Language of document : ECLI:EU:C:2024:72

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τρίτο τμήμα)

της 25ης Ιανουαρίου 2024 (*)

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Ερμηνεία των άρθρων 5, 24, 32 και 82 – Εκτίμηση του κύρους του άρθρου 82 – Απαράδεκτο του αιτήματος ελέγχου του κύρους – Δικαίωμα αποκατάστασης της ζημίας που προκλήθηκε από την επεξεργασία τέτοιων δεδομένων κατά παράβαση του εν λόγω κανονισμού – Άνευ αδείας διαβίβαση δεδομένων σε τρίτον λόγω σφάλματος που διαπράχθηκε από υπαλλήλους του υπευθύνου επεξεργασίας – Εκτίμηση ως προς τον ενδεδειγμένο χαρακτήρα των μέτρων προστασίας που εφαρμόζει ο υπεύθυνος επεξεργασίας – Αντισταθμιστική λειτουργία του δικαιώματος αποζημίωσης – Αντίκτυπος της βαρύτητας της παράβασης – Ανάγκη να αποδειχθεί η ύπαρξη ζημίας που προκλήθηκε από την εν λόγω παράβαση – Έννοια της “μη υλικής ζημίας”».

Στην υπόθεση C-687/21,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, την οποία υπέβαλε το Amtsgericht Hagen (ειρηνοδικείο Hagen, Γερμανία) με απόφαση της 11ης Οκτωβρίου 2021, η οποία περιήλθε στο Δικαστήριο στις 16 Νοεμβρίου 2021, στο πλαίσιο της δίκης

BL

κατά

MediaMarktSaturn HagenIserlohn GmbH, πρώην Saturn Electro‑Handelsgesellschaft mbH Hagen,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τρίτο τμήμα),

συγκείμενο από τους K. Jürimäe, πρόεδρο τμήματος, N. Piçarra, M. Safjan, N. Jääskinen (εισηγητή) και M. Gavalec, δικαστές,

γενικός εισαγγελέας: M. Campos Sánchez-Bordona

γραμματέας: A. Calot Escobar

έχοντας υπόψη την έγγραφη διαδικασία,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

–        η BL, εκπροσωπούμενη από τον D. Pudelko, Rechtsanwalt,

–        η MediaMarktSaturn Hagen‑Iserlohn GmbH, πρώην Saturn Electro‑Handelsgesellschaft mbH Hagen, εκπροσωπούμενη από τον B. Hackl, Rechtsanwalt,

–        η Ιρλανδία, εκπροσωπούμενη από την M. Browne, Chief State Solicitor, τον A. Joyce και την M. Lane, επικουρούμενους από τον D. Fennelly, BL,

–        το Ευρωπαϊκό Κοινοβούλιο, εκπροσωπούμενο από την O. Hrstková Šolcová και τον J.‑C. Puffer,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τον A. Μπουχάγιαρ, την Μ. Heller και τον H. Kranenborg,

κατόπιν της απόφασης που έλαβε, αφού άκουσε τον γενικό εισαγγελέα, να εκδικάσει την υπόθεση χωρίς ανάπτυξη προτάσεων,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 2, παράγραφος 1, του άρθρου 4, σημείο 7, του άρθρου 5, παράγραφος 1, στοιχείο στʹ, του άρθρου 6, παράγραφος 1, του άρθρου 24, του άρθρου 32, παράγραφος 1, στοιχείο βʹ, και παράγραφος 2, καθώς και του άρθρου 82 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016,για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ), καθώς επίσης και τον έλεγχο του κύρους του άρθρου 82.

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του BL, φυσικού προσώπου, και της MediaMarktSaturn Hagen-Iserlohn GmbH, πρώην Saturn Electro-Handelsgesellschaft mbH Hagen (στο εξής: Saturn), ως προς την αποκατάσταση της μη υλικής ζημίας που το ισχυρίζεται ότι υπέστη εν λόγω πρόσωπο λόγω της διαβίβασης σε τρίτον δεδομένων προσωπικού χαρακτήρα που το αφορούν λόγω σφάλματος που διέπραξαν υπάλληλοι της εταιρίας αυτής.

 Το νομικό πλαίσιο

3        Οι αιτιολογικές σκέψεις 11, 74, 76, 83, 85 και 146 του ΓΚΠΔ έχουν ως εξής:

«(11)      Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την [Ευρωπαϊκή] Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα […]

[…]

(74)      Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

[…]

(76)      Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται σε συνάρτηση με τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται κατά πόσον οι πράξεις επεξεργασίας δεδομένων συνεπάγονται κίνδυνο ή υψηλό κίνδυνο.

[…]

(83)      Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως για παράδειγμα μέσω κρυπτογράφησης. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, πράγμα που περιλαμβάνει και την εμπιστευτικότητα, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις και το κόστος της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά την εκτίμηση του κινδύνου για την ασφάλεια των δεδομένων θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη.

[…]

(85)      Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. […]

[…]

(146)      Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντα κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. Αυτό δεν επηρεάζει τυχόν αξιώσεις αποζημίωσης, ασκούμενες λόγω παραβίασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. Επεξεργασία κατά παράβαση του παρόντα κανονισμού συμπεριλαμβάνει επίσης τυχόν επεξεργασία που γίνεται κατά παράβαση των κατ' εξουσιοδότηση και εκτελεστικών πράξεων που εκδίδονται κατ’ εφαρμογή του παρόντος κανονισμού και του δικαίου των κρατών μελών που εξειδικεύει τους κανόνες του παρόντος κανονισμού. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. […]»

4        Το άρθρο 2 του κανονισμού, το οποίο φέρει τον τίτλο «Ουσιαστικό πεδίο εφαρμογής» και περιέχεται στο κεφάλαιο I του κανονισμού το οποίο αφορά τις «[γ]ενικές διατάξεις», προβλέπει στην παράγραφο 1 τα εξής:

«Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης».

5        Το άρθρο 4 του εν λόγω κανονισμού, με τίτλο «Ορισμοί», ορίζει τα εξής:

«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

1)      “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· […]

[…]

7)      “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· […]

[…]

10)      “τρίτος”: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,

[…]

12)      “παραβίαση δεδομένων προσωπικού χαρακτήρα”: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

[…]».

6        Το κεφάλαιο ΙΙ του ΓΚΠΔ, με τίτλο «Αρχές», περιλαμβάνει τα άρθρα 5 έως 11 αυτού.

