SODBA SODIŠČA (tretji senat)
z dne 25. januarja 2024(*)
„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Razlaga členov 5, 24, 32 in 82 – Presoja veljavnosti člena 82 – Nedopustnost predloga za presojo veljavnosti – Pravica do odškodnine za škodo, povzročeno z obdelavo takih podatkov, izvedeno v nasprotju s to uredbo – Posredovanje podatkov nepooblaščeni tretji osebi zaradi napake zaposlenih upravljavca – Presoja ustreznosti varnostnih ukrepov, ki jih izvaja upravljavec – Kompenzacijska funkcija, ki jo ima pravica do odškodnine – Vpliv resnosti kršitve – Nujnost ugotovitve obstoja škode, povzročene z navedeno kršitvijo – Pojem ‚nepremoženjska škoda‘“
V zadevi C‑687/21,
katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Amtsgericht Hagen (okrajno sodišče v Hagnu, Nemčija) z odločbo z dne 11. oktobra 2021, ki je na Sodišče prispela 16. novembra 2021, v postopku
BL
proti
MediaMarktSaturn Hagen‑Iserlohn GmbH, nekdanji Saturn Electro‑Handelsgesellschaft mbH Hagen,
SODIŠČE (tretji senat),
v sestavi K. Jürimäe, predsednica senata, N. Piçarra, M. Safjan, N. Jääskinen (poročevalec) in M. Gavalec, sodniki,
generalni pravobranilec: M. Campos Sánchez‑Bordona,
sodni tajnik: A. Calot Escobar,
na podlagi pisnega postopka,
ob upoštevanju stališč, ki so jih predložili:
– za BL D. Pudelko, Rechtsanwalt,
– za MediaMarktSaturn Hagen‑Iserlohn GmbH, nekdanjo Saturn Electro‑Handelsgesellschaft mbH Hagen, B. Hackl, Rechtsanwalt,
– za Irsko M. Browne, Chief State Solicitor, A. Joyce in M. Lane, agenta, skupaj z D. Fennellyjem, BL,
– za Evropski parlament O. Hrstková Šolcová in J.‑C. Puffer, agenta,
– za Evropsko komisijo A. Bouchagiar, M. Heller in H. Kranenborg, agenti,
na podlagi sklepa, sprejetega po opredelitvi generalnega pravobranilca, da bo v zadevi razsojeno brez sklepnih predlogov,
izreka naslednjo
Sodbo
1 Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 2(1), člena 4, točka 7, člena 5(1)(f), člena 6(1), člena 24, člena 32(1)(b) in (2) ter člena 82 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: SUVP) in presojo veljavnosti tega člena 82.
2 Ta predlog je bil vložen v okviru spora med BL, fizično osebo, in družbo MediaMarktSaturn Hagen‑Iserlohn GmbH, nekdanjo Saturn Electro‑Handelsgesellschaft mbH Hagen (v nadaljevanju: Saturn), v zvezi z odškodnino za nepremoženjsko škodo, za katero ta oseba trdi, da jo je utrpela, ker so bili nekateri njeni osebni podatki zaradi napake zaposlenih te družbe posredovani tretji osebi.
Pravni okvir
3 V uvodnih izjavah 11, 74, 76, 83, 85 in 146 SUVP je navedeno:
„(11) Za učinkovito varstvo osebnih podatkov po vsej [Evropski uniji] je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov […].
[…]
(74) Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen izkazati skladnost dejavnosti obdelave s to uredbo, vključno z učinkovitostjo ukrepov. Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.
[…]
(76) Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.
[…]
(83) Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.
[…]
(85) Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. […]
[…]
(146) Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo. Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo. Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki[] v celoti odraža cilje te uredbe. To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice. Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli. […]“
4 V poglavju I te uredbe, ki se nanaša na „[s]plošne določbe“, njen člen 2, naslovljen „Področje uporabe“, v odstavku 1 določa:
„Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.“
5 Člen 4 navedene uredbe, naslovljen „Opredelitev pojmov“, določa:
„V tej uredbi:
1. ,osebni podatki‘ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); […]
[…]
7. ‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; […]
[…]
10. ,tretja oseba‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;
[…]
12. ,kršitev varnosti osebnih podatkov‘ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
[…].“
6 Poglavje II SUVP, naslovljeno „Načela“, vsebuje člene od 5 do 11 te uredbe.
7 Člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:
„1. Osebni podatki morajo biti:
[…]
(f) obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (‚celovitost in zaupnost‘).
