Решение от 04.09.2025 по дело C-0655/2023 на СЕС

За правото на защита на личните данни при незаконосъобразно обработване и правото на обезщетение

Кратко резюме на спора

- Преюдициалното запитване е във връзка със спор между физическо лице (IP) и банка (Quirin Privatbank AG) относно неразрешено разкриване...
Абонирайте се, за да прочетете резюмето на спора.

РЕШЕНИЕ НА СЪДА (четвърти състав)

4 септември 2025 година ( *1 )

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Права на субекта на данни — Член 17 — Право на изтриване на данни — Член 18 — Право на ограничаване на обработването — Член 79 — Право на ефективна съдебна защита — Незаконосъобразно обработване на лични данни — Иск с цел да се разпореди на администратора занапред да се въздържа от повторно незаконосъобразно обработване — Основание — Условия — Член 82, параграф 1 — Право на обезщетение — Понятието „нематериални вреди“ — Изчисляване на обезщетението — Евентуално отчитане на степента на вина на администратора — Евентуално отражение на ползването от „разпореждане за въздържане от действия“

По дело C‑655/23

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Bundesgerichtshof (Федерален върховен съд, Германия) с акт от 26 септември 2023 г., постъпил в Съда на 7 ноември 2023 г., в рамките на производство по дело

IP срещу

Quirin Privatbank AG,

СЪДЪТ (четвърти състав),

състоящ се от: I. Jarukaitis, председател на състава, N. Jääskinen (докладчик), Aл. Арабаджиев, M. Condinanzi и R. Frendo, съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

– за IP, от M. Rodenhausen, Rechtsanwältin,

– за Quirin Privatbank AG, от F. Buchmann, Rechtsanwalt,

– за Европейската комисия, от A. Bouchagiar и M. Heller, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 20 март 2025 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на членове 17, 18, 79, 82 и 84 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“).

2 Запитването е отправено в рамките на спор между IP, физическо лице, и Quirin Privatbank AG, дружество, относно искането на това лице, от една страна, посоченото дружество да бъде задължено да се въздържа от повторно неразрешено разкриване на трети страни на личните му данни, и от друга, да бъдат поправени нематериалните вреди, за които се твърди, че са претърпени вследствие на първоначалното разкриване на тези данни.

Правна уредба

Правото на Съюза

3 Съображения 1, 10, 11, 75, 85 и 146 от ОРЗД имат следния текст:

„(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…] (10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […] Настоящият регламент оставя и известна свобода на действие на държавите членки да конкретизират съдържащите се в него правила, включително по отношение на обработването на специални категории лични данни („чувствителни данни“). В този смисъл настоящият регламент не изключва право на държавите членки, което определя обстоятелствата за специални случаи на обработване, включително по-точно определяне на условията, при които обработването на лични данни е законосъобразно.

(11)

Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки.

[…] (75)

Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация, или други значителни икономически или социални неблагоприятни последствия; или когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни; […]

[…] (85)

Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. […]

[…] (146)

Администраторът или обработващият лични данни следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава настоящия регламент. Администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. Това не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или правото на държава членка. Обработване на данни, което нарушава настоящия регламент, включва и обработване, което нарушава делегираните актове и актовете за изпълнение, приети в съответствие с настоящия регламент, и правото на държава членка, конкретизиращо правилата на настоящия регламент. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. […]“.

4 Член 1 („Предмет и цели“) от ОРЗД предвижда в параграф 2:

„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

5 Съгласно член 4 („Определения“) от този регламент:

„За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като […] разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…] 7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…] 10) „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

[…] 12) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

[…]“.

6 В глава II („Принципи“) от ОРЗД се намират членове 5—11 от този регламент.

7 Член 5 („Принципи, свързани с обработването на лични данни“) от посочения регламент предвижда:

„1.Личните данни са:

а) обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б) събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели […] („ограничение на целите“);

в) подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

[…] е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2.Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

8 Член 6 („Законосъобразност на обработването“) от същия регламент предвижда в параграф 1:

„Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

а) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

[…]“.

9 В глава III („Права на субекта на данни“) от ОРЗД се намират членове 12—23 от този регламент.

10 Поместен в раздел 3 („Коригиране и изтриване“) от същата глава III, член 17 („Право на изтриване (право „да бъдеш забравен“)“) от цитирания регламент предвижда в параграф 1:

„Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

[…] в) субектът на данните възразява срещу обработването съгласно член 21, параграф 1 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2;

г) личните данни са били обработвани незаконосъобразно;

[…]“.

11 Поместен пак в раздел 3, член 18 („Право на ограничаване на обработването“) от същия регламент предвижда в параграф 1:

„Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:

[…] б) обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в) администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

[…]“.

12 В глава VIII („Средства за правна защита, отговорност за причинени вреди и санкции“) от ОРЗД се намират членове 77—84 от този регламент.

13 Член 77 от ОРЗД е озаглавен „Право на подаване на жалба до надзорен орган“, а член 78 от този регламент — „Право на ефективна съдебна защита срещу надзорен орган“.

14 Член 79 („Право на ефективна съдебна защита срещу администратор или обработващ лични данни“) от същия регламент предвижда в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

15 Съгласно член 82 („Право на обезщетение и отговорност за причинени вреди“) от ОРЗД:

„1.Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

[…] 3.Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

[…]“.

16 Член 83 („Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“) от този регламент предвижда в параграф 2:

„[…] Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

а) естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б) дали нарушението е извършено умишлено или по небрежност;

в) действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

[…] к) всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението“.

