ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τέταρτο τμήμα)
της 19ης Μαρτίου 2026 (*)
« Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 12, παράγραφος 5 – Άρθρο 15, παράγραφος 1 – Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που το αφορούν – Δικαίωμα του υπευθύνου επεξεργασίας να αρνηθεί να δώσει συνέχεια στο αίτημα παροχής πρόσβασης – Υπερβολικός χαρακτήρας του αιτήματος – Κατάχρηση δικαιώματος – Πρώτη υποβολή αιτήματος παροχής πρόσβασης – Δικαίωμα αποζημίωσης και ευθύνη – Άρθρο 82, παράγραφος 1 – Αγωγή στηριζόμενη σε προσβολή του δικαιώματος πρόσβασης – Μη υλική ζημία – Απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα »
Στην υπόθεση C‑526/24,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Amtsgericht Arnsberg (ειρηνοδικείο Arnsberg, Γερμανία) με απόφαση της 31ης Ιουλίου 2024, η οποία περιήλθε στο Δικαστήριο αυθημερόν, στο πλαίσιο της δίκης
Brillen Rottler GmbH & Co. KG
κατά
TC,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τέταρτο τμήμα),
συγκείμενο από τους I. Jarukaitis, πρόεδρο τμήματος, K. Lenaerts, Πρόεδρο του Δικαστηρίου, ασκούντα καθήκοντα δικαστή του τετάρτου τμήματος, M. Condinanzi, N. Jääskinen και R. Frendo (εισηγήτρια), δικαστές,
γενικός εισαγγελέας: M. Szpunar
γραμματέας: I. Illéssy, διοικητικός υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 5ης Ιουνίου 2025,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η Brillen Rottler GmbH & Co. KG, εκπροσωπούμενη από τον J. Tröber, Rechtsanwalt,
– ο TC, εκπροσωπούμενος από τον P. Brandt, Rechtsanwalt,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τον A. Μπουχάγιαρ, τη M. Heller και τον H. Kranenborg,
αφού άκουσε τον γενικό εισαγγελέα, που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 18ης Σεπτεμβρίου 2025,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 4, σημείο 2, του άρθρου 12, παράγραφος 5, και του άρθρου 82, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1) (στο εξής: ΓΚΠΔ).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Brillen Rottler GmbH & Co KG, οικογενειακής επιχείρησης οπτικών ειδών, και του TC, ιδιώτη, σχετικά με την άρνηση της επιχείρησης αυτής να δώσει συνέχεια στο αίτημα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν το οποίο υπέβαλε ο TC δυνάμει του άρθρου 15 του ΓΚΠΔ.
Το νομικό πλαίσιο
3 Οι αιτιολογικές σκέψεις 4, 10, 11, 63, 85, 141 και 146 του ΓΚΠΔ έχουν ως εξής:
«(4) Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη [των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης)] όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία.
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]
(11) Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και των αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και των αντίστοιχων κυρώσεων για τις παραβιάσεις στα κράτη μέλη.
[…]
(63) Ένα υποκείμενο των δεδομένων θα πρέπει να έχει δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν και να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας. […]
(85) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. […]
[…]
(141) Κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη, εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού […]
[…]
(146) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντ[ος] κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας […]. Ο υπεύθυνος επεξεργασίας […] θα πρέπει να απαλλάσσ[ε]ται από την υποχρέωση αποζημίωσης εάν αποδείξ[ει] ότι δεν φέρ[ει] καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. […] Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. […]»
4 Κατά το άρθρο 4 του κανονισμού, το οποίο φέρει τον τίτλο «Ορισμοί»:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
[…]
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]».
5 Το άρθρο 12 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων», προβλέπει στις παραγράφους 1, 2 και 5 τα εξής:
«1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία […]
2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22. […]
[…]
5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 και κάθε ανακοίνωση καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 έως 22 και το άρθρο 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε:
α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή
β) να αρνηθεί να δώσει συνέχεια στο αίτημα.
Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος.»
6 Το άρθρο 15 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων», προβλέπει στην παράγραφο 1 τα εξής:
«Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:
[…]».
7 Το άρθρο 26 του ΓΚΠΔ, το οποίο επιγράφεται «Από κοινού υπεύθυνοι επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής:
«Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. […]»
8 Το άρθρο 30 του κανονισμού, το οποίο επιγράφεται «Αρχεία των δραστηριοτήτων επεξεργασίας», προβλέπει στην παράγραφο 1 τα εξής:
«Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. […]»
9 Το άρθρο 57 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Καθήκοντα», ορίζει στις παραγράφους 1 και 4 τα εξής:
«1. Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:
[…]
στ) χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 80 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας […]·
[…]
4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η εποπτική αρχή μπορεί να επιβάλει ένα εύλογο τέλος για διοικητικά έξοδα ή να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική αρχή φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.»
10 Το άρθρο 79 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία», ορίζει στην παράγραφο 1 τα εξής:
«Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.»
11 Το άρθρο 82 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει στις παραγράφους 1, 2 και 4 τα εξής:
«1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.
2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. […]
[…]
4. Εάν περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία ή αμφότεροι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εμπλέκονται στην ίδια επεξεργασία και, εάν δυνάμει των παραγράφων 2 και 3 είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων.»
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
12 Τον Μάρτιο του 2023 ο TC, φυσικό πρόσωπο που κατοικεί στην Αυστρία, έγινε συνδρομητής στο ενημερωτικό δελτίο της Brillen Rottler, οικογενειακής επιχειρήσεως οπτικών ειδών με έδρα το Arnsberg (Γερμανία), συμπληρώνοντας τα προσωπικού χαρακτήρα δεδομένα του στο έντυπο εγγραφής που ήταν διαθέσιμο στον ιστότοπο της επιχειρήσεως αυτής και συναινώντας στην επεξεργασία των δεδομένων αυτών. Μετά την παρέλευση δεκατριών ημερών, ο TC υπέβαλε στην Brillen Rottler αίτημα πρόσβασης στα δεδομένα του, βάσει του άρθρου 15 του ΓΚΠΔ.
13 Η Brillen Rottler απέρριψε, εντός της νόμιμης προθεσμίας του ενός μηνός, το αίτημα πρόσβασης, θεωρώντας ότι ήταν καταχρηστικό, κατά την έννοια του άρθρου 12, παράγραφος 5, πρώτο εδάφιο, δεύτερη περίοδος, του ΓΚΠΔ. Κάλεσε τον TC να παραιτηθεί οριστικά από το αίτημά του.
14 Δεδομένου ότι ο TC ενέμεινε στο αίτημά του περί παροχής πρόσβασης, προσθέτοντας συγχρόνως αίτημα αποζημίωσης δυνάμει του άρθρου 82 του ΓΚΠΔ για ποσό ύψους 1 000 ευρώ, η Brillen Rottler άσκησε ενώπιον του Amtsgericht Arnsberg (ειρηνοδικείου Arnsberg, Γερμανία), ήτοι του αιτούντος δικαστηρίου, αγωγή με αίτημα να αναγνωρισθεί ότι ο TC δεν δικαιούται καμία αποζημίωση.
15 Προς στήριξη του αιτήματός της, η Brillen Rottler υποστηρίζει ότι από διάφορα δημοσιεύματα, άρθρα ιστολογίων και σημειώματα δικηγόρων προκύπτει ότι ο TC υποβάλλει συστηματικά και καταχρηστικώς αιτήματα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν με μοναδικό σκοπό να λάβει αποζημίωση λόγω φερόμενης προσβολής των δικαιωμάτων που αντλεί από τον ΓΚΠΔ, την οποία εσκεμμένα προκαλεί. Ο τρόπος ενέργειας του TC συνίσταται, κατ’ αρχάς, στην εγγραφή σε ενημερωτικό δελτίο, στη συνέχεια στην υποβολή αιτήματος πρόσβασης και, τέλος, στην υποβολή αιτήματος αποζημιώσεως.