7        Το άρθρο 5 του κανονισμού, με τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», προβλέπει τα εξής:

«1.      Τα δεδομένα προσωπικού χαρακτήρα:

[…]

στ)      υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”).

2.      Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”)».

8        Το άρθρο 6 του κανονισμού, με τίτλο «Νομιμότητα της επεξεργασίας», εισάγει, στην παράγραφο 1, τις προϋποθέσεις που πρέπει να πληρούνται για να είναι νόμιμη η επεξεργασία.

9        Το κεφάλαιο IV του ΓΚΠΔ, με τίτλο «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», περιλαμβάνει τα άρθρα 24 έως 43 αυτού.

10      Το άρθρο 24, το οποίο φέρει τον τίτλο «Ευθύνη του υπευθύνου επεξεργασίας» και περιλαμβάνεται στο τμήμα 1 του κεφαλαίου IV, με τίτλο «Γενικές υποχρεώσεις», ορίζει στις παραγράφους 1 και 2 τα εξής:

«1.      Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.

2.      Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας».

11      Το άρθρο 32 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ασφάλεια επεξεργασίας» και περιέχεται στο τμήμα 2 του κεφαλαίου IV, με τίτλο «Ασφάλεια δεδομένων προσωπικού χαρακτήρα», προβλέπει στην παράγραφο 1, στοιχείο βʹ, και στην παράγραφο 2 τα εξής:

«1.      Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

[…]

β)      της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

[…]

2.      Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία».

12      Το κεφάλαιο VIII του ΓΚΠΔ, με τίτλο «Προσφυγές, ευθύνη και κυρώσεις», περιλαμβάνει τα άρθρα 77 έως 84 αυτού.

13      Κατά το άρθρο 82 του κανονισμού αυτού, με τίτλο «Δικαίωμα αποζημίωσης και ευθύνη»:

«1.      Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2.      Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. […]

3.      Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

[…]»

14      Το άρθρο 83 του ΓΚΠΔ, με τίτλο «Γενικοί όροι επιβολής διοικητικών προστίμων», προβλέπει:

«1.      Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2.      […] Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

α)      η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,

β)      ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,

[…]

δ)      ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32,

[…]

ια)      κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.

3.      Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

[…]»

15      Το άρθρο 84 του κανονισμού, με τίτλο «Κυρώσεις», προβλέπει στην παράγραφο 1 τα εξής:

«Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Οι εν λόγω κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές».

 Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

16      Ο ενάγων της κύριας δίκης μετέβη σε κατάστημα της Saturn, όπου αγόρασε μια οικιακή συσκευή. Για τον σκοπό αυτόν, καταρτίστηκε σύμβαση πώλησης και χορήγησης πίστωσης από υπάλληλο της εν λόγω εταιρίας. Στο πλαίσιο αυτό, ο υπάλληλος εισήγαγε στο ηλεκτρονικό σύστημα της Saturn δεδομένα προσωπικού χαρακτήρα του ως άνω πελάτη, και συγκεκριμένα το ονοματεπώνυμο, τη διεύθυνση, τον τόπο κατοικίας, το όνομα του εργοδότη του, το εισόδημα και τα στοιχεία του τραπεζικού του λογαριασμού.

17      Τα συμβατικά έγγραφα που περιέχουν τα ως άνω δεδομένα προσωπικού χαρακτήρα εκτυπώθηκαν και υπογράφηκαν και από τα δύο μέρη. Στη συνέχεια, ο ενάγων της κύριας δίκης τα προσκόμισε στους υπαλλήλους της Saturn που εργάζονταν στον τόπο παράδοσης των εμπορευμάτων. Ένας άλλος πελάτης, ο οποίος πήρε λάθρα τη σειρά του ενάγοντος της κύριας δίκης, έλαβε κατά λάθος τόσο τη συσκευή που είχε παραγγείλει ο ενάγων όσο και τα σχετικά συμβατικά έγγραφα στο σύνολό τους.

18      Το σφάλμα διαπιστώθηκε άμεσα και, χάρη στις ενέργειες υπαλλήλου Saturn, η οικιακή συσκευή και τα έγγραφα επιστράφηκαν εντός της επόμενης μισής ώρας και παραδόθηκαν στον ενάγοντα της κύριας δίκης. Η εταιρία θέλησε να αποζημιώσει τον ενάγοντα της κύριας δίκης για το σφάλμα αυτό παραδίδοντας την οικιακή συσκευή δωρεάν στην κατοικία του, ωστόσο ο ενδιαφερόμενος έκρινε ότι η αποζημίωση αυτή ήταν ανεπαρκής.

19      Ο ενάγων της κύριας δίκης άσκησε ενώπιον του Amtsgericht Hagen (ειρηνοδικείου Hagen, Γερμανία), αιτούντος δικαστηρίου εν προκειμένω, αγωγή, ζητώντας, βάσει των διατάξεων του ΓΚΔΠ, χρηματική ικανοποίηση για μη υλική ζημία που ισχυρίζεται ότι υπέστη εξαιτίας του σφάλματος που διέπραξαν οι υπάλληλοι της Saturn και του συνακόλουθου κινδύνου απώλειας του ελέγχου των δεδομένων του προσωπικού χαρακτήρα.

20      Προς αντίκρουση, η Saturn προβάλλει, αφενός, ότι δεν υπήρξε παράβαση του ΓΚΠΔ και ότι αυτή θα μπορούσε να στοιχειοθετηθεί μόνον εάν συνέτρεχε ορισμένος βαθμός σοβαρότητας ο οποίος δεν συνέτρεχε εν προκειμένω. Αφετέρου, η ίδια εταιρία υποστηρίζει ότι ο ενάγων της κύριας δίκης δεν υπέστη ζημία, καθόσον ούτε διαπιστώθηκε ούτε προβλήθηκε ότι ο εμπλεκόμενος τρίτος χρησιμοποίησε καταχρηστικά τα δεδομένα προσωπικού χαρακτήρα του ενδιαφερομένου.

21      Το αιτούν δικαστήριο διερωτάται, πρώτον, ως προς το κύρος του άρθρου 82 του ΓΚΠΔ, καθώς θεωρεί ότι το άρθρο αυτό στερείται σαφήνειας όσον αφορά τις προβλεπόμενες έννομες συνέπειες σε περίπτωση χρηματικής ικανοποίησης για μη υλική ζημία.

