреди, надхвърлящи определен праг на значимост“

1.        Регламент (ЕС) 2016/679(2) предоставя на всяко лице, претърпяло материални или нематериални вреди в резултат на нарушение на разпоредбите на този регламент, правото да получи обезщетение от администратора или от обработващия лични данни.

2.        Възможността това право да бъде упражнено по съдебен ред, е съществувала и съгласно предходната правна уредба (член 23 от Директива 95/46/ЕО)(3), макар същата да не е била използвана често(4). Освен ако не греша, Съдът не е предоставял конкретно тълкуване на посочената разпоредба.

3.        При действието на ОРЗД исковете за обезщетение придобиват по-голямо значение(5). Техният брой е нараснал съществено пред съдилищата на държавите членки, което намира отражение в съответните преюдициални запитвания(6). В настоящото производство Oberster Gerichtshof (Върховен съд, Австрия) иска от Съда да уточни някои основни аспекти на режима на гражданска отговорност, установен с ОРЗД.

I.      Правна уредба. ОРЗД

4.        От значение в настоящото производство са по-специално съображения 75, 85 и 146 от преамбюла на ОРЗД.

5.        Член 6 („Законосъобразност на обработването“) гласи:

„1.      Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a)      субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

[…]“.

6.        Член 79 („Право на ефективна съдебна защита срещу администратор или обработващ лични данни“), параграф 1 предвижда:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

7.        Член 82 („Право на обезщетение и отговорност за причинени вреди“), параграф 1 гласи:

„Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

II.    Фактите, спорът в главното производство и преюдициалните въпроси

8.        От 2017 г. Österreichische Post AG — издателство за публикуване на адреси, събира информация за партийните пристрастия на австрийското население. С помощта на алгоритъм посоченото издателство определя „адреси на целеви групи“ в зависимост от определени социално-демографски характеристики.

9.        UI е физическо лице, спрямо което Österreichische Post е извършило екстраполиране на база статистически данни, за да определи включването му в някоя от евентуалните групи адресати на предизборна реклама на няколко политически партии. От това екстраполиране се установява, че UI е симпатизант на една от тези партии. Разглежданите данни не са предоставени на трети лица.

10.      UI, който не е дал съгласие за обработване на личните му данни, е недоволен от факта, че данните му, отнасящи се до партийните му предпочитания, са били съхранени, а освен това е недоволен и обиден от политическите предпочитания, които са му били приписани от Österreichische Post.

11.      UI е поискал обезщетение в размер на 1000 EUR за нематериални вреди (душевни терзания). Той твърди, че приписаните му партийни предпочитания са обидни, унизителни и клеветнически. UI твърди още, че действията на Österreichische Post са предизвикали у него голямо негодувание и загуба на доверие, както и чувство на унижение.

12.      Първоинстанционният съд отхвърля иска на UI за обезщетение(7).

13.      Въззивната инстанция потвърждава първоинстанционното решение. Тя постановява, че обезщетение за нематериални вреди не следва автоматично от всяко нарушение на ОРЗД, както и че:

–      доколкото австрийското право се прилага като допълващо ОРЗД, на обезщетяване подлежат само вредите, които надхвърлят емоционалните вреди („Gefühlsschaden“), причинени в резултат на нарушението на правата на ищеца,

–      необходимо е да се следва залегналият в основата на австрийската правна уредба принцип, че всеки е длъжен да търпи чувства, представляващи просто раздразнение, които нямат за последица поправяне на вреди. С други думи, правото на обезщетение налага известна значимост на твърдените вреди.

14.      Решението на въззивната инстанция се обжалва пред Oberster Gerichtshof (Върховен съд), който отправя до Съда следните преюдициални въпроси:

„1)      Присъждането на обезщетение съгласно член 82 от ОРЗД […] изисква ли наред с наличието на нарушение на разпоредбите на ОРЗД и ищецът да е претъпял вреди, или нарушението на разпоредбите на ОРЗД като такова само по себе си е достатъчно за присъждането на обезщетение за вреди?

2)      Наред с принципите на ефективност и на равностойност съществуват ли и други изисквания на правото на Съюза по отношение на определянето на размера на обезщетението за вреди?

3)      Съвместимо ли е с правото на Съюза становището, че условие за присъждането на обезщетение за нематериални вреди е да е налице следствие или последица от правонарушението, което или която имат поне известна тежест, надхвърляща причинените в резултат на правонарушението неприятности?“.

III. Производството пред Съда

15.      Актът за преюдициално запитване постъпва в Съда на 12 май 2021 г.

16.      Писмени становища представят UI, Österreichische Post, австрийското, чешкото и ирландското правителство, както и Европейската комисия. Провеждането на съдебно заседание не е счетено за необходимо.

IV.    Анализ

А.      Предварителни бележки

1.      По допустимостта

17.      UI твърди, че първият преюдициален въпрос е неотносим за решаването на спора в главното производство, тъй като неговият иск не се основава на „самото“ нарушение на разпоредба от ОРЗД, а на последиците от това нарушение.

18.      Посоченото възражение за недопустимост следва да се отхвърли. Дори да се приеме, че обработването на данни нарушава ОРЗД без да е налице вреда за UI, за последния може да възникне право на обезщетение на основание член 82 от ОРЗД, ако на въпроса на запитващата юрисдикция бъде отговорено в смисъл, че нарушението на разпоредбите за обработването на данни само по себе си е достатъчно за възникването на такова право на обезщетение.

19.      Според UI Съдът би могъл да обяви за недопустим и втория преюдициален въпрос, тъй като този въпрос е в голяма степен отворен що се отнася до съдържанието му и същевременно прекалено ограничен що се отнася до изискванията на правото на Съюза, без да е посочено нито едно конкретно изискване.

20.      Макар че е по-добре обосновано от предходното, това възражение също трябва да бъде отхвърлено. Напълно легитимно е дадена юрисдикция да иска да установи дали при оценката на определена вреда, освен да се придържа към принципите на ефективност и на равностойност, тя трябва да се съобразява и с други изисквания, наложени от правото на Съюза.

2.      Определяне на предмета на настоящото заключение

21.      Член 82 от ОРЗД се състои от шест параграфа. Запитващата юрисдикция не посочва никой от тях конкретно, но имплицитно се позовава на първия параграф. Тя не конкретизира и нормата, чието нарушение би породило право на обезщетение.

22.      В настоящото заключение ще изходя от следните предпоставки:

–      обработването на личните данни на UI е извършено без неговото съгласие по смисъла на член 6, параграф 1, буква а) от ОРЗД,

–      право на обезщетение има всеки, който е претърпял вреди. В разглеждания случай UI, като идентифицирано и засегнато от обработването на личните му данни лице, има качеството на „субект на данни“(8),

–      ОРЗД урежда обезщетяването както на материални, така и на нематериални вреди. Искът на UI е сведен до последните и има за предмет присъждането на парично обезщетение.

Б.      По първия преюдициален въпрос

23.      С първия си преюдициален въпрос запитващата юрисдикция иска да се установи най-общо дали нарушението на разпоредбите на ОРЗД само по себе си е достатъчно за възникване на правото на обезщетение, независимо дали е причинена вреда.

24.      От твърденията на запитващата юрисдикция и от представените пред Съда становища може да се заключи, че този въпрос позволява още един, малко по-сложен прочит: става дума за това да се установи дали нарушението на разпоредбите на ОРЗД при всички положения причинява вреда, която води до възникване на правото на обезщетение, без ответникът да има възможност да докаже обратното.

25.      Съществува известна (теоретична) разлика между двата прочита: при първия от тях вредата не е предпоставка за възникване на правото на обезщетение, докато при втория тя е такава предпоставка. На практика и в двата случая изискването ищецът да докаже вредата, престава да съществува, като той не трябва да доказва и причинно-следствената връзка между нарушението и съответната вреда(9).

26.      Във всички случаи ще посоча, че според мен нито един от двата прочита не позволява на първия въпрос следва да се отговори утвърдително. Ще се спра на всеки от тях поотделно.

1.      Обезщетение без вреда?

27.      Да се приеме твърдението, че за субекта на данните възниква право на обезщетение, въпреки че от нарушението на ОРЗД не са настъпили вреди, е свързано с очевидни трудности, първата от които произтича от текста на разпоредбата на член 82, параграф 1 от посочения регламент.

28.      Съгласно тази разпоредба правото на обезщетение(10) се признава именно поради наличието на претърпяна вреда. Следователно е безспорно изискването съответното физическо лице да е претърпяло вреда в резултат на нарушение на ОРЗД.

29.      С други думи, тълкуване, което свързва автоматично понятието „нарушение“ с понятието „обезщетение“, без да е налице вреда, не съответства на текста на разпоредбата на член 82 от ОРЗД. Подобно тълкуване не съответства и на основната цел на въведената с ОРЗД гражданската отговорност, съгласно която субектът на данните трябва да бъде удовлетворен именно чрез „пълно и действително“ обезщетяване на претърпяната от него вреда(11).

