This document is an excerpt from the EUR-Lex website
Document 62021CJ0667
Judgment of the Court (Third Chamber) of 21 December 2023.#ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.#Request for a preliminary ruling from the Bundesarbeitsgericht.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 6(1) – Conditions for lawful processing – Article 9(1) to (3) – Processing of special categories of data – Data concerning health – Assessment of an employee’s working capacity – Health insurance medical service processing data concerning the health of its own employees – Conditions for such processing and whether permissible – Article 82(1) – Right to compensation and liability – Compensation for non-material damage – Compensatory function – Impact of negligence on the part of the data controller.#Case C-667/21.
2023 m. gruodžio 21 d. Teisingumo Teismo (trečioji kolegija) sprendimas.
ZQ prieš Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Bundesarbeitsgericht prašymas priimti prejudicinį sprendimą.
Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 6 straipsnio 1 dalis – Teisėto duomenų tvarkymo sąlygos – 9 straipsnio 1 – 3 dalys – Specialių kategorijų duomenų tvarkymas – Sveikatos duomenys – Darbuotojo darbingumo vertinimas – Sveikatos draudimo medicinos tarnyba, tvarkanti savo darbuotojų sveikatos duomenis – Tokio tvarkymo leistinumas ir sąlygos – 82 straipsnio 1 dalis – Teisė į kompensaciją ir atsakomybė – Neturtinės žalos atlyginimas – Kompensacinė funkcija – Duomenų valdytojo kaltės poveikis.
Byla C-667/21.
2023 m. gruodžio 21 d. Teisingumo Teismo (trečioji kolegija) sprendimas.
ZQ prieš Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts.
Bundesarbeitsgericht prašymas priimti prejudicinį sprendimą.
Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 6 straipsnio 1 dalis – Teisėto duomenų tvarkymo sąlygos – 9 straipsnio 1 – 3 dalys – Specialių kategorijų duomenų tvarkymas – Sveikatos duomenys – Darbuotojo darbingumo vertinimas – Sveikatos draudimo medicinos tarnyba, tvarkanti savo darbuotojų sveikatos duomenis – Tokio tvarkymo leistinumas ir sąlygos – 82 straipsnio 1 dalis – Teisė į kompensaciją ir atsakomybė – Neturtinės žalos atlyginimas – Kompensacinė funkcija – Duomenų valdytojo kaltės poveikis.
Byla C-667/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2023:1022
TEISINGUMO TEISMO (trečioji kolegija) SPRENDIMAS
2023 m. gruodžio 21 d. ( *1 )
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 6 straipsnio 1 dalis – Teisėto duomenų tvarkymo sąlygos – 9 straipsnio 1–3 dalys – Specialių kategorijų duomenų tvarkymas – Sveikatos duomenys – Darbuotojo darbingumo vertinimas – Sveikatos draudimo medicinos tarnyba, tvarkanti savo darbuotojų sveikatos duomenis – Tokio tvarkymo leistinumas ir sąlygos – 82 straipsnio 1 dalis – Teisė į kompensaciją ir atsakomybė – Neturtinės žalos atlyginimas – Kompensacinė funkcija – Duomenų valdytojo kaltės poveikis“
Byloje C‑667/21
dėl Bundesarbeitsgericht (Federalinis darbo teismas, Vokietija) 2021 m. rugpjūčio 26 d. nutartimi, kurią Teisingumo Teismas gavo 2021 m. lapkričio 8 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
ZQ
prieš
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts
TEISINGUMO TEISMAS (trečioji kolegija),
kurį sudaro kolegijos pirmininkė K. Jürimäe, teisėjai N. Piçarra, M. Safjan, N. Jääskinen (pranešėjas) ir M. Gavalec,
generalinis advokatas M. Campos Sánchez-Bordona,
kancleris A. Calot Escobar,
atsižvelgęs į rašytinę proceso dalį,
išnagrinėjęs pastabas, pateiktas:
– |
ZQ, atstovaujamo Rechtsanwalt E. Daun, |
– |
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, atstovaujamos Rechtsanwalt M. Wehner, |
– |
Airijos, atstovaujamos Chief State Solicitor M. Browne, A. Joyce ir M. Lane, padedamų BL D. Fennelly, |
– |
Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato M. Russo, |
– |
Europos Komisijos, atstovaujamos A. Bouchagiar, M. Heller ir H. Kranenborg, |
susipažinęs su 2023 m. gegužės 25 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 |
Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 9 straipsnio 1 dalies, 2 dalies h punkto ir 3 dalies, siejamų su šio reglamento 6 straipsnio 1 dalimi, ir jo 82 straipsnio 1 dalies išaiškinimo. |
2 |
Šis prašymas pateiktas nagrinėjant ZQ ir jo darbdavio Medizinischer Dienst der Krankenversicherung Nordrhein (Šiaurės Reino sveikatos draudimo medicinos tarnyba, Vokietija, toliau – MDK Nordrhein) ginčą dėl kompensacijos už žalą, kurią ZQ teigia patyręs dėl to, kad MDK Nordrhein neteisėtai tvarkė jo sveikatos duomenis. |
Teisinis pagrindas
Sąjungos teisė
3 |
BDAR 4–8, 10, 35, 51–53, 75 ir 146 konstatuojamosios dalys suformuluotos taip:
<…>
<…>
<…>
<…>
<…>
|
4 |
Šio reglamento I skyriaus „Bendrosios nuostatos“ 2 straipsnio „Materialinė taikymo sritis“ 1 dalyje numatyta: „Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.“ |
5 |
Šio reglamento 4 straipsnyje „Apibrėžtys“ nustatyta: „Šiame reglamente:
<…>
<…>
<…>“ |
6 |
BDAR II skyriuje „Principai“ yra 5–11 straipsniai. |
7 |
Šio reglamento 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ numatyta: „1. Asmens duomenys turi būti:
<…>
2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“ |
8 |
Minėto reglamento 6 straipsnio „Tvarkymo teisėtumas“ 1 dalyje nustatyta: „Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:
Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.“ |
9 |
To paties reglamento 9 straipsnis „Specialių kategorijų asmens duomenų tvarkymas“ suformuluotas taip: „1. Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. 2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų: <…>
<…>
<…> 3. 1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį. 4. Valstybės narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui.“ |
10 |
BDAR IV skyriuje „Duomenų valdytojas ir duomenų tvarkytojas“ yra 24–43 straipsniai. |
11 |
