Language of document : ECLI:EU:C:2024:531

TIESAS SPRIEDUMS (trešā palāta)

2024. gada 20. jūnijā (*)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 82. pants – Tiesības uz atlīdzinājumu par kaitējumu, kas nodarīts ar datu apstrādi, kura veikta, pārkāpjot šo regulu – Jēdziens “nemateriāls kaitējums” – Kompensācija ar sodošu raksturu vai kā vienkāršs atlīdzinājums un gandarījums – Minimāls vai simbolisks atlīdzinājums – Tirdzniecības lietotnē reģistrēto personas datu zādzība – Identitātes zādzība vai viltošana

Apvienotajās lietās C‑182/22 un C‑189/22

par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Amtsgericht München (Minhenes pirmās instances tiesa, Vācija) iesniegusi ar 2022. gada 3. marta lēmumiem un kuri Tiesā reģistrēti 2022. gada 10. un 11. martā, tiesvedībās

JU (C‑182/22),

SO (C‑189/22),

pret

Scalable Capital GmbH,

TIESA (trešā palāta)

šādā sastāvā: palātas priekšsēdētāja K. Jirimēe [K. Jürimäe], tiesneši N. Pisarra [N. Piçarra] un N. Jēskinens [N. Jääskinen] (referents),

ģenerāladvokāts: E. M. Kolinss [A. M. Collins],

sekretārs: A. Kalots Eskobars [A. Calot Escobar],

ņemot vērā rakstveida procesu,

ņemot vērā apsvērumus, ko snieguši:

–        SO vārdā – M. Ruigrok van de Werve, Rechtsanwalt,

–        Scalable Capital GmbH vārdā – M. C. Mekat, Rechtsanwalt,

–        Īrijas vārdā – M. Browne, Chief State Solicitor, A. Joyce un M. Tierney, pārstāvji, kuriem palīdz D. Fennelly, BL,

–        Eiropas Komisijas vārdā – A. Bouchagiar, M. Heller un H. Kranenborg, pārstāvji,

noklausījusies ģenerāladvokāta secinājumus 2023. gada 26. oktobra tiesas sēdē,

pasludina šo spriedumu.

Spriedums

1        Lūgumi sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 82. pantu.

2        Šie lūgumi iesniegti saistībā ar divām tiesvedībām starp attiecīgi JU un SO un Scalable Capital GmbH par nemateriālā kaitējuma atlīdzināšanu, kas viņiem esot nodarīts ar to, ka trešās personas, kuru identitāte nav zināma, ir nozagušas viņu personas datus, kas bija reģistrēti šīs sabiedrības pārvaldītajā tirdzniecības lietotnē.

 Atbilstošās tiesību normas

3        VDAR 75., 85. un 146. apsvērums ir šāds:

“(75)      Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti personas dati, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību arodbiedrībai, un ja tiek apstrādāti ģenētiskie dati, veselības dati vai dati par dzimumdzīvi, vai sodāmību un pārkāpumiem vai ar tiem saistītiem drošības pasākumiem; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību, personīgām vēlmēm vai interesēm, uzticamību vai uzvedību, atrašanās vietu vai pārvietošanos, lai izveidotu vai izmantotu personiskos profilus; ja tiek apstrādāti neaizsargātu fizisku personu, īpaši bērnu, personas dati; vai ja apstrāde ietver lielu personas datu daudzumu un ietekmē lielu skaitu datu subjektu.

[..]

(85)      Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija. [..]

[..]

(146)      [..] Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par kaitējumu. Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem. [..] Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu. [..]”

4        Šīs regulas 4. pantā “Definīcijas” ir paredzēts:

“Šajā regulā:

1)      “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); [..]

[..]

7)      “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; [..]

[..]

10)      “trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

[..]

12)      “personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

[..].”

5        Minētās regulas 82. panta “Tiesības uz kompensāciju un atbildība” 1.–3. punktā ir noteikts:

“1.      Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.

2.      Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. Apstrādātājs ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem.

3.      Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.”

 Pamatlietas un prejudiciālie jautājumi

6        Scalable Capital, saskaņā ar Vācijas tiesībām dibināta sabiedrība, pārvalda trading app (tirdzniecības lietotne), kurā prasītāji pamatlietā JU un SO bija atvēruši kontus. Šajā nolūkā pēdējie minētie savos attiecīgajos kontos bija reģistrējuši noteiktus personas datus, tostarp savus personvārdus, dzimšanas datumus, pasta adreses, elektroniskā pasta adreses, kā arī savu personas apliecību digitālas kopijas. Prasītāji pamatlietā bija samaksājuši summu vairāku tūkstošu EUR apmērā, kas bija nepieciešama šo kontu atvēršanai.

