Language of document : ECLI:EU:C:2024:288

РЕШЕНИЕ НА СЪДА (трети състав)

11 април 2024 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 82 — Право на обезщетение за вредите, причинени от обработване на данни, което е извършено в нарушение на този регламент — Понятието „нематериални вреди“ — Значение на тежестта на нанесените вреди — Отговорност на администратора — Евентуално освобождаване в случай на неизпълнение на лице, което действа под негово ръководство, по смисъла на член 29 — Изчисляване на размера на обезщетението — Неприложимост на критериите, предвидени за административните наказания „глоба“ или „имуществена санкция“ по член 83 — Изчисляване в случай на множество нарушения на посочения регламент“

По дело C‑741/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Landgericht Saarbrücken (Областен съд Заарбрюкен, Германия) с акт от 22 ноември 2021 г., постъпил в Съда на 1 декември 2021 г., в рамките на производство по дело

GP

срещу

juris GmbH,

СЪДЪТ (трети състав),

състоящ се от: K. Jürimäe, председател на състава, N. Piçarra и N. Jääskinen (докладчик), съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за GP, от H. Schöning, Rechtsanwalt,

–        за juris GmbH, от E. Brandt и C. Werkmeister, Rechtsanwälte,

–        за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce и M. Lane, в качеството на представители, подпомагани от D. Fennelly, BL,

–        за Европейската комисия, от A. Bouchagiar, M. Heller и H. Kranenborg, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 82, параграфи 1 и 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“), разглеждан във връзка с членове 29 и 83 от този регламент и през призмата на съображения 85 и 146 от него.

2        Запитването е отправено в рамките на спор между GP, физическо лице, и juris GmbH, установено в Германия дружество, относно поправянето на вредите, които GP твърди, че е претърпял при различни случаи на обработване на личните му данни, извършено за целите на директния маркетинг, въпреки отправените от него възражения до това дружество.

 Правна уредба

3        Съображения 85, 146 и 148 от ОРЗД гласят следното:

„(85)      Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. […]

[…]

(146)      Администраторът или обработващият лични данни следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава настоящия регламент. Администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. Това не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или правото на държава членка. […] Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. […]

[…]

(148)      За да се укрепи прилагането на правилата на настоящия регламент, […] при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“ […]. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. […]“.

4        Член 4 („Определения“) от този регламент предвижда:

„За целите на настоящия регламент:

1)      „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]

[…]

7)      „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…]

12)      „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

[…]“.

5        Член 5 от посочения регламент прогласява няколко принципа, свързани с обработването на лични данни.

6        В глава III от ОРЗД, предмет на която са „[п]рава[та] на субекта на данни“, член 21 („Право на възражение“) предвижда в параграф 3:

„Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява“.

7        В глава IV („Администратор и обработващ лични данни“) от този регламент се съдържат членове 24—43 от него.

8        Член 24 („Отговорност на администратора“) от цитирания регламент предвижда в параграфи 1 и 2:

„1.      Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

2.      Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните“.

9        Член 25 („Защита на данните на етапа на проектирането и по подразбиране“) от същия регламент предвижда в параграф 1:

„Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни“.

10      Член 29 („Обработване под ръководството на администратора или обработващия лични данни“) от ОРЗД гласи:

„Обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка“.

11      Съгласно член 32 („Сигурност на обработването“) от този регламент:

„1.      Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

[…]

б)      способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

[…]

2.      При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

[…]

4.      Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка“.

12      В глава VIII („Средства за правна защита, отговорност за причинени вреди и санкции“) от ОРЗД се съдържат членове 77—84 от този регламент.

13      Член 79 („Право на ефективна съдебна защита срещу администратор или обработващ лични данни“) от този регламент предвижда в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

14      Член 82 („Право на обезщетение и отговорност за причинени вреди“) от посочения регламент предвижда в параграфи 1—3:

„1.       Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.      Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. […]

3.      Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата“.