16 Ο TC υποστηρίζει ενώπιον του αιτούντος δικαστηρίου ότι το αίτημα πρόσβασης που υπέβαλε στην Brillen Rottler είναι θεμιτό, ότι αποτελεί έκφραση του δικαιώματος πρόσβασης που του παρέχει το άρθρο 15 του ΓΚΠΔ και ότι η εταιρία αυτή επιδιώκει να περιορίσει παρανόμως τα δικαιώματα που του παρέχει ο κανονισμός. Με ανταγωγή, ζητεί να υποχρεωθεί η Brillen Rottler να του καταβάλει χρηματική ικανοποίηση ύψους τουλάχιστον 1 000 ευρώ για τη μη υλική ζημία που υπέστη λόγω της αρνήσεως της εταιρίας αυτής να του παράσχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν.
17 Το αιτούν δικαστήριο διερωτάται, πρώτον, κατά πόσον το πρώτο αίτημα πρόσβασης που υποβάλλει το υποκείμενο των δεδομένων μπορεί να θεωρηθεί «υπερβολικό αίτημα» κατά την έννοια του άρθρου 12, παράγραφος 5, του ΓΚΠΔ και, ως εκ τούτου, να συνιστά κατάχρηση δικαιώματος, καθώς και ποιες είναι οι περιστάσεις βάσει των οποίων μπορεί να διαπιστωθεί ένας τέτοιος υπερβολικός χαρακτήρας. Διερωτάται, ειδικότερα, αν, προκειμένου να απορρίψει αίτημα πρόσβασης βάσει της διάταξης αυτής, ο υπεύθυνος επεξεργασίας μπορεί να στηριχθεί σε δημόσιες πληροφορίες από τις οποίες προκύπτει η ύπαρξη πολυάριθμων αιτημάτων πρόσβασης και αποζημίωσης που υπέβαλε το ίδιο πρόσωπο σε άλλους υπευθύνους επεξεργασίας.
18 Δεύτερον, το αιτούν δικαστήριο ερωτά αν συνιστά «επεξεργασία», κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, ένα αίτημα πρόσβασης υποβληθέν δυνάμει του άρθρου 15, παράγραφος 1, του κανονισμού και/ή η απάντηση επί του αιτήματος αυτού.
19 Τρίτον, το αιτούν δικαστήριο διατηρεί αμφιβολίες ως προς τα κριτήρια προσδιορισμού των ζημιών για τις οποίες χωρεί αποζημίωση δυνάμει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ και, ειδικότερα, ως προς το αν, ακόμη και ελλείψει επεξεργασίας, το άρθρο αυτό παρέχει δικαίωμα αποζημιώσεως αποκλειστικά και μόνον δυνάμει της προσβολής του δικαιώματος πρόσβασης που προβλέπεται στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ.
20 Υπό τις συνθήκες αυτές, το Amtsgericht Arnsberg (ειρηνοδικείο Arnsberg) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Έχει το άρθρο 12, παράγραφος 5, [πρώτο εδάφιο,] δεύτερη περίοδος, του [ΓΚΠΔ] την έννοια ότι δεν μπορεί να υπάρχει υπερβολικό αίτημα πρόσβασης σε δεδομένα όταν πρόκειται για την πρώτη υποβολή αίτησης του υποκειμένου των δεδομένων προς τον υπεύθυνο επεξεργασίας;
2) Έχει το άρθρο 12, παράγραφος 5, [πρώτο εδάφιο,] δεύτερη περίοδος, του ΓΚΠΔ την έννοια ότι ο υπεύθυνος επεξεργασίας δύναται να αρνηθεί αίτημα του υποκειμένου των δεδομένων για πρόσβαση σε αυτά, όταν με το εν λόγω αίτημα το υποκείμενο των δεδομένων αποσκοπεί στη δημιουργία ερείσματος για την προβολή αξιώσεων αποζημίωσης σε βάρος του υπεύθυνου επεξεργασίας;
3) Έχει το άρθρο 12, παράγραφος 5, [πρώτο εδάφιο,] δεύτερη περίοδος, του ΓΚΠΔ την έννοια ότι δημοσιοποιημένες πληροφορίες για το υποκείμενο των δεδομένων από τις οποίες μπορεί να συναχθεί ότι αυτό προβάλλει σε πληθώρα περιπτώσεων που αφορούν παραβάσεις των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα αξιώσεις αποζημίωσης σε βάρος υπευθύνων επεξεργασίας μπορούν να συνιστούν λόγο για την άρνηση της πρόσβασης στα δεδομένα;
4) Έχει το άρθρο 4, σημείο 2, του ΓΚΠΔ την έννοια ότι το αίτημα πρόσβασης στα δεδομένα που υποβάλλεται δυνάμει του άρθρου 15, παράγραφος 1, του ΓΚΠΔ από υποκείμενο των δεδομένων προς τον υπεύθυνο επεξεργασίας ή/και η επ’ αυτού απάντηση συνιστούν “επεξεργασία” κατά την έννοια [της πρώτης από τις διατάξεις αυτές];
5) Έχει το άρθρο 82, παράγραφος 1, του ΓΚΠΔ, υπό το πρίσμα της αιτιολογικής σκέψης 146, πρώτη περίοδος, του ΓΚΠΔ, την έννοια ότι δεκτικές αποζημίωσης είναι μόνον οι ζημίες που υφίσταται ή έχει υποστεί το υποκείμενο των δεδομένων εξαιτίας επεξεργασίας; Σημαίνει τούτο ότι για τη θεμελίωση αξίωσης αποζημίωσης βάσει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ -εφόσον υπάρχει ζημία του υποκειμένου των δεδομένων με αιτιώδη συνάφεια- πρέπει οπωσδήποτε να έχει προηγηθεί επεξεργασία των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων;
6) Στην περίπτωση που η απάντηση στο πέμπτο ερώτημα είναι καταφατική: συνεπάγεται αυτό ότι, ενώ υπάρχει ζημία με αιτιώδη συνάφεια, μόνη η προσβολή του προβλεπόμενου στο άρθρο 15, παράγραφος 1, του ΓΚΠΔ δικαιώματος πρόσβασής του στα δεδομένα του δεν αρκεί για να αποκτήσει το υποκείμενο των δεδομένων δικαίωμα αποζημίωσης βάσει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ;
7) Έχει το άρθρο 82, παράγραφος 1, του ΓΚΠΔ την έννοια ότι η υποβαλλόμενη από τον υπεύθυνο επεξεργασίας ένσταση περί κατάχρησης δικαιώματος όσον αφορά το αίτημα πρόσβασης του υποκειμένου των δεδομένων, υπό το πρίσμα του δικαίου της Ένωσης, δεν μπορεί να συνίσταται στο ότι το υποκείμενο των δεδομένων έχει προκαλέσει την επεξεργασία των προσωπικών δεδομένων του με στόχο, αποκλειστικό ή παράπλευρο, να εγείρει αξιώσεις αποζημίωσης;
8) Στην περίπτωση που η απάντηση στο πέμπτο και έκτο ερώτημα είναι αρνητική: συνιστά μη υλική ζημία, κατά την έννοια του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, του υποκειμένου των δεδομένων η απλή και μόνον απώλεια ελέγχου επί των δεδομένων του συνεπεία παράβασης του άρθρου 15, παράγραφος 1, του ΓΚΠΔ, ή/και η αβεβαιότητα για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν ή απαιτείται, συν τοις άλλοις, το υποκείμενο των δεδομένων να υφίσταται περαιτέρω (αντικειμενικούς ή υποκειμενικούς) περιορισμούς ή/και (σημαντικές) επιπτώσεις;»
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου, του δεύτερου, του τρίτου και του έβδομου προδικαστικού ερωτήματος
21 Με το πρώτο, το δεύτερο, το τρίτο και το έβδομο προδικαστικό ερώτημα, τα οποία πρέπει να εξεταστούν από κοινού και πρώτα κατά σειρά, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 12, παράγραφος 5, του ΓΚΠΔ έχει την έννοια ότι το πρώτο αίτημα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα το οποίο υποβάλλει το υποκείμενο των δεδομένων στον υπεύθυνο επεξεργασίας δυνάμει του άρθρου 15 του κανονισμού μπορεί να θεωρηθεί «υπερβολικό» κατά την έννοια του άρθρου 12, παράγραφος 5, και, σε καταφατική περίπτωση, βάσει ποιων περιστάσεων μπορεί, ενδεχομένως, να διαπιστωθεί ο εν λόγω υπερβολικός χαρακτήρας.