7        2020. gadā trešās personas, kuru identitāte joprojām nav zināma, uzlaužot lietotni, nozaga personas datus, kā arī datus par prasītāju pamatlietā vērtspapīru portfeli. Scalable Capital uzskata, ka minētie personas dati līdz šim nav tikuši izmantoti krāpnieciskiem mērķiem.

8        Šajā kontekstā prasītāji pamatlietā vērsās iesniedzējtiesā, Amtsgericht München (Minhenes pirmās instances tiesa, Vācija), ar prasību atlīdzināt nemateriālo kaitējumu, kas viņiem esot nodarīts viņu personas datu zādzības dēļ.

9        Pirmkārt, iesniedzējtiesas jautājumi izriet no Vācijas tiesu atšķirīgajām pieejām, novērtējot šāda veida situācijā piešķiramo kaitējuma atlīdzību. No tā izriet būtiskas kaitējuma atlīdzinājuma apmēra atšķirības, ko piešķir gadījumos, kuri tomēr ir analogi pamatlietā aplūkotajam, it īpaši atkarībā no tā, vai ir ņemta vērā iespējamā preventīvā iedarbība. Iesniedzējtiesa norāda, ka šajā gadījumā attiecīgo datu zaudēšana ietekmē vairākus desmitus tūkstošu personu un ka tādējādi būtu jāizmanto vienots novērtēšanas veids.

10      Otrkārt, attiecībā uz nemateriālā kaitējuma novērtējumu tā pamatojas uz Vācijas tiesībām, lai nošķirtu “kompensējošo” funkciju no “personīgā gandarījuma” funkcijas. Kompensējošā funkcija esot paredzēta, lai atlīdzinātu apgalvotā kaitējuma radītās un sagaidāmās sekas, savukārt personīgā gandarījuma funkcijas mērķis esot neitralizēt netaisnības sajūtu, kas radusies dēļ minētā kaitējuma. Tā norāda, ka Vācijas tiesībās šai gandarījuma funkcijai ir tikai papildu nozīme, un tā uzskata, ka šajā gadījumā tai nebūtu jāietekmē prasītāju pieprasītās kaitējuma atlīdzības aprēķins.

11      Treškārt, Vācijas tiesībās neesot skalas, kura ļautu noteikt kaitējuma atlīdzības apmēru, kas būtu piešķirama atkarībā no situācijām, kurās tā tiek pieprasīta. Tomēr lielais individuālo lēmumu skaits ļaujot noteikt ietvaru, uz kuru var atsaukties, kā rezultātā atlīdzību var sistematizēt. Šajā ziņā Vācijas tiesību sistēmā kaitējuma atlīdzinājums naudā tiekot piešķirts, lai kompensētu personisko tiesību aizskārumus tikai tad, ja tie ir īpaši smagi. Finansiālā novērtēšana esot objektīvāka atlīdzinājumam par miesas bojājumiem. Tāpēc iesniedzējtiesa uzskata, ka datu zaudēšanai vajadzētu būt mazāk svarīgai par fiziskajiem kaitējumiem.

12      Ceturtkārt, šī tiesa šaubās par iespēju piešķirt nelielu atlīdzību, kas varētu tikt uzskatīta par simbolisku, gadījumos, kad ar VDAR pārkāpumu saistītais kaitējums ir minimāls.

13      Piektkārt, tā norāda, ka pamatlietas puses jēdzienu “identitātes zādzība” interpretē atšķirīgi. Šajā ziņā tā uzskata, ka identitātes zādzība pastāv tikai tad, ja nelikumīgi iegūtos datus trešā persona izmanto, lai viltotu datu subjekta identitāti.

14      Šādos apstākļos Amtsgericht München (Minhenes pirmās instances tiesa) nolēma lietās C‑182/22 un C‑189/22 apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus, kas abās lietās ir formulēti identiski:

“1)      Vai [VDAR] 82. pants jāinterpretē tādējādi, ka tiesības uz kaitējuma kompensāciju pat tās apmēra noteikšanas ietvaros nav uzskatāmas par sankcionējošām, it īpaši ar vispārēju vai konkrēti atturošu funkciju, bet šīm tiesībām uz kaitējuma kompensāciju ir tikai atlīdzinājuma un, iespējams, gandarījuma funkcija?

2)      Vai, nosakot nemateriālā kaitējuma apmēru, jāpieņem, ka tiesībām uz kaitējuma kompensāciju ir arī individuāla gandarījuma funkcija, kas šeit jāsaprot kā cietušās personas privātajā sfērā saglabājusies interese, lai kaitējumu radījusī rīcība tiktu sodīta, vai arī tiesībām uz kaitējuma kompensāciju piemīt tikai atlīdzinājuma funkcija, kas šeit jāsaprot kā kompensēšanas funkcija par ciesto skārumu?