30.      При отсъствието на вреда обезщетението вече няма да компенсира неблагоприятните последици, породени от нарушението, а ще има действие от друг характер, който ще бъде по-скоро наказателен.

31.      При все това е възможно правният ред на дадена държава членка да предвижда заплащането на обезщетение с наказателен характер(12). Такъв ще бъде случаят при присъждането на значителна сума, надхвърляща конкретното обезщетяване на съответната вреда.

32.      Обезщетенията с наказателен характер поначало не са следствие от наличието на претърпяна вреда. Това означава, че техните имуществени последици не са обвързани от размера на обезщетението, съответстващо на тази вреда.

33.      Не е възможно обаче дадено обезщетение с наказателен характер да не отчита вредата или същата да бъде приета за неотносима за удовлетворяване на лицето, което претендира такова обезщетение.

34.      Отговорът на първия преюдициален въпрос ме задължава да анализирам доколко този вид обезщетения попадат в обхвата на ОРЗД, още повече че същите се посочват в акта за преюдициално запитване и в становищата на страните и на встъпилите страни в преюдициалното производство.

2.      Обезщетение с наказателен характер?

а)      Буквално тълкуване

35.      Към класическата функция на гражданската отговорност може да бъде прибавена и друга с „наказателен“ или „назидателен“ характер, при която, както вече посочих, размерът на обезщетението не съответства на претърпяната вреда, а е по-висок от нея или дори я надхвърля многократно.

36.      Поначало правото на Съюза допуска подобни обезщетения в случаи на нарушение на неговите норми, ако такива обезщетения могат да бъдат присъдени по сходни искове, основани на националното право(13).

37.      Обезщетенията с наказателен характер имат възпираща цел. Постигането на тази цел е възможно, когато държавите членки са приели мерки, насочени да произведат „реално възпиращо действие“ в случаите на нарушение на дадена директива(14). Някои директиви предвиждат изрично, че целта на присъдените обезщетения с наказателен характер трябва да бъде възпираща(15).

38.      В други текстове обаче законодателят е приел, че целта на съответната директива не е „да се въвежда задължение [да се предвидят обезщетения с наказателен характер]“(16), както и че държавите членки трябва да избягват този вид обезщетения при транспонирането ѝ(17). В правото на Съюза присъждането на така наречените „обезщетения с наказателен характер“ се допуска по изключение(18).

39.      В ОРЗД по никакъв начин не се посочва, че обезщетението за материални или нематериални вреди има наказателен характер, нито че определянето на размера на това обезщетение трябва да отразява подобен наказателен характер или че същото трябва да има възпиращо действие (което е присъщо на наказателните санкции и административните глоби)(19). Следователно от гледна точка на буквалното тълкуване на ОРЗД обезщетенията с наказателен характер са недопустими.

б)      Тълкуване с оглед на предходните разпоредби

40.      Предшественик на разпоредбата на член 82, параграф 1 от ОРЗД е член 23, параграф 1 от Директива 95/46. Последната посочена разпореда е била част от система, чиято ефективност се е основавала на прилагането от страна на публичните органи и на прилагането от страна на частноправните субекти(20), но при която „обезщетението“ (частноправно) и „санкцията“ (публична) са били разграничени(21). Контролът по изпълнението е бил задължение основно на независими надзорни органи(22).

41.      ОРЗД възприема същия модел, но засилва средствата за гарантиране на ефективността на неговите разпоредби, които вече са по-подробни, както и на предвидените противодействия, които вече са по-строги, при нарушение или опасност от нарушение на тези разпоредби:

–      от една страна, Регламентът увеличава правомощията на надзорните органи, на които се възлага, наред с други задължения, и задължението да наложат хармонизираните санкции, предвидени в самия регламент(23). По този начин се подчертава публичният елемент при прилагането на разпоредбите,

–      от друга страна, Регламентът предвижда, че физическите лица упражняват правото на защита, което същият им предоставя(24), или чрез сезирането на надзорните органи (член 77), или по съдебен ред (членове 79 и 82). Освен това член 80 допуска определени структури да предявяват колективни искове(25), което улеснява достъпа на физическите лица до ефективна защита(26).

42.      Установяването на еднакъв режим на гражданска отговорност за вреди в ОРЗД е ограничено. Някои аспекти от Директива 95/46, които са оставяли място за съмнения — като включването на нематериалните вреди в обхвата на обезщетяването(27) — вече са конкретизирани. Преговорите във връзка с приемането на регламента са били съсредоточени върху други аспекти на този режим(28).

43.      В рамките на подготвителните работи по приемането на ОРЗД не забелязвам какъвто и да било дебат относно евентуалната наказателна функция на установената в този регламент гражданска отговорност. Следователно, при отсъствието на каквото и да било обсъждане в този смисъл, не може да се направи извод за включването на посочената функция в член 82 от ОРЗД, още повече като се вземе предвид наличието на такъв дебат относно включването ѝ в други актове от правото на Съюза(29).

44.      При това положение считам, че искът по член 82, параграф 1 от ОРЗД е замислен и установен да служи на обичайната функция на гражданската отговорност: обезщетяване на вредите (по отношение на засегнатото лице) и на второ място, превенция на бъдещи вреди (по отношение на нарушителя).

в)      Контекстуално тълкуване

45.      Както вече посочих, член 82 от ОРЗД е част от система за гарантиране на ефективността на правилата, при която действията на частноправните субекти допълват прилагането му от страна на публичните органи. Обезщетението, което дължат администраторите или на обработващите лични данни, допринася за тази ефективност.

46.      Задължението за обезщетяване действа (в идеалния случай) като стимул да се действа по-внимателно в бъдеще, придържайки се към правилата и недопускайки нови нарушения. По този начин, претендирайки обезщетение за себе си, всяко лице допринася за общата ефективност на правилата.

47.      В този контекст, компенсаторната и наказателната функция са разграничени:

–      наказателната функция включва санкциите, които надзорните органи и съдилищата могат да налагат (член 83, параграфи 1 и 9 от ОРЗД), както и други санкции, приети от държавите членки в приложение на член 84 от ОРЗД(30),

–      компенсаторната функция се обслужва от жалбите на физическите лица (член 77) и от съдебните производства (член 79). Надзорните органи обаче нямат право да се произнасят относно правото на обезщетение.

48.      В същия смисъл е и разделението на функциите на обезщетителна и наказателна:

–      при налагането на глоба и определянето на нейния размер компетентният орган трябва да извърши преценка на елементите, изброени в член 83 от ОРЗД, които не са предвидени в областта на гражданската отговорност и поначало не са приложими при определянето на размера на обезщетението(31),

–      макар степента на претърпяната от засегнатото лице вреда да е фактор от значение за определяне на глобата(32), не е необходимо при определянето на нейния размер да се взема предвид евентуалното обезщетение, което това лице може да получи(33).

49.      От теоретична гледна точка тълкуване, което придава на гражданската отговорност наказателна функция при отсъствието на каквато и да било вреда, създава риск от превръщането на обезщетителните механизми в дублиращи санкционните.

50.      На практика лесното получаване на облага „с наказателен характер“ под формата на обезщетение би могло да стимулира субектите на данни да предпочетат този способ за защита пред способа по член 77 от ОРЗД. Ако това бъде допуснато, надзорните органи биха били лишени от едно от средствата (жалбата на субекта на данни) за узнаване и следователно за проверка и санкциониране на евентуалните нарушения на ОРЗД, в ущърб на най-подходящите инструменти за защита на общия интерес.

г)      Телеологично тълкуване

51.      Основните цели на ОРЗД са две и са прогласени още в неговото наименование: а) от една страна, „защитата на физическите лица във връзка с обработването на лични данни“; б) от друга страна, тази защита да се установи по такъв начин, че „свободното движение на такива данни в рамките на Съюза да не се ограничава, нито забранява“(34).

52.      Считам, че за постигането на тези цели ОРЗД не изисква нарушението на правилата, които уреждат обработването, само по себе си да е основание за предоставяне на обезщетение, придавайки на гражданската отговорност санкционни функции.

53.      Що се отнася до първата цел, за нейното постигане не е необходимо приложното поле на член 82 от ОРЗД да бъде разширявано по тълкувателен път, като в него бъдат включени хипотези, при които е налице нарушение на дадено правило, но не и вреда. В замяна на това подобно разширяване на приложното поле би могло да засегне по неблагоприятен начин втората цел.

54.      Вече посочих, че ОРЗД предвижда различни механизми за гарантиране спазването на неговите разпоредби, които съществуват съвместно и се допълват. Държавите членки не трябва да избират (нито на практика имат право да направят това) измежду механизмите по глава VIII, за да гарантират защитата на данни. При наличието на нарушение, което не е причинило вреда, субектът на данните все още разполага с правото (най-малкото) да подаде жалба пред надзорния орган на основание член 77, параграф 1 от ОРЗД.

