1.

Määruse 2016/679 ( 2 ) (edaspidi „määrus“) artiklis 4 „Mõisted“ on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

[…]“.

2.

Artiklis 5 „Isikuandmete töötlemise põhimõtted“ on nähtud ette:

„1.   Isikuandmete töötlemisel tagatakse, et

[…]

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

3.

Määruse artiklis 24 „Vastutava töötleja vastutus“ on sätestatud:

„1.   Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2.   Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

3.   Vastutava töötleja kohustuste järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.“

4.

Artiklis 32 „Töötlemise turvalisus“ on nähtud ette:

„1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

[…]

2.   Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

3.   Käesoleva artikli lõikes 1 osutatud nõuete järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

[…]“.

5.

Selle määruse artiklis 82 „Õigus hüvitisele ja vastutus“ on sätestatud:

„1.   Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2.   Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. […].

3.   Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.“

6.

Bulgaaria meedia teavitas 15. juulil 2019 avalikkust, et Natsionalna agentsia za prihodite (riigi maksuamet, Bulgaaria; edaspidi „NAP“ ( 3 )) infosüsteemile on saadud loata juurdepääs ning et miljonite kodanike ja välismaalaste mitmesugune maksu- ja sotsiaalkindlustusalane teave on internetis avalikustatud.

7.

Paljud isikud, nende hulgas VB, kes on põhikohtuasja kassaator, esitasid seega kohtule NAP vastu kahju hüvitamise nõude, et neile hüvitataks nende mittevaraline kahju.

8.

Käsitletaval juhul pöördus põhikohtuasja kassaator Administrativen sad Sofia-gradi (Sofia linna halduskohus, Bulgaaria; edaspidi „ASSG“) poole, väites, et NAP oli rikkunud riigisisest õigust ja kohustust töödelda vastutava töötlejana isikuandmeid viisil, mis „tagab asjakohase turvalisuse“, rakendades asjakohaseid tehnilisi ja korralduslikke meetmeid määruse 2016/679 artiklite 24 ja 32 tähenduses. Seejärel kinnitas kassaator, et on kandnud mittevaralist kahju, mis väljendub mures ja kartuses tema isikuandmete tulevase kuritarvitamise pärast.

9.

Vastaspool rõhutas vastupidi, et põhikohtuasja kassaator ei küsinud mingit teavet selle kohta, millistele konkreetsetele isikuandmetele loata juurde pääseti. Lisaks kutsus ta rünnakuteate peale kokku kohtumised ekspertidega kodanike õiguste ja huvide kaitse eesmärgil. NAP sõnul puudus põhjuslik seos küberrünnaku ja väidetava kahju vahel, sest ta on sisse seadnud protsesside haldamise süsteemid ja infoturbe haldamise süsteemid, nagu on nõutud selles valdkonnas kehtivates rahvusvahelistes õigusnormides.

10.

Esimese astme kohus, ASSG, jättis nõude rahuldamata, asudes seisukohale, et andmete avalikustamises ei saa pidada vastutavaks NAPd; et tõendamiskoormis võetud meetmete asjakohasuse küsimuses lasub kassaatoril ning et ei hüvitata mingit mittevaralist kahju.

11.

Esimese astme kohtu otsus vaidlustati seejärel Varhoven administrativen sadis (Bulgaaria kõrgeim halduskohus). Esitatud väidete hulgas rõhutas põhikohtuasja kassaator, et esimese astme kohus jaotas turvameetmete võtmata jätmise tõendamisel tõendamiskoormise vääralt. Ka ei peaks tõendamiskoormis hõlmama mittevaralist kahju, sest tegemist on tegeliku, mitte hüpoteetilise mittevaralise kahjuga.

12.

NAP kordas, et võttis vastutava töötlejana vajalikud tehnilised ja korralduslikud meetmed, ning vaidles vastu sellele, et tegelikku mittevaralist kahju on tõendatud. Mure ja hirm on nimelt emotsionaalsed seisundid, mida ei pea hüvitama.

13.

Eelotsusetaotluse esitanud kohus tuvastas mitu kohtulahendit seoses üksikmenetlustega, mille kahju kannatanud olid eraldi NAP vastu esile kutsunud, et saada hüvitist mittevaralise kahju eest.

14.

Selles olukorras peatas eelotsusetaotluse esitanud kohus menetluse ja esitas Euroopa Kohtule järgmised eelotsuse küsimused:

15.

Käesolev kohtuasi puudutab huvitavaid ja osaliselt siiani käsitlemata küsimusi, milles palutakse tõlgendada määruse mitmesuguseid sätteid. ( 4 )

16.

Need viis eelotsuse küsimust pöörlevad kõik ümber sama küsimuse: tingimused, mis peavad olema täidetud, et hüvitada mittevaraline kahju isikule, kelle isikuandmeid, mis on ametiasutuse valduses, on avalikustatud internetis häkkerite rünnaku tulemusena.

17.

Esitluse mugavuse huvides teen ettepaneku anda eelotsusetaotluses esitatud eelotsuse küsimustele eraldi ülevaatlikud vastused, ehkki olen teadlik teatavatest kontseptuaalsetest kattuvustest, sest esimese nelja küsimusega püütakse kõigiga kindlaks teha eeldusi, mille esinemise korral saab määruse sätete rikkumise eest vastutavaks pidada andmete vastutavat töötlejat, ( 5 ) ja viies puudutab täpsemalt mõistet „mittevaraline kahju“ seoses hüvitamisega ( 6 ).

18.