15      Член 83 („Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“) от ОРЗД предвижда в параграфи 2, 3 и 5:

„2.      […] Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

a)      естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б)      дали нарушението е извършено умишлено или по небрежност;

[…]

к)      всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3.      Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

[…]

5.      Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)      основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б)      правата на субектите на данни съгласно членове 12—22;

[…]“.

16      Член 84 („Санкции“) от този регламент гласи в параграф 1:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

 Спорът в главното производство и преюдициалните въпроси

17      Ищецът по главното производство, физическо лице, което практикува като адвокат на свободна практика, е бил клиент на juris, дружество, което се занимава с експлоатация на правна база от данни.

18      След като узнава, че личните му данни са използвани от juris и за директен маркетинг, на 6 ноември 2018 г. ищецът по главното производство писмено оттегля даденото си на това дружество съгласие да получава информация по имейл или телефон, и възразява срещу всякакво обработване на тези данни, освен с оглед получаването на бюлетините, които той все още желае да получава.

19      Въпреки тези действия, през януари 2019 г. ищецът по главното производство получава две рекламни писма, изпратени поименно до него на професионалния му адрес. С писмо, изпратено до juris на 18 април 2019 г., той припомня на това дружество, че по-рано е направил възражение срещу всякакъв директен маркетинг, уведомява го, че създаването на тези рекламни писма е довело до неправомерно обработване на неговите данни, и иска от juris обезщетение за вреди съгласно член 82 от ОРЗД. След като на 3 май 2019 г. получава ново рекламно писмо, той отново изтъква възражението си, което този път е връчено на juris чрез съдебен изпълнител.

20      Както констатира нотариус на 7 юни 2019 г. по искане на ищеца по главното производство, всяко от тези рекламни писма съдържа „персонален пробен код“, който дава достъп на уебсайта на juris до формуляр за поръчка на продукти на това дружество, съдържащ данни за този ищец.

21      Ищецът по главното производство предявява пред Landgericht Saarbrücken (Областен съд Заарбрюкен, Германия), запитващата юрисдикция по настоящото дело, иск на основание член 82, параграф 1 от ОРЗД за обезщетение за материалните му вреди, свързани с направените от него разходи за съдебен изпълнител и за нотариус, както и за нематериалните му вреди. Той по-специално поддържа, че е загубил контрол върху личните си данни поради обработването им от страна на juris въпреки изложените от него възражения и че може да получи обезщетение на това основание, без да е длъжен да доказва последиците или тежестта на накърняване на правата му, гарантирани с член 8 от Хартата на основните права на Европейския съюз и конкретизирани с този регламент.

22      От своя страна juris отхвърля всякаква отговорност, като твърди, че е въвело процедура за обработване на възраженията срещу рекламата и че късното разглеждане на възраженията на ищеца по главното производство се дължи или на факта, че един от служителите на juris не е спазил дадените му указания, или на факта, че е било прекалено скъпо да се отчетат тези възражения. Посоченото дружество твърди, че само по себе си нарушението на задължение, което произтича от ОРЗД, като това по член 21, параграф 3 от него, не може да представлява „вреда“ по смисъла на член 82, параграф 1 от този регламент.

23      На първо място, запитващата юрисдикция най-напред изхожда от постановката, че за правото на обезщетение, предвидено в член 82, параграф 1 от ОРЗД, трябва да са изпълнени три условия, а именно — нарушение на този регламент, материални или нематериални вреди, както и причинно-следствена връзка между нарушението и вредите. По-нататък, предвид исканията на ищеца по главното производство, тя има съмнения дали все пак не следва да се приеме, че нарушението на ОРЗД само по себе си представлява нематериална вреда, която дава право на обезщетение, в частност когато нарушената разпоредба от този регламент предоставя субективно право на субекта на данните. Накрая, доколкото за паричното обезщетение за нематериални вреди германското право изисква да е налице тежко накърняване на защитените права, тази юрисдикция няма яснота дали за исковете за обезщетение съгласно ОРЗД трябва да се прилага аналогично ограничение, предвид насоките относно понятието „вреда“, съдържащи се в съображения 85 и 146 от този регламент.

