1.

Šiuo prašymu priimti prejudicinį sprendimą siekiama, kad būtų išaiškinti tokie Reglamento (ES) 2016/679 ( 2 ) aspektai: a) su sveikata susijusių asmens duomenų tvarkymas ir b) žalos, patirtos dėl (tariamo) BDAR pažeidimo, atlyginimas.

2.

Nors Teisingumo Teismas jau yra nusprendęs dėl BDAR nuostatų ( 3 ), susijusių su šiais klausimais, šiame prašyme priimti prejudicinį sprendimą pateikti klausimai, išskyrus ketvirtąjį ( 4 ), yra nauji.

3.

Šiai bylai yra svarbios BDAR 4, 10, 35, 51–54 ir 146 konstatuojamosios dalys.

4.

9 straipsnyje („Specialių kategorijų asmens duomenų tvarkymas“) nustatyta:

„1.   Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

2.   1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

<…>

<…>

<…>

3.   1 dalyje nurodyti asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį.

4.   Valstybės narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui.“

5.

82 straipsnyje („Teisė į kompensaciją ir atsakomybė“) numatyta:

„1.   Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.

<…>

3.   Duomenų valdytojas arba duomenų tvarkytojas atleidžiami nuo atsakomybės pagal 2 dalį, jeigu jis įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.

<…>“

6.

278 straipsnio 1 dalies pirmame sakinyje nurodyta, kad kiekvienoje Vokietijos federalinėje žemėje kaip viešosios teisės įstaiga įsteigiama medicinos tarnyba ( 6 ) prie ligonių kasų ( 7 ). Vienas iš jos uždavinių, pavestų įstatymu, yra rengti išvadas siekiant išsklaidyti abejones dėl apdraustųjų nedarbingumo.

7.

275 straipsnio 1 dalies pirmo sakinio 3 punkto b papunktyje nustatyta, kad KV tam tikrais atvejais privalo gauti iš atitinkamos MDK išvadą, kurios paskirtis – išsklaidyti abejones dėl apdraustųjų nedarbingumo tuomet, kai yra gydytojo pažyma, patvirtinanti, kad apdraustasis yra nedarbingas.

8.

Nuo 1991 m. ZQ dirbo Šiaurės Reino (Vokietija) MDK IT skyriuje sistemų administratoriumi ir „Helpdesk“ konsultantu.

9.

MDK rengia išvadas dėl KV apdraustųjų nedarbingumo. Tokios išvados gali būti rengiamos ir dėl pačios MDK darbuotojų sveikatos.

10.

Duomenys tvarkomi laikantis, be kita ko, šių tarnybos vidaus instrukcijoje nustatytų taisyklių ( 8 ):

11.

Perdavus duomenis į archyvą, struktūrinio vieneto „Specialūs atvejai“ IT skyriaus darbuotojai turi prieigą prie išvadų, pateiktų vykdant pavestą užduotį dėl MDK darbuotojų; įstatymu jie įpareigoti saugoti paslaptį.

12.

Nuo 2017 m. lapkričio 22 d. ZQ nuolat sirgo ir buvo nedarbingas.

13.

Nuo 2018 m. gegužės 24 d. ( 10 ) ZQ gavo ligos išmoką iš KV, kurioje jis apdraustas. 2018 m. birželio 6 d. KV pavedė MDK pateikti išvadą, kad būtų išsklaidytos abejonės dėl ZQ nedarbingumo.

14.

MDK pavestą užduotį priėmė ir pavedė ją atlikti struktūriniam vienetui „Specialūs atvejai“. Šiam struktūriniam vienetui priklausanti MDK dirbanti gydytoja 2018 m. birželio 22 d. parengė išvadą, joje buvo nurodyta ZQ ligos diagnozė. Rengdama šią išvadą gydytoja skambino ZQ gydančiam gydytojui ir gavo iš jo atitinkamą informaciją.

15.

Išvada buvo perduota saugoti MDK elektroniniame archyve.

16.

ZQ iš gydančio gydytojo sužinojo apie MDK gydytojos skambutį.

17.

2018 m. rugpjūčio 1 d. ZQ paskambino kolegei iš MDK IT skyriaus ir paklausė, ar archyve yra saugoma išvada apie jį. Atlikusi paiešką archyve, kolegė į šį klausimą atsakė teigiamai. ZQ prašymu ji išvadą nufotografavo ir persiuntė jam nuotraukas.

18.

2018 m. rugpjūčio 15 d. ZQ nesėkmingai pareikalavo iš MDK sumokėti jam 20000 EUR dydžio kompensaciją pagal BDAR 82 straipsnį.

19.

2018 m. spalio 17 d. ZQ pareiškė ieškinį Arbeitsgericht Düsseldorf (Diuseldorfo darbo teismas, Vokietija). Šioje byloje jis prašė, be kita ko, priteisti kompensaciją, lygią negautam darbo užmokesčiui ( 11 ).

20.

Teismui nagrinėjant bylą, MDK nutraukė darbo santykius su ZQ.

21.

ZQ reikalavimai buvo atmesti ir pirmosios instancijos, ir apeliaciniame teismuose ( 12 ).

22.

