This document is an excerpt from the EUR-Lex website
Document 62021CJ0687
Judgment of the Court (Third Chamber) of 25 January 2024.#BL v MediaMarktSaturn Hagen-Iserlohn GmbH.#Request for a preliminary ruling from the Amtsgericht Hagen.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Interpretation of Articles 5, 24, 32 and 82 – Assessment of the validity of Article 82 – Inadmissibility of the request for an assessment of validity – Right to compensation for damage caused by data processing which infringes that regulation – Transmission of data to an unauthorised third party on account of an error made by the employees of the controller – Assessment of the appropriateness of the protective measures implemented by the controller – Compensatory function fulfilled by the right to compensation – Effect of the severity of the infringement – Whether necessary to establish the existence of damage caused by that infringement – Concept of ‘non-material damage’.#Case C-687/21.
Euroopa Kohtu otsus (kolmas koda), 25.1.2024.
BL versus MediaMarktSaturn Hagen-Iserlohn GmbH.
Eelotsusetaotlus, mille on esitanud Amtsgericht Hagen.
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artiklite 5, 24, 32 ja 82 tõlgendamine – Artikli 82 kehtivuse hindamine – Kehtivuse hindamise taotluse vastuvõetamatus – Õigus saada hüvitist kahju eest, mis on tekitatud niisuguste andmete töötlemisega seda määrust rikkudes – Andmete edastamine volitamata kolmandale isikule vastutava töötleja töötajate eksimuse tõttu – Vastutava töötleja rakendatud kaitsemeetmete sobivuse hindamine – Hüvitise saamise õiguse hüvitamisfunktsioon – Rikkumise raskuse mõju – Vajadus tõendada nimetatud rikkumisega tekitatud kahju olemasolu – Mõiste „mittevaraline kahju“.
Kohtuasi C-687/21.
Euroopa Kohtu otsus (kolmas koda), 25.1.2024.
BL versus MediaMarktSaturn Hagen-Iserlohn GmbH.
Eelotsusetaotlus, mille on esitanud Amtsgericht Hagen.
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artiklite 5, 24, 32 ja 82 tõlgendamine – Artikli 82 kehtivuse hindamine – Kehtivuse hindamise taotluse vastuvõetamatus – Õigus saada hüvitist kahju eest, mis on tekitatud niisuguste andmete töötlemisega seda määrust rikkudes – Andmete edastamine volitamata kolmandale isikule vastutava töötleja töötajate eksimuse tõttu – Vastutava töötleja rakendatud kaitsemeetmete sobivuse hindamine – Hüvitise saamise õiguse hüvitamisfunktsioon – Rikkumise raskuse mõju – Vajadus tõendada nimetatud rikkumisega tekitatud kahju olemasolu – Mõiste „mittevaraline kahju“.
Kohtuasi C-687/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:72
EUROOPA KOHTU OTSUS (kolmas koda)
25. jaanuar 2024 ( *1 )
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artiklite 5, 24, 32 ja 82 tõlgendamine – Artikli 82 kehtivuse hindamine – Kehtivuse hindamise taotluse vastuvõetamatus – Õigus saada hüvitist kahju eest, mis on tekitatud niisuguste andmete töötlemisega seda määrust rikkudes – Andmete edastamine volitamata kolmandale isikule vastutava töötleja töötajate eksimuse tõttu – Vastutava töötleja rakendatud kaitsemeetmete sobivuse hindamine – Hüvitise saamise õiguse hüvitamisfunktsioon – Rikkumise raskuse mõju – Vajadus tõendada nimetatud rikkumisega tekitatud kahju olemasolu – Mõiste „mittevaraline kahju“
Kohtuasjas C‑687/21,
mille ese on ELTL artikli 267 alusel Amtsgericht Hageni (Hageni esimese astme kohus, Saksamaa) 11. oktoobri 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 16. novembril 2021, menetluses
BL
versus
MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro-Handelsgesellschaft mbH Hagen,
EUROOPA KOHUS (kolmas koda),
koosseisus: koja president K. Jürimäe, kohtunikud N. Piçarra, M. Safjan, N. Jääskinen (ettekandja) ja M. Gavalec,
kohtujurist: M. Campos Sánchez-Bordona,
kohtusekretär: A. Calot Escobar,
arvestades kirjalikku menetlust,
