Language of document : ECLI:EU:C:2024:536

Pagaidu versija

TIESAS SPRIEDUMS (trešā palāta)

2024. gada 20. jūnijā (*)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 82. panta 1. punkts – Tiesības uz tāda kaitējuma atlīdzināšanu, kas nodarīts ar datu apstrādi, kura veikta, pārkāpjot šo regulu – Jēdziens “nemateriāls kaitējums” – Ciestā kaitējuma smaguma ietekme – Atlīdzības apmēra novērtēšana – Prasība atlīdzināt nemateriālo kaitējumu, kas pamatota ar bažām – 83. pantā paredzēto administratīvo naudas sodu kritēriju nepiemērojamība – Preventīva funkcija – Novērtēšana vienlaicīgu minētās regulas un valsts tiesību aktu pārkāpumu gadījumā

Lietā C‑590/22

par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Amtsgericht Wesel (Vēzeles pirmās instances tiesa, Vācija) iesniegusi ar 2022. gada 5. augusta lēmumu un kas Tiesā reģistrēts 2022. gada 9. septembrī, tiesvedībā

AT,

BT

pret

PS GbR,

VG,

MB,

DH,

WB,

GS,

TIESA (trešā palāta)

šādā sastāvā: palātas priekšsēdētāja K. Jirimēe [K. Jürimäe], Tiesas priekšsēdētājs K. Lēnartss [K. Lenaerts], kas pilda trešās palātas tiesneša pienākumus, tiesneši N. Pisarra [N. Piçarra], N. Jēskinens [N. Jääskinen] (referents) un M. Gavalecs [M. Gavalec],

ģenerāladvokāts: M. Kamposs Sančess‑Bordona [M. Campos SánchezBordona],

sekretārs: A. Kalots Eskobars [A. Calot Escobar],

ņemot vērā rakstveida procesu,

ņemot vērā apsvērumus, ko snieguši:

–        Īrijas vārdā – M. Browne, Chief State Solicitor, A. Joyce un M. Tierney, pārstāvji, kuriem palīdz D. Fennelly, BL,

–        Eiropas Komisijas vārdā – A. Bouchagiar, M. Heller un H. Kranenborg, pārstāvji,

ņemot vērā pēc ģenerāladvokāta uzklausīšanas pieņemto lēmumu izskatīt lietu bez ģenerāladvokāta secinājumiem,

pasludina šo spriedumu.

Spriedums

1        Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 82. panta 1. punktu.

2        Šis lūgums iesniegts tiesvedībā starp attiecīgi AT un BT, kas ir prasītāji pamatlietā, un PS GbR, nodokļu konsultāciju sabiedrību, kā arī PS biedriem VG, MB, DH, WB un GS par prasītāju pamatlietā tiesībām uz kaitējuma kompensāciju saskaņā ar VDAR 82. panta 1. punktu kā atlīdzinājumu par ciešanām, kas, viņuprāt, tiem radušās, jo viņu nodokļu deklarācijas, kurās ir ietverti personas dati, PS pieļautas kļūdas dēļ tika izpaustas trešajām personām bez viņu piekrišanas.

 Atbilstošās tiesību normas

3        VDAR 85., 146. un 148. apsvērums ir šādi:

“(85)      Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija. [..]

[..]

(146)      Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu. Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par kaitējumu. Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem. Tas neskar prasības par kaitējumu, kas izriet no citu Savienības vai dalībvalstu tiesību aktu noteikumu pārkāpumiem. Apstrāde, kas pārkāpj šo regulu, ietver arī apstrādi, kas pārkāpj deleģētos un īstenošanas aktus, kuri pieņemti saskaņā ar šo regulu un dalībvalsts tiesību aktiem, kuros precizēti šīs regulas noteikumi. Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu. [..]

[..]

