Laikina versija
TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS
2024 m. birželio 20 d.(*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 82 straipsnis – Teisė į kompensaciją už žalą, patirtą dėl duomenų tvarkymo pažeidžiant šį reglamentą – Sąvoka „neturtinė žala“ – Baudžiamojo pobūdžio kompensacija arba tik kompensacija ir asmeninis patenkinimas – Minimali arba simbolinė kompensacija – Asmens duomenų, įrašytų finansinių operacijų programėlėje, vagystė – Tapatybės vagystė arba klastojimas“
Sujungtose bylose C‑182/22 ir C‑189/22
dėl Amtsgericht München (Miuncheno apylinkės teismas, Vokietija) 2022 m. kovo 3 d. nutartimis, kurias Teisingumo Teismas gavo 2022 m. kovo 10 ir 11 d., pagal SESV 267 straipsnį pateiktų prašymų priimti prejudicinį sprendimą bylose
JU (C‑182/22),
SO (C‑189/22)
prieš
Scalable Capital GmbH
TEISINGUMO TEISMAS (trečioji kolegija),
kurį sudaro kolegijos pirmininkė K. Jürimäe, teisėjai N. Piçarra, N. Jääskinen (pranešėjas),
generalinis advokatas A. M. Collins,
kancleris A. Calot Escobar,
atsižvelgęs į rašytinę proceso dalį,
išnagrinėjęs pastabas, pateiktas:
– SO, atstovaujamo Rechtsanwalt M. Ruigrok van de Werve,
– Scalable Capital GmbH, atstovaujamos Rechtsanwalt M. C. Mekat,
– Airijos, atstovaujamos Chief State Solicitor M. Browne, A. Joyce ir M. Tierney, padedamų BL D. Fennelly,
– Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg,
susipažinęs su 2023 m. spalio 26 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymai priimti prejudicinį sprendimą pateikti dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 82 straipsnio išaiškinimo.
2 Šie prašymai pateikti nagrinėjant atitinkamai JU ir SO ginčus su Scalable Capital GmbH dėl neturtinės žalos, kurią jie teigia patyrę dėl nežinomų trečiųjų asmenų atliktos jų asmens duomenų, įrašytų šios bendrovės valdomoje finansinių operacijų programėlėje, vagystės, atlyginimo.
Teisinis pagrindas
3 BDAR 75, 85 ir 146 konstatuojamosios dalys suformuluotos taip:
„(75) Įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio asmens duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, visų pirma kai dėl tvarkymo gali kilti diskriminacija, būti pavogta ar suklastota tapatybė, būti padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų;
<...>
(85) dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. <...>
<...>
(146) <...> Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai. <...> Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją. <...>“
4 Reglamento 4 straipsnyje „Sąvokų apibrėžimai“ numatyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); <...>
<...>
7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; <...>
<...>
10) trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;
<...>
12) asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;
<...>“
5 Šio reglamento 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1–3 dalyse numatyta:
„1. Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.
2. Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. Duomenų tvarkytojas už dėl duomenų tvarkymo sukeltą žalą atsako tik tuo atveju, jei jis nesilaikė šiame reglamente konkrečiai duomenų tvarkytojams nustatytų prievolių arba jei jis veikė nepaisydamas teisėtų duomenų valdytojo nurodymų arba juos pažeisdamas.
3. Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.“
Pagrindinės bylos ir prejudiciniai klausimai
6 Pagal Vokietijos teisę įsteigta bendrovė Scalable Capital valdo „trading app“ (finansinių operacijų programėlę), kurioje ieškovai pagrindinėje byloje JU ir SO buvo susikūrę paskyrą. Šiuo tikslu jie savo paskyrose įrašė tam tikrus asmens duomenis, visų pirma savo vardą ir pavardę, gimimo datą, pašto adresą, elektroninio pašto adresą ir tapatybės kortelės skaitmeninę kopiją. Ieškovai pagrindinėje byloje pervedė kelis tūkstančius eurų šioms sąskaitoms atidaryti.
7 2020 m. tretieji asmenys, kurių tapatybė lieka nežinoma, pavogė asmens duomenis ir duomenis, susijusius su ieškovų pagrindinėje byloje vertybinių popierių portfeliu. Skalable Capital teigimu, iki šiol tie asmens duomenys nebuvo naudoti sukčiaujant.
8 Tokiomis aplinkybėmis ieškovai pagrindinėje byloje pareiškė ieškinį Amtsgericht München (Miuncheno apylinkės teismas, Vokietija), kuris yra prašymą priimti prejudicinį sprendimą pateikęs teismas, prašydami atlyginti neturtinę žalą, kurią teigia patyrę dėl jų asmens duomenų vagystės.
