Esialgne tõlge

EUROOPA KOHTU OTSUS (kolmas koda)

14. detsember 2023(*)

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikkel 5 – Töötlemise põhimõtted – Artikkel 24 – Vastutava töötleja vastutus – Artikkel 32 – Töötlemise turvalisuse tagamiseks võetud meetmed – Selliste meetmete sobivuse hindamine – Kohtuliku kontrolli ulatus – Tõendite kogumine – Artikkel 82 – Õigus hüvitisele ja vastutus – Vastutava töötleja võimalik vastutusest vabastamine kolmandate isikute poolse rikkumise korral – Mittevaralise kahju hüvitamise nõue, mis põhineb kartusel, et isikuandmeid võidakse kuritarvitada

Kohtuasjas C‑340/21,

mille ese on ELTL artikli 267 alusel Varhoven administrativen sadi (Bulgaaria kõrgeim halduskohus) 14. mai 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 2. juunil 2021, menetluses

VB

versus

Natsionalna agentsia za prihodite,

EUROOPA KOHUS (kolmas koda),

koosseisus: koja president K. Jürimäe, kohtunikud N. Piçarra, M. Safjan, N. Jääskinen (ettekandja) ja M. Gavalec,

kohtujurist: G. Pitruzzella,

kohtusekretär: A. Calot Escobar,

arvestades kirjalikku menetlust,

arvestades seisukohti, mille esitasid:

–        Natsionalna agentsia za prihodite, esindaja: R. Spetsov,

–        Bulgaaria valitsus, esindajad: M. Georgieva ja L. Zaharieva,

–        Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,

–        Iirimaa, esindajad: Chief State Solicitor M. Browne, A. Joyce, J. Quaney ja M. Tierney, keda abistas D. Fennelly, BL,

–        Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato E. De Bonis,

–        Portugali valitsus, esindajad: P. Barros da Costa, A. Pimenta, J. Ramos ja C. Vieira Guerra,

–        Euroopa Komisjon, esindajad: A. Bouchagiar, H. Kranenborg ja N. Nikolova,

olles 27. aprilli 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1        Eelotsusetaotlus käsitleb Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 5 lõike 2, artiklite 24 ja 32 ning artikli 82 lõigete 1–3 tõlgendamist.

2        Taotlus on esitatud füüsilise isiku VB ja Natsionalna agentsia za prihodite (Bulgaaria maksuamet, edaspidi „NAP“) vahelises kohtuvaidluses mittevaralise kahju hüvitamise üle, mida see isik väidab end olevat kandnud seetõttu, et amet on väidetavalt rikkunud isikuandmete vastutava töötleja seadusest tulenevaid kohustusi.

 Õiguslik raamistik

3        Isikuandmete kaitse üldmääruse põhjendused 4, 10, 11, 74, 76, 83, 85 ja 146 on sõnastatud järgmiselt:

„(4)      […] Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja [Euroopa Liidu põhiõiguste] hartas tunnustatud põhimõtetest, eelkõige õigusest era‑ ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, […] õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele […].

[…]

(10)      Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja ‑vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]

(11)      Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, […].

[…]

(74)      Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

[…]

(76)      Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks[, kas] andmetöötlustoimingutega kaasneb oht või suur oht.

[…]

(83)      Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

[…]

(85)      Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et on toimunud isikuandmetega seotud rikkumine, peaks vastutav töötleja teatama isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta […].

[…]

(146)      Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid. Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]“.

4        Selle määruse artiklis 4 „Mõisted“ on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)      „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]

2)      „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, […];

[…]

7)      „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; […]

[…]

10)      „kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

[…]

12)      „isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

[…]“.

5        Nimetatud määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud:

„1.      Isikuandmete töötlemisel tagatakse, et

a)      töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

[…]

f)      isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2.      Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

6        Isikuandmete kaitse üldmääruse artiklis 24 „Vastutava töötleja vastutus“ on sätestatud:

„1.      Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2.      Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

3.      Vastutava töötleja kohustuste järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.“

7        Isikuandmete kaitse üldmääruse artiklis 32 „Töötlemise turvalisus“ on sätestatud:

„1.      Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

a)      isikuandmete pseudonümiseerimine ja krüpteerimine;

b)      võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

c)      võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;

d)      tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

2.      Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

3.      Käesoleva artikli lõikes 1 osutatud nõuete järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

[…]“.

8        Määruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on sätestatud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete […] sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

9        Määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõigetes 1–3 on sätestatud:

„1.      Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2.      Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. […]

3.      Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.“

 Põhikohtuasi ja eelotsuse küsimused

10      NAP on Bulgaaria rahandusministri valitsemisalasse kuuluv asutus. Oma ülesannete raames, mis seisnevad muu hulgas avalik-õiguslike nõuete kindlaksmääramises, tagamises ja sissenõudmises, on ta isikuandmete vastutav töötleja isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses.

11      Meedia teavitas 15. juulil 2019, et NAP infosüsteemile on saadud loata juurdepääs ja selle küberrünnaku tagajärjel on süsteemis sisalduvad isikuandmed internetis avaldatud.

12      Need sündmused puudutasid rohkem kui kuut miljonit Bulgaaria või välisriigi kodakondsusega füüsilist isikut. Mitusada isikut, teiste hulgas põhikohtuasja kaebaja, esitasid NAP peale kaebused nõudega hüvitada mittevaraline kahju, mis on tekkinud nende isikuandmete avalikustamise tõttu.