22 Συναφώς, το άρθρο 15, παράγραφος 1, του ΓΚΠΔ διασφαλίζει το δικαίωμα του υποκειμένου των δεδομένων να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται ή όχι επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα εν λόγω δεδομένα και στις σχετικές πληροφορίες [πρβλ. απόφαση της 26ης Οκτωβρίου 2023, FT (Αντίγραφα του ιατρικού φακέλου), C‑307/22, EU:C:2023:811, σκέψη 31]
23 Επιπλέον, το άρθρο 12, παράγραφος 5 του ΓΚΠΔ καθιερώνει την αρχή κατά την οποία η άσκηση του εν λόγω δικαιώματος πρόσβασης δεν συνεπάγεται επιβάρυνση για το υποκείμενο των δεδομένων. Εντούτοις, η τελευταία αυτή διάταξη προβλέπει δύο λόγους για τους οποίους ο υπεύθυνος επεξεργασίας μπορεί είτε να επιβάλει την καταβολή εύλογων τελών, λαμβάνοντας υπόψη τις διοικητικές δαπάνες, είτε να αρνηθεί να δώσει συνέχεια σε αίτημα πρόσβασης. Οι λόγοι αυτοί αφορούν περιπτώσεις καταχρήσεως δικαιώματος, κατά τις οποίες τα αιτήματα του ενδιαφερομένου πρέπει να θεωρηθούν «προδήλως αβάσιμα» ή «υπερβολικά», ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους [απόφαση της 26ης Οκτωβρίου 2023, FT (Αντίγραφα του ιατρικού φακέλου), C‑307/22, EU:C:2023:811, σκέψη 31]
24 Όσον αφορά, πρώτον, το ζήτημα αν το πρώτο αίτημα πρόσβασης που υποβάλλει το υποκείμενο των δεδομένων στον υπεύθυνο επεξεργασίας δυνάμει του άρθρου 15 του ΓΚΠΔ μπορεί να θεωρηθεί «υπερβολικό», επισημαίνεται ότι, δεδομένου ότι η έννοια των «υπερβολικών αιτημάτων» δεν ορίζεται στον εν λόγω κανονισμό, πρέπει, κατά πάγια νομολογία, προκειμένου να ερμηνευθεί η έννοια αυτή, να ληφθούν υπόψη τόσο το γράμμα του άρθρου 12, παράγραφος 5, του εν λόγω κανονισμού κατά το σύνηθες νόημά του στην καθημερινή γλώσσα, όσο και το πλαίσιο στο οποίο εντάσσεται η διάταξη και οι σκοποί που επιδιώκονται με τη ρύθμιση της οποίας αποτελεί μέρος [βλ. αποφάσεις της 17ης Νοεμβρίου 1983, Merck, 292/82, EU:C:1983:335, σκέψη 12, και της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψη 24 και εκεί μνημονευόμενη νομολογία].
25 Συναφώς, όσον αφορά το γράμμα του άρθρου 12, παράγραφος 5, και, ειδικότερα, το σύνηθες νόημα της έννοιας των «υπερβολικών αιτημάτων» στην καθημερινή γλώσσα, το επίθετο «υπερβολικός» προσδιορίζει κάτι που υπερβαίνει το σύνηθες ή εύλογο μέτρο ή ακόμη που υπερβαίνει το επιθυμητό ή επιτρεπόμενο μέτρο [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψη 43]. Επομένως, η χρήση και μόνον του επιθέτου αυτού, το οποίο αφορά τόσο ποιοτικά όσο και ποσοτικά χαρακτηριστικά, δεν αποκλείει το ενδεχόμενο ένα πρώτο αίτημα προσβάσεως να είναι υπερβολικό.
26 Εξάλλου, από το άρθρο 12, παράγραφος 5, πρώτο εδάφιο, δεύτερη περίοδος, του ΓΚΠΔ προκύπτει βεβαίως ότι τα αιτήματα ενδέχεται να είναι υπερβολικά «ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους». Επομένως, ο πολλαπλασιασμός των αιτημάτων που υποβάλλονται από ένα πρόσωπο μπορεί να αποτελεί ένδειξη του υπερβολικού χαρακτήρα τους [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψη 57]. Εντούτοις, όπως υπογράμμισε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 28 των προτάσεών του, δεδομένου ότι η μνεία του επαναλαμβανόμενου χαρακτήρα στη διάταξη αυτή είναι απλώς ενδεικτική, ο χαρακτηρισμός αιτήματος πρόσβασης ως «υπερβολικού» δεν απαιτεί να εντάσσεται το αίτημα κατ’ ανάγκην στο πλαίσιο της υποβολής πλειόνων αιτημάτων από το ίδιο υποκείμενο των δεδομένων.
27 Επομένως, υπό το πρίσμα γραμματικής ερμηνείας του άρθρου 12, παράγραφος 5, του ΓΚΠΔ, δεν μπορεί να αποκλειστεί το ενδεχόμενο το πρώτο υποβαλλόμενο αίτημα πρόσβασης να θεωρηθεί «υπερβολικό», κατά την έννοια της διάταξης αυτής.
28 Η διαπίστωση αυτή επιρρωννύεται από το πλαίσιο στο οποίο εντάσσεται το άρθρο 12, παράγραφος 5, πρώτο εδάφιο, δεύτερη περίοδος, του ΓΚΠΔ. Συναφώς, υπενθυμίζεται ότι το άρθρο 12, που περιλαμβάνεται στο κεφάλαιο III του κανονισμού, το οποίο θεσπίζει τα δικαιώματα του υποκειμένου των δεδομένων, προβλέπει γενικές υποχρεώσεις του υπευθύνου επεξεργασίας όσον αφορά τη διαφάνεια των πληροφοριών και των ανακοινώσεων και προσδιορίζει τις ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων. Δυνάμει της παραγράφου 2, πρώτη περίοδος, του άρθρου 12, ο υπεύθυνος επεξεργασίας οφείλει να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται, μεταξύ άλλων, στο άρθρο 15 του εν λόγω κανονισμού, το οποίο συμπληρώνει το πλαίσιο διαφάνειας που θεσπίζει ο κανονισμός με την παροχή στο υποκείμενο των δεδομένων δικαιώματος πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που το αφορούν [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψεις 45 και 46].