Šio skyriaus 1 skirsnio „Bendrosios prievolės“ 24 straipsnio „Duomenų valdytojo atsakomybė“ 1 dalyje numatyta: „Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.“ |
12 |
Minėto skyriaus 2 skirsnyje „Asmens duomenų saugumas“ esančio 32 straipsnio „Duomenų tvarkymo saugumas“ 1 dalyje nustatyta: „Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:
<…>“ |
13 |
BDAR VIII skyriuje „Teisių gynimo priemonės, atsakomybė ir sankcijos“ yra šio reglamento 77–84 straipsniai. |
14 |
Šio reglamento 82 straipsnyje „Teisė į kompensaciją ir atsakomybė“ numatyta: „1. Bet kuris asmuo, patyręs materialinę ar nematerialinę [turtinę ar neturtinę] žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą. 2. Tvarkant duomenis dalyvaujantis duomenų valdytojas atsako už žalą, padarytą dėl vykdyto duomenų tvarkymo pažeidžiant šį reglamentą. <…> 3. Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala. <…>“ |
15 |
BDAR 83 straipsnyje „Bendrosios administracinių baudų skyrimo sąlygos“ numatyta: „1. Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos. 2. <…> Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus:
<…>
<…>
3. Jei duomenų valdytojas arba duomenų tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, tyčia ar dėl aplaidumo pažeidžia kelias šio reglamento nuostatas, bendra administracinės baudos suma nėra didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą. <…>“ |
16 |
Šio reglamento 84 straipsnio „Sankcijos“ 1 dalyje nustatyta: „Valstybės narės nustato taisykles dėl kitų sankcijų, taikytinų už šio reglamento pažeidimus, visų pirma pažeidimus, dėl kurių netaikomos administracinės baudos pagal 83 straipsnį, ir imasi visų būtinų priemonių užtikrinti, kad jos būtų įgyvendinamos. Tokios sankcijos yra veiksmingos, proporcingos ir atgrasomos.“ |
Nacionalinė teisė
17 |
Pagal pagrindinėje byloje taikytinos redakcijos Sozialgesetzbuch, Fünftes Buch (Socialinis kodeksas, penktoji knyga) 275 straipsnio 1 dalį privalomojo sveikatos draudimo įstaigos turi kreiptis į Medizinischer Dienst (medicinos tarnyba), kuri visų pirma joms padeda atlikti ekspertizę, kad išsklaidytų abejones dėl apdraustojo nedarbingumo įstatymo nustatytais atvejais arba kai to reikia dėl jo ligos. |
18 |
Šio kodekso 278 straipsnio 1 dalyje numatyta, kad tokia medicinos tarnyba kiekvienoje federalinėje žemėje įsteigiama kaip viešosios teisės reglamentuojama įstaiga. |
Pagrindinė byla ir prejudiciniai klausimai
19 |
MDK Nordrhein – tai viešosios teisės reglamentuojama įstaiga, kurios, kaip ligonių kasų medicinos tarnybos, viena iš įstatymais nustatytų užduočių yra atlikti medicininius tyrimus, siekiant išsklaidyti abejones dėl jos kompetencijai priklausančių privalomojo sveikatos draudimo ligonių kasose apdraustų asmenų nedarbingumo, įskaitant atvejus, kai šie tyrimai susiję su jos pačios darbuotojais. |
20 |
Tokiu atveju tik specialaus padalinio, vadinamo „specialių atvejų padaliniu“, nariai turi teisę tvarkyti vadinamuosius „socialinius“ darbuotojo duomenis, naudodamiesi uždara įstaigos informacinės sistemos dalimi, ir naudotis skaitmeniniais archyvais po to, kai uždaroma ekspertinio vertinimo byla. Vidaus tarnybos rašte dėl tokių atvejų, be kita ko, numatyta, kad prieigą prie šių duomenų turi ribotas skaičius įgaliotų darbuotojų, įskaitant kai kuriuos informatikos skyriaus darbuotojus. |
21 |
Ieškovas pagrindinėje byloje, prieš jam nustatant nedarbingumą dėl medicininių priežasčių, dirbo MDK Nordrhein informatikos skyriuje. Pasibaigus pusmečiui, per kurį MDK Nordrhein, kaip darbdavė, ir toliau mokėjo jam darbo užmokestį, privalomojo sveikatos draudimo įstaiga, kurioje jis buvo apdraustas, pradėjo jam mokėti ligos išmokas. |
22 |
Tuomet ši įstaiga paprašė MDK Nordrhein atlikti ekspertizę dėl ieškovo pagrindinėje byloje nedarbingumo. MDK Nordrhein„specialių atvejų padalinyje“ dirbantis gydytojas atliko ekspertizę, be kita ko, gavęs informacijos iš ieškovą pagrindinėje byloje gydančio gydytojo. Kai jį gydantis gydytojas informavo apie tai ieškovą, šis susisiekė su viena iš savo kolegių informatikos skyriuje ir paprašė padaryti MDK Nordrhein skaitmeniniuose archyvuose esančias ekspertizės išvados nuotraukas ir jas perduoti jam. |
23 |
Manydamas, kad darbdavys neteisėtai tvarkė jo sveikatos duomenis, ieškovas pagrindinėje byloje pareikalavo, kad darbdavys jam sumokėtų 20000 EUR kompensaciją, tačiau MDK Nordrhein atsisakė tai padaryti. |
24 |
Vėliau ieškovas pagrindinėje byloje kreipėsi į Arbeitsgericht Düsseldorf (Diuseldorfo darbo teismas, Vokietija), siekdamas, kad pagal BDAR 82 straipsnio 1 dalį ir Vokietijos teisės nuostatas iš MDK Nordrhein būtų priteista kompensacija už žalą, kurią jis teigia patyręs dėl taip tvarkytų asmens duomenų. Jis iš esmės nurodė, pirma, kad aptariamą ekspertizę turėjo atlikti kita medicinos tarnyba, siekiant išvengti, kad jo kolegos turėtų galimybę susipažinti su jo sveikatos duomenimis, ir, antra, kad saugumo priemonės, susijusios su šios ekspertizės išvados archyvavimu, buvo nepakankamos. Jis taip pat teigė, kad taip tvarkant duomenis buvo pažeistos jiems apsaugą suteikiančios teisės normos ir dėl to jis patyrė tiek neturtinę, tiek turtinę žalą. |
25 |
Atsakydama MDK Nordrhein iš esmės nurodė, kad ieškovo pagrindinėje byloje sveikatos duomenys buvo renkami ir saugomi laikantis nuostatų, įtvirtinančių tokių duomenų apsaugą. |
26 |
Kadangi ieškovo pagrindinėje byloje ieškinys pirmojoje instancijoje buvo atmestas, jis pateikė apeliacinį skundą Landesarbeitsgericht Düsseldorf (Diuseldorfo apygardos darbo teismas, Vokietija); šis taip pat atmetė jo ieškinį. Tada jis pateikė kasacinį skundą Bundesarbeitsgericht (Federalinis darbo teismas, Vokietija), kuris šioje byloje yra prašymą priimti prejudicinį sprendimą pateikęs teismas. |
27 |