55.      Освен това възможността за получаване на обезщетение независимо от липсата на каквато и да била вреда вероятно би насърчила образуването на гражданските производства в резултат от искове, които едва ли винаги ще бъдат основателни(35), и в този смисъл би могла да произведе възпиращ ефект по отношение на дейността по обработване на данни(36).

3.      Презумпция за вина?

56.      В някои от становищата на страните в производството се предлага различен от разглеждания до момента прочит на първия преюдициален въпрос. Ако правилно разбирам изложеното от тях(37), тези страни, изглежда, твърдят, че при извършено нарушение на съответното правило е налице необорима презумпция за съществуването на вреда.

57.      Посочените страни допълват, че такова нарушение при всички положения води до загуба на контрол върху данните, което само по себе си представлява подлежаща на обезщетяване вреда на основание член 82, параграф 1 от ОРЗД.

58.      На теория твърдяната презумпция не допуска да се изключи наличието на вреда, което съответства на обичайното съдържание на гражданската отговорност, както и на текста на разпоредбата от ОРЗД. На практика обаче и за ищеца, и за ответника последиците от признаването на посочената презумпция биха били сходни на тези, произтичащи от обуславянето на обезщетението по член 82, параграф 1 от ОРЗД в зависимост единствено от нарушаването на съответното правило.

59.      Отново ще прибягна до обичайните тълкувателни способи, за да обясня защо не приемам това тълкуване за правилно.

а)      Буквално тълкуване

60.      Когато в други области от правото на Съюза законодателят е приел, че при нарушение на дадено правило автоматично възниква правото на обезщетение, той не се е поколебал да предвиди това(38). Не такъв е случаят с ОРЗД, в който се съдържат правила относно доказването или с непосредствени последици за доказването(39), но не и подобна автоматична връзка била тя пряка, или в резултат на необорима презумпция.

61.      Позоваването на контрола върху данните (или загубата на този контрол) в съображения 75(40) и 85(41) от ОРЗД според мен не компенсира посочената липса. Освен че съображения като разглежданите нямат нормативна стойност, в никое от тях не се посочва, че нарушението на дадено правило само по себе си предполага наличието на подлежаща на обезщетяване вреда:

–      в съображение 75 лишаването от контрол върху личните данни се посочва като един от възможните рискове при обработването на данни,

–      в съображение 85 загубата на контрол се посочва като една от последиците, които биха могли да настъпят при нарушаване на сигурността на лични данни(42).

62.      Не е задължително загубата на контрол върху данните неминуемо да причинява вреда. Изразът може да се приеме като езикова формулировка, описваща вредите от подобна загуба на контрол при евентуалното им настъпване(43).

б)      Тълкуване с оглед на предходните разпоредби

63.      Анализът на предходните разпоредби също не подкрепя съществуването на разглежданата презумпция, която не присъства в Директива 95/46(44), нито се споменава в разгледаните от мен подготвителни документи по приемането на ОРЗД на Комисията, на Европейския парламент и на Съвета.

в)      Контекстуално тълкуване

64.      Системата, създадена с ОРЗД, съдържа елементи, които оборват твърдението за наличието на разглежданата презумпция, отправна точка сред които е съгласието на субекта на данните(45). Като способ за контрол от страна на субекта върху личните данни подобно съгласие легитимира тяхното обработване в същата степен, както други правни основания (член 6 от ОРЗД)(46).

65.      Законосъобразно обработване на лични данни без разрешението на субекта на данните и следователно извън контрола, който се изразява в предоставянето или в отказа да се предостави това разрешение, е допустимо. Важността на контрола в рамките на системата в крайна сметка не е абсолютна.

66.      Освен това ОРЗД предвижда други възможности за упражняване на разглеждания контрол: например правото на изтриване, което задължава администратора на лични данни да изтрие „без ненужно забавяне“ съответната информация(47).

67.      За лицето, чиито данни се обработват, това право служи като предпазен клапан в режима за защита: то е налице (като общо правило), когато администраторът не е получил съгласието на субекта на данните, както и когато не съществува друго законово основание за обработването на данните; а също така не зависи от това дали въпросното обработване причинява вреда(48).

г)      Телеологично тълкуване

1)      Контролът от страна на субекта на данните върху личните му данни представлява ли цел на ОРЗД?

68.      Автоматичното приравняване на обработването на лични данни без съгласието на субекта на данните на вреда, подлежаща на обезщетяване, предполага, че контролът, в основата на който стои съгласието, представлява ценност сам по себе си.

69.      Признавам, че на пръв поглед този извод не е лишен от основание. Контролът от страна на гражданите върху техните лични данни присъства в предложението на Комисията като един от основните мотиви за реформата(49). В съображение 7 от ОРЗД се посочва, че „[ф]изическите лица следва да имат контрол върху собствените си лични данни“.

70.      Истината е, че извън дебата в правната доктрина, който това понятие предизвиква, то трябва да бъде тълкувано предпазливо. В ОРЗД не се съдържа (нито откривам на друго място) точно определение за понятието „контрол“(50). Това понятие може да има най-малко две значения, които не са взаимоизключващи се: „власт“ или „ръководство“ и „надзор“.

71.      Формулировката на съображение 7 от ОРЗД създава известна несигурност поради различията в текста на различни езици(51). Изхождайки от негово съдържание, считам, че ОРЗД предоставя на субекта на данните правомощия за надзор и намеса при интервенции, които други лица осъществяват върху данните, като инструмент (наред с други) за защитата на тези данни.

72.      Самият субект на данните допринася и носи отговорност за информацията, съдържаща се в данните, в степента — като ниво и условия, която ОРЗД предвижда. Обхватът на индивидуалните действия е ограничен: той е сведен, що се отнася до изброените в ОРЗД права, до упражняването им при конкретни условия.

73.      Съгласието на субекта на данните като най-висш израз на контрол(52) е само едно от правните основания за законосъобразно обработване, което обаче не може да отстрани неизпълнението на останалите задължения и условия, установени в тежест на администратора и обработващия лични данни.

74.      Не считам за логично да се приеме, че ОРЗД има за цел да придаде самостоятелна ценност на контрола върху личните данни от страна на субекта на данните. Нито че субектът на данни трябва да има възможно най-голям контрол върху тези данни.

75.      Този извод не е изненадващ. От една страна, не е очевидно, че контролът, разглеждан като власт върху данните, е част от съдържанието на основното право на защита на личните данни(53). От друга страна, възприемането на това право като право на информационно самоопределяне далеч не е единодушно: в член 8 от Хатата не се използва подобен изказ(54).

76.      В този ред на мисли в окончателната редакция на ОРЗД не е включено съображение, което гласи, че „правото на защита на лични данни се основава на правото на субекта на данните да упражнява контрол върху обработваните лични данни“(55).

77.      Изложените разсъждения, вероятно прекалено абстрактни, ме навеждат на извода, че когато субектът на данните не е съгласен с дадено обработване и същото не се извършва на друго правно основание, това не означава, че този субект на данни трябва да бъде финансово компенсиран поради загубата на контрол върху неговите данни, все едно, че тази загуба сама по себе си предполага подлежащо на обезщетяване увреждане(56). Обстоятелството, което трябва да бъде установено (и доказано), е дали е претърпяна вреда(57).

2)      Контролът от страна на субекта на данни в рамките на конкретния контекст

78.      Считам за необходимо да припомня, че защитата на личните данни е прогласена като цел на ОРЗД едновременно с целта да се гарантира свободно движение на данните(58).

79.      Засилването на контрола от страна на гражданите върху тяхната лична информация в цифровата среда е една от признатите цели на осъвременяването на режима на защита на лични данни, но тя не представлява независима или изолирана цел.

80.      В съобщението, придружаващо предложението на Комисията за ОРЗД, тя асоциира високото ниво на защита на личните данни с доверието в онлайн услугите, което позволява да се реализира потенциалът на цифровата икономика и да се насърчат „икономическият растеж и конкурентоспособността на предприятията в ЕС“. Обновяването (и засилената хармонизация) на правната уредба на Съюза усъвършенства „свързаното с единния пазар измерение на защитата на данните“(59).

81.      При очевидната стойност на данните (лични и нелични) за икономическия и социален напредък в Европа, ОРЗД няма за цел да увеличи контрола от страна на физическите лица върху тяхната лична информация, съобразявайки се единствено с техните предпочитания, а да съвмести правото на защита на личните данни на отделния индивид с интересите на трети лица и на обществото(60).

82.      Ще повторя, ОРЗД няма за цел установяването на система за ограничаване на обработването на лични данни, а да направи това обработване законосъобразно при строги условия. На тази цел служи, преди всичко, укрепването на доверието на субекта на данните, че обработването ще се осъществява в сигурна среда(61), за която самият той допринася. По този начин се насърчава неговата готовност доброволно да разрешава достъпа до и използването на личните му данни, по-специално при търговските транзакции онлайн.

