–

GP, esindaja: Rechtsanwalt H. Schöning,

–

juris GmbH, esindajad: Rechtsanwälte E. Brandt ja C. Werkmeister,

–

Iirimaa, esindajad: Chief State Solicitor M. Browne, A. Joyce ja M. Lane, keda abistas D. Fennelly, BL,

–

Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,

1

Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 82 lõikeid 1 ja 3 koostoimes artiklitega 29 ja 83 ning arvestades põhjendusi 85 ja 146.

2

Taotlus on esitatud füüsilise isiku GP ja Saksamaal asuva äriühingu juris GmbH vahelises kohtuvaidluses kahju hüvitamise üle, mida GP väidetavalt kandis seetõttu, et tema isikuandmeid töödeldi korduvalt otseturunduse eesmärgil, olgugi et ta oli nimetatud äriühingule esitanud selle kohta vastuväiteid.

3

Isikuandmete kaitse üldmääruse põhjendused 85, 146 ja 148 on sõnastatud järgmiselt:

[…]

[…]

4

Määruse artiklis 4 „Mõisted“ on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

[…]

[…]“.

5

Määruse artiklis 5 on nimetatud rida isikuandmete töötlemise põhimõtteid.

6

Isikuandmete kaitse üldmääruse III peatüki „Andmesubjekti õigused“ artikli 21 „Õigus esitada vastuväiteid“ lõikes 3 on ette nähtud:

„Kui andmesubjekt esitab vastuväiteid otseturunduse eesmärgil toimuva andmete töötlemise suhtes, ei tohi isikuandmeid sellisel eesmärgil enam töödelda.“

7

Määruse IV peatükk „Vastutav töötleja ja volitatud töötleja“ sisaldab artikleid 24–43.

8

Määruse artikli 24 „Vastutava töötleja vastutus“ lõigetes 1 ja 2 on sätestatud:

„1.   Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2.   Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.“

9

Määruse artikli 25 „Lõimitud andmekaitse ja vaikimisi andmekaitse“ lõikes 1 on ette nähtud:

„Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.“

10

Isikuandmete kaitse üldmääruse artiklis 29 „Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel“ on sätestatud:

„Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.“

11

Määruse artiklis 32 „Töötlemise turvalisus“ on sätestatud:

„1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

[…]

[…]

2.   Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

[…]

4.   Vastutav töötleja ja volitatud töötleja võtavad meetmeid selleks, et tagada, et vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, töötlevad isikuandmeid ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.“

12

Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab artikleid 77–84.

13

Määruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on ette nähtud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete […] sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

14

Määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõigetes 1–3 on sätestatud:

„1.   Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2.   Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. […]

3.   Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.“

15

Määruse artikli 83 „Trahvide määramise üldtingimused“ lõigetes 2, 3 ja 5 on ette nähtud:

„2.   […] Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

[…]

3.   Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

[…]

5.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20000000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

[…]“.

16

Määruse artikli 84 „Karistused“ lõikes 1 on ette nähtud:

„Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“

17

Põhikohtuasja hageja, kes on Saksamaal füüsilisest isikust ettevõtjana tegutsev advokaat, oli juriidilist andmepanka haldava äriühingu juris klient.

18

Pärast seda, kui põhikohtuasja hageja sai teada, et juris kasutas tema isikuandmeid ka otseturunduseks, tühistas ta 6. novembril 2018 kirjalikult kõik oma nõusolekud saada sellelt äriühingult e-kirja või telefoni teel teavet ning esitas vastuväite andmete mis tahes töötlemise suhtes, välja arvatud newsletters’i saatmine, mille adressaadiks ta soovis jääda.

19

Sellest hoolimata sai põhikohtuasja hageja 2019. aasta jaanuaris kaks otsepostituskirja, mis saadeti nimeliselt tema töökoha aadressile. Ta tuletas 18. aprillil 2019 jurisele saadetud kirjas meelde oma varasemat vastuväidet mis tahes otseturundusele, veel selgitas ta, et selline otseturundus tähendab tema andmete ebaseaduslikku töötlemist, ning palus hüvitada isikuandmete kaitse üldmääruse artikli 82 alusel talle tekitatud kahju. Pärast seda, kui ta sai 3. mail 2019 uue otsepostituskirja, kordas ta oma vastuväidet, mis seekord toimetati jurisele kätte kohtutäituri kaudu.

