CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:72

TIESAS SPRIEDUMS (trešā palāta)

2024. gada 25. janvārī (*)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 5., 24., 32. un 82. panta interpretācija – 82. panta spēkā esamības vērtējums – Lūguma veikt spēkā esamības vērtējumu nepieņemamība – Tiesības uz tāda kaitējuma atlīdzinājumu, kas nodarīts ar šādu datu apstrādi, kura veikta, pārkāpjot šo regulu – Datu nodošana nepiederīgai trešai personai pārziņa darbinieku pieļautas kļūdas dēļ – Pārziņa īstenoto aizsardzības pasākumu piemērotības vērtējums – Tiesību uz atlīdzinājumu kompensējošā funkcija – Pārkāpuma smaguma ietekme – Nepieciešamība pierādīt ar minēto pārkāpumu nodarītā kaitējuma esamību – Jēdziens “nemateriālais kaitējums”

Lietā C‑687/21

par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Amtsgericht Hagen (Hāgenes pirmās instances tiesa, Vācija) iesniegusi ar 2021. gada 11. oktobra lēmumu un kas Tiesā reģistrēts 2021. gada 16. novembrī, tiesvedībā

pret

MediaMarktSaturn Hagen‑Iserlohn GmbH, iepriekš – Saturn Electro‑Handelsgesellschaft mbH Hagen,

TIESA (trešā palāta)

šādā sastāvā: palātas priekšsēdētāja K. Jirimēe [K. Jürimäe], tiesneši N. Pisarra [N. Piçarra], M. Safjans [M. Safjan], N. Jēskinens [N. Jääskinen] (referents) un M. Gavalecs [M. Gavalec],

ģenerāladvokāts: M. Kamposs Sančess‑Bordona [M. Campos Sánchez‑Bordona],

sekretārs: A. Kalots Eskobars [A. Calot Escobar],

ņemot vērā rakstveida procesu,

ņemot vērā apsvērumus, ko snieguši:

– BL vārdā – D. Pudelko, Rechtsanwalt,

– MediaMarktSaturn Hagen‑Iserlohn GmbH, agrāk – Saturn Electro‑Handelsgesellschaft mbH Hagen, vārdā – B. Hackl, Rechtsanwalt,

– Īrijas vārdā – M. Browne, Chief State Solicitor, A. Joyce un M. Lane, pārstāvji, kam palīdz D. Fennelly, BL,

– Eiropas Parlamenta vārdā – O. Hrstková Šolcová un J.‑C. Puffer, pārstāvji,

– Eiropas Komisijas vārdā – A. Bouchagiar, M. Heller un H. Kranenborg, pārstāvji,

ņemot vērā pēc ģenerāladvokāta uzklausīšanas pieņemto lēmumu izskatīt lietu bez ģenerāladvokāta secinājumiem,

pasludina šo spriedumu.

Spriedums

1 Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 2. panta 1. punktu, 4. panta 7. punktu, 5. panta 1. punkta f) apakšpunktu, 6. panta 1. punktu, 24. pantu, 32. panta 1. punkta b) apakšpunktu un 2. punktu, kā arī 82. pantu, un par šā 82. panta spēkā esamības vērtējumu.

2 Šis lūgums ir iesniegts saistībā ar tiesvedību fiziskas personas BL prasībā pret MediaMarktSaturn Hagen‑Iserlohn GmbH, agrāk – Saturn Electro‑Handelsgesellschaft mbH Hagen (turpmāk tekstā – “Saturn”), kurā šī persona lūdz atlīdzināt nemateriālo kaitējumu, kas tai esot nodarīts ar to, ka šā uzņēmuma darbinieku pieļautas kļūdas dēļ tās personas dati tikuši nodoti trešai personai.

Atbilstošās tiesību normas

3 VDAR 11., 74., 76., 83., 85. un 146. apsvērums ir formulēti šādi:

“(11) Lai personas datu aizsardzība visā [Eiropas] Savienībā būtu efektīva, nepieciešams stiprināt un sīki noteikt datu subjektu tiesības un to personu pienākumus, kas apstrādā personas datus un nosaka to apstrādi [..]

[..]

(74) Būtu jāparedz pārziņa pienākumi un atbildība par ikvienu personas datu apstrādi, ko veic pārzinis vai pārziņa vārdā. Jo īpaši, pārzinim būtu jāuzliek pienākums īstenot piemērotus un efektīvus pasākumus, un viņam vajadzētu spēt uzskatāmi parādīt, ka apstrādes darbības notiek saskaņā ar šo regulu, tostarp, ka pasākumi ir iedarbīgi. Minētajos pasākumos būtu jāņem vērā apstrādes raksturs, [apmērs], konteksts un nolūki un risks, ko tā rada fizisku personu tiesībām un brīvībām.

[..]

(76) Riska iespējamība un nopietnība attiecībā uz datu subjekta tiesībām un brīvībām būtu jānosaka, atsaucoties uz apstrādes raksturu, [apmēru], kontekstu un nolūk[iem]. Risks būtu jāizvērtē, pamatojoties uz objektīvu novērtējumu, ar ko nosaka, vai datu apstrādes darbības ietver risku vai augstu risku.

[..]

