Kohtuasi C‑655/23

IP

versus

Quirin Privatbank AG

(eelotsusetaotlus, mille on esitanud Bundesgerichtshof)

Euroopa Kohtu (neljas koda) 4. septembri 2025. aasta otsus

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Andmesubjekti õigused – Artikkel 17 – Õigus andmete kustutamisele – Artikkel 18 – Õigus isikuandmete töötlemise piiramisele – Artikkel 79 – Õigus tõhusale õiguskaitsevahendile – Isikuandmete ebaseaduslik töötlemine – Hagi, millega taotletakse vastutava töötleja kohustamist edaspidi uuest ebaseaduslikust töötlemisest hoiduma – Alus – Tingimused – Artikli 82 lõige 1 – Õigus kahju hüvitamisele – Mittevaralise kahju mõiste – Hüvitise hindamine – Vastutava töötleja süü suuruse võimalik arvesse võtmine – Tegevusest hoidumise korralduse võimalik mõju

1. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Õiguskaitsevahendid – Liikmesriikide kohustus näha ette õiguskaitsevahend, mis võimaldab taotleda vastutava töötleja kohustamist uuest ebaseaduslikust töötlemisest hoiduma – Puudumine – Riigisisesed õigusnormid, mis võimaldavad niisugust õiguskaitsevahendit riigisiseses õiguskorras kasutada – Lubatavus

   (Euroopa Liidu põhiõiguste harta, artikli 8 lõiked 1 ja 2; Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendused 1, 10 ja 11 ning artikli 1 lõike 4 punktid 1, 5, 6, 17, 18 ning 77–79)

   (vt punktid 38–52 ja resolutsiooni punkt 1)

2. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Õigus hüvitisele ja vastutus – Õigus saada tekitatud kahju eest hüvitist – Mittevaraline kahju – Mõiste – Negatiivsed tunded, mida andmesubjekt kogeb oma isikuandmete kolmandale isikule loata edastamise tagajärjel – Hõlmamine – Tingimused – Vajadus tõendada selliste tunnete ja nende negatiivsete tagajärgede olemasolu, mis on põhjustatud selle määruse rikkumisest

   (Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendused 1, 10, 75, 85 ja 146, artikkel 1 ning artikli 82 lõige 1)

   (vt punktid 55, 56 ja 58–64 ning resolutsiooni punkt 2)

3. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Õigus hüvitisele ja vastutus – Õigus saada tekitatud kahju eest hüvitist – Hüvitise suuruse ja vormi kindlaksmääramine – Riigisisesed õigusnormid, mis lubavad mittevaralise kahju eest makstava hüvitise hindamisel võtta arvesse kahju tekitanud isiku süü suurust – Lubamatus

   (Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendus 146 ning artiklid 82 ja 83)

   (vt punktid 66, 67 ja 69–73 ning resolutsiooni punkt 3)

4. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Õigus hüvitisele ja vastutus – Õigus saada tekitatud kahju eest hüvitist – Hüvitise suuruse ja vormi kindlaksmääramine – Mittevaralise kahju rahalise hüvitise vähendamise või hüvitise maksmata jätmise puhul niisuguse korralduse arvesse võtmine, millega kohustatakse selle määruse uuest rikkumisest hoiduma – Lubamatus

   (Euroopa Parlamendi ja nõukogu määrus 2016/679, artikkel 82)

   (vt punktid 77–79 ja 81–83 ning resolutsiooni punkt 4)

Kokkuvõte

Euroopa Kohus, kellele Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) esitas eelotsusetaotluse, täpsustas isikuandmete kaitse üldmääruse ( 1 ) eri sätetega andmesubjektile antud õiguste ulatust juhul, kui tema isikuandmeid on ebaseaduslikult töödeldud.

IP kandideeris veebipõhise kutsealase sotsiaalvõrgustiku kaudu tööle Saksa õiguse alusel asutatud äriühingusse Quirin Privatbank. Seejärel kasutas selle äriühingu töötaja sama sotsiaalvõrgustiku meiliteenust, et saata kolmandale isikule, keda töölevõtmise protsess ei puudutanud, sõnum, mis oli adresseeritud üksnes IP‑le ja milles äriühingu töötaja teatas viimasele tema palgasoovi rahuldamata jätmisest ning pakkus talle muud tasu. See kolmas isik, kes oli IP‑ga varem koos töötanud, edastas talle kõnealuse sõnumi ja küsis temalt, kas ta otsib tööd.