20

Kõik otsepostituskirjad sisaldasid „isiklikku testkoodi“, mis võimaldas jurise veebisaidil tutvuda selle äriühingu toodete tellimisvormiga, mis sisaldas põhikohtuasja hageja andmeid, nagu viimase palvel tuvastas notar 7. juunil 2019.

21

Põhikohtuasja hageja esitas Landgericht Saarbrückenile (Saarbrückeni esimese astme kohus, Saksamaa), kes on käesolevas kohtuasjas eelotsusetaotluse esitanud kohus, isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel hagi talle tekitatud varalise kahju hüvitamise nõudes seoses kohtutäituri ja notari tasuga ning mittevaralise kahju hüvitamise nõudes. Ta väidab eelkõige, et kaotas kontrolli oma isikuandmete üle seetõttu, et juris töötleb neid andmeid tema vastuväitest hoolimata, ning et ta võib sellisel juhul saada hüvitist, ilma et ta peaks tõendama Euroopa Liidu põhiõiguste harta artikliga 8 tagatud ja selles määruses täpsustatud õiguste riive tagajärgi või raskust.

22

Hagi vastuses eitab juris igasugust vastutust, väites, et ta on loonud otseturundusele esitatud vastuväidete haldamise süsteemi ja et põhikohtuasja hageja esitatud vastuväitele hilinemisega reageerimine tulenes kas sellest, et üks tema töötaja oli talle antud korraldusi eiranud, või sellest, et vastuväite arvesse võtmine oleks olnud ülemäära kulukas. Ta väidab, et isikuandmete kaitse üldmäärusest tuleneva kohustuse – nagu see, mis tuleneb määruse artikli 21 lõikest 3 – pelk rikkumine ei saa iseenesest tekitada „kahju“ selle määruse artikli 82 lõike 1 tähenduses.

23

Esiteks lähtub eelotsusetaotluse esitanud kohus kõigepealt eeldusest, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigus hüvitisele sõltub sellest, kas täidetud on kolm tingimust: määruse rikkumine, varaline või mittevaraline kahju ning põhjuslik seos rikkumise ja kahju vahel. Seejärel küsib eelotsusetaotluse esitanud kohus, kas põhikohtuasja hageja seisukohti arvesse võttes tuleb siiski asuda seisukohale, et isikuandmete kaitse üldmääruse rikkumine iseenesest tekitab mittevaralise kahju, mis annab õiguse hüvitisele, eelkõige juhul, kui selle määruse säte, mida on rikutud, annab asjaomasele isikule subjektiivse õiguse. Kuna Saksa õigus nõuab mittevaralise kahju rahaliseks hüvitamiseks, et tegemist oleks kaitstud õiguste tõsise riivega, siis soovib eelotsusetaotluse esitanud kohus lõpuks teada, kas analoogset piirangut tuleb kohaldada isikuandmete kaitse üldmääruse alusel esitatud kahju hüvitamise nõuete suhtes, võttes arvesse selle määruse põhjendustes 85 ja 146 esitatud juhiseid mõiste „kahju“ kohta.

24

Teiseks peab eelotsusetaotluse esitanud kohus võimalikuks, et isikuandmete kaitse üldmääruse artiklist 82 tuleneb, et kui on tuvastatud selle määruse rikkumine, loetakse rikkumise eest vastutavaks vastutav töötleja, mistõttu on tegemist vastutusega eeldatava süü eest või süüst sõltumatu vastutusega. Lisaks, olles rõhutanud, et selle artikli lõikes 3 ei ole täpsustatud seal ette nähtud vastutusest vabastamise suhtes konkreetselt kehtivaid tõendamisnõudeid, märgib ta, et kui vastutaval töötlejal oleks lubatud vastutusest vabaneda, piirdudes üldsõnalise väitega ühe oma töötaja süülise käitumise kohta, piiraks see oluliselt selle artikli lõikes 1 ette nähtud hüvitise saamise õiguse soovitavat toimet.