2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (‚odgovornost‘).“
8 Člen 6 navedene uredbe, naslovljen „Zakonitost obdelave“, v odstavku 1 določa pogoje, ki morajo biti izpolnjeni, da je obdelava zakonita.
9 Poglavje IV SUVP, naslovljeno „Upravljavec in obdelovalec“, vsebuje člene od 24 do 43 te uredbe.
10 V oddelku 1 tega poglavja, naslovljenem „Splošne obveznosti“, je ta člen 24 te uredbe, naslovljen „Odgovornost upravljavca“, ki v odstavkih 1 in 2 določa:
„1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.
2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.“
11 V oddelku 2 navedenega poglavja IV, naslovljenem „Varnost osebnih podatkov“, člen 32 SUVP, naslovljen „Varnost obdelave“, v odstavkih 1(b) in 2 določa:
„1. Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
[…]
(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
[…]
2. Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.“
12 Poglavje VIII SUVP, naslovljeno „Pravna sredstva, odgovornost in kazni“, vsebuje člene od 77 do 84 te uredbe.
13 Člen 82 te uredbe, naslovljen „Pravica do odškodnine in odgovornost“, določa:
„1. Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.
2. Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. […]
3. Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.
[…].“
14 Člen 83 SUVP, naslovljen „Splošni pogoji za naložitev upravnih glob“, določa:
„1. Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.
2. […] Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:
(a) narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;
(b) ali je kršitev naklepna ali posledica malomarnosti;
[…]
(d) stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;
[…]
(k) morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.
3. Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.
[…].“
15 Člen 84 te uredbe, naslovljen „Kazni“, v odstavku 1 določa:
„Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.“
Spor o glavni stvari in vprašanja za predhodno odločanje
16 Tožeča stranka v postopku v glavni stvari se je odpravila v poslovne prostore družbe Saturn, kjer je kupila gospodinjski aparat. Zaposleni v tej družbi je za to pripravil prodajno in kreditno pogodbo. Ob tej priložnosti je v informacijski sistem družbe Saturn vnesel več osebnih podatkov te stranke, in sicer ime in priimek, naslov, kraj prebivališča, ime delodajalca, prihodke in bančne podatke.
17 Pogodbeni dokumenti s temi osebnimi podatki so bili natisnjeni in podpisali sta jih obe stranki. Tožeča stranka v postopku v glavni stvari jih je nato odnesla k zaposlenim družbe Saturn, ki delajo na mestu za izdajo blaga. Druga stranka, ki se je neopazno vrinila pred tožečo stranko v postopku v glavni stvari, je tako pomotoma prejela aparat, ki ga je naročila zadnjenavedena stranka, in zadevne dokumente ter vse odnesla.
18 Ker je bila napaka hitro odkrita, je zaposleni družbe Saturn v pol ure po izročitvi drugi stranki dobil nazaj aparat in dokumente ter jih izročil tožeči stranki v postopku v glavni stvari. Podjetje je želelo tožeči stranki v postopku v glavni stvari nadomestiti škodo zaradi te napake tako, da bi ji zadevni aparat brezplačno dostavilo na dom, vendar je zadevna oseba menila, da to nadomestilo ni zadostno.
19 Tožeča stranka v postopku v glavni stvari je pri Amtsgericht Hagen (okrajno sodišče v Hagnu, Nemčija), ki je predložitveno sodišče v tej zadevi, vložila tožbo, s katero zlasti na podlagi določb SUVP zahteva odškodnino za nepremoženjsko škodo, za katero trdi, da jo je utrpela zaradi napake, ki so jo storili zaposleni družbe Saturn, in posledičnih tveganj izgube nadzora nad njenimi osebnimi podatki.
20 Družba Saturn v svojo obrambo na eni strani trdi, da ni bilo kršitve SUVP in da bi ta kršitev lahko bila podana le, če bi presegla določen prag resnosti, ki v tem primeru ni bil dosežen. Na drugi strani ta družba trdi, da tožeča stranka v postopku v glavni stvari ni utrpela nobene škode, ker ni bilo ne ugotovljeno ne zatrjevano, da je vpletena tretja oseba zlorabila osebne podatke zadevne osebe.
21 Predložitveno sodišče se sprašuje, prvič, o veljavnosti člena 82 SUVP, ker se mu zdi, da ta člen ne določa njegovih pravnih učinkov v primeru odškodnine za nepremoženjsko škodo.