Tas teismas remiasi prielaidomis, kad pagrindinėje byloje MDK Nordrhein, kaip medicinos tarnybos, atlikta ekspertizė yra „asmens duomenų“, o konkrečiau kalbant, „sveikatos duomenų“, „tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 1, 2 ir 15 punktus, todėl ši operacija patenka į šio reglamento materialinę taikymo sritį, apibrėžtą jo 2 straipsnio 1 dalyje. Be to, jis mano, kad MDK Nordrhein yra atitinkamas „duomenų valdytojas“, kaip tai suprantama pagal minėto reglamento 4 straipsnio 7 punktą. |
28 |
Pirma, prašymą priimti prejudicinį sprendimą pateikusio teismo klausimai susiję su kelių BDAR 9 straipsnio nuostatų dėl specialių kategorijų asmens duomenų tvarkymo aiškinimu, be kita ko, atsižvelgiant į tai, kad pagrindinėje byloje nagrinėjamą duomenų tvarkymą atliko tarnyba, kuri taip pat yra duomenų subjekto, kaip apibrėžta šio reglamento 4 straipsnio 1 punkte, darbdavys. |
29 |
Visų pirma prašymą priimti prejudicinį sprendimą pateikęs teismas abejoja, ar pagrindinėje byloje nagrinėjamam sveikatos duomenų tvarkymui gali būti taikoma viena iš BDAR 9 straipsnio 2 dalyje numatytų išimčių. To teismo teigimu, nagrinėjamu atveju svarbios tik minėtos 2 dalies b ir h punktuose nurodytos išimtys. Vis dėlto jis iš karto atmetė galimybę šioje byloje taikyti b punkte numatytą išimtį, motyvuodamas tuo, kad pagrindinėje byloje nagrinėjamas duomenų tvarkymas nebuvo būtinas duomenų valdytojo, kaip duomenų subjekto darbdavio, teisėms ir pareigoms įgyvendinti. Iš tiesų šį duomenų tvarkymą inicijavo kita įstaiga, kuri paprašė MDK Nordrhein, kaip medicinos tarnybos, atlikti patikrinimą. Vis dėlto, nors prašymą priimti prejudicinį sprendimą pateikęs teismas linkęs netaikyti ir h punkte numatytos išimties, nes, jo teigimu, ji turėtų būti taikoma tik „neutralios trečiosios šalies“ atliekamam duomenų tvarkymui, o įstaiga negali remtis savo „dviguba funkcija“ – darbdavio ir medicinos tarnybos – siekdama panaikinti tokį draudimą tvarkyti duomenis, jis šiuo klausimu nėra kategoriškas. |
30 |
Be to, tuo atveju, jei sveikatos duomenų tvarkymas tokiomis aplinkybėmis būtų leidžiamas pagal BDAR 9 straipsnio 2 dalies h punktą, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas dėl sveikatos duomenų apsaugos taisyklių, kurių turi būti laikomasi šiomis aplinkybėmis. Jo nuomone, iš reglamento matyti, kad nepakanka, kad duomenų valdytojas atitiktų jo 9 straipsnio 3 dalyje nustatytus reikalavimus. Toks duomenų valdytojas taip pat turėtų užtikrinti, kad nė vienas iš duomenų subjekto kolegų neturėtų prieigos prie duomenų apie duomenų subjekto sveikatos būklę. |
31 |
Galiausiai vis dar remdamasis ta pačia prielaida tas teismas nori sužinoti, ar tam, kad toks duomenų tvarkymas būtų teisėtas, papildomai turi būti įvykdyta bent viena iš RGPD 6 straipsnio 1 dalyje nurodytų sąlygų. Jo nuomone, taip turėtų būti, o pagrindinėje byloje tik šio 6 straipsnio 1 dalies pirmos pastraipos c ir e punktai a priori galėtų būti reikšmingi. Vis dėlto šie c ir e punktai neturėtų būti taikomi, grindžiant tuo, kad atitinkamas duomenų tvarkymas nėra „būtinas“, kaip tai suprantama pagal šias nuostatas, nes jį gali atlikti ne MDK Nordrhein, o kita medicinos tarnyba. |
32 |
Antra, jeigu nagrinėjamu atveju būtų konstatuotas BDAR pažeidimas, prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas dėl galimo žalos atlyginimo ieškovui pagrindinėje byloje pagal šio reglamento 82 straipsnį. |
33 |
Jis siekia sužinoti, ar BDAR 82 straipsnio 1 dalyje numatyta taisyklė, be kompensacinės funkcijos, taip pat yra atgrasomojo arba baudžiamojo pobūdžio, ir, jei taip, ar šį pobūdį reikėtų turėti omenyje, nustatant neturtinės žalos atlyginimo sumą, be kita ko, atsižvelgiant į kitose Sąjungos teisės srityse įtvirtintus veiksmingumo, proporcingumo ir lygiavertiškumo principus. |
34 |
Be to, tas teismas linkęs manyti, kad duomenų valdytojo atsakomybė gali kilti remiantis minėto 82 straipsnio 1 dalimi, nereikalaujant įrodyti jo kaltės. Vis dėlto turėdamas abejonių visų pirma dėl Vokietijos teisės normų jis teiraujasi, ar reikėtų nustatyti, ar nagrinėjamas BDAR pažeidimas buvo padarytas dėl duomenų valdytojo tyčinių ar neatsargių veiksmų ir ar duomenų valdytojo galimos kaltės lygis turėtų turėti įtakos, nustatant priteistą neturtinės žalos kompensaciją. |
35 |
Šiomis aplinkybėmis Bundesarbeitsgericht (Federalinis darbo teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
|
Dėl prejudicinių klausimų
Dėl pirmojo klausimo
36 |
Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar, atsižvelgiant į BDAR 9 straipsnio 1 dalyje numatytą draudimą tvarkyti sveikatos duomenis, šio straipsnio 2 dalies h punktas turi būti aiškinamas taip, kad jame numatyta išimtis taikoma tais atvejais, kai medicininės kontrolės įstaiga tvarko vieno iš savo darbuotojų sveikatos duomenis ne kaip darbdavė, o kaip medicinos tarnyba, kad įvertintų šio darbuotojo darbingumą. |
37 |
Pagal suformuotą jurisprudenciją aiškinant Sąjungos teisės nuostatą būtina atsižvelgti ne tik į jos formuluotę, bet ir į jos kontekstą bei aktu, kuriame ji įtvirtinta, siekiamus tikslus. Sąjungos teisės nuostatos genezė taip pat gali suteikti reikšmingos informacijos ją aiškinant (2023 m. kovo 16 d. Sprendimo Towercast, C‑449/21, EU:C:2023:207, 31 punktas ir jame nurodyta jurisprudencija). |
38 |
Pirma, reikia priminti, kad BDAR 9 straipsnis, kaip matyti iš jo pavadinimo, susijęs su „[s]pecialių kategorijų asmens duomenų tvarkymu“, kurie šio reglamento 10 ir 51 konstatuojamosiose dalyse taip pat kvalifikuojami kaip „neskelbtini“ duomenys. |
39 |
BDAR 51 konstatuojamojoje dalyje nurodyta, kad asmens duomenims, kurie pagal savo pobūdį yra ypač neskelbtini, remiantis pagrindinėmis teisėmis ir laisvėmis, turi būti užtikrinta ypatinga apsauga, nes atsižvelgiant į jų tvarkymo kontekstą galėtų kilti didelis pavojus pagrindinėms teisėms ir laisvėms. |
40 |
Taigi BDAR 9 straipsnio 1 dalyje įtvirtintas joje nurodytų specialių kategorijų asmens duomenų tvarkymo draudimo principas. Prie jų priskiriami šioje byloje nagrinėjami „sveikatos duomenys“, kaip jie apibrėžti šio reglamento 4 straipsnio 15 punkte, siejamame su jo 35 konstatuojamąja dalimi. |