13      Selles kontekstis esitas põhikohtuasja kaebaja Administrativen sad Sofia-gradile (Sofia linna halduskohus, Bulgaaria) kaebuse nõudega, et NAP maksaks talle kahju hüvitamiseks 1000 Bulgaaria leevi (BGN) (ligikaudu 510 eurot) isikuandmete kaitse üldmääruse artikli 82 ja Bulgaaria õigusnormide alusel. Oma nõude põhjendamiseks väitis ta, et talle on tekitatud mittevaralist kahju isikuandmetega seotud rikkumisega isikuandmete kaitse üldmääruse artikli 4 punkti 12 tähenduses, täpsemalt on rikutud turvanõudeid, mille põhjustas see, et NAP rikkus eelkõige selle määruse artikli 5 lõike 1 punktist f ning artiklitest 24 ja 32 tulenevaid kohustusi. Tema mittevaraline kahju seisneb kartuses, et tema ilma tema nõusolekuta avaldatud isikuandmeid võidakse tulevikus kuritarvitada või et ta ise langeb väljapressimise, rünnaku või isegi röövimise ohvriks.

14      NAP väitis enda kaitseks kõigepealt, et põhikohtuasja kaebaja ei ole temalt küsinud teavet selle kohta, millised andmed konkreetselt on avalikustatud. Seejärel esitas NAP dokumendid, mis tõendavad, et ta võttis kõik vajalikud eelnevad meetmed, et hoida ära tema infosüsteemis sisalduvate isikuandmetega seotud rikkumine, ning hilisemad meetmed, et piirata rikkumise mõju ja rahustada kodanikke. Lisaks leiab NAP, et väidetava mittevaralise kahju ja nimetatud rikkumise vahel puudub põhjuslik seos. Lõpuks väitis ta, et kuna ta ise langes pahatahtliku rünnaku ohvriks, mille panid toime isikud, kes ei olnud tema töötajad, ei saa teda pidada vastutavaks rünnaku kahjulike tagajärgede eest.

15      Administrativen sad Sofia-grad (Sofia linna halduskohus) jättis 27. novembri 2020. aasta otsusega põhikohtuasja kaebaja kaebuse rahuldamata. Nimetatud kohus leidis esiteks, et loata juurdepääs NAP andmebaasile oli tingitud kolmandate isikute toime pandud häkkimisest, ja teiseks, et põhikohtuasja kaebaja ei ole tõendanud NAP tegevusetust turvameetmete võtmisel. Lisaks leidis ta, et kaebajale ei ole tekitatud mittevaralist kahju, mille eest oleks tal õigus nõuda hüvitist.

16      Põhikohtuasja kaebaja esitas selle kohtuotsuse peale kassatsioonkaebuse Varhoven administrativen sadile (Bulgaaria kõrgeim halduskohus), kes on käesolevas kohtuasjas eelotsusetaotluse esitanud kohus. Kassatsioonkaebuse põhjenduseks väidab ta, et esimese astme kohus rikkus õigusnormi, kui ta jaotas NAP võetud turvameetmetega seotud tõendamiskoormise, ja et NAP ei ole tõendanud, et ta ei olnud selles osas tegevusetu. Lisaks väidab põhikohtuasja kaebaja, et kartus, et tema isikuandmeid võidakse tulevikus kuritarvitada, kujutab endast tegelikku, mitte hüpoteetilist mittevaralist kahju. NAP vaidleb kõigile neile argumentidele vastu.

17      Eelotsusetaotluse esitanud kohus peab kõigepealt silmas võimalust, et ainuüksi isikuandmetega seotud rikkumise tuvastamine võimaldab järeldada, et andmete vastutava töötleja võetud meetmed ei olnud „asjakohased“ isikuandmete kaitse üldmääruse artiklite 24 ja 32 tähenduses.

18      Kui selle tuvastamine ei ole niisugusele järeldusele jõudmiseks siiski piisav, küsib eelotsusetaotluse esitanud kohus esiteks, millise ulatusega kontrolli peab liikmesriigi kohus meetmete asjakohasuse hindamisel teostama, ja teiseks, milliseid tõendite kogumise nõudeid tuleb selles olukorras kohaldada nii tõendamiskoormise kui ka tõendamisvahendite osas, eelkõige juhul, kui kohtule on esitatud kahju hüvitamise nõue selle määruse artikli 82 alusel.

19      Seejärel soovib see kohus selgitust, kas nimetatud määruse artikli 82 lõiget 3 arvestades kujutab asjaolu, et isikuandmetega seotud rikkumine on tingitud kolmandate isikute tegevusest, antud juhul küberrünnakust, endast tegurit, mis süstemaatiliselt vabastab andmete vastutava töötleja vastutusest andmesubjektile tekitatud kahju eest.

20      Lõpuks küsib eelotsusetaotluse esitanud kohus, kas ainuüksi isiku kartus, et tema isikuandmeid võidakse tulevikus kuritarvitada, antud juhul tingituna loata juurdepääsust andmetele ja nende avalikustamisest küberkurjategijate poolt, võib kujutada endast „mittevaralist kahju“ isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses. Jaatava vastuse korral ei pea see isik tõendama, et kolmandad isikud on neid andmeid enne kahju hüvitamise nõude esitamist õigusvastaselt kasutanud, näiteks tema identiteeti kuritarvitanud.

21      Neil asjaoludel otsustas Varhoven administrativen sad (kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas [isikuandmete kaitse üldmääruse] artikleid 24 ja 32 tuleb tõlgendada nii, et võetud tehniliste ja korralduslike meetmete mitteasjakohasuse eeldamiseks piisab sellest, et isikuandmete loata avalikustamine või neile juurdepääs [isikuandmete kaitse üldmääruse] artikli 4 punkti 12 tähenduses on põhjustatud isikute poolt, kes ei ole isikuandmete vastutava töötleja administratsiooni töötajad ega allu tema kontrollile?

2.      Juhul, kui vastus esimesele küsimusele on eitav, siis milline peab olema õiguspärasuse kohtuliku kontrolli ese ja ulatus hindamaks, kas vastutava töötleja võetud tehnilised ja korralduslikud meetmed on [isikuandmete kaitse üldmääruse] artikli 32 kohaselt asjakohased?