22 Drugič, če bi Sodišče ugotovilo, da ta člen 82 ni neveljaven, se sprašuje, ali uveljavljanje pravice do odškodnine iz tega člena predpostavlja, da je treba ugotoviti obstoj ne le kršitve SUVP, ampak tudi škode, zlasti nepremoženjske, ki jo je utrpela oseba, ki zahteva odškodnino.
23 Tretjič, predložitveno sodišče želi ugotoviti, ali zgolj dejstvo, da so bili natisnjeni dokumenti z osebnimi podatki brez dovoljenja izročeni tretji osebi zaradi napake, ki so jo storili zaposleni upravljavca, omogoča, da se ugotovi kršitev SUVP.
24 Četrtič, čeprav to sodišče meni, da „mora [toženo] podjetje dokazati, da ni krivo“, želi izvedeti, ali je dovolj ugotoviti, da je bila taka izročitev dokumentov iz malomarnosti storjena, da se šteje, da je podana kršitev SUVP, zlasti z vidika obveznosti, ki naj bi jo imel upravljavec, da izvaja ustrezne ukrepe za zagotovitev varnosti obdelanih podatkov, na podlagi členov 2, 5, 6 in 24 te uredbe.
25 Petič, predložitveno sodišče se sprašuje, ali je, tudi če se zdi, da se nepooblaščena tretja oseba ni seznanila z zadevnimi osebnimi podatki, preden je vrnila dokumente, v katerih so bili ti podatki navedeni, obstoj „nepremoženjske škode“ v smislu člena 82 SUVP mogoče ugotoviti zgolj zaradi dejstva, da oseba, katere podatki so bili tako posredovani, čuti strah zaradi tveganja – ki ga po mnenju tega sodišča ni mogoče izključiti – da bo v prihodnje ta tretja oseba te podatke posredovala drugim posameznikom ali da bodo celo zlorabljeni.
26 Šestič, navedeno sodišče se sprašuje o morebitnem vplivu, ki ga ima v okviru odškodninskega zahtevka za nepremoženjsko škodo na podlagi tega člena 82 stopnja resnosti, ki jo predstavlja kršitev, storjena v okoliščinah, kot so te iz spora o glavni stvari, ob upoštevanju, da bi po njegovem mnenju upravljavec lahko sprejel učinkovitejše varnostne ukrepe.
27 Nazadnje, sedmič, vedeti želi, kakšen je namen odškodnine za nepremoženjsko škodo na podlagi SUVP, pri čemer namiguje, da bi ta odškodnina lahko imela naravo sankcije, ki je enakovredna pogodbeni kazni.
28 V teh okoliščinah je Amtsgericht Hagen (okrajno sodišče v Hagnu) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali določba o odškodnini iz [SUVP] (člen 82 [SUVP]) ni veljavna, ker ne določa pravnih posledic, ki jih je treba določiti v primeru odškodnine za nepremoženjsko škodo?
2. Ali je pogoj za odškodninski zahtevek, da mora biti poleg neupravičene seznanitve neupravičene tretje osebe s podatki, ki jih je treba varovati, ugotovljena tudi nepremoženjska škoda, ki jo mora zatrjevati vlagatelj zahtevka?
3. Ali za kršitev [SUVP] zadostuje, da zaposleni v podjetju, ki izvaja naročilo, tretji osebi v natisnjeni obliki, na papirju, po pomoti posredujejo osebne podatke posameznika, na katerega se nanašajo osebni podatki (ime, naslov, poklic, dohodek, delodajalec)?
4. Ali gre za nezakonito nadaljnjo obdelavo zaradi nenamernega posredovanja (razkritja) tretji osebi, če je podjetje po svojih zaposlenih neupravičeni tretji osebi v natisnjeni obliki po pomoti posredovalo podatke, ki se sicer vnesejo v sistem za elektronsko obdelavo podatkov (člen 2(1), člen 5(1)(f), člen 6(1) in člen 24 [SUVP])?
5. Ali gre za nepremoženjsko škodo v smislu člena 82 [SUVP] že takrat, kadar se tretja oseba, ki je prejela dokument z osebnimi podatki, ni seznanila s temi podatki, preden je bil papir, na katerem so navedene te informacije, vrnjen, oziroma ali za nepremoženjsko škodo v smislu člena 82 [SUVP] zadostuje nelagodje tiste osebe, katere osebni podatki so bili nezakonito posredovani, ker pri vsakem neupravičenem razkritju osebnih podatkov obstaja možnost, ki je ni mogoče izključiti, da bi se lahko podatki vendarle prenesli neznanemu velikemu številu oseb ali celo zlorabili?