25

Kolmandaks soovib eelotsusetaotluse esitanud kohus eelkõige teada, kas isikuandmete kaitse üldmääruse artikli 82 alusel maksmisele kuuluva kahjuhüvitise summa, eelkõige mittevaralise kahju summa kindlaksmääramisel võib või isegi tuleb ka artikli 82 raames arvesse võtta artikli 83 lõigetes 2 ja 5 ette nähtud kriteeriume trahvi suuruse kindlaksmääramiseks.

26

Neljandaks ja viimaseks märgib see kohus, et tema menetluses olevas kohtuasjas töödeldi põhikohtuasja hageja isikuandmeid mitu korda otseturunduse eesmärgil, hoolimata asjaomase isiku korduvatest vastuväidetest. Ta soovib seega kindlaks teha, kas juhul, kui esineb selline isikuandmete kaitse üldmääruse mitmekordne rikkumine, tuleb neid rikkumisi määruse artikli 82 alusel maksmisele kuuluva võimaliku hüvitise summa kindlaksmääramisel arvesse võtta eraldi või kogumis.

27

Neil asjaoludel otsustas Landgericht Saarbrücken (Saarbrückeni esimese astme kohus) menetluse peatada ning esitada Euroopa Kohtule järgmised eelotsuse küsimused:

28

Kõigepealt väidab juris sisuliselt, et esimene küsimus on vastuvõetamatu osas, milles sellega soovitakse kindlaks teha, kas isikuandmete kaitse üldmääruse artiklis 82 ette nähtud õigus hüvitisele sõltub nõudest, et andmesubjekti väidetav kahju, nagu see on määratletud selle määruse artikli 4 punktis 1, oleks teatud raskusastmega. See küsimus ei ole põhikohtuasja lahendamiseks asjakohane, kuna põhikohtuasja hageja väidetud kahju, see tähendab kontrolli kaotamine tema isikuandmete üle, ei ole tekkinud, sest neid andmeid töödeldi käesoleva kohtuvaidluse poolte lepingulise suhte raames õiguspäraselt.

29

Sellega seoses väärib meeldetuletamist, et üksnes asja menetleva ja selles tehtava kohtulahendi eest vastutava liikmesriigi kohtu ülesanne on kohtuasja eripära arvesse võttes hinnata nii eelotsusetaotluse vajalikkust asjas otsuse tegemiseks kui ka nende küsimuste asjakohasust, mis ta Euroopa Kohtule esitab ja mille asjakohasust eeldatakse. Seega, kui küsimused on esitatud liidu õigusnormi tõlgendamise või kehtivuse kohta, on Euroopa Kohus üldjuhul kohustatud vastama, välja arvatud juhul, kui ilmneb, et taotletud tõlgendamine ei ole mingil viisil seotud põhikohtuasja faktiliste asjaolude või esemega, või ka juhul, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada faktilised või õiguslikud asjaolud, mis on vajalikud nimetatud küsimustele tarviliku vastuse andmiseks (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 23 ja seal viidatud kohtupraktika).

30

Käesoleval juhul puudutab esimene küsimus tingimusi, mis on nõutavad selleks, et kasutada õigust hüvitisele, mis on ette nähtud isikuandmete kaitse üldmääruse artiklis 82. Lisaks ei ole ilmne, et taotletaval tõlgendusel puuduks seos põhikohtuasjaga või et tõstatatud probleem oleks hüpoteetiline. Nimelt, ühelt poolt on vaidlus seotud kahju hüvitamise nõudega, mis kuulub isikuandmete kaitse üldmäärusega kehtestatud isikuandmete kaitse korra kohaldamisalasse. Teiselt poolt on selle küsimuse eesmärk sisuliselt kindlaks teha, kas selles määruses sätestatud vastutust käsitlevate eeskirjade kohaldamiseks on vaja nii seda, et esineks mittevaraline kahju, mis erineb nimetatud määruse rikkumisest, kui ka seda, et nimetatud kahju ületab teatud raskusastme.

31

Järelikult on esimene küsimus vastuvõetav.

32

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et andmesubjektile õigusi andvate selle määruse sätete rikkumisest üksi piisab, et tegemist oleks „mittemateriaalse kahjuga“ selle sätte tähenduses, sõltumata sellele isikule tekitatud kahju raskusastmest.