29 Ως εκ τούτου, το άρθρο 12, παράγραφος 5, προβλέποντας επίσης τη δυνατότητα των υπευθύνων επεξεργασίας, όταν αντιμετωπίζουν προδήλως αβάσιμα ή υπερβολικά αιτήματα, να επιβάλουν εύλογο τέλος για διοικητικά έξοδα ή να αρνηθούν να απαντήσουν σε τέτοια αιτήματα, εισάγει εξαίρεση από την υποχρέωση διευκόλυνσης, μεταξύ άλλων, του δικαιώματος πρόσβασης, η οποία πρέπει να ερμηνεύεται στενά [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψη 33].
30 Τούτου λεχθέντος, από τη νομολογία του Δικαστηρίου σχετικά με την ερμηνεία της έννοιας των «υπερβολικών αιτημάτων» του άρθρου 57 παράγραφος 4, του ΓΚΠΔ, η οποία μπορεί να εφαρμοστεί στην υπό κρίση υπόθεση, δεδομένου ότι η διατύπωση της διάταξης αυτής είναι κατ’ ουσίαν ανάλογη με εκείνη του άρθρου 12, παράγραφος 5, του ΓΚΠΔ και επιδιώκει τον ίδιο σκοπό με το τελευταίο αυτό άρθρο, προκύπτει ότι το άρθρο αυτό συνιστά έκφραση της γενικής αρχής του δικαίου της Ένωσης σύμφωνα με την οποία οι πολίτες δεν μπορούν να επικαλούνται τους κανόνες του δικαίου της Ένωσης δολίως ή καταχρηστικώς [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψη 49]. Πράγματι, η εφαρμογή της νομοθεσίας της Ένωσης δεν μπορεί να επεκτείνεται μέχρι σημείου που να καλύπτει τις πράξεις που διενεργούνται με καταχρηστικό σκοπό (πρβλ. απόφαση της 19ης Σεπτεμβρίου 2024, Matmut, C‑236/23, EU:C:2024:761, σκέψη 52 και εκεί μνημονευόμενη νομολογία).
31 Επομένως, ο αριθμός των αιτημάτων πρόσβασης που υποβάλλει το υποκείμενο των δεδομένων στον υπεύθυνο επεξεργασίας δεν καθορίζει, αφ’ εαυτού, το δικαίωμα του υπευθύνου επεξεργασίας να κάνει χρήση της ευχέρειας που του παρέχει το άρθρο 12, παράγραφος 5, του ΓΚΠΔ να μη δώσει συνέχεια σε αίτημα, με αποτέλεσμα ο υπεύθυνος επεξεργασίας να μπορεί να κάνει χρήση της ευχέρειας αυτής ακόμη και στην περίπτωση του πρώτου υποβαλλόμενου αιτήματος, όταν αποδεικνύει, λαμβανομένου υπόψη του συνόλου των κρίσιμων περιστάσεων κάθε περίπτωσης, την ύπαρξη πρόθεσης κατάχρησης εκ μέρους του υποκειμένου των δεδομένων [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψη 50].
32 Η συστηματική αυτή ερμηνεία συνάδει με τους σκοπούς που επιδιώκει ο ΓΚΠΔ. Συναφώς, επισημαίνεται ότι σκοπός του κανονισμού αυτού είναι, όπως αναφέρεται στις αιτιολογικές σκέψεις 10 και 11, η διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ένωσης, καθώς και η ενίσχυση και ο λεπτομερής καθορισμός των δικαιωμάτων των υποκειμένων των δεδομένων. Επομένως, οι υποχρεώσεις του υπευθύνου επεξεργασίας που προβλέπονται στο άρθρο 12 του εν λόγω κανονισμού, οι οποίες αφορούν, μεταξύ άλλων, την ανακοίνωση στο πλαίσιο του άρθρου 15 του ίδιου κανονισμού, έχουν σχεδιαστεί ως μηχανισμός ικανός να προστατεύει με αποτελεσματικό τρόπο τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψεις 38 και 39 καθώς και εκεί μνημονευόμενη νομολογία].
33 Εντούτοις, κατά την αιτιολογική σκέψη 4 του ΓΚΠΔ, το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα, καθόσον πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Επιπλέον, το Δικαστήριο έχει υπογραμμίσει ότι οι μηχανισμοί που καθιστούν δυνατή την εξεύρεση δίκαιης ισορροπίας μεταξύ των διαφόρων εμπλεκομένων δικαιωμάτων και συμφερόντων περιλαμβάνονται στον ίδιο τον ΓΚΠΔ (απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψη 54 και εκεί μνημονευόμενη νομολογία).
34 Επομένως, προκειμένου να διασφαλιστεί η εφαρμογή της δίκαιης αυτής ισορροπίας μέσω της εν λόγω εξαίρεσης, καθώς και η πρακτική αποτελεσματικότητά της, το κρίσιμο κριτήριο για τη διαπίστωση καταχρηστικής συμπεριφοράς είναι ο υπερβολικός χαρακτήρας του αιτήματος πρόσβασης, ο οποίος αξιολογείται από ποιοτικής απόψεως, σύμφωνα με τη σκέψη 26 της παρούσας απόφασης, και ο οποίος δεν μπορεί να εξαρτάται από τον αριθμό και μόνον των αιτημάτων πρόσβασης που υποβάλλει το υποκείμενο των δεδομένων και, επομένως, από το γεγονός ότι πρόκειται για το πρώτο αίτημα που υποβλήθηκε από το υποκείμενο των δεδομένων.
35 Συνεπώς, το πρώτο υποβαλλόμενο προς τον υπεύθυνο επεξεργασίας αίτημα πρόσβασης δυνάμει του άρθρου 15 του ΓΚΠΔ μπορεί να θεωρηθεί «υπερβολικό», κατά την έννοια του άρθρου 12, παράγραφος 5, του κανονισμού. Τούτου λεχθέντος, δεδομένου ότι η έννοια των «υπερβολικών αιτημάτων» πρέπει να ερμηνεύεται στενά, όπως προκύπτει από τη σκέψη 29 της παρούσας αποφάσεως, ο υπεύθυνος επεξεργασίας μπορεί να επικαλεστεί τέτοιο υπερβολικό χαρακτήρα μόνον κατ’ εξαίρεση και, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 34 των προτάσεών του, ο χαρακτηρισμός του πρώτου αιτήματος πρόσβασης ως «υπερβολικού» πρέπει να διέπεται από αυστηρά κριτήρια. Πρέπει επίσης να υπογραμμιστεί ότι από το άρθρο 12, παράγραφος 5, δεύτερο εδάφιο, του ΓΚΠΔ προκύπτει ρητώς ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης του κατά τα ανωτέρω υπερβολικού χαρακτήρα.