6. Za kako hudo je treba šteti kršitev, če je mogoče nenamerno posredovanje tretji osebi preprečiti z boljšim nadzorom nad pomožnimi delavci, ki delajo v podjetju, in/ali z boljšo organizacijo varnosti podatkov, na primer tako, da bi bila postopek izdaje blaga in pogodbene, zlasti dokumentacije glede financiranja, ločena, tako da bi obstajalo posebno potrdilo za izdajo ali da bi se dokumenti interno posredovali zaposlenim na mestu za izdajo blaga, ne da bi bil v ta postopek vključen kupec, ki so mu bili izročeni natisnjeni dokumenti, vključno s potrdilom, ki omogoča prevzem (člen 32(1)(b) in (2) ter člen 4, točka 7, [SUVP])?
7. Ali je treba odškodnino za nepremoženjsko škodo razlagati kot prisoditev kazni, kot v primeru pogodbene kazni?“
Vprašanja za predhodno odločanje
Prvo vprašanje
29 Predložitveno sodišče s prvim vprašanjem sprašuje, ali člen 82 SUVP ni veljaven, ker ne določa pravnih posledic, ki jih ima odškodnina za nepremoženjsko škodo.
30 Evropski parlament trdi, da to vprašanje ni dopustno, saj predložitveno sodišče ni izpolnilo zahtev iz člena 94(c) Poslovnika Sodišča, čeprav predložitveno sodišče tu načenja posebej zapleteno problematiko, in sicer presojo veljavnosti določbe prava Unije.
31 V skladu s členom 94(c) Poslovnika mora predlog za sprejetje predhodne odločbe poleg besedila vprašanj, ki se Sodišču predložijo v predhodno odločanje, vsebovati med drugim razloge, ki so predložitvenemu sodišču vzbudili dvom o razlagi ali veljavnosti nekaterih določb prava Unije.
32 V zvezi s tem so razlogi za predlog za sprejetje predhodne odločbe nujni, ne le da se Sodišču omogoči dati koristne odgovore, ampak tudi da se vladam držav članic in drugim zainteresiranim strankam da možnost, da predložijo stališča v skladu s členom 23 Statuta Sodišča Evropske unije. Natančneje, Sodišče mora glede na razloge za neveljavnost, navedene v predložitveni odločbi, preučiti veljavnost določbe prava Unije, tako da neobstoj kakršne koli navedbe natančnih razlogov, ki so predložitvenemu sodišču vzbudili pomisleke o tem, povzroči nedopustnost vprašanj v zvezi z navedeno veljavnostjo (glej v tem smislu sodbi z dne 15. junija 2017, T.KUP, C‑349/16, EU:C:2017:469, točke od 16 do 18, in z dne 22. junija 2023, Vitol, C‑268/22, EU:C:2023:508, točke od 52 do 55).
33 V obravnavanem primeru pa predložitveno sodišče ne navaja nobenega natančnega elementa, na podlagi katerega bi Sodišče lahko preučilo veljavnost člena 82 SUVP.
34 Zato je treba prvo vprašanje razglasiti za nedopustno.
Tretje in četrto vprašanje
35 Predložitveno sodišče s tretjim in četrtim vprašanjem, ki ju je treba preučiti skupaj in na prvem mestu, v bistvu sprašuje, ali je treba člene 5, 24, 32 in 82 SUVP povezano razlagati tako, da v okviru odškodninskega zahtevka na podlagi tega člena 82 že zgolj dejstvo, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, zadostuje za to, da se šteje, da tehnični in organizacijski ukrepi, ki jih je izvajal zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.
36 Člen 24 SUVP določa splošno obveznost upravljavca osebnih podatkov, da izvaja ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da navedena obdelava poteka v skladu s to uredbo (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 24).
37 Člen 32 SUVP pa določa obveznosti upravljavca in morebitnega obdelovalca glede varnosti te obdelave. Tako odstavek 1 tega člena določa, da morajo upravljavci in obdelovalci z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganja, povezana z navedeno obdelavo, ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov zadevne obdelave. Prav tako odstavek 2 navedenega člena določa, da je treba pri določanju ustrezne ravni varnosti upoštevati zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do takih osebnih podatkov (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točki 26 in 27).