(148)      Lai stiprinātu šīs regulas noteikumu izpildi, [..] par šīs regulas pārkāpumiem būtu jāpiemēro sankcijas, tostarp administratīvi naudas sodi. Tomēr būtu pienācīgi jāņem vērā pārkāpuma būtība, smagums un ilgums, tas, vai pārkāpums izdarīts tīši, darbības, kas veiktas, lai mazinātu ciesto kaitējumu, atbildības pakāpe vai jebkādi attiecīgi iepriekšēji pārkāpumi, veids, kādā uzraudzības iestāde uzzināja par pārkāpumu, atbilstība pasākumiem, kas vērsti pret uzraudzītāju vai apstrādātāju, rīcības kodeksa ievērošana un jebkādi citi pastiprinoši vai mīkstinoši apstākļi. [..]”

4        Šīs regulas 4. pantā “Definīcijas” ir paredzēts:

“Šajā regulā:

1)      “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); [..]

[..]

7)      “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; [..]

[..]

10)      “trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

[..]

12)      “personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

[..].”

5        Saskaņā ar minētās regulas 79. panta 1. punktu:

“Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.”

6        Tās 82. panta “Tiesības uz kompensāciju un atbildība” 1.–3. punktā noteikts:

“1.      Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.

2.      Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. [..]

3.      Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.”

7        Šīs pašas regulas 83. panta “Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu” 2., 3. un 5. punktā paredzēts:

“2.      [..] Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)      pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)      to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;

[..]

k)      jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi.

3.      Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

[..]

5.      Administratīvus naudas sodus apmērā līdz 20 000 000 EUR, vai, uzņēmuma gadījumā, līdz 4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks, saskaņā ar 2. punktu piemēro par šādu noteikumu pārkāpumiem:

a)      apstrādes pamatprincipi, tostarp nosacījumi par piekrišanu, ievērojot 5., 6., 7. un 9. pantu;

b)      datu subjekta tiesības saskaņā ar 12.–22. pantu;

[..].”

 Pamatlieta un prejudiciālie jautājumi

8        Prasītāji pamatlietā AT un BT ir nodokļu konsultāciju biroja PS klienti. Viņi informēja šo konsultāciju biroju par savas pasta adreses maiņu, kas tika reģistrēta PS datu apstrādes datorsistēmā. Pēc tam PS vairāku vēstuļu nosūtīšanai izmantoja prasītāju pamatlietā jauno adresi.

9        2020. gada jūlijā prasītāji pamatlietā lūdza PS sagatavot viņu nodokļu deklarāciju par 2019. gadu. Tā kā viņi nesaņēma nekādu atbildi, viņi sazinājās ar PS, kura tos informēja, ka šī nodokļu deklarācija viņiem nosūtīta 2020. gada 29. septembra vēstulē, neprecizējot adresi, uz kuru minētā vēstule nosūtīta.

10      Viņu agrākās adreses jaunie iemītnieki tos informēja, ka šajā adresē saņemta prasītājiem pamatlietā adresēta aploksne un ka tā kļūdas dēļ ir atvērta. Viens no šiem jaunajiem iemītniekiem norādīja, ka pēc tam, kad bija konstatējis, ka attiecīgais pasta sūtījums nav adresēts viņam, viņš tajā atrastos dokumentus ievietojis atpakaļ aploksnē. Tad viņš to bija nodevis radiniekiem, kuri dzīvo netālu no prasītāju pamatlietā bijušās adreses, lai viņi to varētu saņemt.

11      Kad prasītāji pamatlietā atguva attiecīgo aploksni, tie konstatēja, ka tajā bija iekļauta tikai nodokļu deklarācijas kopija, kā arī pavadvēstule. Tomēr viņiem šķiet, ka šajā aploksnē atradās arī nodokļu deklarācijas oriģināls, kurā bija ietverti personas dati, tostarp viņu personvārdi un dzimšanas dati, kā arī viņu bērnu personvārdi, nodokļu maksātāja identifikācijas numuri, bankas dati vai arī norādes par viņu piederību reliģiskai kopienai, informācija par viņu ģimenes locekļa personas ar invaliditāti statusu, par viņu profesijām un darba vietām vai dažādiem viņu izdevumiem.