24      На второ място, според тази юрисдикция е възможно от член 82 от ОРЗД да следва, че когато е установено нарушение на този регламент, отговорност за него носи администраторът, т.е. че администраторът носи отговорност за презумирана вина или дори безвиновна отговорност. Освен това, след като подчертава, че член 82, параграф 3 не уточнява изискванията за доказване, конкретно свързани с предвиденото в този параграф освобождаване, тя отбелязва, че ако е допустимо администраторът да се освободи от отговорност, като просто се позове общо на виновно поведение на някого от служителите си, това съществено би ограничило полезния ефект на правото на обезщетение, предвидено в член 82, параграф 1 от ОРЗД.

25      На трето място, запитващата юрисдикция по-специално иска да се установи дали за изчисляването на размера на дължимото на основание член 82 от ОРЗД парично обезщетение за вреди, в частност нематериални вреди, залегналите в член 83, параграфи 2 и 5 от него критерии за определяне на размера на административните наказания „глоба“ или „имуществена санкция“ могат или дори трябва да бъдат взети предвид и в рамките на член 82 от ОРЗД.

26      На четвърто и последно място, тази юрисдикция отбелязва, че по спора, поставен за разглеждане пред нея, няколко пъти е извършено обработване на личните данни на ищеца по главното производство за целите на директния маркетинг, въпреки че заинтересованото лице многократно е направило възражение. Ето защо тя иска да узнае дали, когато има такова множество нарушения на ОРЗД, с оглед на определянето на размера на обезщетението, евентуално дължимо съгласно член 82 от този регламент, те трябва да се вземат предвид поотделно, или заедно.

27      При тези обстоятелства Landgericht Saarbrücken (Областен съд Заарбрюкен) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1.      Трябва ли понятието за нематериални вреди, използвано в член 82, параграф 1 от ОРЗД, да се тълкува — с оглед на съображение 85 и съображение 146, трето изречение от ОРЗД — в смисъл че обхваща всяко засягане на защитеното правно положение, независимо от другите му последици и сериозността му?

2.      Изключена ли е отговорността за причинените вреди съгласно член 82, параграф 3 от ОРЗД, при условие че в конкретния случай нарушението се дължи на човешка грешка на действащо под ръководство по смисъла на член 29 от ОРЗД лице?

3.      Допустимо, респ. необходимо ли е нематериалните вреди да се изчислят съобразно посочените в член 83 от ОРЗД, по-специално член 83, параграфи 2 и 5 от ОРЗД елементи?

4.      Трябва ли обезщетението да се определи за всяко отделно нарушение или няколко — най-малкото няколко сходни — нарушения трябва да се санкционират с общо обезщетение, което не се определя чрез сумиране на отделните суми, а се основава на обща преценка?“.

 По преюдициалните въпроси

 По първия въпрос

 По допустимостта

28      Като начало, juris по същество твърди, че първият въпрос е недопустим, защото с него се цели да се установи дали, за да е налице правото на обезщетение, предвидено в член 82 от ОРЗД, трябва да е изпълнено изискването твърдяната от субекта на данни вреда, както е определена в член 4, точка 1 от този регламент, да е достигнала определена тежест. Този въпрос бил ирелевантен за произнасянето в спора по главното производство, защото твърдяната от ищеца по главното производство вреда, а именно загубването на контрол върху личните му данни, не била настъпила, доколкото тези данни били обработени правомерно в рамките на договорното правоотношение между страните по този спор.

29      В тази насока следва да се припомни, че само националният съд, който е сезиран със спора и трябва да поеме отговорността за последващото му съдебно решаване, може да прецени — предвид особеностите на делото — както необходимостта от преюдициално решение, за да може да се произнесе, така и релевантността на въпросите, които поставя на Съда, които се ползват с презумпция за релевантност. Следователно, след като поставеният въпрос се отнася до тълкуването или валидността на норма от правото на Съюза, Съдът по принцип е длъжен да се произнесе, освен ако е очевидно, че исканото тълкуване няма никаква връзка с действителността или с предмета на спора в главното производство, ако проблемът е от хипотетично естество или още ако Съдът не разполага с необходимите данни от фактическа и правна страна, за да бъде полезен с отговора на посочения въпрос (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 23 и цитираната съдебна практика).