(83) Lai saglabātu drošību un novērstu tādu apstrādi, kurā tiek pārkāpta šī regula, pārzinim vai apstrādātājam būtu jānovērtē apstrādei raksturīgie riski un jāīsteno pasākumi šo risku mazināšanai, piemēram, šifrēšana. Minētajiem pasākumiem, ņemot vērā tehniskās iespējas un īstenošanas izmaksas, būtu jānodrošina atbilstošs drošības līmenis, tostarp konfidencialitāte, attiecībā uz apstrādei raksturīgo risku un aizsargājamo personas datu īpatnībām. Novērtējot datu drošības risku, vērā būtu jāņem riski, ko rada personas datu apstrāde, piemēram, nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu.

[..]

(85) Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija. [..]

[..]

(146) Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu. Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par kaitējumu. Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem. Tas neskar prasības par kaitējumu, kas izriet no citu Savienības vai dalībvalstu tiesību aktu noteikumu pārkāpumiem. Apstrāde, kas pārkāpj šo regulu, ietver arī apstrādi, kas pārkāpj deleģētos un īstenošanas aktus, kuri pieņemti saskaņā ar šo regulu un dalībvalsts tiesību aktiem, kuros precizēti šīs regulas noteikumi. Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu. [..]”

4 Šīs regulas I nodaļā “Vispārīgi noteikumi” ietvertā 2. panta, kas nosaukts “Materiālā darbības joma” 1. punkts noteic:

“Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.”

5 Minētās regulas 4. pants “Definīcijas” noteic:

“Šajā regulā:

1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); [..]

[..]

7) “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; [..]

[..]

10) “trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

[..]

12) “personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

[..].”

6 VDAR II nodaļā “Principi” ir ietverts tās 5.–11. pants.

7 Šīs regulas 5. pants “Personas datu apstrādes principi” noteic:

“1. Personas dati:

[..]

f) tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”);

2. Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

8 Minētās regulas 6. panta “Apstrādes likumīgums” 1. punkts noteic, kādi nosacījumi jāievēro, lai apstrāde būtu likumīga.

9 VDAR IV nodaļā “Pārzinis un apstrādātājs” ir ietverts tās 24.–43. pants.

10 IV nodaļas 1. iedaļā “Vispārīgi pienākumi” ietvertā 24. panta, kas nosaukts “Pārziņa atbildība”, 1. un 2. punkts noteic:

“1. Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.

2. Ja tas ir samērīgi attiecībā uz apstrādes darbībām, 1. punktā minētajos pasākumos ietver to, ka pārzinis īsteno atbilstīgu politiku attiecībā uz datu aizsardzību.”

11 Minētās IV nodaļas 2. iedaļā “Personas datu drošība” ietvertā VDAR 32. panta, kas nosaukts “Apstrādes drošība”, 1. punkta b) apakšpunkts un 2. punkts noteic:

“1. Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

[..]

b) spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

[..]

2. Novērtējot atbilstīgo drošības līmeni, ņem vērā jo īpaši riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.”

12 VDAR VIII nodaļā “Tiesību aizsardzības līdzekļi, atbildība un sankcijas” ir ietverts šīs regulas 77.–84. pants.

13 Minētās regulas 82. pants “Tiesības uz kompensāciju un atbildība” noteic:

“1. Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.

2. Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. [..]

3. Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.

[..]”

14 VDAR 83. pants “Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu” noteic:

“1. Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2. [..] Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a) pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b) to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;

[..]

d) pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākum[us], ko tie īsteno saskaņā ar 25. un 32. pantu;

[..]

k) jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi.

3. Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

[..]”

15 Šīs regulas 84. panta “Sankcijas” 1. punkts noteic:

“Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Šādas sankcijas ir iedarbīgas, samērīgas un atturošas.”

Pamatlieta un prejudiciālie jautājumi

16 Prasītājs pamatlietā ieradās Saturn komerctelpās un tur iegādājās mājsaimniecības elektroierīci. Šā uzņēmuma darbinieks noformēja vajadzīgo pirkuma un kredīta līgumu. Darījuma noformēšanas vajadzībām viņš ievadīja vairākus šā klienta personas datus, proti, viņa uzvārdu un vārdu, adresi, dzīvesvietu, darba devēju, ienākumus, kā arī bankas datus uzņēmuma Saturn informācijas sistēmā.

17 Šos personas datus ietverošie līguma dokumenti tika izdrukāti, un abi līdzēji tos parakstīja. Pēc tam prasītājs pamatlietā tos nogādāja Saturn darbiniekiem, kas strādāja preču izsniegšanas vietā. Tad kāds cits klients, kurš nepamanīts bija iespraucies pirms prasītāja pamatlietā, kļūdas dēļ saņēma gan prasītāja pasūtīto iekārtu, gan attiecīgos dokumentus un devās prom.

18 Tā kā šī kļūda tika ātri atklāta, Saturn darbinieks atguva iekārtu un dokumentus un pēc tam nodeva tos prasītājam pamatlietā – pusstundas laikā no brīža, kad tie bija tikuši nodoti šim citam klientam. Uzņēmums piedāvāja prasītājam pamatlietā par šo kļūdu atlīdzināt, bez maksas piegādājot attiecīgo ierīci uz viņa mājokli, taču prasītājs uzskatīja, ka šis atlīdzinājums neesot pietiekams.