17 Член 84 („Санкции“) от споменатия регламент предвижда в параграф 1:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

Германското право

18 Съгласно член 2, параграф 1 от Grundgesetz für die Bundesrepublik Deutschland (Основен закон на Федерална република Германия) от 23 май 1949 г. (BGBl 1949 I, стр. 1), в редакцията му, приложима към спора в главното производство:

„Всеки има право свободно да развива личността си, стига да не нарушава правата на други лица, конституционния ред или моралните норми“.

19 Член 253 („Неимуществени вреди“) от Bürgerliches Gesetzbuch (Граждански кодекс, наричан по-нататък „BGB“), в редакцията му, приложима към спора в главното производство, предвижда:

„(1)Парично обезщетение за неимуществени вреди може да се претендира само в определените от закона случаи.

(2)Когато се дължи обезщетение за вреди, настъпили в резултат от телесно увреждане, увреждане на здравето, накърняване на свободата или на сексуалното самоопределяне, също може да се претендира справедливо парично обезщетение за неимуществените вреди“.

20 Съгласно член 823 („Задължение за поправяне на вреди“) от BGB:

„(1)Който умишлено или поради небрежност противоправно причини другиму смърт, телесно увреждане или увреждане на здравето или накърни неговата свобода, имущество или друго негово право, е длъжен да поправи произтеклите от това вреди.

(2)Същото задължение има и този, който наруши закон, предназначен да защити другиго. Ако според съдържанието на закона той може да бъде нарушен и без да е налице вина, задължението за поправяне на вредите възниква само при наличието на вина“.

21 Член 1004 („Иск за отстраняване и иск за преустановяване на нарушение“) от BGB предвижда в параграф 1:

„Когато е налице посегателство върху правото на собственост без отнемане на владението или държането, собственикът може да поиска от съответния извършител да преустанови това посегателство. Ако има опасения от ново посегателство, собственикът може да поиска издаване на разпореждане за въздържането от такива действия“.

22 Видно от акта за преюдициално запитване, член 1004 от BGB е приложим по аналогия в главното производство към нарушаването на абсолютни права или на закон, предназначен да защити другиго, по смисъла съответно на член 823, параграф 1 и на параграф 2 от този кодекс.

Спорът в главното производство и преюдициалните въпроси

23 Ищецът по главното производство кандидатства чрез професионална социална онлайн мрежа за работа в Quirin Privatbank, дружество по германското право. Впоследствие служителка на това дружество използва системата за електронни съобщения на тази мрежа, за да изпрати на трето лице, което няма отношение към този процес по подбор на служители, предназначено само за ищеца по главното производство съобщение, в което го уведомява, че поисканата от него заплата не е приета, и му предлага друго възнаграждение (наричано по-нататък „процесното съобщение“). Посоченото трето лице, което познава ищеца по главното производство, защото са работили по-рано заедно, му препраща това съобщение и го пита дали последният търси работа.

24 Ищецът по главното производство предявява пред Landgericht Darmstadt (Областен съд Дармщат, Германия) иск, като моли Quirin Privatbank да се осъди, от една страна, да не извършва каквото и да било обработване на личните му данни във връзка с неговата кандидатура, при което би се повторило неразрешеното разкриване на тези данни след изпращането на процесното съобщение, и от друга страна, да му изплати обезщетение за нематериалните вреди, които били резултат от това събитие. Той по същество твърди, че тези вреди се състоят в опасенията му, възникнали поради факта, че поне на едно трето лице, което го познава и работи в същия икономически сектор, е дадена възможност да препрати тези поверителни данни на бивши или потенциални работодатели, да си осигури предимство спрямо него като евентуален конкурент при кандидатстване за работа, както и да стане свидетел на унижението на ищеца в главното производство, изпитано от него поради преговорите му относно заплатата, завършили с неуспех.

25 С решение от 26 май 2020 г. първоинстанционният съд осъжда Quirin Privatbank да преустанови нарушението, упоменато в иска, и да плати на ищеца по главното производство обезщетение в размер на 1000 евро, ведно с лихвите. Quirin Privatbank обжалва това решение.

26 С решение от 2 март 2022 г. Oberlandesgericht Frankfurt (Висш областен съд, Франкфурт, Германия) изменя частично посоченото съдебно решение. Той приема, че ищецът по главното производство има право съгласно член 17, параграф 1 от ОРЗД да изисква Quirin Privatbank да се въздържа от обработването занапред на личните му данни под форма, аналогична на процесното съобщение, и че в тази насока е налице опасност от повторност. От друга страна, той отхвърля искането за обезщетение съгласно член 82 от този регламент по съображение, че действително е налице нарушаване на правилата за защита на личните данни поради предаването на такива данни на трето лице, което няма отношение, но ищецът по главното производство не е представил доказателства за конкретна вреда и дори да се приеме, че последният е преживял унижение, то не може да се квалифицира като нематериална вреда.

27 Ищецът по главното производство и Quirin Privatbank подават ревизионни жалби срещу това решение пред запитващата юрисдикция, Bundesgerichtshof (Федерален върховен съд, Германия). Пред тази юрисдикция първият продължава да поддържа първоначалните си искания, а Quirin Privatbank иска те да бъдат изцяло отхвърлени.

28 Запитващата юрисдикция счита, че действията, оспорени от ищеца по главното производство, попадат в приложното поле на ОРЗД. Тя посочва, че тези действия представляват „обработване“ на „лични данни“ на „субекта на данни“ и че Quirin Privatbank има качеството на „администратор“ по смисъла на член 4, точки 1, 2 и 7 от този регламент. Според нея е безспорно, че въпросните действия под формата на неразрешено предаване на такива данни на „трета страна“ по смисъла на член 4, точка 10 от ОРЗД нарушават разпоредбите на този регламент и са незаконосъобразни съгласно член 6, параграф 1 от него, по-специално защото ищецът по главното производство не е дал съгласието си за тях.