arvestades seisukohti, mille esitasid:
|
– |
BL, esindaja: Rechtsanwalt D. Pudelko, |
|
– |
MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro- Handelsgesellschaft mbH Hagen, esindaja: Rechtsanwalt B. Hackl, |
|
– |
Iirimaa, esindajad: Chief State Solicitor M. Browne, A. Joyce ja M. Lane, keda abistas D. Fennelly, BL, |
|
– |
Euroopa Parlament, esindajad: O. Hrstková Šolcová ja J.‑C. Puffer, |
|
– |
Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg, |
arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,
on teinud järgmise
otsuse
|
1 |
Eelotsusetaotlus käsitleb Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 2 lõike 1, artikli 4 punkti 7, artikli 5 lõike 1 punkti f, artikli 6 lõike 1, artikli 24, artikli 32 lõike 1 punkti b ja lõike 2 ning artikli 82 tõlgendamist ja nimetatud artikli 82 kehtivuse hindamist. |
|
2 |
Taotlus on esitatud füüsilise isiku BLi ja MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro-Handelsgesellschaft mbH Hagen (edaspidi „Saturn“), vahelises kohtuvaidluses mittevaralise kahju hüvitamise üle, mis nimetatud isikul väidetavalt tekkis seetõttu, et selle äriühingu töötajate vea tõttu edastati mõned hageja isikuandmed kolmandale isikule. |
Õiguslik raamistik
|
3 |
Isikuandmete kaitse üldmääruse põhjendused 11, 74, 76, 83, 85 ja 146 on sõnastatud järgmiselt:
[…]
[…]
[…]
[…]
[…]
|
|
4 |
Määruse I peatükis „Üldsätted“ asuva artikli 2 „Sisuline kohaldamisala“ lõikes 1 on ette nähtud: „Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.“ |
|
5 |
Määruse artiklis 4 „Mõisted“ on sätestatud: „Käesolevas määruses kasutatakse järgmisi mõisteid:
[…]
[…]
[…]
[…]“. |
|
6 |
Isikuandmete kaitse üldmääruse II peatükk „Põhimõtted“ sisaldab määruse artikleid 5–11. |
|
7 |
Määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud: „1. Isikuandmete töötlemisel tagatakse, et […]
2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“ |
|
8 |
Määruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõikes 1 on määratletud tingimused, mis peavad olema täidetud, et töötlemine oleks seaduslik. |
|
9 |
Isikuandmete kaitse üldmääruse IV peatükk „Vastutav töötleja ja volitatud töötleja“ sisaldab määruse artikleid 24–43. |
|
10 |
IV peatüki 1. jaos „Üldkohustused“ sisalduva artikli 24 „Vastutava töötleja vastutus“ lõigetes 1 ja 2 on sätestatud: „1. Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid. 2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.“ |
|
11 |
Isikuandmete kaitse üldmääruse IV peatüki 2. jaos „Isikuandmete turvalisus“ asuva artikli 32 „Töötlemise turvalisus“ lõike 1 punktis b ja lõikes 2 on sätestatud: „1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist: […]
[…] 2. Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.“ |
|
12 |
Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab määruse artikleid 77–84. |
|
13 |
Määruse artiklis 82 „Õigus hüvitisele ja vastutus“ on sätestatud: „1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest. 2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. […] 3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest. […]“. |
|
14 |
Isikuandmete kaitse üldmääruse artiklis 83 „Trahvide määramise üldtingimused“ on ette nähtud: „1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav. 2. […] Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:
[…]
[…]
3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega. […]“. |
|
15 |
Määruse artikli 84 „Karistused“ lõikes 1 on sätestatud: „Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“ |
Põhikohtuasi ja eelotsuse küsimused
|
16 |
Põhikohtuasja hageja läks Saturni äriruumidesse, kus ta soetas kodumasina. Selle äriühingu töötaja koostas selleks müügi- ja krediidilepingu. Selleks sisestas ta Saturni infosüsteemi kliendi mitmesugused isikuandmed, täpsemalt tema perekonna- ja eesnime, aadressi, elukoha, tööandja nime, sissetuleku ja pangaandmed. |