Ja jāpieņem, ka tiesībām uz kompensāciju par nemateriālu kaitējumu piemīt gan atlīdzinājuma, gan gandarījuma funkcija – vai, nosakot kompensācijas apmēru, jāpieņem, ka atlīdzinājuma funkcijai ir vismaz strukturāla vai no noteikumu izņēmuma izrietoša prioritāte pār gandarījuma funkciju? Vai tas nozīmē, ka gandarījuma funkcijai ir nozīme tikai tad, ja pārkāpums ir izdarīts tīši vai rupjas nolaidības dēļ?

Ja tiesībām uz kompensāciju par nemateriālu kaitējumu nav gandarījuma funkcijas – vai, nosakot kompensācijas apmēru, papildu nozīme cēloņsakarības vērtējumā ir tikai tīšiem vai rupjas nolaidības izraisītiem datu aizsardzības pārkāpumiem?

3)      Vai izpratnes labad par nemateriāla kaitējuma kompensāciju tās apmēra noteikšanā jāpieņem, ka pastāv strukturāla hierarhiskā attiecība vai vismaz noteikumu izņēmuma attiecība, kurā no datu aizsardzības pārkāpuma izrietošajam skārumam ir mazāka nozīme nekā ar miesas bojājumiem saistītām ciešanām un sāpēm?

4)      Ja jāpieņem, ka nodarīts kaitējums – vai valsts tiesai, ņemot vērā, ka tas nav smags, ir tiesības piespriest tikai materiālā ziņā niecīgu kaitējuma kompensāciju, kuras apmērs, iespējams, cietušās puses skatījumā vai vispārīgi ir tikai simbolisks?

5)      Vai izpratnes labad par nemateriāla kaitējuma kompensāciju tās seku novērtējumā jāpieņem, ka [VDAR] 75. apsvērumā minētā identitātes zādzība ir notikusi tikai tad, ja likumpārkāpējs faktiski pieņēmis attiecīgās personas identitāti, proti, jebkādā veidā uzdevies par attiecīgo personu, vai arī identitātes zādzība jau ir tas vien, ka likumpārkāpēju rīcībā ir dati, kas ļauj identificēt attiecīgo personu?”

 Tiesvedība Tiesā

15      Ar Tiesas priekšsēdētāja 2022. gada 19. aprīļa lēmumu lietas C‑182/22 un C‑189/22 tika apvienotas rakstveida un mutvārdu procesam, kā arī sprieduma taisīšanai.

16      Tiesas priekšsēdētājs 2022. gada 1. jūnijā noraidīja Scalable Capital lūgumu anonimizēt šo lietu saskaņā ar Tiesas Reglamenta 95. panta 2. punktu.

 Par lūgumu sniegt prejudiciālu nolēmumu pieņemamību

17      Scalable Capital būtībā apgalvo, ka šie lūgumi sniegt prejudiciālu nolēmumu nav pieņemami, jo tie neietekmē pamatlietu risinājumu. Tā uzskata, ka abstrakta kontroles pār datiem zaudēšana, kā šajā gadījumā, nav jākvalificē kā “kaitējums” VDAR 82. panta 1. punkta izpratnē, ja šādai kontroles zaudēšanai nav konkrētu seku un līdz ar to nav izpildīti minētā 82. panta piemērošanas nosacījumi. Proti, šāda kvalifikācija liktu uzskatīt, ka ikviens regulas pārkāpums rada prezumējamu kaitējumu – pretēji VDAR 82. panta formulējumam, vispārējai sistēmai un rašanās vēsturei.

18      Šajā ziņā atbilstoši pastāvīgajai judikatūrai vienīgi valsts tiesa, kura izskata lietu un kurai jāuzņemas atbildība par pieņemamo tiesas nolēmumu, ņemot vērā lietas īpatnības, var noteikt gan to, cik nepieciešams ir prejudiciālais nolēmums šīs tiesas sprieduma taisīšanai, gan to, cik nozīmīgi lietā ir Tiesai uzdotie jautājumi, uz kuriem ir attiecināma nozīmīguma prezumpcija. Tādējādi, ja uzdotais jautājums attiecas uz Savienības tiesību normas interpretāciju vai spēkā esamību, Tiesai principā jālemj, ja vien nav acīmredzams, ka lūgtajai interpretācijai nav nekādas saistības ar pamatlietas faktiskajiem apstākļiem vai tās priekšmetu, ja problēmai ir hipotētisks raksturs vai arī ja Tiesai nav zināmi faktiskie vai juridiskie apstākļi, kas nepieciešami, lai sniegtu lietderīgu atbildi uz minēto jautājumu (skat. spriedumus, 2022. gada 5. maijs, Zagrebačka banka, C‑567/20, EU:C:2022:352, 43. punkts, un 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 23. punkts).