29 Тази юрисдикция иска да се установи, първо, дали ОРЗД предоставя на лицето, чиито лични данни са били предмет на незаконосъобразно обработване, правото да изисква администраторът да се въздържа от повторно такова обработване, включително когато това лице не иска данните му да бъдат изтрити. С оглед на националната съдебна практика и на дискусиите в правната литература по този въпрос посочената юрисдикция иска да се установи дали това право, за което тя уточнява, че се упражнява чисто превантивно, би могло да произтича от член 17 от този регламент относно правото на изтриване, от член 18 от него относно правото на ограничаване на обработването, от член 79 от цитирания регламент относно правото на ефективна съдебна защита срещу администратор или обработващ лични данни или от всякаква друга разпоредба от същия регламент.

30 Второ, в случай на утвърдителен отговор на тези въпроси запитващата юрисдикция иска въз основа на собствената ѝ съдебна практика по член 2 от Основния закон на Федерална република Германия и на прилагане на член 823 във връзка с член 1004 от BGB да се определи, от една страна, дали такова право да се изисква администраторът да се въздържа от ново нарушение на ОРЗД, е обвързано с наличието на опасност от повторност, и от друга страна, такова наличие трябва евентуално да бъде презумирано поради първоначалното нарушение.

31 Трето, в обратния случай — ако на първите две части на първия въпрос бъде даден отрицателен отговор — тази юрисдикция иска да се установи дали от тълкуването на член 79 относно правото на ефективна съдебна защита срещу администратор във връзка с член 84 от ОРЗД относно санкциите при нарушение на този регламент следва, че дадена юрисдикция на държава членка може да наложи такова въздържане от действие на администратора въз основа на национални разпоредби, като същевременно на субекта на данни се предоставят правата, предвидени в членове 17, 18 и 82 от цитирания регламент.

32 Четвърто, запитващата юрисдикция има съмнения относно условията, от които зависи правото на обезщетение за вреди съгласно член 82, параграф 1 от ОРЗД в светлината на съображения 75 и 85 от него. Тя, по-конкретно, иска да се установи въз основа на кои признаци може да се констатира, че са налице „нематериални вреди“ по смисъла на цитирания член 82, параграф 1, когато субектът на данни твърди единствено отрицателни усещания, които според тази юрисдикция са част от общите житейски рискове.

33 Пето, споменатата юрисдикция иска да се установи дали степента на вина на администратора трябва да бъде взета предвид при изчисляването на размера на обезщетението за нематериални вреди, дължимо съгласно член 82, параграф 1 от ОРЗД. Тя уточнява, че в германското право паричното обезщетение за неимуществени вреди изисква в частност да се вземе предвид степента на вина на извършителя на нарушението, защото съгласно съдебната практика по член 253 от BGB това обезщетение има функцията както на компенсация за вредите, претърпени от увреденото лице, така и на удовлетворяване, което извършителят дължи на посоченото лице.

34 Шесто, в случай на утвърдителен отговор на някоя от двете части на първия или на третия ѝ въпрос, запитващата юрисдикция иска да се установи дали правото на даден субект на данни да изисква администраторът да се въздържа от повторно нарушаване на ОРЗД, е релевантен критерий, за да се намали и дори да се изключи обезщетението за нематериални вреди съгласно член 82, параграф 1 от този регламент, както това е възможно съгласно германското право.

35 При тези обстоятелства Bundesgerichtshof (Федерален върховен съд) решава да спре производството по делото и да постави на Съда следните преюдициални въпроси:

„1) а) Трябва ли член 17 от ОРЗД да се тълкува в смисъл, че субектът на данни, чиито лични данни администраторът е разкрил неправомерно, като ги е препратил, има право да поиска на администратора да бъде разпоредено да се въздържа от повторно неправомерно препращане на тези данни, ако субектът на данни не иска администраторът да изтрие данните?

б) Може ли такова право на иск за преустановяване на нарушение да произтича (и) от член 18 ОРЗД или от друга разпоредба на ОРЗД?

2) Ако на първи въпрос, букви а) и/или б) се даде утвърдителен отговор:

а) Правото на иск за преустановяване на нарушение съгласно правото на Съюза налице ли е само когато има опасност от бъдещи други нарушения на произтичащите от ОРЗД права на субекта на данни (опасност от повторност)?

б) Наличието на вече извършено нарушение на ОРЗД предполага ли, че съществува опасност от повторност?

3) Ако на първи въпрос, букви а) и б) се даде отрицателен отговор:

Трябва ли член 84 във връзка с член 79 от ОРЗД да се тълкуват в смисъл, че позволяват на националния съд, наред с обезщетението за материални или нематериални вреди по член 82 от ОРЗД и правата, произтичащи от членове 17 и 18 от ОРЗД, да признае на субекта на данни, чиито лични данни администраторът е разкрил неправомерно, като ги е препратил, право да поиска на администратора да бъде разпоредено да се въздържа от повторно неправомерно препращане на тези данни съгласно разпоредбите на националното право?

4) Трябва ли член 82, параграф 1 от ОРЗД да се тълкува в смисъл, че за да се приеме, че са претърпени нематериални вреди по смисъла на тази разпоредба, е достатъчно да са налице просто отрицателни емоции като например неприятности, възмущение, недоволство, притеснение и страх, които сами по себе си са част от общия житейски риск и често от ежедневието? Или за да се приеме, че са претърпени вреди, освен тези емоции е необходимо да са налице неблагоприятни последствия за съответното физическо лице?

5) Трябва ли член 82, параграф 1 от ОРЗД да се тълкува в смисъл, че степента на вина на администратора или на обработващия личните данни, респ. на неговите служители, е релевантен критерий при оценката на размера на нематериалните вреди, които подлежат на обезщетяване?