22      Δεύτερον, σε περίπτωση που το άρθρο 82 δεν κηρυχθεί άκυρο από το Δικαστήριο, διερωτάται αν, προκειμένου να θεμελιωθεί αξίωση αποζημίωσης, απαιτείται, πέραν της παράβασης του ΓΚΠΔ, να διαπιστωθεί και η ύπαρξη ζημίας, ειδικότερα μη υλικής, εις βάρος του αιτούντος την αποζημίωση.

23      Τρίτον, το αιτούν δικαστήριο επιδιώκει να διακριβώσει αν, προκειμένου για να στοιχειοθετηθεί παράβαση του ΓΚΠΔ, αρκεί τα τυπωμένα σε χαρτί έγγραφα που περιέχουν δεδομένα προσωπικού χαρακτήρα να διαβιβάστηκαν χωρίς άδεια σε τρίτον, λόγω σφάλματος που διαπράχθηκε από υπαλλήλους του υπευθύνου επεξεργασίας.

24      Τέταρτον, μολονότι εκτιμά ότι «η [εναγόμενη] επιχείρηση φέρει το βάρος απόδειξης της έλλειψης υπαιτιότητας εκ μέρους της», το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν αρκεί η διαπίστωση της κατά λάθος παράδοσης εγγράφων, προκειμένου να θεωρηθεί ότι συντρέχει παράβαση του ΓΚΠΔ, λαμβανομένης ιδίως υπόψη της υποχρέωσης του υπευθύνου επεξεργασίας να εφαρμόζει κατάλληλα μέτρα τα οποία θα εγγυώνται την ασφάλεια των δεδομένων που υποβάλλονται σε επεξεργασία, δυνάμει των άρθρων 2, 5, 6 και 24 του κανονισμού αυτού.

25      Πέμπτον, το αιτούν δικαστήριο διερωτάται αν, ακόμη και όταν προκύπτει ότι ο μη εξουσιοδοτημένος τρίτος δεν έλαβε γνώση των επίμαχων δεδομένων προσωπικού χαρακτήρα πριν επιστρέψει τα έγγραφα που τα περιέχουν, μπορεί να αποδειχθεί η ύπαρξη «μη υλικής ζημίας», κατά την έννοια του άρθρου 82 του ΓΚΠΔ, για τον λόγο και μόνο ότι το πρόσωπο του οποίου τα δεδομένα διαβιβάστηκαν κατ’ αυτόν τον τρόπο φοβάται ότι τα δεδομένα ενδέχεται να κοινοποιηθούν και σε άλλα άτομα από τον εν λόγω τρίτο ή ακόμη και να χρησιμοποιηθούν καταχρηστικά στο μέλλον, ενδεχόμενο το οποίο δεν μπορεί να αποκλειστεί κατά το εν λόγω δικαστήριο.

26      Έκτον, το αιτούν δικαστήριο διερωτάται ως προς τον ενδεχόμενο αντίκτυπο, στο πλαίσιο αγωγής χρηματικής ικανοποίησης λόγω μη υλικής ζημίας βάσει του άρθρου 82, του βαθμού σοβαρότητας της παράβασης που διαπράχθηκε υπό περιστάσεις όπως αυτές της υπόθεσης της κύριας δίκης, αν θεωρηθεί ότι ο υπεύθυνος επεξεργασίας θα μπορούσε να λάβει αποτελεσματικότερα μέτρα ασφαλείας, όπως εκτιμά το ίδιο.

27      Έβδομο και τελευταίο, το αιτούν δικαστήριο ζητεί να διευκρινιστεί ο σκοπός της χρηματικής ικανοποίησης λόγω μη υλικής ζημίας που οφείλεται βάσει του ΓΚΠΔ, υπονοώντας ότι η τελευταία θα μπορούσε να λάβει χαρακτήρα κύρωσης ισοδύναμης με ποινική ρήτρα.

28      Υπό τις συνθήκες αυτές, το Amtsgericht Hagen (ειρηνοδικείο Hagen) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Μπορεί να εφαρμοστεί ο κανόνας περί αποζημίωσης που προβλέπεται στον γενικό κανονισμό για την προστασία των δεδομένων (άρθρο 82 του ΓΚΠΔ) στην περίπτωση της μη υλικής ζημίας, δεδομένης της ασάφειας όσον αφορά τις προβλεπόμενες έννομες συνέπειες;

2)      Απαιτείται, για να θεμελιωθεί αξίωση αποζημίωσης, πέραν της άνευ αδείας γνωστοποίησης των δεδομένων που πρέπει να προστατευθούν σε μη δικαιούμενο τρίτο, η διαπίστωση της προβαλλόμενης από τον ενάγοντα μη υλικής ζημίας;

3)      Αρκεί, για να στοιχειοθετηθεί παράβαση του [ΓΚΠΔ], τα προσωπικά δεδομένα του υποκειμένου των δεδομένων (όνομα, διεύθυνση, επάγγελμα, εισόδημα, εργοδότης) να διαβιβαστούν εγγράφως σε τρίτον εκ παραδρομής, από σφάλμα των υπαλλήλων της οικείας επιχείρησης, τυπωμένα σε χαρτί;

4)      Υφίσταται παράνομη περαιτέρω επεξεργασία μέσω ακούσιας διαβίβασης (κοινολόγησης) σε τρίτο, σε περίπτωση κατά την οποία η επιχείρηση έχει διαβιβάσει εκ παραδρομής διά των υπαλλήλων της σε έντυπη μορφή σε τρίτον τα δεδομένα τα οποία εξάλλου έχουν εισαχθεί στο σύστημα ηλεκτρονικής επεξεργασίας δεδομένων [άρθρο 2, παράγραφος 1, άρθρο 5, παράγραφος 1, στοιχείο στʹ, άρθρο 6, παράγραφος 1, και άρθρο 24, του [ΓΚΠΔ]];

5)      Υφίσταται μη υλική ζημία, κατά την έννοια του άρθρου 82 του [ΓΚΠΔ], αν ο τρίτος στον οποίον περιήλθε το έγγραφο που περιέχει τα προσωπικά δεδομένα δεν έλαβε γνώση των δεδομένων προτού επιστρέψει το έγγραφο αυτό, ή αρκεί για την ύπαρξη μη υλικής ζημίας, κατά την έννοια του άρθρου 82 του [ΓΚΠΔ], η δυσαρέσκεια του προσώπου του οποίου τα προσωπικά δεδομένα διαβιβάστηκαν παρανόμως, δεδομένου ότι σε κάθε περίπτωση άνευ αδείας κοινολόγησης υφίσταται πάντοτε, και δεν μπορεί να αποκλειστεί, το ενδεχόμενο της περαιτέρω διάδοσης των δεδομένων σε άγνωστο αριθμό προσώπων ή ακόμη και της κατάχρησης των δεδομένων;