|
17 |
Neid isikuandmeid sisaldavad lepingudokumendid trükiti ja mõlemad lepingupooled kirjutasid neile alla. Põhikohtuasja hageja andis need seejärel üle Saturni töötajatele, kes töötavad kauba väljastuskohas. Teine klient, kes oli vargsi põhikohtuasja hagejast ette läinud, sai seejärel eksimuse tõttu nii hageja tellitud kodumasina kui ka asjasse puutuvad dokumendid ja võttis need kõik kaasa. |
|
18 |
Kuna eksimus avastati kiiresti, sai Saturni töötaja nii kodumasina kui ka dokumendid tagasi ning andis need põhikohtuasja hagejale üle pool tundi pärast nende üleandmist teisele kliendile. Ettevõtja pakkus eksimuse eest hüvitiseks seadme tasuta transporti põhikohtuasja hageja elukohta, kuid viimane ei pidanud sellist hüvitamist piisavaks. |
|
19 |
Põhikohtuasja hageja esitas hagi Amtsgericht Hagenile (Hageni esimese astme kohus, Saksamaa), kes on käesolevas kohtuasjas eelotsusetaotluse esitanud kohus, ning nõudis eelkõige isikuandmete kaitse üldmääruse sätete alusel hüvitist mittevaralise kahju eest, mida ta väidab end olevat kandnud Saturni töötajate eksimuse tõttu ja sellest tuleneva ohu tõttu kaotada kontroll oma isikuandmete üle. |
|
20 |
Saturn väidab enda kaitseks ühelt poolt, et isikuandmete kaitse üldmäärust ei ole rikutud ja rikkumine saab toimuda üksnes siis, kui see ületab teatud raskuse künnise, milleni käesoleval juhul ei ole jõutud. Teiselt poolt väidab see äriühing, et põhikohtuasja hageja ei ole kandnud mingit kahju, sest ei ole tuvastatud ega isegi mitte väidetud, et seotud kolmas isik oleks puudutatud isiku isikuandmeid kuritarvitanud. |
|
21 |
Eelotsusetaotluse esitanud kohtul on tekkinud esiteks küsimus, kas isikuandmete kaitse üldmääruse artikkel 82 on kehtiv, sest tema arvates ei ole selles artiklis täpsustatud, millised on selle õiguslikud tagajärjed mittevaralise kahju hüvitamise korral. |
|
22 |
Teiseks, juhul kui Euroopa Kohus ei tunnista artiklit 82 kehtetuks, soovib eelotsusetaotluse esitanud kohus teada, kas selles sättes ette nähtud hüvitise saamise õiguse kasutamine eeldab, et on tõendatud mitte ainult isikuandmete kaitse üldmääruse rikkumine, vaid ka kahju, täpsemalt mittevaraline kahju, mis hüvitist nõudvale isikule on tekitatud. |
|
23 |
Kolmandaks soovib eelotsusetaotluse esitanud kohus kindlaks teha, kas ainuüksi asjaolu, et isikuandmeid sisaldavad trükitud dokumendid edastati vastutava töötleja töötajate eksimuse tõttu kolmandale isikule ilma loata, võimaldab tuvastada isikuandmete kaitse üldmääruse rikkumise või mitte. |
|
24 |
Neljandaks soovib eelotsusetaotluse esitanud kohus – kes leiab, et „[kostjaks oleval] ettevõtjal lasub oma süütuse tõendamise koormis“ – teada, kas piisab tuvastamisest, et dokumendid anti üle hooletuse tõttu, et asuda seisukohale, et isikuandmete kaitse üldmäärust on rikutud, eriti arvestades vastutaval töötlejal lasuvat kohustust võtta selle määruse artiklite 2, 5, 6 ja 24 alusel sobivad meetmed töödeldavate andmete turvalisuse tagamiseks. |
|
25 |
Viiendaks on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas isegi siis, kui näib, et volitamata kolmas isik ei tutvunud asjaomaste isikuandmetega enne neid andmeid sisaldavate dokumentide tagastamist, saab mittevaralise kahju tekkimist isikuandmete kaitse üldmääruse artikli 82 tähenduses tõendada ainuüksi asjaoluga, et isik, kelle andmed sel viisil edastati, tunneb hirmu ohu ees – mida eelotsusetaotluse esitanud kohtu sõnul ei saa välistada –, et see kolmas isik edastab need andmed teistele isikutele või neid kuritarvitatakse edaspidi. |
|
26 |
Kuuendaks soovib eelotsusetaotluse esitanud kohus teada, kas viidatud artikli 82 alusel esitatud mittevaralise kahju hüvitamise hagi raames võib olla mõju sellise rikkumise raskusel, mis on toime pandud niisugustel asjaoludel nagu põhikohtuasjas, võttes arvesse, et tema arvates oleks vastutav töötleja võinud võtta tõhusamaid turvameetmeid. |