36 Δεύτερον, όσον αφορά τις περιστάσεις υπό τις οποίες το πρώτο αίτημα πρόσβασης που υπέβαλε το υποκείμενο των δεδομένων μπορεί να χαρακτηριστεί ως «υπερβολικό» κατά την έννοια του άρθρου 12, παράγραφος 5, του ΓΚΠΔ και, ως εκ τούτου, να συνιστά κατάχρηση δικαιώματος κατά την έννοια της νομολογίας που μνημονεύεται στις σκέψεις 23 και 30 της παρούσας απόφασης, επισημαίνεται ότι προκειμένου να αποδειχθεί η ύπαρξη καταχρηστικής πρακτικής απαιτείται αφενός μεν η συνδρομή ενός συνόλου αντικειμενικών περιστάσεων από τις οποίες να προκύπτει ότι, παρά την τυπική τήρηση των προϋποθέσεων που προβλέπει η ενωσιακή ρύθμιση, δεν επιτεύχθηκε ο επιδιωκόμενος με τη ρύθμιση αυτή σκοπός, αφετέρου δε η ύπαρξη ενός υποκειμενικού στοιχείου συνιστάμενου στη βούληση του υποκειμένου των δεδομένων να αποκομίσει όφελος από τη ρύθμιση της Ένωσης δημιουργώντας τεχνητά τις προϋποθέσεις που απαιτούνται προκειμένου να αντλήσει το όφελος αυτό. Ο εν λόγω χαρακτηρισμός απαιτεί, επιπλέον, να λαμβάνονται υπόψη όλα τα πραγματικά περιστατικά και οι περιστάσεις της συγκεκριμένης υποθέσεως (πρβλ., απόφαση της 21ης Δεκεμβρίου 2023, BMW Bank κ.λπ., C‑38/21, C‑47/21 και C‑232/21, EU:C:2023:1014, σκέψεις 285 και 286 και εκεί μνημονευόμενη νομολογία).
37 Όσον αφορά, κατά πρώτον, το αντικειμενικό στοιχείο μιας καταχρηστικής πρακτικής, επισημαίνεται ότι το άρθρο 15 του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα της αιτιολογικής σκέψης 63 του κανονισμού, αποσκοπεί στην παροχή στο υποκείμενο των δεδομένων του δικαιώματος πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που συλλέχθηκαν και το αφορούν και της δυνατότητας άσκησης του δικαιώματος αυτού ευχερώς και σε εύλογα τακτά διαστήματα, προκειμένου, μεταξύ άλλων, να λάβει γνώση της επεξεργασίας των δεδομένων αυτών και να ελέγξει τη νομιμότητά της ούτως ώστε να μπορεί να ασκήσει, κατά περίπτωση, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής των δεδομένων, το δικαίωμα περιορισμού της επεξεργασίας, καθώς και το δικαίωμα να αντιταχθεί στην επεξεργασία και το δικαίωμα να ασκήσει αγωγή σε περίπτωση που υπέστη ζημία [πρβλ. απόφαση της 12ης Ιανουαρίου 2023, Österreichische Post (Πληροφορίες σχετικά με τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα), C‑154/21, EU:C:2023:3, σκέψεις 37 και 38].
38 Εν προκειμένω, όπως προκύπτει από τη δικογραφία που έχει στη διάθεσή του το Δικαστήριο, ο TC υπέβαλε το επίμαχο στην κύρια δίκη αίτημα πρόσβασης αφού είχε εγγραφεί στο ενημερωτικό δελτίο της Brillen Rottler και είχε γνωστοποιήσει στην τελευταία, κατά την ως άνω εγγραφή, ορισμένα δεδομένα προσωπικού χαρακτήρα, οπότε το εν λόγω αίτημα πρόσβασης θα μπορούσε να συνιστά, από τυπικής απόψεως, θέση σε εφαρμογή του δικαιώματος πρόσβασης του TC προκειμένου να επιτευχθεί ο σκοπός της ρύθμισης αυτής.
39 Εντούτοις, λαμβανομένης υπόψη της νομολογίας που μνημονεύεται στη σκέψη 36 της παρούσας απόφασης, η τυπική τήρηση των προϋποθέσεων εφαρμογής του άρθρου 15 του ΓΚΠΔ δεν αποκλείει, αφ’ εαυτής, τον «υπερβολικό» χαρακτήρα αιτήματος πρόσβασης και, ως εκ τούτου, την ύπαρξη κατάχρησης δικαιώματος.
40 Συναφώς, όσον αφορά, κατά δεύτερον, το υποκειμενικό στοιχείο μιας καταχρηστικής πρακτικής, επισημαίνεται ότι, προκειμένου να μπορεί να χαρακτηρίσει αίτημα πρόσβασης ως «υπερβολικό» κατά την έννοια του άρθρου 12, παράγραφος 5, του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας πρέπει να αποδείξει, λαμβανομένου υπόψη του συνόλου των κρίσιμων περιστάσεων κάθε περίπτωσης, την ύπαρξη πρόθεσης κατάχρησης εκ μέρους του υποκειμένου των δεδομένων, η δε εν λόγω πρόθεση μπορεί να διαπιστωθεί όταν το υποκείμενο των δεδομένων υποβάλλει το αίτημα για σκοπό διαφορετικό από τον σκοπό να ενημερωθεί σχετικά με την επεξεργασία των δεδομένων και να επαληθεύσει τη νομιμότητά της, προκειμένου να μπορέσει, στη συνέχεια, να προστατεύσει τα δικαιώματα που αντλεί από τον εν λόγω κανονισμό [πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Österreichische Datenschutzbehörde (Υπερβολικά αιτήματα), C‑416/23, EU:C:2025:3, σκέψεις 50 και 56].
41 Επομένως, εν προκειμένω, λαμβανομένων υπόψη, μεταξύ άλλων, των όσων προκύπτουν από τη σκέψη 35 της παρούσας απόφασης, εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει κατά τρόπο μη επιδεχόμενο αμφισβήτηση ότι το υποκείμενο των δεδομένων υπέβαλε αίτηση πρόσβασης δυνάμει του άρθρου 15 του ΓΚΠΔ όχι για να λάβει γνώση της επεξεργασίας αυτής, αλλά για να δημιουργήσει τεχνητά τις προϋποθέσεις που απαιτούνται για να λάβει αποζημίωση από τον εν λόγω υπεύθυνο επεξεργασίας.
42 Συναφώς, θα πρέπει να ληφθεί υπόψη το σύνολο των περιστάσεων της υπό κρίση υπόθεσης, ιδίως το γεγονός ότι το υποκείμενο των δεδομένων παρέσχε δεδομένα προσωπικού χαρακτήρα χωρίς να είναι υποχρεωμένο να το πράξει, ο σκοπός της παροχής των δεδομένων αυτών, ο χρόνος που παρήλθε μεταξύ αυτής και της υποβολής αιτήματος πρόσβασης, καθώς και η συμπεριφορά του υποκειμένου των δεδομένων.
43 Στο πλαίσιο της διαφοράς της οποίας έχει επιληφθεί, το αιτούν δικαστήριο διερωτάται ως προς τη δυνατότητα να ληφθούν υπόψη, για την αξιολόγηση της ύπαρξης κατάχρησης δικαιώματος, δημόσιες πληροφορίες στις οποίες γίνεται λόγος για τη συστηματική υποβολή, εκ μέρους του TC προς διαφορετικούς υπευθύνους επεξεργασίας, αιτημάτων πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν και αιτημάτων αποζημίωσης, με παρεμφερή τρόπο ενέργειας προς αυτόν που χρησιμοποίησε ο TC εν προκειμένω. Επισημαίνεται, συναφώς, ότι το στοιχείο αυτό μπορεί, βεβαίως, να ληφθεί υπόψη προκειμένου να αποδειχθούν καταχρηστικές προθέσεις του υποκειμένου των δεδομένων, εφόσον επιβεβαιώνεται από άλλα κρίσιμα στοιχεία.
44 Επομένως, εν προκειμένω, εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει αν, λαμβανομένου υπόψη του συνόλου των κρίσιμων περιστάσεων, η Brillen Rottler απέδειξε την ύπαρξη καταχρηστικής πρόθεσης του TC όσον αφορά την υποβολή του επίμαχου αιτήματος πρόσβασης.