6) Ако на първия въпрос, буква а), буква б) или на третия въпрос се даде утвърдителен отговор:

Трябва ли член 82, параграф 1 от ОРЗД да се тълкува в смисъл, че при оценката на размера на нематериалните вреди, които подлежат на обезщетяване, като намаляващо размера на претенцията обстоятелство може да се отчете, че наред с правото на обезщетение, субектът на данни има право на иск за преустановяване на нарушението?“.

По преюдициалните въпроси

По първите три въпроса

36 С първите си три въпроса, които следва да се разгледат заедно, запитващата юрисдикция по същество иска да се установи дали разпоредбите на ОРЗД трябва да се тълкуват в смисъл, че предвиждат в полза на субекта на данни, лични данни на когото са били обработени незаконосъобразно, в случай че той не иска данните му да бъдат изтрити, средство за съдебна защита, което му дава възможност превантивно да поиска на администратора да бъде разпоредено занапред да се въздържа от повторно незаконосъобразно обработване, и дали — при отрицателен отговор — тези разпоредби са пречка държавите членки да предвидят такова средство за защита в съответните си правни системи.

37 Най-напред следва да се припомни, че за да се тълкува определена разпоредба от правото на Съюза, трябва да се вземат предвид не само нейният текст, но и контекстът ѝ, както и целите на правната уредба, от която тя е част (решение от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 52 и цитираната съдебна практика).

38 На първо място, в тази насока следва да се отбележи, че ОРЗД се основава на съществуването на признато право на всяко физическо лице на защита при обработването на личните му данни. Тази защита е основно право, прогласено в член 8, параграф 1 от Хартата, към който препраща съображение 1 от този регламент. Видно от член 1 и от съображение 10 от ОРЗД, целта да се гарантира ефективността на това основно право, като се осигури висока и равностойна защита във всички държави членки, е в основата на прилагането на същия регламент (вж. в този смисъл решения от 5 октомври 2023 г., Ministerstvo zdravotnictví (Мобилно приложение COVID‑19), C‑659/22, EU:C:2023:745, т. 28, от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, т. 28, и от 3 април 2025 г., Ministerstvo zdravotnictví (Данни за представителя на юридическо лице), C‑710/23, EU:C:2025:231, т. 29).

39 Съгласно постоянната практика на Съда всяко обработване на лични данни трябва да зачита принципите за обработването на такива данни, както и правата на „субекта на данни“ по смисъла на член 4, точка 1 от ОРЗД, залегнали съответно в глава II и глава III от този регламент. По-конкретно, то трябва да е в съответствие с принципите за обработване на тези данни, предвидени в член 5 от този регламент, и да отговаря на изискванията за законосъобразност на обработването, изброени в член 6 от него (вж. в този смисъл решения от 19 декември 2024 г., K GmbH (Обработване на лични данни на наети лица), C‑65/23, EU:C:2024:1051, т. 46, и от 3 април 2025 г., Ministerstvo zdravotnictví (Данни за представителя на юридическо лице), C‑710/23, EU:C:2025:231, т. 33).

40 Както по същество отбелязва генералният адвокат в точки 32, 34 и 38 от заключението си, член 8 от Хартата прогласява в параграф 1 правото на защита на личните данни, но в член 8, параграф 2 налага и задължение тези данни да се обработват при спазване на определени условия, от което зависи дали съответното обработване е законосъобразно. Също така на прогласените в глава II от ОРЗД задължения на администратора съответстват конкретни права, които са предвидени от този регламент и са предоставени на субектите на данни. Ето защо последните лица имат право на законосъобразно обработване на личните им данни, което е следствие от общото задължение, възложено на администратора, да не обработва такива данни по начин, несъобразен с изискванията на цитирания регламент.

41 На второ място, Съдът нееднократно е постановявал, че правото на Съюза, включително разпоредбите на Хартата, не принуждава държавите членки да въвеждат различни от установените във вътрешното право правни средства за защита, освен ако все пак от структурата на разглеждания национален правен ред личи, че няма никакво средство за защита пред съд, което да позволява дори и инцидентно да се гарантира спазването на правата, които правните субекти черпят от правото на Съюза (решение от 8 май 2025 г., Barało, C‑530/23, EU:C:2025:322, т. 99 и цитираната съдебна практика).

42 В настоящия случай най-напред следва да се подчертае, че процесният по главното производство случай се отнася не до възможността за националната юрисдикция да приеме временни мерки, а до евентуалната възможност за субекта на данни чрез превантивно предявен иск по същество да постигне постановяването на забрана администраторът отново да наруши тези права.

43 В тази насока е уместно да се отбележи, че ОРЗД не съдържа разпоредби, които изрично или мълчаливо да предвиждат, че субектът на данни разполага, както посочва запитващата юрисдикция, с право — чрез превантивно предявен иск — да поиска администраторът, който обработва лични данни, да бъде задължен занапред да се въздържа от нарушаване на разпоредбите на този регламент, по-специално под формата на повторно незаконосъобразно обработване. Както отбелязва генералният адвокат в точки 54—69 от заключението си, в частност такова право не може да се изведе нито от член 17, нито от член 18 от цитирания регламент.

44 Досежно глава VIII от ОРЗД следва да се припомни, че тази глава урежда по-специално средствата за защита на правата на субекта на данни, когато неговите лични данни са били подложени на обработване, за което се твърди, че противоречи на разпоредбите на същия регламент. Защитата на тези права може по-специално да се иска пряко от субекта на данни в приложение на членове 77—79 от цитирания регламент, които предвиждат различни средства за защита, които последният от своя страна може да използва успоредно и независимо (вж. в този смисъл решения от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 47 и цитираната съдебна практика, и от 30 април 2025 г., Инспекторат към Висшия съдебен съвет, C‑313/23, C‑316/23 и C‑332/23, EU:C:2025:303, т. 128 и цитираната съдебна практика).