3.      Juhul, kui vastus esimesele küsimusele on eitav, siis kas vastutuse põhimõtet, mis on sätestatud [isikuandmete kaitse üldmääruse] artikli 5 lõikes 2 ja artiklis 24 koostoimes põhjendusega 74, võib tõlgendada nii, et kõnealuse määruse artikli 82 lõike 1 kohases kaebemenetluses lasub vastutaval töötlejal kohustus tõendada, et määruse artikli 32 kohaselt võetud tehnilised ja korralduslikud meetmed on asjakohased?

Kas eksperdiarvamuse küsimist võib pidada vajalikuks ja piisavaks tõendiks, et tuvastada, kas vastutava töötleja võetud tehnilised ja korralduslikud meetmed olid asjakohased niisugusel juhul nagu käesolevas asjas, mil isikuandmetele loata juurdepääs ja nende avalikustamine toimusid häkkerite rünnaku tagajärjel?

4.      Kas [isikuandmete kaitse üldmääruse] artikli 82 lõiget 3 tuleb tõlgendada nii, et isikuandmete loata avalikustamine või neile juurdepääs [isikuandmete kaitse üldmääruse] artikli 4 punkti 12 tähenduses, mille – nagu käesoleval juhul – oli põhjustanud häkkerite rünnak, mille korraldasid isikud, kes ei ole vastutava töötleja administratsiooni töötajad ega allu tema kontrollile, kujutab endast asjaolu, mille eest ei ole vastutav töötleja mingil viisil vastutav ja mis annab õiguse vastutusest vabastamiseks?

5.      Kas [isikuandmete kaitse üldmääruse] artikli 82 lõikeid 1 ja 2 koostoimes põhjendustega 85 ja 146 võib tõlgendada nii, et niisugusel juhul nagu käesolevas asjas, mil isikuandmete kaitse rikkumine seisnes isikuandmetele loata juurdepääsus ja nende levitamises häkkerite rünnaku tagajärjel, kuuluvad üksnes andmesubjekti kogetud mure, kartus ja hirm isikuandmete võimaliku tulevase kuritarvitamise pärast mittevaralise kahju laialt tõlgendatava mõiste alla ning annavad õiguse nõuda kahju hüvitamist, kui niisugust kuritarvitust ei ole tuvastatud ja/või andmesubjektile ei ole tekkinud muud kahju?“

 Eelotsuse küsimuste analüüs

 Esimene küsimus

22      Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt selgitust, kas isikuandmete kaitse üldmääruse artikleid 24 ja 32 tuleb tõlgendada nii, et isikuandmete loata avalikustamine „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääs neile andmetele on iseenesest piisav, et asuda seisukohale, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ nende artiklite 24 ja 32 tähenduses.

23      Sissejuhatuseks olgu märgitud, et väljakujunenud kohtupraktika kohaselt tuleb sellist liidu õigusnormi nagu isikuandmete kaitse üldmääruse artiklid 24 ja 32, mis nende sisu ja ulatuse täpsustamiseks ei viita sõnaselgelt liikmesriikide õigusele, üldjuhul kogu liidus tõlgendada autonoomselt ja ühetaoliselt ning niisuguse tõlgendamise käigus ei tule arvestada mitte üksnes sätte sõnastust, vaid ka konteksti ning selle õigusakti eesmärke, mille osaks säte on (vt selle kohta 18. jaanuari 1984. aasta kohtuotsus Ekro, 327/82, EU:C:1984:11, punkt 11; 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punktid 47 ja 48, ning 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 29).

24      Mis puudutab esiteks asjasse puutuvate sätete sõnastust, siis tuleb märkida, et isikuandmete kaitse üldmääruse artiklis 24 on ette nähtud isikuandmete vastutaval töötlejal lasuv üldine kohustus rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete töötlemine kooskõlas selle määrusega ja suuta seda tõendada.

25      Selleks on artikli 24 lõikes 1 loetletud teatavad kriteeriumid, mida tuleb selliste meetmete asjakohasuse hindamisel arvesse võtta, nimelt töötlemise laad, ulatus, kontekst ja eesmärgid ning füüsiliste isikute õigusi ja vabadusi ähvardavad erineva tõenäosuse ja suurusega ohud. Selles sättes on lisatud, et vajaduse korral vaadatakse need meetmed läbi ja neid ajakohastatakse.

26      Seda silmas pidades on isikuandmete kaitse üldmääruse artiklis 32 täpsustatud vastutava töötleja ja võimaliku volitatud töötleja kohustusi seoses töötlemise turvalisusega. Nii on selle artikli lõikes 1 sätestatud, et need töötlejad peavad rakendama käesoleva kohtuotsuse eelmises punktis nimetatud ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades töötlemise laadi, ulatust, konteksti ja eesmärke.

27      Samuti on selle artikli lõikes 2 sätestatud, et vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile loata juurdepääsu.

28      Lisaks on nii selle määruse artikli 24 lõikes 3 kui ka artikli 32 lõikes 3 märgitud, et vastutav töötleja või volitatud töötleja võib nende artiklite lõikes 1 osutatud nõuete järgimise tõendamiseks tugineda asjaolule, et ta kohaldab nimetatud määruse artiklis 40 osutatud heakskiidetud toimimisjuhendit või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi.

29      Isikuandmete kaitse üldmääruse artikli 32 lõigetes 1 ja 2 sisalduv viide „ohule vastava turvalisuse tasemele“ ja „vajalikule turvalisuse tasemele“ annab tunnistust sellest, et selle määrusega on kehtestatud riskijuhtimissüsteem ja see ei tähenda mingil juhul isikuandmetega seotud rikkumiste ohu kõrvaldamist.

30      Nii nähtub isikuandmete kaitse üldmääruse artiklite 24 ja 32 sõnastusest, et need sätted piirduvad sellega, et kohustavad vastutavat töötlejat võtma tehnilisi ja korralduslikke meetmeid, mille eesmärk on vältida nii palju kui võimalik igasugust isikuandmetega seotud rikkumist. Meetmete asjakohasust tuleb hinnata konkreetselt, kontrollides, kas vastutav töötleja on neid meetmeid rakendanud, võttes arvesse nimetatud artiklites osutatud erinevaid kriteeriume ja asjaomase töötlemisega konkreetselt seotud andmekaitsevajadusi ning vastutava töötlejaga kaasnevaid riske.

