Language of document : ECLI:EU:C:2024:536

Laikina versija

TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS

2024 m. birželio 20 d.(*)

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 82 straipsnio 1 dalis – Teisė į kompensaciją už žalą, patirtą dėl duomenų tvarkymo pažeidžiant šį reglamentą – Sąvoka „neturtinė žala“ – Patirtos žalos dydžio poveikis – Kompensacijos dydžio vertinimas – Nuogąstavimu grindžiamas prašymas atlyginti neturtinę žalą – 83 straipsnyje numatytų administracinių baudų kriterijų netaikymas – Atgrasomoji funkcija – Vertinimas vienu metu pažeidus šį reglamentą ir nacionalinę teisę“

Byloje C‑590/22

dėl Amtsgericht Wesel (Vėzelio apylinkės teismas, Vokietija) 2022 m. rugpjūčio 5 d. nutartimi, kurią Teisingumo Teismas gavo 2022 m. rugsėjo 9 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

AT,

BT

prieš

PS GbR,

VG,

MB,

DH,

WB,

GS

TEISINGUMO TEISMAS (trečioji kolegija),

kurį sudaro kolegijos pirmininkė K. Jürimäe, trečiosios kolegijos teisėjo pareigas einantis Teisingumo Teismo pirmininkas K. Lenaerts, teisėjai N. Piçarra, N. Jääskinen (pranešėjas) ir M. Gavalec,

generalinis advokatas M. Campos Sánchez-Bordona,

kancleris A. Calot Escobar,

atsižvelgęs į rašytinę proceso dalį,

išnagrinėjęs pastabas, pateiktas:

–        Airijos, atstovaujamos Chief State Solicitor M. Browne, A. Joyce ir M. Tierney, padedamų BL D. Fennelly,

–        Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H.Kranenborg,

atsižvelgęs į sprendimą, priimtą susipažinus su generalinio advokato nuomone, nagrinėti bylą be išvados,

priima šį

Sprendimą

1        Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 82 straipsnio 1 dalies išaiškinimo.

2        Šis prašymas pateiktas nagrinėjant atitinkamai AT ir BT, kurie yra ieškovai pagrindinėje byloje, ginčą su mokesčių konsultavimo bendrove PS GbR ir šios bendrovės dalininkais VG, MB, DH, WB ir GS dėl ieškovų pagrindinėje byloje teisės pagal BDAR 82 straipsnio 1 dalį gauti kompensaciją už kančias, kurias jie teigia patyrę dėl to, kad jų mokesčių deklaracija, kurioje yra asmens duomenų, buvo atskleista tretiesiems asmenims be jų sutikimo dėl PS padarytos klaidos.

 Teisinis pagrindas

3        BDAR 85, 146 ir 148 konstatuojamosios dalys suformuluotos taip:

„(85)      dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. <...>

<...>

(146)      bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas. Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai. Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų Sąjungos ar valstybės narės teisės aktų nuostatų pažeidimo. Duomenų tvarkymas pažeidžiant šį reglamentą taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybė[s] narės teisėje nustatytas taisykles. Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją. <...>

<...>

(148)      siekiant užtikrinti, kad šio reglamento taisyklės būtų geriau įgyvendinamos, už šio reglamento pažeidimus turėtų būti skiriamos sankcijos, įskaitant administracines baudas <...> Vis dėlto reikėtų tinkamai atsižvelgti į pažeidimo pobūdį, sunkumą ir trukmę, tai, ar pažeidimas buvo tyčinis, veiksmus, kurių imtasi patirtai žalai sumažinti, atsakomybės mastą arba į bet kokius svarbius ankstesnius pažeidimus, tai, kaip apie pažeidimą sužinojo priežiūros institucija, ar buvo laikomasi tam duomenų valdytojui arba duomenų tvarkytojui taikytų priemonių, ar buvo laikomasi elgesio kodekso, ir visus kitus sunkinančius ar švelninančius veiksnius. <...>“

4        Reglamento 4 straipsnyje „Sąvokų apibrėžimai“ numatyta:

„Šiame reglamente:

1)       asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); <...>

<...>

7)       duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; <...>

<...>

10)       trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

<...>

12)       asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

<...>“

5        Šio reglamento 79 straipsnio 1 dalyje numatyta, kad:

„1.      „Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“

6        Šio reglamento 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1–3 dalyse numatyta:

„1.      Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.

