–

AT ir VX, atstovaujamų Rechtsanwalt O. Leuze,

–

Gemeinde Ummendorf, atstovaujamos Rechtsanwalt A. Staudacher,

–

Airijos, atstovaujamos M. Browne, A. Joyce ir M. Tierney, padedamų BL D. Fennelly,

–

Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg,

1

Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 82 straipsnio 1 dalies išaiškinimo.

2

Šis prašymas pateiktas nagrinėjant dviejų fizinių asmenų AT ir VX ginčą su Gemeinde Ummendorf (Umendorfo savivaldybė, Vokietija) dėl žalos atlyginimo pagal BDAR 82 straipsnio 1 dalį kaip kompensacijos už ištvertas kančias (pretium doloris), kurias jie teigia patyrę dėl asmens duomenų atskleidimo be jų sutikimo šios savivaldybės interneto svetainėje.

3

BDAR 146 konstatuojamosios dalies trečias ir šeštas sakiniai suformuluoti taip:

„[B]et kokią žalą, kurią asmuo gali patirti dėl duomenų tvarkymo pažeidžiant šį reglamentą, turėtų atlyginti duomenų valdytojas arba duomenų tvarkytojas. <…> Žalos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į [Europos Sąjungos] Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai. <…> Duomenų subjektai už patirtą žalą turėtų gauti visą ir veiksmingą kompensaciją. <…>“

4

Šio reglamento 5 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 1 dalies a punkte nustatyta:

„Asmens duomenys turi būti:

5

Minėto reglamento 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1 dalyje numatyta:

„Bet kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ir neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.“

6

2020 m. birželio 19 d. Umendorfo savivaldybė be ieškovų pagrindinėje byloje sutikimo internete paskelbė savivaldybės tarybos posėdžio darbotvarkę, kurioje jų pavardės buvo nurodytos kelis kartus, taip pat 2020 m. kovo 10 d.Verwaltungsgericht Sigmaringen (Sigmaringeno administracinis teismas, Vokietija) sprendimą, kuriame taip pat buvo nurodyti jų vardai, pavardės ir gyvenamosios vietos adresas. Su šiais dokumentais buvo galima susipažinti šios savivaldybės interneto svetainės pagrindiniame puslapyje iki 2020 m. birželio 22 d.

7

Manydami, kad šiuo paskelbimu buvo pažeistas BDAR ir kad Umendorfo savivaldybė veikė tyčia, nes buvo pašalintos kitų proceso, kuriam vykstant buvo priimtas minėtas sprendimas, šalių pavardės, ieškovai pagrindinėje byloje siekė, kad savivaldybė atlygintų, jų teigimu, patirtą neturtinę žalą, kaip ji suprantama pagal šio reglamento 82 straipsnio 1 dalį. Jų nuomone, neteisėtas asmens duomenų atskleidimas yra „žala“, kaip ji suprantama pagal šią nuostatą, ir negalima remtis „de minimis riba“, kuri prieštarautų BDAR struktūrai ir šios nuostatos atgrasomajam poveikiui.

8

Vis dėlto Umendorfo savivaldybė laikosi nuomonės, kad siekiant kompensacijos už patirtą „neturtinę žalą“, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį, reikia įrodyti konkretų neigiamą poveikį ir objektyviai suprantamą asmeninių interesų pažeidimą.

9

Gavęs apeliacinį skundą Landgericht Ravensburg (Ravensburgo apygardos teismas, Vokietija), kuris yra prašymą priimti prejudicinį sprendimą pateikęs teismas, mano, kad paskelbdama internete ieškovų pagrindinėje byloje asmens duomenis Umendorfo savivaldybė pažeidė BDAR 5 straipsnio 1 dalies a punktą. Vis dėlto tas teismas abejoja, ar dėl duomenų paskelbimo ieškovai patyrė neturtinę žalą, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį, kad jie turėtų teisę į kompensaciją už patirtas kančias.

10

Konkrečiai kalbant, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, jog nepakanka vien aplinkybės, kad ieškovai pagrindinėje byloje prarado asmens duomenų kontrolę, kad būtų nustatyta neturtinė žala, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį. Jis teigia, jog tam, kad būtų pripažinta, jog patirta neturtinė žala, turi būti viršyta „de minimis riba“, o šiuo atveju taip nėra, nes duomenų subjektai prarado savo duomenų kontrolę tik trumpą laiką, tačiau dėl to nepatyrė konkrečios žalos ir nebuvo įrodyta, kad buvo pažeisti jų objektyviai suvokiami asmeniniai interesai.

11

Šiomis aplinkybėmis Landgericht Ravensburg (Ravensburgo apygardos teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:

„Ar neturtinės žalos sąvoka [BDAR] 82 straipsnio 1 dalyje turi būti aiškinama taip, kad neturtinės žalos prezumpcijai būtinas konkretus neigiamas poveikis ir objektyviai suvokiamas asmeninių interesų pažeidimas, ar tam pakanka aplinkybės, kad duomenų subjektas tik trumpam laikui prarado savo duomenų kontrolę, nes asmens duomenys kelias dienas buvo prieinami internete, bet tai neturėjo duomenų subjektui jokių apčiuopiamų ar neigiamų pasekmių?“

12

Savo klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai arba praktika, nustatantys „de minimis ribą“, skirtą šio reglamento pažeidimu padarytai neturtinei žalai apibrėžti.

13

Šiuo klausimu reikia priminti, kad šioje nuostatoje numatyta, jog „[b]et kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ir neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą“.

