Laikina versija
TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS
2024 m. sausio 25 d.(*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 5, 24, 32 ir 82 straipsnių aiškinimas – 82 straipsnio galiojimo vertinimas – Prašymo įvertinti galiojimą nepriimtinumas – Teisė į kompensaciją už žalą, patirtą dėl duomenų tvarkymo pažeidžiant šį reglamentą – Duomenų atskleidimas teisės gauti šiuos duomenis neturinčiai trečiajai šaliai dėl duomenų valdytojo darbuotojų padarytos klaidos – Duomenų valdytojo įgyvendintų apsaugos priemonių tinkamumo įvertinimas – Teisės į kompensaciją atliekama kompensacinė funkcija – Pažeidimo sunkumo poveikis – Būtinybė nustatyti, kad dėl šio pažeidimo padaryta žala – Sąvoka „neturtinė žala““
Byloje C‑687/21
dėl Amtsgericht Hagen (Hageno apylinkės teismas, Vokietija) 2021 m. spalio 11 d. nutartimi, kurią Teisingumo Teismas gavo 2021 m. lapkričio 16 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
BL
prieš
MediaMarktSaturn Hagen-Iserlohn GmbH, (anksčiau Saturn Electro-Handelsgesellschaft mbH Hagen),
TEISINGUMO TEISMAS (trečioji kolegija),
kurį sudaro kolegijos pirmininkė K. Jürimäe, teisėjai N. Piçarra, M. Safjan, N. Jääskinen (pranešėjas) ir M. Gavalec,
generalinis advokatas M. Campos Sánchez-Bordona,
kancleris A. Calot Escobar,
atsižvelgęs į rašytinę proceso dalį,
išnagrinėjęs pastabas, pateiktas:
– BL, atstovaujamo Rechtsanwalt D. Pudelko,
– MediaMarktSaturn Hagen-Iserlohn GmbH (anksčiau Saturn Electro-Handelsgesellschaft mbH Hagen), atstovaujamos Rechtsanwalt B. Hackl,
– Airijos, atstovaujamos Chief State Solicitor M. Browne, A. Joyce ir M. Lane, padedamų BL D. Fennelly,
– Europos Parlamento, atstovaujamo O. Hrstková Šolcová ir J.-C. Puffer,
– Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg,
atsižvelgęs į sprendimą, priimtą susipažinus su generalinio advokato nuomone, nagrinėti bylą be išvados,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; toliau – BDAR) 2 straipsnio 1 dalies, 4 straipsnio 7 punkto, 5 straipsnio 1 dalies f punkto, 6 straipsnio 1 dalies, 24 straipsnio, 32 straipsnio 1 dalies b punkto ir 2 dalies bei 82 straipsnio išaiškinimo ir dėl šio 82 straipsnio galiojimo įvertinimo.
2 Prašymas pateiktas nagrinėjant BL, fizinio asmens, ir MediaMarktSaturn Hagen-Iserlohn GmbH ( anksčiau – Saturn Electro-Handelsgesellschaft mbH Hagen) (toliau – Saturn), ginčą dėl neturtinės žalos, kurią minėtas asmuo teigia patyręs dėl to, kad dalis jo asmens duomenų buvo perduota trečiajai šaliai dėl šios bendrovės darbuotojų padarytos klaidos, atlyginimo.
Teisinis pagrindas
3 BDAR 11, 74, 76, 83, 85 ir 146 konstatuojamosios dalys suformuluotos taip:
„(11) siekiant veiksmingos asmens duomenų apsaugos visoje [Europos] Sąjungoje, reikia ne tik sustiprinti ir išsamiai nustatyti duomenų subjektų teises ir asmens duomenis tvarkančių ir jų tvarkymą nustatančių subjektų prievoles <...>;
<...>
(74) turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms;
<...>
(76) pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi;
<...>
(83) siekiant užtikrinti saugumą ir užkirsti kelią šį reglamentą pažeidžiančiam duomenų tvarkymui, duomenų valdytojas arba duomenų tvarkytojas turėtų įvertinti su duomenų tvarkymu susijusius pavojus ir įgyvendinti jo [jų] mažinimo priemones, pavyzdžiui, šifravimą. Šiomis priemonėmis turėtų būti užtikrintas tinkamo lygio saugumas, įskaitant konfidencialumą, atsižvelgiant į techninių galimybių išsivystymo lygį ir įgyvendinimo sąnaudas pavojų ir saugotinų asmens duomenų pobūdžio atžvilgiu. Vertinant pavojų duomenų saugumui, reikėtų atsižvelgti į pavojus, kurie kyla tvarkant asmens duomenis, pavyzdžiui, į tai, kad persiųsti, saugomi ar kitaip tvarkomi duomenys gali būti netyčia arba neteisėtai sunaikinti, prarasti, pakeisti, be leidimo atskleisti arba be leidimo prie jų gauta prieiga, ir dėl to visų pirma gali būti padarytas kūno sužalojimas, materialinė ar nematerialinė [turtinė ar neturtinė] žala;
<...>
(85) dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę [turtinę ar neturtinę] žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui. <...>
<...>
(146) bet kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas. Duomenų valdytojas arba duomenų tvarkytojas turėtų būti atleisti nuo atsakomybės, jeigu jie įrodo, kad jokiu būdu nėra atsakingi už žalą. Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai. Tai nedaro poveikio jokiems reikalavimams dėl žalos atlyginimo, kurie pareiškiami dėl kitų taisyklių, nustatytų Sąjungos ar valstybės narės teisėje, pažeidimo. Duomenų tvarkymas pažeidžiant šį reglamentą taip pat apima duomenų tvarkymą pažeidžiant deleguotuosius ir įgyvendinimo aktus, priimtus pagal šį reglamentą, ir šį reglamentą tikslinančias valstybėje narės teisėje nustatytas taisykles. Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją. <...>“
4 Šio reglamento I skyriaus „Bendrosios nuostatos“ 2 straipsnio „Materialinė taikymo sritis“ 1 dalyje numatyta:
„Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.“
5 Šio reglamento 4 straipsnyje „Apibrėžtys“ nustatyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); <...>
<...>
7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; <...>
<...>
10) trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;
<...>
12) asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;