2.      Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. <...>

3.      Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.“

7        Šio reglamento 83 straipsnio „Bendrosios administracinių baudų skyrimo sąlygos“ 2, 3 ir 5 dalyse nustatyta:

„2.      <...> Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:

a)      pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;

b)      tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;

<...>

k)      kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo;

3.      Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.

<...>

5.      Pažeidus toliau išvardytas nuostatas, pagal 2 dalį skiriamos administracinės baudos iki 20 000 000 [eurų] arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė:

a)      pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius;

b)      duomenų subjekto teises pagal 12–22 straipsnius;

<...>“

 Pagrindinė byla ir prejudiciniai klausimai

8        Ieškovai pagrindinėje byloje AT ir BT yra mokesčių konsultantų biuro PS klientai. Jie informavo šį biurą apie pasikeitusį pašto adresą, ir jis buvo užregistruotas PS duomenų apdorojimo informacinėje sistemoje. Vėliau naują ieškovų pagrindinėje byloje adresą PS naudojo siųsdama kelis laiškus.

9        2020 m. liepos mėn. pareiškėjai pagrindinėje byloje paprašė PS parengti jų 2019 m. mokesčių deklaraciją. Negavę jokio atsakymo, jie susisiekė su PS, šis juos informavo, kad mokesčių deklaracija jiems buvo išsiųsta 2020 m. rugsėjo 29 d. laišku, tačiau nenurodė adreso, kuriuo laiškas buvo išsiųstas.

10      Nauji ankstesniu ieškovų adresu gyvenantys asmenys juos informavo, kad jų vardu adresuotas vokas atėjo tuo adresu ir kad jie jį atidarė per klaidą. Vienas iš šių naujų gyventojų nurodė, kad supratęs, jog raštas skirtas ne jam, sudėjo atgal į voką jame rastus dokumentus. Tada perdavė jį artimiesiems, gyvenantiems netoli ieškovų pagrindinėje byloje senosios gyvenamosios vietos, kad jie galėtų jį pasiimti.

11      Atgavę voką, ieškovai pagrindinėje byloje pamatė, kad jame yra tik mokesčių deklaracijos kopija ir lydraštis. Vis dėlto jie mano, kad tame voke taip pat buvo originali mokesčių deklaracijos versija, kurioje buvo asmens duomenų, tarp kurių – ir jų vaikų vardai ir pavardės, gimimo datos, mokesčių mokėtojo kodai, banko sąskaitų numeriai ar duomenys apie jų priklausymą religinei bendruomenei, jų šeimos nario neįgaliojo statusą, profesijas ir darbo vietas arba įvairias jų patirtas išlaidas.

12      Prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad nebuvo įmanoma nei nustatyti, kokie dokumentai iš pradžių buvo tame voke, nei išsiaiškinti, kiek nauji ankstesnio ieškovų pagrindinėje byloje būsto gyventojai susipažino su voko turiniu. Jis taip pat nurodo, kad nagrinėjamo laiško išsiuntimą klaidingu adresu lėmė tai, kad PS naudojo duomenis iš duomenų bazės, kurioje dar buvo senasis ieškovų pagrindinėje byloje adresas.

13      Šiomis aplinkybėmis ieškovai pagrindinėje byloje kreipėsi į Amtsgericht Wesel (Vėzelio apylinkės teismas, Vokietija), prašymą priimti prejudicinį sprendimą pateikusį teismą, prašydami pagal BDAR 82 straipsnio 1 dalį priteisti jiems neturtinę žalą, kurią jie mano patyrę dėl jų asmens duomenų atskleidimo tretiesiems asmenims ir kurią jie vertina 15 000 eurų.

14      Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, pirma, ar tuo atveju, jei remiamasi neturtine žala, teisė į kompensaciją pagal BDAR 82 straipsnį gali būti grindžiama vien šio reglamento nuostatų pažeidimu, turint omenyje tai, kad pagal Vokietijos teisę teisė į piniginę kompensaciją gali būti pripažinta tik tuo atveju, kai žala yra didelė ir viršija vien teisės nuostatos pažeidimą, jeigu ši žala negali būti atlyginta kitaip.