Juhin tähelepanu, et määruse artikli 82 teemal on praegu Euroopa Kohtus pooleli mitu kohtuasja ning ühes nendest on juba ette loetud kohtujuristi ettepanek, mida ma käesolevas analüüsis arvesse võtan. ( 7 )

19.

Enne tõstatatud küsimuste käsitlemist pean vajalikuks teha mõne sissejuhatava märkuse määruse põhimõtete ja eesmärkide kohta, mis osutuvad üksikutele eelotsuse küsimustele vastamisel vajalikuks.

20.

Määruse artiklis 24 on üldises sõnastuses sätestatud vastutava töötleja kohustus võtta asjakohased tehnilised või korralduslikud meetmed selle tagamiseks, et isikuandmete töötlemine oleks kooskõlas määrusega, ning olla võimeline seda tõendama, samas kui artiklis 32 on sätestatud sama kohustus konkreetsemalt osas, mis puudutab töötlemise turvalisust. Artiklites 24 ja 32 on reguleeritud konkreetsemalt seda, mis on ette nähtud juba artikli 5 lõikes 2, milles on just „isikuandmete töötlemise põhimõtete“ hulgas sätestatud „vastutuse põhimõte“. See järgneb loogiliselt artikli 5 lõike 1 punktis f ette nähtud „usaldusväärsuse ja konfidentsiaalsuse põhimõttele“ ning täiendab seda ning neid mõlemaid tuleb tõlgendada, lähtudes riskipõhisest lähenemisest, millel määrus rajaneb.

21.

Vastutuse põhimõte on üks määruse nurgakivisid ja üks selle märkimisväärsemaid uuendusi. Sellega on vastutavale töötlejale kehtestatud kohustus võtta proaktiivseid meetmeid, et järgida määrust ja olla valmis seda ka tõendama. ( 8 )

22.

Õigusteoorias on kõneldud tõelisest kultuurilisest muutusest, mis on „vastutamise kohustuse üldise ulatuse“ tagajärg. ( 9 ) Vastutavat töötlejat ei vabasta vastutusest mitte niivõrd õigusliku kohustuse või konkreetse meetme formaalne järgimine kui ettevõtja tervikstrateegia, sest ta järgib (compliant) andmekaitseregulatsiooni.

23.

Tehnilised ja korralduslikud meetmed, mille võtmist vastutuse põhimõte eeldab, peavad olema „asjakohased“, arvestades artiklis 24 täpsustatud tegureid: töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte.

24.

Artikkel 24 kohustab seega võtma asjakohaseid meetmeid, et oleks võimalik tõendada töötlemise vastavust määruses sätestatud põhimõtetele ja selle eesmärkidele.

25.

Artiklis 32 on vastutuse põhimõtet käsitletud vastupidi nende konkreetsete meetmete vaatevinklist, mis tuleb võtta „ohule vastava turvalisuse taseme“ tagamiseks. Seejuures on selle artikliga lisatud juba ette nähtud teguritele, mida tuleb tehniliste ja korralduslike meetmete eelneval kindlaksmääramisel arvesse võtta, teaduse ja tehnoloogia viimane areng ning rakendamiskulud.

26.

Mõiste „asjakohasus“ eeldab, et infosüsteemide kaitseks kasutatavad lahendused on vastuvõetaval tasemel nii tehnilisest (meetmete asjakohasus) kui ka kvalitatiivsest seisukohast (kaitse tõhusus). Et tagada vajaduse, asjakohasuse ja proportsionaalsuse põhimõtte järgmine, peab töötlemine olema mitte üksnes asjakohane, vaid ka taotletavate eesmärkide seisukohast piisav. Selle loogika kohaselt on võimalikult väheste andmete kogumise põhimõttel otsustav roll, sest nimetatud põhimõtte järgi tuleb andmete töötlemise kõikides etappides pidevalt püüelda selle poole, et turvalisust ähvardavaid ohte vähendatakse miinimumini. ( 10 )

27.

Kogu määrus on suunatud ohu ennetamisele ja vastutava töötleja vastutusele ning seega teleoloogilisele lähenemisele, mille eesmärk on saavutada võimalikult hea tulemus tõhususe seisukohast – mis jääb seega üsna kaugele formalistlikust loogikast, mis seondub lihtsalt kohustusega järgida konkreetseid menetlusi, et sellest vastutusest vabaneda. ( 11 )

28.

Artikkel 24 ei sisalda „asjakohaste“ meetmete ammendavat loetelu: neid tuleb hinnata igal üksikul juhul eraldi. See on kooskõlas määruse filosoofiaga, mis näitab, et on soovitav, et menetlused, mis tuleb kehtestada, valitakse konkreetse olukorra hoolika hindamise tulemusena, mis on nii konkreetne, et saab olla võimalikult tõhus. ( 12 )

29.

Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas määruse artikleid 24 ja 32 tuleb tõlgendada nii, et „isikuandmetega seotud rikkumise“ esinemisest niisugusena, nagu see on määratletud artikli 4 punktis 12, piisab iseenesest järeldamaks, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud andmekaitse tagamisel „asjakohased“.

30.

Määruse artiklite 24 ja 32 tekstist ilmneb, et kui vastutav töötleja valib tehnilisi ja korralduslikke meetmeid, mille ta peab määruse järgimiseks võtma, on ta kohustatud arvesse võtma teatavat hulka hindamistegureid, mis on nendes artiklites loetletud ja mida on eespool meenutatud.

31.