14

Kaip yra pabrėžęs Teisingumo Teismas, iš BDAR 82 straipsnio 1 dalies formuluotės aiškiai matyti, kad „patirta“„žala“ yra viena iš šioje nuostatoje numatytos teisės į kompensaciją sąlygų, kaip ir sąlygos, kad turi būti konstatuotas šio reglamento pažeidimas ir priežastinis ryšys tarp žalos ir šio pažeidimo; šios trys sąlygos yra kumuliacinės (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 32 punktas; ir šios dienos sprendimo Natsionalna agentsia za prihodite, C‑340/21, 77 punktas). Darytina išvada, kad šios trys sąlygos yra būtinos ir pakankamos, kad atsirastų teisė į kompensaciją, kaip tai suprantama pagal minėtą nuostatą.

15

Atsižvelgiant į tai, kad BDAR 82 straipsnio 1 dalyje nėra jokios nuorodos į valstybių narių nacionalinę teisę, sąvoka „neturtinė žala“, kaip ji suprantama pagal šią nuostatą, turi būti apibrėžta savarankiškai ir vienodai pagal Sąjungos teisę (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 30 ir 44 punktus).

16

Atsižvelgdamas į tai, Teisingumo Teismas, remdamasis pažodiniu, sisteminiu ir teleologiniu požiūriu, BDAR 82 straipsnio 1 dalį aiškino taip, kad pagal ją draudžiama nacionalinė teisės norma ar praktika, pagal kurią kompensacija, kaip tai suprantama pagal šią nuostatą, už neturtinę žalą siejama su sąlyga, kad duomenų subjekto patirta žala turi pasiekti tam tikrą sunkumo laipsnį (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 51 punktas ir šios dienos Sprendimo Natsionalna agentsia za prihodite, C‑340/21, 78 punktas).

17

Taigi negalima teigti, kad, be šio sprendimo 14 punkte nurodytų trijų sąlygų, galima įtraukti ir kitas BDAR 82 straipsnio 1 dalyje numatytas atsakomybės atsiradimo sąlygas, kaip antai konkrečią žalą ar pažeidimo objektyvų pobūdį.

18

Darytina išvada, jog BDAR 82 straipsnio 1 dalyje nereikalaujama, kad, nustačius šio reglamento nuostatų pažeidimą, duomenų subjekto nurodyta „neturtinė žala“ turi pasiekti „de minimis ribą“, kad galėtų būti atlyginta.

19

Tokį aiškinimą patvirtina BDAR 146 konstatuojamosios dalies trečias sakinys, kuriame nurodyta, kad „[ž]alos sąvoka turėtų būti aiškinama plačiai, atsižvelgiant į Teisingumo Teismo praktiką, taip, kad būtų visapusiškai atspindėti šio reglamento tikslai“. Vis dėlto tokiam plačiam sąvokos „žala“ aiškinimui, kuriam pritarė Sąjungos teisės aktų leidėjas, būtų prieštaraujama, jei minėta sąvoka apimtų tik tam tikro dydžio žalą, ypač kiek tai susiję su laikotarpiu, per kurį duomenų subjektai patyrė neigiamų šio reglamento pažeidimo pasekmių (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 46 punktą ir šios dienos Sprendimo Natsionalna agentsia za prihodite, C‑340/21, 81 punktą).

20

Be to, toks aiškinimas atitinka vieną iš BDAR tikslų – visoje Sąjungoje užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą, tvarkant jų asmens duomenis. Jeigu neturtinės žalos kompensavimas būtų siejamas su tam tikru jos dydžiu, tai galėtų pakenkti BDAR nustatytos sistemos nuoseklumui, nes tam tikro dydžio matavimas, nuo kurio priklausytų galimybė atlyginti žalą, galėtų kisti, nelygu bylą nagrinėjančių teismų vertinimai (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 48 ir 49 punktus).

21

Asmuo, kurio atžvilgiu padarytas BDAR pažeidimas ir kuris patyrė neigiamų pasekmių, vis dėlto turi įrodyti, kad šios pasekmės sudaro neturtinę žalą, kaip ji suprantama pagal šio reglamento 82 straipsnį (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 50 punktą ir šios dienos Sprendimo Natsionalna agentsia za prihodite, C‑340/21, 84 punktą). Iš tiesų vien šio reglamento nuostatų pažeidimo nepakanka, kad atsirastų teisė į kompensaciją (2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 42 punktas).

22

Šiomis aplinkybėmis, nors niekas neprieštarauja tam, kad asmens duomenų paskelbimas internete ir vėlesnis jų kontrolės praradimas trumpą laikotarpį galėtų lemti duomenų subjektams „neturtinę žalą“, kaip ji suprantama pagal BDAR 82 straipsnio 1 dalį, dėl kurios atsiranda teisė į kompensaciją, dar reikia, kad šie asmenys įrodytų, jog iš tikrųjų patyrė tokią žalą, nors ir minimalią.

23

Atsižvelgiant į tai, kas išdėstyta, į pateiktą klausimą reikia atsakyti, kad BDAR 82 straipsnio 1 dalis turi būti aiškinama taip: pagal ją draudžiami nacionalinės teisės aktai arba praktika, nustatantys „de minimis ribą“, skirtą šio reglamento pažeidimu padarytai neturtinei žalai apibrėžti. Duomenų subjektas privalo įrodyti, kad šio pažeidimo pasekmės, kurias jis teigia patyręs, yra žala, o ši skiriasi nuo paprasto šio reglamento nuostatų pažeidimo.

24

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 82 straipsnio 1 dalis

turi būti aiškinama taip:

pagal ją draudžiami nacionalinės teisės aktai arba praktika, nustatantys „de minimis ribą“, skirtą šio reglamento pažeidimu padarytai neturtinei žalai apibrėžti. Duomenų subjektas privalo įrodyti, kad šio pažeidimo pasekmės, kurias jis teigia patyręs, yra žala, o ši skiriasi nuo paprasto šio reglamento nuostatų pažeidimo.