9 Pirma, prašymą priimti prejudicinį sprendimą pateikusio teismo klausimai kyla dėl skirtingų Vokietijos teismų požiūrių į žalos atlyginimo, kuris turi būti mokamas esant tokiai situacijai, vertinimą. Dėl to piniginės kompensacijos, mokamos panašiais į nagrinėjamus pagrindinėje byloje atvejais, dydis labai skiriasi, ypač priklausomai nuo to, ar buvo atsižvelgta į galimą atgrasomąjį poveikį. Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad šiuo atveju nagrinėjamas duomenų praradimas paveikė kelias dešimtis tūkstančių asmenų, todėl reikia taikyti vienodą vertinimo metodą.
10 Antra, kiek tai susiję su neturtinės žalos vertinimu, jis remiasi Vokietijos teise, kad atskirtų „kompensacijos“ funkciją nuo „asmeninio patenkinimo“ funkcijos. Kompensavimo funkcija siekiama kompensuoti patirtas ir numatomas tariamos žalos pasekmes, o asmeninio patenkinimo funkcija siekiama pašalinti neteisingumo jausmą, kuris jaučiamas dėl žalos atsiradimo. Jis nurodo, kad Vokietijos teisėje ši patenkinimo funkcija atlieka tik papildomą vaidmenį, ir mano, kad šiuo atveju ši funkcija neturėtų turėti jokios įtakos apskaičiuojant ieškovų reikalaujamą atlyginti žalą.
11 Trečia, Vokietijos teisėje nėra lentelės, kuria remiantis būtų galima nustatyti atlygintinos žalos dydį, atsižvelgiant į situaciją, kai ją reikalaujama atlyginti. Vis dėlto didelis priimtų individualių sprendimų skaičius leidžia nustatyti sistemą, kuria remiamasi, o tai leidžia kažkiek susisteminti kompensacijas. Vokietijos teisės sistemoje piniginė kompensacija už asmens teisių pažeidimus suteikiama tik tuo atveju, kai jie yra ypač sunkūs. Piniginės vertės nustatymas yra objektyvesnis, kai kompensuojama už sveikatos sutrikdymą. Todėl prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad duomenų praradimas turėtų būti ne toks svarbus kaip fizinė žala.
12 Ketvirta, tam teismui kyla klausimas dėl galimybės skirti nedidelę kompensaciją, kuri galėtų būti laikoma simboline tais atvejais, kai žala, susijusi su BDAR pažeidimu, yra minimali.
13 Penkta, jis pažymi, kad pagrindinės bylos šalys skirtingai aiškina sąvoką „tapatybės vagystė“. Šiuo klausimu jis mano, kad tapatybės vagystė yra tik tada, kai neteisėtai gautus duomenis trečiasis asmuo naudoja siekdamas pasisavinti duomenų subjekto tapatybę.
14 Tokiomis aplinkybėmis Amtsgericht München (Miuncheno apylinkės teismas) nutarė sustabdyti bylų C‑182/22 ir C‑189/22 nagrinėjimą ir pateikti Teisingumo Teismui šiuos abiejose bylose vienodai suformuluotus prejudicinius klausimus:
„1. Ar [BDAR] 82 straipsnis turi būti aiškinamas taip, kad ir apskaičiuojant žalos atlyginimo dydį teisė į kompensaciją neturi sankcijos pobūdžio, visų pirma neatlieka bendros ar specialios atgrasymo funkcijos, o teisės į kompensaciją funkcija tėra tik kompensacinė ir tam tikrais atvejais patenkinanti nukentėjusiojo interesus?
2. Ar apskaičiuojant teisės į neturtinės žalos atlyginimo dydį reikia vadovautis tokia samprata, kad teisė į kompensaciją atlieka ir individualių nukentėjusiojo interesų patenkinimo funkciją – šiuo atveju suprantamą kaip nukentėjusiojo privatus interesas, kad už žalą sukėlusius veiksmus būtų taikoma atsakomybė, ar teisė į kompensaciją atlieka tik kompensacinę funkciją – šiuo atveju suprantamą kaip patirto neigiamo poveikio kompensavimo funkcija?
Jeigu preziumuotina, kad teisė į neturtinės žalos atlyginimą atlieka ir kompensacinę, ir nukentėjusiojo interesų patenkinimo funkcijas: ar apskaičiuojant jos dydį reikia remtis tuo, kad kompensacinė funkcija turi struktūrinę arba bent jau kaip taisyklės ir išimties santykis vertintiną viršenybę prieš nukentėjusiojo interesų patenkinimo funkciją? Ar tai reiškia, kad nukentėjusiojo interesų patenkinimo funkcija gali būti svarstoma tik tyčinių arba dėl labai didelio aplaidumo padarytų pažeidimų atveju?