41 |
Teisingumo Teismas yra patikslinęs, kad minėto reglamento 9 straipsnio 1 dalies tikslas yra užtikrinti didesnę apsaugą nuo duomenų tvarkymo, kuris dėl ypatingo tvarkomų duomenų jautrumo gali labai smarkiai suvaržyti Pagrindinių teisių chartijos 7 ir 8 straipsniuose garantuojamas pagrindines teises į privataus gyvenimo gerbimą ir asmens duomenų apsaugą (šiuo klausimu žr. 2023 m. birželio 5 d. Sprendimo Komisija / Lenkija (Teisėjų nepriklausomumas ir privatus gyvenimas), C‑204/21, EU:C:2023:442, 345 punktą ir jame nurodytą jurisprudenciją). |
42 |
Vis dėlto BDAR 9 straipsnio 2 dalies a–j punktuose numatytas išsamus draudimo tvarkyti tokius neskelbtinus duomenis išimčių sąrašas. |
43 |
Konkrečiai kalbant, pagal BDAR 9 straipsnio 2 dalies h punktą taip tvarkyti duomenis leidžiama, jeigu tai „būtina [visų pirma] siekiant įvertinti darbuotojo darbingumą <…> remiantis Sąjungos arba valstybės narės teise arba pagal sutartį su sveikatos priežiūros specialistu“. Šioje nuostatoje patikslinta, kad bet kokiam ja grindžiamam duomenų tvarkymui, be kita ko, konkrečiai taikomos šio 9 straipsnio „3 dalyje nurodytos sąlygos ir apsaugos priemonės“. |
44 |
Iš BDAR 9 straipsnio 2 dalies h punkto, siejamo su šio straipsnio 3 dalimi, matyti, kad galimybė tvarkyti neskelbtinus duomenis, kaip antai sveikatos duomenis, griežtai ribojama tam tikromis kumuliacinėmis sąlygomis. Jos susijusios su: pirma, minėtame h punkte išvardytais tikslais, tarp kurių yra darbuotojo darbingumo vertinimas, antra, šio duomenų tvarkymo teisiniu pagrindu – ar tai būtų Sąjungos, valstybės narės teisė, ar sutartis, sudaryta su sveikatos priežiūros specialistu, kaip nurodyta tame pačiame h punkte, ir galiausiai, trečia, konfidencialumo pareiga, kuri pagal šio 9 straipsnio 3 dalį taikoma asmenims, įgaliotiems taip tvarkyti duomenis, nes visiems šiems asmenims pagal šią nuostatą turi būti taikoma pareiga saugoti profesinę paslaptį. |
45 |
Kaip savo išvados 32 ir 33 punktuose iš esmės pažymėjo generalinis advokatas, nei BDAR 9 straipsnio 2 dalies h punkto formuluotėje, nei šios nuostatos genezėje nėra informacijos, kuria remiantis būtų galima manyti, kad minėtoje nuostatoje numatytą išimtį galima taikyti tik tais atvejais, kaip tai siūlo daryti prašymą priimti prejudicinį sprendimą pateikęs teismas, kai duomenis tvarko duomenų subjektui, kaip apibrėžta šio reglamento 4 straipsnio 1 punkte, „neutrali trečioji šalis, o ne jo darbdavys“. |
46 |
Atsižvelgiant į prašymą priimti prejudicinį sprendimą pateikusio teismo nuomonę, kad iš esmės įstaiga neturėtų galėti remtis savo, kaip duomenų subjekto darbdavio ir medicinos tarnybos, „dviguba funkcija“, kad išvengtų BDAR 9 straipsnio 1 dalyje įtvirtinto principo, draudžiančio tvarkyti sveikatos duomenis, reikia patikslinti, kad svarbu atsižvelgti į tai, kokiu statusu remiantis buvo tvarkomis šie duomenys. |
47 |
Iš tiesų, nors pagal 9 straipsnio 1 dalį iš principo draudžiama tvarkyti sveikatos duomenis, šio straipsnio 2 dalies a–j punktuose numatyta dešimt išimčių, kurios nepriklauso viena nuo kitos, todėl turi būti vertinamos savarankiškai. Darytina išvada, kad aplinkybė, jog netenkinamos vienos iš šioje 2 dalyje numatytų išimčių taikymo sąlygos, netrukdo duomenų valdytojui remtis kita šioje nuostatoje nurodyta išimtimi. |
48 |
Iš to, kas išdėstyta, matyti, kad visiškai neatmetama galimybė BDAR 9 straipsnio 2 dalies h punkte, siejamame su šio straipsnio 3 dalimi, nurodytą išimtį taikyti tais atvejais, kai medicininės kontrolės įstaiga kaip medicinos tarnyba, o ne kaip darbdavys, tvarko vieno iš savo darbuotojų sveikatos duomenis, kad įvertintų šio darbuotojo darbingumą. |
49 |
Antra, tokį aiškinimą pagrindžia sistema, kurios dalis yra BDAR 9 straipsnio 2 dalies h punktas, ir šiuo reglamentu bei šia nuostata siekiami tikslai. |
50 |
Visų pirma, kadangi BDAR 9 straipsnio 2 dalyje numatyta draudimo tvarkyti specialių kategorijų asmens duomenis išimtis, ji turi būti aiškinama siaurai (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios socialinio tinklo naudojimo sąlygos), C‑252/21, EU:C:2023:537, 76 punktas). |
51 |
Vis dėlto BDAR 9 straipsnio 1 dalyje įtvirtinto draudimo principo laikymasis negali lemti kitos šio reglamento nuostatos taikymo srities susiaurinimo taip, kad tai prieštarautų aiškiai šio reglamento formuluotei. Laikantis siūlomo aiškinimo, pagal kurį 9 straipsnio 2 dalies h punkte numatytos išimties taikymo sritis turėtų apsiriboti tik tais atvejais, kai „neutrali trečioji šalis“ tvarko sveikatos duomenis, siekdama įvertinti darbuotojo darbingumą, būtų nustatytas papildomas reikalavimas, kuris visiškai neišplaukia iš aiškios šios nuostatos formuluotės. |
52 |
Šiuo klausimu nėra svarbi aplinkybė, kad nagrinėjamu atveju, jei MDK Nordrhein būtų uždrausta atlikti savo, kaip medicinos tarnybos, užduotį vieno iš savo darbuotojų atžvilgiu, kita medicininės kontrolės įstaiga galėtų tai atlikti. Svarbu pabrėžti, kad ši prašymą priimti prejudicinį sprendimą pateikusio teismo nurodyta alternatyva nebūtinai yra arba gali būti įgyvendinta visose valstybėse narėse ir visais atvejais, kai gali būti taikomas BDAR 9 straipsnio 2 dalies h punktas. Aiškinant šią nuostatą negalima remtis vienos valstybės narės sveikatos sistema ar pagrindinės bylos aplinkybėmis grindžiamais argumentais. |
53 |
Be to, šio sprendimo 48 punkte pateiktas aiškinimas atitinka BDAR ir jo 9 straipsnio tikslus. |
54 |
BDAR 4 konstatuojamojoje dalyje nurodyta, kad teisė į asmens duomenų apsaugą nėra absoliuti, ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu (šiuo klausimu žr. 2023 m. birželio 22 d. Sprendimo Pankki S, C‑579/21, EU:C:2023:501,78 punktą). Be to, Teisingumo Teismas jau yra pabrėžęs, kad mechanizmai, leidžiantys rasti teisingą pusiausvyrą tarp šių įvairių teisių ir interesų, yra įtvirtinti pačiame BDAR (šuo klausimu žr. 2021 m. birželio 17 d. Sprendimo M.I.C.M., C‑597/19, EU:C:2021:492, 112 punktą). |