19 Prasītājs pamatlietā vērsās Amtsgericht Hagen (Hāgenes pirmās instances tiesa, Vācija) – kas ir iesniedzējtiesa šajā lietā – ar prasību, pamatojoties konkrēti uz VDAR normām, atlīdzināt nemateriālo kaitējumu, kas viņam esot nodarīts Saturn darbinieku pieļautās kļūdas un no šīs kļūdas izrietošā riska zaudēt kontroli pār saviem personas datiem dēļ.

20 Aizstāvībai Saturn iebilst, pirmkārt, ka VDAR pārkāpums neesot noticis un ka tas būtu konstatējams tikai tad, ja būtu pārsniedzis noteiktu smaguma slieksni, kas šajā gadījumā neesot sasniegts. Otrkārt, šis uzņēmums apgalvo, ka prasītājam pamatlietā neesot nodarīts nekāds kaitējums, jo nav nedz konstatēts, nedz pat norādīts, ka iesaistītā trešā persona būtu ļaunprātīgi izmantojusi prasītāja personas datus.

21 Iesniedzējtiesa jautā, pirmkārt, par VDAR 82. panta spēkā esamību, jo tai šķiet, ka no šā panta neesot konkrēti izsecināms, kādas tiesiskās sekas no tā izriet nemateriālā kaitējuma atlīdzināšanas gadījumā.

22 Otrkārt, gadījumā, ja Tiesa 82. pantu neatzītu par spēkā neesošu, iesniedzējtiesa jautā, vai tajā paredzēto tiesību uz atlīdzinājumu īstenošanai ir jāpierāda, ka pastāv ne tikai VDAR pārkāpums, bet arī kaitējums, konkrēti – nemateriāls kaitējums, kas nodarīts atlīdzinājumu pieprasošajai personai.

23 Treškārt, iesniedzējtiesa vēlas noskaidrot, vai tas vien, ka personas datus ietverošie izdrukātie dokumenti bez atļaujas ir tikuši nodoti trešai personai pārziņa darbinieku pieļautas kļūdas dēļ, ir vai nav kvalificējams kā VDAR pārkāpums.

24 Ceturtkārt, uzskatīdama, ka “[atbildētājam] uzņēmumam ir jāpierāda savas vainas neesamība”, šī tiesa vēlas noskaidrot, vai pietiek konstatēt, ka šāda dokumentu nodošana nolaidības dēļ ir notikusi, lai uzskatītu, ka ir noticis VDAR pārkāpums, it īpaši ņemot vērā pārziņa pienākumu īstenot pienācīgus pasākumus, lai nodrošinātu apstrādāto datu drošību saskaņā ar šīs regulas 2., 5., 6. un 24. pantu.

25 Piektkārt, iesniedzējtiesa jautā, vai pat tad, ja šķiet, ka nepiederīgā trešā persona nav iepazinusies ar attiecīgajiem personas datiem pirms tos ietverošo dokumentu atdošanas, “nemateriālā kaitējuma” VDAR 82. panta izpratnē esamība var tikt konstatēta jau tāpēc vien, ka persona, kuras dati ir šādi tikuši nodoti, ir nobažījusies par risku – kas, šīs tiesas ieskatā, nav izslēdzams –, ka šī trešā persona tos izpaudīs citiem indivīdiem vai pat šie dati nākotnē tiks izmantoti ļaunprātīgi.

26 Sestkārt, minētā tiesa prāto par to, kāda ietekme saistībā ar prasību atlīdzināt nemateriālo kaitējumu – kas celta, pamatojoties uz 82. pantu, – varētu būt tam, cik smags ir tādos apstākļos kā pamatlietā izdarītais pārkāpums, ņemot vērā, ka, pēc tās domām, pārzinis būtu varējis noteikt efektīvākus drošības pasākumus.

27 Visbeidzot septītkārt, tā vēlas noskaidrot gan to, kādam mērķim saskaņā ar VDAR ir maksājams atlīdzinājums par nemateriālo kaitējumu, gan to, vai varētu pieņemt, ka šis atlīdzinājums pēc sava rakstura ir sodošs – līdzīgi kā līgumsods.

28 Šādos apstākļos Amtsgericht Hagen (Hāgenes pirmās instances tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

“1) Vai kaitējuma atlīdzinājumu paredzošā [VDAR] norma (proti, šīs regulas 82. pants) nav spēkā tāpēc, ka tajā nav precizēts, kādām tiesiskajām sekām ir jāiestājas attiecībā uz nemateriālā kaitējuma atlīdzināšanu?

2) Vai, lai varētu pretendēt uz kaitējuma atlīdzinājumu, ir jākonstatē ne vien tas, ka aizsargājamie dati ir tikuši neatļauti izpausti nepiederīgai trešai personai, bet arī atlīdzinājuma pieprasītāja pierādāma nemateriāla kaitējuma esamība?

3) Vai, lai būtu noticis [VDAR] pārkāpums, pietiek ar to, ka datu subjekta dati (vārds, adrese, profesija, ienākumi, darba devējs) datus apstrādājošā uzņēmuma darbinieku kļūdas dēļ uz papīra veiktas izdrukas dokumenta formā ir nodoti trešai personai?

