HOTĂRÂREA CURȚII (Camera a treia)
11 aprilie 2024(*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 82 – Dreptul la repararea prejudiciului cauzat printr‑o prelucrare de date efectuată cu încălcarea acestui regulament – Noțiunea de «prejudiciu moral» – Incidența gravității prejudiciului suferit – Responsabilitatea operatorului – Eventuală scutire în cazul neîndeplinirii obligațiilor de către o persoană care acționează sub autoritatea sa în sensul articolului 29 – Evaluarea cuantumului despăgubirii – Inaplicabilitatea criteriilor prevăzute la articolul 83 în cazul amenzilor administrative– Evaluare în cazul unor încălcări multiple ale regulamentului menționat”
În cauza C‑741/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Landgericht Saarbrücken (Tribunalul Regional din Saarbrücken, Germania), prin decizia din 22 noiembrie 2021, primită de Curte la 1 decembrie 2021, în procedura
GP
împotriva
juris GmbH,
CURTEA (Camera a treia),
compusă din doamna K. Jürimäe, președintă de cameră, domnii N. Piçarra și N. Jääskinen (raportor), judecători,
avocat general: domnul M. Campos Sánchez‑Bordona,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru GP, de H. Schöning, Rechtsanwalt;
– pentru juris GmbH, de E. Brandt și C. Werkmeister, Rechtsanwälte;
– pentru Irlanda, de M. Browne, Chief State Solicitor, A. Joyce și M. Lane, în calitate de agenți, asistați de D. Fennelly, BL;
– pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,
având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avocatului general,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 82 alineatele (1) și (3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”), coroborat cu articolele 29 și 83 din acest regulament, precum și în lumina considerentelor (85) și (146) ale acestuia.
2 Această cerere a fost formulată în cadrul unui litigiu între GP, o persoană fizică, pe de o parte, și juris GmbH, o societate cu sediul în Germania, pe de altă parte, în legătură cu repararea prejudiciilor pe care GP pretinde că le‑a suferit din cauza diferitelor prelucrări ale datelor sale cu caracter personal realizate în scopuri de marketing direct, în pofida opoziției sale pe care a comunicat‑o societății menționate.
Cadrul juridic
3 Considerentele (85), (146) și (148) ale RGPD au următorul cuprins:
„(85) Dacă nu este soluționată la timp și într‑un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. […]
[…]
(146) Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament. Operatorul sau persoana împuternicită de operator ar trebui să fie exonerați de răspundere dacă dovedesc că nu sunt în niciun fel răspunzători pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament. Această dispoziție nu aduce atingere niciunei cereri de despăgubire care rezultă din încălcarea altor norme din dreptul Uniunii sau din dreptul intern. […] Persoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru prejudiciul pe care l‑au suferit. […]
[…]
(148) Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebui impuse sancțiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament […]. Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării, acțiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită și orice alt factor agravant sau atenuant. […]”
4 Articolul 4 din acest regulament, intitulat „Definiții”, prevede:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); […]
[…]
7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]
[…]
12. «încălcarea securității datelor cu caracter personal» înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într‑un alt mod sau la accesul neautorizat la acestea;
[…]”
5 Articolul 5 din regulamentul menționat enunță o serie de principii legate de prelucrarea datelor cu caracter personal.
6 Inclus în capitolul III din RGPD referitor la „[d]repturile persoanei vizate”, articolul 21 din acesta, intitulat „Dreptul la opoziție”, prevede la alineatul (3):
„În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”
7 Capitolul IV din RGPD, intitulat „Operatorul și persoana împuternicită de operator”, cuprinde articolele 24-43 din acesta.
8 Articolul 24 din regulamentul menționat, intitulat „Responsabilitatea operatorului”, prevede la alineatele (1) și (2):
„(1) Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.
(2) Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecție a datelor.”
9 Articolul 25 din acest regulament, intitulat „Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, prevede la alineatul (1):
„Având în vedere stadiul actual al tehnologiei, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.”
10 Articolul 29 din RGPD, intitulat „Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator”, prevede:
„Persoana împuternicită de operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă acest lucru.”