Jeigu teisė į neturtinės žalos atlyginimą neatlieka nukentėjusiojo interesų patenkinimo funkcijos: ar, apskaičiuojant jos dydį, papildoma reikšmė teikiama tik tyčiniams arba dėl didelio aplaidumo padarytiems duomenų apsaugos pažeidimams, vertinamiems kaip prie žalos sukėlimo prisidedantys veiksniai?
3. Ar, apskaičiuojant neturtinės žalos atlyginimą, reikia remtis struktūrine hierarchija ar bent jau taisyklės ir išimties santykiu grindžiama hierarchija, kurios atveju duomenų apsaugos pažeidimo sukeltas juntamas neigiamas poveikis yra mažiau reikšmingas negu su sveikatos sutrikdymu susijęs juntamas neigiamas poveikis ir skausmas?
4. Ar tuo atveju, kai žala yra numanoma, nacionalinis teismas dėl jos nedidelio dydžio turi teisę priteisti materialiniu požiūriu tik mažareikšmio dydžio žalos atlyginimą, kurį nukentėjusysis arba visuomenė gali palaikyti tik simboliniu?
5. Ar vertinant neturtinės žalos atlyginimą jos pasekmių požiūriu preziumuotina, kad tapatybė yra pavogta, kaip tai suprantama pagal [BDAR] 75 konstatuojamąją dalį, tik jeigu duomenų subjekto tapatybę iš tiesų pasisavino nusikaltėlis, t. y. kuria nors forma apsimetė duomenų subjektu, ar tapatybės vagystę reiškia jau vien aplinkybė, kad nusikaltėliai disponuoja duomenimis, kurie leidžia nustatyti duomenų subjekto tapatybę?“
Procesas Teisingumo Teisme
15 2022 m. balandžio 19 d. Teisingumo Teismo pirmininko sprendimu bylos C‑182/22 ir C‑189/22 buvo sujungtos, kad būtų bendrai vykdoma rašytinė ir žodinė proceso dalys bei priimtas sprendimas.
16 2022 m. birželio 1 d. Teisingumo Teismo pirmininkas atmetė Scalable Capital prašymą užtikrinti anonimiškumą šioje byloje pagal Teisingumo Teismo procedūros reglamento 95 straipsnio 2 dalį.
Dėl prašymų priimti prejudicinį sprendimą priimtinumo
17 Scalable Capital iš esmės teigia, kad šie prašymai priimti prejudicinį sprendimą yra nepriimtini, nes neturi įtakos pagrindinių bylų baigčiai. Ji mano, kad abstraktus duomenų kontrolės praradimas, kaip yra šiuo atveju, neturi būti laikomas „žala“, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį, kai toks duomenų kontrolės praradimas nesukėlė konkrečių pasekmių, ir kad nėra tenkinamos minėto 82 straipsnio taikymo sąlygos. Iš tiesų toks kvalifikavimas reikštų, kad bet koks reglamento pažeidimas lemia žalos prezumpciją, priešingai, nei išplaukia iš BDAR 82 straipsnio formuluotės, bendros struktūros ir genezės.
18 Pagal suformuotą jurisprudenciją tik bylą nagrinėjantis nacionalinis teismas, atsakingas už sprendimo priėmimą, atsižvelgdamas į konkrečias bylos aplinkybes turi įvertinti tai, ar jo sprendimui priimti būtinas prejudicinis sprendimas, ir Teisingumo Teismui pateikiamų klausimų, kuriems taikoma svarbos prezumpcija, svarbą. Vadinasi, kai klausimas susijęs su Sąjungos teisės nuostatos išaiškinimu ar galiojimu, Teisingumo Teismas iš principo turi priimti sprendimą dėl šio klausimo, nebent būtų akivaizdu, kad prašomas išaiškinimas visiškai nesusijęs su ginčo pagrindinėje byloje aplinkybėmis ar dalyku, kad problema hipotetinė arba Teisingumo Teismas neturi informacijos apie faktines ir teisines aplinkybes, būtinos tam, kad naudingai atsakytų į tą klausimą (žr. 2022 m. gegužės 5 d. Sprendimo Zagrebačka banka, C‑567/20, EU:C:2022:352, 43 punktą ir 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 23 punktą).