ZQ pateikė kasacinį skundą Bundesarbeitsgericht (Federalinis darbo teismas, Vokietija); šis teismas Teisingumo Teismui pateikė tokius klausimus:

23.

Prašymą priimti prejudicinį sprendimą Teisingumo Teismas gavo 2021 m. lapkričio 8 d.

24.

Rašytines pastabas pateikė ZQ, MDK, Airijos ir Italijos vyriausybės, taip pat Europos Komisija.

25.

Nuspręsta, kad teismo posėdžio rengti nebūtina.

26.

Teisingumo Teismo nurodymu šioje išvadoje nebus nagrinėjamas ketvirtasis prejudicinis klausimas ( 13 ).

27.

Prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar pagal BDAR 9 straipsnio 2 dalies h punktą MDK draudžiama tvarkyti duomenis, susijusius su vieno iš jos darbuotojų sveikata, kai tokie duomenys yra būtini jo darbingumui įvertinti. Taigi jam kyla abejonių, ar duomenys tvarkomi teisėtai, atsižvelgiant į duomenis tvarkantį subjektą ( 14 ).

28.

BDAR 9 straipsnis taikomas specialių kategorijų duomenims, pavyzdžiui, duomenims, susijusiems su asmens sveikata. Jame nustatytas bendras draudimas tvarkyti „neskelbtinus“ duomenis (1 dalis) ir išsamiai išvardytos aplinkybės, kuriomis šis draudimas netaikomas (2 dalis).

29.

Konkrečiai BDAR 9 straipsnio 2 dalies h punkte numatyta bendro draudimo išimtis, susijusi su asmens duomenų tvarkymu „profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą“.

30.

Manau, kad šios nuostatos apimtis yra pakankama, kad ji būtų taikoma byloje nagrinėjamiems MDK veiksmams ( 15 ). Nesvarbu, kad duomenų valdytojas kartu yra ir duomenų subjekto darbdavys, nes MDK veikia ne kaip darbdavys, o kaip KV, kurioje buvo apdraustas duomenų subjektas, medicinos tarnyba ( 16 ).

31.

Nematau pagrindo aiškinti BDAR 9 straipsnio 2 dalies h punktą taip, kad pagal jį medicinos tarnybai draudžiama tvarkyti savo darbuotojų sveikatos duomenis šiame punkte nurodytu tikslu. Taikant įprastus aiškinimo kriterijus veikiau galima nuspręsti priešingai (kad tokio draudimo nėra).

32.

Vertinant pažodžiui, BDAR 9 straipsnio 2 dalies h punkte nenumatyta jokios išimties šiuo klausimu ir nenustatyta duomenų tvarkymo sąlygos, pagal kurią duomenų valdytojas turi būti „neutrali trečioji šalis“ ( 17 ).

33.

Iš teisės akto priėmimo istorijos ir nuostatos raidos taip pat nematyti, kad buvo taikomas toks draudimas, kaip nurodytas pirmajame prejudiciniame klausime, ar kad ketinta jį nustatyti ( 18 ).

34.

Kaip pripažino Teisingumo Teismas ( 19 ), BDAR taisyklių dėl sveikatos duomenų tvarkymo tikslas yra užtikrinti didesnę duomenų subjektų apsaugą atsižvelgiant į tai, kad šie duomenys ypač neskelbtini atitinkamų pagrindinių teisių atžvilgiu. Šiam tikslui pasiekti BDAR 9 straipsnio 1 dalyje nustatytas bendras draudimas, kuris vis dėlto nėra absoliutus ( 20 ).

35.

Šioje srityje, kaip ir kitose su asmens duomenų tvarkymu susijusiose srityse, teisės aktų leidėjas, įtvirtinęs bendrąjį draudimą, pasirinko:

36.

Vadinasi, apskritai nėra jokių kliūčių numatyti, kad viena iš minėtų konkrečių garantijų būtų MDK taikomas draudimas tvarkyti duomenis, susijusius su jos darbuotojų sveikata. Vis dėlto nemanau, kad ši galimybė (kuria Sąjungos teisės aktų leidėjas nepasinaudojo) yra būtina siekiant užtikrinti pirma nurodytą tikslą.

37.

Taigi laikausi nuomonės, kad draudimas, dėl kurio klausia prašymą priimti prejudicinį sprendimą pateikęs teismas, nėra neišvengiama pasekmė taikant teleologinį BDAR 9 straipsnio 2 dalies h punkto aiškinimą.

38.

Taip pat nemanau, kad taikant sisteminį nuostatos aiškinimą būtų galima nuspręsti kitaip, nes:

39.

Taigi į pirmąjį prejudicinį klausimą siūlau atsakyti neigiamai (t. y. kad nagrinėjamas draudimas BDAR nenumatytas), todėl galima nagrinėti kitą klausimą.

40.

Jeigu (kaip siūlau) į pirmąjį prejudicinį klausimą būtų atsakyta neigiamai, prašymą priimti prejudicinį sprendimą pateikęs teismas nori sužinoti, ar „tokiu atveju, kaip nagrinėjamas, be BDAR 9 straipsnio 3 dalyje nustatytų kriterijų, dar reikia atsižvelgti ir į kitus duomenų apsaugos reikalavimus, ir, jei taip, į kokius“.

41.