55 |
Tai taikoma ir tuo atveju, kai atitinkami duomenys priklauso šio reglamento 9 straipsnyje nurodytoms specialioms kategorijoms (šiuo klausimu žr. 2019 m. rugsėjo 24 d. Sprendimo GC ir kt. (Nuorodų į jautrius duomenis pašalinimas), C‑136/17, EU:C:2019:773, 57 ir 66–68 punktus), kaip antai sveikatos duomenims. |
56 |
Konkrečiau kalbant, iš BDAR 52 konstatuojamosios dalies matyti, kad „nukrypti nuo draudimo tvarkyti neskelbtinų kategorijų asmens duomenis“ turėtų būti leidžiama, „kai tai pateisinama viešuoju interesu, visų pirma <…> darbo teisės, socialinės apsaugos teisės <…> srityje“, taip pat „sveikatos apsaugos tikslais <…> ypač siekiant užtikrinti sveikatos draudimo sistemoje taikomų prašymų dėl išmokų ir paslaugų nagrinėjimo procedūrų kokybę ir sąnaudų efektyvumą“. Šio reglamento 53 konstatuojamojoje dalyje taip pat nurodyta, kad duomenų tvarkymas „su sveikata susijusiais tikslais“ turėtų būti galimas, „kai būtina pasiekti tuos tikslus fizinių asmenų ir visos visuomenės labui, visų pirma valdant sveikatos apsaugos arba socialinės rūpybos paslaugas ir sistemas“. |
57 |
Būtent šiuo bendru požiūriu ir atsižvelgdamas į įvairius esamus teisėtus interesus Sąjungos teisės aktų leidėjas BDAR 9 straipsnio 2 dalies h punkte numatė galimybę nukrypti nuo šio straipsnio 1 dalyje įtvirtinto principo, draudžiančio tvarkyti sveikatos duomenis, su sąlyga, kad duomenų tvarkymas atitinka šiame h punkte ir kitose reikšmingose šio reglamento nuostatose, visų pirma 9 straipsnio 3 dalyje, t. y. nuostatose, kuriose nereikalaujama, kad medicinos tarnyba, tvarkanti tokius duomenis pagal minėtą h punktą, būtų atskira nuo atitinkamo asmens darbdavio, aiškiai numatytas sąlygas ir apsaugos priemones. |
58 |
Atsižvelgiant į tai, kas išdėstyta, ir nedarant poveikio atsakymams į antrąjį ir trečiąjį klausimus, į pirmąjį klausimą reikia atsakyti: BDAR 9 straipsnio 2 dalies h punktas turi būti aiškinamas taip, kad šioje nuostatoje numatyta išimtis taikoma tais atvejais, kai medicininės kontrolės įstaiga tvarko vieno iš savo darbuotojų sveikatos duomenis ne kaip darbdavė, o kaip medicinos tarnyba, kad įvertintų šio darbuotojo darbingumą, su sąlyga, kad toks duomenų tvarkymas atitinka šiame h punkte ir minėto 9 straipsnio 3 dalyje aiškiai nustatytas sąlygas ir apsaugos priemones. |
Dėl antrojo klausimo
59 |
Prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, iš BDAR 35, 51, 53 ir 75 konstatuojamųjų dalių matyti, kad, esant tokiai situacijai, kaip nagrinėjama pagrindinėje byloje, kai duomenų valdytojas taip pat yra asmens, kurio darbingumas vertinamas, darbdavys, nepakanka įvykdyti šio reglamento 9 straipsnio 3 dalies reikalavimus. Šiame reglamente taip pat reikalaujama, kad visi duomenų valdytojo darbuotojai, kurie turi bet kokių profesinių kontaktų su duomenų subjektu, būtų nušalinti nuo sveikatos duomenų tvarkymo. To teismo teigimu, bet kuris duomenų valdytojas, turintis kelis padalinius, kaip antai MDK Nordrhein, turėtų užtikrinti, kad už šio duomenų valdytojo darbuotojų sveikatos duomenų tvarkymą atsakingas asmuo visada priklausytų kitam padaliniui nei tas, kuriame dirba darbuotojas, kurio duomenys tvarkomi. Be to, darbuotojams, įgaliotiems tvarkyti tokius duomenis, nustatyta pareiga saugoti profesinę paslaptį iš tiesų neužkirstų kelio duomenų subjekto kolegai susipažinti su jo duomenimis, o tai sukeltų žalos, pavyzdžiui, duomenų subjekto reputacijai, riziką. |
60 |
Šiomis aplinkybėmis antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR nuostatos turi būti aiškinamos taip, kad sveikatos duomenų valdytojas, remdamasis šio reglamento 9 straipsnio 2 dalies h punktu, privalo užtikrinti, kad joks duomenų subjekto kolega negalėtų susipažinti su duomenimis, susijusiais su jo sveikatos būkle. |
61 |
Reikia priminti, kad pagal BDAR 9 straipsnio 3 dalį duomenų tvarkymas, susijęs su šio 9 straipsnio 1 dalyje ir 2 dalies h punkte išvardytais duomenimis ir tikslais, šiuo atveju – su darbuotojo sveikatos duomenimis, siekiant įvertinti jo darbingumą, gali būti atliekamas tik tuo atveju, jei šiuos duomenis tvarko sveikatos priežiūros specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba juos tvarko kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį. |
62 |
Priimdamas šio reglamento 9 straipsnio 3 dalį, kurioje daroma tiksli nuoroda į šio straipsnio 2 dalies h punktą, Sąjungos teisės aktų leidėjas apibrėžė konkrečias apsaugos priemones, kurias ketino taikyti už tokį duomenų tvarkymą atsakingiems duomenų valdytojams; tos priemonės apima aplinkybę, kad duomenų tvarkymą gali atlikti tik asmenys, kuriems taikoma pareiga saugoti paslaptį, laikantis šio straipsnio 3 dalyje nustatytų sąlygų. Taigi nėra jokio reikalo papildyti šios nuostatos formuluotę reikalavimais, kurie joje nenurodyti. |
63 |
Darytina išvada, kad, kaip savo išvados 43 punkte iš esmės pažymėjo generalinis advokatas, BDAR 9 straipsnio 3 dalis negali būti priemonės, užtikrinančios, kad joks duomenų subjekto kolega negali susipažinti su duomenimis, susijusiais su jo sveikatos būkle, teisinis pagrindas. |
64 |
Vis dėlto reikia įvertinti, ar reikalavimas užtikrinti, kad nė vienas duomenų subjekto kolega neturėtų prieigos prie duomenų, susijusių su jo sveikatos būkle (kai jų tvarkymas grindžiamas BDAR 9 straipsnio 2 dalies h punktu), gali būti taikomas sveikatos duomenų valdytojui, remiantis kita šio reglamento nuostata. |
65 |
Šiuo klausimu svarbu pažymėti, kad vienintelė galimybė valstybėms narėms nustatyti tokį reikalavimą, palyginti su šio reglamento 9 straipsnio 2 ir 3 dalyse nustatytais reikalavimais, yra šio straipsnio 4 dalyje joms aiškiai suteikta galimybė „toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, <…> sveikatos duomenų tvarkymui“. |
66 |