19 Šiuo atveju pakanka priminti, kad, kai nėra akivaizdu, jog Sąjungos teisės nuostatos išaiškinimas visiškai nesusijęs su pagrindinės bylos faktais ar dalyku, prieštaravimas, grindžiamas šios nuostatos netaikymu pagrindinei bylai, yra susijęs ne su prašymo priimti prejudicinį sprendimą priimtinumu, o su klausimų esme (šiuo klausimu žr. 2006 m. liepos 13 d. Sprendimo Manfredi ir kt., C‑295/04–C‑298/04, EU:C:2006:461, 30 punktą; 2019 m. liepos 4 d. Sprendimo Kirschstein, C‑393/17, EU:C:2019:563, 28 punktą ir 2023 m. liepos 24 d. Sprendimo Lin, C‑107/23 PPU, EU:C:2023:606, 66 punktą).
20 Tuo remiantis darytina išvada, kad šie prašymai priimti prejudicinį sprendimą yra priimtini.
Dėl prejudicinių klausimų
Dėl pirmojo klausimo ir antrojo klausimo pirmos dalies
21 Pirmuoju klausimu ir antrojo klausimo pirma dalimi, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad šioje nuostatoje numatyta teisė į žalos atlyginimą atlieka kompensacinę funkciją, nes šia nuostata grindžiama piniginė kompensacija turi leisti kompensuoti visą dėl šio reglamento pažeidimo patirtą žalą, ar ji taip pat atlieka baudžiamąją funkciją, kuria, be kita ko, siekiama patenkinti individualius duomenų subjekto interesus.
22 Šiuo klausimu Teisingumo Teismas yra nusprendęs, kad BDAR 82 straipsnis yra ne baudžiamojo, o kompensacinio pobūdžio, priešingai nei kitos šio reglamento nuostatos, taip pat esančios jo VIII skyriuje, t. y. jo 83 ir 84 straipsniai, kuriais iš esmės siekiama baudžiamojo tikslo, nes jais remiantis leidžiama skirti administracines baudas ir kitas sankcijas. Minėtame 82 straipsnyje nustatytų taisyklių ir minėtuose 83 ir 84 straipsniuose nustatytų taisyklių tarpusavio ryšys rodo, kad šios dvi nuostatų kategorijos skiriasi ir papildo viena kitą, kiek tai susiję su skatinimu laikytis BDAR, turint omenyje, kad kiekvieno asmens teisė reikalauti kompensacijos už žalą sustiprina šiame reglamente numatytų apsaugos taisyklių veiksmingumą ir gali atgrasyti nuo neteisėtų veiksmų pasikartojimo (žr., be kita ko, 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 38 ir 40 punktus ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 59 punktą).
23 Vadinasi, BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad šioje nuostatoje numatyta teisė į kompensaciją, pavyzdžiui, tada, kai padaryta neturtinė žala, atlieka išimtinai kompensacinę, o ne atgrasomąją ar baudžiamąją funkciją, nes piniginė kompensacija, grindžiama minėta nuostata, turi leisti visiškai kompensuoti konkrečiai dėl šio reglamento pažeidimo patirtą žalą (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 57 ir 58 punktus ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 61 punktą).
24 Taigi į pirmąjį klausimą ir antrojo klausimo pirmą dalį reikia atsakyti, kad BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad šioje nuostatoje numatyta teisė į žalos atlyginimą atlieka tik kompensacinę funkciją, nes šia nuostata grindžiama piniginė kompensacija turi leisti visiškai kompensuoti patirtą žalą.
Dėl antrojo klausimo antros dalies
25 Atsižvelgiant į atsakymą į pirmąjį klausimą ir antrojo klausimo pirmą dalį, į antrojo klausimo antrą dalį atsakyti nereikia.
Dėl antrojo klausimo trečios dalies
26 Antrojo klausimo trečia dalimi prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad atlyginant žalą pagal šią nuostatą ji reikalauja atsižvelgti į duomenų valdytojo padaryto šio reglamento pažeidimo sunkumą ir galimą tyčinį pobūdį.
27 Dėl žalos, kuri gali būti mokama pagal BDAR 82 straipsnį, vertinimo pažymėtina, kad šiame reglamente nėra atitinkamos nuostatos, todėl vertindami šią žalą valstybės narės nacionaliniai teismai turi taikyti piniginės kompensacijos dydį reglamentuojančias nacionalines taisykles, su sąlyga, kad laikomasi Sąjungos teisėje įtvirtintų lygiavertiškumo ir veiksmingumo principų (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 53, 54 ir 59 punktus ir 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 53 punktą).
28 Vis dėlto reikia pažymėti, pirma, kad duomenų valdytojo atsakomybė pagal BDAR 82 straipsnį kyla, jeigu yra jo kaltė, kuri preziumuojama, nebent duomenų valdytojas įrodo, kad jis visiškai nėra atsakingas už įvykį, dėl kurio atsirado žala, ir, antra, 82 straipsnyje nereikalaujama, kad pagal šią nuostatą nustatant kompensacijos už neturtinę žalą dydį būtų atsižvelgta į kaltės sunkumo laipsnį (2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 103 punktas ir 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 52 punktas).