|
27 |
Seitsmendaks soovib ta teada, mis on mittevaralise kahju hüvitamise eesmärk isikuandmete kaitse üldmääruse alusel, väites, et sarnaselt leppetrahviga võib see olla karistuslik. |
|
28 |
Neil asjaoludel otsustas Amtsgericht Hagen (Hageni esimese astme kohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
|
Eelotsuse küsimuste analüüs
Esimene küsimus
|
29 |
Esimese küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas isikuandmete kaitse üldmääruse artikkel 82 on kehtetu, kuna selles ei ole täpsustatud, millised õiguslikud tagajärjed peavad kaasnema mittevaralise kahju hüvitamisega. |
|
30 |
Euroopa Parlament väidab, et see küsimus on vastuvõetamatu, sest eelotsusetaotluse esitanud kohus ei ole täitnud Euroopa Kohtu kodukorra artikli 94 punkti c nõudeid, kuigi ta tõstatab eriti keerulise küsimuse, mis puudutab liidu õigusnormi kehtivuse hindamist. |
|
31 |
Vastavalt kodukorra artikli 94 punktile c peab eelotsusetaotlus lisaks Euroopa Kohtule esitatud eelotsuse küsimuste tekstile sisaldama muu hulgas selgitust, mis põhjustel on eelotsusetaotluse esitanud kohus tõstatanud mõne liidu õigusnormi tõlgendamise või kehtivuse küsimuse. |
|
32 |
Siinkohal olgu märgitud, et eelotsusetaotluse põhjendused on hädavajalikud mitte ainult selleks, et Euroopa Kohtul oleks võimalik anda tarvilik vastus, vaid ka selleks, et liikmesriikide valitsustel ja teistel huvitatud isikutel oleks võimalik esitada Euroopa Liidu Kohtu põhikirja artikli 23 alusel oma seisukohad. Täpsemalt peab Euroopa Kohus liidu õigusnormi kehtivust hindama just eelotsusetaotluses esitatud kehtetuse põhjenduste alusel, mistõttu juhul, kui ei ole mainitud täpseid põhjusi, mis on pannud eelotsusetaotluse esitanud kohut seda küsimust tõstatama, on kehtivuse kohta esitatud küsimused vastuvõetamatud (vt selle kohta 15. juuni 2017. aasta kohtuotsus T.KUP, C‑349/16, EU:C:2017:469, punktid 16–18, ja 22. juuni 2023. aasta kohtuotsus Vitol, C‑268/22, EU:C:2023:508, punktid 52–55). |
|
33 |
Käesoleval juhul ei esita eelotsusetaotluse esitanud kohus aga ühtegi konkreetset asjaolu, mis võimaldaks Euroopa Kohtul analüüsida isikuandmete kaitse üldmääruse artikli 82 kehtivust. |
|
34 |
Järelikult tuleb esimene küsimus vastuvõetamatuks tunnistada. |
Kolmas ja neljas küsimus
|
35 |
Kolmanda ja neljanda küsimusega, mida tuleb analüüsida koos ja esimeses järjekorras, soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikleid 5, 24, 32 ja 82 koostoimes tuleb tõlgendada nii, et artikli 82 alusel esitatud kahju hüvitamise hagi korral saab ainuüksi asjaolu põhjal, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi, teha järelduse, et selle vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ artiklite 24 ja 32 tähenduses. |
|
36 |
Isikuandmete kaitse üldmääruse artiklis 24 on ette nähtud isikuandmete vastutava töötleja üldine kohustus rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete töötlemise vastavus sellele määrusele ja suuta seda tõendada (14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 24). |
|
37 |
Isikuandmete kaitse üldmääruse artiklis 32 on omakorda täpsustatud vastutava töötleja ja võimaliku volitatud töötleja kohustusi seoses töötlemise turvalisusega. Nii on selle artikli lõikes 1 sätestatud, et need töötlejad peavad rakendama töötlemisega seotud ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades töötlemise laadi, ulatust, konteksti ja eesmärke. Ühtlasi on selle artikli lõikes 2 veel sätestatud, et vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige nende andmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile loata juurdepääsu (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 26 ja 27). |
|
38 |