30      В случая предмет на първия въпрос са условията, които трябва да са изпълнени, за да се упражни правото на обезщетение по член 82 от ОРЗД. Освен това не е очевидно, че исканото тълкуване няма връзка със спора в главното производство или че повдигнатият проблем е хипотетичен. Всъщност, от една страна, този спор се отнася до искане за обезщетение, което попада в обхвата на въведения с ОРЗД режим на защита на личните данни. От друга страна, с този въпрос по същество трябва да се определи дали за целите на прилагането на правилата относно отговорността, залегнали в този регламент, е необходимо не само да са налице нематериални вреди, които се различават от нарушението на посочения регламент, но и тези вреди да са надхвърлили определена тежест.

31      Следователно първият въпрос е допустим.

 По същество

32      С първия си въпрос запитващата юрисдикция по същество иска да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че нарушението на разпоредби на този регламент, които предоставят права на субекта на данни, само по себе си е достатъчно, за да представлява „нематериални вреди“ по смисъла на тази разпоредба, независимо колко тежки са вредите, нанесени на това лице.

33      Най-напред следва да се припомни, че съгласно член 82, параграф 1 от ОРЗД „[в]сяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на [този] регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

34      Съдът вече е разтълкувал член 82, параграф 1 от ОРЗД в смисъл, че самото нарушение на този регламент не е достатъчно, за да предостави право на обезщетение, защото наличието на материални или нематериални „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в член 82, параграф 1, също както наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (вж. в този смисъл решение от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 58 и цитираната съдебна практика).

35      Ето защо лицето, което иска обезщетение за нематериални вреди на основание на тази разпоредба, е длъжно да докаже не само нарушението на разпоредби на този регламент, но и че това нарушение му е причинило такива вреди (вж. в този смисъл решение от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 60 и 61 и цитираната съдебна практика).

36      В тази насока следва да се отбележи, че Съдът е тълкувал член 82, параграф 1 от ОРЗД в смисъл, че той не допуска национална разпоредба или практика, която поставя поправянето на нематериални вреди по смисъла на тази разпоредба в зависимост от условието нанесените вреди на субекта на данните да са достигнали определена тежест, като същевременно подчертава, че това лице все пак е длъжно да докаже, че нарушението на този регламент му е нанесло такива нематериални вреди (вж. в този смисъл решение от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 59 и 60 и цитираната съдебна практика).

37      Дори нарушената разпоредба от ОРЗД да предоставя права на физическите лица, само по себе си такова нарушение не може да представлява „нематериални вреди“ по смисъла на този регламент.

38      Вярно е, че от член 79, параграф 1 от ОРЗД следва, че всеки субект на данни има право на ефективна съдебна защита срещу администратора или евентуалния обработващ лични данни, когато счита, че „правата му по [този] регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с [посочения] регламент“.

39      Тази разпоредба обаче просто предоставя право на защита на лицето, което смята, че са нарушени предоставените му с ОРЗД права, без да го освобождава от задължението, възложено му с член 82, параграф 1 от този регламент, да докаже, че действително са му нанесени материални или нематериални вреди.

40      Следователно нарушението на разпоредби на ОРЗД, които предоставят права на субекта на данни, само по себе си не е достатъчно, за да обоснове наличието на материално право на обезщетение на основание на този регламент, което налага да са изпълнени и останалите две условия за това право, упоменати в точка 34 от настоящото решение.

41      В случая ищецът по главното производство иска на основание на ОРЗД да получи обезщетение за нематериални вреди, а именно загуба на контрол върху личните му данни, обработвани въпреки направеното от него възражение, без да е длъжен да доказва, че тези вреди са надхвърлили определена тежест.