IP esitas Landgericht Darmstadtile (Darmstadti esimese astme kohus, Saksamaa) hagi, milles nõudis, et Quirin Privatbanki kohustataks esiteks hoiduma tema kandideerimisega seotud isikuandmete igasugusest töötlemisest, mis kujutaks nende andmete uut loata avalikustamist, ning teiseks mõista välja hüvitis mittevaralise kahju eest. Esimese astme kohus rahuldas need nõuded.

Quirin Privatbanki apellatsioonkaebuse tulemusel Oberlandesgericht Frankfurtile (liidumaa kõrgeim üldkohus Frankfurdis, Saksamaa) muudeti seda kohtuotsust osaliselt nii, et kahju hüvitamise nõue jäeti rahuldamata. Nimelt leidis see kohus, et IP ei ole tõendanud konkreetset kahju, ja isegi kui eeldada, et IP tundis end alandatuna, ei saa seda liigitada mittevaraliseks kahjuks.

Nii IP kui ka Quirin Privatbank esitasid mõlemad selle kohtuotsuse peale kassatsioonkaebuse Bundesgerichtshofile (Saksamaa Liitvabariigi kõrgeim üldkohus), kes on eelotsusetaotluse esitanud kohus.

Kuna kõrgeim üldkohus kahtles isikuandmete kaitse üldmääruse mitme sätte tõlgendamises, esitas ta Euroopa Kohtule küsimused õiguskaitsevahendite ulatuse, tekitatud kahju eest hüvitise saamise õiguse ulatuse ja hüvitatava mittevaralise kahju hindamise kriteeriumide kohta.

Euroopa Kohtu hinnang

Esiteks paluti Euroopa Kohtul võtta seisukoht küsimuses, kas isikuandmete kaitse üldmääruse sätetes on andmesubjekti kasuks, kelle isikuandmeid on ebaseaduslikult töödeldud ja kes ei taotle oma andmete kustutamist, sätestatud kohtulik õiguskaitsevahend, millega ta saab ennetavalt nõuda, et vastutavat töötlejat kohustataks tulevikus hoiduma uuest ebaseaduslikust töötlemisest, ning kas eitava vastuse korral on nende sätete tõttu liikmesriigil takistatud sellise õiguskaitsevahendi sätestamine oma õiguskorras.

Euroopa Kohus märkis, et isikuandmete kaitse üldmääruses ei ole sätteid, milles oleks sõnaselgelt või kaudselt ette nähtud, et andmesubjektil on õigus ennetavalt kohtumenetluse teel saada korraldus, et isikuandmete vastutav töötleja oleks kohustatud tulevikus hoiduma selle määruse sätete rikkumisest, täpsemalt uue ebaseadusliku töötlemise vormis.

Lisaks tõdes Euroopa Kohus, et ükski selle määruse õiguskaitsevahendeid käsitlev säte ( 2 ) ei kohusta liikmesriike kehtestama ennetavat õiguskaitsevahendit. Eelkõige ei kohusta isikuandmete kaitse üldmääruse artikli 79 lõige 1, milles on sätestatud õigus esitada vastutava töötleja vastu tõhus õiguskaitsevahend, liikmesriike nägema ette konkreetset õiguskaitsevahendit, mis võimaldaks ennetavalt saada kohtu kaudu tegevusest hoidumise korraldust.

Samas – arvestades eelkõige seda, et isikuandmete kaitse üldmääruses tunnustatakse iga andmesubjekti õigust tõhusale õiguskaitsevahendile, kui ta leiab, et talle selle määrusega antud õigusi on rikutud tema isikuandmete töötlemisega sama määrust rikkudes, „ilma et see piiraks“ mis tahes muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist – asus Euroopa Kohus seisukohale, et liikmesriikidel ei ole keelatud sätestada sellist ennetavat õiguskaitsevahendit, et kohustada vastutavat töötlejat hoiduma nende õiguste mis tahes uuest rikkumisest.