45 Κατόπιν των ανωτέρω σκέψεων, στο πρώτο, στο δεύτερο, στο τρίτο και στο έβδομο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 12, παράγραφος 5, του ΓΚΠΔ έχει την έννοια ότι το πρώτο αίτημα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα το οποίο υποβάλλει το υποκείμενο των δεδομένων στον υπεύθυνο επεξεργασίας δυνάμει του άρθρου 15 του κανονισμού μπορεί να θεωρηθεί «υπερβολικό», κατά την έννοια του άρθρου 12, παράγραφος 5, όταν ο υπεύθυνος επεξεργασίας αποδεικνύει, λαμβανομένου υπόψη του συνόλου των κρίσιμων περιστάσεων της υπόθεσης, ότι, παρά την τυπική τήρηση των προϋποθέσεων που προβλέπουν οι διατάξεις αυτές, το αίτημα υποβλήθηκε από το υποκείμενο των δεδομένων όχι για να λάβει γνώση της επεξεργασίας των δεδομένων αυτών και να επαληθεύσει τη νομιμότητά της, προκειμένου να μπορέσει, στη συνέχεια, να προστατεύσει τα δικαιώματα που αντλεί από τον εν λόγω κανονισμό, αλλά με πρόθεση κατάχρησης, όπως είναι η τεχνητή δημιουργία των προϋποθέσεων που απαιτούνται για την αποκόμιση οφέλους απορρέοντος από τον ως άνω κανονισμό. Το γεγονός ότι, σύμφωνα με δημόσια διαθέσιμες πληροφορίες, το υποκείμενο των δεδομένων έχει υποβάλει σε διαφορετικούς υπευθύνους επεξεργασίας πλείονα αιτήματα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, συνοδευόμενα από αιτήματα αποζημίωσης, μπορεί να ληφθεί υπόψη προκειμένου να διαπιστωθεί η ύπαρξη τέτοιας πρόθεσης κατάχρησης.
Επί του πέμπτου και του έκτου προδικαστικού ερωτήματος
46 Με το πέμπτο και το έκτο προδικαστικό ερώτημα, τα οποία πρέπει να εξεταστούν από κοινού και δεύτερα κατά σειρά, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι παρέχει στο υποκείμενο των δεδομένων δικαίωμα αποζημίωσης για τη ζημία που προκλήθηκε από προσβολή του δικαιώματος πρόσβασης το οποίο προβλέπεται στο άρθρο 15, παράγραφος 1, του εν λόγω κανονισμού.
47 Όπως υπομνήσθηκε στη σκέψη 24 της παρούσας αποφάσεως, κατά πάγια νομολογία, για την ερμηνεία διατάξεως του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο εντάσσεται η διάταξη και οι σκοποί που επιδιώκει.
48 Από το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ προκύπτει ότι κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία «ως αποτέλεσμα παραβίασης του [εν λόγω] κανονισμού» δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας για τη ζημία που υπέστη. Επιβάλλεται η διαπίστωση ότι η διάταξη αυτή δεν περιέχει καμία αναφορά στην «επεξεργασία», οπότε το εν λόγω δικαίωμα αποζημίωσης δεν μπορεί να περιορίζεται στις ζημίες που προκύπτουν από επεξεργασία δεδομένων προσωπικού χαρακτήρα.
49 Η διαπίστωση αυτή επιρρωννύεται, πρώτον, από τη συστηματική ερμηνεία της εν λόγω διάταξης, υπό το πρίσμα της αιτιολογικής σκέψης 141 του ΓΚΠΔ, κατά την οποία κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρθρο 47 του Χάρτη «εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του [εν λόγω] κανονισμού». Πράγματι, το άρθρο 82, παράγραφος 1, του ΓΚΠΔ περιλαμβάνεται στο κεφάλαιο VIII του εν λόγω κανονισμού, το οποίο διέπει τις προσφυγές, τους κανόνες περί ευθύνης και τις κυρώσεις που καθιστούν δυνατή την προστασία των δικαιωμάτων αυτών. Τα δε δικαιώματα αυτά περιλαμβάνουν τόσο το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων, το οποίο προβλέπεται στο άρθρο 12 του εν λόγω κανονισμού, όσο και το δικαίωμά του για πρόσβαση σε αυτά δυνάμει του άρθρου 15, παράγραφος 1, του κανονισμού, οπότε τα ως άνω δικαιώματα πρέπει να προστατεύονται από το άρθρο 82 του κανονισμού, το οποίο πρέπει, επομένως, να ερμηνευθεί υπό την έννοια ότι εφαρμόζεται και στις ζημίες που προκαλούνται από παραβάσεις των άρθρων 12 και 15.
50 Η εν λόγω ερμηνεία δεν αναιρείται από το γεγονός ότι, αφενός, από την αιτιολογική σκέψη 146 του ΓΚΠΔ προκύπτει ότι ο υπεύθυνος επεξεργασίας θα πρέπει να αποκαθιστά κάθε ζημία την οποία ένα πρόσωπο υφίσταται «ως αποτέλεσμα επεξεργασίας» κατά παράβαση του κανονισμού αυτού και, αφετέρου, ότι το άρθρο 82 του εν λόγω κανονισμού μνημονεύει στις παραγράφους 2 και 4 τη «ζημία που προκάλεσε η επεξεργασία».
51 Πράγματι, όπως υποστηρίζει, κατ’ ουσίαν, η Επιτροπή με τις γραπτές παρατηρήσεις της, σε περίπτωση προσβολής των δικαιωμάτων που προβλέπονται στις διατάξεις του κεφαλαίου III του ΓΚΠΔ, ιδίως των δικαιωμάτων πρόσβασης στα δεδομένα και διόρθωσης, καθώς και των δικαιωμάτων διαγραφής, περιορισμού της επεξεργασίας και φορητότητας, η προβαλλόμενη παράβαση δεν είναι απόρροια πραγματικής επεξεργασίας των δεδομένων προσωπικού χαρακτήρα αυτής καθεαυτήν, αλλά μάλλον απόρροια της άρνησης να δοθεί συνέχεια στο αίτημα του υποκειμένου των δεδομένων όσον αφορά την άσκηση των δικαιωμάτων αυτών. Επομένως, η εξάρτηση του δικαιώματος αποζημίωσης δυνάμει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ από την ύπαρξη ζημίας που προκύπτει από επεξεργασία αυτή καθεαυτήν θα είχε ως αποτέλεσμα τον αποκλεισμό τέτοιων περιπτώσεων από το πεδίο εφαρμογής της διάταξης αυτής και, ως εκ τούτου, θα έθιγε την πρακτική αποτελεσματικότητά της.
52 Εξάλλου, το Δικαστήριο έχει κρίνει ότι η εκ μέρους του υπευθύνου επεξεργασίας παράβαση των άρθρων 26 και 30 του ΓΚΠΔ τα οποία αφορούν, το πρώτο, τη σύναψη συμφωνίας καθορίζουσας τους αντίστοιχους ρόλους των υπευθύνων επεξεργασίας καθώς και τις σχέσεις τους έναντι των υποκειμένων των δεδομένων και, το δεύτερο, την τήρηση αρχείου των δραστηριοτήτων επεξεργασίας, δεν συνιστά «παράνομη επεξεργασία», παρέχουσα στο υποκείμενο των δεδομένων δικαίωμα διαγραφής ή περιορισμού της επεξεργασίας. Επομένως, η εν λόγω παράβαση πρέπει να θεραπευθεί με τη χρήση άλλων μέτρων προβλεπόμενων από τον ΓΚΠΔ, ιδίως μέσω της αποκατάστασης της ζημίας που ενδεχομένως προκλήθηκε από τον υπεύθυνο επεξεργασίας, δυνάμει του άρθρου 82 του ΓΚΠΔ [πρβλ. απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου), C‑60/22, EU:C:2023:373, σκέψεις 66 και 67].