11 Articolul 32 din RGPD, intitulat „Securitatea prelucrării”, prevede:
„(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
[…]
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
[…]
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într‑un alt mod.
[…]
(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.”
12 Capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, cuprinde articolele 77-84 din acesta.
13 Articolul 79 din acest regulament, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”, prevede la alineatul (1):
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă [a se citi: «jurisdicțională efectivă»] în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
14 Articolul 82 din regulamentul menționat, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatele (1)-(3):
„(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
(2) Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. […]
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.”
15 Articolul 83 din RGPD, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede la alineatele (2), (3) și (5):
„(2) […] Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
(a) natura, gravitatea și durata încălcării, ținându‑se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;
(b) dacă încălcarea a fost comisă intenționat sau din neglijență;
[…]
(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.
[…]
(5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:
(a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu articolele 5, 6, 7 și 9;
(b) drepturile persoanelor vizate în conformitate cu articolele 12-22 [;]
[…]”
16 Articolul 84 din acest regulament, intitulat „Sancțiuni”, prevede la alineatul (1):
„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”
Litigiul principal și întrebările preliminare
17 Reclamantul din litigiul principal, o persoană fizică ce exercită profesia de avocat independent, este client al juris, o societate care operează o bază de date juridică.
18 La 6 noiembrie 2018, după ce a aflat că datele sale cu caracter personal erau utilizate de juris și în scopuri de marketing direct, reclamantul din litigiul principal a revocat, în scris, orice consimțământ al său de a primi de la această societate informații prin e‑mail sau prin telefon și s‑a opus oricărei prelucrări a acestor date, cu excepția trimiterii de newslettere al căror destinatar dorea să rămână în continuare.
19 În pofida acestui demers, reclamantul din litigiul principal a primit, în luna ianuarie 2019, două prospecte publicitare trimise nominal la adresa sa profesională. Printr‑o scrisoare adresată societății juris la 18 aprilie 2019, acesta a amintit de opoziția sa anterioară față de orice marketing direct, a precizat că realizarea acestor prospecte a ocazionat o prelucrare nelegală a datelor sale și a solicitat repararea prejudiciului său în temeiul articolului 82 din RGPD. Întrucât a primit un nou prospect publicitar la 3 mai 2019, acesta și‑a reiterat opoziția care, de această dată, a fost notificată societății juris prin executor judecătoresc.
20 Fiecare dintre prospectele menționate includea un „cod personal de testare” care permitea accesul pe site‑ul internet al juris la un formular de comandă pentru produsele acestei societăți, ce conținea mențiuni referitoare la reclamantul din litigiul principal, astfel cum un notar a constatat, la cererea sa, la data de 7 iunie 2019.
21 Reclamantul din litigiul principal a sesizat Landgericht Saarbrücken (Tribunalul Regional din Saarbrücken, Germania), care este instanța de trimitere în prezenta cauză, cu o acțiune având ca obiect repararea, în temeiul articolului 82 alineatul (1) din RGPD, a prejudiciului material constând în cheltuielile pentru executorul judecătoresc și pentru notar, precum și a prejudiciului moral. El susține mai ales că a suferit o pierdere de control asupra datelor sale cu caracter personal ca urmare a prelucrărilor acestora realizate de juris în pofida opoziției sale și că poate obține o reparație în temeiul acestor prelucrări, fără a trebui să demonstreze efectele sau gravitatea atingerii aduse drepturilor sale, garantate de articolul 8 din Carta drepturilor fundamentale a Uniunii Europene și menționate în acest regulament.
22 În apărare, juris respinge orice răspundere, susținând că a stabilit într‑adevăr un sistem de gestionare a opoziției față de marketingul direct și că luarea în considerare tardivă a opoziției reclamantului din litigiul principal se datorează fie faptului că unul dintre colaboratorii săi nu a respectat instrucțiunile care îi fuseseră date, fie faptului că ar fi fost excesiv de oneros să se țină seama de opoziția sa. Juris susține că simpla încălcare a unei obligații care decurge din RGPD, precum cea care decurge din articolul 21 alineatul (3) din acesta, nu poate constitui, prin ea însăși, un „prejudiciu” în sensul articolului 82 alineatul (1) din acest regulament.