33

Kõigepealt tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 on sätestatud, et „[i]gal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“.

34

Euroopa Kohus on isikuandmete kaitse üldmääruse artikli 82 lõiget 1 juba tõlgendanud nii, et pelgalt selle määruse rikkumisest ei piisa, et tekiks õigus kahju hüvitamisele, kuna varalise või mittevaralise „kantud kahju“ või „tekitatud kahju“ olemasolu kujutab endast ühte nimetatud artikli 82 lõikes 1 ette nähtud hüvitise saamise õiguse tingimust, nagu ka nimetatud määruse rikkumine ning põhjuslik seos kahju ja rikkumise vahel, sest need kolm tingimust on kumulatiivsed (vt selle kohta 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 58 ja seal viidatud kohtupraktika).

35

Seega peab isik, kes soovib nimetatud sätte alusel mittevaralise kahju hüvitamist, tõendama mitte ainult selle määruse sätete rikkumist, vaid ka seda, et rikkumine põhjustas talle sellise kahju (vt selle kohta 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punktid 60 ja 61 ning seal viidatud kohtupraktika).

36

Selle kohta tuleb märkida, et Euroopa Kohus on isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tõlgendanud nii, et sellega on vastuolus liikmesriigi õigusnorm või praktika, mis seab mittevaralise kahju hüvitamise selle sätte tähenduses sõltuvusse tingimusest, et andmesubjektile tekitatud kahju on teatava raskusastmega, rõhutades samas, et isik peab siiski tõendama, et selle määruse rikkumine põhjustas talle sellise mittevaralise kahju (vt selle kohta 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punktid 59 ja 60 ning seal viidatud kohtupraktika).

37

Isegi kui isikuandmete kaitse üldmääruse säte, mida on rikutud, annab õigusi füüsilistele isikutele, ei saa selline rikkumine iseenesest kujutada endast „mittemateriaalset kahju“ selle määruse tähenduses.

38

On tõsi, et isikuandmete kaitse üldmääruse artikli 79 lõikest 1 tuleneb, et igal andmesubjektil on õigus tõhusale õiguskaitsevahendile vastutava töötleja või võimaliku volitatud töötleja vastu, kui ta leiab, et „tema [sellest] määrusest tulenevaid õigusi on rikutud tema isikuandmete […] sellise töötlemise tulemusel, millega rikutakse [seda] määrust“.

39

See säte annab siiski üksnes kaebeõiguse isikule, kes leiab, et talle isikuandmete kaitse üldmäärusega antud õigusi on rikutud, vabastamata teda määruse artikli 82 lõikes 1 ette nähtud kohustusest tõendada, et ta on tegelikult kandnud varalist või mittevaralist kahju.

40

Sellest järeldub, et andmesubjektile õigusi andvate isikuandmete kaitse üldmääruse sätete rikkumine ei ole iseenesest piisav, et põhjendada sisulist õigust saada hüvitist selle määruse alusel, mis nõuab, et täidetud oleksid ka käesoleva kohtuotsuse punktis 34 nimetatud kaks ülejäänud selle õiguse tingimust.

41

Käesoleval juhul soovib põhikohtuasja hageja, et talle hüvitataks isikuandmete kaitse üldmääruse alusel mittevaraline kahju, mis tuleneb kontrolli kaotamisest tema isikuandmete üle, mida tema vastuväitest hoolimata töödeldi, ilma et ta peaks tõendama, et see kahju ületas teatud raskusastme.

42

Sellega seoses on oluline märkida, et isikuandmete kaitse üldmääruse põhjenduses 85 on isikuandmetega seotud rikkumisega kaasneda võiva kahju hulgas sõnaselgelt nimetatud „kontrolli kaotamist“. Lisaks on Euroopa Kohus otsustanud, et kontrolli kaotamine selliste andmete üle võib isegi lühikese aja jooksul kujutada endast „mittevaralist kahju“ selle määruse artikli 82 lõike 1 tähenduses, mis annab õiguse hüvitisele, tingimusel et asjaomane isik tõendab, et ta on tegelikult kandnud sellist kahju, isegi kui see on väga väike (vt selle kohta 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 66 ja seal viidatud kohtupraktika).