29 Be to, atsižvelgiant į kompensacinę BDAR 82 straipsnio 1 dalyje numatytos teisės į kompensaciją funkciją, nustatant pagal šią nuostatą priteistiną kompensaciją už neturtinę žalą nereikia atsižvelgti į šio reglamento pažeidimo, kurį, kaip preziumuojama, padarė duomenų valdytojas, tyčinį pobūdį. Vis dėlto ši suma turi būti nustatyta taip, kad visiškai kompensuotų dėl šio reglamento pažeidimo faktiškai patirtą žalą (pagal analogiją žr. 2023 m. gruodžio 21 d. Sprendimą Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 102 punktas ir 2024 m. sausio 25 d. Sprendimą MediaMarktSaturn, C‑687/21, EU:C:2024:72, 54 punktas).
30 Atsižvelgiant į tai, kas išdėstyta, į antrojo klausimo trečią dalį reikia atsakyti: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad atlyginant žalą pagal šią nuostatą ji nereikalauja atsižvelgti į duomenų valdytojo padaryto šio reglamento pažeidimo sunkumą ir galimą tyčinį pobūdį.
Dėl trečiojo klausimo
31 Trečiuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad nustatant žalos, mokėtinos siekiant užtikrinti teisę į neturtinės žalos atlyginimą, dydį tokia dėl asmens duomenų pažeidimo padaryta žala savo pobūdžiu laikytina mažesne nei žala sveikatai.
32 Šiuo klausimu reikia priminti, kad pagal suformuotą jurisprudenciją, kai nėra atitinkamą sritį reglamentuojančių Sąjungos teisės normų, pagal procesinės autonomijos principą kiekviena valstybė narė savo nacionalinės teisės sistemoje turi reglamentuoti ieškinių, skirtų teisės subjektų teisių apsaugai užtikrinti, procesinius aspektus su sąlyga, kad Sąjungos teisės reglamentuojamose situacijose šios taisyklės nebūtų mažiau palankios nei taisyklės, reglamentuojančios panašias situacijas, kurioms taikoma vidaus teisė (lygiavertiškumo principas), ir kad dėl jų netaptų praktiškai neįmanoma ar pernelyg sudėtinga pasinaudoti Sąjungos teisės suteiktomis teisėmis (veiksmingumo principas) (šiuo klausimu žr. 2017 m. gruodžio 13 d. Sprendimo El Hassani, C‑403/16, EU:C:2017:960, 26 punktą ir 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 53 punktą).
33 Šiuo atveju reikia pažymėti, kad BDAR nėra nuostatos, kuria būtų siekiama apibrėžti kompensacijos, kurios duomenų subjektas, kaip jis suprantamas pagal šio reglamento 4 straipsnio 1 punktą, gali reikalauti pagal jo 82 straipsnį, kai dėl šio reglamento pažeidimo jam padaryta žala, apskaičiavimo taisykles. Taigi, nesant Sąjungos teisės normų šioje srityje, kiekviena valstybė narė savo teisės sistemoje turi nustatyti ieškinių, skirtų iš šio 82 straipsnio kylančių asmenų teisių apsaugai užtikrinti, tvarką, ypač kriterijus, leidžiančius nustatyti šiomis aplinkybėmis mokėtinos kompensacijos dydį, su sąlyga, kad laikomasi minėtų lygiavertiškumo ir veiksmingumo principų (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 54 punktas).
34 Iš Teisingumo Teismo turimos bylos medžiagos nematyti, kad lygiavertiškumo principas galėtų būti reikšmingas šių bylų aplinkybėmis, todėl daugiausia dėmesio reikia skirti veiksmingumo principui. Atsižvelgiant į tai, prašymą priimti prejudicinį sprendimą pateikęs teismas turi nustatyti, ar dėl Vokietijos teisėje numatytos kompensacijos už žalą, mokėtinos remiantis BDAR 82 straipsnyje įtvirtinta teise į kompensaciją, nustatymo teismo keliu taisyklių netampa praktiškai neįmanoma arba pernelyg sudėtinga naudotis Sąjungos teisės, konkrečiai – šiuo reglamentu, suteiktomis teisėmis.
35 Iš šio sprendimo 23 punkte primintos jurisprudencijos matyti, kad, atsižvelgiant į BDAR 82 straipsnyje numatytos teisės į kompensaciją išimtinai kompensacinę funkciją, šia nuostata grindžiama piniginė kompensacija turi būti laikoma „visa ir veiksminga“, jeigu ja galima visapusiškai kompensuoti dėl šio reglamento pažeidimo konkrečiai patirtą žalą.