19      Šajā ziņā jāatgādina, ka tad, ja nav acīmredzams, ka lūgtajai Savienības tiesību interpretācijai nav nekādas saistības ar pamatlietas faktiskajiem apstākļiem vai tās priekšmetu, iebildums attiecībā uz šīs tiesību normas nepiemērojamību pamatlietā nav saistīts ar lūguma sniegt prejudiciālu nolēmumu pieņemamību, bet attiecas uz uzdoto jautājumu būtību (šajā nozīmē skat. spriedumus, 2006. gada 13. jūlijs, Manfredi u.c., no C‑295/04 līdz C‑298/04, EU:C:2006:461, 30. punkts; 2019. gada 4. jūlijs, Kirschstein, C‑393/17, EU:C:2019:563, 28. punkts, kā arī 2023. gada 24. jūlijs, Lin, C‑107/23 PPU, EU:C:2023:606, 66. punkts).

20      No tā izriet, ka šie lūgumi sniegt prejudiciālu nolēmumu ir pieņemami.

 Par prejudiciālajiem jautājumiem

 Par pirmo jautājumu un otrā jautājuma pirmo daļu

21      Ar pirmo jautājumu un otrā jautājuma pirmo daļu, kas jāizskata kopā, iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka šajā tiesību normā paredzētajām tiesībām uz kompensāciju ir kompensējoša funkcija – jo kaitējuma atlīdzinājumam naudā, kas pamatots ar minēto tiesību normu, jāļauj pilnībā atlīdzināt šīs regulas pārkāpuma rezultātā nodarīto kaitējumu – vai arī tām ir arī sodīšanas funkcija, kuras mērķis citastarp ir apmierināt datu subjekta individuālās intereses.

22      Šajā ziņā Tiesa jau ir nospriedusi, ka VDAR 82. pantam ir nevis sodoša, bet gan kompensējoša funkcija, atšķirībā no citām šīs regulas tiesību normām, kas arī ir ietvertas tās VIII nodaļā, proti, tās 83. un 84. pantā, kuri savukārt būtībā ir vērsti uz sodīšanu, jo pirmais no tiem ļauj piemērot administratīvus naudas sodus un otrais – citas sankcijas. Mijiedarbības attiecības starp noteikumiem, kas ietverti šīs regulas 82. pantā, un tiem, kuri ietverti tās 83. un 84. pantā, norāda uz atšķirību starp šīm abām tiesību normu kategorijām, bet vienlaikus arī liecina par šo normu savstarpējo komplementaritāti tajā ziņā, ka tās visas mudina ievērot VDAR, ņemot vērā, ka ikvienas personas tiesības prasīt kaitējuma kompensāciju pastiprina šajā regulā paredzēto aizsardzības noteikumu operativitāti un var atturēt no prettiesiskas rīcības atkārtošanas (it īpaši skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 38. un 40. punkts, kā arī 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 59. punkts).

23      Līdz ar to VDAR 82. panta 1. punkts ir interpretēts tādējādi, ka šajā tiesību normā paredzētajām tiesībām uz atlīdzinājumu, tostarp par nemateriālu kaitējumu, ir kompensējoša funkcija – jo kaitējuma atlīdzinājumam naudā, kas balstīts uz minēto tiesību normu, jāļauj pilnībā atlīdzināt šīs regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu –, taču ne preventīva jeb sodoša funkcija (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 57. un 58. punkts, kā arī 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 61. punkts).

24      Līdz ar to uz pirmo jautājumu un otrā jautājuma pirmo daļu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka šajā tiesību normā paredzētajām tiesībām uz kompensāciju ir vienīgi kompensējoša funkcija – jo kaitējuma atlīdzinājumam naudā, kas balstīts uz minēto tiesību normu, jāļauj pilnībā atlīdzināt ciesto kaitējumu.

 Par otrā jautājuma otro daļu

25      Ņemot vērā uz pirmo jautājumu un otrā jautājuma pirmo daļu sniegto atbildi, uz otrā jautājuma otro daļu nav jāatbild.

 Par otrā jautājuma trešo daļu

26      Ar otrā jautājuma trešo daļu iesniedzējtiesa būtībā vaicā, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka tajā ir prasīts, lai pārziņa pieļautā šīs regulas pārkāpuma smaguma pakāpe un iespējami tīšais raksturs tiktu ņemts vērā, lai atlīdzinātu kaitējumu, pamatojoties uz šo tiesību normu.

27      Attiecībā uz kaitējuma kompensācijas, kas, iespējams, jāmaksā saskaņā ar VDAR 82. pantu, novērtēšanu, ja šajā regulā nav tiesību normas ar šādu mērķi, valsts tiesām jāpiemēro katras dalībvalsts iekšējie noteikumi par kaitējuma atlīdzinājumu naudā, ja tiek ievēroti Savienības tiesību līdzvērtības un efektivitātes principi (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 53., 54. un 59. punkts, kā arī 2024. gada 25. janvāris, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 53. punkts).