6)      Πόσο σοβαρή πρέπει να θεωρείται η παράβαση, δεδομένου ότι η τυχαία διαβίβαση στον τρίτο μπορεί να αποφευχθεί μέσω καλύτερου ελέγχου των βοηθητικών υπαλλήλων που απασχολούνται στην επιχείρηση ή/και μέσω καλύτερης οργάνωσης της ασφάλειας των δεδομένων, όπως λ.χ. μέσω χωριστής παράδοσης των προϊόντων και των συμβατικών εγγράφων, ιδίως αυτών της χρηματοδότησης, με χωριστό δελτίο παράδοσης ή με διαβίβαση εντός της επιχείρησης στους υπαλλήλους του τμήματος παράδοσης προϊόντων –χωρίς ανάμιξη του πελάτη στον οποίο παραδόθηκαν τα τυπωμένα έγγραφα, συμπεριλαμβανομένης της εξουσιοδότησης παραλαβής (άρθρο 32, παράγραφος 1, στοιχείο βʹ, και παράγραφος 2, καθώς και άρθρο 4, σημείο 7, του [ΓΚΠΔ]);

7)      Έχει η αποκατάσταση της μη υλικής ζημίας την έννοια της επιβολής ποινής όπως στην περίπτωση της συμβατικής ποινικής ρήτρας;»

 Επί των προδικαστικών ερωτημάτων

 Επί του πρώτου ερωτήματος

29      Με το πρώτο ερώτημά του, το αιτούν δικαστήριο ζητεί να διευκρινιστεί εάν το άρθρο 82 του ΓΚΠΔ είναι ανίσχυρο στο μέτρο που στερείται σαφήνειας ως προς τις έννομες συνέπειες που απορρέουν από τη χρηματική ικανοποίηση λόγω μη υλικής ζημίας.

30      Το Ευρωπαϊκό Κοινοβούλιο υποστηρίζει ότι το ερώτημα αυτό υποβάλλεται απαραδέκτως επειδή το αιτούν δικαστήριο δεν τήρησε τις υποχρεώσεις που επιβάλλονται από το άρθρο 94, στοιχείο γʹ, του Κανονισμού Διαδικασίας του Δικαστηρίου, μολονότι εγείρει ένα ιδιαιτέρως περίπλοκο ζήτημα, ήτοι τον έλεγχο του κύρους διατάξεως του δικαίου της Ένωσης.

31      Κατά το άρθρο 94, στοιχείο γʹ, του Κανονισμού Διαδικασίας, η αίτηση προδικαστικής αποφάσεως πρέπει να περιέχει, μεταξύ άλλων, πέραν του κειμένου των προδικαστικών ερωτημάτων, και έκθεση των λόγων που οδήγησαν το αιτούν δικαστήριο να υποβάλει ερωτήματα ως προς την ερμηνεία ή το κύρος ορισμένων διατάξεων του δικαίου της Ένωσης.

32      Συναφώς, η έκθεση των λόγων της προδικαστικής παραπομπής είναι απαραίτητη προκειμένου να παρασχεθεί η δυνατότητα όχι μόνο στο Δικαστήριο να δίδει λυσιτελείς απαντήσεις, αλλά και στις κυβερνήσεις των κρατών μελών και στους λοιπούς ενδιαφερομένους να υποβάλλουν παρατηρήσεις, σύμφωνα με το άρθρο 23 του Οργανισμού του Δικαστηρίου της Ευρωπαϊκής Ένωσης. Ειδικότερα, το Δικαστήριο οφείλει να εξετάσει το κύρος διάταξης του δικαίου της Ένωσης υπό το πρίσμα ακριβώς των λόγων ανισχύρου που προβάλλονται στην απόφαση περί παραπομπής, με αποτέλεσμα η παντελής έλλειψη μνείας των συγκεκριμένων λόγων για τους οποίους το αιτούν δικαστήριο ζητεί διευκρινίσεις ως προς το ζήτημα αυτό να συνεπάγεται το απαράδεκτο των ερωτημάτων που αφορούν το κύρος της εν λόγω διάταξης (πρβλ. αποφάσεις της 15ης Ιουνίου 2017), T.KUP, C‑349/16, EU:C:2017:469, σκέψεις 16 έως 18, και της 22ας Ιουνίου 2023, Vitol, C‑268/22, EU:C:2023:508, σκέψεις 52 έως 55).

33      Ωστόσο, εν προκειμένω, το αιτούν δικαστήριο δεν παραθέτει κανένα συγκεκριμένο στοιχείο που να παρέχει στο Δικαστήριο τη δυνατότητα να εξετάσει το κύρος του άρθρου 82 του ΓΚΠΔ.

34      Κατά συνέπεια, το πρώτο ερώτημα πρέπει να κριθεί απαράδεκτο.

 Επί του τρίτου και τέταρτου ερωτήματος

35      Με το τρίτο και το τέταρτο ερώτημά του, τα οποία πρέπει να εξεταστούν από κοινού, και πριν από τα λοιπά ερωτήματα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν τα άρθρα 5, 24, 32 και 82 του ΓΚΠΔ, σε συνδυασμό μεταξύ τους, έχουν την έννοια ότι, στο πλαίσιο αγωγής αποζημίωσης βάσει του άρθρου 82, το γεγονός ότι υπάλληλοι του υπευθύνου επεξεργασίας παρέδωσαν κατά λάθος σε τρίτο πρόσωπο άνευ αδείας έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα αρκεί αφ’ εαυτού για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο εν λόγω υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32.

36      Το άρθρο 24 του ΓΚΠΔ προβλέπει γενική υποχρέωση του υπευθύνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να βεβαιώνεται ότι η επεξεργασία διενεργείται σύμφωνα με τον κανονισμό και να μπορεί να το αποδείξει (απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 24).

37      Το δε άρθρο 32 του ΓΚΠΔ εξειδικεύει τις υποχρεώσεις του υπευθύνου επεξεργασίας και του τυχόν εκτελούντος την επεξεργασία όσον αφορά την ασφάλεια της επεξεργασίας αυτής. Ειδικότερα, στην παράγραφο 1 του ίδιου άρθρου ορίζεται ότι οι τελευταίοι οφείλουν να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων που συνδέονται με την ως άνω επεξεργασία, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής, καθώς και τη φύση, το περιεχόμενο, το πλαίσιο και τους σκοπούς της συγκεκριμένης επεξεργασίας. Ομοίως, στην παράγραφο 2 του εν λόγω άρθρου ορίζεται ότι, κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψεις 26 και 27).