В.      По втория преюдициален въпрос

83.      Запитващата юрисдикция иска да се установи дали „[н]аред с принципите на ефективност и на равностойност съществуват […] и други изисквания на правото на Съюза по отношение на определянето на размера на обезщетението за вреди“.

84.      Всъщност не изглежда принципът на равностойност да е от значение в случая: хармонизираният режим на ОРЗД е с директно приложение в съответната област, а член 82 от него се прилага за всички нематериални вреди, настъпили в резултат на дадено нарушение, независимо на какво се дължат.

85.      Този извод е приложим и спрямо принципа на ефективност. Отделен въпрос е, че съгласно текста на съображение 146 от ОРЗД (субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди) обезщетението трябва да има определено съдържание.

86.      Единственото изискване на член 82 от ОРЗД е наличието на нарушение на този регламент, в резултат на което дадено лице е претърпяло материални или нематериални вреди. Разпоредбата не предоставя насоки на националните юрисдикции относно определянето на размера на обезщетението за тези вреди.

87.      С оглед на двете посочени по-горе прилагателни (пълно и действително), обезщетението ще зависи на първо място от предявения от конкретния ищец иск.

88.      Ако този иск е за присъждането на наказателно обезщетение(62), отговорът на първия преюдициален въпрос би бил достатъчен: този вид обезщетения не фигурират в ОРЗД. В рамките на разглеждания регламент гражданската отговорност има „частноправна“ компенсаторна функция, докато глобите и санкциите изпълняват публичната функция за възпиране и съобразно случая, за санкциониране.

89.      Възможно е поисканото обезщетение за нематериални вреди да включва компоненти, различни от чисто паричните — например признаване на съществуването на нарушението, с което на ищеца се дава известно морално удовлетворение. Решение на Съда от 15 април 2021 г.(63), макар и постановено в област, различна от защитата на данни, би могло, по аналогия, да позволи уважаването на такава претенция.

90.      В правните системи, в които това е предвидено, режимът на гражданска отговорност може да допуска осъждане на основание признаването на дадено право (заплащане на символично обезщетение) или възстановяване на недължимо полученото (предаване на незаконосъобразно получената печалба).

91.      В основата на първата от тези категории стои идеята за запазване и реализиране на съответното право („Rechtsfortsetzungfunktion“) посредством чисто символично обезщетение, наред с признаването, че ответникът е действал незаконосъобразно и е нарушил правата на ищеца. Член 82 от ОРЗД и подготвителните работи по приемането на регламента не съдържат и намек за такава възможност, което не е изненадващо, тъй като тя не е присъща за правните системи на държавите членки(64), а там, където съществува, е обект на полемика(65).

92.      Въпреки това структурата на ОРЗД и неговите цели допускат държавите членки, в които това средство за защита съществува, да го предоставят на засегнатите лица при нарушение на дадено правило в рамките на жалбите по член 79 от Регламента, в случаите, когато е налице пълно отсъствие на вреда. Ако обаче ищецът твърди, че е претърпял имуществена вреда, искът се урежда от член 82 от ОРЗД, а евентуални трудности за доказването му не трябва да бъдат основание за присъждането на символично обезщетение(66).

93.      Що се отнася до присъждането на обезщетения, състоящи се в предаване на паричната сума, получена в резултат на нарушение на дадено право, тяхна цел е да лишат извършителя на нарушението от получената печалба. Извън сферата на интелектуалната собственост(67) тази цел не е присъща за сферата на гражданската отговорност, която се интересува по-скоро от загубата на увреденото лице, отколкото от печалбата на нарушителя(68). Посочената цел не присъства в текста на ОРЗД.

94.      Излагам тези съображения, за да улесня задачата на запитващата юрисдикция с оглед на широката формулировка на втория преюдициален въпрос. Наясно съм обаче, че от тях едва ли ще има някаква полза за произнасянето по иск, с който субектът на данните претендира обезщетение за нематериални вреди, което е изцяло парично.

Г.      По третия преюдициален въпрос

95.      Запитващата юрисдикция иска да разбере, дали ОРЗД поставя като условие за присъждането на обезщетение за нематериални вреди наличието на „поне известна тежест, надхвърляща причинените в резултат на правонарушението неприятности“.

96.      В акта за преюдициално запитване като критерий за определяне на подлежащите на обезщетяване вреди се посочва тежестта на преживяното от засегнатото лице. Запитващата юрисдикция обаче не поставя въпроса (поне директно) дали дадени емоции или усещания, предвид съдържанието им, са относими за целите на приложението на член 82, параграф 1 от ОРЗД(69).

97.      Така въпросът, който се поставя, е дали държавите членки могат да обвържат обезщетението за нематериална вреда с тежестта на последиците, произтичащи от нарушението на съответното правило, признавайки само тези, които надхвърлят определен праг на значимост. Следователно въпросът не се отнася до видовете вреди, пораждащи право на обезщетение(70), или до размера на обезщетението, а е за наличието на минимален праг на реакция на засегнатото лице, под който обезщетение няма да му бъде присъдено.

98.      Член 82 от ОРЗД не предоставя директен отговор на този въпрос. Според мен същото важи и за съображения 75 и 85 от Регламента. Тези съображения съдържат примерно изброяване на вредите и завършват с отворен текст, който, изглежда, ограничава подлежащите на обезщетяване вреди до „значителни“ такива.

99.      Не считам обаче, че тези съображения са от полза за разрешаване на въпроса на запитващата юрисдикция:

–      съображение 75 се отнася до идентифицирането и оценката на рисковете от обработването на данни и приемането на мерки за тяхното избягване или намаляване. В него се посочват нежеланите последици от обработването на данни, върху някои от които се поставя акцентът „по-специално“, вероятно поради по-голямата им тежест.

–      съображение 85 се отнася до нарушенията на сигурността на данните, като се обръща внимание на евентуалното съществено значение на последиците от тези нарушения.

100. От текста на съображение 146 от ОРЗД (администраторите следва да обезщетят „всички вреди“)(71) също не могат да бъдат изведени критерии за отговора на разглеждания въпрос.

101. Посредством транспонирането на това съображение в текста на разпоредбите на ОРЗД, в обхвата на последния изрично се включват нематериалните вреди, като по този начин се замества „мълчанието“ на Директива 95/46 по този въпрос(72). При все това, конкретният въпрос, с който Съдът е сезиран понастоящем, не е застъпен.

102. Посоченото съображение 146 от ОРЗД гласи, че „[п]онятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент“.

103. Не съм сигурен, че този текст е от някаква полза в контекста на защитата на данни, доколкото към момента на приемане на ОРЗД Съдът все още не се е произнасял в тази област(73). Ако намерението е било да се направи позоваване на решенията относно гражданската отговорност, уредена в други директиви или регламенти, използването на аналогията би било от полза.

104. Всъщност Съдът не е установил едно общо определение за понятието „вреди“ което да е приложимо по еднакъв начин, независимо от съответната област(74). За това, което е от значение в случая (нематериалните вреди), от неговата практика могат да се направят следните изводи:

–      когато целта (или една от целите) на тълкуваната разпоредба е защитата на физическите лица или на конкретна категория физически лица(75), понятието за вреди следва да се тълкува в широк смисъл,

–      в съответствие с този критерий обезщетението обхваща нематериалните вреди, дори когато те не се споменават в тълкуваната разпоредба(76).

105. Дори практиката на Съда да допуска в този смисъл извода, че в правото на Съюза съществува принцип на обезщетяване на нематериалните вреди, не считам, че от тази практика може да се изведе правило, че всяка нематериална вреда, независимо от нейната тежест, подлежи на обезщетяване.

106. Съдът е приел за съвместимо с правото на Съюза национално законодателство, което за целите на определяне на размера на обезщетението разграничава неимуществените вреди вследствие на телесни наранявания, причинени при произшествия, в зависимост от причината за настъпването на тези произшествия(77).

107. Съдът е анализирал също така обстоятелствата, които могат да доведат до настъпването на нематериални вреди в съответствие с приложимата във всеки отделен случай правна уредба(78), но не се е произнесъл изрично (освен ако не греша) относно условието за тежест на тези вреди(79).

108. Ето защо считам, че на третия преюдициален въпрос следва да се отговори утвърдително.

109. В подкрепа на това становище ще припомня, че ОРЗД няма за единствена цел да гарантира основното право на защита на личните данни(80), както и че системата на този регламент за осигуряване на защита предвижда различни механизми(81).

110. В този смисъл предложеното на Съда разграничение между нематериални вреди, подлежащи на обезщетяване, и други неудобства, произтичащи от правонарушението, които поради незначителния им характер невинаги ще породят право на обезщетение, е обосновано.

111. Подобно разграничение се наблюдава в националните правни системи, като неизбежна последица от социалния живот(82). Съдът не се противопоставя и допуска това разграничение, като счита безпокойството и неудобството за категория, различна от категорията на вредите в случаите, в които приема, че те трябва да бъдат обезщетени(83). Няма пречка същото да бъде приложено и по отношение на ОРЗД.