36 Atsižvelgiant į tai, šio reglamento 146 konstatuojamojoje dalyje, be kita ko, nurodyta, kad „[ž]alos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai“ ir kad „[d]uomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją“.
37 Taip pat reikia pažymėti, kad BDAR 75 ir 85 konstatuojamosiose dalyse nurodytos įvairios aplinkybės, kurios gali būti kvalifikuojamos kaip „kūno sužalojimas, materialinė ar nematerialinė žala“, nesuskirstant jų pagal svarbą, ir jose nenurodyta, kad duomenų saugumo pažeidimais padaryta žala savo pobūdžiu yra ne tokia didelė kaip sveikatos sutrikdymas.
38 Taigi iš principo darant prielaidą, kad žala sveikatai savo pobūdžiu yra didesnė nei neturtinė žala, galėtų būti pažeistas visos ir veiksmingos žalos kompensacijos principas.
39 Atsižvelgiant į tai, kas išdėstyta, į trečiąjį klausimą reikia atsakyti, kad BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad nustatant žalos, mokėtinos siekiant užtikrinti teisę į neturtinės žalos atlyginimą, dydį tokia dėl asmens duomenų pažeidimo padaryta žala savo pobūdžiu nelaikytina mažesne nei žala sveikatai.
Dėl ketvirtojo klausimo
40 Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad, kai žala yra padaryta ir ji nėra didelė, nacionalinis teismas gali ją atlyginti priteisdamas duomenų subjektui minimalią kompensaciją, kuri galėtų būti laikoma simboline.
41 Pirmiausia reikia priminti, kad iš suformuotos jurisprudencijos matyti, jog BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad vien šio reglamento pažeidimo nepakanka, kad atsirastų teisė į kompensaciją, nes, be kita ko, turtinės ar neturtinės „žalos“ ar „patirtos žalos“ buvimas yra viena iš 82 straipsnio 1 dalyje numatytos teisės į kompensaciją sąlygų, kaip ir sąlygos, kad turi būti šio reglamento pažeidimas ir priežastinis ryšys tarp patirtos žalos ir šio pažeidimo, atkreipiant dėmesį į tai, kad šios trys sąlygos yra kumuliacinės (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 32 punktas ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 34 punktas).
42 Taigi asmuo, prašantis atlyginti neturtinę žalą pagal šią nuostatą, turi įrodyti ne tik šio reglamento nuostatų pažeidimą, bet ir tai, kad dėl šio pažeidimo jis patyrė tokią žalą, ir ji negali būti preziumuojama remiantis vien tuo, kad pažeidimas buvo padarytas (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 42 ir 50 punktus ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 35 punktą).
43 Kai asmeniui pavyksta įrodyti, kad dėl BDAR pažeidimo jam buvo padaryta žala pagal šio reglamento 82 straipsnį, iš šio sprendimo 33 punkto iš esmės išplaukia, kad mokėtinos kompensacijos vertinimo kriterijai ieškiniuose, kuriais siekiama užtikrinti teisių, kurias teisės subjektai kildina iš šio straipsnio, apsaugą, turi būti nustatyti kiekvienos valstybės narės teisinėje sistemoje, ir tokia kompensacija turi būti visa ir veiksminga.
44 Šiuo klausimu Teisingumo Teismas nusprendė, kad BDAR 82 straipsnio 1 dalyje nereikalaujama, kad, nustačius šio reglamento nuostatų pažeidimą, duomenų subjekto nurodyta žala turi pasiekti „de minimis ribą“, kad ją būtų galima atlyginti (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 18 punktą).
45 Vis dėlto tai neužkerta kelio nacionaliniams teismams priteisti nedidelio dydžio kompensaciją, jeigu ji visiškai kompensuoja žalą, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, laikydamasis šio sprendimo 43 punkte primintų principų.
46 Atsižvelgiant į šiuos motyvus, į ketvirtąjį klausimą reikia atsakyti: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad, kai žala yra padaryta ir ji nėra didelė, nacionalinis teismas gali ją atlyginti priteisdamas duomenų subjektui minimalią kompensaciją, jeigu ji gali visiškai kompensuoti patirtą žalą.
Dėl penktojo klausimo
Dėl priimtinumo
47 Savo rašytinėse pastabose Europos Komisija kėlė klausimą dėl penktojo klausimo svarbos siekiant išspręsti pagrindines bylas, nes ji tvirtina, kad prašymą priimti prejudicinį sprendimą pateikęs teismas nepateikė jokios nuorodos į konkrečią Sąjungos teisės nuostatą.