Seega nähtub isikuandmete kaitse üldmääruse artiklite 24 ja 32 sõnastusest, et vastutava töötleja rakendatavate meetmete sobivust tuleb hinnata konkreetselt, võttes arvesse nendes artiklites osutatud erinevaid kriteeriume ja asjaomase andmete töötlemisega konkreetselt seotud andmekaitsevajadusi ning sellest töötlemisest tulenevaid riske, eriti kuna vastutav töötleja peab suutma tõendada, et võetud meetmed on selle määrusega kooskõlas – sellest võimalusest jääks ta ilma, kui aktsepteeritaks ümberlükkamatut eeldust (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 30–32). |
|
39 |
Sellele grammatilisele tõlgendusele leiab kinnitust nimetatud määruse artiklitest 24 ja 32 koostoimes artikli 5 lõikega 2 ja artikliga 82, arvestades määruse põhjendusi 74, 76 ja 83, millest tuleneb täpsemalt, et vastutavalt töötlejalt nõutakse isikuandmetega seotud rikkumise ohtude leevendamist, mitte isikuandmetega seotud mis tahes rikkumise ärahoidmist (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 33–38). |
|
40 |
Seetõttu on Euroopa Kohus tõlgendanud isikuandmete kaitse üldmääruse artikleid 24 ja 32 nii, et isikuandmete loata avalikustamine „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääs neile andmetele ei ole iseenesest piisav, et asuda seisukohale, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ kõnealuste artiklite 24 ja 32 tähenduses (14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 39). |
|
41 |
Käesoleval juhul võib asjaolu, et eksimuse tõttu edastasid vastutava töötleja töötajad isikuandmeid sisaldava dokumendi volitamata kolmandale isikule, näidata, et vastutava töötleja rakendatud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ nimetatud artiklite 24 ja 32 tähenduses. Selline asjaolu võib nimelt tuleneda hooletusest või puudustest vastutava töötleja töökorralduses, mis ei võta konkreetselt arvesse kõnealuste andmete töötlemisega seotud riske. |
|
42 |
Sellega seoses tuleb rõhutada, et isikuandmete kaitse üldmääruse artiklitest 5, 24 ja 32, arvestades selle määruse põhjendust 74, tuleneb, et selle määruse artikli 82 alusel esitatud kahju hüvitamise hagi korral lasub vastutaval töötlejal kohustus tõendada, et isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse selle määruse artikli 5 lõike 1 punkti f ja artikli 32 tähenduses. Selline tõendamiskoormise jaotus mitte ainult ei ajenda nende andmete vastutavaid töötlejaid võtma isikuandmete kaitse üldmääruses ette nähtud turvameetmeid, vaid tagab ka selle määruse artiklis 82 ette nähtud õiguse hüvitisele soovitava toime ning järgib liidu seadusandja kavatsusi, mida on mainitud selle määruse põhjenduses 11 (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 49–56). |
|
43 |
Seetõttu on Euroopa Kohus tõlgendanud isikuandmete kaitse üldmääruse artikli 5 lõikes 2 sätestatud vastutava töötleja vastutuse põhimõtet, mida on täpsustatud selle määruse artiklis 24, nii, et selle määruse artikli 82 alusel esitatud kahju hüvitamise hagi korral lasub vastutaval töötlejal kohustus tõendada, et turvameetmed, mille ta on võtnud selle määruse artikli 32 alusel, on asjakohased (14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 57). |
|
44 |
Seega ei saa kohus, kellele on esitatud selline kahju hüvitamise hagi isikuandmete kaitse üldmääruse artikli 82 alusel, võtta selle kindlakstegemisel, kas määruses ette nähtud kohustust on rikutud, arvesse üksnes asjaolu, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi. See kohus peab nimelt arvesse võtma ka kõiki tõendeid, mille vastutav töötleja on esitanud selleks, et tõendada nende tehniliste ja korralduslike meetmete asjakohasust, mille ta on võtnud määruse artiklitest 24 ja 32 tulenevate kohustuste täitmiseks. |
|
45 |