112. Освен това правото на обезщетение по член 82, параграф 1 от ОРЗД не ми се струва подходящият инструмент за противодействие на нарушения при обработването на лични данни, ако всичко, което тези нарушения причиняват на субекта на данните, е само раздразнение или неприятности.

113. Поначало всяко нарушение на правилата за защитата на личните данни ще предизвика някаква негативна реакция у субекта на данните. Обезщетение в резултат на самото чувство на раздразнение, породено от неспазването на закона от страна на някой друг, може лесно да се смеси с обезщетение без наличие на вреда, чието наличие вече отхвърлих.

114. От практическа гледна точка, включването на обикновените неприятности сред нематериалните вреди, подлежащи на обезщетяване, е неефективно, като се вземат предвид типичните притеснения и затруднения, които са налице за ищеца при предявяването на съдебен иск(84), както и тези, които са налице за ответника, във връзка със защитата(85).

115. Отказът на право на обезщетение във връзка със слаби по интензивност и преходни чувства или емоции(86), произтичащи от дадено нарушение на правилата относно обработването на данни, не лишава изцяло субекта на данните от защита. Както посочих във връзка с първия преюдициален въпрос, системата на ОРЗД му предоставя други средства за защита.

116. Не се съмнявам, че границата между обикновените неприятности (неподлежащи на обезщетяване) и действителните нематериални вреди (които подлежат на обезщетяване) е тънка, нито отричам трудността тези две категории да бъдат принципно разграничени и конкретно приложени в съответния случай. Тази трудна задача се пада на съдилищата на държавите членки, които вероятно при приемането на своите решения няма да се дистанцират от обществените нагласи по отношение на това, което е допустимо, когато субективните последици от нарушението на дадено правило в разглежданата област не надхвърлят определен минимален праг(87).

V.      Заключение

117. На основание гореизложеното предлагам на Съда да отговори на Oberster Gerichtshof (Върховен съд, Австрия) по следния начин:

„Член 82 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че:

За признаване правото на обезщетение за вреди, претърпени от физическо лице в резултат на нарушение на разпоредбите на посочения регламент, нарушението на тези разпоредби само по себе си не е достатъчно, ако от него не произтичат съответните материални или нематериални вреди.

Обезщетението за нематериални вреди, което Регламент (ЕС) 2016/679 урежда, не обхваща обикновените неприятности, които засегнатото лице може да изпита в резултат на нарушението на разпоредбите на този регламент. Задължение на националните юрисдикции е да преценят във всеки отделен случай кога субективното усещане за раздразнение, съобразно неговите характеристики, може да се счита за нематериална вреда“.

1      Език на оригиналния текст: испански.

2      Регламент на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1); наричан по-нататък „ОРЗД“.

3      Директива на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).

4      Съгласно доклад на Агенцията на Европейския съюз за основните права (FRA), озаглавен „Access to data protection remedies in the EU Member States“, Служба за публикации на Европейския съюз, 2014 г., т. 3 и 4.

5      Признаването по законодателен ред на това право е до голяма степен особеност на системата на защита на Европейския съюз. При анализа на валидността на правните инструменти за предаване на лични данни на трети страни се взема предвид по-специално съществуването на разпоредби с такава цел. Вж. точки 226 и 227 от становище на Съда от 26 юли 2017 г., 1/15 (Споразумение PNR ЕС-Канада) (EU:C:2017:592) и решения на Съда от 16 юли 2020 г., Facebook Ireland и Schrems (C‑311/18, EU:C:2020:559) и от 21 юни 2022 г., Ligue des droits humains (C‑817/19, EU:C:2022:491).

6      Към момента на изготвяне на настоящото заключение са постъпили други седем преюдициални запитвания в тази област (дела C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22 и C‑189/22). Едновременно с това е отправено искане до Комисията по петиците на Европейския парламент да „поясни съображенията от ОРЗД по-специално във връзка с нематериалните вреди, за да се избегнат последващи неправилни решения от страна на германските съдилища“ (петиция № 0386/2021).

7      Посочената юрисдикция е уважила искането за преустановяване на действията на ответника, което разпореждане е потвърдено от въззивната инстанция. Ревизионната (касационна) жалба на Österreichische Post срещу разпореждането за преустановяване е отхвърлена.

8      Използвам това понятие в смисъла по член 4, параграф 1, буква а) от ОРЗД.

9      В определени случаи субектът на данните не трябва да доказва дори липсата на съгласие от негова страна, тъй като, съгласно член 7, параграф 1 от ОРЗД, „[к]огато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни“. Допустимо е обаче от ищеца да се изиска да представи доказателства, позволяващи да се установи размерът на вредата.

10      Терминът „indemnización“ е използван в текста на разпоредбата на испански, а неговият еквивалент, „indemnização“, фигурира в текста на португалски език. Красноречив е и терминът „Schadenersatz“ в текста на немски език. В текста на френски език не е използван терминът „indemnisation“, а „réparation“; на английски — „compensation“. Според мен изводът от всеки един от посочените текстове, както и от други аналогични текстове, е един и същ: вредата продължава да бъде задължителен елемент от гражданската отговорност.

11      Съображение 146 от ОРЗД. Целта на обезщетението е да възстанови равновесието в рамките на правното положение, което е било неблагоприятно засегнатото (накърнено) в резултат на нарушението на правото.

12      Обезщетенията с наказателен характер (punitive damages) са присъщи за англосаксонското право. Други правни системи ги използват за санкциониране на поведение, което се характеризира с особена злонамереност или груба небрежност. В някои случаи тези обезщетения се свързват с оценката на неимуществените вреди, произтичащи от телесно увреждане или от засягане на неприкосновеността на личния живот.

13      Решение от 13 юли 2006 г., Manfredi и др. (C‑295/04—C‑298/04, EU:C:2006:461, т. 92): „Що се отнася до присъждането на обезщетение за вреди и евентуалната възможност за предоставяне на обезщетение със санкционен характер, при липсата на разпоредби от правото на Съюза в тази област всяка държава членка трябва да установи във вътрешния си правен ред критериите, които позволяват да се определи обхватът на поправянето на вредите, при условие че бъдат спазени принципите на равностойност и ефективност“. Курсивът е мой.

14      Решение от 11 октомври 2007 г., Paquay (C‑460/06, EU:C:2007:601, т. 44 и сл.) във връзка с член 6 от Директива 76/207/ЕИО на Съвета от 9 февруари 1976 година относно прилагането на принципа на равното третиране на мъжете и жените по отношение на достъпа до заетост, професионалната квалификация и развитие, и на условията на труд (ОВ L 39, 1976 г., стр. 40; Специално издание на български език, 2007 г., глава 5, том 1, стр. 164).

15      Член 28 от Директива 2004/109/EО на Европейския парламент и на Съвета от 15 декември 2004 година относно хармонизиране изискванията за прозрачност по отношение на информацията за издателите, чиито ценни книжа са допуснати за търгуване на регулиран пазар, и за изменение на Директива 2001/34/ЕО (ОВ L 390, 2004 г., стр. 38; Специално издание на български език, 2007 г., глава 6, том 7, стр. 172) или член 25 от Директива 2006/54/ЕО на Европейския парламент и на Съвета от 5 юли 2006 година за прилагането на принципа на равните възможности и равното третиране на мъжете и жените в областта на заетостта и професиите (ОВ L 204, 2006 г., стр. 23; Специално издание на български език, 2007 г., глава 51 том 8, стр. 262).

16      Съображение 26 от Директива 2004/48/ЕО на Европейския парламент и на Съвета от 29 април 2004 година относно упражняването на права върху интелектуалната собственост (ОВ L 157, 2004 г., стр. 45; Специално издание на български език, 2007 г., глава 17, том 2, стр. 56). В този случай приемането на санкционна мярка не е забранено, но не е и задължително: решение от 25 януари 2017 г., Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, т. 28).

17      Член 3, параграф 3 от Директива 2014/104/ЕС на Европейския парламент и на Съвета от 26 ноември 2014 година относно някои правила за уреждане на искове за обезщетение за вреди по националното право за нарушения на разпоредбите на правото на държавите членки и на Европейския съюз в областта на конкуренцията (ОВ L 349, 2014 г., стр. 1) или съображения 10 и 42 от Директива (ЕС) 2020/1828 на Европейския парламент и на Съвета от 25 ноември 2020 година относно представителни искове за защита на колективните интереси на потребителите и за отмяна на Директива 2009/22/ЕО (ОВ L 409, 2020 г., стр. 1), която обхваща сферата на защита на данни.