53 Η διαπίστωση που περιλαμβάνεται στη σκέψη 48 της παρούσας απόφασης επιρρωννύεται, δεύτερον, από την τελολογική ερμηνεία του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, δεδομένου ότι το άρθρο αυτό αποσκοπεί στη διασφάλιση της υλοποίησης των σκοπών του κανονισμού, στους οποίους συγκαταλέγεται, μεταξύ άλλων, ο σκοπός της ενίσχυσης των δικαιωμάτων των υποκειμένων των δεδομένων καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο οποίος μνημονεύεται στην αιτιολογική σκέψη 11 του εν λόγω κανονισμού. Όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 72 των προτάσεών του, τα δικαιώματα αυτά, μεταξύ των οποίων περιλαμβάνεται ακριβώς το δικαίωμα πρόσβασης στο οποίο αναφέρεται το αιτούν δικαστήριο, θα αποδυναμώνονταν σημαντικά, αν το άρθρο 82, παράγραφος 1, ερμηνευόταν υπό την έννοια ότι περιορίζεται μόνο στις ζημίες που απορρέουν από παράνομες πράξεις που συνεπάγονται επεξεργασία δεδομένων.
54 Επομένως, ακόμη και σε περίπτωση παράβασης του ΓΚΠΔ η οποία δεν συνεπάγεται, αυτή καθεαυτήν, επεξεργασία δεδομένων, το υποκείμενο των δεδομένων μπορεί να επικαλεστεί το δικαίωμα αποζημίωσης που προβλέπεται στο άρθρο 82 του κανονισμού.
55 Λαμβανομένων υπόψη των προεκτεθέντων, στο πέμπτο και στο έκτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι παρέχει στο υποκείμενο των δεδομένων δικαίωμα αποζημίωσης για τη ζημία που προκλήθηκε από προσβολή του δικαιώματος πρόσβασης το οποίο προβλέπεται στο άρθρο 15, παράγραφος 1, του κανονισμού.
Επί του τέταρτου προδικαστικού ερωτήματος
56 Κατόπιν της απαντήσεως που δόθηκε στο πέμπτο και στο έκτο προδικαστικό ερώτημα, παρέλκει η απάντηση στο τέταρτο ερώτημα.
Επί του όγδοου προδικαστικού ερωτήματος
57 Με το όγδοο προδικαστικό ερώτημα, το οποίο πρέπει να εξεταστεί τρίτο και τελευταίο κατά σειρά, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι η μη υλική ζημία που υπέστη το υποκείμενο των δεδομένων περιλαμβάνει την απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα που το αφορούν ή την αβεβαιότητά του ως προς το κατά πόσον τα δεδομένα αυτά υποβλήθηκαν σε επεξεργασία.
58 Εφόσον ο ΓΚΠΔ δεν παραπέμπει στο δίκαιο των κρατών μελών όσον αφορά το νόημα και το περιεχόμενο των όρων που χρησιμοποιούνται στην ως άνω διάταξη, ιδίως των εννοιών «υλική ή μη υλική ζημία» και «αποζημίωση […] για τη ζημία που υπέστη», οι όροι αυτοί πρέπει να θεωρηθούν, για τους σκοπούς της εφαρμογής του ΓΚΠΔ, ως αυτοτελείς έννοιες του δικαίου της Ένωσης, οι οποίες πρέπει να ερμηνεύονται ομοιόμορφα σε όλα τα κράτη μέλη [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 30, και της 4ης Σεπτεμβρίου 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, σκέψη 55 και εκεί μνημονευόμενη νομολογία].
59 Συναφώς, υπενθυμίζεται ότι δεν μπορεί να γίνει δεκτό ότι κάθε «παραβίαση» των διατάξεων του ΓΚΠΔ παρέχει, αφ’ εαυτής, δικαίωμα αποζημίωσης στο υποκείμενο των δεδομένων. Πράγματι, το άρθρο 82, παράγραφος 1, του ΓΚΠΔ προβλέπει ότι «[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη». Αφενός, από τη διάταξη αυτή προκύπτει σαφώς ότι η ύπαρξη «ζημίας» την οποία «υπέστη» το υποκείμενο των δεδομένων συνιστά μία από τις προϋποθέσεις του προβλεπόμενου στην εν λόγω διάταξη δικαιώματος αποζημιώσεως, όπως ακριβώς και η ύπαρξη παραβάσεως του ΓΚΠΔ και αιτιώδους συνάφειας μεταξύ της ζημίας και της παραβάσεως, δεδομένου ότι οι τρεις αυτές προϋποθέσεις είναι σωρευτικές [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψεις 31 έως 33, και της 4ης Σεπτεμβρίου 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, σκέψη 56 και εκεί μνημονευόμενη νομολογία].
60 Συνεπώς, το πρόσωπο που ζητεί δυνάμει της προαναφερθείσας διατάξεως αποζημίωση για υλική ζημία ή χρηματική ικανοποίηση για ηθική βλάβη οφείλει να αποδείξει όχι μόνον την παράβαση των διατάξεων του ΓΚΠΔ, αλλά και το γεγονός ότι η παράβαση αυτή του προκάλεσε τέτοια ζημία ή βλάβη. Ως εκ τούτου, η ζημία ή η βλάβη δεν μπορεί να τεκμαίρεται μόνον από την επέλευση της παραβάσεως (απόφαση της 4 Οκτωβρίου 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, σκέψη 141 και εκεί μνημονευόμενη νομολογία).
61 Τούτου λεχθέντος, το Δικαστήριο έχει κρίνει ότι από την πρώτη περίοδο της αιτιολογικής σκέψης 85 του ΓΚΠΔ και τις εκεί ενδεικτικώς αναφερόμενες «ζημίες» ή «βλάβες» που μπορεί να υποστούν τα υποκείμενα των δεδομένων προκύπτει ότι ο ενωσιακός νομοθέτης θέλησε να περιλάβει στις εν λόγω έννοιες, μεταξύ άλλων, την απλή «απώλεια του ελέγχου» επί των προσωπικού χαρακτήρα δεδομένων τους σε συνέχεια παράβασης των διατάξεων του κανονισμού, ακόμη και αν τα επίμαχα δεδομένα δεν χρησιμοποιηθούν καταχρηστικά σε συγκεκριμένη περίπτωση (απόφαση της 4ης Οκτωβρίου 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, σκέψη 145 και εκεί μνημονευόμενη νομολογία).
62 Το Δικαστήριο έχει κρίνει επίσης ότι η έννοια της «μη υλικής ζημίας» δεν μπορεί να περιοριστεί μόνο στις ζημίες ορισμένης βαρύτητας. Ειδικότερα, εθνική ρύθμιση ή πρακτική δεν μπορεί εγκύρως να καθορίζει «ελάχιστο κατώτατο όριο» προκειμένου να διαγνωσθεί η ύπαρξη μη υλικής ζημίας που προκλήθηκε από παράβαση του ΓΚΠΔ. Εντούτοις, το υποκείμενο των δεδομένων οφείλει να αποδείξει, αφενός, ότι υπέστη πράγματι τέτοια ζημία, όσο ελάχιστη και αν είναι, και, αφετέρου, ότι οι συνέπειες της ως άνω παράβασης τις οποίες ισχυρίζεται ότι υπέστη συνιστούν ζημία η οποία διαφοροποιείται από την απλή παράβαση των διατάξεων του εν λόγω κανονισμού (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, σκέψεις 22 και 23).
63 Επομένως, ο απλός ισχυρισμός του υποκειμένου των δεδομένων περί φόβου που προκλήθηκε από απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα που το αφορούν δεν μπορεί να θεμελιώσει αξίωση αποζημίωσης βάσει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ [πρβλ. απόφαση της 20ής Ιουνίου 2024, PS (Εσφαλμένη διεύθυνση), C‑590/22, EU:C:2024:536, σκέψεις 33 και 35). Συνεπώς, όταν ένα πρόσωπο που ζητεί αποζημίωση βάσει της εν λόγω διατάξεως επικαλείται τον φόβο ότι τα προσωπικού χαρακτήρα δεδομένα του θα χρησιμοποιηθούν καταχρηστικά στο μέλλον εξαιτίας παράβασης του ΓΚΠΣ, το επιληφθέν εθνικό δικαστήριο οφείλει να ελέγξει αν ο φόβος αυτός μπορεί να θεωρηθεί βάσιμος, υπό τις συγκεκριμένες περιστάσεις και σε σχέση με το υποκείμενο των δεδομένων (πρβλ. απόφαση της 4ης Οκτωβρίου 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, σκέψη 143 και εκεί μνημονευόμενη νομολογία).
64 Οι εκτιμήσεις που εκτίθενται στις σκέψεις 59 έως 63 της παρούσας αποφάσεως έχουν επίσης εφαρμογή και σε περίπτωση κατά την οποία το υποκείμενο των δεδομένων εκτιμά ότι υφίσταται αβεβαιότητα ως προς το κατά πόσον τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υποβλήθηκαν σε επεξεργασία.
65 Για να δοθεί χρήσιμη απάντηση στο αιτούν δικαστήριο, πρέπει επιπλέον να επισημανθεί ότι η αιτιώδης συνάφεια μεταξύ της προβαλλόμενης παράβασης και της φερόμενης ζημίας μπορεί να διακοπεί λόγω της συμπεριφοράς του υποκειμένου των δεδομένων, εφόσον η συμπεριφορά αυτή αποδεικνύεται ότι αποτελεί την καθοριστική αιτία της ζημίας. Μια τέτοια πράξη μπορεί να συνίσταται, μεταξύ άλλων, σε απόφαση του ζημιωθέντος, υπό την προϋπόθεση, ωστόσο, ότι η απόφαση αυτή δεν ήταν επιβεβλημένη γι’ αυτόν [βλ., κατ’ αναλογίαν, απόφαση της 18ης Δεκεμβρίου 2025, WS κ.λπ. κατά Frontex (Κοινή επιχείρηση επιστροφής), C‑679/23 P, EU:C:2025:976, σκέψεις 151 και 152 και εκεί μνημονευόμενη νομολογία].
66 Επιπλέον, από τη νομολογία που υπομνήσθηκε στη σκέψη 59 της παρούσας απόφασης προκύπτει ότι η ύπαρξη αιτιώδους συνάφειας μεταξύ της προβαλλόμενης παράβασης του ΓΚΠΔ και της ζημίας που ισχυρίζεται ότι υπέστη το υποκείμενο των δεδομένων αποτελεί προϋπόθεση sine qua non για την ύπαρξη δικαιώματος αποζημίωσης δυνάμει του άρθρου 82, παράγραφος 1, του κανονισμού. Ως εκ τούτου, δεν μπορεί να χορηγηθεί στο υποκείμενο των δεδομένων, δυνάμει της διάταξης αυτής, αποζημίωση για τις ζημίες που ισχυρίζεται ότι υπέστη λόγω της απώλειας του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα που το αφορούν ή λόγω της αβεβαιότητάς του ως προς το κατά πόσον αυτά υποβλήθηκαν σε επεξεργασία, όταν η αιτιώδης συνάφεια έχει διακοπεί λόγω της συμπεριφοράς του υποκειμένου των δεδομένων, εφόσον η εν λόγω απώλεια ελέγχου ή αβεβαιότητα προκλήθηκε από την απόφαση του υποκειμένου των δεδομένων να υποβάλει τα δεδομένα αυτά στον υπεύθυνο επεξεργασίας με σκοπό την τεχνητή δημιουργία των προϋποθέσεων που απαιτούνται για την εφαρμογή της εν λόγω διατάξεως.
67 Λαμβανομένων υπόψη των ανωτέρω σκέψεων, στο όγδοο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι η μη υλική ζημία που υπέστη το υποκείμενο των δεδομένων περιλαμβάνει την απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα που το αφορούν ή την αβεβαιότητά του ως προς το κατά πόσον τα δεδομένα του υποβλήθηκαν σε επεξεργασία, εφόσον αποδεικνύεται, μεταξύ άλλων, ότι το υποκείμενο των δεδομένων υπέστη πράγματι τέτοια ζημία και ότι η συμπεριφορά του δεν αποτέλεσε την καθοριστική αιτία της ζημίας.
Επί των δικαστικών εξόδων
68 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τέταρτο τμήμα) αποφαίνεται:
1) Το άρθρο 12, παράγραφος 5, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχει την έννοια ότι:
το πρώτο αίτημα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα το οποίο υποβάλλει το υποκείμενο των δεδομένων στον υπεύθυνο επεξεργασίας δυνάμει του άρθρου 15 του κανονισμού μπορεί να θεωρηθεί «υπερβολικό», κατά την έννοια του άρθρου 12, παράγραφος 5, όταν ο υπεύθυνος επεξεργασίας αποδεικνύει, λαμβανομένου υπόψη του συνόλου των κρίσιμων περιστάσεων της υπόθεσης, ότι, παρά την τυπική τήρηση των προϋποθέσεων που προβλέπουν οι διατάξεις αυτές, το αίτημα υποβλήθηκε από το υποκείμενο των δεδομένων όχι για να λάβει γνώση της επεξεργασίας των δεδομένων αυτών και να επαληθεύσει τη νομιμότητά της, προκειμένου να μπορέσει, στη συνέχεια, να προστατεύσει τα δικαιώματα που αντλεί από τον εν λόγω κανονισμό, αλλά με πρόθεση κατάχρησης, όπως είναι η τεχνητή δημιουργία των προϋποθέσεων που απαιτούνται για την αποκόμιση οφέλους απορρέοντος από τον ως άνω κανονισμό. Το γεγονός ότι, σύμφωνα με δημόσια διαθέσιμες πληροφορίες, το υποκείμενο των δεδομένων έχει υποβάλει σε διαφορετικούς υπευθύνους επεξεργασίας πλείονα αιτήματα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, συνοδευόμενα από αιτήματα αποζημίωσης, μπορεί να ληφθεί υπόψη προκειμένου να διαπιστωθεί η ύπαρξη τέτοιας πρόθεσης κατάχρησης.
2) Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679
έχει την έννοια ότι:
παρέχει στο υποκείμενο των δεδομένων δικαίωμα αποζημίωσης για τη ζημία που προκλήθηκε από προσβολή του δικαιώματος πρόσβασης το οποίο προβλέπεται στο άρθρο 15, παράγραφος 1, του κανονισμού.
3) Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679
έχει την έννοια ότι:
η μη υλική ζημία που υπέστη το υποκείμενο των δεδομένων περιλαμβάνει την απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα που το αφορούν ή την αβεβαιότητά του ως προς το κατά πόσον τα δεδομένα του υποβλήθηκαν σε επεξεργασία, εφόσον αποδεικνύεται, μεταξύ άλλων, ότι το υποκείμενο των δεδομένων υπέστη πράγματι τέτοια ζημία και ότι η συμπεριφορά του δεν αποτέλεσε την καθοριστική αιτία της ζημίας.
(υπογραφές)