Apskritai neturėtų kilti didelių problemų pateikti atsakymą ( 26 ). Teisingumo Teismas pažymėjo, kad bet koks asmens duomenų tvarkymas turi atitikti BDAR 5 straipsnyje nurodytus principus ir tenkinti vieną iš jo 6 straipsnyje numatytų teisėtumo sąlygų ( 27 ).

42.

Prašymą priimti prejudicinį sprendimą pateikęs teismas teigia, kad siekiant užtikrinti duomenų apsaugą tokiomis aplinkybėmis, kokios susiklostė nagrinėjamoje byloje, nepakanka laikytis pareigos saugoti paslaptį (BDAR 9 straipsnio 3 dalis). Jis siūlo kitas papildomas priemones, kurios, jo nuomone, yra vienintelės tinkamos šiam tikslui ( 28 ).

43.

Manau, kad pati BDAR 9 straipsnio 3 dalis negali būti pagrindas tokioms papildomoms priemonėms priimti. Aiškus šios dalies turinys (joje tik patikslinta Direktyvoje 95/46 jau pateikta nuostata) ( 29 ) nesuteikia pagrindo pritarti tokiems pasiūlymams, kaip prašymą priimti prejudicinį sprendimą pateikusio teismo.

44.

Priešingai, šie pasiūlymai galėtų būti taikomi pagal BDAR 9 straipsnio 4 dalį. Joje numatyta, kad valstybės narės turi teisę nustatyti „papildomas sąlygas, įskaitant apribojimus, <…> sveikatos duomenų tvarkymui“ ( 30 ). Vis dėlto iš sprendimo dėl prašymo priimti prejudicinį sprendimą nematyti, kad Vokietijoje tokios sąlygos buvo nustatytos.

45.

Atsižvelgiant į tai ir dėl priežasčių, kurias išdėsčiau pirma, su sveikata susijusių asmens duomenų tvarkymui, be kitų principų, turi būti taikomas BDAR 5 straipsnio 1 dalies f punkte nustatytas principas ir iš jo kylančios pareigos, numatytos BDAR IV skyriuje.

46.

Duomenų valdytojas ( 31 ) taip pat turi priimti tinkamas technines ir organizacines priemones, skirtas užtikrinti, kad konkreti duomenų tvarkymo operacija atitiktų BDAR. Tai numatyta ir BDAR 24 straipsnio 1 dalyje.

47.

BDAR 32 straipsnio 1 dalyje duomenų valdytojui nustatyta konkreti pareiga įgyvendinti „tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas“, kai tvarkomi atitinkami asmens duomenys.

48.

Taikant šias taisykles nagrinėjamoje byloje, MDK dėl jos, kaip ZQ darbdavės, statuso tenka didesnė nei įprastai rūpestingumo pareiga tvarkant ZQ sveikatos duomenis, nes pavojus taip pat yra didesnis ( 32 ).

49.

MDK šis faktas yra žinomas. Kai KV, kurioje apdraustas MDK darbuotojas, pavedimu MDK rengia išvadas, kad būtų išsklaidytos abejonės dėl darbuotojo (ne)darbingumo, ji įgyvendina visas numatytas technines ir organizacines ad hoc priemones, kad su sveikata susijusių asmens duomenų tvarkymas atitiktų BDAR ( 33 ).

50.

Šias priemones turi įvertinti prašymą priimti prejudicinį sprendimą pateikęs teismas; atlikęs vertinimą jis gali nuspręsti, kad priemonės, kurių imtasi, nebuvo pakankamos. Vis dėlto tai nesuteikia teisės remiantis BDAR 9 straipsniu daryti išvados, kad MDK privalo ex officio atsisakyti tenkinti bet kokį KV prašymą parengti medicininę išvadą (susijusią su jos darbuotojais) ( 34 ).

51.

Jeigu į pirmąjį prejudicinį klausimą būtų atsakyta neigiamai, prašymą priimti prejudicinį sprendimą pateikęs teismas trečiuoju klausimu siekia išsiaiškinti, ar draudimo tvarkyti sveikatos duomenis išimtis priklauso nuo to, ar „<…> įvykdyta bent viena iš BDAR 6 straipsnio 1 dalyje nurodytų sąlygų“.

52.

Norint atsakyti į šį klausimą, reikia išanalizuoti BDAR 9 straipsnio 2 dalies ir BDAR 6 straipsnio, susijusio su duomenų tvarkymo teisėtumu, santykį. Būtinybė laikytis 6 straipsnio atliekant visas duomenų tvarkymo operacijas nustatyta Teisingumo Teismo sprendimuose, kuriuos jau nurodžiau ( 35 ).

53.

Konkrečiai byloje C-439/19 ( 36 ) išaiškintas BDAR 10 straipsnis, susijęs su kitos kategorijos neskelbtinais asmens duomenimis (apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas) ( 37 ), ir pripažinta, kad BDAR 6 straipsnis taikomas kartu su 10 straipsniu.

54.

Ar tą patį galima pasakyti apie asmens duomenis, numatytus BDAR 9 straipsnyje?

55.

BDAR 9 ir 10 straipsnių struktūra skiriasi. 10 straipsnyje yra aiški nuoroda į paties BDAR 6 straipsnio 1 dalį, nepateikta 9 straipsnyje.