38      Επομένως, από το γράμμα των άρθρων 24 και 32 του ΓΚΠΔ προκύπτει ότι η καταλληλότητα των μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας πρέπει να αξιολογείται κατά τρόπο συγκεκριμένο λαμβανομένων υπόψη των διάφορων κριτηρίων που προβλέπονται στα εν λόγω άρθρα, των αναγκών προστασίας των δεδομένων που είναι ειδικώς εγγενείς στη συγκεκριμένη επεξεργασία, καθώς και των κινδύνων που ενέχει η επεξεργασία αυτή, και τούτο, κατά μείζονα λόγο, καθόσον ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδεικνύει ότι τα μέτρα που εφάρμοσε ήταν σύμφωνα με τον κανονισμό, δυνατότητα την οποία θα στερείτο εάν γινόταν δεκτό αμάχητο τεκμήριο (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψεις 30 έως 32).

39      Η εν λόγω γραμματική ερμηνεία επιρρωννύεται από τον συνδυασμό των άρθρων 24 και 32 με το άρθρο 5, παράγραφος 2, και το άρθρο 82 του κανονισμού, όπως αυτά ερμηνεύονται υπό το πρίσμα των αιτιολογικών σκέψεων 74, 76 και 83 του ίδιου κανονισμού, από τα οποία προκύπτει ειδικότερα ότι ο υπεύθυνος επεξεργασίας υποχρεούται να μετριάζει τους κινδύνους παραβιάσεως δεδομένων προσωπικού χαρακτήρα και όχι να αποτρέπει κάθε παραβίαση αυτών (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψεις 33 έως 38).

40      Κατά συνέπεια, το Δικαστήριο έκρινε ότι τα άρθρα 24 και 32 του ΓΚΠΔ, έχουν την έννοια ότι μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, δεν αρκούν αφ’ εαυτών για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32. (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 39).

41      Εν προκειμένω, το γεγονός ότι οι υπάλληλοι του υπευθύνου επεξεργασίας παρέδωσαν κατά λάθος και άνευ αδείας σε τρίτο πρόσωπο έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα είναι ικανό να καταδείξει ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο εν λόγω υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32. Ειδικότερα, η περίσταση αυτή μπορεί να οφείλεται σε αμέλεια ή σε πλημμελή οργάνωση εκ μέρους του υπευθύνου επεξεργασίας, η οποία δεν λαμβάνει ειδικώς υπόψη τους κινδύνους που συνδέονται με την επίμαχη επεξεργασία των δεδομένων.

42      Συναφώς, επισημαίνεται ότι από τη συνδυασμένη ερμηνεία των άρθρων 5, 24 και 32 του ΓΚΠΔ, ερμηνευομένων υπό το πρίσμα της αιτιολογικής σκέψης 74 αυτού, προκύπτει ότι, στο πλαίσιο αγωγής αποζημίωσης βάσει του άρθρου 82 του κανονισμού αυτού, το βάρος της απόδειξης ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται τη δέουσα ασφάλεια των δεδομένων αυτών, κατά την έννοια του άρθρου 5, παράγραφος 1, στοιχείο στʹ, και του άρθρου 32 του κανονισμού αυτού, βαρύνει τον υπεύθυνο επεξεργασίας. Μια τέτοια κατανομή του βάρους της απόδειξης είναι ικανή όχι μόνο να ενθαρρύνει τους υπευθύνους επεξεργασίας να λάβουν τα μέτρα ασφαλείας που απαιτούνται από τον ΓΚΠΔ, αλλά και να διασφαλίσει την αποτελεσματικότητα του δικαιώματος αποζημίωσης που προβλέπεται στο άρθρο 82 του κανονισμού αυτού και να σεβαστεί τη βούληση του νομοθέτη της Ένωσης που μνημονεύεται στην αιτιολογική σκέψη 11 αυτού (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψεις 49 έως 56).

43      Ως εκ τούτου, το Δικαστήριο έκρινε ότι η αρχή της ευθύνης του υπευθύνου επεξεργασίας, όπως εξαγγέλλεται στο άρθρο 5, παράγραφος 2, και εξειδικεύεται στο άρθρο 24 του ΓΚΠΔ, έχει την έννοια ότι, στο πλαίσιο αγωγής αποζημίωσης που ασκείται βάσει του άρθρου 82 του κανονισμού, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε βάσει του άρθρου 32 του εν λόγω κανονισμού (απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 57).

44      Επομένως, δικαστήριο που επιλαμβάνεται τέτοιας αγωγής αποζημίωσης βάσει του άρθρου 82 του ΓΚΠΔ δεν μπορεί να λάβει υπόψη μόνον το γεγονός ότι οι υπάλληλοι του υπευθύνου επεξεργασίας παρέδωσαν κατά λάθος σε τρίτο πρόσωπο άνευ αδείας έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα, προκειμένου να διαπιστώσει εάν υπήρξε παράβαση υποχρέωσης που προβλέπεται από τον εν λόγω κανονισμό. Το δικαστήριο αυτό οφείλει επίσης να λάβει υπόψη όλα τα στοιχεία που προσκόμισε ο υπεύθυνος επεξεργασίας προκειμένου να αποδείξει την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που έλαβε προκειμένου να συμμορφωθεί προς τις υποχρεώσεις που υπέχει από τα άρθρα 24 και 32 του κανονισμού αυτού.

45      Λαμβανομένων υπόψη των προεκτεθέντων, στο τρίτο και στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι τα άρθρα 5, 24, 32 και 82 του ΓΚΠΔ, εξεταζόμενα από κοινού, έχουν την έννοια ότι, στο πλαίσιο αγωγής αποζημίωσης βάσει του άρθρου 82, το γεγονός ότι υπάλληλοι του υπευθύνου επεξεργασίας διαβίβασαν κατά λάθος και άνευ αδείας σε τρίτον έγγραφο που περιείχε δεδομένα προσωπικού χαρακτήρα δεν αρκεί αφ’ εαυτού προκειμένου να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα» κατά την έννοια των άρθρων 24 και 32.

 Επί του εβδόμου ερωτήματος

46      Με το έβδομο ερώτημά του, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82 του ΓΚΠΔ έχει την έννοια ότι το δικαίωμα αποζημίωσης που προβλέπει η διάταξη αυτή, ιδίως σε περίπτωση μη υλικής ζημίας, επιτελεί τιμωρητική λειτουργία.