15      Antra, tam teismui kyla klausimas, ar vien nuogąstavimas, kad asmens duomenys gali patekti pašalinių asmenų žinion, gali būti laikomas neturtine žala, dėl kurios gali atsirasti teisė į piniginę kompensaciją pagal BDAR 82 straipsnį.

16      Trečia, tas teismas pažymi, kad BDAR 83 straipsnyje įtvirtinti kriterijai, leidžiantys pagal vienodą tvarką nustatyti už šio reglamento pažeidimą skiriamų administracinių baudų dydį. Tačiau šiame straipsnyje nėra jokios analogiškos nuostatos dėl piniginės neturtinės žalos atlyginimo. Taigi jam kyla klausimas, ar šie kriterijai gali būti taikomi piniginės neturtinės žalos atlyginimo, mokėtino pagal BDAR 82 straipsnį, srityje.

17      Ketvirta, prašymą priimti prejudicinį sprendimą pateikęs teismas primena, kad BDAR 146 konstatuojamojoje dalyje numatyta, jog sąvoka „žala“ turi būti aiškinama plačiai, siekiant užtikrinti visišką ir veiksmingą kompensaciją už patirtą žalą. Vis dėlto jam kyla klausimas, ar nuoroda į „veiksmingą“ kompensaciją reiškia, kad kompensacija už neturtinę žalą turi būti vertinama taip, kad turėtų atgrasomąjį poveikį. Tam tikrais atvejais duomenų valdytojai gali bandyti nesilaikyti BDAR nustatytų pareigų, kai šio reglamento griežto laikymosi išlaidos būtų didesnės nei kompensacijos, kurią jiems gali tekti mokėti pažeidus reglamentą, sumos.

18      Galiausiai, penkta, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar į BDAR ir Vokietijos teisės nuostatų, kaip antai nuostatų, kuriomis tam tikrų profesijų atstovams nustatomi konfidencialumo įpareigojimai, vienalaikį pažeidimą turi būti atsižvelgta vertinant pagal BDAR 82 straipsnį mokėtiną neturtinės žalos atlyginimą. Jis nurodo, kad dėl to jam kyla abejonių, nes šioje byloje nagrinėjamos reikšmingos Vokietijos teisės nuostatos jau galiojo priimant BDAR, todėl negali būti laikomos pagal šį reglamentą priimtais deleguotaisiais ar įgyvendinimo aktais, kaip tai suprantama pagal jo 146 konstatuojamąją dalį.

19      Šiomis aplinkybėmis Amtsgericht Wesel (Vėzelio apylinkės teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1.      Ar reikalavimui dėl žalos atlyginimo pagrįsti pagal [BDAR] 82 straipsnio 1 dalį pakanka to, kad buvo pažeista reikalavimą teikiantį asmenį apsauganti BDAR nuostata, ar reikia, kad būtų ne tik pažeistos nuostatos, bet reikalavimą teikiančiam asmeniui būtų pakenkta ir kitaip?

2.      Ar pagal Sąjungos teisę reikalavimui atlyginti patirtą nematerialinę žalą pagrįsti pagal BDAR 82 straipsnio 1 dalį reikia, kad būtų padaryta tam tikro dydžio žala?

3.      Visų pirma, ar reikalavimui atlyginti patirtą nematerialinę žalą pagal BDAR 82 straipsnio 1 dalį pagrįsti pakanka to, kad reikalavimą teikiantis asmuo nuogąstauja, kad dėl BDAR nuostatų pažeidimų jo asmens duomenys pateko į trečiųjų šalių rankas, tačiau to negalima aiškiai nustatyti?

4.      Ar su ES teise yra suderinama tai, jei nacionalinis teismas, nustatydamas kompensaciją už patirtą nematerialinę žalą pagal BDAR 82 straipsnio 1 dalį, atitinkamai vadovaujasi pagal formuluotę tik piniginėms baudoms galiojančiais kriterijais, numatytais BDAR 83 straipsnio 2 dalies antrame sakinyje?

5.      Ar kompensacijos už patirtą nematerialinę žalą suma pagal BDAR 82 straipsnio 1 dalį turi būti vertinama ir atsižvelgiant į tai, ar, patenkinus atitinkamo dydžio reikalavimą, bus pasiektas atgrasomasis poveikis ir (arba) užkirstas kelias pažeidimų „komercializavimui“ (sąmoningam sutikimui mokėti baudas ir (arba) kompensacijas)?