Vastutaval töötlejal on teatav kaalutlusruum kõige asjakohasemate meetmete kindlaksmääramisel enda konkreetsest olukorrast lähtudes, kuid selle valiku puhul on siiski võimalik kohtulik kontroll selle üle, kas rakendatavad meetmed on kooskõlas kõigi määruses sätestatud kohustuste ja eesmärkidega.

32.

Konkreetselt turvameetmete puhul kohustab artikli 32 lõige 1 vastutavat töötlejat arvesse võtma „teaduse ja tehnoloogia viimast arengut“. See tähendab, et võetavate meetmete tehnoloogilist taset on piiratud sellega, mis on mõistlikult võimalik hetkel, mil meetmeid võetakse: see, kas meede suudab ohu ära hoida, on seega vastavuses lahendustega, mida pakub selle hetke teaduse, tehnika, tehnoloogia ja teadusuuringute arengutase, võttes – nagu näeme – arvesse ka rakendamise kulusid.

33.

Teatavad meetmed võivad olla teataval hetkel „asjakohased“ ja sellest hoolimata võivad nendest jagu saada küberkurjategijad, kes kasutavad väga arenenud vahendeid, mille abil on võimalik mööda hiilida ka turvameetmetest, mis vastavad teaduse ja tehnoloogia viimasele arengule.

34.

Teisalt näib ebaloogiline arvata, et liidu seadusandjal oli kavatsus kehtestada vastutavale töötlejale kohustus hoida ära isikuandmete ükskõik missugune rikkumine, olenemata hoolikusest turvameetmete eelneval kindlaksmääramisel. ( 13 )

35.

Nagu eespool märgitud, ei ole selles määruses kaugeltki silmas peetud automaatsust, nõudes vastutava töötleja suurt vastutust, mis ei saa siiski viia selleni, et viimasel on võimatu tõendada, et ta on talle kehtestatud kohustused täitnud nõuetekohaselt.

36.

Lisaks on artikli 32 lõikes 1 ette nähtud, et arvesse tuleb võtta – nagu märgitud – asjaomaste tehniliste ja korralduslike meetmete „rakendamise kulusid“. Sellest järeldub, et niisuguste meetmete asjakohasuse hindamine peab põhinema kaalumisel, kummad on ülekaalus, kas andmesubjekti huvid, mis tavaliselt eeldavad kõrgemat kaitstuse taset, või vastutava töötleja ärihuvid ja tehnoloogiline suutlikkus, mis mõnikord tähendab madalamat kaitstuse taset. Sellise kaalumise puhul tuleb järgida proportsionaalsuse üldpõhimõtte nõudeid.

37.

Sellele tuleb nüüd süstemaatilist tõlgendamist silmas pidades lisada, et seadusandja on käsitlenud võimalust, et niisugused süsteemi sisse häkkimised toimuvad; artikli 32 lõike 1 punktis c on väljapakutud meetmete hulgas nimetatud võimet taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral. Seda võimet ei oleks mõtet ette näha turvameetmete hulgas, mis tagavad ohule vastava turvalisuse taseme, kui arvataks, et ainuüksi süsteemi sisse häkkimine ise kujutab endast tõendit sellest, et need meetmed ei olnud asjakohased.

38.

Teise küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, missugused peavad olema kohtuliku kontrolli ese ja ulatus selle kontrollimisel, kas vastutava töötleja võetud tehnilised ja korralduslikud meetmed olid asjakohased määruse artikli 32 tähenduses.

39.

Arvestades, kui mitmekesised on olukorrad, mis praktikas ette tulla võivad, ei ole määruses – nagu märgitud – sätestatud siduvaid õigusnorme nende tehniliste ja korralduslike meetmete kindlaksmääramiseks, mille vastutav töötleja peab võtma, et täita määruse nõudeid. Võetud meetmete asjakohasust tuleb seega hinnata konkreetselt, kontrollides, kas konkreetsed meetmed olid sobivad, et hoida oht mõistlikult ära ja vähendada rikkumise negatiivseid tagajärgi miinimumini.

40.

Kuigi on kahtlemata õige, et niisuguste meetmete valik ja rakendamine sõltuvad vastutava töötleja subjektiivsest hinnangust, sest määruses nimetatud meetmed on üksnes näited, ei saa kohus piirduda selle kontrollimisega, kas vastutav töötleja on järginud artiklitest 24 ja 32 tulenevaid kohustusi, st kohustust näha (formaalselt) ette teatavad tehnilised ja korralduslikud meetmed. Ta peab konkreetselt analüüsima nende meetmete sisu, nende rakendamise viisi ja nende praktilisi tagajärgi tõendite põhjal, mis on tema käsutuses, ja arvestades konkreetse juhtumi asjaolusid. Nagu Portugali valitsus on õigesti märkinud, „näib viis, kuidas ta on täitnud oma kohustusi, olevat lahutamatu võetud meetmete sisust selle tõendamisel, et arvestades andmete konkreetset töötlemist (töötlemise laadi, ulatust, konteksti ja eesmärke), teaduse ja tehnoloogia viimast arengut ning meetmete rakendamise kulusid, samuti ohte kodanike õigustele ja vabadustele, on vastutav töötleja võtnud kõik vajalikud ja asjakohased meetmed, et tagada ohule vastav turvalisuse tase“. ( 14 )

41.