12      Šajā ziņā iesniedzējtiesa precizē, ka nebija iespējams noteikt nedz, kādi dokumenti sākotnēji atradās minētajā aploksnē, nedz arī, cik lielā mērā prasītāju pamatlietā agrākās adreses jaunie iemītnieki bija vai nebija iepazinušies ar šīs pašas aploksnes saturu. Tā arī norāda, ka attiecīgā pasta sūtījuma nosūtīšana uz nepareizo adresi izrietēja no tā, ka PS bija izmantojis datus no datubāzes, kurā bija prasītāju pamatlietā vecā adrese.

13      Šajā kontekstā prasītāji pamatlietā vērsās iesniedzējtiesā, Amtsgericht Wesel (Vēzeles pirmās instances tiesa, Vācija), ar prasību, lai, pamatojoties uz VDAR 82. panta 1. punktu, tiktu atlīdzināts nemateriālais kaitējums, kas viņiem esot nodarīts ar viņu personas datu izpaušanu trešajām personām, un ko viņi aplēsa 15 000 EUR apmērā.

14      Iesniedzējtiesa jautā, pirmkārt, vai gadījumā, ja tiek norādīts uz nemateriālo kaitējumu, tiesības uz atlīdzinājumu saskaņā ar VDAR 82. pantu var tikt pamatotas tikai ar šīs regulas normu pārkāpumu, precizējot, ka Vācijas tiesībās tiesības uz kaitējuma atlīdzinājumu naudā var tikt atzītas tikai gadījumos, kad ir konstatēts būtisks kaitējums, kas pārsniedz tikai tiesību normas pārkāpumu, ja vien šo kaitējumu nevar atlīdzināt citādi.

15      Otrkārt, šī tiesa vēlas noskaidrot, vai bažas par to, ka personas dati ir nonākuši trešo personu rīcībā, pašas par sevi var būt nemateriāls kaitējums, kas var radīt tiesības uz kaitējuma atlīdzinājumu naudā saskaņā ar VDAR 82. pantu.

16      Treškārt, minētā tiesa norāda, ka VDAR 83. pantā paredzēti kritēriji, kas ļauj vienveidīgi noteikt administratīvo naudas sodu apmēru šīs regulas pārkāpuma gadījumā. Tomēr šajā pantā neesot ietverts neviens ekvivalents attiecībā uz nemateriālā kaitējuma finansiālu atlīdzību. Tādējādi tā jautā, vai šie kritēriji ir piemērojami nemateriālā kaitējuma atlīdzināšanai, kas pienākas saskaņā ar VDAR 82. pantu.

17      Ceturtkārt, iesniedzējtiesa atgādina, ka VDAR 146. apsvērumā paredzēts, ka jēdziens “kaitējums” jāinterpretē plaši, lai nodrošinātu pilnu un iedarbīgu kompensāciju par nodarīto kaitējumu. Tomēr tā jautā, vai atsauce uz “iedarbīgu” kompensāciju nozīmē, ka nemateriālā kaitējuma atlīdzinājums jānovērtē tā, lai tam būtu preventīva iedarbība. Attiecīgā gadījumā pārziņiem varētu rasties vilinājums nepildīt VDAR paredzētos pienākumus, ja šīs regulas skrupulozas ievērošanas izmaksas izrādītos lielākas nekā atlīdzinājuma summas, kas tiem varētu būt jāmaksā minētās regulas pārkāpuma gadījumā.

18      Visbeidzot, piektkārt, iesniedzējtiesa vēlas noskaidrot, vai vienlaicīgs VDAR normu un tādu Vācijas tiesību normu pārkāpums, ar kurām dažiem tirgotājiem ir noteikti konfidencialitātes pienākumi, jāņem vērā, lai novērtētu atlīdzību par nemateriālo kaitējumu saskaņā ar VDAR 82. pantu. Tā norāda, ka tai šajā ziņā ir šaubas, jo attiecīgās Vācijas tiesību normas, par kurām ir runa šajā gadījumā, jau bija spēkā VDAR pieņemšanas brīdī, un tātad tās nevar uzskatīt par deleģētajiem aktiem vai īstenošanas aktiem, kas pieņemti saskaņā ar šo regulu tās 146. apsvēruma izpratnē.