56.

BDAR 9 straipsnio 2 dalies ir 10 straipsnio turinio taip pat negalima palyginti: 10 straipsnyje tik nurodytas subjektyvus duomenų tvarkymo apribojimas, o 9 straipsnio 2 dalyje, kaip ir 6 straipsnio 1 dalyje, nustatyti jį pateisinantys tikslai (arba aplinkybės).

57.

Iš tiesų BDAR 6 straipsnio 1 dalis ir 9 straipsnio 2 dalis yra panašios tuo, kad pirmą kartą jas skaitant atrodo, jog pastarojoje dalyje išvardytos aplinkybės patikslina pirmojoje dalyje nurodytas sąlygas: patikslina ir kartu jas sugriežtina.

58.

Vis dėlto atsižvelgiant į BDAR 9 straipsnio genezę ir raidą galima suabejoti, ar jo ir 6 straipsnio santykis gali būti paaiškintas remiantis „specialiosios teisės normos“ ir „bendrosios teisės normos“ sąvokomis.

59.

Akivaizdu, kad tam tikrų valstybių narių delegacijos iš tiesų pritarė tokiam aiškinimui ( 38 ). Vis dėlto iš dokumentų, susijusių su derybomis dėl 9 straipsnio, nematyti, kad buvo nesutariama dėl nuorodos į 6 straipsnį ( 39 ), bet nesutarimų kilo dėl nuorodos apimties (ar ji apima tik šio straipsnio 1 dalį, ar ir kitas?) ( 40 ). Galiausiai 9 straipsnyje buvo išbraukta nuoroda į 6 straipsnį ( 41 ) ir pasirinkta konstatuojamojoje dalyje palikti pastraipą, panašią į pateiktą dabartinėje BDAR 51 konstatuojamojoje dalyje ( 42 ).

60.

Europos duomenų apsaugos valdyba pritaria abiejų nuostatų kumuliatyvaus taikymo arba papildomumo idėjai ( 43 ), o vadinamoji 29 straipsnio darbo grupė šią idėją palaikė ( 44 ), aptardama Direktyvos 95/46 8 straipsnį ( 45 ). Vis dėlto teisės teoretikų ar kitų komentatorių nuomonė nėra vieninga ( 46 ).

61.

Atsižvelgdamas į įvairias BDAR 9 straipsnio 2 dalies įtraukas esu linkęs manyti, kad vieno atsakymo dėl šios nuostatos ir 6 straipsnio santykio iš tikrųjų negali būti. Iš tiesų:

62.

Taigi laikausi nuomonės, kad siekiant užtikrinti neskelbtinų duomenų tvarkymo, leidžiamo BDAR 9 straipsnio 2 dalies h punkte, teisėtumą reikia išsiaiškinti, pagal kurią 6 straipsnio 1 dalyje nurodytą sąlygą šis tvarkymas kiekvienu atveju yra teisėtas.

63.

Prašymą priimti prejudicinį sprendimą pateikęs teismas neginčija, kad taip yra, tačiau remdamasis šia prielaida jis iš esmės siekia paneigti, kad MDK vykdytą duomenų tvarkymą galima pateisinti remiantis 6 straipsniu ( 48 ).

64.

Iš pirmo žvilgsnio atrodo, kad nuostatoje pateiktų teisinių pagrindų eiliškumas nenumatytas. Atlikus išsamesnę analizę gali būti nustatyta, kad reikia patikslinti tam tikrus aspektus ( 49 ). Vis dėlto manau, kad tokia analizė viršytų tai, kas būtina siekiant pateikti atsakymą į šį prašymą priimti prejudicinį sprendimą ( 50 ).

65.

Taigi iš atsakymo į trečiąjį prejudicinį klausimą prašymą priimti prejudicinį sprendimą pateikusiam teismui turėtų būti aišku, kad siekiant taikyti draudimo tvarkyti sveikatos duomenis išimtį turi būti įvykdyta bent viena iš BDAR 6 straipsnio 1 dalyje nurodytų sąlygų.

66.

Prašymą priimti prejudicinį sprendimą pateikęs teismas nori sužinoti, ar „apskaičiuojant nematerialinės žalos, kuri turi būti atlyginta remiantis BDAR 82 straipsnio 1 dalimi, dydį turi reikšmės duomenų valdytojo ar duomenų tvarkytojo kaltės laipsnis“, ir, konkrečiai kalbant, ar „leidžiama duomenų valdytojo ar duomenų tvarkytojo naudai atsižvelgti į kaltės nebuvimą arba nesunkią kaltę“.

67.

Klausime daroma prielaida, kad subjektas – duomenų valdytojas – pažeidė BDAR ( 51 ), ir norima išsiaiškinti, ar duomenų valdytojo kaltės laipsnis yra svarbus siekiant apskaičiuoti dėl šio pažeidimo atsiradusios žalos kompensacijos dydį. Prašymą priimti prejudicinį sprendimą pateikęs teismas teigia, kad nėra tikras, ar duomenų valdytojo kaltės nebuvimas arba nesunki kaltė gali būti laikomi jo kaltės nebuvimo įrodymu.

68.