Seepärast tuleb kohtuliku kontrolli puhul arvesse võtta kõiki artiklites 24 ja 32 nimetatud tegureid, milles on – nagu märgitud – loetletud teatav hulk kriteeriume asjakohasuse hindamisel ning toodud näiteid meetmetest, mida võib lugeda asjakohaseks. Lisaks, nagu on toonitanud komisjon ja kõik teise küsimuse kohta seisukohti esitanud liikmesriigid, on artikli 32 lõigetes 1–3 rõhutatud vajadust „[tagada] ohule vastav turvalisuse tase“, näidates ära muud seejuures asjakohased tegurid, näiteks selle, kui vastutav töötleja võtab vastu heakskiidetud toimimisjuhendi või sertifitseerimismehhanismi, nagu on vastavalt ette nähtud määruse artiklites 40 ja 42.

42.

Toimimisjuhendite või sertifitseerimismehhanismide vastuvõtmine võib olla hindamisel vajalik asjaolu, mis võimaldab täita tõendamiskoormise ja teostada sellega seotud kohtulikku kontrolli. Tuleb siiski täpsustada, et ei piisa sellest, kui vastutav töötleja liitub toimimisjuhendiga, vaid ta peab tõendama, et on võtnud konkreetselt selles ette nähtud meetmed kooskõlas vastutuse põhimõttega. Sertifitseerimine seevastu kujutab endast „juba iseenesest tõendit, et läbi viidud töötlemised olid määrusega kooskõlas, ehkki praktikas on võimalik, et tegevus ei ole sertifitseerimisega vastavuses“. ( 15 )

43.

Viimasena on tarvis märkida, et niisugused meetmed tuleb vajaduse korral uuesti läbi vaadata ja ajakohastada, nagu on nähtud ette artikli 24 lõikes 1. Ja ka seda hindab liikmesriigi kohus. Määruse artikli 32 lõikega 1 ( 16 ) on vastutavale töötlejale nimelt kehtestatud pideva kontrolli ja seire kohustus, mis on ennetav ja järgneb töötlemistoimingutele, kuid ka võetud meetmete säilitamise ja võimaliku ajakohustamise kohustus eesmärgiga ennetada rikkumisi või vastaval juhul piirata nende tagajärgi.

44.

Kaldun siiski välistama võimaluse, et tulevane kohtuotsus sisaldab niisugust sisuliste asjaolude loetelu, nagu on välja pakkunud Portugali valitsus. ( 17 ) See võib anda alust vastuolulisteks tõlgendusteks, sest see loetelu ei saa ilmselgelt kunagi olla ammendav.

45.

Kolmanda küsimuse esimese osaga palub eelotsusetaotluse esitanud kohus Euroopa Kohtul sisuliselt kindlaks määrata, kas võttes arvesse vastutuse põhimõtet, mis on sätestatud määruse artikli 5 lõikes 2 ja artiklis 24 koostoimes põhjendusega 74 ( 18 ), lasub artikli 82 alusel esitatud kahju esitamise nõude raames tõendamiskoormis selle tõendamisel, et võetud tehnilised ja korralduslikud meetmed olid asjakohased artikli 32 tähenduses, andmete vastutaval töötlejal.

46.

Eeltoodud kaalutlused võimaldavad mul anda sellele küsimusele ülevaatlikult jaatava vastuse.

47.

Määruse sõnastus, kontekst ja eesmärgid kõnelevad nimelt üheselt sellest, et tõendamiskoormis lasub vastutaval töötlejal.

48.

Määruse mitme sätte sõnastusest ilmneb, et vastutav töötleja peab olema „võimeline“ või „suutma“„tõendada“, et on järginud määruses sätestatud kohustusi ning konkreetselt võtnud selleks kõik asjakohased meetmed, nagu on märgitud põhjenduses 74, artikli 5 lõikes 2 ja artikli 24 lõikes 1. Nagu on rõhutanud Portugali valitsus, on põhjenduses 74 täpsustatud, et nõnda vastutavale töötlejale kehtestatud tõendamiskoormis peab hõlmama „meetmete tõhusust“.

49.

Mulle tundub, et niisugust grammatilist tõlgendust kinnitavad järgnevad praktilised ja teleoloogilised kaalutlused.

50.

Mis puudutab tõendamiskoormise jaotumist artikli 82 alusel esitatud kahju hüvitamise nõude raames, siis andmesubjekt, kes on vastutava töötleja vastu nõude esitanud, peab esiteks tõendama, et on leidnud aset määruse rikkumine; teiseks, et ta on kandnud kahju, ning kolmandaks, et eelmise kahe elemendi vahel eksisteerib põhjuslik seos, nagu on märgitud kõikides kirjalikes seisukohtades viienda eelotsuse küsimuse kohta. Tegemist on kolme kumulatiivse tingimusega, nagu ilmneb ka Euroopa Kohtu ja Üldkohtu väljakujunenud praktikast liidu lepinguvälise vastutuse kontekstis. ( 19 )

51.

Leian siiski, et kassaatori kohustus tõendada määruse rikkumist ei saa olla nii ulatuslik, et ta peab tõendama, mille poolest ei ole vastutava töötleja tehnilised ja korralduslikud meetmed asjakohased artiklite 24 ja 32 tähenduses.

52.

Nagu rõhutab komisjon, on niisuguseid tõendeid praktikas tihti pea võimatu esitada, sest andmesubjektidel ei ole tavaliselt ei piisavaid teadmisi nende meetmete analüüsimiseks ega võimalust tutvuda kogu teabega, mis on asjaomase vastutava töötleja valduses, eelkõige mis puudutab töötlemise turvalisuse tagamiseks kasutatud meetodeid. Lisaks võib vastutav töötleja mõnikord väita, et ta keeldub neid faktilisi asjaolusid andmesubjektidele avaldamast õiguspärasel põhjusel, milleks on mitte avalikustada oma siseasju või ka ametisaladusega hõlmatud asjaolud, nende hulgas just turvalisega seotud põhjused.