42      В тази насока е уместно да се отбележи, че в съображение 85 от ОРЗД изрично се посочва, че „загуба на контрол“ е сред вредите, които могат да бъдат причинени от нарушение на лични данни. В допълнение, Съдът е постановил, че загубата на контрол върху такива данни, дори за кратък период от време, може да представлява „нематериални вреди“ по смисъла на член 82, параграф 1 от този регламент, които пораждат право на обезщетение, при условие че субектът на данни докаже, че действително е претърпял такава вреда, дори минимална (вж. в този смисъл решение от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 66 и цитираната съдебна практика).

43      С оглед на изложеното дотук на първия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че нарушението на разпоредби на този регламент, които предоставят права на субекта на данни, само по себе си не е достатъчно, за да представлява „нематериални вреди“ по смисъла на тази разпоредба, независимо колко тежки са вредите, нанесени на това лице.

 По втория въпрос

44      С втория си въпрос запитващата юрисдикция по същество иска да се установи дали член 82 от ОРЗД трябва да се тълкува в смисъл, че за да бъде освободен от отговорност съгласно член 82, параграф 3 от ОРЗД, е достатъчно администраторът да посочи, че процесните вреди са причинени от неизпълнение от страна на лице, което действа под негово ръководство, по смисъла на член 29 от този регламент.

45      В тази насока следва да се припомни, че съгласно член 82, параграф 2 от ОРЗД администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава този регламент, и че съгласно член 82, параграф 3 администраторът се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

46      Съдът вече е постановил, че от тълкуването на член 82, параграф 2 във връзка с параграф 3 от него следва, че този член предвижда режим на виновна отговорност, при който се презумира, че администраторът е участвал в обработването, което представлява съответното нарушение на ОРЗД, така че тежестта на доказване се носи не от лицето, понесло вреди, а от администратора (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 92—94).

47      Досежно въпроса дали администраторът може да бъде освободен от отговорност съгласно член 82, параграф 3 от ОРЗД само защото тези вреди са причинени от виновното поведение на лице, действащо под негово ръководство, по смисъла на член 29 от този регламент, от член 29 следва, от една страна, че лицата, които действат под ръководството на администратора, като например служителите му, които имат достъп до лични данни, по принцип могат да обработват тези данни само по указание на администратора и в съответствие с тези указания (вж. в този смисъл решение от 22 юни 2023 г., Pankki S, C‑579/2, EU:C:2023:501, т. 73 и 74).

48      От друга страна, съгласно член 32, параграф 4 от ОРЗД, предмет на който е сигурността на обработването на лични данни, администраторът предприема стъпки всяко физическо лице, действащо под негово ръководство, което има достъп до такива данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

49      Безспорно е, че служителят на администратора е физическо лице, което действа под ръководството на този администратор. Ето защо администраторът е длъжен да се увери, че указанията му се изпълняват правилно от неговите служители. Поради това администраторът не може да се освободи от отговорност съгласно член 82, параграф 3 от ОРЗД просто като твърди небрежност или неизпълнение от страна на лицето, което действа под негово ръководство.

50      В настоящия случай juris по същество поддържа в писменото си становище пред Съда, че администраторът трябва да се освободи от отговорност съгласно член 82, параграф 3 от ОРЗД, когато нарушението, причинило съответните вреди, се дължи на поведението на някого от служителите му, който не е спазил указанията на администратора, и доколкото това нарушение не следва от неизпълнение на задълженията на администратора, прогласени по-специално в членове 24, 25 и 32 от цитирания регламент.

51      В тази насока е уместно да се подчертае, че хипотезите на освобождаването по член 82, параграф 3 от ОРЗД трябва да бъдат стриктно ограничени до тези, при които администраторът е в състояние да докаже липса на възможност вредите да му бъдат вменени (вж. в този смисъл решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 70). Ето защо в случай на нарушение на лични данни, извършено от лице, което действа под негово ръководство, администраторът може да се ползва от това освобождаване единствено ако докаже, че няма никаква причинно-следствена връзка между евентуалното нарушение от негова страна на задължението за защита на данните, възложено му с членове 5, 24 и 32 от този регламент, и вредите, претърпени от субекта на данни (вж. по аналогия решение от 14 декември 2023 г., Национална агенция за приходите, C‑340/21, EU:C:2023:986, т. 72).

