Euroopa Kohtu (kolmas koda) 25. jaanuari 2024. aasta otsus (Amtsgericht Hageni eelotsusetaotlus – Saksamaa) – BL versus MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro-Handelsgesellschaft mbH Hagen

(Kohtuasi C-687/21 (1), MediaMarktSaturn)

(Eelotsusetaotlus - Füüsiliste isikute kaitse isikuandmete töötlemisel - Määrus (EL) 2016/679 - Artiklite 5, 24, 32 ja 82 tõlgendamine - Artikli 82 kehtivuse hindamine - Kehtivuse hindamise taotluse vastuvõetamatus - Õigus saada hüvitist kahju eest, mis on tekitatud niisuguste andmete töötlemisega seda määrust rikkudes - Andmete edastamine volitamata kolmandale isikule vastutava töötleja töötajate eksimuse tõttu - Vastutava töötleja rakendatud kaitsemeetmete sobivuse hindamine - Hüvitise saamise õiguse hüvitamisfunktsioon - Rikkumise raskuse mõju - Vajadus tõendada nimetatud rikkumisega tekitatud kahju olemasolu - Mõiste „mittevaraline kahju“)

(C/2024/1993)

Kohtumenetluse keel: saksa

Eelotsusetaotluse esitanud kohus

Amtsgericht Hagen

Põhikohtuasja pooled

Hageja: BL

Kostja: MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro-Handelsgesellschaft mbH Hagen

Resolutsioon

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikleid 5, 24, 32 ja 82 koostoimes

tuleb tõlgendada nii, et

artikli 82 alusel esitatud kahju hüvitamise hagi korral ei saa ainuüksi asjaolu põhjal, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi, teha järeldust, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud artiklite 24 ja 32 tähenduses „asjakohased“.

Määruse 2016/679 artikli 82 lõiget 1

tuleb tõlgendada nii, et

selles sättes ette nähtud õigus hüvitisele, eelkõige mittevaralise kahju korral, ei täida mitte karistuslikku, vaid hüvitamisfunktsiooni, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama täielikult hüvitada selle määruse rikkumisega tegelikult tekitatud kahju.

3.	Määruse 2016/679 artiklit 82 tuleb tõlgendada nii, et see artikkel ei nõua, et selle sätte alusel kahju hüvitamisel võetaks arvesse vastutava töötleja toime pandud rikkumise raskust.

4.	Määruse 2016/679 artikli 82 lõiget 1 tuleb tõlgendada nii, et isik, kes nõuab selle sätte alusel hüvitist, peab tõendama mitte ainult viidatud määruse sätete rikkumist, vaid ka seda, et nimetatud rikkumine tekitas talle varalise või mittevaralise kahju.

Määruse 2016/679 artikli 82 lõiget 1

tuleb tõlgendada nii, et

juhul, kui isikuandmeid sisaldav dokument on edastatud volitamata kolmandale isikule, kelle puhul on tõendatud, et ta ei tutvunud nende andmetega, ei ole mittevaraline kahju selle sätte tähenduses olemas üksnes seetõttu, et andmesubjekt kardab, et selle edastamise tõttu, mis võimaldas teha dokumendist enne selle tagastamist koopia, võidakse edaspidi tema andmeid levitada või isegi kuritarvitada.

(1) ELT C 64, 7.2.2022.