45 От текста на разпоредбите на глава VIII от ОРЗД личи, че никоя от тях не задължава държавите членки да предвидят превантивен способ за защита като описания в точка 42 от настоящото решение. По-специално, текстът на член 79, параграф 1 от този регламент просто предвижда, че без да се засягат които и да било други налични административни или несъдебни средства за защита, всеки субект на данни има право на ефективна съдебна защита, ако счита, че правата, предоставени му от цитирания регламент, са нарушени поради обработване на личните му данни, извършено в нарушение на същия регламент. Текстът на тази разпоредба не налага на държавите членки да предвидят специално средство за защита, което да дава възможност чрез превантивно предявен иск да се постигне постановяването на разпореждане за въздържане от действия като визираното от запитващата юрисдикция.

46 С оглед на текста на разпоредбите от глава VIII от ОРЗД, и по-специално на признаването с член 79, параграф 1 от него на правото на всеки субект на данни на правото на ефективна съдебна защита, ако същият смята, че правата, предоставени му с този регламент, са били нарушени поради обработване на личните му данни, което е извършено в нарушение на цитирания регламент, „без да се засягат“ които и да било налични административни или несъдебни средства за защита, обаче следва да се приеме, че няма пречка държавите членки да предвидят такъв превантивен способ за защита, за да задължат администратора да се въздържа от всякакво ново нарушение на тези права (вж. в този смисъл решение от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 53).

47 В тази насока следва да се подчертае, че макар ОРЗД да цели да осигури по принцип пълна хармонизация на националните законодателства за защита на личните данни, все пак множество разпоредби на този регламент изрично дават възможност на държавите членки да предвидят допълнителни — по-строги или дерогиращи — национални правила, които им оставят свобода на преценка относно начина на прилагане на тези разпоредби („отворени клаузи“) (решение от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 57 и цитираната съдебна практика).

48 Безспорно разпоредбите на глава VIII от ОРЗД не съдържат специално такава отворена клауза, която изрично да позволява на държавите членки да уредят възможността за субекта на данни, който иска да попречи на администратора да наруши материалноправните норми на този регламент, да предяви иск, за да се стигне до постановяването спрямо последния на разпореждане да се въздържа от действия в тази насока. Законодателят на Съюза обаче не е искал да осъществи изчерпателна хармонизация на средствата за защита, възможни в случай на нарушаване на разпоредбите на цитирания регламент, и по-специално не е пожелал да изключи такава възможност за иск (вж. в този смисъл решение от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 59 и 60).

49 Това тълкуване се потвърждава от целите, преследвани с ОРЗД. Всъщност, видно от съображение 10 от ОРЗД, този регламент цели по-специално да гарантира последователно и високо ниво на защита на физическите лица във връзка с обработването на личните им данни. Освен това съображение 11 от цитирания регламент специално прогласява, че ефективната защита на тези данни изисква да се укрепят правата на субектите на данни и задълженията на онези, които обработват и определят обработването на данни (вж. в този смисъл решение от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 61).

50 Възможността за субекта на данни да предяви иск, за да бъде разпоредено на администратора занапред да се въздържа от нарушаване на материалноправните разпоредби на ОРЗД, не само не вреди на тези цели, а напротив, може да усили полезния ефект на тези разпоредби, а оттам и високото ниво на защита на субектите на данни при обработването на техните лични данни, което цели този регламент. Ето защо разпоредбите на глава VIII от ОРЗД допускат национална правна уредба, която предоставя такава възможност на субекта на данни да предяви превантивен иск (вж. в този смисъл решение от 4 октомври 2024 г., Lindenapotheke, C‑21/23, EU:C:2024:846, т. 62 и 73).

51 Следователно ОРЗД допуска право на иск, чиято цел е да се издаде разпореждане, което дава възможност да се предотврати евентуалното извършване на нарушение на материалноправните разпоредби на този регламент, по-конкретно с потенциалното повторно извършване на незаконосъобразно обработване, и което право на иск е на разположение въз основа на разпоредби на правото на държава членка, които биха били приложими пред сезираната национална юрисдикция.

52 С оглед на изложеното дотук на първите три въпроса следва да се отговори, че разпоредбите на ОРЗД трябва да се тълкуват в смисъл, че не предвиждат в полза на субекта на данни, лични данни на когото са били обработени незаконосъобразно, в случай че той не иска данните му да бъдат изтрити, средство за съдебна защита, което му дава възможност превантивно да поиска на администратора да бъде разпоредено занапред да се въздържа от повторно незаконосъобразно обработване. Тези разпоредби обаче не са пречка държавите членки да предвидят такова средство за защита в съответните си правни системи.

По четвъртия въпрос

53 С четвъртия си въпрос запитващата юрисдикция по същество иска да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че понятието „нематериални вреди“ в тази разпоредба обхваща отрицателни емоции, които са изпитани от субекта на данни вследствие от неразрешено изпращане на личните му данни на трето лице, като опасения или недоволство, и са породени от загуба на контрол върху тези данни, евентуално злоумишлено използване на тези данни или накърняване на репутацията му.

54 Уместно е да се припомни, че съгласно член 82, параграф 1 от ОРЗД всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на този регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

55 В съответствие с постоянната съдебна практика, с оглед на липсата изобщо на препращане в член 82, параграф 1 от ОРЗД към националното право на държавите членки, понятието „нематериални вреди“ по смисъла на цитираната разпоредба трябва да получи самостоятелно и еднакво определение съгласно правото на Съюза (вж. в този смисъл решения от 25 януари 2024 г., MediaMarktSaturn, C‑687/21, EU:C:2024:72, т. 64, и от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 139 и цитираната съдебна практика).