6.      Ar tai yra suderinama su Sąjungos teise, jei nustatant kompensaciją už patirtą nematerialinę žalą pagal BDAR 82 straipsnio 1 dalį, atsižvelgiant į dydį, kartu atsižvelgiama į jau padarytus nacionalinių nuostatų, kuriomis siekiama apsaugoti asmens duomenis, bet kurios nėra susijusios su pagal šį reglamentą priimtais deleguotaisiais teisės aktais ar įgyvendinimo teisės aktais arba valstybių narių teisės aktais, skirtais šio reglamento nuostatoms patikslinti, pažeidimus?“

 Dėl prejudicinių klausimų

 Dėl pirmojo ir antrojo klausimų

20      Pirmuoju ir antruoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad vien šio reglamento pažeidimo pakanka teisei į kompensaciją pagal šią nuostatą pagrįsti, ar vis dėlto duomenų subjektas taip pat turi įrodyti, kad dėl šio pažeidimo padaryta tam tikro dydžio žala.

21      BDAR 82 straipsnio 1 dalyje nustatyta, kad „bet kuris asmuo, patyręs turtinę ar neturtinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą“.

22      Teisingumo Teismas yra konstatavęs, kad iš šios nuostatos formuluotės aiškiai matyti, jog turtinės ar neturtinės „žalos“ ar „patirtos žalos“ buvimas yra viena iš 82 straipsnio 1 dalyje numatytos teisės į kompensaciją sąlygų, kaip ir sąlygos, kad turi būti šio reglamento pažeidimas ir priežastinis ryšys tarp patirtos žalos ir šio pažeidimo, atkreipiant dėmesį į tai, kad šios trys sąlygos yra kumuliacinės (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 32 punktą ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 34 punktą).

23      Vadinasi, negalima teigti, kad duomenų subjektas, kaip jis apibrėžtas šio reglamento 4 straipsnio 1 punkte, dėl bet kokio BDAR nuostatų „pažeidimo“ savaime įgyja teisę į kompensaciją. Be to, atskira nuoroda į „žalą“ ir „pažeidimą“ BDAR 82 straipsnio 1 dalyje būtų perteklinė, jeigu Sąjungos teisės aktų leidėjas būtų nusprendęs, kad vien šio reglamento nuostatų pažeidimo bet kuriuo atveju gali pakakti teisei į kompensaciją pagrįsti (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 33 ir 34 punktai).

24      Darytina išvada, jog BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad vien šio reglamento nuostatų pažeidimo nepakanka, kad atsirastų teisė į kompensaciją (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 42 punktas).

25      Asmuo, prašantis atlyginti neturtinę žalą pagal šią nuostatą, turi įrodyti ne tik šio reglamento nuostatų pažeidimą, bet ir tai, kad dėl šio pažeidimo jis patyrė tokią žalą (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 42 ir 50 punktus ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 35 punktą).

26      Kalbant apie pastarąją sąlygą, pažymėtina, kad pagal BDAR 82 straipsnio 1 dalį draudžiama nacionalinė teisės norma ar praktika, pagal kurią neturtinės žalos kompensavimas, kaip tai suprantama pagal šią nuostatą, siejamas su sąlyga, kad duomenų subjekto patirta žala turi būti tam tikro dydžio (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 51 punktas ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 36 punktas).

27      Vis dėlto toks asmuo pagal šio reglamento 82 straipsnio 1 dalį privalo įrodyti, kad iš tikrųjų patyrė turtinę ar neturtinę žalą (šiuo klausimu žr. 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 39 punktą).

28      Atsižvelgiant į tai, kas išdėstyta, į pirmąjį ir antrąjį klausimus reikia atsakyti, kad BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad vien šio reglamento pažeidimo nepakanka teisei į kompensaciją pagal šią nuostatą pagrįsti. Duomenų subjektas taip pat turi įrodyti, kad dėl šio pažeidimo padaryta žala, tačiau ši žala neturi būti tam tikro dydžio.