4) Vai nelikumīga datu turpmāka apstrāde, nejauši nododot (izpaužot) tos trešai personai, notiek situācijā, kad uzņēmums ar savu darbinieku starpniecību aiz pārskatīšanās izdrukas formā nodevis nepiederīgai trešai personai datus, kas tiek glabāti elektroniskās datu apstrādes sistēmā ([VDAR] 2. panta 1. punkts, 5. panta 1. punkta f) apakšpunkts, 6. panta 1. punkts un 24. pants)?

5) Vai nemateriāls kaitējums [VDAR] 82. panta izpratnē ir nodarīts pat tad, ja personas datus ietverošo dokumentu saņēmusī trešā persona nav iepazinusies ar šiem datiem pirms šā dokumenta atdošanas, un vai pat tikai ar to vien, ka persona, kuras dati ir nelikumīgi izpausti, jūtas nepatīkami, ir pietiekami, lai būtu nodarīts nemateriāls kaitējums [VDAR] 82. panta izpratnē, jo jebkādas personas datu nelikumīgas izpaušanas gadījumā nav izslēdzama iespēja, ka dati var tikt nodoti tālāk nezināmam skaitam personu vai pat izmantoti ļaunprātīgi?

6) Par cik smagu ir uzskatāms pārkāpums, ja datu nejaušā nodošana trešai personai ir novēršama, pastiprinot kontroli pār uzņēmumā izpalīgu statusā strādājošajiem darbiniekiem un/vai labāk organizējot datu drošību, piemēram, preču izsniegšanas darbības nodalot no līgumu dokumentācijas, it īpaši dokumentācijas par finansēšanas kārtību, apstrādes darbībām, izmantojot atsevišķu preču izsniegšanas apliecinājumu vai uzņēmuma iekšienē nododot šo dokumentāciju tālāk preču izsniegšanas personālam, neiesaistot klientu, kuram izsniegti izdrukātie dokumenti, tostarp preču saņemšanas tiesības apliecinošs dokuments ([VDAR] 32. panta 1. punkta b) apakšpunkts un 2. punkts, kā arī 4. panta 7. punkts)?

7) Vai atlīdzinājums par nemateriālo kaitējumu ir jāsaprot kā soda piemērošana, kā tas ir līgumsoda gadījumā?”

Par prejudiciālajiem jautājumiem

Par pirmo jautājumu

29 Ar pirmo jautājumu iesniedzējtiesa vēlas noskaidrot, vai VDAR 82. pants nav spēkā tāpēc, ka tajā neesot precizēts, kādām tiesiskajām sekām ir jāiestājas attiecībā uz nemateriālā kaitējuma atlīdzināšanu.

30 Eiropas Parlaments apgalvo, ka šis jautājums ir nepieņemams, jo iesniedzējtiesa – lai arī tajā izvirzīdama īpaši sarežģītu problemātiku, proti, Savienības tiesību normas spēkā esamības vērtējumu, – nav izpildījusi Tiesas Reglamenta 94. panta c) punkta prasības.

31 Saskaņā ar Reglamenta 94. panta c) punktu lūgumā sniegt prejudiciālu nolēmumu papildus Tiesai uzdoto prejudiciālo jautājumu formulējumam citastarp jāietver arī to iemeslu izklāsts, kas likuši iesniedzējtiesai šaubīties par noteiktu Savienības tiesību normu interpretāciju vai spēkā esamību.

32 Šajā ziņā lūguma sniegt prejudiciālu nolēmumu pamatojuma izklāsts ir nepieciešams, lai ne tikai ļautu Tiesai sniegt lietderīgas atbildes, bet arī ļautu dalībvalstu valdībām, kā arī citām ieinteresētajām personām iesniegt apsvērumus saskaņā ar Eiropas Savienības Tiesas statūtu 23. pantu. Proti, Savienības tiesību normas spēkā esamība Tiesai jāvērtē, ņemot vērā tieši lūgumā sniegt prejudiciālu nolēmumu izklāstītos spēkā neesamības pamatus, un tāpēc gadījumā, ja nekur nav skaidri minēti konkrēti iemesli, kādēļ iesniedzējtiesai ir šīs šaubas, jautājumi par minēto spēkā esamību ir nepieņemami (šajā nozīmē skat. spriedumus, 2017. gada 15. jūnijs, T.KUP, C‑349/16, EU:C:2017:469, 16.–18. punkts, un 2023. gada 22. jūnijs, Vitol, C‑268/22, EU:C:2023:508, 52.–55. punkts).

33 Taču šajā gadījumā iesniedzējtiesa nesniedz nevienu konkrētu norādi, kas ļautu Tiesai pārbaudīt VDAR 82. panta spēkā esamību.

34 Tāpēc pirmais jautājums ir atzīstams par nepieņemamu.

Par trešo un ceturto jautājumu

35 Ar trešo un ceturto jautājumu, kuri jāizskata kopā un vispirms, iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 5., 24., 32. un 82. pants, aplūkojot tos vienkopus, ir jāinterpretē tādējādi, ka atlīdzinājuma prasībā – kas celta, pamatojoties uz 82. pantu, – ar apstākli, ka pārziņa darbinieki kļūdas pēc ir nodevuši nepiederīgai trešai personai dokumentu, kurā ir personas dati, pašu par sevi ir pietiekami, lai uzskatītu, ka attiecīgā pārziņa īstenotie tehniskie un organizatoriskie pasākumi nav bijuši “atbilstoši” jeb “atbilstīgi” 24. un 32. panta izpratnē.