53.

Seepärast, kui asuda seisukohale, et tõendamiskoormis lasub andmesubjektil, on praktikas tulemuseks see, et artikli 82 lõikes 1 ette nähtud nõudeõigus kaotaks suure osa oma ulatusest. Minu arvates ei oleks see kooskõlas EL seadusandja kavatsustega, sest määrust andes soovis see seadusandja tugevdada andmesubjektide õigusi ja volitatud töötleja kohustusi võrreldes direktiiviga 95/46, mis selle määrusega asendati. Seetõttu on loogilisem ja õiguslikult vastuvõetav, et vastutav töötleja on kohustatud oma vastuse raames kahju hüvitamise nõudele tõendama, et ta on järginud määruse artiklitest 24 ja 32 tulenevaid kohustusi, sest on võtnud tõesti asjakohased meetmed.

54.

Kolmanda küsimuse teise osaga palub eelotsusetaotluse esitanud kohus Euroopa Kohtul sisuliselt täpsustada, kas kohtuekspertiisi võib pidada vajalikuks ja piisavaks tõendiks selle hindamisel, kas isikuandmete vastutava töötleja tehnilised ja korralduslikud meetmed olid asjakohased olukorras, kus isikuandmetele pääseti ilma loata juurde ja need avaldati häkkerite rünnaku tulemusena.

55.

Nagu on (sisuliselt) rõhutanud ka Bulgaaria ja Itaalia valitsus, Iirimaa ja komisjon, olen arvamusel, et vastus nendele küsimustele peab rajanema meie väljakujunenud kohtupraktikal, mille kohaselt tuleb vastavasisuliste liidu õigusnormide puudumise korral liikmesriikide menetlusautonoomia põhimõtte kohaselt iga liikmesriigi õiguskorras kehtestada menetluskord isikutele liidu õigusest tulenevate õiguste kaitse tagamiseks, kuid selline kord ei tohi olla ebasoodsam kui sarnaste riigisiseste olukordade suhtes kohaldatav kord (võrdväärsuse põhimõte) ega muuta liidu õigusega antud õiguste kasutamist praktiliselt võimatuks ega ülemäära raskeks (tõhususe põhimõte).

56.

Käsitletaval juhul märgin, et määrus ei sisalda ühtegi sätet, millega määrataks kindlaks lubatavad tõendite kogumise meetodid ja nende tõenduslik väärtus, eelkõige mis puudutab menetlustoiminguid (nagu ekspertiis), mille liikmesriigi kohtud võivad määrata või peavad määrama, et hinnata, kas isikuandmete vastutav töötleja on võtnud asjakohased meetmed määruse tähenduses. Seepärast leian, et kuna selles valdkonnas puuduvad ühtlustatud õigusnormid, määratakse menetluskord kindlaks iga liikmesriigi siseses õiguskorras, tingimusel et järgitakse võrdväärsuse ja tõhususe põhimõtet.

57.

Nimetatud „tõhususe põhimõtet“, mis eeldab, et sõltumatu kohus peab läbi viima erapooletu hindamise, võidakse rikkuda, kui omadussõna „piisav“ tuleks mõista tähenduses, mille näib sellele omistavat eelotsusetaotluse esitanud kohus: ekspertiisi põhjal võib automaatselt järeldada, et vastutava töötleja võetud meetmed on asjakohased. ( 20 )

58.

Neljanda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas määruse artikli 82 lõiget 3 tuleb tõlgendada nii, et määruse rikkumise korral (mis seisneb – nagu käsitletaval juhul – isikuandmete „loata avalikustamises“ või „loata juurdepääsus“ neile artikli 4 punkti 12 tähenduses) sellise isiku poolt, kes ei ole nende isikuandmete vastutava töötleja töötaja ega allu vastutava töötleja kontrollile, kujutab see rikkumine endast sündmust, mille eest ei ole mingil viisil vastutav töötleja, ja seega tema vastutusest vabastamise alust artikli 82 lõike 3 tähenduses.

59.

Vastus neljandale küsimusele tuleneb otseselt sellest, mida on eespool märgitud määruse üldise filosoofia kohta: mingit automaatsust ette nähtud ei ole ning seega ei vabasta ainuüksi asjaolu, et isikuandmete loata avalikustamine ja loata juurdepääs nendele said võimalikuks isikute läbi, kes jäävad väljapoole sfääri, mida kontrollib vastutav töötleja, teda vastutusest.

60.

Esiteks tuleb grammatilise tõlgenduse järgi märkida, et ei artikli 82 lõikes 3 ega põhjenduses 146 ei ole sätestatud konkreetseid tingimusi, mida on võimalik täita selleks, et vastutav töötleja vabastataks vastutusest, v.a kui ta tõendab, et „ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest“. Sellest sõnastusest ilmneb esiteks, et vastutava töötleja võib vastutusest vabastada ainult siis, kui ta tõendab, et asjaomase kahju põhjustanud sündmuse eest ei saa pidada vastutavaks teda, ning teiseks, et selles sättes nõutud tõendamise tase on kõrge, sest kasutatud on väljendit „mingil viisil“, nagu on rõhutanud komisjon. ( 21 )

61.