19      Šādos apstākļos Amtsgericht Wesel (Vēzeles pirmās instances tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

“1)      Vai, lai pamatotu tiesības uz kompensāciju saskaņā ar [VDAR] 82. panta 1. punktu, ir pietiekami, ka ir pārkāpta personu, kuras prasa kompensāciju, aizsargājoša [šīs regulas] norma, vai arī ir nepieciešams, lai papildus pašu tiesību normu pārkāpumam, persona, kas prasa kompensāciju, būtu papildus nelabvēlīgi ietekmēta?

2)      Vai saskaņā ar Savienības tiesībām, lai pamatotu tiesības uz kompensāciju par nemateriālo kaitējumu atbilstoši VDAR 82. panta 1. punktam, ir nepieciešams, lai pastāv noteikta smaguma nelabvēlīga ietekme?

3)      It īpaši: vai, lai pamatotu tiesības uz kompensāciju par nemateriālo kaitējumu atbilstoši VDAR 82. panta 1. punktam, ir pietiekami, ka personai, kas prasa kompensāciju, rodas bažas, ka VDAR tiesību normu pārkāpumu rezultātā tās personas dati ir nonākuši trešo personu rīcībā, taču to nav iespējams apstiprināt?

4)      Vai tas atbilst Savienības tiesībām, ja valsts tiesa, nosakot kompensāciju par nodarīto nemateriālo kaitējumu saskaņā ar VDAR 82. panta 1. punktu, izmanto VDAR 83. panta 2. punkta otrajā teikumā noteiktos kritērijus, kas saskaņā ar formulējumu attiecas tikai uz naudas sodiem?

5)      Vai tiesību uz kompensāciju par nemateriālo kaitējumu apmērs saskaņā ar VDAR 82. panta 1. punktu jānosaka arī tā, lai piešķirto tiesību apmēram būtu preventīva iedarbība un/vai tiktu novērsta pārkāpumu komercializācija (apzināta uzņemšanās maksāt naudas sodus/kompensācijas)?

6)      Vai tas atbilst Savienības tiesībām, ja, nosakot tiesību uz kompensāciju par nemateriālo kaitējumu apmēru saskaņā ar VDAR 82. panta 1. punktu, tiek ņemti vērā tādi vienlaikus īstenoti valsts tiesību normu pārkāpumi, kuru mērķis ir personas datu aizsardzība, bet kuri nav saskaņā ar šo regulu pieņemti deleģētie akti vai īstenošanas akti, vai dalībvalstu tiesību akti, ar kuriem precizē šīs regulas noteikumus?”

 Par prejudiciālajiem jautājumiem

 Par pirmo un otro jautājumu

20      Ar pirmo un otro jautājumu, kuri jāizskata kopā, iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka šīs regulas pārkāpums pats par sevi ir pietiekams, lai pamatotu tiesības uz atlīdzinājumu saskaņā ar šo tiesību normu, vai tomēr datu subjektam ir arī jāpierāda, ka šā pārkāpuma rezultātā ir radies kaitējums, kas sasniedz noteiktu smaguma pakāpi.

21      VDAR 82. panta 1. punkts noteic, ka “jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu”.

22      Tiesa jau ir konstatējusi, ka no šīs tiesību normas formulējuma skaidri izriet, ka “nodarīta” materiāla vai nemateriāla “kaitējuma” esamība ir viens no šajā 82. panta 1. punktā paredzēto tiesību uz kompensāciju nosacījumiem, tāpat kā minētās regulas pārkāpuma esamība un cēloņsakarība starp šo kaitējumu un šo pārkāpumu, jo šie trīs nosacījumi ir kumulatīvi (spriedumi, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 32. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 34. punkts).