36 VDAR 24. pantā personas datu pārzinim ir noteikts vispārīgs pienākums īstenot pienācīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka minētā apstrāde tiek veikta atbilstīgi šai regulai, un spētu to pierādīt (spriedums, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 24. punkts).

37 Savukārt VDAR 32. pantā ir precizēti pārziņa un iespējamā apstrādātāja pienākumi attiecībā uz šīs apstrādes drošību. Tādējādi šā panta 1. punkts noteic, ka tiem jāīsteno pienācīgi tehniskie un organizatoriskie pasākumi, lai nodrošinātu ar minēto apstrādi saistītajiem riskiem atbilstošu drošības līmeni, ņemot vērā esošo tehnikas attīstības līmeni, īstenošanas izmaksas, kā arī attiecīgās apstrādes raksturu, apmēru, kontekstu un nolūkus. Arī minētā panta 2. punkts noteic, ka, novērtējot atbilstīgo drošības līmeni, jāņem vērā jo īpaši ar apstrādi saistītie riski, kas izriet tostarp no nejaušas vai nelikumīgas personas datu iznīcināšanas, nozaudēšanas, pārveidošanas, neatļautas izpaušanas vai piekļuves tiem (šajā nozīmē skat. spriedumu, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 26. un 27. punkts).

38 Tādējādi no VDAR 24. un 32. panta formulējumiem izriet, ka pārziņa īstenoto pasākumu piemērotība ir konkrēti jāvērtē, ņemot vērā gan šajos pantos noteiktos dažādos kritērijus, gan konkrēti attiecīgajai apstrādei raksturīgās datu aizsardzības vajadzības un ar šo apstrādi saistītos riskus; vēl jo vairāk tāpēc, ka minētajam pārzinim ir jāspēj pierādīt minēto pasākumu atbilstību šai regulai, taču šī iespēja tam tiktu liegta, ja tiktu pieļauta neatspēkojama prezumpcija (šajā nozīmē skat. spriedumu, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 30.–32. punkts).

39 Apstiprinājums šai gramatiskajai interpretācijai ir rodams, lasot 24. un 32. pantu kopsakarā ar minētās regulas 5. panta 2. punktu un 82. pantu, kas savukārt lasāmi tās 74., 76. un 83. apsvēruma gaismā; proti, no šā lasījuma izriet konkrēti tas, ka pārzinim ir jāmazina personas datu pārkāpuma riski, nevis jānovērš ikviens datu pārkāpums (šajā nozīmē skat. spriedumu, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 33.– 38. punkts).

40 Tāpēc VDAR 24. un 32. pantu Tiesa ir interpretējusi tādējādi, ka ar personas datu neatļautu izpaušanu vai “trešo personu” – šīs regulas 4. panta 10. punkta izpratnē – veiktu neatļautu piekļuvi šādiem datiem nav pietiekami, lai uzskatītu, ka attiecīgā pārziņa īstenotie tehniskie un organizatoriskie pasākumi nav “atbilstoši” jeb “atbilstīgi” 24. un 32. panta izpratnē (spriedums, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 39. punkts).

41 Šajā gadījumā apstāklis, ka pārziņa darbinieki kļūdas pēc ir nodevuši nepiederīgai trešai personai dokumentu, kurā ir personas dati, varētu liecināt, ka attiecīgā pārziņa īstenotie tehniskie un organizatoriskie pasākumi nav bijuši “atbilstoši” jeb “atbilstīgi” minētā 24. un 32. panta izpratnē. Konkrēti šāds apstāklis var izrietēt no nolaidības vai organizatoriska trūkuma, ko pārzinis pieļauj, neņemdams konkrēti vērā ar attiecīgo datu apstrādi saistītos riskus.

42 Šajā ziņā jāuzsver, ka no VDAR 5., 24. un 32. panta, lasot tos šīs regulas 74. apsvēruma gaismā, izriet, ka atlīdzinājuma prasībā – kas celta, pamatojoties uz šīs regulas 82. pantu, – pienākums pierādīt, ka personas dati tiek apstrādāti tā, lai nodrošinātu to pienācīgu drošību minētās regulas 5. panta 1. punkta f) apakšpunkta un 32. panta izpratnē, ir attiecīgajam pārzinim. Šāda pierādīšanas pienākuma sadale ne vien spēj mudināt šo datu pārziņus noteikt VDAR prasītos drošības pasākumus, bet arī saglabāt lietderīgo iedarbību šīs regulas 82. pantā paredzētajām tiesībām uz atlīdzinājumu un ievērot tās 11. apsvērumā minētos Savienības likumdevēja nodomus (šajā nozīmē skat. spriedumu, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 49.–56. punkts).

43 Tāpēc VDAR 5. panta 2. punktā noteikto un tās 24. pantā konkretizēto pārziņa pārskatatbildības principu Tiesa ir interpretējusi tādējādi, ka atlīdzinājuma prasībā – kas celta, pamatojoties uz šīs regulas 82. pantu, – attiecīgajam pārzinim ir pienākums pierādīt, ka drošības pasākumi, kurus tas īstenojis saskaņā ar minētās regulas 32. pantu, ir pienācīgi (spriedums, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 57. punkts).