48 Penktasis klausimas susijęs su sąvoka „tapatybės vagystė“, kaip ji suprantama pagal BDAR 75 konstatuojamąją dalį, ir formaliai nėra susijęs su šio reglamento 82 straipsniu. Vis dėlto vien tai, kad Teisingumo Teismo prašoma priimti sprendimą abstrakčiomis ir bendro pobūdžio formuluotėmis, nedaro prašymo priimti prejudicinį sprendimą nepriimtino (2007 m. lapkričio 15 d. Sprendimo International Mail Spain, C‑162/06, EU:C:2007:681, 24 punktas).
49 Prašymą priimti prejudicinį sprendimą pateikęs teismas prašo Teisingumo Teismo išaiškinti BDAR 75 konstatuojamojoje dalyje vartojamą sąvoką „tapatybės vagystė“, siekiant nustatyti BDAR 82 straipsnyje numatytos piniginės kompensacijos dydį. Taigi, šis klausimas susijęs su Sąjungos teisės nuostata. Be to, atsakymas į šį klausimą yra svarbus dar ir dėl to, kad nei prašymą priimti prejudicinį sprendimą pateikęs teismas, nei pagrindinės bylos šalys nesutaria dėl šios sąvokos apibrėžties vertinant pagrindinėse bylose patirtą žalą.
50 Tokiomis aplinkybėmis penktasis klausimas yra priimtinas.
Dėl esmės
51 Remiantis suformuota jurisprudencija, nacionaliniams teismams ir Teisingumo Teismui bendradarbiaujant, kaip numatyta SESV 267 straipsnyje, pastarasis turi pateikti nacionaliniam teismui naudingą atsakymą, kuris leistų priimti sprendimą jo nagrinėjamoje byloje. Tokiu atveju prireikus Teisingumo Teismui gali tekti performuluoti jam pateiktus klausimus. Be to, Teisingumo Teismui gali tekti atsižvelgti į Sąjungos teisės normas, kurių prašymą priimti prejudicinį sprendimą pateikęs teismas nebuvo nurodęs savo klausime (2023 m. rugsėjo 7 d. Sprendimo Groenland Poultry, C‑169/22, EU:C:2023:638, 47 punktas ir jame nurodyta jurisprudencija).
52 Šiuo atveju penktasis klausimas susijęs su BDAR 82 straipsnio 1 dalyje numatyta teise į kompensaciją, konkrečiau kalbant, su BDAR 75 konstatuojamojoje dalyje vartojama sąvoka „tapatybės vagystė“. Reikia pažymėti, kad, be šios konstatuojamosios dalies, ši sąvoka taip pat paminėta šio reglamento 85 konstatuojamojoje dalyje.
53 Taigi reikia konstatuoti, kad penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis, siejama su šio reglamento 75 ir 85 konstatuojamosiomis dalimis, turi būti aiškinama taip, kad sąvoka „tapatybės vagystė“ yra tenkinama ir suteikia teisę į neturtinės žalos atlyginimą, jei asmens, kurio duomenys pavogti, tapatybę iš tikrųjų pasisavino trečiasis asmuo, ar vis dėlto tokia tapatybės vagystė yra įvykdyta tada, kai tas trečiasis asmuo turi duomenų, leidžiančių nustatyti duomenų subjekto tapatybę.
54 Asmens tapatybės vagystės sąvoka BDAR neapibrėžta. Vis dėlto tapatybės „vagystė“ ar „suklastojimas“ šio reglamento 75 konstatuojamojoje dalyje minimi kaip nebaigtiniame asmens duomenų tvarkymo, galinčio sukelti fizinės, materialinės ar nematerialinės žalos, pasekmių sąraše. Šio reglamento 85 konstatuojamojoje dalyje tapatybės „vagystė“ arba „suklastojimas“ dar kartą kartu nurodomi fizinės, materialinės ar nematerialinės žalos, kuri gali būti padaryta dėl asmens duomenų pažeidimo, sąraše.
55 Kaip savo išvados 29 punkte pažymėjo generalinis advokatas, įvairiose BDAR 75 ir 85 konstatuojamųjų dalių kalbinėse redakcijose esančios sąvokos „pavogta tapatybė“, „suklastota tapatybė“, „piktnaudžiavimas tapatybe“, „neteisėtas naudojimasis tapatybe“, „tapatybės pasisavinimas“ ir „tapatybės uzurpavimas“ vartojamos nedarant tarp jų skirtumo. Vadinasi, sąvokos „tapatybės vagystė“ ir „tapatybės suklastojimas“ yra tarpusavyje pakeičiamos ir jos negali būti laikomos skirtingomis. Šios dvi sąvokos leidžia preziumuoti norą pasisavinti asmens, kurio asmens duomenys anksčiau buvo pavogti, tapatybę.