38 Iz členov 24 in 32 SUVP tako izhaja, da je treba ustreznost ukrepov, ki jih izvaja upravljavec, oceniti konkretno, ob upoštevanju različnih meril iz teh členov in potreb po varstvu podatkov, ki so povezane posebej z zadevno obdelavo, ter tveganj, ki zaradi nje nastajajo, in to zlasti, ker mora biti navedeni upravljavec zmožen dokazati, da so navedeni ukrepi v skladu s to uredbo, če pa bi se sprejela uporaba neizpodbojne domneve, bi mu bila ta možnost odvzeta (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točke od 30 do 32).
39 To jezikovno razlago potrjuje povezana razlaga navedenih členov 24 in 32 ter člena 5(2) in člena 82 navedene uredbe v povezavi z uvodnimi izjavami 74, 76 in 83 te uredbe, iz katerih zlasti izhaja, da mora upravljavec zmanjšati tveganja kršitve osebnih podatkov, in ne preprečiti vsakršno kršitev teh podatkov (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točke od 33 do 38).
40 Zato je Sodišče člena 24 in 32 SUVP razložilo tako, da nepooblaščeno razkritje osebnih podatkov ali nedovoljen dostop do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe sama po sebi ne zadostujeta za to, da bi se štelo, da tehnični in organizacijski ukrepi, ki jih je sprejel zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32 (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 39).
41 V obravnavanem primeru bi okoliščina, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, lahko razkrila, da tehnični in organizacijski ukrepi, ki jih je izvajal zadevni upravljavec, niso bili „ustrezni“ v smislu navedenih členov 24 in 32. Zlasti je taka okoliščina lahko posledica malomarnosti ali pomanjkljivosti v organizaciji upravljavca, ki ne upošteva konkretno tveganj, povezanih z obdelavo zadevnih podatkov.
42 V zvezi s tem je pomembno poudariti, da iz povezane razlage členov 5, 24 in 32 SUVP v povezavi z uvodno izjavo 74 te uredbe izhaja, da v okviru odškodninskega zahtevka na podlagi člena 82 te uredbe dokazno breme, da se osebni podatki obdelujejo na način, ki zagotavlja njihovo ustrezno varnost v smislu člena 5(1)(f) in člena 32 navedene uredbe, nosi zadevni upravljavec. Taka porazdelitev dokaznega bremena lahko ne le spodbuja upravljavce teh podatkov k sprejemanju varnostnih ukrepov, zahtevanih v SUVP, ampak tudi k ohranjanju polnega učinka pravice do odškodnine, določene v členu 82 te uredbe, in spoštovanju namenov zakonodajalca Unije, omenjenih v uvodni izjavi 11 navedene uredbe (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točke od 49 do 56).
43 Zato je Sodišče načelo odgovornosti upravljavca, ki je določeno v členu 5(2) SUVP in konkretizirano v členu 24 te uredbe, razlagalo tako, da mora upravljavec v okviru odškodninske tožbe na podlagi člena 82 navedene uredbe dokazati ustreznost varnostnih ukrepov, ki jih je izvedel na podlagi člena 32 iste uredbe (sodba z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 57).
44 Sodišče, ki odloča o takem odškodninskem zahtevku na podlagi člena 82 SUVP, tako ne more upoštevati le okoliščine, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, da bi ugotovilo, ali obstaja kršitev obveznosti iz te uredbe. To sodišče mora namreč upoštevati tudi vse dokaze, ki jih je upravljavec predložil za dokaz ustreznosti tehničnih in organizacijskih ukrepov, ki jih je sprejel za izpolnitev obveznosti, ki jih ima na podlagi členov 24 in 32 navedene uredbe.
45 Glede na navedene razloge je treba na tretje in četrto vprašanje odgovoriti, da je treba člene 5, 24, 32 in 82 SUVP povezano razlagati tako, da v okviru odškodninskega zahtevka na podlagi tega člena 82 zgolj dejstvo, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, ne zadostuje za to, da se šteje, da tehnični in organizacijski ukrepi, ki jih je izvajal zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.
Sedmo vprašanje
46 Predložitveno sodišče s sedmim vprašanjem v bistvu sprašuje, ali je treba člen 82 SUVP razlagati tako, da ima pravica do odškodnine iz te določbe, med drugim v primeru nepremoženjske škode, kaznovalno funkcijo.