44 Tādējādi tiesa – kurā, pamatojoties uz VDAR 82. pantu, ir celta šāda prasība atlīdzināt kaitējumu –, noskaidrojot, vai eksistē šajā regulā paredzētā pienākuma neizpilde, nevar ņemt vērā to apstākli vien, ka pārziņa darbinieki kādai nepiederīgai trešai personai ir kļūdas pēc nodevuši personas datus ietverošu dokumentu. Proti, šai tiesai jāņem vērā arī visi pierādījumi, ko pārzinis ir sniedzis, lai pierādītu, ka tehniskie un organizatoriskie pasākumi, kurus tas veicis, lai izpildītu savus pienākumus saskaņā ar minētās regulas 24. un 32. pantu, ir piemēroti.

45 Ņemot vērā iepriekš izklāstītos apsvērumus, uz trešo un ceturto jautājumu ir atbildams, ka VDAR 5., 24., 32. un 82. pants, aplūkojot tos vienkopus, ir jāinterpretē tādējādi, ka atlīdzinājuma prasībā – kas celta, pamatojoties uz 82. pantu, – ar apstākli, ka pārziņa darbinieki kļūdas pēc ir nodevuši nepiederīgai trešai personai dokumentu, kurā ir personas dati, pašu par sevi nav pietiekami, lai uzskatītu, ka attiecīgā pārziņa īstenotie tehniskie un organizatoriskie pasākumi nav bijuši “atbilstoši” jeb “atbilstīgi” 24. un 32. panta izpratnē.

Par septīto jautājumu

46 Ar septīto jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 82. pants ir jāinterpretē tādējādi, ka šajā tiesību normā paredzētajām tiesībām uz atlīdzinājumu, it īpaši nemateriālā kaitējuma gadījumā, ir sodoša funkcija.

47 Šajā ziņā Tiesa ir nospriedusi, ka VDAR 82. pantam ir nevis sodoša, bet gan kompensējoša funkcija, un šajā ziņā tas atšķiras no citām šīs regulas tiesību normām, kas arī ir ietvertas tās VIII nodaļā, proti, tās 83. un 84. panta, kuri savukārt būtībā ir vērsti uz sodīšanu, jo pirmais no tiem ļauj piemērot administratīvus naudas sodus un otrais – citas sankcijas. Mijiedarbības attiecības starp noteikumiem, kas ietverti šīs regulas 82. pantā, un tiem, kuri ietverti tās 83. un 84. pantā, norāda uz atšķirību starp šīm abām tiesību normu kategorijām, bet vienlaikus arī liecina par šo normu savstarpējo komplementaritāti tajā ziņā, ka tās visas mudina ievērot VDAR, ņemot vērā, ka ikvienas personas tiesības prasīt kaitējuma atlīdzinājumu pastiprina šajā regulā paredzēto aizsardzības noteikumu operativitāti un var atturēt no prettiesiskas rīcības atkārtošanas (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 38. un 40. punkts, kā arī 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 85. punkts).

48 Tiesa ir precizējusi, ka, tā kā VDAR 82. panta 1. punktā paredzētajām tiesībām uz atlīdzinājumu ir nevis preventīva jeb pat sodoša funkcija, bet gan kompensējoša funkcija, attiecīgo kaitējumu izraisījušā šīs regulas pārkāpuma smagums nevar ietekmēt saskaņā ar šo tiesību normu piešķiramās zaudējumu atlīdzības summu pat tad, ja šis kaitējums ir nevis materiāls, bet gan nemateriāls, un tāpēc šo summu nedrīkst noteikt tādā apmērā, kas pārsniegtu pilnīgu šā kaitējuma atlīdzinājumu (šajā nozīmē skat. spriedumu, 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86. un 87. punkts).

49 No iepriekš minētā izriet, ka par iesniedzējtiesas apsvērto mērķa, kādam 82. panta 1. punktā ir nostiprinātas tiesību uz atlīdzinājumu, piesaisti līgumsodam piemītošajai sodošajai funkcijai nav jālemj.

50 Tāpēc uz septīto jautājumu ir atbildams, ka VDAR 82. panta 1. punkts ir jāinterpretē tādējādi, ka šajā tiesību normā paredzētajām tiesībām uz atlīdzinājumu, tostarp nemateriāla kaitējuma gadījumā, ir kompensējoša funkcija – jo finansiālajam atlīdzinājumam, kas balstīts uz minēto tiesību normu, ir jāļauj pilnībā atlīdzināt šīs regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu –, taču ne sodoša funkcija.

Par sesto jautājumu

51 Ar sesto jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. pants ir jāinterpretē tādējādi, ka šajā pantā ir prasīts, lai pārziņa izdarītā šīs regulas pārkāpuma smaguma pakāpe tiktu ņemta vērā, lai atlīdzinātu kaitējumu, pamatojoties uz šo tiesību normu.