56 Be to, kaip savo išvados 30 punkte taip pat pažymėjo generalinis advokatas, iš įvairių BDAR 75 ir 85 konstatuojamosiose dalyse pateiktuose sąrašuose nurodytų sąvokų sąvokos „prarasti savo asmens duomenų kontrolę“ arba „netekti galimybės [jais] naudotis“ skiriasi nuo sąvokų „tapatybės vagystė“ ar „tapatybės suklastojimas“. Darytina išvada, kad prieiga prie tokių duomenų ir jų kontrolės įgijimas, kurie galėtų būti prilyginti jų vagystei, savaime nėra prilygintini „tapatybės vagystei“ ar „tapatybės suklastojimui“. Kitaip tariant, asmens duomenų vagystė pati savaime nėra tapatybės vagystė ar suklastojimas.
57 Vis dėlto šiuo klausimu reikia patikslinti, kad neturtinės žalos, padarytos dėl asmens duomenų vagystės, atlyginimas pagal BDAR 82 straipsnio 1 dalį negali būti apribotas tik tais atvejais, kai įrodoma, kad dėl tokios duomenų vagystės vėliau buvo pavogta arba suklastota tapatybė. Asmens duomenų vagystė suteikia teisę į neturtinės žalos atlyginimą pagal BDAR 82 straipsnio 1 dalį, jeigu tenkinamos trys šioje nuostatoje numatytos sąlygos, t. y. asmens duomenys turi būti tvarkomi pažeidžiant BDAR nuostatas, duomenų subjektui turi būti padaryta žala ir tarp tokio neteisėto tvarkymo ir šios žalos turi būti priežastinis ryšys (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimą Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu) (C‑300/21, EU:C:2023:370, 32 ir 36 punktai).
58 Atsižvelgiant į tai, kas išdėstyta, į penktąjį klausimą reikia atsakyti, kad BDAR 82 straipsnio 1 dalis, siejama su šio reglamento 75 ir 85 konstatuojamosiomis dalimis, turi būti aiškinama taip: sąvoka „tapatybės vagystė“ yra tenkinama ir suteikia teisę į neturtinės žalos atlyginimą, jei asmens, kurio duomenys pavogti, tapatybę iš tikrųjų pasisavino trečiasis asmuo. Vis dėlto neturtinės žalos, patirtos dėl asmens duomenų vagystės, atlyginimas pagal šią nuostatą negali būti apribotas tais atvejais, kai įrodoma, kad dėl tokios duomenų vagystės vėliau buvo pavogta arba suklastota tapatybė.
Dėl bylinėjimosi išlaidų
59 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 82 straipsnio 1 dalis
turi būti aiškinama taip:
šioje nuostatoje numatyta teisė į žalos atlyginimą atlieka tik kompensacinę funkciją, nes šia nuostata grindžiama piniginė kompensacija turi leisti visiškai kompensuoti patirtą žalą.
2. Reglamento 2016/679 82 straipsnio 1 dalis
turi būti aiškinama taip:
atlyginant žalą pagal šią nuostatą ji nereikalauja atsižvelgti į duomenų valdytojo padaryto šio reglamento pažeidimo sunkumą ir galimą tyčinį pobūdį.
3. Reglamento 2016/679 82 straipsnio 1 dalis
turi būti aiškinama taip:
nustatant žalos, mokėtinos siekiant užtikrinti teisę į neturtinės žalos atlyginimą, dydį tokia dėl asmens duomenų pažeidimo padaryta žala savo pobūdžiu nelaikytina mažesne nei žala sveikatai.
4. Reglamento 2016/679 82 straipsnio 1 dalis
turi būti aiškinama taip:
kai žala yra padaryta ir ji nėra didelė, nacionalinis teismas gali ją atlyginti priteisdamas duomenų subjektui minimalią kompensaciją, jeigu ji gali visiškai kompensuoti patirtą žalą.
5. Reglamento 2016/679 82 straipsnio 1 dalis, siejama su šio reglamento 75 ir 85 konstatuojamosiomis dalimis,
turi būti aiškinama taip:
sąvoka „tapatybės vagystė“ yra tenkinama ir suteikia teisę į neturtinės žalos atlyginimą, jei asmens, kurio duomenys pavogti, tapatybę iš tikrųjų pasisavino trečiasis asmuo. Vis dėlto neturtinės žalos, patirtos dėl asmens duomenų vagystės, atlyginimas pagal šią nuostatą negali būti apribotas tais atvejais, kai įrodoma, kad dėl tokios duomenų vagystės vėliau buvo pavogta arba suklastota tapatybė.
Parašai.