52      Следователно, за да се освободи от отговорност съгласно член 82, параграф 3 от ОРЗД, за администратора няма как да е достатъчно да докаже, че е дал указания на лицата, действащи под негово ръководство, по смисъла на член 29 от този регламент, и че някое от тези лица не е изпълнило задължението си да следва тези указания, и така е допринесло за причиняването на съответните вреди.

53      Всъщност, ако би било допустимо администраторът да се освободи от отговорност, като просто се позове на неизпълнението на лице, действащо под негово ръководство, това — както по същество отбелязва запитващата юрисдикция — би накърнило полезния ефект на правото на обезщетение, залегнало в член 82, параграф 1 от ОРЗД, и би било в разрез с целта на този регламент да се гарантира високо ниво на защита на личните данни на физическите лица.

54      С оглед на изложеното дотук на втория въпрос следва да се отговори, че член 82 от ОРЗД трябва да се тълкува в смисъл, че за да бъде освободен от отговорност съгласно член 82, параграф 3 от ОРЗД, не е достатъчно администраторът да посочи, че процесните вреди са причинени от неизпълнение от страна на лице, което действа под негово ръководство, по смисъла на член 29 от този регламент.

 По третия и четвъртия въпрос

55      С третия и четвъртия си въпрос, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, следва, от една страна, да се приложат mutatis mutandis критериите за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, предвидени в член 83 от този регламент, и от друга, да се отчита, че множество нарушения на посочения регламент, които се отнасят до една и съща операция по обработване, засягат лицето, което търси обезщетение.

56      На първо място, по отношение на евентуалното отчитане на критериите, упоменати в член 83 от ОРЗД, когато се изчислява размерът на дължимото съгласно член 82 от ОРЗД обезщетение, безспорно е, че тези две разпоредби имат различни цели. Всъщност, докато член 83 от този регламент определя „[о]бщи[те] условия за налагане на административни наказания „глоба“ или „имуществена санкция“, то член 82 от него урежда „[п]раво[то] на обезщетение и отговорност[та] за причинени вреди“.

57      Оттук следва, че посочените в член 83 от ОРЗД критерии за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, споменати и в съображение 148 от този регламент, не могат да се използват при изчисляването на размера на обезщетението съгласно член 82 от него.

58      Както вече е постановил Съдът, в ОРЗД няма разпоредба, предмет на която е изчисляването на обезщетението за вреди, дължимо на основание на правото на обезщетение, прогласено в член 82 от този регламент. Ето защо за целите на това изчисляване националните съдилища трябва, по силата на принципа на процесуална автономия, да прилагат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза, както са определени в постоянната практика на Съда (вж. в този смисъл решения от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 83 и 101 и цитираната съдебна практика, и от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 53).

59      Във връзка с това Съдът е подчертал, че член 82 от ОРЗД има не наказателна, а компенсаторна функция, за разлика от други разпоредби на този регламент, които също се съдържат в глава VIII от него, а именно членове 83 и 84, които от своя страна имат предимно наказателна цел, тъй като позволяват налагането на административни наказания „глоба“ или „имуществена санкция“, както и на други санкции. От връзката между правилата, предвидени в член 82 от ОРЗД, и установените в членове 83 и 84 от него, е видно, че съществува разлика между тези две категории разпоредби, но и взаимно допълване от гледна точка на стимулите за спазване на ОРЗД, като се има предвид, че правото на всяко лице да иска обезщетение за вреди, засилва оперативността на предвидените в този регламент правила за защита и може да възпре повторното извършване на неправомерни действия (решение от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 47 и цитираната съдебна практика).