18      Обикновено като пример се цитира член 18, параграф 2 от Регламент (ЕО) № 1768/95 на Комисията от 24 юли 1995 година за установяване на реда и условията за прилагане на дерогацията, предвидена в член 14, параграф 3 от Регламент (ЕО) № 2100/94 (ОВ L 173, 1995 г., стр. 14; Специално издание на български език, 2007 г., глава 3, том 17, стр. 177): „задължението да обезщети титуляря за всякакви последващи вреди […] обхваща поне една обща сума, изчислена на базата на […] средната сума, плащана за лицензирана продукция […], умножена по четири […]“.

19      Вж. точка 47 по-долу.

20      Тук използвам понятията „прилагане от страна на публичните органи“ и „прилагане от страна на частноправни субекти“ в смисъла им съгласно Директива 2014/104.

21      Съображение 55 разкрива съдържанието на глава III („Средства за правна защита, отговорност и санкции“) от Директива 95/46. Членове 22, 23 и 24 от тази директива се отнасят съответно до всяко от тези понятия. Глава VI е посветена на надзорните органи.

22      Съдът е потвърдил централната роля на тези органи в системата: например в решение от 9 март 2010 г., Комисия/Германия (C‑518/07, EU:C:2010:125, т. 23). Тези органи са посочени в член 8, параграф 3 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“) и в член 16, параграф 2 in fine ДФЕС.

23      В Естония и Дания се прилага специален режим, посочен в съображение 151 от ОРЗД.

24      Независимо че в ОРЗД липсва изрично посочване на възможността за прилагане на правилата от страна на частноправните субекти, подобно на това в съображение 3 от Директива 2014/104.

25      Възможността за предявяване на колективни искове съществува още преди приемането на ОРЗД: решение от 29 юли 2019 г., Fashion ID (C‑40/17, EU:C:2019:629). Съгласно член 80, параграф 1 от ОРЗД действията на организациите за защита на субектите на данни в областта на обезщетенията са допустими само когато това е предвидено в правото на съответната държава членка и субектът на данните е предоставил изискуемото пълномощно. Това положение може коренно да се промени въз основа на Директива 2020/1828.

26      Както генералният адвокат Richard de la Tour посочва в заключението си по дело Meta Platforms Ireland (C‑319/20, EU:C:2021:979), искът по член 80 от ОРЗД е пригоден за защитата на частноправни и общи интереси. Предмет на това дело е иск за преустановяване [на нарушения].

27      По-специално в някои държави членки, които не са били склонни да допуснат присъждането на обезщетение за нематериални вреди при отсъствието на правна разпоредба в това отношение.

28      Като пасивната легитимация, основанията за освобождаване от отговорност и режимът на отговорност на съвместните администратори и съвместните обработващи лични данни. В един документ на Съвета е изложен следният въпрос на делегацията на Белгия: „whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage“. Отговорът на Комисията е, че вредата трябва да бъде доказана, както се посочва за първи път в Бележка № 17831/13 на председателството от 16 декември 2013 г., бележка под линия 541. Не се установява този въпрос да е бил обсъждан допълнително.

29      Препращам към подготвителните работи по приемането на директиви 2004/48 и 2014/104. Тълкуване, което включва в обхвата на член 82 от ОРЗД обезщетенията с наказателен характер, би имало значителни последици за държавите членки: те ще трябва да определят например кой ще получава обезщетението, което играе ролята на санкция, как ще се изчисли неговият размер, за да изпълнява съответната цел, или как това обезщетение ще бъде съвместено с административните и наказателноправните санкции, така че да не се допусне прекомерност на наказанието.

30      Тези „други санкции“ от наказателноправно или административно естество не са хармонизирани. Подобно на глобите, те трябва да бъдат „ефективни, пропорционални и възпиращи“ (член 84, параграф 1, in fine).

31      На теория не изключвам приложимостта на някои от тези елементи в рамките на гражданската отговорност (пример може да бъде нарушение, извършено „умишлено или по небрежност“, съгласно член 83, параграф 2, буква б) от ОРЗД) или тяхното отражение върху обезщетението (например „категориите лични данни, засегнати от нарушението“, съгласно буква ж) на същата разпоредба). В тези случаи обаче прилагането на отделните елементи от една област в друга няма да бъде автоматично.

32      Член 83, параграф 2, буква а) от ОРЗД.

33      Което не може да се използва нито като елемент за изчисляване, нито да бъде приспаднато от размера на глобата.

34      Член 1 и съображения 6, 9 и 170 от ОРЗД. В съображение 9 се припомня, че това са били целите на Директива 95/46, като се подчертава, че същите продължават да бъдат валидни. Често се подчертава, че в Директива 95/46 целта за свободно движение на лични данни е имала предимство пред тази за тяхната защита, докато в ОРЗД е обратното, което се обяснявало с формалното прогласяване на правото [на защита на личните данни] в член 8 от Хартата и неговото предимство в новата правна уредба. Член 1 от ОРЗД обаче е ясен, що се отнася до волята за съвместяване на защитата на личните данни и тяхното свободно движение. Това определено показва стремежа нивото на защита да бъде еднакво във всички държави членки, като се избегнат пречките, произтичащи от различната правна уредба, както и да се преодолее нежеланието на физическите лица да споделят или предоставят лични данни за целите на тяхното обработване, чрез създаване на доверие, че тези данни са защитени.

35      В точка 53 от писменото си становище ирландското правителство посочва: „[…] very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage“ (курсивът е мой). В Германия някои автори предупреждават за риска от злоупотреба със съдебни производства и за необходимостта да не се допусне възникването на „datenschutzrechtliche Klageindustrie“: Wybitul, T., Neu, L., Strauch, M. Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen. — Zeitschrift für Datenschutz, 2018., р. 202 sq., по-специално р. 206; Paal, B.P., Kritzer, I., „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, pp. 2433 и сл.

36      Не е изключено при уважаването на иск за гражданска отговорност без да е налице вреда да възникне стимулиращ или мултиплициращ ефект. Това би увеличило вероятността, наред с евентуалната административна и наказателна санкция, срещу икономическите оператори да бъдат предявявани колективни искове или множество индивидуални искове (с които евентуално ще се злоупотребява малко или много).

37      В становищата на страните това твърдение само се споменава, без да бъде развито. Не се посочва например дали тази презумпция е необорима, или оборима. Първият вариант съответства в по-голяма степен на въпроса на запитващата юрисдикция, поради което ще обсъдя само него.

38      Вж. член 7 от Регламент (ЕО) № 261/2004 на Европейския парламент и на Съвета от 11 февруари 2004 година относно създаване на общи правила за обезщетяване и помощ на пътниците при отказан достъп на борда и отмяна или голямо закъснение на полети, и за отмяна на Регламент (ЕИО) № 295/91 (ОВ L 46, 2004 г., стр. 1; Специално издание на български език, 2007 г., глава 7, том 12, стр. 218) или член 19 от Регламент (ЕС) № 1177/2010 на Европейския парламент и на Съвета от 24 ноември 2010 година относно правата на пътниците, пътуващи по море или по вътрешни водни пътища, и за изменение на Регламент (ЕО) № 2006/2004 (ОВ L 334, 2010 г., стр. 1).

39      Например параграфи 3 и 4 на самия член 82 от ОРЗД.

40      „[…] когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни“.

41      „Нарушаването на сигурността на лични данни може […] да доведе до […] загуба на контрол [на физическите лица] върху личните им данни“.

42      Изброените в това съображение последици не са автоматични. Съгласно член 34 от ОРЗД администраторът на лични данни трябва да прецени във всеки отделен случай дали е необходимо да съобщи на субекта на данните за нарушението.

43      Емоционалните последици, свързани със загубата на контрол върху данните, като страх или притеснение от това, което може да се случи с тях, са производни на загубата, но не са идентични с нея.

44      Някои държави членки са установявали презумпция за наличието на вреди в области, близки до тази на защитата на данни. Така, в Испания член 9, параграф 3 от Ley Orgánica 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (Устройствен закон № 1/1982 за гражданската защита на правото на достойнство, на неприкосновеност на личния и семеен живот и на самоопределяне) от 5 май 1982 г. е предвиждал, че „наличието на вреда се предполага винаги когато бъде доказано незаконно засягане [на гарантираните с настоящия закон права]“.

45      Ще припомня, че в настоящото производство незаконното поведение се свързва именно с липсата на съгласие на субекта на данните. Доводите относно мястото на правото на обезщетение сред гаранциите за спазване на разпоредбите на ОРЗД са валидни и тук.

46      Става въпрос обаче само за едно от основанията за законосъобразно обработване, като всички основания, изброени в ОРЗД, също са валидни. Вж. Становище 06/2014 на Работната група по защита на личните данни по член 29 относно понятието за законни интереси на администратора на лични данни съгласно член 7 от Директива 95/46, прието на 9 април 2014 г., стр. 10. Администраторът на лични данни не може да промени основанието за обработването, след като последното е започнало: Насоки 5/2020 на Европейския комитет по защита на данните относно съгласието по смисъла на Регламент (ЕС) 2016/679, точки 121—123.