<...>“
6 BDAR II skyriuje „Principai“ yra 5–11 straipsniai.
7 Šio reglamento 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ numatyta:
„1. Asmens duomenys turi būti:
<...>
f) tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“
8 Minėto reglamento 6 straipsnio „Tvarkymo teisėtumas“ 1 dalyje apibrėžtos sąlygos, kurios turi būti tenkinamos, kad duomenų tvarkymas būtų teisėtas.
9 BDAR IV skyriuje „Duomenų valdytojas ir duomenų tvarkytojas“ yra 24–43 straipsniai.
10 Šio IV skyriaus 1 skirsnio „Bendrosios prievolės“ 24 straipsnio „Duomenų valdytojo atsakomybė“ 1 ir 2 dalyse nurodyta:
„1. Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.
2. Kai tai proporcinga duomenų tvarkymo veiklos atžvilgiu, 1 dalyje nurodytos priemonės apima duomenų valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką.“
11 BDAR minėto IV skyriaus 2 skirsnio „Asmens duomenų saugumas“ 32 straipsnio „Duomenų tvarkymo saugumas“ 1 dalies b punkte ir 2 dalyje nustatyta:
„1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:
<...>
b) gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
<...>
2. Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.“
12 BDAR VIII skyriuje „Teisių gynimo priemonės, atsakomybė ir sankcijos“ yra šio reglamento 77–84 straipsniai.
13 Šio reglamento 82 straipsnyje „Teisė į kompensaciją ir atsakomybė“ numatyta:
„1. Bet kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ar neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.
2. Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. <...>
3. Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.
<...>“
14 BDAR 83 straipsnyje „Bendrosios administracinių baudų skyrimo sąlygos“ numatyta:
„1. Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos.
2. <...> Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:
a) pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį;
b) tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo;
<...>
d) duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų pagal 25 ir 32 straipsnius įgyvendintas technines ir organizacines priemones;
<...>
k) kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis, pavyzdžiui, finansinę naudą, kuri buvo gauta, arba nuostolius, kurių buvo išvengta, tiesiogiai ar netiesiogiai dėl pažeidimo.
3. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą.
<...>“
15 Šio reglamento 84 straipsnio „Sankcijos“ 1 dalyje nustatyta:
„Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.“
Pagrindinė byla ir prejudiciniai klausimai
16 Ieškovas pagrindinėje byloje nuvyko į bendrovės Saturn komercines patalpas, kur įsigijo buitinį elektros prietaisą. Tuo tikslu šios bendrovės darbuotojas parengė pardavimo ir kredito sutartį. Tai darydamas jis įvedė į Saturn kompiuterinę sistemą tam tikrus šio kliento asmens duomenis, t. y. jo pavardę ir vardą, adresą, gyvenamąją vietą, darbdavio pavadinimą, pajamas ir banko duomenis.
17 Sutartiniai dokumentai, kuriuose nurodyti šie asmens duomenys, buvo atspausdinti ir pasirašyti abiejų šalių. Po to ieškovas pagrindinėje byloje nunešė juos bendrovės Saturn darbuotojams, dirbantiems prekių atsiėmimo vietoje. Kitas klientas, nepastebėtas užlindęs prieš ieškovą pagrindinėje byloje, tuo metu per klaidą gavo tiek ieškovo užsakytą prietaisą, tiek atitinkamus dokumentus, bei viską pasiėmė su savimi.
18 Kadangi klaida buvo greitai pastebėta, Saturn darbuotojas pasirūpino, kad prietaisas ir dokumentai būtų grąžinti, ir per pusvalandį nuo jų perdavimo kitam klientui grąžino juos ieškovui pagrindinėje byloje. Bendrovė norėjo atlyginti ieškovui pagrindinėje byloje už šią klaidą, nemokamai pristatydama atitinkamą prietaisą į jo namus, bet ieškovas manė, kad ši kompensacija yra nepakankama.
19 Ieškovas pagrindinėje byloje pateikė ieškinį Amtsgericht Hagen (Hageno apylinkės teismas, Vokietija), kuris yra prašymą priimti prejudicinį sprendimą pateikęs teismas šioje byloje, prašydamas, be kita ko, remiantis BDAR nuostatomis, atlyginti neturtinę žalą, kurią, jo teigimu, jis patyrė dėl Saturn darbuotojų padarytos klaidos ir dėl to kilusio pavojaus prarasti savo asmens duomenų kontrolę.