23 În primul rând, instanța de trimitere pornește, mai întâi, de la premisa că dreptul la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD presupune să fie îndeplinite trei condiții, și anume o încălcare a acestui regulament, un prejudiciu material sau moral, precum și o legătură de cauzalitate între încălcare și prejudiciu. În continuare, ținând seama de pretențiile reclamantului din litigiul principal, aceasta ridică problema dacă ar trebui totuși să se considere că o încălcare a RGPD constituie, în sine, un prejudiciu moral care dă dreptul la despăgubire, în special atunci când dispoziția încălcată din acest regulament conferă un drept subiectiv persoanei vizate. În sfârșit, dat fiind că dreptul german condiționează repararea pecuniară a unui prejudiciu moral de existența unei atingeri grave aduse drepturilor protejate, această instanță ridică problema dacă o restricție similară trebuie aplicată în cazul cererilor de despăgubire întemeiate pe RGPD, în lumina indicațiilor referitoare la noțiunea „prejudiciu” care figurează în considerentele (85) și (146) ale acestui regulament.
24 În al doilea rând, instanța menționată consideră că este posibil ca din articolul 82 din RGPD să rezulte că, în cazul în care se constată existența unei încălcări a acestui regulament, aceasta să fie considerată imputabilă operatorului, astfel încât ar exista o prezumție de răspundere din culpă a acestuia sau chiar fără culpă. În plus, după ce a subliniat că alineatul (3) al acestui articol nu precizează cerințele de probă legate în mod concret de exonerarea prevăzută la acest alineat, instanța arată că, dacă i s‑ar permite operatorului să se exonereze de răspundere doar prin invocarea, în termeni generali, a unui comportament culpabil al unuia dintre colaboratorii săi, acest lucru ar limita în mod semnificativ efectul util al dreptului la despăgubiri prevăzut la alineatul (1) al articolului menționat.
25 În al treilea rând, instanța de trimitere solicită în special să se stabilească dacă, pentru a evalua cuantumul despăgubirii pecuniare a unui prejudiciu, îndeosebi a unui prejudiciu moral, care ar fi datorat în temeiul articolului 82 din RGPD, criteriile prevăzute la articolul 83 alineatele (2) și (5) din acesta pot fi sau chiar trebuie să fie luate în considerare și în cadrul articolului 82 menționat pentru a stabili cuantumul amenzilor administrative.
26 În al patrulea și ultimul rând, această instanță arată că, în litigiul cu care este sesizată, datele cu caracter personal ale reclamantului din litigiul principal au făcut obiectul mai multor prelucrări în scop de marketing direct, în pofida opoziției reiterate a persoanei interesate. Prin urmare, ea urmărește să se stabilească dacă, atunci când există o asemenea multitudine de încălcări ale RGPD, ele trebuie luate în considerare individual sau global în vederea stabilirii cuantumului despăgubirii datorate eventual în temeiul articolului 82 din acest regulament.
27 În aceste condiții, Landgericht Saarbrücken (Tribunalul Regional din Saarbrücken) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Având în vedere considerentul (85) și considerentul (146) a treia teză ale RGPD, noțiunea de «prejudiciu moral» prevăzută la articolul 82 alineatul (1) din RGPD trebuie să fie înțeleasă în sensul că include orice atingere adusă situației juridice protejate, indiferent de efectele sale colaterale și de gravitatea acestei atingeri?
2) Răspunderea pentru daune prevăzută la articolul 82 alineatul (3) din RGPD este exclusă prin faptul că încălcarea este cauzată printr‑o eroare umană în cazul individual al unei persoane care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator în sensul articolului 29 din RGPD?
3) La evaluarea prejudiciului moral, este permisă sau necesară utilizarea criteriilor de evaluare prevăzute la articolul 83 din RGPD, mai precis la articolul 83 alineatele (2) și (5) din RGPD?