43

Eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et andmesubjektile õigusi andvate selle määruse sätete rikkumisest üksi ei piisa, et tegemist oleks „mittemateriaalse kahjuga“ selle sätte tähenduses, sõltumata sellele isikule tekitatud kahju raskusastmest.

44

Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et vastutava töötleja vastutusest vabastamiseks selle artikli lõike 3 alusel piisab sellest, kui ta väidab, et kõnealune kahju tuleneb rikkumisest, mille põhjustas tema volituse alusel tegutsev isik selle määruse artikli 29 tähenduses.

45

Sellega seoses tuleb märkida, et isikuandmete kaitse üldmääruse artikli 82 lõikes 2 on sätestatud, et kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse seda määrust, ning lõikes 3 on sätestatud, et vastutav töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

46

Euroopa Kohus on juba tuvastanud, et artikli 82 lõigete 2 ja 3 koostoimes analüüsist nähtub, et selles on ette nähtud süülise vastutuse kord, mille kohaselt eeldatakse, et vastutav töötleja osales töötlemises, mis kujutab endast asjaomase isikuandmete kaitse üldmääruse rikkumist, mistõttu ei lasu tõendamiskoormis mitte isikul, kellele on kahju tekitatud, vaid vastutaval töötlejal (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 92–94).

47

Mis puudutab küsimust, kas vastutava töötleja võib isikuandmete kaitse üldmääruse artikli 82 lõike 3 alusel vastutusest vabastada üksnes põhjusel, et selle kahju põhjustas määruse artikli 29 tähenduses tema alluvuses tegutseva isiku süüline käitumine, siis ühelt poolt nähtub artiklist 29, et sellised vastutava töötleja alluvuses tegutsevad isikud nagu tema töötajad, kellel on juurdepääs isikuandmetele, võivad põhimõtteliselt neid andmeid töödelda ainult vastutava töötleja juhiste alusel ja nendega kooskõlas (vt selle kohta 22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punktid 73 ja 74).

48

Teiselt poolt on isikuandmete kaitse üldmääruse artikli 32 lõikes 4, mis käsitleb isikuandmete töötlemise turvalisust, ette nähtud, et vastutav töötleja võtab meetmeid selleks, et tagada, et tema volituse alusel tegutsevad füüsilised isikud, kellel on juurdepääs sellistele andmetele, töötlevad isikuandmeid ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

49

Vastutava töötleja enda töötaja on vaieldamatult selle vastutava töötleja volituse alusel tegutsev füüsiline isik. Seega peab vastutav töötleja tagama, et tema töötajad järgiksid tema juhiseid nõuetekohaselt. Järelikult ei saa vastutav töötleja isikuandmete kaitse üldmääruse artikli 82 lõike 3 alusel vastutusest vabaneda pelgalt seetõttu, et tema volituse alusel tegutsev isik on hooletu või kohustusi rikkunud.

50

Käesoleval juhul väidab juris Euroopa Kohtule esitatud kirjalikes seisukohtades sisuliselt, et vastutav töötleja tuleks isikuandmete kaitse üldmääruse artikli 82 lõike 3 alusel vastutusest vabastada, kui asjaomase kahju põhjustanud rikkumine on tingitud mõne tema töötaja käitumisest, kes ei järginud vastutavalt töötlejalt saadud juhiseid, ja tingimusel, et see rikkumine ei ole tingitud vastutava töötleja nende kohustuste täitmata jätmisest, mis on sätestatud eelkõige selle määruse artiklites 24, 25 ja 32.

51

Sellega seoses on oluline rõhutada, et isikuandmete kaitse üldmääruse artikli 82 lõikes 3 ette nähtud erandi asjaolud peavad olema rangelt piiratud nendega, kus vastutav töötleja suudab tõendada, et talle ei ole võimalik omistada kahju tekitamist (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 70). Seega juhul, kui isikuandmetega seotud rikkumine on toime pandud vastutava töötleja volituse alusel tegutseva isiku poolt, saab vastutava töötleja vastutusest vabastada üksnes juhul, kui ta tõendab, et talle selle määruse artiklitega 5, 24 ja 32 pandud andmekaitsekohustuse võimaliku rikkumise ja andmesubjektile tekitatud kahju vahel ei ole mingit põhjuslikku seost (vt analoogia alusel 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 72).