47      Συναφώς, το Δικαστήριο έχει κρίνει ότι το άρθρο 82 του ΓΚΠΔ δεν επιτελεί τιμωρητική, αλλά αντισταθμιστική λειτουργία, αντιθέτως προς άλλες διατάξεις του κανονισμού αυτού οι οποίες περιλαμβάνονται επίσης στο κεφάλαιο VIII αυτού, ήτοι στα άρθρα 83 και 84, τα οποία έχουν κατ’ ουσίαν τιμωρητικό σκοπό, δεδομένου ότι επιτρέπουν αντιστοίχως την επιβολή διοικητικών προστίμων και άλλων κυρώσεων. Η σχέση μεταξύ των κανόνων του άρθρου 82 και των κανόνων των άρθρων 83 και 84 καταδεικνύει ότι μεταξύ των δύο αυτών κατηγοριών διατάξεων υπάρχει τόσο διαφορά όσο και συμπληρωματικότητα όσον αφορά την ενθάρρυνση για την τήρηση του ΓΚΠΔ, καθώς επισημαίνεται ότι το δικαίωμα κάθε προσώπου να ζητήσει αποκατάσταση ζημίας ενισχύει την αποτελεσματικότητα των κανόνων προστασίας του ΓΚΠΔ και δύναται να αποθαρρύνει την επανάληψη παράνομων συμπεριφορών [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψεις 38 και 40, και της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψη 85].

48      Το Δικαστήριο έχει διευκρινίσει ότι, δεδομένου ότι το δικαίωμα αποζημίωσης που προβλέπεται στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ δεν επιτελεί αποτρεπτική, ή και τιμωρητική, αλλά αντισταθμιστική λειτουργία, η βαρύτητα της παράβασης του κανονισμού η οποία προκάλεσε τη ζημία δεν μπορεί να επηρεάσει το ύψος της αποζημίωσης που επιδικάζεται δυνάμει της διάταξης αυτής, ακόμη και όταν δεν πρόκειται για υλική αλλά για μη υλική ζημία, με αποτέλεσμα το ποσό αυτό να μην μπορεί να καθοριστεί σε επίπεδο που υπερβαίνει την πλήρη αποκατάσταση της ζημίας (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψεις 86 και 87).

49      Από τα προεκτεθέντα συνάγεται ότι δεν είναι αναγκαίο να αποφανθεί το Δικαστήριο επί της προβαλλόμενης από το αιτούν δικαστήριο σχέσης μεταξύ του σκοπού του δικαιώματος αποζημίωσης που προβλέπεται στο άρθρο 82, παράγραφος 1, και της τιμωρητικής λειτουργίας μιας συμβατικής ποινικής ρήτρας.

50      Κατά συνέπεια, στο έβδομο ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι το δικαίωμα αποζημίωσης που προβλέπεται από τη διάταξη αυτή, ιδίως σε περίπτωση μη υλικής ζημίας, έχει αντισταθμιστική λειτουργία, καθόσον η στηριζόμενη στη διάταξη αυτή χρηματική αποζημίωση πρέπει να καθιστά δυνατή την πλήρη αποκατάσταση της ζημίας που προκλήθηκε συγκεκριμένα από το γεγονός της παράβασης του κανονισμού αυτού, και όχι χαρακτήρα ποινής.

 Επί του έκτου ερωτήματος

51      Με το έκτο ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82 του ΓΚΠΔ έχει την έννοια ότι, για τον σκοπό της αποκατάστασης της ζημίας βάσει της διάταξης αυτής, απαιτεί να λαμβάνεται υπόψη ο βαθμός σοβαρότητας της παράβασης του κανονισμού την οποία διέπραξε ο υπεύθυνος επεξεργασίας.

52      Συναφώς, από το άρθρο 82 του ΓΚΠΔ προκύπτει, αφενός, ότι η στοιχειοθέτηση της ευθύνης του υπευθύνου επεξεργασίας εξαρτάται, μεταξύ άλλων, από την ύπαρξη υπαιτιότητάς του, η οποία τεκμαίρεται, εκτός αν αυτός αποδείξει ότι ουδόλως μπορεί να του καταλογιστεί ευθύνη για το ζημιογόνο γεγονός, και, αφετέρου, το άρθρο 82 δεν απαιτεί να λαμβάνεται υπόψη ο βαθμός υπαιτιότητας κατά τον καθορισμό του ποσού της αποζημίωσης που επιδικάζεται για χρηματική ικανοποίηση λόγω μη υλικής ζημίας βάσει της διάταξης αυτής (απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψη 103).

53      Όσον αφορά τον καθορισμό του ποσού της αποζημίωσης που ενδεχομένως οφείλεται δυνάμει του άρθρου 82 του ΓΚΠΔ, δεδομένου ότι ο κανονισμός αυτός δεν περιέχει διάταξη με τέτοιο αντικείμενο, τα εθνικά δικαστήρια οφείλουν, κατά την εκτίμηση αυτή, να εφαρμόζουν τους εσωτερικούς κανόνες κάθε κράτους μέλους σχετικά με την έκταση της χρηματικής αποζημίωσης, υπό την προϋπόθεση ότι τηρούνται οι αρχές της ισοδυναμίας και της αποτελεσματικότητας του δικαίου της Ένωσης (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψεις 83 και 101 και εκεί μνημονευόμενη νομολογία).

54      Εξάλλου, το Δικαστήριο έχει διευκρινίσει ότι, λαμβανομένης υπόψη της αντισταθμιστικής λειτουργίας του δικαιώματος αποζημίωσης, το άρθρο 82 του ΓΚΠΔ δεν απαιτεί να λαμβάνεται υπόψη ο βαθμός σοβαρότητας της παράβασης του κανονισμού αυτού, την οποία τεκμαίρεται ότι διέπραξε ο υπεύθυνος επεξεργασίας, κατά τον καθορισμό του ποσού της αποζημίωσης που επιδικάζεται για χρηματική ικανοποίηση λόγω μη υλικής ζημίας βάσει της διάταξης αυτής, αλλά απαιτεί το ποσό αυτό να καθορίζεται κατά τέτοιον τρόπο ώστε να αντισταθμίζεται πλήρως η συγκεκριμένη ζημία που προκλήθηκε από την παράβαση του κανονισμού (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψεις 84 έως 87 και 102 και εκεί μνημονευόμενη νομολογία).