4) Prejudiciul moral trebuie stabilit pentru fiecare încălcare concretă sau trebuie stabilită, pentru mai multe încălcări – cel puțin pentru încălcări similare –, o despăgubire globală care nu este determinată prin însumarea unor cuantumuri distincte, ci pe baza unei aprecieri de ansamblu?”
Cu privire la întrebările preliminare
Cu privire la prima întrebare
Cu privire la admisibilitate
28 Cu titlu introductiv, juris susține în esență că prima întrebare este inadmisibilă întrucât urmărește să stabilească dacă nașterea dreptului la despăgubiri prevăzut la articolul 82 din RGPD este condiționată de cerința ca prejudiciul invocat de persoana vizată, astfel cum este definită la articolul 4 punctul 1 din acest regulament, să fi atins un anumit nivel de gravitate. Această întrebare ar fi lipsită de relevanță pentru soluționarea litigiului principal, deoarece prejudiciul invocat de reclamantul din litigiul principal, și anume pierderea controlului asupra datelor sale cu caracter personal, nu s-ar fi produs, din moment ce datele respective ar fi făcut obiectul unei prelucrări legale, potrivit raportului contractual dintre părțile din acest litigiu.
29 În această privință, trebuie amintit că numai instanța națională, care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată, are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții, care beneficiază de o prezumție de pertinență. În consecință, în cazul în care întrebarea adresată privește interpretarea sau validitatea unei norme de drept al Uniunii, Curtea este, în principiu, obligată să se pronunțe, cu excepția cazului în care este evident că interpretarea solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util întrebării respective [Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctul 23 și jurisprudența citată].
30 În speță, prima întrebare se referă la condițiile necesare pentru exercitarea dreptului la despăgubiri prevăzut la articolul 82 din RGPD. În plus, nu este evident că interpretarea solicitată nu are legătură cu litigiul principal sau că problema ridicată are un caracter ipotetic. Astfel, pe de o parte, acest litigiu are legătură cu o cerere de despăgubire care intră sub incidența regimului de protecție a datelor cu caracter personal instituit prin RGPD. Pe de altă parte, această întrebare vizează în esență să se stabilească dacă este necesar, în vederea aplicării normelor privind răspunderea prevăzute de acest regulament, nu doar să existe un prejudiciu moral care se distinge de încălcarea regulamentului menționat, ci și ca acest prejudiciu să depășească un anumit nivel de gravitate.
31 Prin urmare, prima întrebare este admisibilă.
Cu privire la fond
32 Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că o încălcare a unor dispoziții din acest regulament, care conferă drepturi persoanei vizate, este în sine suficientă pentru a constitui un „prejudiciu moral”, în sensul acestei dispoziții, indiferent de nivelul de gravitate al prejudiciului suferit de această persoană.
33 Trebuie amintit că articolul 82 alineatul (1) din RGPD prevede că „[o]rice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit”.
34 Curtea a interpretat deja articolul 82 alineatul (1) din RGPD în sensul că simpla încălcare a acestui regulament nu este suficientă pentru a conferi un drept la despăgubiri, din moment ce existența unui „prejudiciu”, material sau moral, sau a unei „daune” care a fost „suferit/ă” constituie una dintre condițiile dreptului la despăgubiri prevăzut la articolul 82 alineatul (1) menționat, la fel ca existența unei încălcări a acestui regulament și a unei legături de cauzalitate între acest prejudiciu și această încălcare, cele trei condiții fiind cumulative (a se vedea în acest sens Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 58 și jurisprudența citată).
35 Astfel, persoana care solicită despăgubiri pentru un prejudiciu moral în temeiul acestei dispoziții este obligată să dovedească nu doar încălcarea unor dispoziții din regulamentul menționat, ci și că această încălcare i‑a cauzat un asemenea prejudiciu (a se vedea în acest sens Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctele 60 și 61, precum și jurisprudența citată).