52 Šajā ziņā no VDAR 82. panta izriet, ka, pirmkārt, pārziņa atbildības iestāšanās ir tostarp pakārtota tā vainas esamībai, kura tiek prezumēta, ja vien pārzinis nepierāda, ka kaitējumu izraisījušais notikums tam nekādi nav piedēvējams, un, otrkārt, 82. pants neprasa, lai, nosakot zaudējumu atlīdzības summu, kas piešķirama atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu, tiktu ņemta vērā šīs vainas pakāpe (spriedums, 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 103. punkts).

53 Par atbilstoši VDAR 82. pantam iespējami maksājamās zaudējumu atlīdzības summas aprēķinu jāteic, ka – tā kā šajā regulā par to nav nekas noteikts –, lai novērtētu šo zaudējumu apmēru, valstu tiesām jāpiemēro katras dalībvalsts iekšējie noteikumi par finansiālā atlīdzinājuma apmēru, ja vien tiek ievēroti Savienības tiesību līdzvērtības un efektivitātes principi (šajā nozīmē skat. spriedumu, 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 83. un 101. punkts, kā arī tajos minētā judikatūra).

54 Turklāt Tiesa ir precizējusi, ka – ņemot vērā kompensējošo funkciju, kas piemīt VDAR 82. pantā paredzētajām tiesībām uz atlīdzinājumu, – šī norma neprasa, lai, nosakot zaudējumu atlīdzības summu, kas piešķirama atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu, tiktu ņemta vērā smaguma pakāpe, kāda piemīt šīs regulas pārkāpumam, par kuru tiek pieņemts, ka to ir izdarījis pārzinis, bet gan prasa, lai šī summa tiktu noteikta tā, lai pilnībā kompensētu par minētās regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu (šajā nozīmē skat. spriedumu, 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 84.–87. un 102. punkts, kā arī tajos minētā judikatūra).

55 Ievērojot iepriekš izklāstītos apsvērumus, uz sesto jautājumu ir atbildams, ka VDAR 82. pants ir jāinterpretē tādējādi, ka šajā pantā nav prasīts, lai pārziņa izdarītā pārkāpuma smaguma pakāpe tiktu ņemta vērā, lai atlīdzinātu kaitējumu, pamatojoties uz šo tiesību normu.

Par otro jautājumu

56 Ar otro jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 82. panta 1. punkts ir jāinterpretē tādējādi, ka personai, kas lūdz atlīdzinājumu saskaņā ar šo tiesību normu, ir jāpierāda ne tikai šīs regulas normu pārkāpums, bet arī tas, ka šā pārkāpuma dēļ tai ir nodarīts materiāls vai nemateriāls kaitējums.

57 Šajā ziņā jāatgādina, ka saskaņā ar VDAR 82. panta 1. punktu “jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu”.

58 No šīs tiesību normas formulējuma izriet, ka ar VDAR pārkāpumu vien nepietiek, lai varētu piešķirt tiesības uz atlīdzinājumu. Proti, “nodarīta” “kaitējuma” esamība ir viens no šajā 82. panta 1. punktā paredzēto tiesību uz atlīdzinājumu nosacījumiem, tāpat kā šīs regulas pārkāpuma esamība un cēloņsakarība starp šo kaitējumu un šo pārkāpumu, un šie trīs nosacījumi ir kumulatīvi (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 32. un 42. punkts; 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 77. punkts; 2023. gada 14. decembris, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 14. punkts, kā arī 2023. gada 21. decembris, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 82. punkts).

59 Konkrētāk attiecībā uz nemateriālo kaitējumu Tiesa ir arī nospriedusi, ka VDAR 82. panta 1. punktam ir pretrunā tāda valsts tiesību norma vai prakse, saskaņā ar kuru nemateriālā kaitējuma atlīdzināmība šīs tiesību normas izpratnē ir pakārtota nosacījumam, ka datu subjektam – kas definēts šīs regulas 4. panta 1. punktā – nodarītais kaitējums ir sasniedzis noteiktu smaguma pakāpi (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 51. punkts; 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 78. punkts, kā arī 2023. gada 14. decembris, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 16. punkts).

60 Tiesa ir precizējusi, ka personai, kuru skāris tai nelabvēlīgas sekas radošs VDAR pārkāpums, tomēr jāpierāda, ka šīs sekas ir kvalificējamas kā nemateriālais kaitējums šīs regulas 82. panta izpratnē, jo ar tās tiesību normu pārkāpumu vien nepietiek, lai varētu piešķirt tiesības uz atlīdzinājumu (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 42. un 50. punkts; 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 84. punkts, kā arī 2023. gada 14. decembris, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 21. un 23. punkts).

61 Ievērojot iepriekš izklāstītos apsvērumus, uz otro jautājumu ir atbildams, ka VDAR 82. panta 1. punkts ir jāinterpretē tādējādi, ka personai, kas lūdz atlīdzinājumu saskaņā ar šo tiesību normu, ir jāpierāda ne tikai šīs regulas normu pārkāpums, bet arī tas, ka šā pārkāpuma dēļ tai ir nodarīts materiāls vai nemateriāls kaitējums.