55      Λαμβανομένων υπόψη των προεκτεθέντων, στο έκτο ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82 του ΓΚΠΔ έχει την έννοια ότι δεν απαιτεί να λαμβάνεται υπόψη για τους σκοπούς της αποκατάστασης μιας ζημίας βάσει της διάταξης αυτής ο βαθμός σοβαρότητας της παράβασης που διέπραξε ο υπεύθυνος επεξεργασίας.

 Επί του δευτέρου ερωτήματος

56      Με το δεύτερο ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι ο αιτών αποζημίωση δυνάμει της διάταξης αυτής οφείλει να αποδείξει όχι μόνο την ύπαρξη παράβασης των διατάξεων του κανονισμού αυτού, αλλά και ότι η παράβαση αυτή προκάλεσε σ’ αυτόν υλική ή μη υλική ζημία.

57      Συναφώς, υπενθυμίζεται ότι, κατά το άρθρο 82, παράγραφος 1, του ΓΚΠΔ, «[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».

58      Από το γράμμα της εν λόγω διάταξης προκύπτει ότι μόνη η παράβαση του ΓΚΠΔ δεν αρκεί προς θεμελίωση δικαιώματος αποζημίωσης. Ειδικότερα, η ύπαρξη «ζημίας» την οποία «υπέστη» ένα πρόσωπο συνιστά μία από τις προϋποθέσεις του προβλεπόμενου στο άρθρο 82, παράγραφος 1, δικαιώματος αποζημίωσης, όπως ακριβώς και η ύπαρξη παράβασης του κανονισμού αυτού και η ύπαρξη αιτιώδους συνάφειας μεταξύ της ζημίας και της παράβασης, δεδομένου ότι οι τρεις αυτές προϋποθέσεις πρέπει να συντρέχουν σωρευτικώς [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C-300/21, EU:C:2023:370, σκέψεις 32 και 42, της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 77, της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, σκέψη 14, και της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψη 82].

59      Όσον αφορά, ειδικότερα, τις μη υλικές ζημίες, το Δικαστήριο έχει επίσης κρίνει ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ αντιτίθεται σε εθνικό κανόνα ή πρακτική που εξαρτά την αποκατάσταση της μη υλικής ζημίας, κατά την έννοια της ως άνω διάταξης, από την προϋπόθεση η ζημία που υπέστη το υποκείμενο των δεδομένων, όπως ορίζεται στο άρθρο 4, σημείο 1, του κανονισμού αυτού, να υπερβαίνει ορισμένο όριο ως προς τη βαρύτητά της [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C-300/21, EU:C:2023:370, σκέψη 51, της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 78, και της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, σκέψη 16].

60      Το Δικαστήριο έχει διευκρινίσει ότι το υποκείμενο των δεδομένων εις βάρος του οποίου διαπράττεται παράβαση του ΓΚΠΔ η οποία είχε αρνητικές για το ίδιο συνέπειες οφείλει, ωστόσο, να αποδείξει ότι οι συνέπειες αυτές συνιστούν μη υλική ζημία, κατά την έννοια του άρθρου 82 του κανονισμού αυτού, δεδομένου ότι δεν αρκεί μόνη η παράβαση των διατάξεων του ανωτέρω κανονισμού προς θεμελίωση δικαιώματος αποζημίωσης [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C-300/21, EU:C:2023:370, σκέψεις 42 και 50, της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 84, και της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, σκέψεις 21 και 23].

61      Λαμβανομένων υπόψη των προεκτεθέντων, στο δεύτερο ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι το πρόσωπο που ζητεί αποζημίωση δυνάμει της διάταξης αυτής υποχρεούται να αποδεικνύει όχι μόνον την παράβαση των διατάξεων του κανονισμού αυτού, αλλά και την υλική ή μη υλική ζημία που του προκάλεσε η παράβαση αυτή.

 Επί του πέμπτου ερωτήματος

62      Με το πέμπτο ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι, σε περίπτωση κατά την οποία έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα παραδοθεί άνευ αδείας σε τρίτο, ο οποίος αποδεδειγμένως δεν έλαβε γνώση των δεδομένων αυτών, μπορεί να συνιστά «μη υλική ζημία», κατά την έννοια της ως άνω διάταξης, ο φόβος και μόνον του ενδιαφερομένου ότι, κατόπιν της γνωστοποίησης αυτής, η οποία κατέστησε δυνατή τη δημιουργία αντιγράφου του εν λόγω εγγράφου πριν από την επιστροφή του, τα δεδομένα του ενδέχεται να διαδοθούν ή ακόμη και να χρησιμοποιηθούν καταχρηστικώς στο μέλλον.

63      Επισημαίνεται η διευκρίνιση του αιτούντος δικαστηρίου ότι, εν προκειμένω, το έγγραφο που περιείχε τα επίμαχα δεδομένα επεστράφη στον ενάγοντα της κύριας δίκης εντός μισής ώρας από την παράδοσή του άνευ αδείας σε τρίτον και ότι ο τελευταίος δεν έλαβε γνώση των δεδομένων αυτών προτού επιστρέψει το έγγραφο, όμως ο ενάγων υποστηρίζει ότι η παράδοση αυτή παρέσχε στον τρίτο τη δυνατότητα να λάβει αντίγραφα του εγγράφου προτού το επιστρέψει και ότι, ως εκ τούτου, του δημιούργησε φόβο συνδεόμενο με τον κίνδυνο κατάχρησης των δεδομένων αυτών στο μέλλον.

64      Δεδομένου ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ δεν περιέχει καμία παραπομπή στο εσωτερικό δίκαιο των κρατών μελών, η έννοια της «μη υλικής ζημίας», κατά τη διάταξη αυτή, πρέπει να ορίζεται κατά τρόπο αυτοτελή και ομοιόμορφο ο οποίος να προσιδιάζει στο δίκαιο της Ένωσης [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C-300/21, EU:C:2023:370, σκέψεις 30 και 44, και της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, σκέψη 15].

65      Το Δικαστήριο έκρινε ότι προκύπτει όχι μόνον από το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα των αιτιολογικών σκέψεων 85 και 146 του κανονισμού αυτού, κατά τις οποίες πρέπει να ερμηνεύεται ευρέως η έννοια της «μη υλικής ζημίας» σύμφωνα με την ως άνω διάταξη, αλλά και από τον επιδιωκόμενο από τον κανονισμό σκοπό, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, ότι ο φόβος που αισθάνεται υποκείμενο δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων του από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του εν λόγω κανονισμού, μπορεί αφ’ εαυτού να συνιστά «μη υλική ζημία», κατά την έννοια του άρθρου 82, παράγραφος 1 (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψεις 79 έως 86).