31      Järelikult ei saa isikuandmete kaitse üldmääruse artikleid 24 ja 32 mõista nii, et isikuandmete loata avalikustamine kolmanda isiku poolt või selle isiku loata juurdepääs sellistele andmetele on piisav järeldamaks, et vastutava töötleja võetud meetmed ei olnud asjakohased nende sätete tähenduses, ilma et töötlejal oleks võimalik esitada vastupidiseid tõendeid.

32      Selline tõlgendus peab paika seda enam, et isikuandmete kaitse üldmääruse artiklis 24 on sõnaselgelt ette nähtud, et vastutav töötleja peab suutma tõendada, et tema võetud meetmed on selle määrusega kooskõlas – sellest võimalusest jääks ta ilma, kui aktsepteeritaks ümberlükkamatut eeldust.

33      Teiseks toetavad isikuandmete kaitse üldmääruse artiklite 24 ja 32 sellist tõlgendust kontekstipõhised ja teleoloogilised asjaolud.

34      Mis puudutab kõigepealt nende kahe artikli konteksti, siis tuleb märkida, et isikuandmete kaitse üldmääruse artikli 5 lõikest 2 tuleneb, et vastutav töötleja peab suutma tõendada, et ta on järginud selle artikli lõikes 1 sätestatud isikuandmete töötlemise põhimõtteid. Seda kohustust on korratud ja täpsustatud selle määruse artikli 24 lõigetes 1 ja 3 ning artikli 32 lõikes 3 seoses kohustusega võtta tehnilisi ja korralduslikke meetmeid, et kaitsta neid andmeid vastutava töötleja poolse töötlemise käigus. Kohustusel tõendada nende meetmete asjakohasust ei oleks aga mõtet, kui vastutav töötleja oleks kohustatud takistama nende andmete mis tahes kahjustamist.

35      Lisaks on isikuandmete kaitse üldmääruse põhjenduses 74 rõhutatud, kui oluline on, et vastutav töötleja võtaks asjakohaseid ja tõhusaid meetmeid ning et ta oleks võimeline tõendama töötlemise toimingute kooskõla selle määrusega, sealhulgas meetmete tõhusust, mille puhul tuleks arvesse võtta kriteeriume, mis on seotud töötlemise laadi ja sellega kaasneva ohuga, nagu on ka sätestatud artiklites 24 ja 32.

36      Samuti on selle määruse põhjenduses 76 märgitud, et ohu tõenäosus ja tõsidus sõltuvad andmetöötluse eripärast ja seda ohtu tuleks objektiivselt hinnata.

37      Lisaks tuleneb isikuandmete kaitse üldmääruse artikli 82 lõigetest 2 ja 3, et kuigi vastutav töötleja vastutab kahju eest, mille on põhjustanud isikuandmete töötlemine, millega on seda määrust rikutud, on ta siiski vastutusest vabastatud, kui ta tõendab, et ta ei ole kahju põhjustanud sündmuse eest mingil viisil vastutav.

38      Peale selle toetab käesoleva kohtuotsuse punktis 31 esitatud tõlgendust ka isikuandmete kaitse üldmääruse põhjendus 83, mille esimeses lauses on märgitud, et „[t]urvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid“. Sellega väljendas liidu seadusandja oma kavatsust „leevendada“ isikuandmete rikkumise ohtu, väitmata, et neid oleks võimalik kõrvaldada.

39      Eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikleid 24 ja 32 tuleb tõlgendada nii, et isikuandmete loata avalikustamine „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääs neile andmetele ei ole iseenesest piisav, et asuda seisukohale, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ nende artiklite 24 ja 32 tähenduses.

 Teine küsimus

40      Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 32 tuleb tõlgendada nii, et seda, kas vastutava töötleja poolt selle artikli alusel rakendatud tehnilised ja korralduslikud meetmed on asjakohased, peavad liikmesriigi kohtud hindama konkreetselt, võttes eelkõige arvesse asjaomase töötlemisega seotud ohtusid.

41      Sellega seoses tuleb korrata, et – nagu on rõhutatud esimesele küsimusele vastamisel – isikuandmete kaitse üldmääruse artikkel 32 nõuab, et vastutav töötleja ja volitatud töötleja rakendaksid ohule vastava turvalisuse taseme tagamiseks vastavalt vajadusele asjakohaseid tehnilisi ja korralduslikke meetmeid, arvestades lõikes 1 sätestatud hindamiskriteeriume. Lisaks on selle artikli lõikes 2 teatavate asjakohaste tegurite mitteammendav loetelu, mille alusel hinnatakse vajalikku turvalisuse taset seoses asjaomase töötlemisega kaasnevate ohtudega.

42      Artikli 32 lõigetest 1 ja 2 nähtub, et tehniliste ja korralduslike meetmete asjakohasust tuleb hinnata kahes etapis. Esimesena tuleb tuvastada isikuandmetega seotud rikkumise ohud, mis asjaomase töötlemisega kaasnevad, ning nende võimalikud tagajärjed füüsiliste isikute õigustele ja vabadustele. Hindamine tuleb läbi viia konkreetselt, võttes arvesse tuvastatud ohtude tõenäosuse astet ja suurusjärku. Teisena tuleb kontrollida, kas vastutava töötleja rakendatavad meetmed on kohandatud nendele ohtudele, võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke.

43      Vastutaval töötlejal on küll teatav kaalutlusruum, et määrata kindlaks asjakohased tehnilised ja korralduslikud meetmed, et tagada ohule vastav turvalisuse tase, nagu nõuab isikuandmete kaitse üldmääruse artikli 32 lõige 1. Samas on ka selge, et liikmesriigi kohtul peab olema võimalik hinnata vastutava töötleja antud keerulist hinnangut ja seda tehes veenduda, et vastutava töötleja valitud meetmed on sellise turvalisuse taseme tagamiseks sobivad.