Euroopa Kohus rõhutas, et isikuandmete kaitse üldmääruse sätted annavad liikmesriikidele otsesõnu võimaluse näha ette täiendavaid, rangemaid või erandeid ettenägevaid riigisiseseid eeskirju, mis jätavad liikmesriikidele kaalutlusruumi nende sätete rakendamisel („kaitseklauslid“). Kirjeldatud kontekstis märkis ta, et kuigi isikuandmete kaitse üldmääruse õiguskaitsevahendeid käsitlevad sätted ei sisalda konkreetselt niisugust kaitseklauslit, ei soovinud liidu seadusandja selle määruse rikkumise korral ette nähtud õiguskaitsevahendeid ammendavalt ühtlustada ega ole iseäranis välistanud sellist ennetava õiguskaitsevahendi võimalust.

Euroopa Kohus lisas, et kirjeldatud tõlgendust kinnitavad isikuandmete kaitse üldmäärusega taotletavad eesmärgid. Andmesubjekti võimalus esitada kohtule hagi, et kohustada vastutavat töötlejat hoiduma tulevikus isikuandmete kaitse üldmääruse materiaalõiguse normide rikkumisest, tugevdab nende sätete soovitavat toimet ja seega andmesubjektide kõrgetasemelist kaitset nende isikuandmete töötlemisel.

Euroopa Kohus jõudis eelneva alusel järeldusele, et isikuandmete kaitse üldmäärusega ei ole vastuolus see, kui õiguskaitsevahend, millega soovitakse saada korraldus, mis võimaldab vältida määruse materiaalõiguse normide võimalikku rikkumist, eelkõige ebaseadusliku töötlemise võimalikku kordamist, on sätestatud niisugustes liikmesriigi õigusnormides, mis on kohaldatavad asja menetlevas liikmesriigi kohtus.

Teiseks täpsustas Euroopa Kohus mittevaralise kahju mõistet, mis annab andmesubjektile isikuandmete kaitse üldmääruse ( 3 ) alusel õiguse saada vastutavalt töötlejalt hüvitist tekitatud kahju eest.

Euroopa Kohus tuletas meelde, et isikuandmete kaitse üldmääruse artikli 82 lõikega 1 on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab mittevaralise kahju hüvitamine, et andmesubjektil tekkinud kahju oleks teatud raskusastmega. Selles sättes ei ole nõutud, et andmesubjekti väidetav mittevaraline kahju peab ulatuma miinimumkünniseni, et see kahju oleks hüvitatav ( 4 ).

Veel märkis Euroopa Kohus, et niisugused olukorrad, nagu on kõne all põhikohtuasjas ja mis puudutavad isikuandmetega seotud rikkumisest tulenevat „maine kahjustamist“ või „kontrolli kaotamist“ nende andmete üle, on sõnaselgelt nimetatud isikuandmete kaitse üldmääruses loetletud võimaliku kahju näidete hulgas. ( 5 )

Ta tõdes samuti, et isikuandmete kaitse üldmääruse rikkumise tagajärjel andmesubjekti kogetav kartus, et kolmas isik võib millalgi tema isikuandmeid kuritarvitada, võib eraldivõetuna kujutada endast mittevaralist kahju, tingimusel et see kartus koos oma negatiivsete tagajärgedega on nõuetekohaselt tõendatud, mida peab kontrollima asja menetlev liikmesriigi kohus. ( 6 )

Niisiis tunnistas Euroopa Kohus, et kuigi eelotsusetaotluse esitanud kohtu mainitud tunded – eelkõige kartus või rahulolematus – võivad kuuluda ka igapäevaelule omaste üldiste riskide hulka, võivad sellised negatiivsed tunded kujutada endast mittevaralist kahju isikuandmete kaitse üldmääruse tähenduses, tingimusel et andmesubjekt tõendab, et tal on niisugused tunded koos nende negatiivsete tagajärgedega just selle määruse kõnealuse rikkumise tõttu, milleks on näiteks tema isikuandmete loata edastamine kolmandale isikule, mis toob kaasa selle isiku poolt kuritarvitamise ohu, mida peavad hindama liikmesriigi kohtud, kelle poole on pöördutud.