Eeltoodud kaalutlusi arvestades tuleb kolmandale ja neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikleid 5, 24, 32 ja 82 koostoimes tuleb tõlgendada nii, et artikli 82 alusel esitatud kahju hüvitamise hagi korral ei saa ainuüksi asjaolu põhjal, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi, teha järeldust, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud artiklite 24 ja 32 tähenduses „asjakohased“. |
Seitsmes küsimus
|
46 |
Seitsmenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et selles sättes ette nähtud õigus hüvitisele, eelkõige mittevaralise kahju korral, täidab karistuslikku funktsiooni. |
|
47 |
Selle kohta on Euroopa Kohus otsustanud, et isikuandmete kaitse üldmääruse artiklil 82 ei ole mitte karistuslik, vaid hüvitamisfunktsioon erinevalt teistest selle määruse VIII peatüki sätetest, nimelt artiklitest 83 ja 84, millel omakorda on peamiselt karistuslik eesmärk, kuna need võimaldavad vastavalt määrata trahve ja muid sanktsioone. Artiklis 82 sätestatud õigusnormide suhe artiklites 83 ja 84 sätestatutega näitab, et need kaks sätete kategooriat on erinevad, aga ka üksteist täiendavad, kuivõrd need ajendavad isikuandmete kaitse üldmäärust järgima, kusjuures tuleb märkida, et igaühe õigus nõuda kahju hüvitamist tugevdab selles määruses ette nähtud kaitsenormide toimivust ja võib pärssida õigusvastase tegevuse kordumist (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 38 ja 40, ning 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 85). |
|
48 |
Euroopa Kohus on täpsustanud, et kuna isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigusel hüvitisele ei ole heidutavat ega ka mitte karistavat funktsiooni, vaid see täidab hüvitamisfunktsiooni, ei saa see, kui raske oli kõnealuse määruse rikkumine, mis kahju põhjustas, mõjutada selle sätte alusel välja mõistetava kahjuhüvitise suurust, isegi kui tegemist ei ole mitte varalise, vaid mittevaralise kahjuga, mistõttu ei tohi määratav summa olla nii suur, et see ületab kahju täieliku hüvitamise (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 86 ja 87). |
|
49 |
Eeltoodust tuleneb, et ei ole vaja teha otsust selle kohta, kas kõnealuse artikli 82 lõikes 1 sätestatud õiguse kahju hüvitamisele eesmärk on võrreldav leppetrahvi karistusliku funktsiooniga, nagu pakkus välja eelotsusetaotluse esitanud kohus. |
|
50 |
Järelikult tuleb seitsmendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selles sättes ette nähtud õigus hüvitisele, eelkõige mittevaralise kahju korral, ei täida mitte karistuslikku, vaid hüvitamisfunktsiooni, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama täielikult hüvitada selle määruse rikkumisega tegelikult tekitatud kahju. |
Kuues küsimus
|
51 |
Kuuenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et see artikkel nõuab, et kahju hüvitamisel selle sätte alusel võetaks arvesse seda, kui raske oli kõnealuse määruse rikkumine vastutava töötleja poolt. |
|
52 |
Selles küsimuses tuleneb isikuandmete kaitse üldmääruse artiklist 82 esiteks, et vastutava töötleja vastutuse eeldus on tema süü, mida eeldatakse, välja arvatud juhul, kui ta tõendab, et kahju põhjustanud tegu ei ole talle omistatav, ning et teiseks ei nõua nimetatud artikkel 82, et selle sätte alusel mittevaralise kahju hüvitamiseks välja mõistetava kahjuhüvitise summa kindlaksmääramisel võetaks arvesse süü suurust (21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 103). |
|
53 |
Isikuandmete kaitse üldmääruse artikli 82 alusel maksmisele kuuluva võimaliku kahjuhüvitise hindamise kohta olgu märgitud, et kuna see määrus ei sisalda sellise esemega sätet, peavad liikmesriikide kohtud kohaldama liikmesriigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, järgides liidu õiguses kehtivaid võrdväärsuse ja tõhususe põhimõtteid (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 83 ja 101 ning seal viidatud kohtupraktika). |
|
54 |