Iš klausimo teksto matyti, kad juo iš esmės siekiama išsiaiškinti tam tikrus aspektus dėl kompensacijos dydžio apskaičiavimo. Vis dėlto kartu su klausimu pateikta patikslinimų, dėl kurių atsirado tam tikros painiavos, nes buvo neaišku, ar kaltė paminėta kaip atsakomybės priskyrimo sąlyga, ar kaip kompensacijos dydžio diferencijavimo veiksnys.

69.

Prašymą priimti prejudicinį sprendimą pateikęs teismas, Teisingumo Teismo paprašytas patikslinti šiuos neaiškumus, nurodė, kad klausimas susijęs su abiem aspektais, tačiau nepateikė išsamesnės informacijos, kaip tie aspektai susiję su pagrindine byla.

70.

Atsižvelgdamas į šį atsakymą ketinu visų pirma (taip pat) išnagrinėti MDK klausimus dėl duomenų subjekto galimo dalyvavimo, lėmusio žalos atsiradimą, paskui atsakyti į prašymą priimti prejudicinį sprendimą pateikusio teismo klausimus ( 52 ). Pastabas pateiksiu trimis etapais:

71.

Prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad BDAR 82 straipsnio 1 dalyje civilinė atsakomybė (duomenis valdančio subjekto ( 54 )) nepriklauso nuo tyčios arba neatsargumo buvimo ar įrodymo. Jis priduria, kad remiantis to paties straipsnio 3 dalimi negalima pagrįsti kitokio sprendimo.

72.

Pripažįstu, kad nėra aišku, koks civilinės atsakomybės modelis buvo patvirtintas BDAR, ir kad a priori galimi įvairūs aiškinimai ( 55 ). Vienas iš jų yra prašymą priimti prejudicinį sprendimą pateikusio teismo aiškinimas: manau, kad jis teisingas.

73.

Manau, kad BDAR 82 straipsnio 1 dalies aiškinimas, kad joje nustatyta civilinės atsakomybės sistema, nesusijusi su duomenų valdytojo kalte, atitinka šios dalies turinį, yra tiesiogiai pagrįstas parengiamaisiais darbais ir visų pirma padeda siekti teisės normos tikslo. Toks aiškinimas priimtinas atsižvelgiant į kitas nuostatos dalis ir į visą sistemą.

74.

Prašymą priimti prejudicinį sprendimą pateikusio teismo pozicija atitinka BDAR 82 straipsnio 1 dalies turinį. Aiškinant pažodžiui, teisė gauti kompensaciją iš duomenų valdytojo siejama tik su žala, patirta dėl paties BDAR pažeidimo.

75.

Atsižvelgiant į kitas 82 straipsnio dalis negalima pateikti kitokio atsakymo ( 56 ). Visų pirma remdamasis 82 straipsnio 3 dalyje vartojamu žodžiu „imputable“ („atsakingas“) negalėčiau daryti išvados, kad turi būti kaltė. Ši sąvoka vartojama tik kai kuriose BDAR kalbinėse versijose; kitose versijose, priešingai, vartojama sąvoka „responsable“ („atsakingas“). Versijoje vokiečių kalba nei 82 straipsnyje, nei konstatuojamojoje dalyje nevartojamas techninis terminas „atsakomybės priskyrimas dėl kaltės“ („Verschulden“) ( 57 ).

76.

Palyginus įvairias BDAR nuostatas matyti, kad vartojamos sąvokos ne visada yra vienareikšmės, todėl reikia atsargiai daryti išvadas remiantis jų tekstu. Pavyzdžiui, versijoje anglų kalba žodis „responsible“ vartojamas keliomis reikšmėmis ( 58 ).

77.

Tai, kad BDAR 82 straipsnyje nenurodyti duomenų valdytojo ketinimai ar kaltė, yra priešprieša 83 straipsnyje pateiktoms nuorodoms į administracines baudas: „[s]prendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant dėl administracinės baudos dydžio kiekvienu konkrečiu atveju“ deramai atsižvelgiama į tai, ar BDAR pažeidimas padarytas tyčia, ar dėl neatsargumo ( 59 ).

78.

Nors dėl formuluočių skirtumų sumažėja pažodinio aiškinimo kriterijaus reikšmė, šie skirtumai bent patvirtina tai, kad BDAR 82 straipsnyje nenumatyta nei tyčia, nei kaltė ir kad tai padaryta sąmoningai, o ne dėl teisės aktų leidėjo neapsižiūrėjimo.

79.

Diskusijas dėl atsakomybės priskyrimo pagrindo, galiausiai įtvirtinto BDAR, užgožia aplinkybės, kuriomis jos vyko Taryboje nagrinėjant atvejį, kai duomenų valdytojai yra keli.

80.

Per šias diskusijas buvo pateikiami procesinės teisės argumentai nesilaikant koncepcinio mechanizmo, leidžiančio atskirti, pirma, kaltės, kaip atsakomybės priskyrimo pagrindo, vaidmenį ir, antra, kaltės nebuvimo siekiant atleisti nuo tos pačios atsakomybės, atsižvelgiant į priežastinį ryšį, vaidmenį.

81.

Vis dėlto manau, kad remiantis parengiamaisiais darbais BDAR 82 straipsnio 1 dalį pagrįstai galima aiškinti taip, kad civilinė atsakomybė nepriklauso nuo duomenų valdytojo kaltės.