Artiklis 82 ja üldisemalt kogu määruses ette nähtud vastutuse regulatsiooni on põhjalikult käsitletud erinevate liikmesriikide õigusteoorias. See regulatsioon sisaldab nimelt traditsioonilisi elemente, mis on iseloomulikud lepinguvälisele vastutusele, kuid ka elemente, mis lähendavad seda sätete ülesehituses lepingulisele vastutusele või lausa teatavas vormis objektiivsele vastutusele andmetöötlustoimingute olemusliku ohtlikkuse tõttu. See siin ei ole õige koht teha ülevaade arutatust, kuid minu arvates ei ole artiklis 82 kindlaks määratud objektiivse vastutuse regulatsiooni. ( 22 )

62.

Isikuandmetega seotud rikkumisega põhjustatud kahju ei saa olla süüline tagajärg, mis kaasneb sellega, kui jäeti võtmata tehnilised ja korralduslikud meetmed, mis on mõistlikud ja suudavad selle kahju igal juhul ära hoida, võttes arvesse töötlemistoimingutega seotud ohte isikute õigustele ja vabadustele. Need ohud muudavad kahju ärahoidmise ja ennetamise kohustuse rangemaks, laiendades vastutaval töötlejal lasuvat hoolsuskohustust. Seepärast võib vastutavate töötlejate suhtes kohaldatavate toimimisnõuete tõlgendamisel koostoimes kahju põhjustaja kohustusega esitada tõend, mis ta vastutusest vabastab, tuletada argumendi, et tunnustatakse raskendatud süülist vastutust, mida eeldatakse määruse artiklis 82 ette nähtud juhtumil, milleks on vastutus isikuandmete ebaseadusliku töötlemise eest. ( 23 )

63.

Sellest järeldub, et vastutaval töötlejal on võimalik esitada tõend, mis ta vastutusest vabastab (objektiivse vastutuse korral ei ole võimalik). Tõendamiskoormise jaotumise alal on määruse artikli 82 lõikega 3 kehtestatud regulatsioon, mis on soodus kahju kannatanule, sätestades tõendamiskoormise ümberpööramise kahju põhjustanu süü küsimuses, ( 24 ) täielikus kooskõlas eespool mainitud tõendamiskoormise ümberpööramisega võetud meetmete asjakohasuse küsimuses. Seadusandja näitab nii, et oli teadlik ohtudest, mida peidab endas nõustumine tõendamiskoormise teistsuguse jaotumisega; et see, kui kohustada kahju kandnud füüsilist isikut tõendama kahju põhjustanu süüd, viiks selleni, et tema seisund muudetakse liiga raskeks ja tegelikkuses rikutakse seega kahju hüvitamise kui kaitse toimimist uute tehnoloogiate kasutamisega seotud õigusnormide raamistikus. Andmesubjektile võib olla eriti koormav rekonstrueerida kahju tekitamise viis ja sellele ligi pääseda ning seega vastutava töötleja süüd tõendada. Ja vastupidi, vastutav töötleja on paremas olukorras, et esitada vastutusest vabastav tõend, mis kinnitab, et ta ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest. ( 25 )

64.

Vastutav töötleja peab ka tõendama – kooskõlas eespool kirjeldatud vastutuse põhimõttega –, et tegi kõik võimaliku, et taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele.

65.

Naastes eelotsusetaotluse esitanud kohtu küsimuse juurde, st kas eespool vastutava töötleja vastutuse laadi kohta märgitu põhjal võib – nagu öeldud – vastutava töötleja vastutusest vabastada, kui ta tõendab, et rikkumise põhjuse eest ei saa kuidagi vastutavaks pidada teda, siis niisuguseks tõendiks ei saa pidada üksnes asjaolu, et sündmuse kutsus esile isik, kes jääb väljapoole tema kontrollisfääri.

66.

Kui vastutavale töötlejale saab osaks küberkurjategijate rünnak, võib sündmust, mis kahju tekitas, pidada sündmuseks, mille eest ei saa pidada vastutavaks vastutavat töötlejat, kuid ei ole välistatud, et selle küberrünnakuni viis andmete vastutava töötleja hooletus, hõlbustades seda rünnakut, sest puudusid isikuandmete turbe meetmed, mida vastutav töötaja peab võtma, või need ei olnud asjakohased. Tegemist on hinnangutega faktilistele asjaoludele, mis on igal juhtumil erinevad ja mida peab hindama liikmesriigi kohus, lähtudes talle esitatud tõenditest.

67.

Pealegi näitab ühine kogemus, et rünnakud väljastpoolt avalik-õiguslike ja eraõiguslike isikute süsteemidele, kus on suur hulk isikuandmeid, on juba ammu palju sagedasemad kui rünnakud seestpoolt. Seepärast peab vastutav töötleja ette nägema asjakohased meetmed just oma süsteemide kaitsmiseks väljastpoolt tulevate rünnakute vastu.

68.

Viimaseks tuleb teleoloogilisest seisukohast märkida, et määrusega taotletakse kõrgetasemelise kaitse eesmärki. Selle kohta on Euroopa Kohus juba rõhutanud, et määruse artikli 1 lõikest 2, tõlgendatuna koostoimes põhjendustega 10, 11 ja 13, tuleneb, et selle määrusega on kehtestatud liidu institutsioonidele, organitele ja asutustele ning liikmesriikide pädevatele asutustele kohustus tagada ELTL artiklis 16 ja harta artiklis 8 ette nähtud isikuandme kaitsega seotud õiguste kaitse kõrge tase. ( 26 )

69.