20 Savo atsiliepime į ieškinį Saturn pirmiausia teigia, kad BDAR nebuvo pažeistas ir kad toks pažeidimas galėtų būti nustatytas tik tuo atveju, jei jis viršytų tam tikrą sunkumo ribą, kuri nagrinėjamu atveju nebuvo pasiekta. Be to, ši bendrovė nurodo, kad ieškovas pagrindinėje byloje nepatyrė jokios žalos, nes nebuvo nustatyta ir net nebuvo teigiama, jog įtraukta trečioji šalis piktnaudžiavo jo asmens duomenimis.
21 Prašymą priimti prejudicinį sprendimą pateikęs teismas pirmiausia abejoja BDAR 82 straipsnio galiojimu, nes jam atrodo, kad šiame straipsnyje nepakankamai tiksliai apibrėžtos jo teisinės pasekmės neturtinės žalos atlyginimo atveju.
22 Antra, jeigu Teisingumo Teismas nepripažintų 82 straipsnio negaliojančiu, minėtas teismas siekia išsiaiškinti, ar jame numatytos teisės į kompensaciją įgyvendinimas suponuoja ne tik BDAR pažeidimo, bet ir žalos, visų pirma neturtinės, kurią patyrė jos atlyginimo reikalaujantis asmuo, buvimą.
23 Trečia, prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar remiantis vien tuo, kad dėl duomenų valdytojo darbuotojų padarytos klaidos išspausdinti dokumentai, kuriuose buvo asmens duomenų, buvo be leidimo perduoti trečiajai šaliai, galima teigti, kad buvo pažeistas BDAR.
24 Ketvirta, nors laikosi nuomonės, kad „įmonė atsakovė <...> turi įrodyti savo nekaltumą“, tas teismas norėtų sužinoti, ar pakanka konstatuoti, kad tokio aplaidaus dokumentų pateikimo būta, kad būtų galima pripažinti, jog buvo pažeistas BDAR, ypač atsižvelgiant į šio reglamento 2, 5, 6 ir 24 straipsniuose numatytą duomenų valdytojo pareigą įgyvendinti tinkamas priemones tvarkomų duomenų saugumui užtikrinti.
25 Penkta, prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar net ir tuo atveju, kai paaiškėja, jog teisės gauti duomenis neturinti trečioji šalis nesužinojo apie atitinkamus asmens duomenis prieš grąžindama dokumentus, kuriuose jie buvo pateikti, „neturtinė žala“, kaip ji suprantama pagal BDAR 82 straipsnį, gali būti nustatyta tik tuo pagrindu, kad asmuo, kurio duomenys buvo tokiu būdu perduoti, jaučia baimę dėl rizikos (to teismo nuomone, jos negalima atmesti), kad ši trečioji šalis ateityje gali perduoti šiuos duomenis kitiems asmenims ar net jais piktnaudžiauti.
26 Šešta, minėtam teismui kyla klausimas, kiek svarbus galimas tokiomis aplinkybėmis, kokios susiklostė pagrindinėje byloje, padaryto pažeidimo sunkumo laipsnis šiuo 82 straipsniu grindžiamo ieškinio dėl neturtinės žalos atlyginimo kontekste, atsižvelgiant į tai, kad, jo nuomone, duomenų valdytojas galėjo imtis veiksmingesnių saugumo priemonių.
27 Galiausiai, septinta, jis siekia išsiaiškinti neturtinės žalos atlyginimo pagal BDAR tikslą ir teigia, kad toks atlyginimas galėtų būti panašus į sankciją, lygiavertę sutartyje numatytai baudai.
28 Šiomis aplinkybėmis Amtsgericht Hagen (Hageno apylinkės teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar žalos atlyginimą reglamentuojanti [BDAR] norma (BDAR 82 straipsnis) yra neveiksminga, nes teisinės pasekmės, taikytinos neturtinės žalos kompensavimo atveju, nėra pakankamai apibrėžtos?
2) Ar tam, kad būtų įgyjama teisė į kompensaciją, turi būti konstatuotas ne tik neteisėtas saugotinų duomenų atskleidimas teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, bet ir neturtinė, kurią privalo įrodyti ieškovas?
3) Ar [BDAR] yra pažeidžiamas vien dėl to, kad veiklą vykdančios įmonės darbuotojai per klaidą perduoda ant popieriaus atspausdintus duomenų subjekto asmens duomenis (vardą, pavardę, adresą, profesiją, pajamas, darbdavį) – popierinį dokumentą – trečiajai šaliai?
4) Ar įmonės darbuotojų netyčia atliktas atspausdintų duomenų, kurie šiaip įkeliami į automatinio duomenų apdorojimo sistemą, perdavimas teisės gauti šių duomenų neturinčiai trečiajai šaliai laikomas neteisėtu tolesniu duomenų tvarkymu netyčia perdavus (atskleidus) duomenis trečiajai šaliai ([BDAR] 2 straipsnio 1 dalis, 5 straipsnio 1 dalies f punktas, 6 straipsnio 1 dalis ir 24 straipsnis)?