23      Tāpēc nav uzskatāms, ka ikviens VDAR normu “pārkāpums” pats par sevi vien rada minētās tiesības uz atlīdzinājumu par labu šīs regulas 4. panta 1. punktā definētajam datu subjektam. Turklāt savrupas norādes uz “kaitējumu” un “pārkāpumu” minētās regulas 82. panta 1. punktā būtu liekas, ja Savienības likumdevējs būtu uzskatījis, ka šīs pašas regulas noteikumu pārkāpums pats par sevi un ikvienā gadījumā ir pietiekams, lai pamatotu tiesības uz atlīdzinājumu (spriedums, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) C‑300/21, EU:C:2023:370, 33. un 34. punkts).

24      No tā izriet, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka ar vienkāršu šīs regulas tiesību normu pārkāpumu vien nepietiek, lai varētu piešķirt tiesības uz kompensāciju (spriedums, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) C‑300/21, EU:C:2023:370, 42. punkts).

25      Personai, kas lūdz nemateriālā kaitējuma atlīdzinājumu saskaņā ar šo tiesību normu, patiesībā jāpierāda ne tikai šīs regulas normu pārkāpums, bet arī tas, ka šā pārkāpuma dēļ tai ir nodarīts šāds kaitējums (spriedumi, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 42. un 50. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 35. punkts).

26      Attiecībā uz pēdējo minēto nosacījumu jāmin, ka VDAR 82. panta 1. punktam pretrunā ir tāda valsts tiesību norma vai prakse, saskaņā ar kuru nemateriālā kaitējuma atlīdzināmība šīs tiesību normas izpratnē ir pakārtota nosacījumam, ka datu subjektam nodarītais kaitējums ir sasniedzis noteiktu smaguma pakāpi (spriedumi, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 51. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 36. punkts).

27      Tomēr šai personai saskaņā ar šīs regulas 82. panta 1. punktu ir pienākums pierādīt, ka tai ir nodarīts materiāls vai nemateriāls kaitējums (šajā nozīmē skat. spriedumu, 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 39. punkts).

28      Ņemot vērā iepriekš minētos iemeslus, uz pirmo un otro jautājumu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka ar šīs regulas pārkāpumu vien nepietiek, lai pamatotu tiesības uz kompensāciju saskaņā ar šo tiesību normu. Datu subjektam ir arī jāpierāda, ka pastāv šī pārkāpuma radīts kaitējums, tomēr šim kaitējumam nav jāsasniedz noteikta smaguma pakāpe.

 Par trešo jautājumu

29      Ar trešo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka, lai pamatotu tiesības uz nemateriālā kaitējuma kompensāciju, ir pietiekami ar personas bažām, ka šīs regulas pārkāpuma dēļ tās personas dati ir izpausti trešajām personām, taču nav iespējams pierādīt, ka tas tā patiešām ir.

30      No lūguma sniegt prejudiciālu nolēmumu izriet, ka prasītāji pamatlietā, pamatojoties uz VDAR, vēlas saņemt atlīdzību par nemateriālo kaitējumu saistībā ar kontroles zaudēšanu pār viņu apstrādātajiem personas datiem, nespējot pierādīt, kādā mērā trešās personas faktiski ir iepazinušās ar minētajiem datiem.

31      Šajā ziņā, tā kā VDAR 82. panta 1. punktā nav nekādas atsauces uz dalībvalstu tiesību aktiem, jēdzienam “nemateriāls kaitējums” šīs tiesību normas izpratnē ir jāpiešķir autonoma un vienota definīcija, kas raksturīga Savienības tiesībām (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 30. un 44. punkts, kā arī 2024. gada 25. janvāris, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 64. punkts).