56 В тази насока Съдът нееднократно е постановявал, по-специално в светлината на съображения 75, 85 и 146 от ОРЗД, че самото нарушение на този регламент не е достатъчно, за да възникне право на обезщетение съгласно член 82, параграф 1 от него. Наличието на материални или нематериални „вреди“, които са били „нанесени“, на нарушение на разпоредби на този регламент и на причинно-следствена връзка между тези вреди и това нарушение са три кумулативни, необходими и достатъчни условия за това право на обезщетение. Ето защо субектът на данни, който иска обезщетение за нематериални вреди на основание член 82, параграф 1, е длъжен да докаже не само нарушението на този регламент, но и че това нарушение действително му е причинило такива вреди (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32, 33, 37 и 42, от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 140—142, и от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, т. 24 и 25).

57 В настоящия случай запитващата юрисдикция изтъква, че досежно нематериалните вреди ищецът по главното производство твърди основно, че поради процесното нарушение на ОРЗД е изпитал „притеснение данните да не бъдат препратени на трети лица, които работят в същия сектор, узнаването от дадено лице на информация, за която дискретността е водещо правило, [както и] унижението, свързано с отхвърлянето на поисканата от него заплата, и узнаването от трето лице на това обстоятелство“. Тази юрисдикция иска да се установи дали „отрицателни емоции като например неприятности, възмущение, недоволство, притеснение и страх“, които тя квалифицира като „общ житейски риск“, са достатъчни, за да се констатира наличието на „нематериални вреди“ по смисъла на член 82 от този регламент, или е необходимо освен тези емоции субектът на данни да е понесъл и вреди.

58 На първо място, в тази насока от практиката на Съда следва, че член 82, параграф 1 от ОРЗД не допуска национална правна уредба или практика, която поставя поправянето на „нематериални вреди“ по смисъла на тази разпоредба в зависимост от условието нанесените на субекта на данни вреди да са достигнали определена степен на значимост. Споменатата разпоредба не изисква нематериалните вреди, твърдени от субекта на данни, да достигат определен „праг de minimis“, за да подлежат на поправяне (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 51, и от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 147 и 149).

59 На второ място, както отбелязва Европейската комисия в писменото си становище, положения като описаните в спора по главното производство, при които е налице „накърняване на репутацията“ вследствие от нарушение на лични данни или от „загуба на контрол“ върху такива данни, са изрично споменати сред примерите за евентуални вреди, изброени в съображения 75 и 85 от ОРЗД.

60 По-конкретно, Съдът е подчертал, че от съдържащия се в съображение 85, първо изречение от ОРЗД примерен списък на „вреди“ или „щети“, които могат да бъдат нанесени на субектите на данни, следва, че законодателят на Съюза е възнамерявал да включи в тези две понятия по-специално самата „загуба на контрол“ върху личните им данни вследствие на нарушение на този регламент, въпреки че с разглежданите данни не е конкретно извършена злоупотреба. Такава загуба на контрол може да е достатъчна, за да причини „нематериални вреди“ по смисъла на член 82, параграф 1 от цитирания регламент, стига субектът на данни да докаже, че действително е претърпял такива вреди, дори и минимални, но без понятието „нематериални вреди“ да изисква да се докаже наличието на допълнителни осезаеми отрицателни последици (вж. в този смисъл решение от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 145, 150 и 156 и цитираната съдебна практика).

61 На трето място, Съдът вече е постановил, че изпитваните от субекта на данни опасения в бъдеще личните му данни да станат предмет на злоумишлено използване поради нарушение на ОРЗД, могат сами по себе си да представляват „нематериални вреди“ по смисъла на член 82, параграф 1 от него, при условие че тези опасения и техните неблагоприятни последици са надлежно доказани, което следва да бъде проверено от сезираната национална юрисдикция (вж. в този смисъл решения от 20 юни 2024 г., PS (Грешен адрес), C‑590/22, EU:C:2024:536, т. 32, 35 и 36, и от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 143, 144 и 155 и цитираната съдебна практика).

62 Ето защо, при все че споменатите от запитващата юрисдикция емоции, в частност опасения или недоволство, могат да бъдат и част от общия житейски риск, както отбелязва самата юрисдикция, такива отрицателни емоции могат да представляват „нематериални вреди“ по смисъла на член 82, параграф 1 от ОРЗД, при условие че — в съответствие с изискването за причинно-следствена връзка, припомнено в точка 56 от настоящото решение — субектът на данни докаже, че изпитва такива емоции и техните отрицателни последици именно поради процесното нарушение на този регламент, като например неразрешено изпращане на личните му данни на трето лице, с което възниква опасност от злоумишлено използване на тези данни; сезираният национален съд следва да прецени това.

63 На четвърто и последно място, това тълкуване е в съзвучие с текста на член 82, параграф 1 от ОРЗД, разглеждан в светлината на съображения 85 и 146 от този регламент, които дават основание понятието „нематериални вреди“ по смисъла на член 82, параграф 1 да се разбира в широк смисъл. В допълнение, то се подкрепя от целта на цитирания регламент, както тя следва от член 1 и от съображения 1 и 10 от него — да се гарантира високо ниво на защита на физическите лица във връзка с обработването на лични данни (вж. по аналогия решения от 14 декември 2023 г., Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, т. 19 и 20, и от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 144 и 146).