36 Cu privire la acest aspect, trebuie arătat că Curtea a interpretat articolul 82 alineatul (1) din RGPD în sensul că se opune unei norme sau unei practici naționale care subordonează obținerea de despăgubiri pentru un prejudiciu moral, în sensul acestei dispoziții, condiției ca prejudiciul suferit de persoana vizată să fi atins un anumit nivel de gravitate, subliniind totodată că persoana menționată este totuși obligată să demonstreze că încălcarea acestui regulament i‑a cauzat un astfel de prejudiciu moral (a se vedea în acest sens Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctele 59 și 60, precum și jurisprudența citată).
37 Chiar dacă dispoziția din RGPD care a făcut obiectul unei încălcări ar acorda drepturi persoanelor fizice, o asemenea încălcare nu poate fi, în sine, de natură să constituie un „prejudiciu moral” în sensul acestui regulament.
38 Desigur, din articolul 79 alineatul (1) din RGPD reiese că orice persoană vizată are dreptul la o cale de atac jurisdicțională efectivă împotriva operatorului sau a unei eventuale persoane împuternicite de operator, în cazul în care consideră că „drepturile de care beneficiază în temeiul [acestui] regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta regulamentul [menționat]”.
39 Totuși, această dispoziție se limitează la a conferi un drept la o cale de atac persoanei care se consideră victima unei încălcări a drepturilor pe care i le conferă RGPD, fără a o exonera de obligația de a dovedi că a suferit efectiv un prejudiciu material sau moral, care îi revine în temeiul articolului 82 alineatul (1) din acest regulament.
40 Rezultă că încălcarea unor dispoziții din RGPD prin care se acordă drepturi persoanei vizate nu este suficientă, în sine, pentru a justifica un drept material la despăgubiri în temeiul acestui regulament ce impune îndeplinirea și a celorlalte două condiții ale acestui drept menționate la punctul 34 din prezenta hotărâre.
41 În speță, reclamantul din litigiul principal solicită, în temeiul RGPD, repararea unui prejudiciu moral, și anume pierderea controlului asupra datelor sale cu caracter personal care au făcut obiectul unor prelucrări în pofida opoziției sale, fără a avea sarcina de a dovedi că acest prejudiciu a depășit un anumit nivel de gravitate.
42 În această privință, trebuie arătat că considerentul (85) al RGPD menționează în mod expres „pierderea controlului” printre prejudiciile care pot fi cauzate de o încălcare a securității datelor cu caracter personal. În plus, Curtea a statuat că pierderea controlului asupra unor astfel de date, chiar și pentru o scurtă perioadă, poate constitui un „prejudiciu moral” în sensul articolului 82 alineatul (1) din acest regulament, care dă dreptul la despăgubiri, cu condiția ca persoana vizată să demonstreze că a suferit efectiv un asemenea prejudiciu, oricât de nesemnificativ ar fi el (a se vedea în acest sens Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 66 și jurisprudența citată).
43 Ținând seama de motivele care precedă, este necesar să se răspundă la prima întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că o încălcare a unor dispoziții din acest regulament, care conferă drepturi persoanei vizate, nu este în sine suficientă pentru a constitui un „prejudiciu moral”, în sensul acestei dispoziții, indiferent de nivelul de gravitate al prejudiciului suferit de această persoană.
Cu privire la a doua întrebare
44 Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 din RGPD trebuie interpretat în sensul că, pentru a fi exonerat de răspundere în temeiul alineatului (3) al articolului menționat, este suficient ca operatorul să invoce faptul că prejudiciul în cauză a fost provocat printr‑o eroare a unei persoane care acționează sub autoritatea sa în sensul articolului 29 din acest regulament.
45 În această privință, trebuie amintit că articolul 82 din RGPD prevede la alineatul (2) că orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă acest regulament și la alineatul (3) că operatorul sau persoana împuternicită de operator, după caz, este exonerată de o astfel de răspundere dacă dovedește că nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul.
46 Curtea a constatat deja că reiese dintr‑o analiză coroborată a alineatelor (2) și (3) ale acestui articol 82 că se instituie un regim de răspundere subiectivă, în care se prezumă că operatorul a participat la prelucrarea care constituie o încălcare vizată a RGPD, astfel încât sarcina probei nu revine persoanei care a suferit un prejudiciu, ci operatorului prelucrării (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctele 92-94).