82.

Komisijos pasiūlyme buvo laikomasi Direktyvos 95/46 ir neminimas neatsargumas. Tarybos dokumentuose nurodyta, kad numatyta atsakomybė yra „atsakomybė be kaltės“ („strict liability“) ( 60 ).

83.

Parlamento Piliečių laisvių, teisingumo ir vidaus reikalų komitete pasiūlytu pakeitimu buvo siekiama, kad 82 straipsnio (tuomet 77 straipsnio) 1 dalis būtų papildyta nuostata, pagal kurią atsakomybė siejama su tyčia arba neatsargumu ( 61 ). Pakeitimui nebuvo pritarta ( 62 ).

84.

Taryboje diskusijos dėl 77 straipsnio ir atsakomybės priskyrimo kriterijaus buvo susijusios su atsakomybės priskyrimu ir paskirstymu tuo atveju, kai toje pačioje duomenų tvarkymo operacijoje dalyvauja keli asmenys. Šiomis aplinkybėmis Tarybai pirmininkaujanti valstybė narė pasiūlė pasirinkti vieną iš dviejų variantų ( 63 ):

85.

Tarybai pirmininkaujančios valstybės narės pateiktame kompromisiniame tekste, kurį siūlyta patvirtinti kaip bendrąsias gaires ( 71 ), laikomasi pirmojo varianto, nors pagal 77 straipsnio 3 dalies redakciją atleidimo nuo atsakomybės išimtys sugriežtintos ir apsunkintas jų įrodinėjimas: „<…>if it [duomenų valdytojai / duomenų tvarkytojai] proves that it is not in any way responsible <…>“ ( 72 ). Ši redakcija sutampa su galiausiai priimtu straipsniu.

86.

Taigi išanalizavus teisėkūros procedūrą, per kurią buvo parengtas galutinis BDAR tekstas, matyti, kad BDAR 82 straipsnio 1 dalyje nurodyta atsakomybė nėra susijusi su duomenų valdytojo kalte.

87.

BDAR yra nustatyta sistema, sukurta siekiant užtikrinti aukšto lygio fizinių asmenų apsaugą ir kartu pašalinti asmens duomenų judėjimo kliūtis ( 73 ). Pagal šią sistemą 82 straipsniu siekiama kompensuoti žalą, nepažeidžiant jo papildomo tikslo atgrasyti nuo veiksmų, neatitinkančių šio straipsnio nuostatų, arba užkirsti kelią tokiems veiksmams ( 74 ).

88.

Kompensacijos užtikrinimas yra tikslas pats savaime: tokią išvadą galima daryti atsižvelgiant į svarbą, kurią tokiam užtikrinimui teikia teisės aktų leidėjas ir kuri matyti tiesiog perskaičius tekstą. Pagal BDAR gauti kompensaciją, kai padaryta žala, yra duomenų subjekto teisė; žalos sąvoka aiškintina plačiai, o kompensacija turi būti visa ir veiksminga.

89.

Kompensacija yra susijusi su tikslu didinti piliečių pasitikėjimą skaitmenine aplinka, t. y. bendro pobūdžio tikslu, kuris nurodytas BDAR 7 konstatuojamojoje dalyje. Kai duomenų subjektui suteikiama garantija, kad iš esmės pačiam nereikės padengti žalos, atsiradusios dėl neteisėto jo duomenų tvarkymo, tai skatina tokį pasitikėjimą: jo turtas yra saugus ir procesiniu požiūriu yra paprasčiau pateikti reikalavimą.

90.

Tai, kad BDAR 82 straipsnio 1 dalyje pareiga atlyginti žalą nesiejama su rūpestingumo pareigos pažeidimu, atitinka šį požiūrį. Teisės aktų leidėjo sprendimu pareiga atlyginti žalą tenka subjektui, kuris palaikant santykius užima tam tikrą sergėtojo ar garanto poziciją, atsižvelgiant būtent vien į šią aplinkybę.

91.

Taigi galima teigti, kad pagal BDAR svarbiausia yra nukentėjusiojo, patyrusio žalos dėl pažeidimo, situacija, nes jokioje taisyklėje nereikalaujama, kad jis prisiimtų žalos pasekmes.

92.

Nukentėjusiajam nėra jokio skirtumo, ar žalą sukėlęs asmuo kaltas, ar ne: lemiamą reikšmę turi tai, kad duomenų valdytojas sukėlė jam turtinę ar neturtinę žalą, atsiradusią dėl šio valdytojo padaryto BDAR pažeidimo.

93.

Aprašyti tikslai lengviau pasiekiami taikant modelį, pagal kurį įrodyta žala:

94.

Manau, kad prisitaikant prie skaitmeninės revoliucijos ( 75 ) toks sprendimas yra nuoseklus. Atsižvelgiant į sparčią technologijų raidą turi būti užtikrinta, kad aplinkybė, jog elektroninėmis priemonėmis vykdant paprasčiausią duomenų tvarkymo veiklą nebuvo tyčios ar neatsargumo, netrukdytų atlyginti žalą, kuri kitu atveju liktų neatlyginta.

95.