64 С оглед на изложеното дотук на четвъртия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че понятието „нематериални вреди“ в тази разпоредба обхваща отрицателни емоции, които са изпитани от субекта на данни вследствие от неразрешено изпращане на личните му данни на трето лице, като опасения или недоволство, и са породени от загуба на контрол върху тези данни, евентуално злоумишлено използване на тези данни или накърняване на репутацията му, стига субектът на данни да докаже, че изпитва такива емоции и техните отрицателни последици поради процесното нарушение на този регламент.

По петия въпрос

65 С петия си въпрос запитващата юрисдикция по същество иска да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че допуска за целите на изчисляването на размера на обезщетението за нематериални вреди, дължимо на основание член 82, параграф 1 от ОРЗД, да бъде взета предвид степента на вина на администратора.

66 В тази насока от практиката на Съда следва, че доколкото ОРЗД не съдържа разпоредби, които да определят правилата за оценка на обезщетението, дължимо на основание на закрепеното в член 82 от този регламент право на обезщетение, за тази цел националните съдилища трябва да прилагат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, при условие че се спазват принципите на равностойност и на ефективност на правото на Съюза (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 54 и 59, и от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, т. 32).

67 В настоящия случай запитващата юрисдикция иска да се установи дали степента на вина на извършителя на нарушението, която е критерий, предвиден в германското право за изчисляването на паричното обезщетение за неимуществени вреди, би могла да е приложима и при обезщетението за нематериални вреди, основано на член 82 от ОРЗД.

68 Видно от решенията на Съда, някои от които са постановени, след като е отправено настоящото преюдициално запитване, на петия въпрос следва да се даде отрицателен отговор.

69 Всъщност Съдът е постановил, че с оглед на компенсаторната функция на правото на обезщетение, предвидено в член 82 от ОРЗД, националните съдилища са длъжни да осигурят „пълно и действително“ обезщетение за претърпените вреди, както е посочено в съображение 146 от този регламент, без да е необходимо за целите на такова пълно обезщетяване да се налага изплащането на наказателно обезщетение (вж. в този смисъл решения от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 57 и 58, и от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, т. 34).

70 За разлика от предвиденото в член 83 от ОРЗД досежно административните наказания, критериите за което не са приложими mutatis mutandis в рамките на член 82 от този регламент, правото на обезщетение по член 82, по-специално в случай на нематериални вреди, има изключително компенсаторна функция, доколкото паричното обезщетение на основание член 82 трябва да позволява да се обезщети изцяло вредата, конкретно претърпяна поради факта на нарушението на този регламент, а не изпълнява възпираща или наказателна функция (вж. в този смисъл решения от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 153, и от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, т. 39—41).

71 Така, от една страна, ангажирането на отговорността на администратора по член 82 от ОРЗД е обусловено от неговата вина, която се презумира, освен ако последният докаже, че по никакъв начин не е отговорен за събитието, причинило вредите, а от друга страна, посоченият член 82 не изисква при определянето на размера на обезщетението за нематериални вреди на основание на този член да се взема предвид степента на вината (решение от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 154).

72 По-конкретно, само и единствено компенсаторната функция на правото на обезщетение, предвидено в член 82, параграф 1 от ОРЗД, не допуска за целите на обезщетяването на вредата на основание на посочената разпоредба да се вземат предвид тежестта и евентуално умишленият характер на извършеното от администратора нарушение на този регламент. Следователно в рамките на тази разпоредба отношението и мотивацията на администратора няма как да бъдат взети предвид с цел на субекта на данни евентуално да се предостави обезщетение в размер, по-нисък от този на действително претърпените от него вреди, независимо дали се касае за размера, или за формата на това обезщетение (вж. в този смисъл решение от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, т. 42—45 и цитираната съдебна практика).

73 Предвид изложеното дотук на петия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че не допуска степента на вина на администратора да бъде взета предвид за целите на изчисляването на размера на обезщетението за нематериални вреди, дължимо на основание на тази разпоредба.

По шестия въпрос

74 Шестият въпрос е отправен, в случай че Съдът даде утвърдителен отговор на някоя от частите било на първия, било на третия въпрос, т.е. дали по същество трябва да се приеме, че ОРЗД признава в полза на субекта на данни правото той да изисква администраторът занапред да се въздържа от ново нарушение на лични данни: директно — съгласно разпоредби на този регламент, или посредством разрешено от този регламент прилагане на национални разпоредби. С оглед на отговора, даден общо на първите три въпроса в точка 52 от настоящото решение, следва да се даде отговор на шестия въпрос.

75 За да уточни предмета на последния въпрос, запитващата юрисдикция посочва, че съгласно германското право и съдебната ѝ практика фактът, че дадено лице, което е претърпяло неимуществени вреди, е поискало или дори е постигнало осъждането на причинителя на тези вреди да се въздържа от нови вредоносни действия, може да бъде взет предвид, за да бъде паричното обезщетение за тези вреди намалено и дори изключено. Тя иска да се установи дали този критерий за преценка на поправянето на вредите може да се приложи и в рамките на ОРЗД, по-специално с оглед на принципа на ефективност на правото на Съюза, и ако е така, до каква степен.

76 Следователно с въпроса си запитващата юрисдикция по същество иска да се установи дали член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че фактът, че субектът на данни е успял съгласно приложимото национално право да осъди администратора да се въздържа от извършването на повторно нарушение на този регламент, може да бъде взет предвид, за да се намали размерът на паричното обезщетение за нематериални вреди, дължимо съгласно член 82, параграф 1, или дори да се замести това обезщетение.

77 В тази насока е уместно да се припомни, че както бе споменато в точка 66 от настоящото решение, ОРЗД не съдържа разпоредби, които да определят правилата за изчисляване на обезщетението за вреди, дължимо на основание член 82 от този регламент, така че за тази цел националните съдилища трябва да прилагат вътрешните правила на всяка държава членка относно обхвата на паричното обезщетение, при условие че се спазват принципите на равностойност и на ефективност на правото на Съюза.