28      Taču jāuzsver, pirmkārt, ka pārziņa atbildības iestāšanās atbilstoši VDAR 82. pantam ir pakārtota tā vainas esamībai, kura tiek prezumēta, ja vien pārzinis nepierāda, ka kaitējumu izraisījušais notikums tam nekādi nav piedēvējams, un, otrkārt, 82. pants neprasa, lai, nosakot kompensācijas summu, kas piešķirama atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu, tiktu ņemta vērā šīs vainas pakāpe (spriedumi, 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 103. punkts, un 2024. gada 25. janvāris, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 52. punkts).

29      Turklāt VDAR 82. panta 1. punktā paredzēto tiesību uz kompensāciju ekskluzīvi kompensējošā funkcija nepieļauj, ka, nosakot atlīdzinājuma apmēru, kas, pamatojoties uz šo tiesību normu, tiek piešķirts kā nemateriālā kaitējuma kompensācija, tiek ņemts vērā šīs regulas pārkāpuma – par kuru tiek pieņemts, ka to izdarījis pārzinis, – iespējami tīšais raksturs. Šī summa tomēr jānosaka tā, lai pilnībā atlīdzinātu minētās regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu (spriedumi, 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 102. punkts, un 2024. gada 25. janvāris, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 54. punkts).

30      Ņemot vērā iepriekš minētos iemeslus, uz otrā jautājuma trešo daļu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka tajā nav prasīts, lai pārziņa izdarītā šīs regulas pārkāpuma smaguma pakāpe un iespējami tīšais raksturs tiktu ņemts vērā, lai atlīdzinātu kaitējumu, pamatojoties uz šo tiesību normu.

 Par trešo jautājumu

31      Ar trešo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka, nosakot maksājamās kaitējuma kompensācijas apmēru balstoties uz tiesībām uz nemateriālā kaitējuma atlīdzināšanu, jāuzskata, ka šāds kaitējums, kas nodarīts ar personas datu pārkāpumu, pēc sava rakstura ir mazāk svarīgs kā miesas bojājumi.

32      Šajā ziņā jāatgādina, ka atbilstoši pastāvīgajai judikatūrai gadījumā, ja attiecīgajā jomā nav Savienības noteikumu, katras dalībvalsts iekšējā tiesību sistēmā jāparedz procesuālā kārtība, kādā tiesā iesniedzamas prasības, kuru mērķis ir nodrošināt personu tiesību aizsardzību saskaņā ar procesuālās autonomijas principu, tomēr ar nosacījumu, ka šī kārtība Savienības tiesībās ietilpstošajās situācijās nav mazāk labvēlīga par kārtību, kas ievērojama līdzīgās situācijās, uz kurām attiecas valsts tiesības (līdzvērtības princips), un ka tie nepadara praktiski neiespējamu vai pārmērīgi neapgrūtina to tiesību īstenošanu, kas piešķirtas Savienības tiesībās (efektivitātes princips) (skat. spriedumus, 2017. gada 13. decembris, El Hassani, C‑403/16, EU:C:2017:960, 26. punkts, un 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 53. punkts).

33      Šajā gadījumā jānorāda, ka VDAR nav tiesību normas, kuras mērķis būtu paredzēt noteikumus par to, kā noteicams kaitējuma atlīdzības apmērs, uz ko datu subjekts šīs regulas 4. panta 1. punkta izpratnē var pretendēt saskaņā ar tās 82. pantu tad, ja minētās regulas pārkāpuma dēļ tam ir nodarīts kaitējums. Līdz ar to, tā kā šī joma nav reglamentēta Savienības tiesību normās, katras dalībvalsts iekšējās tiesību sistēmas ziņā ir noteikt kārtību, kādā ceļamas prasības, kuru mērķis ir aizsargāt tiesības, kādas personām izriet no 82. panta, un konkrēti kritērijus, kas ļauj noteikt šajā ziņā maksājamās kompensācijas apmēru, ar nosacījumu, ka tiek ievēroti minētie līdzvērtības un efektivitātes principi (spriedums, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) C‑300/21, EU:C:2023:370, 54. punkts).

34      Tā kā Tiesas rīcībā esošajos lietas materiālos nekas neliecina par to, ka līdzvērtības principam varētu būt nozīme pamatlietu kontekstā, jākoncentrējas uz efektivitātes principu. Šajā aspektā iesniedzējtiesai jāpārbauda, vai Vācijas tiesībās paredzētā kārtība, kādā nosakāms saskaņā ar VDAR 82. pantā paredzētajām tiesībām uz kompensāciju maksājamās kompensācijas apmērs, nepadara praktiski neiespējamu un pārmērīgi neapgrūtina Savienības tiesībās – un konkrētāk, šajā regulā – paredzēto tiesību izmantošanu.