Vis dėlto šios galimos papildomos sąlygos kyla ne iš pačių BDAR nuostatų, bet prireikus iš nacionalinės teisės normų, reglamentuojančių tokio pobūdžio duomenų tvarkymą, t. y. taisyklių, dėl kurių pagal šį reglamentą valstybėms narėms aiškiai paliekama diskrecija (šiuo klausimu žr. 2023 m. kovo 30 d. Sprendimo Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, 51 ir 78 punktus). |
67 |
Taip pat reikia pabrėžti, kad valstybė narė, ketinanti pasinaudoti šio reglamento 9 straipsnio 4 dalyje numatyta galimybe, laikydamasi proporcingumo principo turi užtikrinti, kad praktinės pasekmės, visų pirma organizacinio, ekonominio ir medicininio pobūdžio, kylančios dėl papildomų reikalavimų, kurių laikymąsi ta valstybė ketina nustatyti, nebūtų pernelyg didelės už tokį duomenų tvarkymą atsakingiems duomenų valdytojams, kurie nebūtinai yra tokio dydžio ar turi tokių techninių ir žmogiškųjų išteklių, kad galėtų įvykdyti šiuos reikalavimus. Iš tiesų jos negali pakenkti to paties reglamento 9 straipsnio 2 dalies h punkte aiškiai numatyto ir šio straipsnio 3 dalyje apibrėžto leidimo tvarkyti duomenis veiksmingumui. |
68 |
Galiausiai reikia pažymėti, kad pagal BDAR 32 straipsnio 1 dalies a ir b punktus, kuriuose sukonkretinami šio reglamento 5 straipsnio 1 dalies f punkte įtvirtinti vientisumo ir konfidencialumo principai, bet kuris asmens duomenų valdytojas privalo įgyvendinti tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkantis saugumo lygis, visų pirma suteikti pseudonimus ir šifruoti tokius duomenis, taip pat įgyvendinti priemones, kuriomis visų pirma užtikrinamas duomenų tvarkymo sistemų ir paslaugų konfidencialumas ir vientisumas. Pagal šio 32 straipsnio 1 dalį nustatydamas praktines šios pareigos vykdymo sąlygas duomenų valdytojas turi atsižvelgti į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. |
69 |
Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas turės įvertinti, ar visos techninės ir organizacinės priemonės, kurias nagrinėjamu atveju įgyvendino MDK Nordrhein, atitinka BDAR 32 straipsnio 1 dalies a ir b punktų reikalavimus. |
70 |
Taigi į antrąjį klausimą reikia atsakyti: BDAR 9 straipsnio 3 dalis turi būti aiškinama taip, kad, kai duomenų tvarkymas grindžiamas šio reglamento 9 straipsnio 2 dalies h punktu, pagal šias nuostatas sveikatos duomenų valdytojas neprivalo užtikrinti, kad joks duomenų subjekto kolega negalėtų susipažinti su duomenimis, susijusiais su jo sveikatos būkle. Vis dėlto tokia pareiga duomenų valdytojui gali kilti pagal valstybės narės remiantis minėto reglamento 9 straipsnio 4 dalimi priimtus teisės aktus arba pagal to paties reglamento 5 straipsnio 1 dalies f punkte įtvirtintus ir jo 32 straipsnio 1 dalies a ir b punktuose sukonkretintus vientisumo ir konfidencialumo principus. |
Dėl trečiojo klausimo
71 |
Trečiuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 9 straipsnio 2 dalies h punktas ir 6 straipsnio 1 dalis turi būti aiškinami taip, jog tam, kad minėto 9 straipsnio 2 dalies h punktu grindžiamas sveikatos duomenų tvarkymas būtų teisėtas, jis turi atitikti ne tik šiame punkte nustatytus reikalavimus, bet ir bent vieną iš šio 6 straipsnio 1 dalyje nustatytų teisėtumo sąlygų. |
72 |
Reikia priminti, kad BDAR 5, 6 ir 9 straipsniai yra šio reglamento II skyriuje „Principai“ ir yra susiję atitinkamai su asmens duomenų tvarkymo principais, duomenų tvarkymo teisėtumo sąlygomis ir specialių kategorijų asmens duomenų tvarkymu. |
73 |
Be to, reikia pažymėti, kad BDAR 51 konstatuojamojoje dalyje aiškiai nurodyta, kad „[k]artu su konkrečiais <…> reikalavimais“, taikomais „ypač neskelbtinų“ duomenų tvarkymui, nustatytais šio reglamento 9 straipsnio 2 ir 3 dalyse, nedarant poveikio priemonėms, kurių gali imtis valstybė narė pagal šio straipsnio 4 dalį, „[tokiam tvarkymui] turėtų būti [taip pat] taikomi [minėtame] reglamente numatyti bendrieji principai ir kitos taisyklės, visų pirma, susijusios su teisėto duomenų tvarkymo sąlygomis“, kaip nustatyta to paties reglamento 6 straipsnyje. |
74 |
Taigi pagal BDAR 6 straipsnio 1 dalies pirmą pastraipą duomenų tvarkymas, susijęs su „ypač neskelbtinais“ duomenimis, kaip antai sveikatos duomenimis, yra teisėtas tik tuo atveju, jei tenkinama bent viena iš minėtos 1 dalies pirmos pastraipos a–f punktuose nustatytų sąlygų. |
75 |
Minėto reglamento 6 straipsnio 1 dalies pirmoje pastraipoje nustatytas išsamus ir baigtinis atvejų, kai asmens duomenų tvarkymas gali būti laikomas teisėtu, sąrašas. Tam, kad tvarkymas galėtų būti laikomas teisėtu, jis turi patekti į kurį nors iš šiose nuostatose numatytų atvejų (2023 m. liepos 4 d. Sprendimo Meta Platforms ir kt. (Bendrosios naudojimosi socialiniu tinklu sąlygos), C‑252/21, EU:C:2023:537, 90 punktas ir jame nurodyta jurisprudencija). |
76 |
Taigi Teisingumo Teismas ne kartą yra nusprendęs, kad bet koks asmens duomenų tvarkymas turi atitikti šio reglamento 5 straipsnio 1 dalyje nurodytus principus ir tenkinti jo 6 straipsnyje išvardytas teisėtumo sąlygas (2023 m. gegužės 4 d. Sprendimo Bundesrepublik Deutschland (Teismo elektroninio pašto dėžutė), C‑60/22, EU:C:2023:373, 57 punktas ir jame nurodyta jurisprudencija). |
77 |
Be to, jau buvo nuspręsta: kadangi BDAR 7–11 straipsniais, kurie, kaip ir jo 5 ir 6 straipsniai, įtvirtinti šio reglamento II skyriuje, siekiama patikslinti duomenų valdytojui pagal minėto reglamento 5 straipsnio 1 dalies a punktą ir 6 straipsnio 1 dalį tenkančių pareigų apimtį, asmens duomenų tvarkymas yra teisėtas tik tuomet, kaip matyti iš Teisingumo Teismo jurisprudencijos, kai paisoma ir šių kitų minėto skyriaus nuostatų, kurios iš esmės susijusios su sutikimu, specialių kategorijų jautrių asmens duomenų tvarkymu ir asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymu (2023 m. gegužės 4 d. Sprendimo Bundesrepublik Deutschland (Teismo elektroninio pašto dėžutė), C‑60/22, EU:C:2023:373, 58 punktas ir jame nurodyta jurisprudencija). |
78 |