44      Selline tõlgendus tagab ühtlasi ühelt poolt isikuandmete tõhusa kaitse, mida on rõhutatud selle määruse põhjendustes 11 ja 74, ja teiselt poolt õiguse tõhusale õiguskaitsevahendile vastutava töötleja vastu, mida kaitseb määruse artikli 79 lõige 1 koostoimes sama määruse põhjendusega 4.

45      Järelikult ei tohi liikmesriigi kohus isikuandmete kaitse üldmääruse artikli 32 alusel võetud tehniliste ja korralduslike meetmete asjakohasuse kontrollimisel piirduda tuvastamisega, kuidas vastutav töötleja kavatses sellest artiklist tulenevaid kohustusi täita, vaid ta peab kontrollima neid meetmeid sisuliselt, võttes arvesse kõiki selles artiklis nimetatud kriteeriume, juhtumi konkreetseid asjaolusid ja tõendeid, mis sellel kohtul selle kohta on.

46      Selliseks kontrollimiseks on vaja konkreetselt analüüsida nii vastutava töötleja võetud meetmete laadi kui ka sisu, viisi, kuidas meetmeid kohaldati, ja nende praktilist mõju turvalisuse tasemele, mille vastutav töötleja pidi tagama, võttes arvesse töötlemisega kaasnevaid riske.

47      Järelikult tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 32 tuleb tõlgendada nii, et seda, kas vastutava töötleja poolt selle artikli alusel rakendatud tehnilised ja korralduslikud meetmed on asjakohased, peavad liikmesriigi kohtud hindama konkreetselt, võttes arvesse asjaomase töötlemisega seotud ohtusid ja hinnates, kas meetmete laad, sisu ja rakendamine on nende ohtudega vastavuses.

 Kolmas küsimus

 Kolmanda küsimuse esimene osa

48      Kolmanda küsimuse esimeses osas küsib eelotsusetaotluse esitanud kohus sisuliselt selgitust, kas vastutava töötleja vastutuse põhimõtet, mis on sätestatud isikuandmete kaitse üldmääruse artikli 5 lõikes 2 ja mida täpsustab artikkel 24, tuleb tõlgendada nii, et selle määruse artiklil 82 põhineva kahju hüvitamise nõude esitamise korral lasub vastutaval töötlejal kohustus tõendada, et turvameetmed, mida ta on võtnud selle määruse artikli 32 kohaselt, on asjakohased.

49      Sellega seoses tuleb esiteks märkida, et isikuandmete kaitse üldmääruse artikli 5 lõikes 2 on sätestatud vastutuse põhimõte, mille kohaselt vastutav töötleja vastutab selle artikli lõikes 1 sätestatud isikuandmete töötlemise põhimõtete järgimise eest, ning selles on ette nähtud, et vastutav töötleja peab suutma tõendada, et neid põhimõtteid on järgitud.

50      Eelkõige peab vastutav töötleja vastavalt isikuandmete terviklikkuse ja konfidentsiaalsuse põhimõttele, mis on sätestatud selle määruse artikli 5 lõike 1 punktis f, tagama, et neid andmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid, ning suutma tõendada, et seda põhimõtet järgitakse.

51      Samuti tuleb toonitada, et nii isikuandmete kaitse üldmääruse artikli 24 lõige 1 koostoimes määruse põhjendusega 74 kui ka määruse artikli 32 lõige 1 kohustavad vastutavat töötlejat, kui ta töötleb isikuandmeid ise või kui seda tehakse tema nimel, rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada, et töötlemine toimub kooskõlas selle määrusega.

52      Isikuandmete kaitse üldmääruse artikli 5 lõike 2, artikli 24 lõike 1 ja artikli 32 lõike 1 sõnastusest nähtub ühemõtteliselt, et vastutaval töötlejal lasub kohustus tõendada, et isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse selle määruse artikli 5 lõike 1 punkti f ja artikli 32 tähenduses (vt analoogia alusel 4. mai 2023. aasta kohtuotsus Bundesrepublik Deutschland (kohtu elektrooniline postkast), C‑60/22, EU:C:2023:373, punktid 52 ja 53, ning 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 95).

53      Need kolm artiklit näevad seega ette üldkohaldatava reegli, mida tuleb juhul, kui isikuandmete kaitse üldmääruses ei ole sätestatud teisiti, kohaldada ka selle määruse artiklil 82 põhineva kahju hüvitamise nõude raames.

54      Teiseks tuleb tõdeda, et eeltoodud grammatilist tõlgendust toetab isikuandmete kaitse üldmäärusega taotletavate eesmärkide arvessevõtmine.

55      Ühest küljest, kuna isikuandmete kaitse üldmääruses ette nähtud kaitse tase sõltub isikuandmete vastutavate töötlejate võetud turvameetmetest, tuleb neid selle kaudu, et nad peavad tõendama meetmete asjakohasust, suunata tegema kõik neist oleneva, et ära hoida isikuandmete töötlemise toimingud, mis ei ole selle määrusega kooskõlas.

56      Teisest küljest, kui asuda seisukohale, et meetmete asjakohasuse tõendamise koormis lasub andmesubjektidel, nagu nad on määratletud isikuandmete kaitse üldmääruse artikli 4 punktis 1, siis selle tagajärjel jääks määruse artikli 82 lõikes 1 ette nähtud õigus hüvitisele ilma suurest osast oma soovitavast toimest, samas kui liidu seadusandja soovis tugevdada nii nende isikute õigusi kui ka vastutavate töötlejate kohustusi võrreldes enne seda määrust kehtinud sätetega, nagu on märgitud määruse põhjenduses 11.