35      Šajā ziņā no šī sprieduma 23. punktā atgādinātās judikatūras izriet, ka, ņemot vērā VDAR 82. panta 1. punktā paredzēto tiesību uz kompensāciju ekskluzīvi kompensējošo funkciju, kaitējuma atlīdzinājums naudā, kas pamatots ar šo tiesību normu, jāuzskata par “pilnu un iedarbīgu”, ja tas ļauj pilnībā atlīdzināt minētās regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu.

36      Šajā aspektā minētās regulas 146. apsvērumā turklāt ir norādīts, ka “kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem”, un ka “datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu”.

37      Ir arī jānorāda, ka VDAR 75. un 85. apsvērumā minēti dažādi apstākļi, ko var kvalificēt kā “fizisku, materiālu vai nemateriālu kaitējumu”, neveidojot hierarhiju un nenorādot, ka datu aizsardzības pārkāpuma rezultātā radītie aizskārumi pēc būtības ir mazāk būtiski kā miesas bojājumi.

38      Principā pieņemot, ka miesas bojājumi pēc būtības ir būtiskāki nekā nemateriālais kaitējums, varētu tikt apdraudēts princips par nodarītā kaitējuma pilnu un iedarbīgu atlīdzināšanu.

39      Ņemot vērā iepriekš minētos iemeslus, uz trešo jautājumu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka, nosakot maksājamās kaitējuma kompensācijas apmēru, balstoties uz tiesībām uz nemateriālā kaitējuma atlīdzināšanu, jāuzskata, ka šāds kaitējums, kas nodarīts ar personas datu pārkāpumu, pēc sava rakstura nav mazāk svarīgs kā miesas bojājumi.

 Par ceturto jautājumu

40      Ar ceturto jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka tad, ja pārkāpums ir būtisks, valsts tiesa, gadījumā, kad tas nav smags, var piespriest izmaksāt datu subjektam minimālu atlīdzību, kas varētu tikt uzskatīta par simbolisku.

41      Jāatgādina, ka no pastāvīgās judikatūras izriet, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka ar šīs regulas pārkāpumu vien nepietiek, lai piešķirtu tiesības uz kompensāciju, jo “nodarīta” materiāla vai nemateriāla “kaitējuma” esamība ir viens no šajā 82. panta 1. punktā paredzēto tiesību uz kompensāciju nosacījumiem, tāpat kā minētās regulas pārkāpuma esamība un cēloņsakarība starp šo kaitējumu un šo pārkāpumu, jo šie trīs nosacījumi ir kumulatīvi (spriedumi, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 32. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 34. punkts).

42      Tādējādi personai, kas, pamatojoties uz šo tiesību normu, lūdz kompensēt nemateriālo kaitējumu, jāpierāda ne tikai šīs regulas normu pārkāpums, bet arī tas, ka šā pārkāpuma dēļ tai ir nodarīts šāds kaitējums, kuru tātad nevar prezumēt tikai minētā pārkāpuma dēļ (spriedumi, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 42. un 50. punkts, kā arī 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 35. punkts).

43      Ja personai izdodas pierādīt, ka VDAR pārkāpums tai ir radījis kaitējumu šīs regulas 82. panta izpratnē, no šā sprieduma 33. punkta pēc būtības izriet, ka kritēriji, pēc kuriem tiek novērtēta atlīdzība, kas jāmaksā saistībā ar prasībām, kuru mērķis ir aizsargāt tiesības, kas privātpersonām izriet no minētā panta, jānosaka katras dalībvalsts tiesību sistēmā, ja šī kompensācija ir pilnīga un iedarbīga.

44      Šajā ziņā Tiesa ir nospriedusi, ka VDAR 82. panta 1. punktā nav prasīts, lai pēc pierādīta šīs regulas noteikumu pārkāpuma datu subjekta apgalvotajam kaitējumam, lai rastos tiesības uz kompensāciju, būtu jāsasniedz “de minimis slieksnis” (šajā ziņā skat. spriedumu, 2023. gada 14. decembris, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 18. punkts).

45      Tomēr šādi apsvērumi neliedz valsts tiesām piespriest atlīdzību nelielā apmērā ar nosacījumu, ka šāda atlīdzība pilnībā kompensē šo kaitējumu, un tas jāpārbauda valsts tiesai, ievērojot šā sprieduma 43. punktā izklāstītos principus.

46      Ņemot vērā iepriekš izklāstītos iemeslus, uz ceturto jautājumu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka tad, ja pārkāpums ir būtisks, valsts tiesa gadījumā, kad tas nav smags, var piespriest to kompensēt, piespriežot izmaksāt datu subjektam nelielu atlīdzību ar nosacījumu, ka šāda atlīdzība pilnībā kompensē nodarīto kaitējumu.