47 V zvezi s tem je Sodišče razsodilo, da člen 82 SUVP nima kaznovalne funkcije, temveč kompenzacijsko funkcijo, v nasprotju z drugimi določbami te uredbe, ki so prav tako v poglavju VIII te uredbe, in sicer členoma 83 in 84 navedene uredbe, ki imata v bistvu kaznovalno funkcijo, saj omogočata tako naložitev upravnih glob kot drugih sankcij. Odnos med pravili iz navedenega člena 82 in pravili iz navedenih členov 83 in 84 dokazuje, da obstaja razlika med tema kategorijama določb, vendar tudi dopolnjevanje v smislu spodbujanja k spoštovanju SUVP, pri čemer je treba opozoriti, da pravica vsakogar, da zahteva odškodnino za škodo, krepi uspešnost pravil o varstvu, določenih s to uredbo, in lahko odvrača od ponavljanja nezakonitih ravnanj (glej v tem smislu sodbi z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 38 in 40, in z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točka 85).
48 Sodišče je pojasnilo, da pravica do odškodnine iz člena 82(1) SUVP nima odvračilne ali celo kaznovalne funkcije, ampak kompenzacijsko funkcijo, zato resnost kršitve te uredbe, s katero je bila povzročena zadevna škoda, ne more vplivati na znesek odškodnine, dodeljene na podlagi te določbe, tudi če ne gre za premoženjsko, ampak za nepremoženjsko škodo, tako da tega zneska ni mogoče določiti v višini, ki presega polno nadomestilo te škode (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točki 86 in 87).
49 Iz navedenega sledi, da ni treba odločiti o približevanju – ki ga predvideva predložitveno sodišče – med namenom pravice do odškodnine, določene v tem členu 82(1), in kaznovalno funkcijo pogodbene kazni.
50 Zato je treba na sedmo vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da ima pravica do odškodnine iz te določbe, med drugim v primeru nepremoženjske škode, kompenzacijsko funkcijo, ker mora denarno nadomestilo, ki temelji na navedeni določbi, omogočiti, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve te uredbe, in nima kaznovalne funkcije.
Šesto vprašanje
51 Predložitveno sodišče s šestim vprašanjem v bistvu sprašuje, ali je treba člen 82 SUVP razlagati tako, da ta člen zahteva, da se stopnja resnosti kršitve te uredbe, ki jo stori upravljavec, upošteva pri odškodnini na podlagi te določbe.
52 V zvezi s tem iz člena 82 SUVP izhaja, da je na eni strani uveljavljanje odgovornosti upravljavca med drugim pogojeno z obstojem napake tega upravljavca, ki se domneva, razen če ta upravljavec dokaže, da dogodka, ki je povzročil škodo, nikakor ni mogoče pripisati njemu, in da na drugi strani ta člen 82 ne zahteva, da se pri določitvi zneska odškodnine za nepremoženjsko škodo na podlagi te določbe upošteva stopnja resnosti te napake (sodba z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točka 103).
53 Pri določitvi morebitne odškodnine na podlagi člena 82 SUVP morajo nacionalna sodišča, ker ta uredba ne vsebuje določbe o tem, uporabiti nacionalna pravila vsake države članice v zvezi z obsegom denarne odškodnine, vendar le če se spoštujeta načeli enakovrednosti in učinkovitosti prava Unije (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točki 83 in 101 ter navedena sodna praksa).
54 Poleg tega je Sodišče pojasnilo, da glede na kompenzacijsko funkcijo pravice do odškodnine, določene v členu 82 SUVP, ta določba ne zahteva, da se stopnja resnosti kršitve te uredbe, za katero se domneva, da jo je storil upravljavec, upošteva pri določitvi zneska odškodnine, dodeljene za povrnitev nepremoženjske škode na podlagi navedene določbe, ampak zahteva, da se ta znesek določi tako, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve navedene uredbe (glej v tem smislu sodbo z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točke od 84 do 87 in 102 ter navedena sodna praksa).
55 Glede na zgornje razloge je treba na šesto vprašanje odgovoriti, da je treba člen 82 SUVP razlagati tako, da ta člen ne zahteva, da se stopnja resnosti kršitve, ki jo stori upravljavec, upošteva pri odškodnini na podlagi te določbe.