5) Ar neturtinė žala, kaip tai suprantama pagal [BDAR] 82 straipsnį, laikoma patirta jau tuo atveju, jei trečioji šalis, kuri gavo dokumentą su asmens duomenimis, nesusipažino su šiais duomenimis prieš grąžindama dokumentą su šia informacija, ar tam, kad neturtinė žala, kaip tai suprantama pagal [BDAR] 82 straipsnį, būtų laikoma patirta, pakanka asmens, kurio duomenys buvo neteisėtai perduoti, būgštavimų, nes kiekvienu neteisėto asmens duomenų atskleidimo atveju egzistuoja neatmestina tikimybė, jog duomenys vis dėlto galėtų būti išplatinti neapibrėžtam skaičiui asmenų ar netgi galėtų būti naudojami neteisėtai?
6) Kiek dideliu turi būti laikomas pažeidimas, jei netyčinio perdavimo trečiajai šaliai gali būti išvengta geriau kontroliuojant įmonėje dirbančius pagalbinius darbuotojus ir (arba) geriau užtikrinant duomenų saugumą, pavyzdžiui, atskirai tvarkant prekių išdavimo ir sutarčių (visų pirma – finansavimo) dokumentus, pateikiant atskirą išdavimo kvitą arba perduodant dokumentus prekes išduodantiems darbuotojams įmonės viduje – neįtraukiant kliento, kuriam buvo perduoti atspausdinti dokumentai, įskaitant leidimą atsiimti ([BDAR] 32 straipsnio 1 dalies b punktas ir 2 dalis bei 4 straipsnio 7 punktas)?
7) Ar neturtinės žalos kompensacija turi būti suprantama kaip baudos pripažinimas, kaip yra sutartinės baudos atveju?“
Dėl prejudicinių klausimų
Dėl pirmojo klausimo
29 Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar BDAR 82 straipsnis negalioja, nes jame nenurodytos teisinės pasekmės, kurios atsiranda skyrus neturtinės žalos atlyginimą.
30 Europos Parlamentas teigia, kad šis klausimas nepriimtinas, nes prašymą priimti prejudicinį sprendimą pateikęs teismas nesilaikė Teisingumo Teismo procedūros reglamento 94 straipsnio c punkto reikalavimų, nors kelia itin sudėtingą klausimą, susijusį būtent su Sąjungos teisės nuostatos galiojimo įvertinimu.
31 Pagal Procedūros reglamento 94 straipsnio c punktą prašyme priimti prejudicinį sprendimą, be Teisingumo Teismui pateiktų klausimų teksto, turi būti nurodyti motyvai, dėl kurių prašymą priimti prejudicinį sprendimą pateikęs teismas suabejojo tam tikrų Sąjungos teisės nuostatų aiškinimu ar galiojimu.
32 Šiuo klausimu prašymo priimti prejudicinį sprendimą motyvuojamojoje dalyje pateikta informacija turi ne tik padėti Teisingumo Teismui suformuluoti naudingus atsakymus, bet ir suteikti valstybių narių vyriausybėms ir kitiems suinteresuotiesiems asmenims galimybę pateikti pastabas pagal Europos Sąjungos Teisingumo Teismo statuto 23 straipsnį. Kalbant konkrečiai, Sąjungos akto ar tam tikrų jo nuostatų galiojimą Teisingumo Teismas nagrinėja atsižvelgdamas į sprendime dėl prašymo priimti prejudicinį sprendimą pateiktus negaliojimo motyvus, todėl tai, kad visiškai nenurodytos tikslios priežastys, dėl kurių prašymą priimti prejudicinį sprendimą pateikęs teismas kelia klausimą dėl šio akto ar šių nuostatų galiojimo, lemia klausimų, susijusių su jų galiojimu, nepriimtinumą (šiuo klausimu žr. 2017 m. birželio 15 d. Sprendimo T.KUP, C‑349/16, EU:C:2017:469, 16–18 punktus ir 2023 m. birželio 22 d. Sprendimo Vitol, C‑268/22, EU:C:2023:508, 52–55 punktus).
33 Nagrinėjamoje byloje prašymą priimti prejudicinį sprendimą pateikęs teismas nenurodė jokių konkrečių elementų, kuriais remdamasis Teisingumo Teismas galėtų nagrinėti BDAR 82 straipsnio pagrįstumą.
34 Vadinasi, pirmasis prejudicinis klausimas turi būti pripažintas nepriimtinu.
Dėl trečiojo ir ketvirtojo klausimų
35 Savo trečiuoju ir ketvirtuoju klausimais, kuriuos reikia nagrinėti kartu ir pirmiausia, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 5, 24, 32 ir 82 straipsnius, siejamus tarpusavyje, reikia aiškinti taip, kad nagrinėjant ieškinį dėl žalos atlyginimo, grindžiamą šiuo 82 straipsniu, vien aplinkybės, kad duomenų valdytojo darbuotojai per klaidą perdavė dokumentą su asmens duomenimis teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, pakanka pripažinti, kad aptariamo duomenų valdytojo įgyvendintos techninės ir organizacinės priemonės nebuvo „tinkamos“, kaip tai suprantama pagal 24 ir 32 straipsnius.
36 BDAR 24 straipsnyje yra nustatyta bendroji asmens duomenų valdytojo pareiga įgyvendinti tinkamas technines ir organizacines priemones, siekiant užtikrinti, kad duomenys būtų tvarkomi laikantis šio reglamento, ir galėti tai įrodyti (2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 24 punktas).
37 BDAR 32 straipsnyje patikslinamos duomenų valdytojo ir galimo duomenų tvarkytojo pareigos duomenų tvarkymo saugumo požiūriu. Šio straipsnio 1 dalyje nustatyta, kad valstybės narės turi įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas su minėtu tvarkymu susijusį pavojų atitinkantis saugumo lygis, atsižvelgdamos į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Šio straipsnio 2 dalyje taip pat nurodyta, kad nustatant tinkamą saugumo lygį ypač atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto tokių duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 26 ir 27 punktus).
38 Taigi iš BDAR 24 ir 32 straipsnių formuluočių matyti, kad duomenų valdytojo įgyvendinamų priemonių tinkamumas turi būti vertinamas konkrečiai, atsižvelgiant į įvairius minėtuose straipsniuose nurodytus kriterijus ir duomenų apsaugos poreikius, konkrečiai susijusius su atitinkamu duomenų tvarkymu ir su jo keliamais pavojais, juo labiau dėl to, jog duomenų valdytojas turi galėti įrodyti, kad jo įgyvendintos priemonės atitinka šį reglamentą; šios galimybės jis neturėtų, jeigu būtų vadovaujamasi nenuginčijama prezumpcija (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 30–32 punktus).
39 Tokį pažodinį aiškinimą patvirtina minėti 24 ir 32 straipsniai, siejami su to reglamento 5 straipsnio 2 dalimi ir 82 straipsniu, aiškinami vadovaujantis jo 74, 76 ir 83 konstatuojamosiomis dalimis, iš kurių visų pirma matyti, kad duomenų valdytojas privalo sumažinti asmens duomenų saugumo pažeidimo riziką, o ne užkirsti kelią bet kokiam asmens duomenų saugumo pažeidimui (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 33–38 punktus).
40 Taigi Teisingumo Teismas BDAR 24 ir 32 straipsnius išaiškino taip, kad vien aplinkybės, jog „tretieji asmenys“, kaip jie suprantami pagal šio reglamento 4 straipsnio 10 punktą, be leidimo atskleidė asmens duomenis arba be leidimo gavo prie jų prieigą, nepakanka, kad būtų galima preziumuoti, jog atitinkamo duomenų valdytojo įgyvendintos techninės ir organizacinės priemonės nebuvo „tinkamos“, kaip tai suprantama pagal 24 ir 32 straipsnius (2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 39 punktas).
41 Nagrinėjamu atveju tai, kad duomenų valdytojo darbuotojai per klaidą perdavė dokumentą su asmens duomenimis teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, gali atskleisti, kad aptariamo duomenų valdytojo įgyvendintos techninės ir organizacinės priemonės nebuvo „tinkamos“, kaip tai suprantama pagal 24 ir 32 straipsnius. Be kita ko, tokią aplinkybę gali nulemti duomenų valdytojo aplaidumas arba organizavimo trūkumai, kai konkrečiai neatsižvelgiama į riziką, susijusią su aptariamų duomenų tvarkymu.
42 Šiuo klausimu svarbu pažymėti, kad kartu nagrinėjant BDAR 5, 24 ir 32 straipsnius, siejamus atsižvelgiant į jo 74 konstatuojamąją dalį, matyti, kad nagrinėjant ieškinį dėl žalos atlyginimo, grindžiamą šio reglamento 82 straipsniu, pareiga įrodyti, jog asmens duomenys tvarkomi taip, kad būtų užtikrintas tinkamas šių duomenų saugumas, kaip tai suprantama pagal šio reglamento 5 straipsnio 1 dalies f punktą ir 32 straipsnį, tenka atitinkamam duomenų valdytojui. Toks įrodinėjimo pareigos paskirstymas gali ne tik paskatinti šių duomenų valdytojus imtis pagal BDAR reikalaujamų saugumo priemonių, bet ir užtikrinti šio reglamento 82 straipsnyje numatytos teisės į kompensaciją veiksmingumą bei paisyti jo 11 konstatuojamojoje dalyje nurodytų Sąjungos teisės aktų leidėjo ketinimų (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 49–56 punktus).
43 Taigi BDAR 5 straipsnio 2 dalyje įtvirtintą ir jo 24 straipsnyje sukonkretintą duomenų valdytojo atskaitomybės principą Teisingumo Teismas išaiškino taip, kad, nagrinėjant šio reglamento 82 straipsniu grindžiamą ieškinį dėl žalos atlyginimo, atitinkamam duomenų valdytojui tenka pareiga įrodyti saugumo priemonių, kurias įgyvendino pagal minėto reglamento 32 straipsnį, tinkamumą (2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 57 punktas).
44 Taigi tokį BDAR 82 straipsniu grindžiamą ieškinį dėl žalos atlyginimo nagrinėjantis teismas negali nustatyti, ar buvo pažeista šiame reglamente numatyta pareiga, atsižvelgdamas tik į tai, kad duomenų valdytojo darbuotojai per klaidą perdavė dokumentą su asmens duomenimis teisės gauti šiuos duomenis neturinčiai trečiajai šaliai. Tas teismas taip pat turi turėti omenyje visus įrodymus, kuriuos duomenų valdytojas pateikė siekdamas įrodyti, kad techninės ir organizacinės priemonės, kurių jis ėmėsi, kad įvykdytų savo pareigas pagal šio reglamento 24 ir 32 straipsnius, yra tinkamos.
45 Atsižvelgiant į išdėstytus motyvus, į trečiąjį ir ketvirtąjį klausimus reikia atsakyti, kad tarpusavyje siejami BDAR 5, 24, 32 ir 82 straipsniai turi būti aiškinami taip, kad, nagrinėjant ieškinį dėl žalos atlyginimo, grindžiamą 82 straipsniu, vien aplinkybės, kad duomenų valdytojo darbuotojai per klaidą pateikė teisės gauti šiuos duomenis neturinčiai trečiajai šaliai dokumentą, kuriame yra asmens duomenų, nepakanka pripažinti, kad nagrinėjamo duomenų valdytojo įgyvendintos techninės ir organizacinės priemonės nebuvo „tinkamos“, kaip tai suprantama pagal 24 ir 32 straipsnius.
Dėl septintojo klausimo
46 Septintuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnis turi būti aiškinamas taip, kad šioje nuostatoje numatyta teisė į žalos atlyginimą, būtent neturtinės žalos atveju, atlieka baudžiamąją funkciją.
47 Šiuo klausimu Teisingumo Teismas nusprendė, kad BDAR 82 straipsnis yra ne baudžiamojo, o kompensacinio pobūdžio, priešingai nei kitos šio reglamento nuostatos, taip pat esančios jo VIII skyriuje, t. y. jo 83 ir 84 straipsniai, kuriais iš esmės siekiama baudžiamojo tikslo, nes jais remiantis leidžiama skirti administracines baudas ir kitas sankcijas. Taisyklių, nustatytų 82 straipsnyje ir minėtuose 83 ir 84 straipsniuose, tarpusavio ryšys rodo, kad šios dvi nuostatų kategorijos skiriasi ir papildo viena kitą, kiek tai susiję su skatinimu laikytis BDAR, turint omenyje, kad kiekvieno asmens teisė reikalauti kompensacijos už žalą sustiprina šiame reglamente numatytų apsaugos taisyklių veiksmingumą ir gali atgrasyti nuo neteisėtų veiksmų pasikartojimo (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 38 ir 40 punktus ir 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 85 punktą).
48 Teisingumo Teismas pažymėjo, kad kadangi BDAR 82 straipsnio 1 dalyje numatyta teisė į kompensaciją neatlieka atgrasomosios ar net baudžiamosios funkcijos, bet atlieka kompensacinę funkciją, šio reglamento pažeidimo, dėl kurio atsirado aptariama žala, dydis negali turėti įtakos pagal šią nuostatą priteistos žalos atlyginimo sumos dydžiui, net jeigu tai yra ne neturtinė žala, ir dėl to ši suma negali būti didesnė nei visiškas šios žalos kompensavimas (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86 ir 87 punktus).
49 Iš to, kas išdėstyta, matyti, kad nereikia priimti sprendimo dėl nacionalinio teismo numatyto 82 straipsnio 1 dalyje įtvirtintos teisės į kompensaciją tikslo ir sutartyje numatytos baudos baudžiamosios funkcijos palyginimo.
50 Vadinasi į septintąjį klausimą reikia atsakyti taip: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad šioje nuostatoje numatyta teisė į kompensaciją, be kita ko, neturtinės žalos atveju, atlieka kompensacinę, o ne baudžiamąją funkciją; piniginė kompensacija, grindžiama minėta nuostata, turi leisti visiškai kompensuoti konkrečiai dėl šio reglamento pažeidimo patirtą žalą.
Dėl šeštojo klausimo
51 Šeštuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnis turi būti aiškinamas taip, kad, siekiant žalos atlyginimo remiantis šia nuostata, reikia atsižvelgti į duomenų valdytojo padaryto šio reglamento pažeidimo sunkumo laipsnį.
52 Šiuo klausimu remiantis BDAR 82 straipsniu darytina išvada, kad, pirma, duomenų valdytojo atsakomybė kyla, be kita ko, jeigu yra jo kaltė, kuri preziumuojama, nebent duomenų valdytojas įrodo, kad jis visiškai nėra atsakingas už įvykį, dėl kurio atsirado žala, ir, antra, 82 straipsnyje nereikalaujama, kad pagal šią nuostatą nustatant kompensacijos už neturtinę žalą dydį būtų atsižvelgta į kaltės sunkumo laipsnį (2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 103 punktas).
53 Kalbant apie pagal BDAR 82 straipsnį mokėtiną kompensaciją už žalą, kadangi šiame reglamente nėra nuostatos šiuo klausimu, vertindami šią žalą nacionaliniai teismai turi taikyti piniginės kompensacijos dydį reglamentuojančias valstybės narės vidaus taisykles, su sąlyga, kad būtų laikomasi Sąjungos teisėje įtvirtintų lygiavertiškumo ir veiksmingumo principų (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 83 ir 101 punktus bei juose nurodytą jurisprudenciją).
54 Be to, Teisingumo Teismas pažymėjo, kad, atsižvelgiant į BDAR 82 straipsnyje numatytos teisės į kompensaciją kompensacinę funkciją, nustatant pagal šią nuostatą priteistiną kompensaciją už neturtinę žalą, nereikalaujama atsižvelgti į šio reglamento pažeidimo, kurį, kaip preziumuojama, padarė duomenų valdytojas, sunkumo laipsnį, bet reikalaujama, kad ši suma būtų nustatyta taip, kad visiškai kompensuotų dėl šio reglamento pažeidimo faktiškai patirtą žalą (šiuo klausimu žr. 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 84–87 ir 102 punktus bei juose nurodytą jurisprudenciją).