78 По-специално, е уместно да се подчертае, че критериите за изчисляване на обезщетението, дължимо в рамките на действията, предприети с цел да се гарантира защитата на правата, които правните субекти черпят от член 82 от ОРЗД — критерии, които са определени от правния ред на всяка държава членка — трябва да правят възможно осигуряването на пълно и действително обезщетение за вредите, претърпени от субекта на данни вследствие от нарушението на този регламент (вж. в този смисъл решения от 4 октомври 2024 г., Агенция по вписванията, C‑200/23, EU:C:2024:827, т. 152, и от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, т. 34 и цитираната съдебна практика).

79 Съдът вече е признал, че в рамките, които произтичат от принципа на ефективност, някои обстоятелства могат да повлияят върху изчисляването на обезщетението, дължимо съгласно член 82 от ОРЗД, по-специално за да бъде това обезщетение намалено. Той е постановил, че при липса на достатъчно тежест на претърпяната от субекта на данни вреда националната юрисдикция може да му присъди минимално обезщетение, при условие че ниският размер на така присъденото обезщетение може да компенсира изцяло тази вреда, което тази юрисдикция следва да провери. В допълнение, поднасянето на извинение може да представлява подходящо обезщетение за нематериални вреди на основание член 82, по-специално когато е невъзможно да се възстанови положението, съществувало преди настъпването на тези вреди, при условие че тази форма на обезщетяване, доколкото е предвидена от националното право, позволява такова пълно компенсиране на споменатите вреди (вж. в този смисъл решение от 4 октомври 2024 г., Patērētāju tiesību aizsardzības centrs,C‑507/23, EU:C:2024:854, т. 35—37 и цитираната съдебна практика).

80 В настоящия случай целта на отправения въпрос е да се определи дали в приложното поле на член 82 от ОРЗД националната юрисдикция има възможност да отчете факта, че в полза на субекта на данни е издадено разпореждане за въздържане от действия, за да се намали обезщетението за нематериални вреди, което може да бъде присъдено на това лице, с което на практика тази юрисдикция би разпоредила тези вреди да бъдат поправени отчасти под формата на парична сума и отчасти под формата на това разпореждане или дори единствено чрез последно описаната форма.

81 От съдебната практика, цитирана в точки 78 и 79 от настоящото решение, обаче е видно, че формата на обезщетяване, предвидена от приложимото национално право, може да се счита за съобразена с ОРЗД само ако отговаря на принципите на равностойност и на ефективност на правото на Съюза, което в частност предполага тя да е годна да осигури пълно и действително обезщетение за вредите, претърпени от субекта на данни.

82 Както бе припомнено в точка 70 от настоящото решение, по-специално дължимото съгласно член 82 от този регламент обезщетение няма как да бъде предоставено — отчасти или изцяло — под формата на разпореждане за въздържане от действия, защото правото на обезщетение за вреди, предвидено в член 82, изпълнява изключително компенсаторна функция, докато разпореждането за въздържане на причинителя на вредите от действие има чисто превантивна цел. Както по същество отбелязва генералният адвокат в точка 86 от заключението си, всъщност разпореждането от този вид цели да не се допусне повторното извършване на действията, причинили вреди, за да се избегне причиняването на нови вреди, но не поправя вредите, вече претърпени от субекта на данни.

83 С оглед на изложеното дотук на шестия въпрос следва да се отговори, че член 82, параграф 1 от ОРЗД трябва да се тълкува в смисъл, че не допуска фактът, че субектът на данни е успял съгласно приложимото национално право да осъди администратора да се въздържа от извършването на повторно нарушение на този регламент, да бъде взет предвид, за да се намали размерът на паричното обезщетение за нематериални вреди, дължимо съгласно тази разпоредба, или дори да се замести това обезщетение.

По съдебните разноски

84 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (четвърти състав) реши:

1) Разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкуват в смисъл, че

не предвиждат в полза на субекта на данни, лични данни на когото са били обработени незаконосъобразно, в случай че той не иска данните му да бъдат изтрити, средство за съдебна защита, което му дава възможност превантивно да поиска на администратора да бъде разпоредено занапред да се въздържа от повторно незаконосъобразно обработване. Тези разпоредби обаче не са пречка държавите членки да предвидят такова средство за защита в съответните си правни системи.

2) Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

понятието „нематериални вреди“ в тази разпоредба обхваща отрицателни емоции, които са изпитани от субекта на данни вследствие от неразрешено изпращане на личните му данни на трето лице, като опасения или недоволство, и са породени от загуба на контрол върху тези данни, евентуално злоумишлено използване на тези данни или накърняване на репутацията му, стига субектът на данни да докаже, че изпитва такива емоции и техните отрицателни последици поради процесното нарушение на този регламент.

3) Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

не допуска степента на вина на администратора да бъде взета предвид за целите на изчисляването на размера на обезщетението за нематериални вреди, дължимо на основание на тази разпоредба.

4) Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

не допуска фактът, че субектът на данни е успял съгласно приложимото национално право да осъди администратора да се въздържа от извършването на повторно нарушение на този регламент, да бъде взет предвид, за да се намали размерът на паричното обезщетение за нематериални вреди, дължимо съгласно тази разпоредба, или дори да се замести това обезщетение.

Подписи

( *1 ) Език на производството: немски.

EurLex
Връзка към EurLex
Тематични области
Тагове
Относими актове на ЕС
Договор за функционирането на Европейския съюз Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за...
Информация за акта
Маркиране
Зареждане ...
Зареждане...