Drugo vprašanje
56 Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da mora oseba, ki zahteva odškodnino na podlagi te določbe, dokazati ne le kršitev določb te uredbe, ampak tudi, da ji je bila s to kršitvijo povzročena premoženjska ali nepremoženjska škoda.
57 V zvezi s tem je treba opozoriti, da ima v skladu s členom 82(1) SUVP „[v]sak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, […] pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo“.
58 Iz te določbe izhaja, da zgolj kršitev SUVP ne zadostuje za priznanje pravice do odškodnine. Obstoj „škode“, ki je „nastala“, je namreč eden od pogojev za pravico do odškodnine iz tega člena 82(1), in sicer poleg obstoja kršitve te uredbe in vzročne zveze med to škodo in to kršitvijo, pri čemer so ti trije pogoji kumulativni (glej v tem smislu sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 32 in 42; z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 77; z dne 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, točka 14, in z dne 21. decembra 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, točka 82).
59 Sodišče je še posebej v zvezi z nepremoženjsko škodo odločilo tudi, da člen 82(1) SUVP nasprotuje nacionalnemu pravilu ali praksi, ki odškodnino za nepremoženjsko škodo v smislu te določbe pogojuje s tem, da je škoda, ki je nastala posamezniku, na katerega se nanašajo osebni podatki, kot je opredeljen v členu 4, točka 1, te uredbe, dosegla določeno stopnjo resnosti (glej v tem smislu sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 51; z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 78, in z dne 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, točka 16).
60 Sodišče je pojasnilo, da mora posameznik, na katerega se nanaša kršitev SUVP, ki je imela negativne posledice zanj, vseeno dokazati, da gre pri teh posledicah za nepremoženjsko škodo v smislu člena 82 te uredbe, ker zgolj kršitev določb te uredbe ne zadostuje za priznanje pravice do odškodnine (glej v tem smislu sodbe z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 42 in 50; z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 84, in z dne 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, točki 21 in 23).
61 Glede na navedene razloge je treba na drugo vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da mora oseba, ki zahteva odškodnino na podlagi te določbe, dokazati ne le kršitev določb te uredbe, ampak tudi, da ji je bila s to kršitvijo povzročena premoženjska ali nepremoženjska škoda.
Peto vprašanje
62 Predložitveno sodišče s petim vprašanjem v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da če je bil dokument z osebnimi podatki izročen nepooblaščeni tretji osebi, za katero je ugotovljeno, da se ni seznanila s temi podatki, lahko „nepremoženjsko škodo“ v smislu te določbe pomeni zgolj dejstvo, da se posameznik, na katerega se nanašajo osebni podatki, boji, da bodo po tej izročitvi, ki je omogočila kopiranje navedenega dokumenta pred vračilom, v prihodnje njegovi podatki razširjeni ali celo zlorabljeni.
63 Pojasniti je treba, da navedeno sodišče trdi, da je bil v obravnavanem primeru dokument, v katerem so bili zadevni podatki, vrnjen tožeči stranki v postopku v glavni stvari v pol ure po izročitvi nepooblaščeni tretji osebi in da se ta ni seznanila s temi podatki, preden je dokument vrnila, vendar navedena tožeča stranka trdi, da je ta izročitev tej tretji osebi omogočila, da naredi kopije dokumenta, preden ga vrne, in da je torej pri njej vzbudila strah, povezan s tveganjem, da bodo navedeni podatki v prihodnje zlorabljeni.
64 Glede na neobstoj vsakršnega sklicevanja na notranje pravo držav članic v členu 82(1) SUVP je treba pojem „nepremoženjska škoda“ v smislu te določbe opredeliti avtonomno in enotno v okviru prava Unije (glej v tem smislu sodbi z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 30 in 44, in z dne 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, točka 15).
65 Sodišče je razsodilo, da ne le iz člena 82(1) SUVP v povezavi z uvodnima izjavama 85 in 146 te uredbe, ki vabijo k upoštevanju široke razlage pojma „nepremoženjska škoda“ v smislu te prvonavedene določbe, ampak tudi iz cilja zagotavljati visoko raven varstva posameznikov pri obdelavi osebnih podatkov, ki mu sledi navedena uredba, izhaja, da lahko že sam strah, ki ga posameznik, na katerega se nanašajo osebni podatki, občuti po kršitvi iste uredbe, da bi lahko tretje osebe zlorabile njegove osebne podatke, pomeni „nepremoženjsko škodo“ v smislu tega člena 82(1) (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točke od 79 do 86).