 Dėl trečiojo klausimo

29      Trečiuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, jog asmens nuogąstavimas, kad jo asmens duomenys dėl šio reglamento pažeidimo buvo atskleisti tretiesiems asmenims, negalint įrodyti, kad taip iš tikrųjų atsitiko, pakanka teisei į neturtinės žalos atlyginimą pagrįsti.

30      Iš nutarties dėl prašymo priimti prejudicinį sprendimą matyti, kad ieškovai pagrindinėje byloje, remdamiesi BDAR, siekia, kad jiems būtų atlyginta neturtinė žala, patirta dėl prarastos jų tvarkomų asmens duomenų kontrolės, tačiau jie negali įrodyti, kiek tretieji asmenys iš tikrųjų susipažino su tais duomenimis.

31      Atsižvelgiant į tai, kad BDAR 82 straipsnio 1 dalyje nėra jokios nuorodos į valstybių narių nacionalinę teisę, sąvoka „neturtinė žala“, kaip ji suprantama pagal šią nuostatą, turi būti apibrėžta savarankiškai ir vienodai pagal Sąjungos teisę (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 30 ir 44 punktus ir 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 64 punktą).

32      Teisingumo Teismas yra nusprendęs, kad ne tik iš BDAR 82 straipsnio 1 dalies, siejamos su šio reglamento 85 ir 146 konstatuojamosiomis dalimis, kuriose siūloma sąvoką „neturtinė žala“, kaip ji suprantama pagal šią pirmąją nuostatą, aiškinti plačiai, formuluotės, bet ir iš šiuo reglamentu siekiamo tikslo užtikrinti aukštą fizinių asmenų apsaugos tvarkant asmens duomenis lygį matyti, jog vien nuogąstavimai, kad pažeidus šį reglamentą trečiosios šalys gali piktnaudžiauti asmens duomenimis, gali būti laikomi „neturtine žala“, kaip tai suprantama pagal šio 82 straipsnio 1 dalį (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 79–86 punktus ir 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 65 punktą).

33      Asmens duomenų kontrolės praradimas trumpą laikotarpį galėtų lemti duomenų subjektams „neturtinę žalą“, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį, dėl kurios atsiranda teisė į kompensaciją, bet toks asmuo privalo įrodyti, kad iš tikrųjų patyrė tokią žalą, atsižvelgiant į tai, kad, kaip minėta, paprasto šio reglamento nuostatų pažeidimo nepakanka teisei į kompensaciją suteikti remiantis šiuo pagrindu (šiuo klausimu žr. 2024 m. sausio 25 d. Sprendimo MediaMarktSaturn, C‑687/21, EU:C:2024:72, 66 punktą ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 42 punktą).

34      Taigi, asmuo, kuris mano, kad jo asmens duomenys buvo tvarkomi pažeidžiant reikšmingas BDAR nuostatas, ir prašo atlyginti žalą pagal šio reglamento 82 straipsnio 1 dalį, turi įrodyti, kad iš tikrųjų patyrė turtinę ar neturtinę žalą.

35      Vien nuogąstavimas, neįrodžius neigiamų pasekmių, negali suteikti teisės į kompensaciją pagal šią nuostatą straipsnį.

36      Atsižvelgiant į tai, kas išdėstyta, į trečiąjį klausimą reikia atsakyti, kad BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, jog asmens nuogąstavimo, kad jo asmens duomenys dėl šio reglamento pažeidimo buvo atskleisti tretiesiems asmenims, negalint įrodyti, kad taip iš tikrųjų atsitiko, pakanka teisei į neturtinės žalos atlyginimą pagrįsti, jei toks nuogąstavimas ir jo neigiamos pasekmės yra tinkamai įrodyti.

 Dėl ketvirtojo ir penktojo klausimų

37      Ketvirtuoju ir penktuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad siekiant nustatyti žalos, mokėtinos pagal šia nuostata grindžiamą teisę į kompensaciją, dydį reikia, pirma, mutatis mutandis taikyti šio reglamento 83 straipsnyje numatytus administracinių baudų dydžio nustatymo kriterijus ir, antra, suteikti šiai teisei į kompensaciją atgrasomąjį pobūdį.