32      Tiesa ir nospriedusi, ka ne tikai no VDAR 82. panta 1. punkta formulējuma – lasot to kontekstā ar šīs regulas 85. un 146. apsvērumu, kuros rodams aicinājums jēdzienu “nemateriālais kaitējums” šīs pirmās minētās tiesību normas izpratnē interpretēt plaši –, bet arī no šīs regulas mērķa nodrošināt fizisko personu augsta līmeņa aizsardzību attiecībā uz personas datu apstrādi izriet, ka šīs regulas pārkāpuma dēļ datu subjektam radušās bažas par to, ka trešās personas varētu ļaunprātīgi izmantot tā personas datus, pašas par sevi var būt “nemateriālais kaitējums” 82. panta 1. punkta izpratnē (šajā nozīmē skat. spriedumus, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 79.–86. punkts, kā arī 2024. gada 25. janvāris, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 65. punkts).

33      Kontroles pār personas datiem zaudēšana pat uz īsu laikposmu var būt “nemateriāls kaitējums” VDAR 82. panta 1. punkta izpratnē, kas dod tiesības uz kompensāciju, ar nosacījumu, ka minētā persona pierāda, ka tai faktiski ir nodarīts šāds kaitējums, lai arī cik niecīgs, ņemot vērā, ka ar šīs regulas noteikumu pārkāpumu vien nepietiek, lai uz šī pamata piešķirtu tiesības uz atlīdzinājumu (šajā nozīmē skat. spriedumus, 2024. gada 25. janvāris, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 66. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 42. punkts).

34      Personai, kura uzskata, ka tās personas dati ir apstrādāti, pārkāpjot attiecīgos VDAR noteikumus, un kura prasa atlīdzināt kaitējumu pamatojoties uz šīs regulas 82. panta 1. punktu, tātad ir jāpierāda, ka tai faktiski ir nodarīts materiāls vai nemateriāls kaitējums.

35      Tādējādi vienkāršs apgalvojums par bažām bez pierādītām negatīvām sekām nevar būt pamats kompensācijai saskaņā ar šo normu.

36      Ņemot vērā iepriekš minētos iemeslus, uz trešo jautājumu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka personas bažas, ka šīs regulas pārkāpuma dēļ tās personas dati ir izpausti trešajām personām, lai gan nav iespējams pierādīt, ka tas tā tiešām ir, ir pietiekamas, lai pamatotu tiesības uz kompensāciju, ja vien šīs bažas un to negatīvās sekas ir pienācīgi pierādītas.

 Par ceturto un piekto jautājumu

37      Ar ceturto un piekto jautājumu, kuri jāizskata kopā, iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka, lai noteiktu kaitējuma kompensācijas summu, kas maksājama, pamatojoties uz šo tiesību normu, pirmkārt, mutatis mutandis jāpiemēro šīs regulas 83. pantā paredzētie kritēriji administratīvo naudas sodu apmēra noteikšanai un, otrkārt, šīm tiesībām uz kompensāciju jāpiešķir preventīva funkcija.

38      Pirmkārt, attiecībā uz VDAR 83. pantā minēto kritēriju iespējamo ņemšanu vērā, lai novērtētu saskaņā ar tās 82. pantu maksājamās kompensācijas apmēru, nav strīda par to, ka šīm abām tiesību normām ir atšķirīgi mērķi. Proti, lai gan šīs regulas 83. pantā ietverti “vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu”, minētās regulas 82. pantā ir reglamentētas “tiesības uz kompensāciju un atbildība”.

39      No tā izriet, ka VDAR 83. pantā minētie kritēriji administratīvo naudas sodu apmēra noteikšanai, kas minēti arī šīs regulas 148. apsvērumā, nevar tikt izmantoti, lai novērtētu kaitējuma kompensācijas apmēru saskaņā ar tās 82. pantu (spriedums, 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 57. punkts).

40      VDAR nav tiesību normas, kuras mērķis būtu paredzēt noteikumus par to, kā noteicams kaitējuma kompensācijas apmērs, uz ko datu subjekts šīs regulas 4. panta 1. punkta izpratnē var pretendēt saskaņā ar tās 82. pantu tad, ja minētās regulas pārkāpuma dēļ tam ir nodarīts kaitējums. Līdz ar to, tā kā šī joma nav reglamentēta Savienības tiesību normās, katras dalībvalsts iekšējās tiesību sistēmas ziņā ir noteikt kārtību, kādā ceļamas prasības, kuru mērķis ir aizsargāt tiesības, kādas personām izriet no 82. panta, un konkrēti kritērijus, kas ļauj noteikt šajā ziņā maksājamās kompensācijas apmēru, ar nosacījumu, ka tiek ievēroti minētie līdzvērtības un efektivitātes principi (spriedumi, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 54. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 58. punkts).