47 În ceea ce privește aspectul dacă operatorul poate fi exonerat de răspundere, în temeiul articolului 82 alineatul (3) din RGPD, pentru simplul motiv că acest prejudiciu a fost cauzat de comportamentul culpabil al unei persoane care acționează sub autoritatea sa, în sensul articolului 29 din acest regulament, pe de o parte, reiese din acest articol 29 că persoanele care acționează sub autoritatea operatorului, cum sunt angajații săi care au acces la date cu caracter personal, nu pot în principiu să prelucreze aceste date decât la cererea operatorului și în conformitate cu instrucțiunile acestuia (a se vedea în acest sens Hotărârea din 22 iunie 2023, Pankki S, C‑579/21, EU:C:2023:501, punctele 73 și 74).
48 Pe de altă parte, articolul 32 alineatul (4) din RGPD, referitor la securitatea prelucrării datelor cu caracter personal, prevede că operatorul ia măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea sa și care are acces la astfel de date nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
49 Or, un salariat al operatorului este într‑adevăr o persoană fizică care acționează sub autoritatea acestui operator. Astfel, revine operatorului sarcina de a asigura faptul că instrucțiunile sale sunt aplicate în mod corect de salariații săi. Prin urmare, operatorul nu se poate exonera de răspunderea sa în temeiul articolului 82 alineatul (3) din RGPD doar invocând o neglijență sau o neîndeplinire a obligațiilor de către o persoană care acționează sub autoritatea sa.
50 În speță, în observațiile depuse la Curte, juris susține în esență că operatorul ar trebui să fie exonerat de răspundere, în temeiul articolului 82 alineatul (3) din RGPD, atunci când încălcarea ce a cauzat prejudiciul în cauză este imputabilă comportamentului unuia dintre angajații săi care nu a respectat instrucțiunile date de operator și în măsura în care această încălcare nu se datorează unei încălcări a obligațiilor acestuia din urmă prevăzute în special la articolele 24, 25 și 32 din acest regulament.
51 În această privință, trebuie subliniat că împrejurările scutirii prevăzute la articolul 82 alineatul (3) din RGPD trebuie să fie strict limitate la cele în care operatorul este în măsură să demonstreze că prejudiciul nu îi este imputabil (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punctul 70). Prin urmare, în cazul unei încălcări a datelor cu caracter personal săvârșite de o persoană care acționează sub autoritatea sa, operatorul respectiv poate beneficia de această exonerare numai dacă dovedește că nu există nicio legătură de cauzalitate între eventuala încălcare a obligației de protecție a datelor care îi revine în temeiul articolelor 5, 24 și 32 din acest regulament și prejudiciul suferit de persoana vizată (a se vedea prin analogie Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punctul 72).
52 Prin urmare, pentru ca operatorul să poată fi exonerat de răspundere în temeiul articolului 82 alineatul (3) din RGPD, nu poate fi suficient să demonstreze că a dat instrucțiuni persoanelor care acționează sub autoritatea sa în sensul articolului 29 din acest regulament și că una dintre persoanele menționate nu și‑a îndeplinit obligația de a urma aceste instrucțiuni, astfel încât aceasta a contribuit la producerea prejudiciului în cauză.
53 Astfel, în cazul în care s‑ar admite că operatorul se poate exonera de răspundere invocând doar eroarea unei persoane care acționează sub autoritatea sa, acest lucru ar aduce atingere efectului util al dreptului la despăgubiri consacrat la articolul 82 alineatul (1) din RGPD, după cum a arătat în esență instanța de trimitere, iar acest lucru nu ar fi conform cu obiectivul acestui regulament care constă în asigurarea unui nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal.