38      Pirma, dėl galimo atsižvelgimo į BDAR 83 straipsnyje nurodytus kriterijus, norint įvertinti pagal jo 82 straipsnį mokėtinos kompensacijos dydį, neginčijama, kad šiomis dviem nuostatomis siekiama skirtingų tikslų. Šio reglamento 83 straipsnyje nustatytos „bendrosios administracinių baudų skyrimo sąlygos“, o šio reglamento 82 straipsnyje reglamentuojama „teisė į kompensaciją ir atsakomybė“.

39      Tuo remiantis darytina išvada, kad BDAR 83 straipsnyje įtvirtinti administracinių baudų dydžio nustatymo kriterijai, kurie taip pat paminėti šio reglamento 148 konstatuojamojoje dalyje, negali būti naudojami vertinant žalos dydį pagal jo 82 straipsnį (2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 57 punktas)

40      BDAR nėra nuostatos, kuria būtų siekiama apibrėžti kompensacijos, kurios duomenų subjektas, kaip jis suprantamas pagal šio reglamento 4 straipsnio 1 punktą, gali reikalauti pagal jo 82 straipsnį, kai dėl šio reglamento pažeidimo jam padaryta žala, apskaičiavimo taisykles. Taigi, nesant Sąjungos teisės normų šioje srityje, kiekviena valstybė narė savo teisės sistemoje turi nustatyti ieškinių, skirtų iš šio 82 straipsnio kylančių asmenų teisių apsaugai užtikrinti, tvarką, ypač kriterijus, leidžiančius nustatyti šiomis aplinkybėmis mokėtinos kompensacijos dydį, su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 54 punktas ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:20:288, 58 punktas).

41      Antra, BDAR 82 straipsnio 1 dalyje numatyta teisė į kompensaciją neatlieka atgrasomosios ar net baudžiamosios funkcijos. Vadinasi, šio reglamento pažeidimo, dėl kurio atsirado turtinė ar neturtinė žala, dydis negali turėti įtakos pagal šią nuostatą priteistinos žalos atlyginimo sumos dydžiui ir ši suma negali būti nustatyta didesnė nei visiškas šios žalos kompensavimas (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86 punktą ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 60 punktą).

42      Atsižvelgiant į kompensacinę BDAR 82 straipsnyje numatytos teisės į žalos atlyginimą funkciją, šia nuostata grindžiama piniginė kompensacija turi būti laikoma „visa ir veiksminga“, jeigu ja galima visapusiškai kompensuoti dėl šio reglamento pažeidimo konkrečiai patirtą žalą, ir tokios visapusiškos kompensacijos tikslais nereikia nurodyti sumokėti baudinio pobūdžio kompensacijos (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:37, 57 ir 58 punktus ir 2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 61 punktą).

43      Taigi, atsižvelgiant į BDAR 82 straipsnio, siejamo su jo 146 konstatuojamąja dalimi, ir minėto reglamento 83 straipsnio, siejamo su jo 148 konstatuojamąja dalimi, formuluočių ir tikslų skirtumus, negalima teigti, kad šiame 83 straipsnyje nustatyti vertinimo kriterijai mutatis mutandis taikomi pagal 82 straipsnį, nepaisant to, kad šiose dviejose nuostatose numatytos teisių gynimo priemonės yra viena kitą papildančios, siekiant užtikrinti, kad būtų laikomasi šio reglamento (2024 m. balandžio 11 d. Sprendimo juris, C‑741/21, EU:C:2024:288, 62 punktas).

44      Atsižvelgiant į tai, kas išdėstyta, į ketvirtąjį ir penktąjį klausimus reikia atsakyti, kad BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad siekiant nustatyti žalos, mokėtinos pagal šia nuostata grindžiamą teisę į kompensaciją, dydį nereikia, pirma, mutatis mutandis taikyti šio reglamento 83 straipsnyje numatytų administracinių baudų dydžio nustatymo kriterijų ir, antra, suteikti šiai teisei į kompensaciją atgrasomąjį pobūdį.

 Dėl šeštojo klausimo

45      Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad, siekiant nustatyti žalos, mokėtinos pagal šia nuostata grindžiamą teisę į kompensaciją, dydį reikia atsižvelgti į vienalaikius nacionalinės teisės nuostatų dėl asmens duomenų apsaugos, kuriomis nesiekiama patikslinti šio reglamento taisyklių, pažeidimus.