Mano siūlomas aiškinimas labiausiai atitinka BDAR sistemą. Tai patvirtina jo 82 straipsnio 3 dalis: atleidimas nuo atsakomybės galimas, jeigu „[duomenų valdytojas] įrodo, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala“.

96.

Šioje nuostatoje atkreiptinas dėmesys į žodžių junginį „jokiu būdu“, iš kurio galima spręsti, kad taikomas modelis nesusijęs su kalte (ir net su labai nedidele kalte) ir įrodinėjimo naštos perkėlimu.

97.

Pripažinus, kad kompensacija nepriklauso nuo duomenų valdytojo kaltės, 82 straipsnis įgyja savo prasmę VIII skyriaus ir galiausiai viso BDAR kontekste.

98.

Sąjungos teisės aktų leidėjas pripažįsta, kad dėl asmens duomenų tvarkymo gali kilti pavojus. Jis reikalauja, kad duomenų valdytojai įvertintų šį pavojų, taip pat priimtų ir atnaujintų tinkamas priemones, kuriomis būtų siekiama užkirsti kelią nustatytam pavojui ir jį sumažinti ( 76 ).

99.

Buvo nurodyta, kad taikant kalte grindžiamą civilinės atsakomybės modelį skatinamas rūpestingumas, taigi, ir apsauga nuo pavojaus, o taikant alternatyvų modelį, pagal kurį neatsižvelgiama į duomenų valdytojo elgesį, jis neskatinamas elgtis atsargiai (nes, jeigu bus padaryta žalos, jis bet kuriuo atveju turės ją atlyginti).

100.

Manau, kad atsižvelgiant į BDAR šiai išvadai ( 77 ) galima pritarti. 82 straipsnis yra dalis sudėtingos reguliavimo struktūros, kurią sudaro viešosios ir privatinės teisės priemonės, skirtos asmens duomenims apsaugoti. Pagal šią struktūrą, siekiant taikyti administracines sankcijas, svarbus yra neatsargumas (ir tyčia). Manau, kad taikant civilinę atsakomybę neatsargumas ir tyčia neturi būti svarbūs ( 78 ), nes tai pakenktų 82 straipsnio tikslams, be to, sumažintų jame numatytos teisių gynimo priemonės praktinį patrauklumą.

101.

Nagrinėjamoje byloje klausimai, ar turi būti duomenų valdytojo kaltė, yra susiję su pasekmėmis, kurių gali kilti dėl duomenų subjekto dalyvavimo ( 79 ).

102.

Siekiant geriau suprasti toliau pateiktas pastabas reikia patikslinti, kad ginčo aplinkybės buvo vertinamos taikant du scenarijus:

103.

Bet kuriuo atveju manau, kad (kaip, regis, teigia prašymą priimti prejudicinį sprendimą pateikęs teismas ( 82 )), siekiant nustatyti duomenų subjekto veiksmų, susijusių su žalą sukėlusio pažeidimo padarymu, poveikį (jeigu toks yra), reikia remtis 82 straipsnio 3 dalimi.

104.

Nuostatoje konkretūs atleidimo nuo atsakomybės pagrindai nėra nurodyti net kaip pavyzdys. Jie taip pat nenumatyti 146 konstatuojamojoje dalyje ( 83 ).

105.

Atrodo, kad šiuo klausimu BDAR nukrypstama nuo Direktyvos 95/46, kurios 23 straipsnio 2 dalyje buvo nustatyta taisyklė, panaši ( 84 ) į įtvirtintąją dabartinėje BDAR 82 straipsnio 3 dalyje: Direktyvos 95/46 55 konstatuojamojoje dalyje kaip atleidimo nuo atsakomybės pagrindų pavyzdžiai buvo pateikti duomenų subjekto atsakomybė arba force majeure ( 85 ), o BDAR tai nenurodyta.

106.

Jeigu neklystu, BDAR parengiamuosiuose darbuose nėra jokios informacijos, kad šie du pavyzdžiai, kurie pateikti Komisijos ( 86 ) pasiūlyme ir išlaikyti Parlamento ( 87 ), buvo aptarti.

107.

Šie pavyzdžiai išbraukti ir žodžių junginys „jokiu būdu“ įrašytas surengus jau minėtas diskusijas dėl to, kaip reglamentuoti atsakomybę, kai duomenis tvarko keli duomenų valdytojai ar tvarkytojai ( 88 ).

108.

Iš turimų dokumentų ( 89 ) matyti, kad pagal galutinę redakciją duomenų valdytojui taikoma išimtis, jeigu jis įrodo, kad visiškai nėra atsakingas („responsible“) už žalą („0 % responsibility“). Ta pati nuostata taikoma duomenų tvarkytojui ( 90 ).

109.

Tuo remdamasis manau, kad dviejų pavyzdžių išbraukimo konstatuojamojoje dalyje ir kartu tos pačios konstatuojamosios dalies ir BDAR 82 straipsnio 3 dalies papildymo žodžiais „jokiu būdu“ pasekmė (ir tikslas) nėra duomenų subjekto veiklos išbraukimas iš atleidimo nuo atsakomybės pagrindų sąrašo ( 91 ).

110.