54 Având în vedere cele ce precedă, trebuie să se răspundă la a doua întrebare că articolul 82 din RGPD trebuie interpretat în sensul că, pentru a fi exonerat de răspundere în temeiul alineatului (3) al articolului menționat, nu poate fi suficient ca operatorul să invoce faptul că prejudiciul în cauză a fost provocat printr‑o eroare a unei persoane care acționează sub autoritatea sa în sensul articolului 29 din acest regulament.
Cu privire la a treia și la a patra întrebare
55 Prin intermediul celei de a treia și al celei de a patra întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, pentru a stabili cuantumul daunelor interese datorate pentru repararea unui prejudiciu în temeiul acestei dispoziții, este necesar, pe de o parte, să se aplice mutatis mutandis criteriile de stabilire a cuantumului amenzilor administrative prevăzute la articolul 83 din acest regulament și, pe de altă parte, să se țină seama de faptul că mai multe încălcări ale regulamentului menționat care privesc aceeași operațiune de prelucrare afectează persoana care solicită despăgubiri.
56 În primul rând, în ceea ce privește o eventuală luare în considerare a criteriilor prevăzute la articolul 83 din RGPD în scopul evaluării cuantumului despăgubirilor datorate în temeiul articolului 82 din acesta, este cert că aceste două dispoziții urmăresc obiective diferite. Astfel, în timp ce articolul 83 din acest regulament stabilește „[c]ondițiile generale pentru impunerea amenzilor administrative”, articolul 82 din regulamentul menționat reglementează „[d]reptul la despăgubiri și răspunderea”.
57 Rezultă de aici că criteriile prevăzute la articolul 83 din RGPD în vederea stabilirii cuantumului amenzilor administrative, care sunt menționate și în considerentul (148) al acestui regulament, nu pot fi utilizate pentru evaluarea cuantumului daunelor interese în temeiul articolului 82 din acesta.
58 Astfel cum a evidenția deja Curtea, RGPD nu conține nicio dispoziție privind evaluarea daunelor interese datorate în temeiul dreptului la despăgubiri consacrat la articolul 82 din acest regulament. Prin urmare, pentru a efectua această evaluare, instanțele naționale trebuie să aplice, în temeiul principiului autonomiei procedurale, normele interne ale fiecărui stat membru referitoare la întinderea reparației pecuniare, cu condiția respectării principiilor echivalenței și efectivității dreptului Uniunii, astfel cum sunt definite de jurisprudența constantă a Curții (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctele 83 și 101, precum și jurisprudența citată, și Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 53).
59 În această privință, Curtea a subliniat că articolul 82 din RGPD nu are o funcție punitivă, ci compensatorie, spre deosebire de alte dispoziții din acest regulament care figurează tot în capitolul VIII din acesta, și anume articolele 83 și 84 care, la rândul lor, au un scop în esență punitiv, întrucât permit aplicarea unor amenzi administrative, precum și a altor sancțiuni. Corelația dintre normele prevăzute la articolul 82 și cele prevăzute la articolele 83 și 84 demonstrează că există o diferență între aceste două categorii de dispoziții, dar și o complementaritate în ceea ce privește incitarea la respectarea RGPD, observându‑se că dreptul oricărei persoane de a solicita repararea unui prejudiciu consolidează caracterul operațional al normelor de protecție prevăzute de acest regulament și este de natură să descurajeze repetarea comportamentelor ilegale (Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 47 și jurisprudența citată).
60 Pe de altă parte, Curtea a dedus din împrejurarea că dreptul la reparație prevăzut la articolul 82 alineatul (1) din RGPD nu îndeplinește o funcție disuasivă sau chiar punitivă faptul că gravitatea încălcării acestui regulament care a cauzat prejudiciul material sau moral invocat nu poate influența cuantumul daunelor interese acordate în temeiul acestei dispoziții. Rezultă că acest cuantum nu poate fi stabilit la un nivel care să depășească compensarea integrală a acestui prejudiciu (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctul 86).