46      Šis klausimas pateiktas atsižvelgiant į tai, kad ieškovai pagrindinėje byloje mano, jog dėl bendro BDAR ir mokesčių konsultantams taikytinų Vokietijos teisės aktų nuostatų, kurios buvo priimtos prieš įsigaliojant šiam reglamentui ir kuriomis nesiekiama patikslinti jo taisyklių, pažeidimo žalos atlyginimas, kurio jie reikalauja pagal BDAR 82 straipsnio 1 dalį, siekdami gauti kompensaciją už neturtinę žalą, kurią teigia patyrę, turėtų būti didesnis.

47      Iš BDAR 146 konstatuojamosios dalies penktojo sakinio iš esmės tikrai matyti, kad asmens duomenų tvarkymas pažeidžiant šį reglamentą „taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybė[s] narės teisėje nustatytas taisykles“.

48      Vis dėlto tai, kad toks duomenų tvarkymas taip pat buvo atliekamas pažeidžiant nacionalinės teisės nuostatas dėl asmens duomenų apsaugos, kuriomis nesiekiama patikslinti šio reglamento taisyklių, nėra reikšmingas veiksnys vertinant pagal BDAR 82 straipsnio 1 dalį nustatytą žalą. Šio reglamento 82 straipsnio 1 dalis, siejama su jo 146 konstatuojamąja dalimi, neapima tokių nacionalinės teisės nuostatų pažeidimo.

49      Tai nedaro poveikio aplinkybei, kad, jeigu tai leidžiama pagal nacionalinę teisę, nacionalinis teismas gali priteisti duomenų subjektui kompensaciją, kuris yra didesnė už BDAR 82 straipsnio 1 dalyje numatytą visišką ir veiksmingą kompensaciją, jeigu, atsižvelgiant į tai, kad žala taip pat buvo padaryta pažeidus nacionalinės teisės nuostatas, kaip antai nurodytas pirmesniame punkte, tokia kompensacija nebūtų laikoma pakankama ar tinkama.

50      Atsižvelgiant į tai, kas išdėstyta, į šeštąjį klausimą reikia atsakyti, kad BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad, siekiant nustatyti žalos, mokėtinos pagal šia nuostata grindžiamą teisę į kompensaciją, dydį nereikia atsižvelgti į vienalaikius nacionalinės teisės nuostatų dėl asmens duomenų apsaugos, kuriomis nesiekiama patikslinti šio reglamento taisyklių, pažeidimus.

 Dėl bylinėjimosi išlaidų

51      Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:

1.      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 82 straipsnio 1 dalis

turi būti aiškinama taip:

vien šio reglamento pažeidimo nepakanka teisei į kompensaciją pagal šią nuostatą pagrįsti. Duomenų subjektas taip pat turi įrodyti, kad dėl šio pažeidimo padaryta žala, tačiau ši žala neturi būti tam tikro dydžio.

2.      Reglamento 2016/679 82 straipsnio 1 dalis

turi būti aiškinama taip:

asmens nuogąstavimo, kad jo asmens duomenys dėl šio reglamento pažeidimo buvo atskleisti tretiesiems asmenims, negalint įrodyti, kad taip iš tikrųjų atsitiko, pakanka teisei į neturtinės žalos atlyginimą pagrįsti, jei toks nuogąstavimas ir jo neigiamos pasekmės yra tinkamai įrodyti.

3.      Reglamento 2016/679 82 straipsnio 1 dalis

turi būti aiškinama taip:

siekiant nustatyti žalos, mokėtinos pagal šia nuostata grindžiamą teisę į kompensaciją, dydį nereikia, pirma, mutatis mutandis taikyti šio reglamento 83 straipsnyje numatytų administracinių baudų dydžio nustatymo kriterijų ir, antra, suteikti šiai teisei į kompensaciją atgrasomąjį pobūdį.

4.      Reglamento 2016/679 82 straipsnio 1 dalis

turi būti aiškinama taip:

siekiant nustatyti žalos, mokėtinos pagal šia nuostata grindžiamą teisę į kompensaciją, dydį nereikia atsižvelgti į vienalaikius nacionalinės teisės nuostatų dėl asmens duomenų apsaugos, kuriomis nesiekiama patikslinti šio reglamento taisyklių, pažeidimus.

Parašai.

*      Proceso kalba: vokiečių.