52

Järelikult selleks, et vastutava töötleja saaks isikuandmete kaitse üldmääruse artikli 82 lõike 3 alusel vastutusest vabastada, ei piisa sellest, kui ta tõendab, et ta andis juhiseid tema volituse alusel tegutsevatele isikutele selle määruse artikli 29 tähenduses ja et üks nendest isikutest ei täitnud oma kohustust neid juhiseid järgida, mille tõttu ta aitas kaasa kõnealuse kahju tekkimisele.

53

Nimelt, kui nõustuda sellega, et vastutav töötleja võib vastutusest vabaneda üksnes viitega tema volituse alusel tegutseva isiku rikkumisele, kahjustaks see isikuandmete kaitse üldmääruse artikli 82 lõikes 1 sätestatud hüvitise saamise õiguse soovitavat toimet, nagu eelotsusetaotluse esitanud kohus sisuliselt märkis, ning see ei oleks kooskõlas selle määruse eesmärgiga tagada füüsiliste isikute kõrgetasemeline kaitse nende isikuandmete töötlemisel.

54

Eeltoodu põhjal tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et vastutava töötleja vastutusest vabastamiseks selle artikli lõike 3 alusel ei piisa sellest, kui ta väidab, et kõnealune kahju tuleneb rikkumisest, mille põhjustas tema volituse alusel tegutsev isik selle määruse artikli 29 tähenduses.

55

Kolmanda ja neljanda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selle sätte alusel maksmisele kuuluva kahjuhüvitise summa kindlaksmääramisel tuleb ühelt poolt kohaldada mutatis mutandis määruse artiklis 83 ette nähtud trahvide summa kindlaksmääramise kriteeriume ja teiselt poolt võtta arvesse asjaolu, et hüvitist taotleva isiku suhtes on ühe töötlemistoimingu jooksul toime pandud mitu määruse rikkumist.

56

Esimesena, mis puudutab isikuandmete kaitse üldmääruse artiklis 83 sätestatud kriteeriumide võimalikku arvessevõtmist selle artikli 82 alusel makstava hüvitise summa kindlaksmääramisel, siis on selge, et neil kahel sättel on erinevad eesmärgid. Nimelt, kui selle määruse artiklis 83 on kindlaks määratud „[t]rahvide määramise üldtingimused“, siis määruse artikli 82 teema on „[õ]igus hüvitisele ja vastutus“.

57

Sellest tuleneb, et isikuandmete kaitse üldmääruse artiklis 83 sätestatud trahvide summa kindlaksmääramise kriteeriume, mida on samuti mainitud selle määruse põhjenduses 148, ei saa kasutada selle määruse artikli 82 kohase kahjuhüvitise summa kindlaksmääramisel.

58

Nagu Euroopa Kohus on juba rõhutanud, ei sisalda isikuandmete kaitse üldmäärus sätet, mis puudutaks artiklis 82 tagatud hüvitise saamise õiguse alusel makstava kahjuhüvitise kindlaksmääramist. Järelikult peavad liikmesriigi kohtud selleks menetlusautonoomia põhimõtte alusel kohaldama liikmesriigi riigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, tingimusel et järgitakse liidu õiguses kehtivaid võrdväärsuse ja tõhususe põhimõtteid, nagu need on määratletud Euroopa Kohtu väljakujunenud praktikas (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 83 ja 101 ning seal viidatud kohtupraktika, ja 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 53).

59

Sellega seoses on Euroopa Kohus rõhutanud, et isikuandmete kaitse üldmääruse artiklil 82 ei ole mitte karistuslik, vaid hüvitamisfunktsioon erinevalt teistest selle määruse VIII peatüki sätetest, nimelt artiklitest 83 ja 84, millel omakorda on peamiselt karistuslik eesmärk, kuna need võimaldavad vastavalt määrata trahve ja muid sanktsioone. Artiklis 82 sätestatud õigusnormide suhestatus artiklites 83 ja 84 sätestatutega näitab, et need kaks sätete kategooriat on erinevad, aga ka üksteist täiendavad, kuivõrd need motiveerivad isikuandmete kaitse üldmäärust järgima, kusjuures tuleb märkida, et igaühe õigus nõuda kahju hüvitamist tugevdab selles määruses ette nähtud kaitsenormide toimivust ja võib pärssida õigusvastase tegevuse kordumist (25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 47 ja seal viidatud kohtupraktika).