55 Atsižvelgiant į išdėstytus motyvus, į šeštąjį klausimą reikia atsakyti taip: BDAR 82 straipsnis turi būti aiškinamas taip, kad šiame straipsnyje nereikalaujama atsižvelgti į duomenų valdytojo padaryto pažeidimo sunkumo laipsnį, siekiant atlyginti žalą pagal šią nuostatą.
Dėl antrojo klausimo
56 Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad asmuo, prašantis atlyginti žalą pagal šią nuostatą, turi įrodyti ne tik šio reglamento nuostatų pažeidimą, bet ir tai, jog dėl šio pažeidimo jis patyrė turtinę arba neturtinę žalą.
57 Šiuo klausimu reikia priminti, kad pagal BDAR 82 straipsnio 1 dalį „[b]et kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ar neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą“.
58 Iš šios nuostatos formuluotės matyti, kad vien BDAR pažeidimo nepakanka, kad būtų suteikta teisė į kompensaciją. Iš tikrųjų „patirtos“ „žalos“ buvimas yra viena iš 82 straipsnio 1 dalyje numatytos teisės į kompensaciją sąlygų, kaip ir sąlygos, kad turi būti šio reglamento pažeidimas ir priežastinis ryšys tarp patirtos žalos ir šio pažeidimo; šios trys sąlygos yra kumuliacinės (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 32 ir 42 punktus; 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 77 punktą; 2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 14 punktą, taip pat 2023 m. gruodžio 21 d. Sprendimo Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 82 punktą).
59 Konkrečiai dėl neturtinės žalos Teisingumo Teismas taip pat yra nusprendęs, kad pagal BDAR 82 straipsnio 1 dalį draudžiama nacionalinė teisės norma ar praktika, pagal kurią neturtinės žalos kompensavimas, kaip tai suprantama pagal šią nuostatą, siejamas su sąlyga, kad duomenų subjekto patirta žala turi būti tam tikro dydžio (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 51 punktą, 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 78 punktą, taip pat 2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 16 punktą).
60 Teisingumo Teismas pažymėjo, kad asmuo, kurio atžvilgiu padarytas BDAR pažeidimas ir kuris patyrė neigiamų pasekmių, vis dėlto turi įrodyti, jog šios pasekmės sudaro neturtinę žalą, kaip ji suprantama pagal šio reglamento 82 straipsnį, nes vien šio reglamento nuostatų pažeidimo nepakanka, kad atsirastų teisė į kompensaciją (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 42 ir 50 punktus, 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 84 punktą, taip pat 2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 21 ir 23 punktus).
61 Atsižvelgiant į pirmiau išdėstytus motyvus, į antrąjį klausimą reikia atsakyti tai: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad asmuo, prašantis atlyginti žalą pagal šią nuostatą, turi įrodyti ne tik šio reglamento nuostatų pažeidimą, bet ir tai, kad dėl šio pažeidimo jam buvo padaryta turtinė arba neturtinė žala.
Dėl penktojo klausimo
62 Penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad tuo atveju, kai dokumentas, kuriame yra asmens duomenų, buvo perduotas teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, kuri, kaip nustatyta, nesusipažino su šiais duomenimis, „neturtinės žalos“, kaip ji suprantama pagal šią nuostatą, negalima nustatyti vien atsižvelgus į aplinkybę, kad duomenų subjektas baiminasi, jog, po tokio perdavimo buvus galimybei pasidaryti minėto dokumento kopiją prieš jį grąžinant jo duomenys ateityje gali būti paskleisti ar net netinkamai panaudoti.
63 Svarbu pažymėti, kad tas teismas nurodo, jog nagrinėjamu atveju dokumentas, kuriame buvo pateikti atitinkami duomenys, buvo grąžintas ieškovui pagrindinėje byloje per pusvalandį nuo jo perdavimo teisės gauti šiuos duomenis neturinčiai trečiajai šaliai ir kad pastarasis, prieš grąžindamas dokumentą, su šiais duomenimis nesusipažino, tačiau ieškovas teigia, kad dėl šio perdavimo šiai trečiajai šaliai buvo suteikta galimybė pasidaryti dokumento kopijas prieš jį grąžinant ir kad tai jam sukėlė baimę, susijusią su rizika, jog ateityje minėti duomenys gali būti netinkamai panaudoti.
64 Atsižvelgiant į tai, kad BDAR 82 straipsnio 1 dalyje nėra jokios nuorodos į valstybių narių nacionalinę teisę, sąvoka „neturtinė žala“, kaip ji suprantama pagal šią nuostatą, turi būti apibrėžta savarankiškai ir vienodai pagal Sąjungos teisę (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 30 ir 44 punktus bei 2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 15 punktą).
65 Teisingumo Teismas nusprendė, kad ne tik iš BDAR 82 straipsnio 1 dalies, siejamos su šio reglamento 85 ir 146 konstatuojamosiomis dalimis, kuriose siūloma sąvoką „neturtinė žala“, kaip ji suprantama pagal šią pirmąją nuostatą, aiškinti plačiai, formuluotės, bet ir iš minėtu reglamentu siekiamo tikslo užtikrinti aukštą fizinių asmenų apsaugos tvarkant asmens duomenis lygį matyti, jog vien nuogąstavimai, kad po to paties reglamento pažeidimo trečiosios šalys gali piktnaudžiauti asmens duomenimis, gali būti laikomi „neturtine žala“, kaip tai suprantama pagal šio 82 straipsnio 1 dalį (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 79–86 punktus).