57      Seega tuleb kolmanda küsimuse esimesele osale vastata, et vastutava töötleja vastutuse põhimõtet, mis on sätestatud isikuandmete kaitse üldmääruse artikli 5 lõikes 2 ja mida täpsustab artikkel 24, tuleb tõlgendada nii, et selle määruse artiklil 82 põhineva kahju hüvitamise nõude esitamise korral lasub vastutaval töötlejal kohustus tõendada, et turvameetmed, mida ta on võtnud selle määruse artikli 32 kohaselt, on asjakohased.

 Kolmanda küsimuse teine osa

58      Kolmanda küsimuse teise osaga soovib eelotsusetaotluse esitanud kohus sisuliselt selgitust, kas isikuandmete kaitse üldmääruse artiklit 32 ja liidu õiguse tõhususe põhimõtet tuleb tõlgendada nii, et nende turvameetmete asjakohasuse hindamiseks, mida vastutav töötleja on selle artikli alusel rakendanud, on kohtuekspertiis vajalik ja piisav tõendusvahend.

59      Sellega seoses on oluline meelde tuletada, et väljakujunenud kohtupraktikast ilmneb, et kui konkreetses valdkonnas puuduvad liidu õigusnormid, tuleb õigussubjektide õiguste kaitse tagamiseks mõeldud kohtuasjade menetluslikke aspekte menetlusautonoomia põhimõtte kohaselt reguleerida iga liikmesriigi sisemises õiguskorras, kuid seda siiski tingimusel, et need õigusnormid ei ole liidu õiguse kohaldamisalasse kuuluvates olukordades vähem soodsad kui normid, mis reguleerivad riigisisese õiguse kohaldamisalasse kuuluvaid sarnaseid olukordi (võrdväärsuse põhimõte), ning need ei muuda liidu õigusega antud õiguste kasutamist praktiliselt võimatuks ega ülemäära keeruliseks (tõhususe põhimõte) (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 53 ja seal viidatud kohtupraktika).

60      Käesoleval juhul tuleb toonitada, et isikuandmete kaitse üldmääruses ei ole sätestatud eeskirju, mis käsitlevad sellise tõendi nagu kohtuekspertiis lubatavust ja tõendusjõudu ning mida peavad kohaldama liikmesriigi kohtud, kes menetlevad selle määruse artikli 82 alusel esitatud kahju hüvitamise nõuet ja kelle ülesanne on määruse artikli 32 alusel hinnata, kas turvameetmed, mida asjaomane vastutav töötleja on rakendanud, on asjakohased. Seega, vastavalt käesoleva kohtuotsuse eelmises punktis selgitatule ja kuna vastavat valdkonda reguleerivad liidu õigusnormid puuduvad, tuleb iga liikmesriigi õiguskorras kehtestada menetlusnormid selliste nõuete läbivaatamiseks, mille eesmärk on tagada isikutele artikliga 82 antud õiguste kaitse, muu hulgas normid, mis käsitlevad tõendamisvahendeid, mis võimaldavad selles kontekstis hinnata meetmete asjakohasust, tingimusel et järgitakse võrdväärsuse ja tõhususe põhimõtteid (vt analoogia alusel 21. juuni 2022. aasta kohtuotsus Ligue des droits humains, C‑817/19, EU:C:2022:491, punkt 297, ja 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 54).

61      Käesolevas menetluses ei ole Euroopa Kohtule teada ühtegi asjaolu, mis tekitaks kahtlusi võrdväärsuse põhimõtte järgimises. Tõhususe põhimõttele vastavuse küsimuses on olukord teistsugune, kuna juba kolmanda küsimuse teise osa sõnastuses endas on kohtuekspertiisi nimetatud „vajalikuks ja piisavaks tõendiks“.

62      Eelkõige võib tõhususe põhimõtet rikkuda liikmesriigi menetlusnorm, mille kohaselt on süstemaatiliselt „vajalik“, et riigisisene kohus määraks kohtuekspertiisi. Nimelt võib ekspertiisi süstemaatiline määramine osutuda ülearuseks, arvestades asja menetleval kohtul olevaid muid tõendeid, eelkõige – nagu märkis Bulgaaria valitsus oma kirjalikes seisukohtades – sellise isikuandmete kaitse meetmete järgimise kontrolli tulemusi, mille viis läbi sõltumatu ja seaduse alusel asutatud asutus, tingimusel et kontroll on tehtud hiljuti, kuna need meetmed tuleb isikuandmete kaitse üldmääruse artikli 24 lõike 1 kohaselt vajaduse korral uuesti läbi vaadata ja ajakohastada.

63      Lisaks, nagu Euroopa Komisjon oma kirjalikes seisukohtades märkis, võib tõhususe põhimõtte rikkumine esineda juhul, kui sõna „piisav“ tuleks mõista nii, et see tähendab, et liikmesriigi kohus peab ainuüksi või automaatselt kohtuekspertiisi aruandest järeldama, et asjaomase vastutava töötleja võetud turvameetmed on isikuandmete kaitse üldmääruse artikli 32 tähenduses „asjakohased“. Selle määrusega antud õiguste kaitse, mida püütakse saavutada tõhususe põhimõtte kaudu, eriti selle määruse artikli 79 lõikega 1 tagatud õigus tõhusale õiguskaitsevahendile vastutava töötleja vastu, nõuab aga, et erapooletu kohus hindaks objektiivselt meetmete asjakohasust, selle asemel et piirduda taolise järelduse tegemisega (vt selle kohta 12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 50).

64      Eeltoodud kaalutlusi arvestades tuleb kolmanda küsimuse teisele osale vastata, et isikuandmete kaitse üldmääruse artiklit 32 ja liidu õiguse tõhususe põhimõtet tuleb tõlgendada nii, et nende turvameetmete asjakohasuse hindamiseks, mida vastutav töötleja on selle artikli alusel rakendanud, ei saa kohtuekspertiis olla süstemaatiliselt vajalik ja piisav tõend.

 Neljas küsimus

65      Neljanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 3 tuleb tõlgendada nii, et vastutav töötleja on kohustusest hüvitada isikule selle määruse artikli 82 lõigete 1 ja 2 kohaselt tekitatud kahju vabastatud ainuüksi seetõttu, et kahju tuleneb isikuandmete loata avalikustamisest „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääsust andmetele.