66      Το Δικαστήριο, στηριζόμενο σε εκτιμήσεις γραμματικής, συστηματικής και τελολογικής φύσης, έκρινε ότι η απώλεια ελέγχου επί των δεδομένων προσωπικού χαρακτήρα για σύντομο χρονικό διάστημα μπορεί να προκαλέσει στο υποκείμενο των δεδομένων «μη υλική ζημία», κατά την έννοια του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, η οποία παρέχει δικαίωμα αποζημίωσης, εφόσον το εν λόγω πρόσωπο αποδείξει ότι υπέστη πράγματι τέτοια ζημία, όσο ελάχιστη και αν είναι, υπενθυμίζοντας ότι δεν αρκεί απλώς και μόνον η παράβαση των διατάξεων του ανωτέρω κανονισμού προς θεμελίωση δικαιώματος αποζημίωσης (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, σκέψεις 18 έως 23).

67      Ομοίως, εν προκειμένω, επισημαίνεται ότι συνάδει τόσο προς το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ όσο και προς τον σκοπό προστασίας που επιδιώκει ο κανονισμός, το συμπέρασμα ότι η έννοια της «μη υλικής ζημίας» περιλαμβάνει κατάσταση κατά την οποία το υποκείμενο των δεδομένων αισθάνεται βάσιμο φόβο, η διαπίστωση του οποίου εναπόκειται στο εθνικό δικαστήριο, ότι ορισμένα από τα δεδομένα προσωπικού χαρακτήρα που το αφορούν ενδέχεται να διαδοθούν ή να χρησιμοποιηθούν καταχρηστικά από τρίτους στο μέλλον, λόγω του γεγονότος ότι ένα έγγραφο που περιέχει τέτοια δεδομένα έχει παραδοθεί άνευ αδείας σε τρίτον ο οποίος είχε τη δυνατότητα να δημιουργήσει αντίγραφα προτού το επιστρέψει.

68      Ωστόσο, γεγονός παραμένει ότι εναπόκειται στον ενάγοντα που ζητεί αποζημίωση βάσει του άρθρου 82 του ΓΚΠΔ να αποδείξει την ύπαρξη τέτοιας ζημίας. Ειδικότερα, ένας εντελώς υποθετικός κίνδυνος κατάχρησης από μη εξουσιοδοτημένο τρίτο δεν μπορεί να θεμελιώσει δικαίωμα αποζημίωσης. Τούτο ισχύει όταν κανένας τρίτος δεν έχει λάβει γνώση των επίμαχων δεδομένων προσωπικού χαρακτήρα.

69      Επομένως, στο πέμπτο ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι, σε περίπτωση που ένα έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα διαβιβάστηκε άνευ αδείας σε τρίτον ο οποίος αποδείχθηκε ότι δεν έλαβε γνώση των δεδομένων αυτών, δεν στοιχειοθετείται «μη υλική ζημία», κατά την έννοια της διάταξης αυτής, για τον λόγο και μόνον ότι το υποκείμενο των δεδομένων φοβάται ότι, μετά την κοινολόγηση αυτή, η οποία κατέστησε δυνατή τη δημιουργία αντιγράφου του εν λόγω εγγράφου πριν την επιστροφή του, μπορεί να προκληθεί διάδοση ή και κατάχρηση των δεδομένων αυτών στο μέλλον.

 Επί των δικαστικών εξόδων

70      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (τρίτο τμήμα) αποφαίνεται:

1)      Τα άρθρα 5, 24, 32 και 82 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ερμηνευόμενα από κοινού,

έχουν την έννοια ότι:

στο πλαίσιο αγωγής αποζημίωσης βάσει του άρθρου 82, το γεγονός ότι υπάλληλοι του υπευθύνου επεξεργασίας διαβίβασαν κατά λάθος σε τρίτον άνευ αδείας έγγραφο που περιείχε δεδομένα προσωπικού χαρακτήρα δεν αρκεί αφ’ εαυτού προκειμένου να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα» κατά την έννοια των άρθρων 24 και 32.

2)      Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679

έχει την έννοια ότι:

το δικαίωμα αποζημίωσης που προβλέπεται από τη διάταξη αυτή, ιδίως σε περίπτωση μη υλικής ζημίας, έχει αντισταθμιστική λειτουργία, καθόσον η στηριζόμενη στη διάταξη αυτή χρηματική αποζημίωση πρέπει να καθιστά δυνατή την πλήρη αποκατάσταση της ζημίας που προκλήθηκε συγκεκριμένα από το γεγονός της παράβασης του κανονισμού αυτού, και όχι χαρακτήρα ποινής.

3)      Το άρθρο 82 του κανονισμού 2016/679

έχει την έννοια ότι:

δεν απαιτεί να λαμβάνεται υπόψη για τους σκοπούς της αποκατάστασης μιας ζημίας βάσει της διάταξης αυτής ο βαθμός σοβαρότητας της παράβασης που διέπραξε ο υπεύθυνος επεξεργασίας.

4)      Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679

έχει την έννοια ότι:

το πρόσωπο που ζητεί αποζημίωση δυνάμει της διάταξης αυτής υποχρεούται να αποδεικνύει όχι μόνον την παράβαση των διατάξεων του κανονισμού αυτού, αλλά και την υλική ή μη υλική ζημία που του προκάλεσε η παράβαση αυτή.

5)      Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679

έχει την έννοια ότι:

σε περίπτωση που ένα έγγραφο που περιέχει δεδομένα προσωπικού χαρακτήρα διαβιβάστηκε άνευ αδείας σε τρίτον ο οποίος αποδείχθηκε ότι δεν έλαβε γνώση των δεδομένων αυτών, δεν στοιχειοθετείται «μη υλική ζημία», κατά την έννοια της διάταξης αυτής, για τον λόγο και μόνον ότι το υποκείμενο των δεδομένων φοβάται ότι, μετά την κοινολόγηση αυτή, η οποία κατέστησε δυνατή τη δημιουργία αντιγράφου του εν λόγω εγγράφου πριν την επιστροφή του, μπορεί να προκληθεί διάδοση ή και κατάχρηση των δεδομένων αυτών στο μέλλον.

(υπογραφές)

*      Γλώσσα διαδικασίας: η γερμανική.