61 Referindu‑se la considerentul (146) a șasea teză al RGPD, potrivit căruia acest instrument urmărește să asigure „despăgubiri integrale și eficace pentru prejudiciul pe care l‑au suferit”, Curtea a arătat că, ținând seama de funcția compensatorie a dreptului la despăgubiri prevăzut la articolul 82 din acest regulament, o despăgubire pecuniară întemeiată pe acest articol trebuie considerată ca fiind „integrală și eficace” dacă permite compensarea integrală a prejudiciului concret suferit ca urmare a încălcării regulamentului menționat, fără a fi necesar, în vederea unei astfel de compensații integrale, să se impună plata unor daune interese punitive (Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctul 84 și jurisprudența citată).
62 Astfel, având în vedere diferențele de redactare și de scopuri existente între articolul 82 din RGPD, interpretat în lumina considerentului (146) al acestuia, și articolul 83 din regulamentul menționat, interpretat în lumina considerentului (148) al acestuia, nu se poate considera că criteriile de evaluare enunțate în mod specific la articolul 83 sunt aplicabile mutatis mutandis în cazul articolului 82, în pofida faptului că căile legale prevăzute de aceste două dispoziții sunt complementare pentru a asigura respectarea aceluiași regulament.
63 În al doilea rând, în ceea ce privește modul în care instanțele naționale trebuie să evalueze cuantumul unei despăgubiri pecuniare în temeiul articolului 82 din RGPD în cazul unor încălcări multiple ale acestui regulament ce afectează aceeași persoană vizată, trebuie subliniat mai întâi că, astfel cum s‑a menționat la punctul 58 din prezenta hotărâre, revine fiecărui stat membru sarcina de a stabili criteriile care permit stabilirea cuantumului acestei despăgubiri, cu condiția respectării principiilor efectivității și echivalenței dreptului Uniunii.
64 În continuare, ținând cont de funcția sa compensatorie, iar nu punitivă, a articolului 82 din RGPD, amintită la punctele 60 și 61 din prezenta hotărâre, împrejurarea că operatorul a săvârșit mai multe încălcări față de aceeași persoană vizată nu poate constitui un criteriu relevant pentru evaluarea daunelor interese care trebuie acordate acestei persoane în temeiul articolului 82. Astfel, doar prejudiciul suferit în mod concret de aceasta trebuie luat în considerare la stabilirea cuantumului despăgubirii pecuniare datorate drept compensație.
65 În consecință, trebuie să se răspundă la a treia și la a patra întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, pentru a stabili cuantumul daunelor interese datorate pentru repararea unui prejudiciu în temeiul acestei dispoziții, nu este necesar, pe de o parte, să se aplice mutatis mutandis criteriile de stabilire a cuantumului amenzilor administrative prevăzute la articolul 83 din acest regulament și, pe de altă parte, să se țină seama de faptul că mai multe încălcări ale regulamentului menționat care privesc aceeași operațiune de prelucrare afectează persoana care solicită despăgubiri.
Cu privire la cheltuielile de judecată
66 Întrucât, în privința părților din acțiunea principală, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera a treia) declară:
1) Articolul 82 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
o încălcare a unor dispoziții din acest regulament, care conferă drepturi persoanei vizate, nu este în sine suficientă pentru a constitui un „prejudiciu moral”, în sensul acestei dispoziții, indiferent de nivelul de gravitate al prejudiciului suferit de această persoană.
2) Articolul 82 din Regulamentul 2016/679
trebuie interpretat în sensul că,
pentru a fi exonerat de răspundere în temeiul alineatului (3) al articolului menționat, nu poate fi suficient ca operatorul să invoce faptul că prejudiciul în cauză a fost provocat printr‑o eroare a unei persoane care acționează sub autoritatea sa în sensul articolului 29 din acest regulament.
3) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că,
pentru a stabili cuantumul daunelor interese datorate pentru repararea unui prejudiciu în temeiul acestei dispoziții, nu este necesar, pe de o parte, să se aplice mutatis mutandis criteriile de stabilire a cuantumului amenzilor administrative prevăzute la articolul 83 din acest regulament și, pe de altă parte, să se țină seama de faptul că mai multe încălcări ale regulamentului menționat care privesc aceeași operațiune de prelucrare afectează persoana care solicită despăgubiri.
Semnături