Visų pirma darytina išvada: atsižvelgiant į tai, jog BDAR 9 straipsnio 2 dalies h punktu siekiama patikslinti duomenų valdytojui pagal šio reglamento 5 straipsnio 1 dalies a punktą ir 6 straipsnio 1 dalį tenkančių pareigų apimtį, tam, kad sveikatos duomenų tvarkymas, grindžiamas minėto 9 straipsnio 2 dalies h punktu, būtų teisėtas, jis turi atitikti tiek iš šios nuostatos kylančius reikalavimus, tiek iš 5 straipsnio 1 dalies a punkto ir 6 straipsnio 1 dalies kylančias pareigas, visų pirma tenkinti bent vieną iš šio 6 straipsnio 1 dalyje nustatytų teisėtumo sąlygų. |
79 |
Atsižvelgiant į tai, kas išdėstyta, į trečiąjį klausimą reikia atsakyti: BDAR 9 straipsnio 2 dalies h punktas ir 6 straipsnio 1 dalis turi būti aiškinami taip, jog tam, kad šio 9 straipsnio 2 dalies h punktu grindžiamas sveikatos duomenų tvarkymas būtų teisėtas, jis turi atitikti ne tik šiame punkte numatytus reikalavimus, bet ir bent vieną iš 6 straipsnio 1 dalyje nustatytų teisėtumo sąlygų. |
Dėl ketvirtojo klausimo
80 |
Ketvirtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad šioje nuostatoje numatyta teisė į kompensaciją atlieka ne tik kompensacinę, bet ir atgrasomąją ar baudžiamąją funkciją, ir, jei taip, ar į šią funkciją prireikus turi būti atsižvelgta, nustatant neturtinės žalos atlyginimo dydį pagal šią nuostatą. |
81 |
Reikia priminti, kad pagal BDAR 82 straipsnio 1 dalį bet kuris asmuo, patyręs turtinę ar neturtinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą. |
82 |
Teisingumo Teismas šią nuostatą aiškino taip, kad vien BDAR pažeidimo nepakanka, kad atsirastų teisė į kompensaciją, ir pažymėjo, be kita ko, kad „patirtos“„žalos“ buvimas yra viena iš 82 straipsnio 1 dalyje numatytos teisės į kompensaciją sąlygų, kaip ir sąlygos, kad turi būti šio reglamento pažeidimas ir priežastinis ryšys tarp patirtos žalos ir šio pažeidimo; šios trys sąlygos yra kumuliacinės (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 32 ir 42 punktus). |
83 |
Be to, Teisingumo Teismas nusprendė: kadangi BDAR nėra nuostatos, kurioje būtų nustatytos žalos, mokėtinos remiantis šio reglamento 82 straipsnyje įtvirtinta teise į kompensaciją, vertinimo taisyklės, kiekvienos valstybės narės nacionaliniai teismai turi taikyti piniginės kompensacijos dydį reglamentuojančias vidaus taisykles, su sąlyga, kad laikomasi Sąjungos teisėje įtvirtintų lygiavertiškumo ir veiksmingumo principų, kaip jie apibrėžti suformuotoje Teisingumo Teismo jurisprudencijoje (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 53, 54 ir 59 punktus). |
84 |
Šiomis aplinkybėmis ir atsižvelgdamas į BDAR 146 konstatuojamosios dalies šeštąjį sakinį, pagal kurį šia priemone siekiama užtikrinti, kad duomenų subjektai „už patirtą žalą [gautų] visą ir veiksmingą kompensaciją“, Teisingumo Teismas pažymėjo, kad, atsižvelgiant į kompensacinę BDAR 82 straipsnyje numatytos teisės į kompensaciją funkciją, šia nuostata grindžiama piniginė kompensacija turi būti laikoma „visa ir veiksminga“, jeigu ja galima visapusiškai kompensuoti dėl šio reglamento pažeidimo konkrečiai patirtą žalą, ir tokios visapusiškos kompensacijos tikslais nereikia nurodyti sumokėti baudinio pobūdžio kompensacijos (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 57 ir 58 punktus). |
85 |
Šiuo klausimu reikia pažymėti, kad BDAR 82 straipsnis yra ne baudžiamojo, o kompensacinio pobūdžio, priešingai nei kitos šio reglamento nuostatos, taip pat esančios jo VIII skyriuje, t. y. jo 83 ir 84 straipsniai, kuriais iš esmės siekiama baudžiamojo tikslo, nes jais remiantis leidžiama skirti administracines baudas ir kitas sankcijas. Taisyklių, nustatytų 82 straipsnyje ir minėtuose 83 ir 84 straipsniuose, tarpusavio ryšys rodo, kad šios dvi nuostatų kategorijos skiriasi ir papildo viena kitą, kiek tai susiję su skatinimu laikytis BDAR, turint omenyje, kad kiekvieno asmens teisė reikalauti kompensacijos už žalą sustiprina šiame reglamente numatytų apsaugos taisyklių veiksmingumą ir gali atgrasyti nuo neteisėtų veiksmų pasikartojimo (šiuo klausimu žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Post (Neturtinė žala, susijusi su asmens duomenų tvarkymu), C‑300/21, EU:C:2023:370, 38 ir 40 punktus). |
86 |
Kadangi BDAR 82 straipsnio 1 dalyje numatyta teisė į kompensaciją neatlieka atgrasomosios ar net baudžiamosios funkcijos, kurią nurodė prašymą priimti prejudicinį sprendimą pateikęs teismas, šio reglamento pažeidimo, dėl kurio atsirado atitinkama žala, dydis negali turėti įtakos pagal šią nuostatą priteistos žalos dydžiui, net jeigu tai yra neturtinė žala. Darytina išvada, kad ši suma negali būti didesnė nei visiškas šios žalos kompensavimas. |
87 |
Taigi į ketvirtąjį klausimą reikia atsakyti: BDAR 82 straipsnio 1 dalis turi būti aiškinama taip, kad šioje nuostatoje numatyta teisė į kompensaciją atlieka kompensacinę, o ne atgrasomąją ar baudžiamąją funkciją; piniginė kompensacija, grindžiama minėta nuostata, turi leisti visiškai kompensuoti konkrečiai dėl šio reglamento pažeidimo patirtą žalą. |
Dėl penktojo klausimo
88 |
Iš informacijos, kurią prašymą priimti prejudicinį sprendimą pateikęs teismas nurodė atsakydamas į pagal Teisingumo Teismo procedūros reglamento 101 straipsnį jam pateiktą prašymą pateikti paaiškinimų, matyti, kad penktuoju klausimu siekiama nustatyti, pirma, ar kaltė ir (arba) jos įrodymas yra būtinos sąlygos, kad kiltų duomenų valdytojo arba duomenų tvarkytojo atsakomybė, ir, antra, kokį poveikį duomenų valdytojo arba duomenų tvarkytojo kaltės sunkumo laipsnis gali turėti konkrečiam patirtos neturtinės žalos atlyginimo įvertinimui. |
89 |
Atsižvelgiant į šį prašymą priimti prejudicinį sprendimą pateikusio teismo atsakymą, penktąjį klausimą reikia suprasti taip, kad juo iš esmės siekiama išsiaiškinti, pirma, ar BDAR 82 straipsnis turi būti aiškinamas taip, kad duomenų valdytojo atsakomybė kyla, jeigu yra jo kaltė, ir, antra, ar pagal šią nuostatą nustatant neturtinės žalos atlyginimo dydį reikia atsižvelgti į šios kaltės sunkumo laipsnį. |