41      Otrkārt, VDAR 82. panta 1. punktā paredzētajām tiesībām uz kompensāciju nav preventīvas vai pat sodīšanas funkcijas. No tā izriet, ka apgalvoto materiālo vai nemateriālo kaitējumu izraisījušā šīs regulas pārkāpuma smagums nevar ietekmēt saskaņā ar šo tiesību normu piešķirtās kompensācijas apmēru un ka šī summa nevar tikt noteikta apmērā, kas pārsniegtu pilnu šī pārkāpuma atlīdzinājumu (šajā nozīmē skat. spriedumus, 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 60. punkts).

42      Ņemot vērā VDAR 82. pantā paredzēto tiesību uz kompensāciju kompensējošo funkciju, kā norādīts šīs regulas 146. apsvēruma sestajā teikumā, kaitējuma atlīdzinājums naudā, kas pamatots ar šo pantu, jāuzskata par “pilnu un iedarbīgu”, ja tas ļauj pilnībā atlīdzināt šīs regulas pārkāpuma dēļ konkrēti nodarīto kaitējumu, un nav nepieciešams šāda pilna atlīdzinājuma nodrošināšanai noteikt pienākumu maksāt sodošu kaitējuma atlīdzinājumu (spriedumi, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 57. un 58. punkts, un 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 61. punkts).

43      Tādējādi, ņemot vērā VDAR 82. panta, lasot to kopsakarā ar tās 146. apsvērumu, un minētās regulas 83. panta, lasot to kopsakarā ar tās 148. apsvērumu, atšķirīgo formulējumu un nolūkus, nevar uzskatīt, ka novērtēšanas kritēriji, kas konkrēti izklāstīti 83. pantā, būtu mutatis mutandis piemērojami minētā 82. panta sakarā, neraugoties uz to, ka šajās divās tiesību normās paredzētie tiesiskās aizsardzības līdzekļi ir savstarpēji papildinoši, lai nodrošinātu šīs pašas regulas ievērošanu (spriedums, 2024. gada 11. aprīlis, juris, C‑741/21, EU:C:2024:288, 62. punkts).

44      Ņemot vērā iepriekš izklāstītos apsvērumus, uz ceturto un piekto jautājumu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka, lai noteiktu kaitējuma atlīdzības summu, kas maksājama, pamatojoties uz šo tiesību normu, pirmkārt, nav mutatis mutandis jāpiemēro šīs regulas 83. pantā paredzētie kritēriji administratīvo naudas sodu apmēra noteikšanai un, otrkārt, šīm tiesībām uz kompensāciju nav piešķirama preventīva funkcija.

 Par sesto jautājumu

45      Ar sesto jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka, lai noteiktu kaitējuma kompensācijas apmēru, kāds pienākas, pamatojoties uz šo tiesību normu, jāņem vērā vienlaicīgi izdarīti pārkāpumi, kas norādīti valsts tiesību normās par personas datu aizsardzību, kuras tomēr nav vērstas uz šīs regulas noteikumu precizēšanu.

46      Šis jautājums ir uzdots, ņemot vērā faktu, ka prasītāji pamatlietā uzskata, ka VDAR, kā arī vēl pirms tās stāšanās spēkā pieņemta nodokļu konsultantiem piemērojama Vācijas tiesiskā regulējuma, kura mērķis nav precizēt šīs regulas noteikumus, kombinētā pārkāpuma dēļ būtu jāpalielina kaitējuma kompensācija, ko viņi prasa saskaņā ar VDAR 82. panta 1. punktu, lai atlīdzinātu nemateriālo kaitējumu, kas viņiem esot nodarīts.