47      Член 17, параграф 1 от ОРЗД. Това не означава, че не съществува право на обезщетение за вреди, евентуално причинени от обработването на данните до тяхното изтриване.

48      Решение от 13 май 2014 г., Google Spain и Google (C‑131/12, EU:C:2014:317, т. 4 от диспозитива).

49      Предложение за регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) (COM/2012/011 final), стр. 2 и съображение 6 от текста на предложението. Вж. също т. 2 от Съобщение на Комисията до Европейския парламент, Съвета, Европейския икономически и социален комитет и Комитета на регионите „Защита на правото на личен живот във взаимосвързания свят — Европейска рамка за защита на данните за 21‑ви век“ (COM(2012) 9 final).

50      Струва ми се, че това мълчание не е случайно. Отвъд концептуалните диспути относно собствеността върху личните данни въпросът е дали контролът, който физическите лица упражняват върху данните си следва да бъде приравнен на възможността те да имат собственически правомощия върху информацията, която ги засяга (което вероятно би било несъвместимо с интересите на трети лица и на обществото като цяло). Препоръката да се признаят права на собственост върху личните данни, се съдържа в Становище на Европейския икономически и социален комитет относно „Предложение за регламент на Европейския парламент и на Съвета относно европейска рамка за управление на данните“ (Акт за управление на данните)“ (COM(2020) 767 final (ОВ C 286, 2021 г., стр. 38), точка 4.10: „[…] ЕИСК препоръчва да се признаят европейските права на собственост върху личните данни и личните цифрови данни, за да се даде възможност на гражданите (работници, потребители, предприемачи) да контролират и управляват използването на своите данни или да забранят тяхното използване“ (курсивът е мой). От друга страна, се отрича личните данни да могат да се считат за стока — вж. бележка под линия 53 in fine.

51      Текстът на испански език гласи, че „las personas físicas deben tener el control de sus propios daños personales“ (курсивът е мой); текстът на английски език е, че „natural persons should have control of their own personal data“ (а не the control). Други, като португалския текст, гласят „as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais“. Съгласно член 4 от ОРЗД контролът върху лични данни се отнася до информацията, с която същите се свързват. Контролът върху използването на данните се отнася по-скоро до тяхното обработване.

52      На практика съгласието е ограничено до приемането или отказа на предложението на лицето, които иска да обработва данните.

53      Не отхвърлям възможността развитието на правния режим да бъде в смисъл на признаване на права на собственост на субекта на данните. Съмнявам се обаче, че това ще доведе до увеличаване на индивидуалния контрол: наличието на собственически правомощия на субекта на данните върху личните данни вероятно няма да се съвместява добре с развитието на икономиката и иновациите; съвместимостта му с понятието за основно право би била спорна. Вж. съображение 24 от Директива (ЕС) 2019/770 на Европейския парламент и на Съвета от 20 май 2019 година за някои аспекти на договорите за предоставяне на цифрово съдържание и цифрови услуги (ОВ L 136, 2019 г., стр. 1): „Макар да е съобразена в пълна степен с обстоятелството, че защитата на личните данни е основно право и следователно личните данни не могат да се считат за стока […]“ (курсивът е мой).

54      Не са приети формулировки като предложението за член 19 в Нота от Президиума — Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV 1 от 11 май 2000 г.: „Toute personne a le droit de décider elle-même de la divulgation et de l'utilisation de ses données personnelles“. Не е приет и текстът на самата разпоредба в Нотата от Президиума — Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00 от 4 юни 2000 г.: „Toute personne a le droit de décider elle-même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant“. На национално равнище идеята за информационно самоопределяне e възприета в някои държави членки, например в Германия, след приемането на решение на Bundesverfassungsgericht (Конституционен съд, Германия) от 15 декември 1983 г., 1 BvR 209/83. В Испания вж. например решение на Tribunal Constitucional (Конституционен съд, Испания) 292/2000 от 30 ноември 2000 г. (BOE от 4 януари 2001 г.). Не съм сигурен, че това е така на ниво Европейски съюз, въпреки че в този смисъл е точка 37 от заключението на генералния адвокат Szpunar по дело Orange Romania (C‑61/19, EU:C:2020:158): „Ръководният принцип, залегнал в правото на Съюза в областта на защитата на данните, е принципът на самостоятелно вземане на решение от физическо лице, което е способно да избере как да се използват и обработват неговите данни“, където се прави позоваване именно на германската съдебна практика.

55      Проектодоклад от 16 януари 2013 г. относно предложението за регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) (COM(2012) 0011—C7‑0025/2012—2012/0011(COD), PE501.927v04‑00, изменение 29.

56      Не твърдя, че нарушението на дадено правило трябва да остане ненаказано. Това, което казвам, е, че обезщетението не е подходящото средство, ако не е налице вреда.

57      Приемайки, че предоставянето на субекта на данните на контрол върху неговите данни само по себе си не е цел на ОРЗД, не отричам възможността загубата на контрол да бъде възприемана като насока за признаването на нематериални вреди, в смисъл да бъдат взети предвид реакциите, произтичащи от тази загуба.

58      Вж. точка 51 от настоящото заключение. Свободното движение на данни е единствена цел по отношение на неличните данни: член 1 от Регламент (ЕС) 2018/1807 на Европейския парламент и на Съвета от 14 ноември 2018 година относно рамка за свободното движение на нелични данни в Европейския съюз (ОВ L 303, 2018 г., стр. 59).

59      Съобщение от Комисията до Европейския парламент, до Съвета, до Европейския икономически и социален комитет и до Комитета на регионите „Защитата на правото на личен живот във взаимосвързания свят - Европейска рамка за защита на данните за 21‑ви век“ (COM/2012/09 final), т.1. По-нататък, в т. 5: „опасенията за неприкосновеността на личния живот са сред най-честите причини хората да не купуват стоки и услуги онлайн“.

60      Съображение 2 от ОРЗД: „[…] да допринесе за изграждането на пространство на свобода, сигурност и правосъдие и на икономически съюз, за постигането на икономически и социален напредък, за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората“. Съображение 4: „[…] Правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с функцията му в обществото […]“. В същия смисъл вж. решение от 24 септември 2019 г., Google (Териториален обхват на правото на премахване от резултатите при търсене) (C‑507/17, EU:C:2019:772, т. 60 с допълнителни препратки).

61      Това е обща цел на регулаторната рамка, предвидена за укрепване на единния пазар на данни. В този смисъл в Съобщение от Комисията до Европейския парламент, до Съвета, до Европейския икономически и социален комитет и до Комитета на регионите „Европейска стратегия за данните“, COM(2020) 66 final, т. 1 се посочва: „В общество, в което отделните членове генерират все по-нарастващи количества данни, начинът, по който данните се събират и използват, трябва да поставя на първо място интересите на отделната личност в съответствие с европейските ценности, основни права и правила. Гражданите ще имат доверие и ще възприемат основаните на данни иновации, само ако са уверени, че при всяко споделяне на данни в ЕС напълно ще бъдат спазвани строгите правила на ЕС за защита на данните“.

62      Запитващата юрисдикция, изглежда, изпитва притеснения от факта (т. 5 от мотивите на акта за преюдициално запитване), че обезщетението може да придобие наказателен характер, тъй като ОРЗД поначало предвижда тежки санкции, поради което неговата ефективност не изисква голям размер на обезщетенията за нематериални вреди.

63      Дело С‑30/19, Braathens Regional Aviation (EU:C:2021:269, т. 49): „изплащането на парична сума не е достатъчно, за да се удовлетворят исканията на лице, което преди всичко се стреми да получи — като обезщетение за претърпените неимуществени вреди — признание, че е било жертва на дискриминация, поради което не би могло да се счита, че изплащането на сумата изпълнява задоволително функцията да поправи вредата“. Това дело се отнася до Директива 2000/43/ЕО на Съвета от 29 юни 2000 година относно прилагане на принципа на равно третиране на лица без разлика на расата или етническия произход (ОВ L 180, 2000 г., стр. 22; Специално издание на български език, 2007 г., глава 20, том 1, стр. 19).

64      Вж. Magnus, U. Comparative Report on the Law of Damages. — In: Unification of Tort Law: Damages. Kluwer Law International, 2001, р. 187, параграфи 14 и 15.

65      Обикновено в системите на common law, по-специално в САЩ, където искът за присъждане на символично обезщетение се явява като последно средство за защита на конституционни права. За преглед на дебатите относно неговата полза в тази държава вж. Grealish, M‑B. A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion. — Fordham L. Rev., Vol. 87, р. 733, както и постановеното неотдавна решение на Върховния съд на САЩ от 8 март 2021 г. по дело Uzuegbunam v Preczewski. Символичните обезщетения за вреди не се приемат еднозначно и в Обединеното кралство: в практиката се приема, че интересът от присъждането на символично обезщетение за вреди зависи от това дали титулярят на иска ще бъде признат за спечелилата страна за целите на възлагането на съдебните разноски, което след постановяването на решение Anglo-Cyprian Trade Agencies Ltd v Paphos Wine Industries Ltd [1951] 1 All ER 873 не се случва автоматично.