Lisaks on Euroopa Kohus täpsustanud, et isikuandmete kaitse üldmääruse artiklis 82 ette nähtud hüvitise saamise õiguse hüvitamisfunktsiooni arvestades ei ole selles sättes nõutud, et selle alusel mittevaralise kahju hüvitamiseks väljamõistetava kahjuhüvitise summa kindlaksmääramisel võetaks arvesse, kui raske oli selle määruse rikkumine, mille vastutav töötleja eeldatavasti toime pani, vaid nõutud on, et see summa määrataks kindlaks nii, et see hüvitaks täielikult selle määruse rikkumisega tegelikult tekitatud kahju (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 84–87 ja 102 ning seal viidatud kohtupraktika). |
|
55 |
Eeltoodud kaalutlusi arvestades tuleb kuuendale küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et see artikkel ei nõua, et selle sätte alusel kahju hüvitamisel võetaks arvesse vastutava töötleja toime pandud rikkumise raskust. |
Teine küsimus
|
56 |
Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et isik, kes nõuab nimetatud sätte alusel hüvitist, peab tõendama mitte ainult selle määruse sätete rikkumist, vaid ka seda, et see rikkumine tekitas talle varalise või mittevaralise kahju. |
|
57 |
Sellega seoses tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 on sätestatud, et „[i]gal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“. |
|
58 |
Selle sätte sõnastusest nähtub, et pelgalt isikuandmete kaitse üldmääruse rikkumisest ei piisa selleks, et tekiks õigus kahju hüvitamisele. Üks artikli 82 lõikes 1 ette nähtud hüvitise saamise õiguse tingimustest on nimelt „kantud kahju“ või „tekitatud kahju“ olemasolu, nagu ka selle määruse rikkumise esinemine ja põhjuslik seos kahju ja rikkumise vahel, kusjuures need kolm tingimust on kumulatiivsed (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 32 ja 42; 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 77; 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 14, ning 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 82). |
|
59 |
Konkreetsemalt mittevaralise kahju kohta on Euroopa Kohus samuti otsustanud, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et sellega on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses mittevaralise kahju hüvitamine, et andmesubjektile – nagu on määratletud selle määruse artikli 4 punktis 1 – tekkinud kahju oleks teatud raskusastmega (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 51; 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 78, ja 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 16). |
|
60 |
Euroopa Kohus on täpsustanud, et andmesubjekt, keda puudutab isikuandmete kaitse üldmääruse rikkumine, millel on tema jaoks negatiivsed tagajärjed, peab siiski tõendama, et need tagajärjed kujutavad endast mittevaralist kahju selle määruse artikli 82 tähenduses, sest pelgalt selle määruse sätete rikkumisest ei piisa, et tekiks õigus hüvitisele (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 42 ja 50; 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 84, ning 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punktid 21 ja 23). |
|
61 |
Eeltoodud põhjendusi arvestades tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et isik, kes nõuab selle sätte alusel hüvitist, peab tõendama mitte ainult viidatud määruse sätete rikkumist, vaid ka seda, et nimetatud rikkumine tekitas talle varalise või mittevaralise kahju. |
Viies küsimus
|
62 |
Viienda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et juhul, kui isikuandmeid sisaldav dokument on edastatud volitamata kolmandale isikule, kelle puhul on tuvastatud, et ta ei tutvunud nende andmetega, võib mittevaraline kahju selle sätte tähenduses seisneda pelgas asjaolus, et andmesubjekt kardab, et selle edastamise tõttu, mis võimaldas teha dokumendist enne selle tagastamist koopia, võidakse edaspidi tema andmeid levitada või isegi kuritarvitada. |
|
63 |