47      Šajā ziņā no VDAR 146. apsvēruma piektā teikuma, protams, būtībā izriet, ka personas datu apstrāde, kas veikta, pārkāpjot šo regulu, “ietver arī apstrādi, kas pārkāpj deleģētos un īstenošanas aktus, kuri pieņemti saskaņā ar šo regulu un dalībvalsts tiesību aktiem, kuros precizēti šīs regulas noteikumi”.

48      Tomēr apstāklis, ka šāda datu apstrāde ir veikta, arī pārkāpjot tādas valsts tiesību normas par personas datu aizsardzību, kuru mērķis tomēr nav precizēt šīs regulas noteikumus, nav atbilstošs faktors, lai novērtētu saskaņā ar VDAR 82. panta 1. punktu piešķiramo kaitējuma kompensāciju. Šīs regulas 82. panta 1. punkts, lasot to kopā ar tās 146. apsvērumu, uz šādu valsts noteikumu pārkāpumiem neattiecas.

49      Tas neskar apstākli, ka tad, ja valsts tiesību akti to atļauj, valsts tiesa var piešķirt datu subjektam lielāku kompensāciju nekā VDAR 82. panta 1. punktā paredzētā pilnā un iedarbīgā kompensācija, ja, ņemot vērā, ka kaitējumu ir izraisījis arī iepriekšējā punktā minēto valsts tiesību normu pārkāpums, pēdējais minētais atlīdzinājums netiktu uzskatīts par pietiekamu vai atbilstošu.

50      Ņemot vērā iepriekš izklāstītos iemeslus, uz sesto jautājumu jāatbild, ka VDAR 82. panta 1. punkts jāinterpretē tādējādi, ka, lai noteiktu kaitējuma kompensācijas apmēru, kas pienākas, pamatojoties uz šo tiesību normu, nav jāņem vērā vienlaicīgi izdarīti tādu valsts tiesību normu par personas datu aizsardzību pārkāpumi, kuras tomēr nav vērstas uz šīs regulas noteikumu precizēšanu.

 Par tiesāšanās izdevumiem

51      Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (trešā palāta) nospriež:

1)      Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 82. panta 1. punkts

jāinterpretē tādējādi, ka

ar šīs regulas pārkāpumu vien nepietiek, lai pamatotu tiesības uz kompensāciju saskaņā ar šo tiesību normu. Datu subjektam ir arī jāpierāda, ka pastāv šī pārkāpuma radīts kaitējums, tomēr šim kaitējumam nav jāsasniedz noteikta smaguma pakāpe.

2)      Regulas 2016/679 82. panta 1. punkts

jāinterpretē tādējādi, ka

personas bažas, ka šīs regulas pārkāpuma dēļ tās personas dati ir izpausti trešajām personām, lai gan nav iespējams pierādīt, ka tas tā tiešām ir, ir pietiekamas, lai pamatotu tiesības uz kompensāciju, ja vien šīs bažas un to negatīvās sekas ir pienācīgi pierādītas.

3)      Regulas 2016/679 82. panta 1. punkts

jāinterpretē tādējādi, ka,

lai noteiktu kaitējuma kompensācijas summu, kas maksājama, pamatojoties uz šo tiesību normu, pirmkārt, nav mutatis mutandis jāpiemēro šīs regulas 83. pantā paredzētie kritēriji administratīvo naudas sodu apmēra noteikšanai un, otrkārt, šīm tiesībām uz kompensāciju nav piešķirama preventīva funkcija.

4)      Regulas 2016/679 82. panta 1. punkts

jāinterpretē tādējādi, ka,

lai noteiktu kaitējuma kompensācijas apmēru, kas pienākas, pamatojoties uz šo tiesību normu, nav jāņem vērā vienlaicīgi izdarīti tādu valsts tiesību normu par personas datu aizsardzību pārkāpumi, kuras tomēr nav vērstas uz šīs regulas noteikumu precizēšanu.

[Paraksti]

*      Tiesvedības valoda – vācu.