66      Alustuseks tuleb täpsustada, et isikuandmete kaitse üldmääruse artikli 4 punktist 10 tuleneb, et „kolmas isik“ on eelkõige mõni muu isik, kellel puudub õigus töödelda isikuandmeid vastutava töötleja või volitatud töötleja otseses alluvuses. See määratlus hõlmab isikuid, kes ei ole vastutava töötleja töötajad ega ole vastutava töötleja kontrolli all, näiteks isikuid, kellele on esitatud küsimuses viidatud.

67      Seejärel tuleb esiteks osundada isikuandmete kaitse üldmääruse artikli 82 lõiget 2, kus on sätestatud, et „töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse [seda] määrust“, ja selle artikli lõiget 3, kus on ette nähtud, et vastutav töötleja või olenevalt olukorrast volitatud töötleja on sellisest vastutusest vabastatud, „kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest“.

68      Lisaks on isikuandmete kaitse üldmääruse põhjenduse 146, mis puudutab konkreetselt artiklit 82, esimeses ja teises lauses märgitud, et „[v]astutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole [selle] määrusega kooskõlas“ ja „tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav“.

69      Nendest sätetest tuleneb ühelt poolt, et vastutav töötleja peab üldjuhul hüvitama kahju, mille põhjustas töötlemine, mis ei ole selle määrusega kooskõlas, ja teiselt poolt, et ta vabastatakse vastutusest üksnes siis, kui ta tõendab, et ta ei ole kahju põhjustanud sündmuse eest mingil viisil vastutav.

70      Seega, nagu näitab sõnade „mingil viisil“ sõnaselge lisamine seadusandliku menetluse käigus, peavad asjaolud, mille korral vastutav töötleja võib nõuda, et teda vabastataks tsiviilvastutusest, mis on talle pandud isikuandmete kaitse üldmääruse artikliga 82, rangelt piirduma asjaoludega, millega vastutav töötleja suudab tõendada, et tema ise ei ole kahju eest vastutav.

71      Kui – nagu käesolevas asjas – isikuandmetega seotud rikkumise isikuandmete kaitse üldmääruse artikli 4 punkti 12 tähenduses panid toime küberkurjategijad ja seega „kolmandad isikud“ selle määruse artikli 4 punkti 10 tähenduses, ei saa vastutavat töötlejat pidada rikkumise eest vastutavaks, välja arvatud juhul, kui ta tegi rikkumise võimalikuks, eirates isikuandmete kaitse üldmääruses ette nähtud kohustust, eelkõige talle sama määruse artikli 5 lõike 1 punktiga f ning artiklitega 24 ja 32 pandud andmekaitsekohustust.

72      Seega, kui isikuandmetega seotud rikkumise paneb toime kolmas isik, võib vastutav töötleja isikuandmete kaitse üldmääruse artikli 82 lõike 3 alusel vastutusest vabaneda, kui ta tõendab, et puudub põhjuslik seos tema andmekaitsekohustuse võimaliku rikkumise ja füüsilisele isikule tekitatud kahju vahel.

73      Teiseks on artikli 82 lõike 3 eelnev tõlgendus kooskõlas ka isikuandmete kaitse üldmääruse eesmärgiga – mis sisaldub põhjendustes 10 ja 11 – tagada füüsiliste isikute kõrgetasemeline kaitse nende isikuandmete töötlemisel.

74      Kõiki neid kaalutlusi arvestades tuleb neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 3 tuleb tõlgendada nii, et vastutavat töötlejat ei saa kohustusest hüvitada isikule selle määruse artikli 82 lõigete 1 ja 2 kohaselt tekitatud kahju vabastada ainuüksi seetõttu, et kahju tuleneb isikuandmete loata avalikustamisest „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääsust andmetele, kuna selleks peab vastutav töötleja tõendama, et ta ei ole kahju põhjustanud sündmuse eest mingil viisil vastutav.

 Viies küsimus

75      Viienda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et ainuüksi andmesubjekti kartus, et kolmas isik võib tema isikuandmeid kuritarvitada, mida ta kogeb määruse rikkumise tagajärjel, võib kujutada endast „mittevaralist kahju“ selle sätte tähenduses.

76      Esiteks tuleb isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusega seoses täheldada, et selles on ette nähtud, et „[i]gal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“.

77      Sellega seoses on Euroopa Kohus esile toonud, et isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusest nähtub selgelt, et „kantud kahju“ või „tekitatud kahju“ olemasolu on üks selles sättes ette nähtud hüvitise saamise õiguse tingimustest, nagu ka selle määruse rikkumise esinemine ning põhjuslik seos kahju ja rikkumise vahel, kusjuures need kolm tingimust on kumulatiivsed (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 32).

78      Lisaks on Euroopa Kohus nii grammatilistele, süstemaatilistele kui ka teleoloogilistele kaalutlustele tuginedes isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tõlgendanud nii, et sellega on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses „mittevaralise kahju“ hüvitamine, et andmesubjektile tekkinud kahju oleks teatud raskusastmega (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 51).

79      Seda arvestades tuleb käesoleval juhul rõhutada, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ei tehta vahet juhtumitel, kus pärast selle määruse sätete tuvastatud rikkumist on andmesubjekti väidetav „mittevaraline kahju“ ühel juhul seotud tema isikuandmete kuritarvitamisega kolmandate isikute poolt, mis on tema kahju hüvitamise nõude esitamise kuupäevaks juba aset leidnud, või teisel juhul seotud selle isiku kogetava hirmuga, et kuritarvitamine võib aset leida tulevikus.

80      Seega ei ole isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusega välistatud, et selles sättes sisalduv mõiste „mittevaraline kahju“ hõlmab sellist olukorda, nagu on kirjeldanud eelotsusetaotluse esitanud kohus, kus andmesubjekt tugineb selle sätte alusel hüvitise saamiseks oma kartusele, et kolmandad isikud hakkavad tulevikus tema isikuandmeid kuritarvitama, kuna on toimunud selle määruse rikkumine.