66      Съдът, в контекста на тогава действащия член 215 от Договора за ЕИО, е изисквал вредата да бъде доказана включително когато поради затруднения с доказването ѝ ищецът претендира символично обезщетение: решение от 21 май 1976 г., Roquette Frères/Comisión (26/74, EU:C:1976:69, т. 23 и 24).

67      В контекста на интелектуалната собственост обезщетението, като противодействие на нарушението на дадено правило, служи на самостоятелна цел, която е основна в тази област: защита на икономическия аспект на правото. В член 13, параграф 1, буква а) от Директива 2004/48 „несправедливо получена[та] печалба от нарушителя“ се посочва като един от елементите за преценката от страна на съдебните органи при определяне на обезщетението за вреди.

68      Подобна разпоредба се съдържа в член 94, параграф 2 от Регламент (ЕО) № 2100/94 на Съвета от 27 юли 1994 година относно правната закрила на Общността на сортовете растения (ОВ L 227, 1994 г., стр. 1; Специално издание на български език, 2007 г., глава 3, том 15, стр. 197): „В случай на лека небрежност, размерът на иска за обезщетение на титуляря може да бъде намален според степента на тази небрежност, без обаче да бъде по-нисък от ползата, извлечена от извършителя на нарушението“.

69      Неизразимият характер на емоциите или усещанията по-специално ако същите са свързани с риска от това какво би могло да се случи в бъдеще, е причина същите да не бъдат приети за вреди поради недостатъчната яснота или хипотетичния им характер.

70      С други думи, относно chefs de préjudice или heads of damage.

71      Съгласно текста на това съображение субектите на данни следва да получат „пълно и действително обезщетение“. Не считам, че това изявление е от значение за отговора на третия преюдициален въпрос, тъй като не се отнася до вида подлежащи на обезщетяване вреди, а до определяне на размера на обезщетението (което, логично, е следваща стъпка, която не трябва да се бърка с установяването на това, което подлежи на обезщетяване). Изхождайки от подготвителните работи по приемането на ОРЗД, настояването за „пълно и действително обезщетение“ е гаранция, че участието в обработването от страна на няколко администратори или обработващи лични данни няма да доведе единствено до частично обезщетяване на субекта на данните. Ето защо член 82, параграф 4 от ОРЗД предвижда, че „[…] всеки администратор или обработващ лични данни носи отговорност за цялата вреда, за да се гарантира действително обезщетение на субекта на данни“.

72      Член 23 от Директива 95/46 не определя вредите, подлежащи на обезщетяване, което поражда дебат относно това кои вреди са обхванати. Предварителните преговори по приемането на ОРЗД са били съсредоточени върху въпросите относно включването на нематериалните вреди. В точка 118 от цитираното в бележка под линия 49 съобщение на Комисията става въпрос за обезщетяване на всички претърпени вреди. На следващите етапи от съвместната законодателна процедура се споменават „всички вреди, независимо дали те са имуществени или не“, което дава основа за формулировката „неимуществени вреди“, за да се стигне накрая до „нематериални вреди“.

73      Съдът не се е произнасял и по отношение на член 23 от Директива 95/46, нито пък до настоящия момент, по отношение на член 82 от ОРЗД. Освен ако не греша, той не се е произнасял и по член 56 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 2016 г., стр. 89) или член 19 от отмененото рамково решение.

74      Нито е посочил предпочитан тълкувателен способ — самостоятелен или чрез препращане към националните правни системи: в зависимост от разглежданата област. Сравни решения от 10 май 2010 г., Veedfald (C‑203/99, EU:C:2001:258, т. 27), относно дефектните продукти; от 6 май 2010 г., Walz (C‑63/09, EU:C:2010:251, т. 21) относно отговорността на въздушните превозвачи и от 10 юни 2021 г., Van Ameyde España (C‑923/19, EU:C:2021:475, т. 37 и сл.) относно режима на гражданска отговорност, приложим към произшествията, причинени при използването на моторни превозни средства. Документите относно преговорите във връзка с ОРЗД отразяват съмненията на държавите членки дали понятията за вреди и за обезщетение по (тогавашния) член 77 трябва да бъдат самостоятелни и да отразяват различните становища в това отношение. Комисията застъпва позицията решаването на въпроса да бъде оставено на Съда. Вж. Съвет на Европейския съюз, Бележка № 17831/13 на председателството от 16 декември 2013 г., бележка под линия 539.

75      Например потребителите на стоки или жертвите на пътнотранспортни произшествия.

76      В областта на пакетните почивки, решение от 12 март 2002 г., Leitner (C‑168/00, EU:C:2002:163), в областта на гражданската отговорност при използването на моторни превозни средства, решения от 24 октомври 2013 г., Haasová (C‑22/12, EU:C:2013:692, т. 47—50), от 24 октомври 2013 г., Drozdovs (C‑277/12, EU:C:2013:685, т. 40) и от 23 януари 2014 г., Petillo (C‑371/12, EU:C:2014:26, т. 35).

77      Решение от 23 януари 2014 г., Petillo (C‑371/12, EU:C:2014:26, диспозитив): правото на Съюза допуска „национално законодателство като разглежданото в главното производство, което предвижда особен режим на обезщетяване на неимуществените вреди вследствие на леки телесни наранявания, причинени при пътнотранспортни произшествия, който ограничава обезщетяването на тези вреди в сравнение с приетото относно обезщетяването на идентични вреди, настъпили при други обстоятелства, а не при такива произшествия“.

78      Например решения от 12 март 2002 г., Leitner (C‑168/00, EU:C:2002:163) относно неудовлетвореност от пътуването или ваканцията и от 6 май 2010 г., Walz (C‑63/09, EU:C:2010:251) относно загубата на багаж в рамките на пакетни туристически пътувания.

79      В решение от 17 март 2016 г., Liffers (C‑99/15, EU:C:2016:173, т. 17) Съдът е постановил във връзка с тълкуването на Директива 2004/48, че неимуществените вреди, „при условие че са установени“, са елемент от действително претърпените вреди. Логично, това установяване предполага действително претърпяна вреда; тя от своя страна се доближава до идеята за тежест на увреждането, макар и да не съвпада изцяло с нея.

80      Точка 51 от настоящото заключение.

81      Точка 45 и сл. от настоящото заключение

82      Неотдавна в Италия във връзка със защитата на личните данни, Tribunale de Palermo, sez. I civile, sentenza 05/10/2017 n. 5261, както и Cass Civ. Ord. Sez 6, núm. 17383/2020. В Германия, наред с други, AG Diez, 07.11.2018 - 8 C 130/18; LG Karlsruhe, 02.08.2019 - 8 O 26/19; и AG Frankfurt am Main, 10.07.2020 - 385 C‑155/19 (70). В Австрия, OGH 6 Ob 56/21k.

83      Вж. решение от 23 октомври 2012 г., Nelson и др. (C‑581/10 и C‑629/10, EU:C:2012:657, т. 51) относно разграничението между „вреди“ по смисъла на член 19 от Конвенцията за уеднаквяване на някои правила за международния въздушен превоз, сключена в Монреал на 28 май 1999 г., и „неудобства“ по смисъла на Регламент № 261/2004, които дават право на обезщетение на основание член 7 от този регламент, съгласно решение от 19 ноември 2009 г., Sturgeon и др. (C‑402/07 и C‑432/07, EU:C:2009:716). В сектора на въздушния превоз, както и в сектора на превоза на пътници по море или по вътрешни водни пътища, за който се отнася Регламент № 1177/2010, законодателят е имал възможност да признае една абстрактна категория благодарение на това, че факторът, който създава безпокойството, и неговото естество са еднакви за всички засегнати лица. Не считам, че тази констатация е възможна в областта на защитата на данни.

84      Класическият способ за упражняване на правото по член 82 от ОРЗД е в рамките на състезателно производство по общия съдебен ред. Разбира се, принципът на ефективност може да обуслови прилагането на националните разпоредби по въпроси като разноските по делото или събирането на доказателства. Въпреки това трудността обикновените неудобства да се приемат за подлежащи на обезщетяване, не се дължи само на несъответствието между тяхната паричната стойност и цената на едно съдебно производство (освен че разходите за правораздаване не се поемат единствено от страните). Струва ми се неоправдано при отсъствието на изрични разпоредби в ОРЗД да се изисква от държавите членки да установяват производства ad hoc.

85      Ще припомня, че съгласно член 82, параграф 3 от ОРЗД администраторът или обработващият лични данни се освобождава от отговорност само ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

86      С тези изводи не предрешавам въпроса дали в разглеждания случай положението на UI попада в една или друга категория, преценката за което е задължение на запитващата юрисдикция.

87      Същото се отнася и до размера на обезщетението.