Veikiau atrodo, kad, nelygu atvejis, dėl duomenų subjekto veiklos vis dar gali nutrūkti būtinas ryšys tarp „įvykio“ (ši sąvoka vartojama BDAR 82 straipsnio 3 dalyje) ir duomenų valdytojo atsakomybės. Tai, kad pabrėžiamas ribojamasis išvengimo sąlygos pobūdis, nereiškia, kad dėl tam tikrų duomenų subjekto veiksmų savaime negali atsirasti žala, taigi duomenų valdytojas negali būti atleistas nuo atsakomybės.

111.

Remiantis sisteminiu aiškinimu galima patvirtinti, kad nustatant atsakomybę už žalą reikia atsižvelgti į duomenų subjekto dalyvavimą atsirandant šiai žalai. Pagal BDAR sistemą asmenys dalyvauja užtikrinant jų duomenų apsaugą ir šiuo tikslu suteikia priemones, kurios savaime reiškia teises.

112.

Atsižvelgdamas į teleologinį aiškinimą manau, kad BDAR siekiama užtikrinti aukšto lygio apsaugą, tačiau ne tiek, kad duomenų valdytojas taip pat būtų įpareigotas atlyginti žalą, atsiradusią dėl įvykių ar veiksmų, už kuriuos atsakingas duomenų subjektas ( 92 ).

113.

Prašymą priimti prejudicinį sprendimą pateikęs teismas patvirtino, kad penktuoju prejudiciniu klausimu taip pat siekiama išsiaiškinti, ar duomenų valdytojo kaltės laipsnis turi įtakos apskaičiuojant kompensaciją. Konkrečiai kalbant, klausiama, ar galima duomenų valdytojo naudai atsižvelgti į kaltės nebuvimą arba nesunkią kaltę.

114.

BDAR 82 straipsnyje tikrai nedaug dėmesio skirta arba visiškai jo neskirta pagrindiniams kompensacijos aspektams, kurie turi įtakos apskaičiuojant jos dydį. Jame aiškintojui nepateikta gairių dėl kompensacijos elementų ( 93 ), šių elementų vertinimo (dydžio apskaičiavimo) kriterijų ( 94 ) ar veiksnių, galinčių turėti įtakos kompensacijos dydžiui ( 95 ).

115.

Vis dėlto manau, kad BDAR duomenų subjektui yra suteikiama teisė į kompensaciją, kurios dydis nustatomas pagal faktiškai patirtą žalą. Nustačius sumą, kuria objektyviai kompensuojama tokia žala, ji neturėtų būti keičiama atsižvelgiant į didesnį ar mažesnį duomenų valdytojo neatsargumą.

116.

Grįsdamas savo poziciją mutatis mutandis remiuosi pastabomis, kurias pateikiau dėl atsakomybės priskyrimo duomenų valdytojui neatsižvelgiant į jo kaltę, pagal BDAR 82 straipsnyje numatytą sistemą. Vertinant iš nukentėjusiojo, kurio turtas (materialusis ir nematerialusis) atsiradus žalai turi likti nepažeistas, perspektyvos, žala atlygintina nesiejant kompensacijos su duomenų valdytojo kalte, nesvarbu, koks yra jos sunkumo laipsnis ( 96 ).

117.

Manau, kad tokią pačią išvadą galima padaryti atsižvelgiant į tai, kad BDAR 82 straipsnis (remiantis jo parengiamaisiais darbais nėra pagrindo patvirtinti vienokią ar kitokią poziciją) ( 97 ) skiriasi nuo kitų Sąjungos teisės normų, kuriose aiškiai išskiriama, ar dalyvavimas darant pažeidimą buvo „sąmoningas“, nustatant kompensacijos pagal civilinę atsakomybę dydį ( 98 ).

118.

Mano nuomone, šį vertinimą patvirtina dar du argumentai:

119.

Atsižvelgdamas į tai, kas išdėstyta, siūlau pateikti Bundesarbeitsgericht (Federalinis darbo teismas, Vokietija) tokį atsakymą:

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 9 straipsnio 2 dalies h punktas ir 3 dalis, taip pat 82 straipsnio 1 ir 3 dalys

turi būti aiškinami taip:

pagal juos ligonių kasos medicinos tarnybai nedraudžiama tvarkyti savo darbuotojo sveikatos duomenų, kuriais remiantis yra vertinamas šio darbuotojo darbingumas.

Pagal juos draudimo tvarkyti su sveikata susijusius asmens duomenis išimtį galima taikyti, jeigu toks duomenų tvarkymas yra būtinas siekiant įvertinti darbuotojo darbingumą, juo paisoma 5 straipsnyje nustatytų principų ir jis atitinka kurią nors iš Reglamento 2016/679 6 straipsnyje numatytų teisėtumo sąlygų.

Duomenų valdytojo ar duomenų tvarkytojo kaltės laipsnis nėra svarbus nei nustatant vieno ar kito atsakomybę, nei apskaičiuojant pagal Reglamento 2016/679 82 straipsnio 1 dalį atlygintinos neturtinės žalos dydį.

Kai duomenų subjektas dalyvauja įvykyje, dėl kurio atsiranda pareiga atlyginti žalą, atsižvelgiant į konkretų atvejį tai gali lemti duomenų valdytojo arba duomenų tvarkytojo atleidimą nuo atsakomybės, numatytą Reglamento 2016/679 82 straipsnio 3 dalyje.