 Par piekto jautājumu

 Par pieņemamību

47      Savos rakstveida apsvērumos Eiropas Komisija šaubās par piektā jautājuma atbilstību, lai sniegtu atbildes strīdos pamatlietās, ciktāl tā konstatē, ka iesniedzējtiesa nav minējusi nevienu atsauci uz konkrētu Savienības tiesību normu.

48      Šajā ziņā piektais jautājums attiecas uz jēdzienu “identitātes zādzība” VDAR 75. apsvēruma izpratnē un formāli neattiecas uz šīs regulas 82. pantu. Tas vien, ka Tiesai jālemj abstrakti un vispārīgi, nevar būt pamats lūguma sniegt prejudiciālu nolēmumu nepieņemamībai (spriedums, 2007. gada 15. novembris, International Mail Spain, C‑162/06, EU:C:2007:681, 24. punkts).

49      Ar šo jautājumu iesniedzējtiesa lūdz Tiesu interpretēt VDAR 75. apsvērumā ietverto jēdzienu “identitātes zādzība”, lai noteiktu VDAR 82. pantā paredzētās kaitējuma kompensācijas apmēru. Tātad minētais jautājums attiecas uz Savienības tiesību normu. Turklāt atbildei uz šo jautājumu ir nozīme arī tādēļ, ka ne iesniedzējtiesa, ne pamatlietas puses nav vienisprātis par šī jēdziena definīciju, lai novērtētu pamatlietās radīto kaitējumu.

50      Šādos apstākļos piektais jautājums jāatzīst par pieņemamu.

 Par lietas būtību

51      Saskaņā ar pastāvīgo judikatūru valstu tiesu un Tiesas sadarbības procedūrā, kas ir izveidota ar LESD 267. pantu, Tiesai jāsniedz valsts tiesai noderīga atbilde, kura tai ļautu izspriest tajā izskatāmo lietu. Šajā nolūkā Tiesai vajadzības gadījumā jāpārformulē tai uzdotie jautājumi. Turklāt Tiesai var nākties ņemt vērā tādas Savienības tiesību normas, uz kurām valsts tiesa sava jautājuma izklāstā nav atsaukusies (spriedums, 2023. gada 7. septembris, Groenland Poultry, C‑169/22, EU:C:2023:638, 47. punkts un tajā minētā judikatūra).

52      Šajā gadījumā piektais jautājums attiecas uz VDAR 82. panta 1. punktā paredzētajām tiesībām uz kompensāciju un it īpaši uz VDAR 75. apsvērumā ietverto jēdzienu “identitātes zādzība”. Jānorāda, ka papildus šim apsvērumam attiecīgais jēdziens minēts arī šīs regulas 85. apsvērumā.

53      Līdz ar to jāuzskata, ka ar piekto jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. panta 1. punkts, lasot to kopsakarā ar šīs regulas 75. un 85. apsvērumu, jāinterpretē tādējādi, ka, lai “identitātes zādzība” būtu būtiska un sniegtu tiesības uz nemateriālā kaitējuma kompensāciju saskaņā ar šo tiesību normu, šis jēdziens nozīmē, ka trešā persona faktiski ir viltojusi tās personas identitāti, kuras personas dati ir nozagti, vai arī šāda identitātes zādzība ir būtiska, ja šīs trešās personas rīcībā ir dati, kas ļauj identificēt datu subjektu.

54      Identitātes zādzības jēdziens VDAR nav definēts. Tomēr identitātes “zādzība” vai “viltošana” šīs regulas 75. apsvērumā ietilpst neizsmeļošā personas datu apstrādes seku sarakstā, kuras var radīt fizisku vai materiālu, vai nemateriālu kaitējumu. Minētās regulas 85. apsvērumā identitātes “zādzība” vai “viltošana” atkal tiek norādīta kopā ar fizisko vai materiālo, vai nemateriālo kaitējumu, ko var radīt personas datu aizsardzības pārkāpums.

55      Kā ģenerāladvokāts norādījis secinājumu 29. punktā, VDAR 75. un 85. apsvēruma dažādu valodu versijās ir lietoti termini “identitātes zādzība”, “identitātes viltošana”, “identitātes ļaunprātīga izmantošana”, identitātes nepareiza lietošana”, “identitātes nelikumīga piesavināšanās”, tos nenošķirot. Līdz ar to identitātes “zādzības” un “viltošanas” jēdzieni ir savstarpēji aizstājami un tos nevar nodalīt. Šie divi pēdējie jēdzieni rada prezumpciju par vēlmi piesavināties tās personas identitāti, kuras personas dati iepriekš ir nozagti.