81      Teiseks kinnitab seda grammatilist tõlgendust isikuandmete kaitse üldmääruse põhjendus 146, mis käsitleb konkreetselt artikli 82 lõikes 1 ette nähtud õigust hüvitisele ja mille kolmandas lauses on märgitud, et „[k]ahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult [selle] määruse eesmärke“. Artikli 82 lõikes 1 sisalduva mõiste „mittevaraline kahju“ tõlgendus, mis ei hõlma olukordi, kus isik, keda nimetatud määruse rikkumine puudutab, tugineb kartusele, et tema isikuandmeid võidakse tulevikus hakata kuritarvitama, ei vasta selle mõiste laiale käsitusele, mida on soovinud liidu seadusandja (vt analoogia alusel 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 37 ja 46).

82      Pealegi on isikuandmete kaitse üldmääruse põhjenduse 85 esimeses lauses märgitud, et „[i]sikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, […] või mõni muu tõsine majanduslik või sotsiaalne kahju“. Sellest andmesubjektidele tekkida võivate kantud „kahjude“ või tekitatud „kahjude“ näitlikust loetelust nähtub, et liidu seadusandja soovis nende mõistetega hõlmata eelkõige lihtsalt „kontrolli kaotamist“ oma andmete üle selle määruse rikkumise tõttu, isegi kui andmete kuritarvitamine neid isikuid konkreetselt ei kahjustanud.

83      Kolmandaks ja viimaseks toetavad käesoleva kohtuotsuse punktis 80 esitatud tõlgendust isikuandmete kaitse üldmääruse eesmärgid, mida tuleb mõiste „kahju“ määratlemisel täielikult arvesse võtta, nagu on märgitud määruse põhjenduse 146 kolmandas lauses. Isikuandmete kaitse üldmääruse artikli 82 lõike 1 tõlgendus, mille kohaselt mõiste „mittevaraline kahju“ selle sätte tähenduses ei hõlma olukordi, kus andmesubjekt tugineb üksnes oma kartusele, et kolmandad isikud hakkavad tema andmeid tulevikus kuritarvitama, ei oleks aga kooskõlas selle õigusaktiga ette nähtud füüsiliste isikute kõrgetasemelise kaitse tagamisega isikuandmete töötlemisel liidus.

84      Samas on oluline rõhutada, et isik, keda isikuandmete kaitse üldmääruse rikkumine puudutab ja kellele see tekitas kahjulikke tagajärgi, peab tõendama, et need tagajärjed kujutavad endast mittevaralist kahju selle määruse artikli 82 tähenduses (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 50).

85      Eelkõige juhul, kui sel alusel hüvitist nõudev isik tugineb kartusele, et tema isikuandmeid hakatakse tulevikus kuritarvitama, kuna selline rikkumine on toimunud, peab asja menetlev liikmesriigi kohus kontrollima, kas kartust võib pidada põhjendatuks, arvestades konkreetseid asjaolusid ja andmesubjekti isikut.

86      Eeltoodud kaalutlusi arvestades tuleb viiendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et ainuüksi andmesubjekti kartus, et kolmas isik võib tema isikuandmeid kuritarvitada, mida ta kogeb määruse rikkumise tagajärjel, võib kujutada endast „mittevaralist kahju“ selle sätte tähenduses.

 Kohtukulud

87      Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:

1.      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikleid 24 ja 32

tuleb tõlgendada nii, et

isikuandmete loata avalikustamine „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääs neile andmetele ei ole iseenesest piisav, et asuda seisukohale, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ nende artiklite 24 ja 32 tähenduses.

2.      Määruse 2016/679 artiklit 32

tuleb tõlgendada nii, et

seda, kas vastutava töötleja poolt selle artikli alusel rakendatud tehnilised ja korralduslikud meetmed on asjakohased, peavad liikmesriigi kohtud hindama konkreetselt, võttes arvesse asjaomase töötlemisega seotud ohtusid ja hinnates, kas meetmete laad, sisu ja rakendamine on nende ohtudega vastavuses.

3.      Vastutava töötleja vastutuse põhimõtet, mis on sätestatud määruse 2016/679 artikli 5 lõikes 2 ja mida täpsustab artikkel 24,

tuleb tõlgendada nii, et

selle määruse artiklil 82 põhineva kahju hüvitamise nõude esitamise korral lasub vastutaval töötlejal kohustus tõendada, et turvameetmed, mida ta on võtnud selle määruse artikli 32 kohaselt, on asjakohased.

4.      Määruse 2016/679 artiklit 32 ja liidu õiguse tõhususe põhimõtet

tuleb tõlgendada nii, et

nende turvameetmete asjakohasuse hindamiseks, mida vastutav töötleja on selle artikli alusel rakendanud, ei saa kohtuekspertiis olla süstemaatiliselt vajalik ja piisav tõend.

5.      Määruse 2016/679 artikli 82 lõiget 3

tuleb tõlgendada nii, et

vastutavat töötlejat ei saa kohustusest hüvitada isikule selle määruse artikli 82 lõigete 1 ja 2 kohaselt tekitatud kahju vabastada ainuüksi seetõttu, et kahju tuleneb isikuandmete loata avalikustamisest „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääsust andmetele, kuna selleks peab vastutav töötleja tõendama, et ta ei ole kahju põhjustanud sündmuse eest mingil viisil vastutav.

6.      Määruse 2016/679 artikli 82 lõiget 1

tuleb tõlgendada nii, et

ainuüksi andmesubjekti kartus, et kolmas isik võib tema isikuandmeid kuritarvitada, mida ta kogeb määruse rikkumise tagajärjel, võib kujutada endast „mittevaralist kahju“ selle sätte tähenduses.

Allkirjad

*      Kohtumenetluse keel: bulgaaria.