Tuleb täpsustada, et eelotsusetaotluse esitanud kohus märgib, et käesoleval juhul tagastati dokument, mis sisaldas asjasse puutuvaid andmeid, põhikohtuasja hagejale poole tunni jooksul pärast dokumendi üleandmist volitamata kolmandale isikule ning viimane ei tutvunud nende andmetega enne dokumendi tagastamist, kuid hageja väidab, et üleandmine andis sellele kolmandale isikule võimaluse teha dokumendist enne selle tagastamist koopiad ning see tekitas talle kartuse seoses ohuga, et neid andmeid võidakse tulevikus kuritarvitada. |
|
64 |
Arvestades, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ei ole mingit viidet liikmesriikide riigisisesele õigusele, tuleb mõistele „mittevaraline kahju“ selle sätte tähenduses anda liidu õiguses autonoomne ja ühetaoline määratlus (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 30 ja 44, ning 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 15). |
|
65 |
Euroopa Kohus on otsustanud, et mitte ainult isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusest, arvestades selle määruse põhjendusi 85 ja 146, milles peetakse vajalikuks käsitada mõistet „mittevaraline kahju“ selle esimese sätte tähenduses laialt, vaid ka selle määrusega taotletavast eesmärgist tagada füüsiliste isikute kõrgetasemeline kaitse isikuandmete töötlemisel tuleneb, et andmesubjekti hirm, et selle määruse rikkumise järel võivad kolmandad isikud tema isikuandmeid kuritarvitada, võib endast iseenesest kujutada „mittevaralist kahju“ viidatud artikli 82 lõike 1 tähenduses (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 79–86). |
|
66 |
Peale selle on Euroopa Kohus nii grammatilistele, süsteemsetele kui ka teleoloogilistele kaalutlustele tuginedes leidnud, et kontrolli kaotamine isikuandmete üle lühikeseks ajaks võib tekitada andmesubjektile mittevaralist kahju isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses, mis annab õiguse hüvitisele, tingimusel et see isik tõendab, et ta on tegelikult kandnud sellist kahju, isegi kui see on väga väike, kusjuures tuleb meenutada, et pelgalt selle määruse sätete rikkumisest ei piisa, et selle alusel tekiks õigus hüvitisele (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punktid 18–23). |
|
67 |
Samuti tuleb käesoleval juhul märkida, et nii isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusega kui ka selle määrusega taotletava kaitse-eesmärgiga on kooskõlas see, et mõiste „mittevaraline kahju“ hõlmab olukorda, kus andmesubjektil on põhjendatud kartus – mida peab kontrollima asja menetlev liikmesriigi kohus –, et kolmandad isikud levitavad või kuritarvitavad edaspidi tema teatavaid isikuandmeid, sest neid andmeid sisaldav dokument anti üle volitamata kolmandale isikule, kellel oli enne dokumendi tagastamist võimalus teha nendest andmetest koopiad. |
|
68 |
Sellegipoolest on isikuandmete kaitse üldmääruse artikli 82 alusel esitatud kahju hüvitamise hagi puhul nõude esitaja ülesanne tõendada sellise kahju olemasolu. Täpsemalt ei anna kahju hüvitamiseks alust puhthüpoteetiline oht, et volitamata kolmas isik kuritarvitab andmeid. Nii on see juhul, kui ükski kolmas isik ei ole vaidlusaluste isikuandmetega tutvunud. |
|
69 |
Järelikult tuleb viiendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et juhul, kui isikuandmeid sisaldav dokument on edastatud volitamata kolmandale isikule, kelle puhul on tõendatud, et ta ei tutvunud nende andmetega, ei ole mittevaraline kahju selle sätte tähenduses olemas üksnes seetõttu, et andmesubjekt kardab, et selle edastamise tõttu, mis võimaldas teha dokumendist enne selle tagastamist koopia, võidakse edaspidi tema andmeid levitada või isegi kuritarvitada. |
Kohtukulud
|
70 |
Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seiskohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata. |
|
Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab: |
|
|
|
|
|
|
Allkirjad |
( *1 ) Kohtumenetluse keel: saksa.