Kui Euroopa Kohus peaks valima tõlgenduse, mille kohaselt tuleb juhul, kui määruse rikkumise on pannud toime kolmas isik, vastutav töötleja automaatselt artikli 82 lõike 3 alusel vastutusest vabastada, oleks niisugusel tõlgendusel tagajärg, mis on vastuolus selle õigusakti kaitse-eesmärgiga, sest see nõrgendaks andmesubjektide õigusi, kuna piiraks seda vastutust juhtudega, mil rikkumise eest saab pidada vastutavaks isikuid, kes on vastutava töötleja töötajad ja/või tema kontrolli all.

70.

Viienda küsimusega palub liikmesriigi kohus Euroopa Kohtul sisuliselt tõlgendada mõistet „mittevaraline kahju“ (määruses „mittemateriaalne“) määruse artikli 82 tähenduses. Konkreetselt küsib ta, kas määruse artikli 82 lõikeid 1 ja 2 tuleb koostoimes selle põhjendustega 85 ja 146 ( 27 ) tõlgendada nii, et olukorras, kus määruse rikkumine seisnes loata juurdepääsus isikuandmetele ja nende loata avalikustamises küberkurjategijate poolt, võib asjaolu, et andmesubjekt kardab oma isikuandmete kuritarvitamist tulevikus, juba iseenesest kujutada endast (mittevaralist) kahju, mis annab õiguse hüvitisele.

71.

Ei artiklis 82 ega kahju hüvitamist käsitletavates põhjendustes ei ole esitatud selgitust selles küsimuses, kuid nendest võib leida pidepunkte, mis tulevad analüüsimisel kasuks: mittemateriaalne (ehk mittevaraline) kahju võidakse hüvitada lisaks materiaalsele (varalisele); määruse rikkumisega ei kaasne automaatselt kahju, mida on selle „tulemusel“ kantud, ehk täpsemalt „võib“ isikuandmete rikkumine „põhjustada“ füüsilise, materiaalse või mittemateriaalse kahju füüsilistele isikutele; mõistet „kahju“ võib tõlgendada „laialt“ Euroopa Kohtu praktikast lähtudes, st nii, et järgitakse täielikult määruse eesmärke; hüvitis kahju eest, mida isik on „kandnud“, peab olema „täielik ja tõhus“.

72.

Juba määruse sätete grammatiline sisu ei jäta mingit ruumi oletusele, et tegemist võiks olla kahjuga in re ipsa: määruses ette nähtud tsiviilvastutuse põhieesmärk on andmesubjekti rahuldada just kantud kahju „täieliku ja tõhusa“ hüvitisega ning seega taastada selle õigusliku olukorra tasakaal, mida õiguse rikkumisega negatiivses suunas muudeti. ( 28 )

73.

Teisalt, ka süstemaatilisest seisukohast, nagu konkurentsiõiguses, on määruses ette nähtud kaks kaitsesammast: üks avalik-õiguslik, milles on ette nähtud karistused määruse sätete rikkumise puhuks; teine eraõiguslik, milles on just ette nähtud lepinguvälist laadi tsiviilvastutus, mille võib kvalifitseerida raskendatud vastutuseks eeldatava süü tõttu ja millel on eespool näidatud omadused, sh ka seoses tõendiga, mis vastutusest vabastab. ( 29 )

74.

Seepärast ei tohi mõiste „(mittevaraline) kahju“ ( 30 ) lai tõlgendus minna nii kaugele, et tuleb asuda seisukohale, et seadusandja on loobunud vajadusest, et esineks tõeline „kahju“.

75.

Tegelik sisuline probleem on see, et kas olukorras, kus rikkumise ja põhjusliku seose esinemine on juba kindlaks tehtud, võib tekkida õigus hüvitisele ainuüksi andmesubjekti põhjendatud mure, ärevuse või hirmu tõttu, et tema isikuandmeid kuritarvitatakse tulevikus, kui see kuritarvitamine ei ole tuvastatud ja/või andmesubjekt ei ole kandnud mingit hilisemat kahju.

76.

Euroopa Kohtu väljakujunenud praktika kohaselt tuleb mõisteid, mida on kasutatud liidu õigusnormis, milles ei ole õigusnormi tähenduse ja ulatuse kindlaksmääramise osas viidatud sõnaselgelt liikmesriikide õigusele, kogu liidus tõlgendada autonoomselt ja ühetaoliselt ning niisuguse tõlgendamise käigus ei tule arvestada mitte üksnes sätte sõnastust, vaid ka konteksti ning selle õigusakti eesmärke, mille osaks säte on. ( 31 )

77.

Euroopa Kohus ei ole – nagu meenutab kohtujurist Campos Sánchez-Bordona ( 32 ) – välja töötanud „kahju“ üldist määratlust, mis oleks ühtemoodi kohaldatav ükskõik missuguses kontekstis ( 33 ). Mis puudutab mittevaralist kahju, siis Euroopa Kohtu praktikast võib järeldada, et kui tõlgendatava õigusnormi eesmärk (või üks eesmärke) on isiku või teatud isikute kategooria kaitse, ( 34 ) peab kahju mõiste olema lai; kooskõlas selle kriteeriumiga laieneb hüvitamine mittemateriaalsele kahjule, isegi kui seda ei ole tõlgendatavas õigusnormis nimetatud ( 35 ).

78.

Ehkki Euroopa Kohtu praktika võimaldab väita, et eespool esitatud sõnastuses eksisteerib liidu õiguses mittemateriaalse kahju hüvitamise põhimõte, olen ühel meelel kohtujurist Camposega, et sellest ei saa tuletada reeglit, mille põhjal on igasugune mittemateriaalne kahju olenemata selle tõsidusest hüvitatav. ( 36 )

79.