66 Be to, taip pat remdamasis lingvistiniu, sisteminiu ir teleologiniu aspektais, Teisingumo Teismas nusprendė, kad asmens duomenų kontrolės praradimas trumpą laikotarpį galėtų lemti duomenų subjektams „neturtinę žalą“, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį, dėl kurios atsiranda teisė į kompensaciją, bet minėtas asmuo privalo įrodyti, kad iš tikrųjų patyrė tokią žalą, ir primenama, jog paprasto šio reglamento nuostatų pažeidimo nepakanka teisei į kompensaciją suteikti remiantis šiuo pagrindu (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 18–23 punktus).
67 Panašiai šioje byloje pažymėtina, kad tiek pagal BDAR 82 straipsnio 1 dalies formuluotę, tiek pagal šiuo reglamentu siekiamą apsaugos tikslą sąvoka „neturtinė žala“ apima situaciją, kai duomenų subjektas turi pagrįstą baimę, kurią turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs nacionalinis teismas, kad kai kurie jo asmens duomenys ateityje gali būti išplatinti ar trečiųjų šalių netinkamai panaudoti dėl to, kad dokumentas, kuriame yra šie duomenys, buvo perduotas teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, kuri prieš jį grąžindama galėjo pasidaryti jo kopijas.
68 Vis dėlto nepaneigiama, kad ieškovas ieškinyje dėl žalos atlyginimo pagal BDAR 82 straipsnį turi įrodyti tokios žalos buvimą. Visų pirma, vien tik hipotetinė rizika, kad teisės gauti duomenis neturinti trečioji šalis netinkamai jais pasinaudos, negali būti pagrindas kompensacijai gauti. Taip būna tuo atveju, kai jokia trečioji šalis nesusipažįsta su nagrinėjamais asmens duomenimis.
69 Vadinasi į penktąjį klausimą reikia atsakyti taip: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad tuo atveju, kai dokumentas, kuriame yra asmens duomenų, buvo perduotas teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, kuri, kaip nustatyta, nesusipažino su šiais duomenimis, „neturtinės žalos“, kaip ji suprantama pagal šią nuostatą, negalima nustatyti vien atsižvelgus į aplinkybę, kad duomenų subjektas baiminasi, jog, po tokio perdavimo buvus galimybei pasidaryti minėto dokumento kopiją prieš jį grąžinant, jo duomenys ateityje gali būti paskleisti ar net netinkamai panaudoti.
Dėl bylinėjimosi išlaidų
70 Kadangi šis procesas pagrindinių bylų šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusių teismų nagrinėjamose bylose, bylinėjimosi išlaidų klausimą turi spręsti šie teismai. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 5, 24, 32 ir 82 straipsniai, siejami tarpusavyje,
turi būti aiškinami taip:
teikiant šiuo 82 straipsniu grindžiamą ieškinį dėl žalos atlyginimo, vien to, kad duomenų valdytojo darbuotojai per klaidą perdavė dokumentą su asmens duomenimis teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, nepakanka pripažinti, kad aptariamo duomenų valdytojo įgyvendintos techninės ir organizacinės priemonės nebuvo „tinkamos“, kaip tai suprantama pagal 24 ir 32 straipsnius.
2. Reglamento 2016/679 82 straipsnio 1 dalis
turi būti aiškinama taip:
šioje nuostatoje numatyta teisė į kompensaciją, be kita ko, neturtinės žalos atveju, atlieka kompensacinę, o ne atgrasomąją ar baudžiamąją funkciją; piniginė kompensacija, grindžiama minėta nuostata, turi leisti visiškai kompensuoti konkrečiai dėl šio reglamento pažeidimo patirtą žalą.
3. Reglamento 2016/679 82 straipsnis
turi būti aiškinamas taip:
šiame straipsnyje nereikalaujama atsižvelgti į duomenų valdytojo padaryto pažeidimo sunkumo laipsnį, siekiant atlyginti žalą pagal šią nuostatą.
4. Reglamento 2016/679 82 straipsnio 1 dalis
turi būti aiškinama taip:
asmuo, prašantis atlyginti žalą pagal šią nuostatą, turi įrodyti ne tik šio reglamento nuostatų pažeidimą, bet ir tai, kad dėl šio pažeidimo jam buvo padaryta turtinė arba neturtinė žala.
5. Reglamento 2016/679 82 straipsnio 1 dalis
turi būti aiškinama taip:
tuo atveju, kai dokumentas, kuriame yra asmens duomenų, buvo perduotas teisės gauti šiuos duomenis neturinčiai trečiajai šaliai, kuri, kaip nustatyta, nesusipažino su šiais duomenimis, „neturtinės žalos“, kaip ji suprantama pagal šią nuostatą, negalima nustatyti vien atsižvelgus į aplinkybę, kad duomenų subjektas baiminasi, jog, po tokio perdavimo buvus galimybei pasidaryti minėto dokumento kopiją prieš jį grąžinant, jo duomenys ateityje gali būti paskleisti ar net netinkamai panaudoti. Parašai