Par piekto jautājumu

62 Ar piekto jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. panta 1. punkts ir jāinterpretē tādējādi, ka gadījumā, ja personas datus ietverošs dokuments ir ticis nodots nepiederīgai trešai personai, kura – kā konstatēts – nav ar tiem iepazinusies, par “nemateriālu kaitējumu” šīs tiesību normas izpratnē var būt uzskatāms jau tas vien, ka datu subjekts ir nobažījies, ka pēc šīs izpaušanas, kas devusi iespēju izgatavot minētā dokumenta kopiju pirms tā atdošanas, viņa dati nākotnē varētu tikt izplatīti vai pat ļaunprātīgi izmantoti.

63 Jāpiebilst – šī tiesa norāda, ka šajā lietā dokuments, kurā bija ietverti attiecīgie dati, tika atdots prasītājam pamatlietā pusstundas laikā no brīža, kad tas bija nodots nepiederīgai trešai personai, un ka šī trešā persona nav iepazinusies ar šiem datiem, kamēr šis dokuments bija tās rīcībā, taču minētais prasītājs apgalvo, ka šīs nodošanas dēļ šai trešai personai esot bijusi iespēja izgatavot dokumenta kopijas pirms tā atdošanas atpakaļ un tāpēc viņam ir iemesls bažīties, jo ir risks, ka minētie dati tiks ļaunprātīgi izmantoti nākotnē.

64 Ņemot vērā, ka VDAR 82. panta 1. punktā nav nevienas atsauces uz dalībvalstu tiesībām, jēdziens “nemateriālais kaitējums” šīs tiesību normas izpratnē ir jādefinē autonomi un vienveidīgi – Savienības tiesībām specifiskā veidā (šajā nozīmē skat. spriedumus, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 30. un 44. punkts, kā arī 2023. gada 14. decembris, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 15. punkts).

65 Tiesa ir nospriedusi, ka ne tikai no VDAR 82. panta 1. punkta formulējuma – lasot to kontekstā ar šīs regulas 85. un 146. apsvērumu, kuros ir rodams aicinājums jēdzienu “nemateriālais kaitējums” šīs pirmās minētās tiesību normas izpratnē interpretēt plaši –, bet arī no šīs regulas mērķa nodrošināt fizisko personu augsta līmeņa aizsardzību attiecībā uz personas datu apstrādi izriet, ka šīs regulas pārkāpuma dēļ datu subjektam radušās bažas par to, ka trešās personas varētu ļaunprātīgi izmantot tā personas datus, pašas par sevi var būt “nemateriālais kaitējums” 82. panta 1. punkta izpratnē (šajā nozīmē skat. spriedumu, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 79.–86. punkts).

66 Turklāt Tiesa – arī pamatojoties uz gramatiskiem, sistēmiskiem un teleoloģiskiem apsvērumiem – ir atzinusi, ka kontroles zudums pār personas datiem īsā laikposmā var radīt datu subjektam “nemateriālu kaitējumu” VDAR 82. panta 1. punkta izpratnē, kas dod tiesības uz atlīdzinājumu, ja vien šis subjekts pierāda, ka tam šāds kaitējums – lai cik niecīgs tas arī būtu – patiešām ir nodarīts, tomēr atgādinot, ka ar vienkāršu šīs regulas tiesību normu pārkāpumu vien nepietiek, lai varētu piešķirt tiesības uz atlīdzinājumu (šajā nozīmē skat. spriedumu, 2023. gada 14. decembris, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 18.–23. punkts).

67 Tāpat šajā gadījumā jānorāda, ka gan VDAR 82. panta 1. punkta formulējumam, gan šajā regulā izvirzītajam aizsardzības mērķim ir atbilstīgi tas, ka jēdziens “nemateriālais kaitējums” ietver situāciju, kurā datu subjekts ir pamatoti nobažījies – to pārbaudīt gan ir lietu izskatošās valsts tiesas ziņā – par to, ka tāpēc, ka viņa personas datus ietverošs dokuments ir ticis nodots kādai nepiederīgai trešai personai, kurai tādējādi ir bijusi iespēja izgatavot šā dokumenta kopijas pirms tā atdošanas, viņa personas datus nākotnē varētu izplatīt vai ļaunprātīgi izmantot trešās personas.

68 Tomēr šāda kaitējuma esamība ir jāpierāda prasītājam, kas ceļ atlīdzinājuma prasību, pamatojoties uz VDAR 82. pantu. Proti, tīri hipotētisks risks, ka datus varētu ļaunprātīgi izmantot kāda nepiederīga trešā persona, nevar būt pamats atlīdzinājumam. Tas tā ir tad, ja ar attiecīgajiem personas datiem nav iepazinusies neviena trešā persona.

69 Līdz ar to uz piekto jautājumu ir atbildams, ka VDAR 82. panta 1. punkts ir jāinterpretē tādējādi, ka gadījumā, ja personas datus ietverošs dokuments ir ticis nodots nepiederīgai trešai personai, kura – kā konstatēts – nav ar tiem iepazinusies, tas vien, ka datu subjekts ir nobažījies, ka pēc šīs izpaušanas, kas devusi iespēju izgatavot minētā dokumenta kopiju pirms tā atdošanas, viņa dati nākotnē varētu tikt izplatīti vai pat ļaunprātīgi izmantoti, šīs tiesību normas izpratnē nav uzskatāms par “nemateriālu kaitējumu”.

Par tiesāšanās izdevumiem

70 Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (trešā palāta) nospriež:

1) Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 5., 24., 32. un 82. pants, aplūkojot tos vienkopus,