60      Освен това от факта, че предвиденото в член 82, параграф 1 от ОРЗД право на обезщетение не изпълнява възпираща, нито дори наказателна функция, Съдът е направил извод, че тежестта на нарушението на този регламент, причинило твърдените материални или нематериални вреди, не може да повлияе върху размера на обезщетението, присъждано на основание на тази разпоредба. От това следва, че този размер не може да бъде определен на равнище, което надхвърля пълното обезщетяване на вредите (вж. в този смисъл решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 86).

61      Като визира съображение 146, шесто изречение от ОРЗД, съгласно което този инструмент има за цел да осигури „пълно и действително обезщетение за претърпените вреди“, Съдът отбелязва, че с оглед на компенсаторната функция на предвиденото в член 82 от този регламент право на обезщетение, паричното обезщетение на основание на този член трябва да се приеме за „пълно и действително“, ако позволява да се обезщети изцяло конкретната вреда, претърпяна в резултат на нарушението на този регламент, без да е необходимо за целите на такова пълно обезщетяване да се налага изплащането на наказателно обезщетение (решение от 21 декември 2023 г., Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, т. 84 и цитираната съдебна практика).

62      Така, поради различната формулировка и цели на член 82 от ОРЗД, разглеждан в светлината на съображение 146 от него, и на член 83 от въпросния регламент, разглеждан в светлината на съображение 148 от него, няма как да се приеме, че критериите за изчисляване, залегнали конкретно в член 83, са приложими mutatis mutandis в рамките на член 82, независимо че правните средства за защита, предвидени в тези две разпоредби, са взаимно допълващи се, за да се гарантира спазването на същия регламент.

63      На второ място, по отношение на това как националните съдилища трябва да изчислят размера на паричното обезщетение, дължимо съгласно член 82 от ОРЗД, в случай на множество нарушения на този регламент, които засягат един и същи субект на данни, е нужно най-напред да се подчертае, че както бе споменато в точка 58 от настоящото решение, всяка държава членка следва да определи критериите, въз основа на които може да се определи размерът на това обезщетение, стига да са спазени принципите на равностойност и ефективност на правото на Съюза.

64      По-нататък, доколкото член 82 от ОРЗД има не наказателна, а компенсаторна функция, както бе припомнено в точки 60 и 61 от настоящото решение, обстоятелството, че администраторът е извършил множество нарушения спрямо един и същи субект на данни, не може да бъде релевантен критерий при изчисляването на обезщетението за вреди, което трябва да се присъди на този субект съгласно член 82. Всъщност, за да се определи размерът на паричното обезщетение, дължимо като компенсация, трябва да се отчетат само конкретно претърпените от този субект вреди.

65      Ето защо на третия и четвъртия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, не следва, от една страна, да се приложат mutatis mutandis критериите за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, предвидени в член 83 от този регламент, и от друга, да се отчита, че множество нарушения на посочения регламент, които се отнасят до една и съща операция по обработване, засягат лицето, което търси обезщетение.

 По съдебните разноски

66      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (трети състав) реши:

1)      Член 82, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

нарушението на разпоредби на този регламент, които предоставят права на субекта на данни, само по себе си не е достатъчно, за да представлява „нематериални вреди“ по смисъла на тази разпоредба, независимо колко тежки са вредите, нанесени на това лице.

2)      Член 82 от Регламент 2016/679

трябва да се тълкува в смисъл, че

за да бъде освободен от отговорност съгласно член 82, параграф 3 от същия регламент, не е достатъчно администраторът да посочи, че процесните вреди са причинени от неизпълнение от страна на лице, което действа под негово ръководство, по смисъла на член 29 от този регламент.

3)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

за да се изчисли размерът на дължимото обезщетение за вреди, основано на тази разпоредба, не следва, от една страна, да се приложат mutatis mutandis критериите за определяне на размера на административните наказания „глоба“ или „имуществена санкция“, предвидени в член 83 от този регламент, и от друга, да се отчита, че множество нарушения на посочения регламент, които се отнасят до една и съща операция по обработване, засягат лицето, което търси обезщетение.

Подписи

*      Език на производството: немски.