56      Turklāt, kā secinājumu 30. punktā norādījis arī ģenerāladvokāts, no dažādajiem jēdzieniem, kas minēti VDAR 75. un 85. apsvērumā ietvertajos sarakstos, “iespējas kontrolēt savus personas datus zaudēšana” vai “atņemšana” ir nošķirti no identitātes “zādzības” vai “viltošanas”. No tā izriet, ka piekļuve šādiem datiem un kontroles iegūšana, ko varētu pielīdzināt šo datu zādzībai, pati par sevi nav pielīdzināma identitātes “zādzībai” vai “viltošanai”. Citiem vārdiem sakot, personas datu zādzība pati par sevi nav zādzība vai identitātes viltošana.

57      Tomēr šajā ziņā jāprecizē, ka nemateriālā kaitējuma, ko radījusi personas datu zādzība, atlīdzināšana saskaņā ar VDAR 82. panta 1. punktu nevar tikt attiecināta tikai uz gadījumiem, kad ir pierādīts, ka šādas datu zādzības rezultātā vēlāk notikusi zādzība vai identitātes viltošana. Proti, datu subjekta personas datu zādzība rada tiesības uz nemateriālā kaitējuma kompensāciju saskaņā ar VDAR 82. panta 1. punktu, ja ir piemērojami trīs šajā tiesību normā paredzētie nosacījumi, proti, personas datu apstrāde, kas veikta, pārkāpjot VDAR normas, datu subjektam ir nodarīts kaitējums, un cēloņsakarība starp šo nelikumīgo apstrādi un šo kaitējumu (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) C‑300/21, EU:C:2023:370, 32. un 36. punkts).

58      Ar šādu pamatojumu uz piekto jautājumu jāatbild, ka VDAR 82. panta 1. punkts, lasot to kopsakarā ar šīs regulas 75. un 85. apsvērumu, jāinterpretē tādējādi, ka, lai nemateriālais kaitējums būtu būtisks un radītu tiesības uz tā kompensēšanu saskaņā ar šo tiesību normu, jēdziens “identitātes zādzība” nozīmē, ka trešā persona faktiski ir viltojusi tās personas identitāti, kuras personas dati ir nozagti. Tomēr nemateriālā kaitējuma, ko radījusi personas datu zādzība, kompensēšana saskaņā ar minēto normu nevar tikt attiecināta tikai uz gadījumiem, kad ir pierādīts, ka šādas datu zādzības rezultātā vēlāk ir notikusi zādzība vai identitātes viltošana.

 Par tiesāšanās izdevumiem

59      Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (trešā palāta) nospriež:

1)      Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 82. panta 1. punkts

jāinterpretē tādējādi, ka

šajā tiesību normā paredzētajām tiesībām uz atlīdzinājumu ir vienīgi kompensējoša funkcija – jo kaitējuma atlīdzinājumam naudā, kas balstīts uz minēto tiesību normu, jāļauj pilnībā kompensēt ciesto kaitējumu.

2)      Regulas 2016/679 82. panta 1. punkts

jāinterpretē tādējādi, ka

šajā pantā nav prasīts, lai pārziņa izdarītā šīs regulas pārkāpuma smaguma pakāpe un iespējami tīšais raksturs tiktu ņemti vērā, lai atlīdzinātu kaitējumu, pamatojoties uz šo tiesību normu.

3)      Regulas 2016/679 82. panta 1. punkts

jāinterpretē tādējādi, ka,

nosakot maksājamās kaitējuma kompensācijas apmēru, balstoties uz tiesībām uz nemateriālā kaitējuma atlīdzināšanu, jāuzskata, ka šāds kaitējums, kas nodarīts ar personas datu pārkāpumu, pēc sava rakstura nav mazāk svarīgs kā miesas bojājumi.

4)      Regulas 2016/679 82. panta 1. punkts

jāinterpretē tādējādi, ka

tad, ja pārkāpums ir būtisks, valsts tiesa gadījumā, kad tas nav smags, var piespriest to kompensēt, piespriežot izmaksāt datu subjektam nelielu atlīdzību ar nosacījumu, ka šāda atlīdzība pilnībā kompensē nodarīto kaitējumu.

5)      Regulas 2016/679 82. panta 1. punkts, lasot to kopsakarā ar šīs regulas 75. un 85. apsvērumu,

jāinterpretē tādējādi, ka,

lai nemateriāls kaitējums būtu būtisks un radītu tiesības uz tā kompensēšanu saskaņā ar šo tiesību normu, jēdziens “identitātes zādzība” nozīmē, ka trešā persona faktiski ir viltojusi tās personas identitāti, uz kuru attiecas personas datu zādzība. Tomēr nemateriālā kaitējuma, ko radījusi personas datu zādzība, kompensēšana saskaņā ar minēto normu nevar tikt attiecināta tikai uz gadījumiem, kad ir pierādīts, ka šādas datu zādzības rezultātā vēlāk ir notikusi zādzība vai identitātes viltošana.

[Paraksti]

*      Tiesvedības valoda – vācu.