Euroopa Kohus rõhutas, et see tõlgendus on kooskõlas isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusega lähtudes selle määruse põhjendustest 85 ja 146, milles kutsutakse üles tõlgendama mittevaralise kahju mõistet laialt, ning seda kinnitab sama määrusega taotletav eesmärk tagada isikuandmete töötlemisel füüsiliste isikute kõrgetasemeline kaitse.

Kolmandaks tõdes Euroopa Kohus, et isikuandmete kaitse üldmääruse hüvitamisõigust käsitleva artikli 82 lõikega 1 on vastuolus, kui nimetatud artikli alusel makstava mittevaralise kahju eest makstava hüvitise hindamisel võetakse arvesse vastutava töötleja süü suurust.

Ta tuletas meelde, et – võttes arvesse üksnes hüvitise saamise õiguse hüvitamisfunktsiooni – peavad liikmesriigi kohtud määrama „täieliku ja tõhusa“ rahalise hüvitise, ilma et täieliku hüvitamise jaoks oleks vaja välja mõista karistuslikku kahjuhüvitist. ( 7 )

Euroopa Kohus täpsustas, et isikuandmete kaitse üldmääruses ette nähtud hüvitise saamise õiguse eranditult kompenseeriva funktsiooniga on vastuolus see, kui nimetatud sätte alusel kahju hüvitamisel võetakse arvesse seda, millise raskusastmega on kõnealuse määruse rikkumine vastutava töötleja poolt, ja rikkumise võimalikku tahtlikkust. Niisiis ei tohi võtta arvesse vastutava töötleja suhtumist ja motivatsiooni selleks, et määrata andmesubjektile võimalik väiksem hüvitis võrreldes tema tegelikult kantud kahjuga kas summa suuruse või hüvitise liigi osas.

Neljandaks ja viimaseks märkis Euroopa Kohus, et isikuandmete kaitse üldmääruse artikli 82 lõikega 1 on vastuolus, kui asjaolu, et andmesubjekt on saanud kohaldatava riigisisese õiguse alusel korralduse, mille kohaselt peab vastutav töötleja hoiduma määruse uuest rikkumisest, võetakse arvesse selleks, et vähendada selle sätte alusel makstava mittevaralise kahju rahalise hüvitise suurust või a fortiori sellega hüvitist asendada.

Euroopa Kohus juhtis tähelepanu sellele, et ta on juba möönnud, et tõhususe põhimõttest tulenevates piirides võivad teatavad asjaolud mõjutada isikuandmete kaitse üldmääruse artikli 82 alusel makstava hüvitise hindamist eelkõige selle hüvitise piiramise suunas. Kohaldatavas riigisiseses õiguses ette nähtud kahju hüvitamise viisi saab aga pidada isikuandmete kaitse üldmäärusega kooskõlas olevaks üksnes siis, kui see tagab andmesubjektile tekitatud kahju täieliku ja tõhusa hüvitamise. Eeskätt ei saa isikuandmete kaitse üldmääruse artikli 82 alusel välja mõista hüvitist osaliselt või tervikuna tegevusest hoidumise korralduse vormis, sest õigus kahju hüvitamisele täidab üksnes hüvitavat funktsiooni, samas kui kahju tekitajale adresseeritud tegevusest hoidumise korraldusel on üksnes ennetav eesmärk.

( 1 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artiklid 17, 18, 79 ja 82.

( 2 ) Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab eelkõige artikleid 77–79.

( 3 ) Isikuandmete kaitse üldmääruse artikli 82 lõige 1.

( 4 ) Vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju) (C‑300/21, EU:C:2023:370, punkt 51) ja 4. oktoobri 2024. aasta kohtuotsus Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, punktid 147 ja 149).

( 5 ) Isikuandmete kaitse üldmääruse põhjendused 75 ja 85.

( 6 ) Vt selle kohta 20. juuni 2024. aasta kohtuotsus PS (vale aadress) (C‑590/22, EU:C:2024:536, punktid 32, 35 ja 36) ning 4. oktoobri 2024. aasta kohtuotsus Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, punktid 143, 144 ja 155 ning seal viidatud kohtupraktika).

( 7 ) Vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju) (C‑300/21, EU:C:2023:370, punktid 57 ja 58) ning 4. oktoobri 2024. aasta kohtuotsus Patērētāju tiesību aizsardzības centrs (C‑507/23, EU:C:2024:854, punkt 34).