90 |
Dėl šio klausimo pirmos dalies reikia pažymėti, kad, kaip priminta šio sprendimo 82 punkte, pagal BDAR 82 straipsnio 1 dalį teisė į žalos atlyginimą siejama su trimis elementais, t. y. šio reglamento pažeidimu, patirta žala ir priežastiniu ryšiu tarp šio pažeidimo ir patirtos žalos. |
91 |
BDAR 82 straipsnio 2 dalyje nustatyta, kad duomenų valdytojas, dalyvaujantis tvarkant duomenis, atsako už žalą, padarytą dėl duomenų tvarkymo, pažeidžiant šį reglamentą. Tačiau šios nuostatos formuluotė kai kuriose kalbinėse versijose, visų pirma versijoje vokiečių kalba (šioje byloje tai yra proceso kalba), neleidžia tiksliai nustatyti, ar nagrinėjamas pažeidimas turi būti priskiriamas duomenų valdytojui, kad galėtų kilti jo atsakomybė. |
92 |
Šiuo klausimu iš BDAR 82 straipsnio 2 dalies pirmo sakinio įvairių kalbinių versijų analizės matyti, kad preziumuojama, jog duomenų valdytojas dalyvavo tvarkant duomenis taip, kad buvo pažeistas reglamentas. Iš tiesų, nors vokiečių, prancūzų ir suomių kalbų versijos suformuluotos atvirai, kai kurios kitų kalbų versijos yra tikslesnės ir naudoja parodomąjį įvardį trečią kartą kartojant sąvoką „duomenų tvarkymas“ ar darant trečią nuorodą į šią sąvoką, kad būtų aišku, jog šis trečiasis žodis ar nuoroda į jį reiškia tą pačią operaciją kaip ir antrą kartą paminėtas šis žodis. Taip yra versijose ispanų, estų, graikų, italų ar rumunų kalbomis. |
93 |
Šiuo klausimu BDAR 82 straipsnio 3 dalyje patikslinama, kad duomenų valdytojas atleidžiamas nuo atsakomybės pagal 2 dalį, jeigu įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala. |
94 |
Taigi iš bendros šių įvairių BDAR 82 straipsnio nuostatų analizės matyti, kad šiame straipsnyje numatyta kalte grindžiamos atsakomybės sistema, pagal kurią įrodinėjimo pareiga tenka ne žalą patyrusiam asmeniui, o duomenų valdytojui. |
95 |
Tokį aiškinimą patvirtina šio 82 straipsnio kontekstas ir tikslai, kurių Sąjungos teisės aktų leidėjas siekė BDAR. |
96 |
Šiuo klausimu, pirma, iš BDAR 24 ir 32 straipsnių formuluočių matyti, kad pagal šias nuostatas tik reikalaujama, kad duomenų valdytojas priimtų technines ir organizacines priemones, skirtas kiek įmanoma bet kokiam asmens duomenų pažeidimui išvengti. Tokių priemonių tinkamumas turi būti vertinamas konkrečiai, nagrinėjant, ar duomenų valdytojas šias priemones įgyvendino atsižvelgdamas į įvairius šiuose straipsniuose nurodytus kriterijus ir konkrečiai su atitinkamu duomenų tvarkymu susijusius duomenų apsaugos poreikius bei jo keliamą riziką (šiuo klausimu žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 30 punktą). |
97 |
Vis dėlto dėl tokios pareigos kiltų abejonių, jei duomenų valdytojas vėliau privalėtų atlyginti bet kokią žalą, atsiradusią dėl duomenų tvarkymo, pažeidžiant BDAR. |
98 |
Antra, kiek tai susiję su BDAR tikslais, iš šio reglamento 4–8 konstatuojamųjų dalių matyti, kad juo siekiama užtikrinti asmens duomenų valdytojų interesų ir asmenų, kurių duomenys tvarkomi, teisių pusiausvyrą. Siekiama sudaryti sąlygas skaitmeninės ekonomikos plėtrai, kartu užtikrinant aukštą žmonių apsaugos lygį. Taip siekiama suderinti duomenų valdytojo ir asmenų, kurių asmens duomenys tvarkomi, interesus. Kalte grindžiamas atsakomybės mechanizmas su įrodinėjimo naštos perkėlimu, kaip numatyta BDAR 82 straipsnyje, būtent leidžia užtikrinti tokią pusiausvyrą. |
99 |
Pirma, kaip savo išvados 93 punkte iš esmės pažymėjo generalinis advokatas, tokios aukštos apsaugos tikslo neatitiktų aiškinimas, pagal kurį duomenų subjektams, patyrusiems žalą dėl BDAR pažeidimo, turėtų tekti pareiga, nagrinėjant 82 straipsniu grindžiamą ieškinį dėl kompensacijos, ne tik įrodyti šį pažeidimą ir dėl jo atsiradusią žalą, bet ir duomenų valdytojo kaltę, t. y. tyčia ar dėl neatsargumo padarytą pažeidimą, arba net šios kaltės sunkumo laipsnį, nors minėtame 82 straipsnyje tokie reikalavimai neįtvirtinti (pagal analogiją žr. 2023 m. gruodžio 14 d. Sprendimo Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 56 punktą). |
100 |
Antra, atsakomybės be kaltės sistema neužtikrintų teisės aktų leidėjo numatyto teisinio saugumo tikslo įgyvendinimo, kaip matyti iš BDAR 7 konstatuojamosios dalies. |
101 |
Dėl penktojo klausimo antros dalies, susijusios su pagal BDAR 82 straipsnį mokėtinos kompensacijos už žalą dydžio nustatymu, reikia priminti, kad, kaip pažymėta šio sprendimo 83 punkte, vertindami šią žalą kiekvienos valstybės narės nacionaliniai teismai turi taikyti piniginės kompensacijos dydį reglamentuojančias vidaus taisykles, su sąlyga, kad laikomasi Sąjungos teisėje įtvirtintų lygiavertiškumo ir veiksmingumo principų, kaip jie apibrėžti suformuotoje Teisingumo Teismo jurisprudencijoje. |
102 |
Svarbu pažymėti, kad, atsižvelgiant į BDAR 82 straipsnio kompensacinę funkciją, nustatant pagal šią nuostatą priteistiną kompensaciją už neturtinę žalą, nereikalaujama atsižvelgti į šio reglamento pažeidimo, kurį, kaip preziumuojama, padarė duomenų valdytojas, sunkumo laipsnį, bet reikalaujama, kad ši suma būtų nustatyta taip, kad visiškai kompensuotų dėl šio reglamento pažeidimo faktiškai patirtą žalą, kaip matyti iš šio sprendimo 84 ir 87 punktų. |
103 |
Taigi į penktąjį klausimą reikia atsakyti: BDAR 82 straipsnis turi būti aiškinamas taip, kad, pirma, duomenų valdytojo atsakomybė kyla, jeigu yra jo kaltė, kuri preziumuojama, nebent duomenų valdytojas įrodo, kad jis visiškai nėra atsakingas už įvykį, dėl kurio atsirado žala, ir, antra, 82 straipsnyje nereikalaujama, kad pagal šią nuostatą nustatant kompensacijos už neturtinę žalą dydį būtų atsižvelgta į kaltės sunkumo laipsnį. |
Dėl bylinėjimosi išlaidų
104 |
Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos. |
Remdamasis šiais motyvais, Teisingumo Teismas (trečioji kolegija) nusprendžia: |
|
|
|
|
|
Parašai. |
( *1 ) Proceso kalba: vokiečių.