66 Poleg tega je Sodišče na podlagi hkrati jezikovnih, sistemskih in teleoloških preudarkov štelo, da kratkotrajna izguba nadzora nad osebnimi podatki posamezniku, na katerega se nanašajo osebni podatki, lahko povzroči „nepremoženjsko škodo“ v smislu člena 82(1) SUVP, ki daje pravico do odškodnine, vendar le če navedeni posameznik dokaže, da je dejansko utrpel tako škodo, pa čeprav je ta minimalna, pri čemer je treba opozoriti, da zgolj kršitev določb te uredbe ne zadostuje za priznanje pravice do odškodnine na tej podlagi (glej v tem smislu sodbo z dne 14. decembra 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, točke od 18 do 23).
67 Prav tako je treba v obravnavanem primeru poudariti, da je to, da pojem „nepremoženjska škoda“ zajema položaj, v katerem posameznik, na katerega se nanašajo osebni podatki, čuti utemeljen strah – kar mora preveriti nacionalno sodišče, ki odloča o zadevi – da bodo nekatere njegove osebne podatke tretje osebe v prihodnje razširile ali zlorabile, ker je bil dokument z navedenimi podatki izročen nepooblaščeni tretji osebi, ki ji je bilo omogočeno, da naredi njegove kopije, preden ga vrne, v skladu hkrati z besedilom člena 82(1) SUVP in ciljem varstva iz te uredbe.
68 Vendar to ne spremeni dejstva, da mora vlagatelj odškodninskega zahtevka na podlagi člena 82 SUVP dokazati obstoj take škode. Natančneje, povsem hipotetično tveganje zlorabe s strani nepooblaščene tretje osebe ne more dati pravice do odškodnine. To velja, kadar se nobena tretja oseba ni seznanila z zadevnimi osebnimi podatki.
69 Posledično je treba na peto vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da če je bil dokument z osebnimi podatki izročen nepooblaščeni tretji osebi, za katero je ugotovljeno, da se ni seznanila s temi podatki, „nepremoženjska škoda“ v smislu te določbe ne obstaja zgolj zaradi dejstva, da se posameznik, na katerega se nanašajo osebni podatki, boji, da bodo po tej izročitvi, zaradi katere je bilo omogočeno kopiranje navedenega dokumenta pred vračilom, v prihodnje njegovi podatki razširjeni ali celo zlorabljeni.
Stroški
70 Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški, priglašeni za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.
Iz teh razlogov je Sodišče (tretji senat) razsodilo:
1. Člene 5, 24, 32 in 82 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)
je povezano treba razlagati tako, da
v okviru odškodninskega zahtevka na podlagi tega člena 82 zgolj dejstvo, da so zaposleni upravljavca nepooblaščeni tretji osebi pomotoma izročili dokument z osebnimi podatki, ne zadostuje za to, da se šteje, da tehnični in organizacijski ukrepi, ki jih je izvajal zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.
2. Člen 82(1) Uredbe 2016/679
je treba razlagati tako, da
ima pravica do odškodnine iz te določbe, med drugim v primeru nepremoženjske škode, kompenzacijsko funkcijo, ker mora denarno nadomestilo, ki temelji na navedeni določbi, omogočiti, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve te uredbe, in nima kaznovalne funkcije.
3. Člen 82 Uredbe 2016/679
je treba razlagati tako, da
ta člen ne zahteva, da se stopnja resnosti kršitve, ki jo stori upravljavec, upošteva pri odškodnini na podlagi te določbe.
4. Člen 82(1) Uredbe 2016/679
je treba razlagati tako, da
mora oseba, ki zahteva odškodnino na podlagi te določbe, dokazati ne le kršitev določb te uredbe, ampak tudi, da ji je bila s to kršitvijo povzročena premoženjska ali nepremoženjska škoda.
5. Člen 82(1) Uredbe 2016/679
je treba razlagati tako, da
če je bil dokument z osebnimi podatki izročen nepooblaščeni tretji osebi, za katero je ugotovljeno, da se ni seznanila s temi podatki, „nepremoženjska škoda“ v smislu te določbe ne obstaja zgolj zaradi dejstva, da se posameznik, na katerega se nanašajo osebni podatki, boji, da bodo po tej izročitvi, zaradi katere je bilo omogočeno kopiranje navedenega dokumenta pred vračilom, v prihodnje njegovi podatki razširjeni ali celo zlorabljeni.
Podpisi