Selles kontekstis on asjakohane eristada hüvitatavat mittevaralist kahju ja muid ebasoodsaid asjaolusid, mis ebaseaduslikkusest tulenevad ega anna nende väikest ulatust arvestades tingimata õigust hüvitisele. ( 37 )

80.

Euroopa Kohus tunnustab seda erinevust, kui ta nimetab raskusi ja ebamugavust kui autonoomset kategooriat võrreldes kahju kategooriaga, mille puhul tuleb tema arvates maksta hüvitist. ( 38 )

81.

Empiiriliselt võib täheldada, et ükskõik missugune isikuandmete kaitset käsitleva õigusnormi rikkumine toob kaasa andmesubjekti negatiivse reaktsiooni. Hüvitis, mida tuleb maksta lihtsalt ebamugavustunde eest, et aset leiab veel teine seadusrikkumine, läheb kergesti segi hüvitisega, mida makstakse ilma kahjuta ja mis – nagu nägime – ei näi kujutavat endast määruse artiklis 82 kirjeldatud juhtu.

82.

Sellest, et niisugustel asjaoludel nagu põhikohtuasjas on isikuandmete kuritarvitamine ainult võimalik, mitte tegelik, piisab asumaks seisukohale, et andmesubjekt võis kanda määruse rikkumise kaudu mittevaralist kahju, tingimusel et andmesubjekt tõendab, et niisuguse kuritarvitamise hirm on konkreetselt ja tõesti põhjustanud tegeliku ja kindla emotsionaalse kahju. ( 39 )

83.

Piir lihtsa ärrituse (mis ei ole hüvitatav) ning tõelise mittevaralise kahju (mis on hüvitatav) vahel on mõistagi õrn, kuid liikmesriikide kohtud, kelle ülesanne on igal üksikul juhul see piir kindlaks määrata, peavad tähelepanelikult hindama kõiki asjaolusid, mille on esitanud andmesubjekt, kes hüvitist nõuab ning kellel on kohustus näidata täpselt ja mitte üldsõnaliselt ära konkreetsed asjaolud, mille tõttu võib esineda „mittevaraline kahju, mida on tegelikult kantud“ isikuandmetega seotud rikkumise kaudu, ilma et see siiski oleks ette kindlaks määratud konkreetse raskusastmega: olulised on see, et tegemist ei ole lihtsalt subjektiivse tajuga, mis võib muutuda ning sõltub ka iseloomu‑ ja isiksuseomadustest, vaid ebamugavus on objektiivne ja kuigi kerge, siis ikkagi tõendatav isiku füüsilises või psüühilises sfääris või tema suhetes; asjasse puutuvate isikuandmete laad ja tähtsus, mis neil on andmesubjekti elus, ning võib-olla ka see, kuidas tajub ühiskond sel hetkel seda konkreetset andmete rikkumisega seotud ebamugavust. ( 40 )

84.

Kõikide eeltoodud kaalutluste põhjal teen Euroopa Kohtule ettepaneku vastata esitatud eelotsuse küsimustele järgmiselt:

Määruse 2016/679 artikleid 5, 24, 32 ja 82 tuleb tõlgendada nii, et

ainuüksi artikli 4 punktis 12 määratletud „isikuandmetega seotud rikkumise“ esinemisest ei piisa iseenesest asumaks seisukohale, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ nende andmete kaitse tagamisel;

selle kontrollimisel, kas isikuandmete vastutava töötleja võetud tehnilised ja korralduslikud meetmed on adekvaatsed, peab liikmesriigi kohus, kelle poole on pöördutud, viima läbi kontrolli, mis hõlmab nii nende meetmete sisu kui ka rakendamise viisi ning nende praktiliste tagajärgede konkreetset analüüsi;

isikuandmete kaitse üldmääruse artikli 82 alusel esitatud kahju hüvitamise nõude raames on isikuandmete vastutaval töötlejal tõendamiskoormis selle määruse artikli 32 tähenduses rakendatud meetmete asjakohasuse tõendamise küsimuses;

kooskõlas menetlusautonoomia põhimõttega tuleb iga liikmesriigi siseses õiguskorras kindlaks määrata lubatavad tõendamismeetodid ja nende tõenduslik väärtus, sh menetlustoimingud, mida liikmesriikide kohtud võivad määrata ja peavad määrama hindamaks, kas isikuandmete vastutav töötleja on võtnud asjakohased meetmed selle määruse tähenduses, järgides liidu õiguses kindlaks määratud võrdväärsuse ja tõhususe põhimõtet;

asjaolu, et asjaomase kahju põhjustanud määruse rikkumise pani toime kolmas isik, ei kujuta endast iseenesest vastutava töötaja vastutusest vabastamise alust ning vabastuse saamiseks selle õigusnormi alusel peab vastutav töötleja tõendama, et ta ei ole rikkumise eest mingil viisil vastutav;

kahju, mis seisneb isiku hirmus, et tema andmeid võidakse tulevikus kuritarvitada, mille olemasolu andmesubjekt on tõendanud, võib kujutada endast mittevaralist kahju, mis annab õiguse hüvitisele, tingimusel et andmesubjekt tõendab, et kandis isiklikult tegelikku ja kindlat emotsionaalset kahju, kusjuures seda asjaolu peab liikmesriigi kohus igal üksikul juhul kontrollima.