60

Lisaks järeldas Euroopa Kohus asjaolust, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigusel hüvitusele ei ole heidutavat ega karistavat funktsiooni, et see, kui raske oli kõnealuse määruse rikkumine, mis põhjustas varalise või mittevaralise kahju, ei saa mõjutada kõnealuse sätte alusel välja mõistetava kahjuhüvitise summat. Sellest järeldub, et määratav summa ei tohi olla nii suur, et ületab kahju täieliku hüvitamise (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 86).

61

Võttes arvesse isikuandmete kaitse üldmääruse põhjenduse 146 kuuendat lauset, mille kohaselt on selle õigusakti eesmärk tagada, et andmesubjektid saavad „täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud“, on Euroopa Kohus märkinud, et võttes arvesse selle määruse artiklis 82 ette nähtud hüvitise saamise õiguse hüvitamisfunktsiooni, tuleb sellele sättele tuginevat rahalist hüvitist pidada „täielikuks ja tõhusaks“, kui see võimaldab täielikult hüvitada selle määruse rikkumisega tegelikult tekitatud kahju, ilma et täieliku hüvitamise jaoks oleks vaja välja mõista karistuslikku kahjuhüvitist (21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 84 ja seal viidatud kohtupraktika).

62

Võttes arvesse erinevusi isikuandmete kaitse üldmääruse artikli 82 – arvestades määruse põhjendust 146 – ning selle määruse artikli 83 – arvestades selle määruse põhjendust 148 – sõnastuse ja eesmärkide vahel, ei saa seega asuda seisukohale, et artiklis 83 konkreetselt sätestatud hindamiskriteeriumid on mutatis mutandis kohaldatavad artikli 82 raames, olenemata sellest, et nendes kahes sättes ette nähtud õiguskaitsevahendid on tõepoolest üksteist täiendavad, et tagada sama määruse järgimine.

63

Teisena, mis puudutab viisi, kuidas liikmesriigi kohtud peavad kindlaks määrama isikuandmete kaitse üldmääruse artikli 82 alusel makstava rahalise hüvitise summa juhul, kui seda määrust on sama puudutatud isiku suhtes mitu korda rikutud, siis tuleb kõigepealt rõhutada – nagu on märgitud käesoleva kohtuotsuse punktis 58 –, et iga liikmesriigi ülesanne on kehtestada kriteeriumid, mis võimaldavad selle hüvitise summa kindlaks määrata, tingimusel et järgitakse liidu õiguse tõhususe ja võrdväärsuse põhimõtteid.

64

Võttes seejärel arvesse, et isikuandmete kaitse üldmääruse artiklil 82 ei ole mitte karistuslik, vaid hüvitamisfunktsioon, nagu on meelde tuletatud käesoleva kohtuotsuse punktides 60 ja 61, ei saa asjaolu, et vastutav töötleja pani ühe andmesubjekti suhtes toime mitu rikkumist, pidada kriteeriumiks, mille alusel kindlaks määrata sellele isikule artikli 82 alusel makstav kahjuhüvitis. Nimelt tuleb ainult isikule konkreetselt tekitatud kahju arvesse võtta selle hüvitamiseks makstava rahalise hüvitise summa kindlaksmääramisel.

65

Järelikult tuleb kolmandale ja neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selle sätte alusel maksmisele kuuluva kahjuhüvitise summa kindlaksmääramisel ei tule esiteks kohaldada mutatis mutandis määruse artiklis 83 ette nähtud trahvide summa kindlaksmääramise kriteeriume ja teiseks võtta arvesse asjaolu, et hüvitist taotleva isiku suhtes on ühe töötlemistoimingu jooksul toime pandud mitu määruse rikkumist.

66

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab: