Začasna izdaja
SODBA SODIŠČA (tretji senat)
z dne 21. decembra 2023(*)
„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 6(1) – Pogoji za zakonitost obdelave – Člen 9, od (1) do (3) – Obdelava posebnih vrst podatkov – Podatki o zdravstvenem stanju – Ocena delovne sposobnosti zaposlenega – Zdravstvena služba na področju zdravstvenega zavarovanja, ki obdeluje podatke o zdravstvenem stanju svojih zaposlenih – Dopustnost in pogoji za tako obdelavo – Člen 82(1) – Pravica do odškodnine in odgovornost – Odškodnina za nepremoženjsko škodo – Kompenzacijska funkcija – Vpliv krivdnega ravnanja upravljavca“
V zadevi C‑667/21,
katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija) z odločbo z dne 26. avgusta 2021, ki je na Sodišče prispela 8. novembra 2021, v postopku
ZQ
proti
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,
SODIŠČE (tretji senat),
v sestavi K. Jürimäe, predsednica senata, N. Piçarra, M. Safjan, N. Jääskinen (poročevalec) in M. Gavalec, sodniki,
generalni pravobranilec: M. Campos Sánchez-Bordona,
sodni tajnik: A. Calot Escobar,
na podlagi pisnega postopka,
ob upoštevanju stališč, ki so jih predložili:
– za ZQ E. Daun, Rechtsanwalt,
– za Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts M. Wehner, Rechtsanwalt,
– za Irsko M. Browne, Chief State Solicitor, A. Joyce in M. Lane, agenta, skupaj z D. Fennellyjem, BL,
– za italijansko vlado G. Palmieri, agentka, skupaj z M. Russo, avvocato dello Stato,
– za Evropsko komisijo A. Bouchagiar, M. Heller in H. Kranenborg, agenti,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 25. maja 2023
izreka naslednjo
Sodbo
1 Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 9(1), (2)(h) in (3) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2, v nadaljevanju: SUVP) v povezavi s členom 6(1) te uredbe ter na razlago člena 82(1) iste uredbe.
2 Ta predlog je bil vložen v okviru spora med osebo ZQ in njeno delodajalko, Medizinischer Dienst der Krankenversicherung Nordrhein (zdravstvena služba zdravstvenega zavarovanja za Severno Porenje, Nemčija) (v nadaljevanju: MDK Nordrhein), v zvezi s povračilom škode, ki naj bi jo prvonavedena utrpela zaradi obdelave podatkov o njenem zdravstvenem stanju, ki naj bi jo nezakonito izvedla drugonavedena.
Pravni okvir
Pravo Unije
3 V uvodnih izjavah od 4 do 8, 10, 35, od 51 do 53, 75 in 146 SUVP je navedeno:
„(4) Obdelava osebnih podatkov bi morala biti oblikovana tako, da služi ljudem. Pravica do varstva osebnih podatkov ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. Ta uredba spoštuje vse temeljne pravice ter upošteva svoboščine in načela, priznana z Listino [Evropske unije o temeljnih pravicah], kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, […] varstvo osebnih podatkov […].
(5) Gospodarsko in socialno povezovanje, ki izhaja iz delovanja notranjega trga, je prineslo občutno povečanje čezmejnih prenosov osebnih podatkov. Izmenjava osebnih podatkov med javnimi in zasebnimi akterji v [Evropski u]niji, vključno s posamezniki, združenji in družbami, se je povečala. S pravom Unije se poziva nacionalne organe držav članic k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljali svoje dolžnosti ali izvajali naloge v imenu organa v drugi državi članici.
(6) Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal. Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za dosego svojih ciljev v obsegu, kakršnega še ni bilo. Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno. Tehnologija je spremenila tako gospodarstvo kot družbeno življenje ter bi morala še naprej omogočati lažje izvajanje prostega pretoka osebnih podatkov v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.
(7) Zaradi tega razvoja je v Uniji potreben trden in skladnejši okvir varstva podatkov, podprt z doslednim izvrševanjem, saj je nujno vzpostaviti zaupanje, ki bo digitalnemu gospodarstvu omogočilo razvoj na celotnem notranjem trgu. Posamezniki bi morali imeti nadzor nad lastnimi osebnimi podatki. Pravna in praktična varnost posameznikov, gospodarskih subjektov in javnih organov bi morali biti okrepljeni.
(8) Kadar ta uredba določa natančnejše določitve ali omejitve svojih pravil s pravom držav članic, lahko države članice vključijo elemente te uredbe v svoje nacionalno pravo, kolikor je to potrebno zaradi skladnosti in razumljivosti nacionalnih določb za osebe, za katere se uporabljajo.
[…]
(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. […] Tudi ta uredba državam članicam daje manevrski prostor za podrobnejšo opredelitev njenih pravil, tudi glede obdelave posebnih vrst osebnih podatkov (‚občutljivi podatki‘). […]
[…]
(35) Osebni podatki v zvezi z zdravjem bi morali obsegati vse podatke o zdravstvenem stanju posameznika, na katerega se nanašajo osebni podatki, ki razkrivajo informacije o njegovem preteklem, sedanjem ali prihodnjem telesnem ali duševnem zdravstvenem stanju. […]
[…]
(51) Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine. […] Poleg posebnih zahtev za takšno obdelavo bi morala veljati splošna načela in druga pravila iz te uredbe, zlasti glede pogojev zakonite obdelave. Izrecno bi morala biti določena odstopanja od splošne prepovedi obdelave takšnih posebnih vrst osebnih podatkov, med drugim kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev, ali glede posebnih potreb […].
(52) Odstopanje od prepovedi obdelave posebnih vrst osebnih podatkov bi moralo biti dovoljeno tudi, kadar je določeno v pravu Unije ali pravu držav članic in so vzpostavljeni ustrezni zaščitni ukrepi, da se zaščitijo osebni podatki in druge temeljne pravice, kadar je to v javnem interesu, zlasti pri obdelavi osebnih podatkov na področju delovnega prava, prava socialnega varstva, vključno s pokojninami, ter v namene zdravstvene varnosti, spremljanja in opozarjanja, pri preprečevanju ali nadziranju nalezljivih bolezni in drugih resnih nevarnosti za zdravje. Tako odstopanje se lahko izvede v zdravstvene namene, vključno z javnim zdravjem in upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega varstva [zavarovanja], ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. […]
(53) Posebne vrste osebnih podatkov, ki potrebujejo višjo zaščito, bi se lahko obdelovale v namene, povezane z zdravjem, le kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva, vključno z obdelavo takšnih podatkov s strani uprave in osrednjih nacionalnih zdravstvenih organov zaradi nadzora kakovosti, upravljanja informacij ter splošnega nacionalnega in lokalnega nadzora sistema zdravstvenega ali socialnega varstva […]. Zato bi bilo treba v tej uredbi ob upoštevanju posebnih potreb določiti usklajene pogoje za obdelavo posebnih vrst osebnih podatkov v zvezi z zdravjem, zlasti kadar take podatke v določene namene v zvezi z zdravjem obdelujejo osebe, za katere velja pravna obveznost varovanja poklicne skrivnosti. V pravu Unije ali pravu držav članic bi bilo treba določiti posebne in ustrezne ukrepe za zaščito temeljnih pravic in osebnih podatkov posameznikov. Države članice bi morale imeti možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju. […]
[…]
(75) Tveganje za pravice in svoboščine posameznika, ki se razlikuje po verjetnosti in resnosti, je lahko posledica obdelave osebnih podatkov, ki bi lahko povzročila fizično, premoženjsko ali nepremoženjsko škodo, zlasti: kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti osebnih podatkov, zaščitenih s poklicno molčečnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge znatne gospodarske ali socialne škode; kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali bi jim bilo preprečeno izvajanje nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo […] podatk[i] v zvezi z zdravjem […], kadar se vrednotijo osebni vidiki, zlasti analiziranje ali predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, […] da bi se ustvarili ali uporabljali osebni profili […].
[…]
(146) Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo. Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo. Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki v celoti odraža cilje te uredbe. To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice. Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli. […]“
4 V poglavju I te uredbe, ki se nanaša na „[s]plošne določbe“, člen 2, naslovljen „Področje uporabe“, v odstavku 1 določa:
„Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.“
5 Člen 4 navedene uredbe, naslovljen „Opredelitev pojmov“, določa:
„V tej uredbi:
(1) ,osebni podatki‘ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki) […];
(2) ,obdelava‘ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih […];
[…]
(7) ‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave […];
[…]
(15) ,podatki o zdravstvenem stanju‘ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;
[…].“
6 Poglavje II SUVP, ki se nanaša na „[n]ačela“, ki jih določa ta uredba, vsebuje člene od 5 do 11 navedene uredbe.
7 Člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:
„1. Osebni podatki morajo biti:
(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (‚zakonitost, poštenost in preglednost‘);
[…]
(f) obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (,celovitost in zaupnost‘);
2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“
8 Člen 6 navedene uredbe, naslovljen „Zakonitost obdelave“, v odstavku 1 določa:
„Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.“
9 Člen 9 te uredbe, naslovljen „Obdelava posebnih vrst osebnih podatkov“, določa:
„1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem [podatkov o zdravstvenem stanju] ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:
[…]
(b) obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;
[…]
(h) obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti [zmožnosti] zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;
[…]
3. Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.
4. Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genskih, biometričnih ali podatkov v zvezi z zdravjem [o zdravstvenem stanju].“
10 Poglavje IV SUVP, naslovljeno „Upravljavec in obdelovalec“, vsebuje člene od 24 do 43 te uredbe.
11 V oddelku 1 tega poglavja, naslovljenem „Splošne obveznosti“, je člen 24 te uredbe, naslovljen „Odgovornost upravljavca“, ki v odstavku 1 določa:
„Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.“
12 V oddelku 2 navedenega poglavja, naslovljenem „Varnost osebnih podatkov“, člen 32 navedene uredbe, naslovljen „Varnost obdelave“, v odstavku 1 določa:
„Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijski[h] ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
(a) psevdonimizacijo in šifriranjem osebnih podatkov;
(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
[…].“
13 Poglavje VIII SUVP, naslovljeno „Pravna sredstva, odgovornost in kazni“, vsebuje člene od 77 do 84 te uredbe.
14 Člen 82 navedene uredbe, naslovljen „Pravica do odškodnine in odgovornost“, določa:
„1. Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.
2. Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. […]
3. Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.
[…]“
15 Člen 83 SUVP, naslovljen „Splošni pogoji za naložitev upravnih glob“, določa:
„1. Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.
2. […] Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:
(a) narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;
(b) ali je kršitev naklepna ali posledica malomarnosti;
[…]
(d) stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;
[…]
(k) morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.
3. Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.
[…]“
16 Člen 84 te uredbe, naslovljen „Kazni“, v odstavku 1 določa:
„Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.“
Nemško pravo
17 V skladu s členom 275(1) Sozialgesetzbuch, Fünftes Buch (zakonik o socialni varnosti, peta knjiga) v različici, ki se uporablja za spor o glavni stvari, morajo zavodi za obvezno zdravstveno zavarovanje v primerih, določenih z zakonom ali če to zahteva bolezen zavarovanca, zaprositi Medizinischer Dienst (zdravstvena služba), ki jim nudi pomoč, da opravi strokovni pregled za odpravo dvomov o tem, ali je zavarovanec nezmožen za delo.
18 Člen 278(1) tega zakonika določa, da se takšna zdravstvena služba ustanovi v vsaki od zveznih dežel v obliki osebe javnega prava.
Spor o glavni stvari in vprašanja za predhodno odločanje
19 MDK Nordrhein je oseba javnega prava, ki ima zakonsko določeno nalogo, da kot zdravstvena služba zdravstvenih zavarovalnic, med drugim, izdela zdravniška mnenja za odpravo dvomov o delovni nezmožnosti oseb, ki so zavarovane pri zavodih obveznega zdravstvenega zavarovanja, ki spadajo v njeno pristojnost, tudi kadar ta mnenja zadevajo njene lastne zaposlene.
20 V takem primeru lahko le člani posebne enote, imenovane „enota za posebne primere“, obdelujejo tako imenovane „socialne“ podatke tega zaposlenega z uporabo zaklenjenega področja informacijskega sistema tega organa in dostopajo do digitalnih arhivov po zaprtju spisa zdravniškega mnenja. V internem navodilu službe, ki se nanaša na te primere, je med drugim določeno, da ima dostop do navedenih podatkov omejeno število pooblaščenih uslužbencev, med katerimi so nekateri uslužbenci službe za informacijsko tehnologijo.
21 Tožeča stranka iz postopka v glavni stvari je delala v službi za informacijsko tehnologijo pri MDK Nordrhein, preden je iz zdravstvenih razlogov postala nezmožna za delo. Ob koncu šestmesečnega obdobja, v katerem ji je ta organ kot njen delodajalec še vedno izplačeval plačo, ji je zavod za obvezno zdravstveno zavarovanje, pri katerem je bila zavarovana, začel izplačevati bolniško nadomestilo.
22 Ta zavod je nato od MDK Nordrhein zahteval izdelavo zdravniškega mnenja o delovni nezmožnosti tožeče stranke iz postopka v glavni stvari. Zdravnik, ki dela v enoti „posebni primeri“ pri MDK Nordrhein, je izdelal zdravniško mnenje tako, da je informacije pridobil predvsem pri lečečem zdravniku tožeče stranke iz postopka v glavni stvari. Ko je lečeči zdravnik slednjo o tem obvestil, je ta stopila v stik z enim od svojih sodelavcev iz službe za informacijsko tehnologijo in ga prosila, naj fotografira zdravniško poročilo, ki je bilo v digitalnih arhivih MDK Nordrhein, in ji nato te fotografije posreduje.
23 Ker je tožeča stranka iz postopka v glavni stvari menila, da je njen delodajalec nezakonito obdelal podatke o njenem zdravstvenem stanju, je od njega zahtevala plačilo odškodnine v višini 20.000 EUR, kar pa je MDK Nordrhein zavrnila.
24 Tožeča stranka iz postopka v glavni stvari je nato pri Arbeitsgericht Düsseldorf (delovno sodišče v Düsseldorfu, Nemčija) vložila tožbo, s katero je predlagala, naj se MDK Nordrhein na podlagi člena 82(1) SUVP in določb nemškega prava naloži povrnitev škode, ki naj bi tožeči stranki nastala zaradi take obdelave osebnih podatkov. V bistvu je trdila, prvič, da bi zadevno zdravniško mnenje morala izdelati druga zdravstvena služba, da bi se preprečil dostop njenih sodelavcev do podatkov o njenem zdravstvenem stanju, in drugič, da varnostni ukrepi glede arhiviranja poročila o tem zdravniškem mnenju niso zadostni. Poleg tega je trdila, da ta obdelava pomeni kršitev pravnih pravil, s katerimi so varovani taki podatki, zaradi česar ji je nastala nepremoženjska in premoženjska škoda.
25 MDK Nordrhein je v odgovoru na tožbo predvsem trdila, da sta bila zbiranje in shranjevanje podatkov o zdravstvenem stanju tožeče stranke iz postopka v glavni stvari opravljena v skladu z določbami o varstvu takih podatkov.
26 Ker tožeča stranka iz postopka v glavni stvari s tožbo na prvi stopnji ni uspela, je vložila pritožbo pri Landesarbeitsgericht Düsseldorf (višje delovno sodišče v Düsseldorfu, Nemčija), ki je njeno pritožbo prav tako zavrnilo. Nato je vložila revizijo pri Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija), ki je predložitveno sodišče v tej zadevi.
27 Zadnjenavedeno sodišče izhaja iz premise, da v sporu o glavni stvari zdravniško mnenje, ki ga je pripravila MDK Nordrhein kot zdravstvena služba, pomeni „obdelavo“ „osebnih podatkov“ in, natančneje, „podatkov o zdravstvenem stanju“ v smislu člena 4, točke 1, 2 in 15, SUVP, tako da to ravnanje spada na stvarno področje uporabe te uredbe, kot je opredeljeno v njenem členu 2(1). Poleg tega meni, da je MDK Nordrhein zadevni „upravljavec“ v smislu člena 4, točka 7, navedene uredbe.
28 Vprašanja predložitvenega sodišča se, na prvem mestu, nanašajo na razlago več določb člena 9 SUVP, ki obravnava obdelavo posebnih vrst osebnih podatkov, zlasti ob upoštevanju dejstva, da je obdelavo iz postopka v glavni stvari izvajal organ, ki je tudi delodajalec posameznika, na katerega se nanašajo osebni podatki, kot je ta posameznik opredeljen v členu 4, točka 1, te uredbe.
29 Najprej, predložitveno sodišče dvomi, da bi obdelava podatkov o zdravstvenem stanju iz postopka v glavni stvari lahko bila zajeta s katero od izjem, določenih v odstavku 2 člena 9 SUVP. Po mnenju navedenega sodišča sta v obravnavanem primeru upoštevni le izjemi iz točk (b) in (h) tega odstavka 2. Vendar navedeno sodišče že na začetku izključuje, da se v obravnavanem primeru uporabi odstopanje, določeno v tej točki (b), ker obdelava iz postopka v glavni stvari ni bila potrebna za namene pravic in obveznosti upravljavca kot delodajalca posameznika, na katerega se nanašajo osebni podatki. To obdelavo naj bi namreč začel drug organ, ki je MDK Nordrhein prosil, naj opravi nadzor kot zdravstvena služba. Nasprotno pa predložitveno sodišče, čeprav se nagiba k temu, da ne bi uporabilo niti odstopanja iz te točke (h), ker se mu zdi, da bi v področje uporabe te izjeme morala spadati le obdelava, ki jo izvaja „nevtralna tretja oseba“, in da se organ ne more sklicevati na svojo „dvojno vlogo“ delodajalca in zdravstvene službe, da bi utemeljil odstopanje od prepovedi take obdelave, v zvezi s tem ni podalo kategoričnega odgovora.
30 Dalje, za primer, da bi bila na podlagi člena 9(2)(h) SUVP v takih okoliščinah obdelava podatkov o zdravstvenem stanju dovoljena, se predložitveno sodišče sprašuje o pravilih glede varstva podatkov o zdravstvenem stanju, ki jih je treba upoštevati v tem okviru. Po njegovem mnenju ta uredba določa, da to, da upravljavec izpolnjuje zahteve iz člena 9(3) te uredbe, ne zadostuje. Ta upravljavec naj bi poleg tega moral zagotoviti, da nobeden od sodelavcev posameznika, na katerega se nanašajo osebni podatki, ne more imeti dostopa do podatkov o zdravstvenem stanju tega posameznika.
31 Nazadnje, navedeno sodišče želi izvedeti, ali mora biti v tem istem primeru izpolnjen tudi vsaj eden od pogojev iz člena 6(1) SUVP, da bi bila taka obdelava zakonita. Meni, da bi moralo biti tako in da bi v okviru spora o glavni stvari lahko bili a priori upoštevni le točki (c) in (e) tega člena 6(1), prvi pododstavek. Ti točki (c) in (e) pa naj se ne bi smeli uporabiti, ker zadevna obdelava ni „potrebna“ v smislu teh določb, saj naj bi obdelavo lahko enako dobro opravila katera druga zdravstvena služba kot pa MDK Nordrhein.
32 Na drugem mestu, predložitveno sodišče se sprašuje o morebitni odškodnini, ki bi jo bilo treba na podlagi člena 82 SUVP tožeči stranki iz postopka v glavni stvari izplačati, če bi bila v obravnavanem primeru ugotovljena kršitev te uredbe.
33 Po eni strani želi izvedeti, ali ima pravilo iz člena 82(1) SUVP poleg odškodninske funkcije tudi odvračilno ali kaznovalno naravo, in če jo ima, ali je treba to naravo upoštevati pri določanju zneska odškodnine za nepremoženjsko škodo, zlasti ob upoštevanju načel učinkovitosti, sorazmernosti in enakovrednosti, ki so določena na drugih področjih prava Unije.
34 Po drugi strani pa se navedeno sodišče nagiba k mnenju, da je odgovornost upravljavca mogoče uveljavljati na podlagi navedenega člena 82(1), ne da bi bilo treba dokazati njegovo krivdo. Ker pa vseeno dvomi, predvsem glede na pravila nemškega prava, se sprašuje, ali bi bilo treba preveriti, ali je mogoče zadevno kršitev SUVP pripisati upravljavcu zaradi njegovega namernega ravnanja ali malomarnosti, in ali bi stopnja krivde pri njegovem morebiti krivdnem ravnanju morala vplivati na odškodnino, dodeljeno za povrnitev nepremoženjske škode.
35 V teh okoliščinah je Bundesarbeitsgericht (zvezno delovno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali je treba člen 9(2)(h) [SUVP] razlagati tako, da zdravstvena služba zdravstvene zavarovalnice ne sme obdelovati podatkov o zdravstvenem stanju svojega zaposlenega, ki so pogoj za oceno njegove delovne zmožnosti?
2. Če bi Sodišče na prvo vprašanje odgovorilo nikalno, kar bi pomenilo, da bi bila na podlagi člena 9(2)(h) [SUVP] možna izjema od prepovedi obdelave podatkov o zdravstvenem stanju iz člena 9(1) [SUVP]: ali je treba v primeru, kot je obravnavani, poleg pogojev iz člena 9(3) [SUVP] upoštevati druge zahteve glede varstva podatkov, in če je odgovor pritrdilen, katere?
3. Če bi Sodišče na prvo vprašanje odgovorilo nikalno, kar bi pomenilo, da bi bila na podlagi člena 9(2)(h) [SUVP] možna izjema od prepovedi obdelave podatkov o zdravstvenem stanju iz člena 9(1) [SUVP]: ali je v primeru, kot je obravnavani, dovoljenost oziroma zakonitost obdelave podatkov o zdravstvenem stanju poleg tega odvisna od tega, ali je izpolnjen vsaj eden od pogojev iz člena 6(1) [SUVP]?
4. Ali ima člen 82(1) [SUVP] specialno oziroma splošno preventivno naravo in ali je treba to upoštevati pri določitvi višine nepremoženjske škode na podlagi člena 82(1) [SUVP], ki jo mora povrniti upravljavec oziroma obdelovalec?
5. Ali je za določitev višine nepremoženjske škode na podlagi člena 82(1) [SUVP], ki jo je treba povrniti, bistvena stopnja krivde upravljavca oziroma obdelovalca? Zlasti, ali se lahko, kadar upravljavec oziroma obdelovalec nista kriva ali je stopnja njune krivde nizka, to upošteva v njuno korist?“
Vprašanja za predhodno odločanje
Prvo vprašanje
36 Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba glede na prepoved obdelave podatkov o zdravstvenem stanju, ki je določena v členu 9(1) SUVP, odstavek 2(h) tega člena razlagati tako, da se izjema, ki jo določa, uporablja za primere, v katerih organ za zdravstveni nadzor obdeluje podatke o zdravstvenem stanju enega od svojih zaposlenih ne v vlogi delodajalca, temveč v vlogi zdravstvene službe, da bi ocenil delovno zmožnost tega zaposlenega.
37 V skladu z ustaljeno sodno prakso je treba pri razlagi določbe prava Unije upoštevati ne le njeno besedilo, ampak tudi kontekst, v katerega je umeščena, ter cilje in namen, ki jim sledi akt, katerega del je. Zgodovina nastanka določbe prava Unije prav tako lahko razkrije elemente, ki so upoštevni za njeno razlago (sodba z dne 16. marca 2023, Towercast, C‑449/21, EU:C:2023:207, točka 31 in navedena sodna praksa).
38 Na prvem mestu, treba je opozoriti, da se člen 9 SUVP, kot je navedeno v njegovem naslovu, nanaša na „[o]bdelavo posebnih vrst osebnih podatkov“, ki so v uvodnih izjavah 10 in 51 te uredbe prav tako opredeljeni kot „občutljivi“ podatki.
39 V uvodni izjavi 51 SUVP je navedeno, da si posebno varstvo zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile te pravice in svoboščine.
40 Tako člen 9(1) SUVP določa načelo prepovedi obdelav posebnih vrst osebnih podatkov, ki so v njem naštete. Med temi vrstami podatkov so „podatki o zdravstvenem stanju“ – kot so opredeljeni v členu 4, točka 15, te uredbe v povezavi z njeno uvodno izjavo 35 – na katere se nanaša ta zadeva.
41 Sodišče je pojasnilo, da je namen člena 9(1) navedene uredbe zagotoviti večje varstvo pred obdelavami, ki lahko zaradi posebne občutljivosti podatkov, ki so predmet teh obdelav, pomenijo posebno hud poseg v temeljni pravici do spoštovanja zasebnega življenja in varstva osebnih podatkov, zagotovljeni s členoma 7 in 8 Listine o temeljnih pravicah (glej v tem smislu sodbo z dne 5. junija 2023, Komisija/Poljska (Neodvisnost in zasebnost sodnikov), C‑204/21, EU:C:2023:442, točka 345 in navedena sodna praksa).
42 Vendar člen 9(2), od (a) do (j), SUVP določa izčrpen seznam izjem od načela prepovedi obdelave teh občutljivih podatkov.
43 Natančneje, člen 9(2)(h) SUVP dopušča tako obdelavo, če je „potrebna [med drugim] za oceno delovne sposobnosti [zmožnosti] zaposlenega […] na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem“. V tej določbi je pojasnjeno, da za vsako obdelavo na podlagi te določbe poleg vsega še posebej „veljajo pogoji in zaščitni ukrepi iz odstavka 3“ tega člena 9.
44 Iz člena 9(2)(h) SUVP v povezavi z odstavkom 3 tega člena izhaja, da je možnost obdelave občutljivih podatkov, kot so podatki o zdravstvenem stanju, strogo omejena z več kumulativnimi pogoji. Ti se nanašajo, prvič, na namene, naštete v navedeni točki (h) – med katerimi je ocena delovne zmožnosti zaposlenega – drugič, na pravno podlago za to obdelavo – naj gre za pravo Unije, pravo države članice ali za pogodbo, sklenjeno z zdravstvenim delavcem, v skladu z isto točko (h) – in nazadnje, tretjič, na dolžnost zaupnosti, ki jo imajo osebe, pooblaščene za tako obdelavo, na podlagi tega člena 9(3), pri čemer za vse te osebe velja obveznost varovanja skrivnosti v skladu z zadnjenavedeno določbo.
45 Kot je generalni pravobranilec v bistvu navedel v točkah 32 in 33 sklepnih predlogov, ne iz besedila člena 9(2)(h) SUVP ne iz razvoja te določbe niso razvidni elementi, na podlagi katerih bi bilo mogoče šteti, da bi bila uporaba odstopanja, določenega v navedeni določbi, pridržana – kot navaja predložitveno sodišče – za primere, v katerih obdelavo opravi „nevtralna tretja oseba, in ne delodajalec“ posameznika, na katerega se nanašajo osebni podatki, kot je opredeljen v členu 4, točka 1, te uredbe.
46 Glede mnenja predložitvenega sodišča, da se organ v bistvu ne bi smel sklicevati na svojo „dvojno vlogo“ delodajalca posameznika, na katerega se nanašajo osebni podatki, in zdravstvene službe, da bi se izognil načelu prepovedi obdelave podatkov o zdravstvenem stanju, ki je določeno v členu 9(1) SUVP, je treba pojasniti, da je odločilno upoštevati podlago za obdelavo teh podatkov.
47 Namreč, čeprav ta člen 9(1) načeloma prepoveduje obdelavo podatkov o zdravstvenem stanju, pa odstavek 2 navedenega člena v točkah od (a) do (j) določa deset odstopanj, ki so med seboj neodvisna in jih je zato treba presojati samostojno. Iz tega sledi, da dejstvo, da niso izpolnjeni pogoji za uporabo enega od odstopanj, določenih v tem odstavku 2, upravljavcu ne preprečuje, da bi se skliceval na drugo odstopanje, navedeno v tej določbi.
48 Iz navedenega izhaja, da člen 9(2)(h) SUVP v povezavi z odstavkom 3 tega člena nikakor ne izključuje uporabe izjeme iz te točke (h) za primere, v katerih organ za zdravstveni nadzor obdeluje podatke o zdravstvenem stanju enega od svojih zaposlenih v vlogi zdravstvene službe, in ne v vlogi delodajalca, da bi ocenil delovno zmožnost tega zaposlenega.
49 Na drugem mestu, takšna razlaga je podprta z upoštevanjem sistema, v katerega spada člen 9(2)(h) SUVP, ter s cilji, ki jim sledita ta uredba in ta določba.
50 Prvič, res je, da je treba člen 9(2) SUVP v delu, v katerem določa izjemo od načela prepovedi obdelave posebnih vrst osebnih podatkov, razlagati ozko (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 76).
51 Vendar spoštovanje načela prepovedi, določenega v členu 9(1) SUVP, ne sme povzročiti zmanjšanja področja uporabe druge določbe te uredbe na način, ki bi bil v nasprotju z jasnim besedilom zadnjenavedene določbe. S predlagano razlago, v skladu s katero bi bilo treba področje uporabe izjeme iz tega člena 9(2)(h) omejiti na primere, v katerih „nevtralna tretja oseba“ obdeluje podatke o zdravstvenem stanju za namene ocene delovne zmožnosti zaposlenega, pa bi se dodala zahteva, ki nikakor ne izhaja iz jasnega besedila zadnjenavedene določbe.
52 V zvezi s tem ni pomembno, da bi v obravnavanem primeru – če bi bilo MDK Nordrhein prepovedano, da opravlja svojo nalogo zdravstvene službe, ko gre za enega od njenih lastnih zaposlenih – to lahko storil drug organ za zdravstveni nadzor. Poudariti je treba, da ta alternativa, na katero se sklicuje predložitveno sodišče, ni nujno prisotna ali izvedljiva v vseh državah članicah in v vseh primerih, ki bi lahko bili zajeti s členom 9(2)(h) SUVP. Pri razlagi te določbe pa ni mogoče izhajati iz preudarkov, ki izhajajo iz zdravstvenega sistema ene same države članice ali iz okoliščin spora o glavni stvari.
53 Drugič, razlaga iz točke 48 te sodbe je v skladu s cilji SUVP in cilji člena 9 te uredbe.
54 Tako je v uvodni izjavi 4 SUVP navedeno, da pravica do varstva osebnih podatkov ni absolutna pravica, saj jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami (glej v tem smislu sodbo z dne 22. junija 2023, Pankki S, C‑579/21, EU:C:2023:501, točka 78). Poleg tega je Sodišče že poudarilo, da so mehanizmi, ki omogočajo vzpostavitev pravičnega ravnovesja med različnimi zadevnimi pravicami in interesi, navedeni v sami SUVP (glej v tem smislu sodbo z dne 17. junija 2021, M.I.C.M., C‑597/19, EU:C:2021:492, točka 112).
55 Ti preudarki veljajo tudi, kadar zadevni podatki spadajo med posebne vrste podatkov iz člena 9 te uredbe (glej v tem smislu sodbo z dne 24. septembra 2019, GC in drugi (Odstranitev povezav do občutljivih podatkov), C‑136/17, EU:C:2019:773, točke 57 in od 66 do 68), kot so podatki o zdravstvenem stanju.
56 Natančneje, iz uvodne izjave 52 SUVP izhaja, da bi moralo biti „odstopanje od prepovedi obdelave posebnih vrst […] podatkov“ dovoljeno, „kadar je to v javnem interesu, zlasti […] na področju delovnega prava [in] prava socialnega varstva“, ter „v zdravstvene namene, […] predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega varstva [zavarovanja]“. V uvodni izjavi 53 te uredbe je navedeno tudi, da bi obdelava „v namene, povezane z zdravjem“, morala biti mogoča, „kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva“.
57 S tega vidika in ob upoštevanju različnih obstoječih zakonitih interesov je zakonodajalec Unije v členu 9(2)(h) SUVP določil možnost odstopanja od načela prepovedi obdelave podatkov o zdravstvenem stanju, določenega v odstavku 1 tega člena, če so pri zadevni obdelavi izpolnjeni pogoji in zaščitni ukrepi, ki so izrecno določeni s to točko (h) in drugimi upoštevnimi določbami te uredbe, zlasti z odstavkom 3 navedenega člena 9, pri čemer v teh določbah ni zahteve, da je zdravstvena služba, ki obdeluje take podatke na podlagi navedene točke (h), subjekt, ločen od delodajalca posameznika, na katerega se nanašajo osebni podatki.
58 Ob upoštevanju zgoraj navedene obrazložitve in brez poseganja v odgovora na drugo in tretje vprašanje je treba na prvo vprašanje odgovoriti, da je treba člen 9(2)(h) SUVP razlagati tako, da se izjema iz te določbe uporablja za primere, v katerih organ za zdravstveni nadzor obdeluje podatke o zdravstvenem stanju enega od svojih zaposlenih ne v vlogi delodajalca, temveč v vlogi zdravstvene službe, da bi ocenil delovno zmožnost tega zaposlenega, pod pogojem, da so pri zadevni obdelavi izpolnjeni pogoji in zaščitni ukrepi, ki so izrecno določeni s to točko (h) in odstavkom 3 navedenega člena 9.
Drugo vprašanje
59 Po mnenju predložitvenega sodišča iz uvodnih izjav 35, 51, 53 in 75 SUVP izhaja, da v primeru, kot je ta v postopku v glavni stvari, v katerem je upravljavec hkrati delodajalec osebe, katere delovna zmožnost se ocenjuje, izpolnitev zahtev iz člena 9(3) te uredbe ne zadostuje. Ta uredba naj bi poleg tega zahtevala, da se iz obdelave podatkov o zdravstvenem stanju izključijo vsi zaposleni pri upravljavcu, ki imajo kakršen koli poklicni stik s to osebo. Po mnenju navedenega sodišča bi moral vsak upravljavec, ki ima več poslovnih enot, kot je MDK Nordrhein, zagotoviti, da je subjekt, zadolžen za obdelavo podatkov o zdravstvenem stanju zaposlenih pri tem upravljavcu, vedno iz druge poslovne enote od tiste, v kateri dela zaposleni, na katerega se nanašajo osebni podatki. Poleg tega naj obveznost varovanja poklicne skrivnosti, ki velja za zaposlene, ki so pooblaščeni za obdelavo takih podatkov, dejansko ne bi preprečevala, da sodelavec posameznika, na katerega se nanašajo osebni podatki, dostopa do njegovih podatkov, kar bi povzročilo tveganje za nastanek škode, kot je okrnitev ugleda tega posameznika.
60 V teh okoliščinah želi predložitveno sodišče z drugim vprašanjem v bistvu izvedeti, ali je treba določbe SUVP razlagati tako, da mora upravljavec obdelave podatkov o zdravstvenem stanju, ki temelji na členu 9(2)(h) te uredbe, zagotoviti, da noben sodelavec posameznika, na katerega se nanašajo osebni podatki, nima dostopa do podatkov v zvezi z njegovim zdravjem.
61 Spomniti je treba, da se v skladu s členom 9(3) SUVP obdelava podatkov iz odstavka 1 za namene iz odstavka 2(h) tega člena 9, v obravnavanem primeru podatkov o zdravstvenem stanju zaposlenega za namene ocene njegove delovne zmožnosti, lahko izvede le, če te podatke obdeluje zdravstveni delavec, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.
62 Zakonodajalec Unije je s sprejetjem člena 9(3) te uredbe, ki se sklicuje prav na odstavek 2(h) istega člena, opredelil posebne zaščitne ukrepe, ki jih je nameraval naložiti pristojnim za take obdelave, in sicer, da so takšne obdelave pridržane za osebe, za katere velja obveznost varovanja skrivnosti, v skladu s pogoji iz navedenega odstavka 3. Zato v besedilo zadnjenavedene določbe ni treba dodajati zahtev, ki v njej niso navedene.
63 Iz tega sledi, kot je generalni pravobranilec v bistvu navedel v točki 43 sklepnih predlogov, da člen 9(3) SUVP ne more biti pravna podlaga za ukrep, ki zagotavlja, da noben sodelavec posameznika, na katerega se nanašajo osebni podatki, nima dostopa do podatkov v zvezi z njegovim zdravjem.
64 Vendar je treba presoditi, ali se lahko zahteva – da se zagotovi, da noben sodelavec posameznika, na katerega se nanašajo osebni podatki, nima dostopa do podatkov v zvezi z njegovim zdravstvenim stanjem – upravljavcu postopka obdelave v zvezi z zdravstvenimi podatki, ki temelji na členu 9(2)(h) SUVP, naloži na podlagi druge določbe te uredbe.
65 V zvezi s tem je treba pojasniti, da je edina možnost, da države članice dodajo tako zahtevo v primerjavi s tistimi iz odstavkov 2 in 3 člena 9 navedene uredbe, možnost, ki jim je izrecno dana v odstavku 4 tega člena, da „lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave […] podatkov v zvezi z zdravjem [o zdravstvenem stanju]“.
66 Vendar ti morebitni dodatni pogoji ne izhajajo iz samih določb SUVP, temveč po potrebi iz pravil nacionalne zakonodaje, ki urejajo tovrstno obdelavo, to je pravil, glede katerih ta uredba državam članicam izrecno pušča diskrecijsko pravico (glej v tem smislu sodbo z dne 30. marca 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, točki 51 in 78).
67 Poleg tega je treba poudariti, da bi se morala država članica, ki bi nameravala uporabiti možnost iz člena 9(4) navedene uredbe, v skladu z načelom sorazmernosti prepričati, da praktične posledice, zlasti organizacijske, ekonomske in zdravstvene, ki jih povzročajo dodatne zahteve, katerih spoštovanje namerava ta država naložiti, niso pretirane za upravljavce take obdelave, ki nimajo nujno zadostne velikosti ali tehničnih in človeških virov za izpolnitev teh zahtev. Te zahteve namreč ne smejo ogroziti polnega učinka dovoljenja za obdelavo, ki je izrecno določeno v členu 9(2)(h) te uredbe in urejeno v odstavku 3 tega člena.
68 Nazadnje je treba poudariti, da mora v skladu s členom 32(1)(a) in (b) SUVP, ki konkretizira načeli celovitosti in zaupnosti iz člena 5(1)(f) te uredbe, vsak upravljavec osebnih podatkov izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustreza tveganju, zlasti psevdonimizacijo in šifriranje takih podatkov, ter uporabiti sredstva za zagotovitev zlasti zaupnosti in celovitosti sistemov in storitev obdelave. Upravljavec mora v skladu s tem členom 32(1) za določitev praktične ureditve te obveznosti upoštevati najnovejši tehnološki razvoj in stroške izvajanja ter naravo, obseg, okoliščine in namen obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti.
69 Ali so vsi tehnični in organizacijski ukrepi, ki jih je v obravnavanem primeru izvajala MDK Nordrhein, v skladu z zahtevami iz člena 32(1)(a) in (b) SUVP, pa bo moralo presoditi predložitveno sodišče.
70 Na drugo vprašanje je torej treba odgovoriti, da je treba člen 9(3) SUVP razlagati tako, da upravljavcu obdelave podatkov o zdravstvenem stanju, ki temelji na členu 9(2)(h) te uredbe, na podlagi teh določb ni treba zagotoviti, da noben sodelavec posameznika, na katerega se nanašajo osebni podatki, ne more dostopati do podatkov v zvezi z njegovim zdravstvenim stanjem. Vendar se taka obveznost upravljavcu takšne obdelave lahko naloži bodisi na podlagi ureditve, ki jo sprejme država članica na podlagi člena 9(4) navedene uredbe, bodisi na podlagi načel celovitosti in zaupnosti, ki sta določeni v členu 5(1)(f) iste uredbe in konkretizirani v členu 32(1)(a) in (b) te uredbe.
Tretje vprašanje
71 Predložitveno sodišče s tretjim vprašanjem v bistvu sprašuje, ali je treba člen 9(2)(h) in člen 6(1) SUVP razlagati tako, da mora obdelava podatkov o zdravstvenem stanju, ki temelji na tej prvi določbi, da bi bila zakonita, izpolnjevati ne le zahteve iz te določbe, ampak tudi vsaj enega od pogojev za zakonitost iz tega člena 6(1).
72 V zvezi s tem je treba opozoriti, da so členi 5, 6 in 9 SUVP del poglavja II te uredbe, ki je naslovljeno „Načela“, ter se nanašajo na načela v zvezi z obdelavo osebnih podatkov, pogoje za zakonitost obdelave in obdelavo posebnih vrst osebnih podatkov.
73 Poleg tega je treba opozoriti, da je v uvodni izjavi 51 SUVP izrecno navedeno, da bi „[p]oleg posebnih zahtev“, ki se uporabljajo za obdelavo „posebno občutljivih“ podatkov in so določene v členu 9(2) in (3) te uredbe, brez poseganja v ukrepe, ki jih država članica morebiti sprejme na podlagi odstavka 4 navedenega člena, „morala [za tako obdelavo] veljati [tudi] splošna načela in druga pravila iz te uredbe, zlasti glede pogojev zakonite obdelave“, kot so določeni v členu 6 navedene uredbe.
74 Zato je v skladu s členom 6(1), prvi pododstavek, SUVP obdelava „posebej občutljivih“ podatkov, kot so podatki o zdravstvenem stanju, zakonita le, če je izpolnjen vsaj eden od pogojev iz navedenega odstavka 1, prvi pododstavek, točke od (a) do (f).
75 Člen 6(1), prvi pododstavek, navedene uredbe pa določa izčrpen in taksativen seznam primerov, v katerih je mogoče šteti, da je obdelava osebnih podatkov zakonita. Tako mora obdelava, da bi jo bilo mogoče šteti za zakonito, spadati v enega od primerov iz te določbe (sodba z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 90 in navedena sodna praksa).
76 Zato je Sodišče že večkrat razsodilo, da mora biti vsaka obdelava osebnih podatkov skladna z načeli v zvezi z obdelavo podatkov, določenimi v členu 5(1) SUVP, in izpolnjevati pogoje glede zakonitosti obdelave, naštete v členu 6 te uredbe (sodba z dne 4. maja 2023, Bundesrepublik Deutschland (Elektronski predal sodišča), C‑60/22, EU:C:2023:373, točka 57 in navedena sodna praksa).
77 Poleg tega je bilo že razsojeno, da – ker je cilj členov od 7 do 11 SUVP, ki so, tako kot člena 5 in 6 te uredbe, v poglavju II te uredbe, natančno določiti obseg obveznosti, ki jih ima upravljavec na podlagi člena 5(1)(a) in člena 6(1) navedene uredbe – morajo biti z obdelavo osebnih podatkov, da bi bila ta zakonita, prav tako spoštovane, kot izhaja iz sodne prakse Sodišča, te druge določbe navedenega poglavja, ki se v bistvu nanašajo na privolitev, obdelavo posebnih vrst občutljivih osebnih podatkov ter obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški (sodba z dne 4. maja 2023, Bundesrepublik Deutschland (Elektronski predal sodišča), C‑60/22, EU:C:2023:373, točka 58 in navedena sodna praksa).
78 Iz tega zlasti izhaja, da – ker je namen člena 9(2)(h) SUVP opredeliti obseg obveznosti upravljavca na podlagi člena 5(1)(a) in člena 6(1) te uredbe – mora obdelava podatkov o zdravstvenem stanju, ki temelji na tej prvi določbi, da bi bila zakonita, izpolnjevati hkrati zahteve, ki izhajajo iz te določbe, in obveznosti, ki izhajajo iz teh dveh zadnjenavedenih določb, ter zlasti vsaj enega od pogojev za zakonitost iz tega člena 6(1).
79 Glede na navedeno je treba na tretje vprašanje odgovoriti, da je treba člen 9(2)(h) in člen 6(1) SUVP razlagati tako, da mora obdelava podatkov o zdravstvenem stanju, ki temelji na tej prvi določbi, da bi bila zakonita, izpolnjevati ne le zahteve iz te določbe, ampak tudi vsaj enega od pogojev za zakonitost iz tega člena 6(1).
Četrto vprašanje
80 Predložitveno sodišče želi s četrtim vprašanjem v bistvu izvedeti, ali je treba člen 82(1) SUVP razlagati tako, da pravica do odškodnine iz te določbe nima le kompenzacijske funkcije, ampak tudi odvračilno ali kaznovalno funkcijo, in če je odgovor pritrdilen, ali je treba to funkcijo morebiti upoštevati pri določitvi zneska odškodnine za povrnitev nepremoženjske škode na podlagi te določbe.
81 Opozoriti je treba, da ima v skladu s členom 82(1) SUVP „[v]sak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, […], pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo“.
82 Sodišče je to določbo razlagalo tako, da zgolj kršitev SUVP ne zadostuje za priznanje pravice do odškodnine, potem ko je med drugim poudarilo, da je obstoj „škode“, ki je „nastala“, eden od pogojev za pravico do odškodnine iz tega člena 82(1), in sicer poleg obstoja kršitve te uredbe in vzročne zveze med to škodo in to kršitvijo, pri čemer so ti trije pogoji kumulativni (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 32 in 42).
83 Poleg tega je Sodišče razsodilo, da ker SUVP ne vsebuje določbe, katere namen bi bil opredeliti pravila o oceni odškodnine, dolgovane na podlagi pravice do odškodnine, določene v členu 82 te uredbe, morajo nacionalna sodišča za to na podlagi načela procesne avtonomije uporabiti nacionalna pravila vsake države članice v zvezi z obsegom denarne odškodnine, pod pogojem, da se spoštujeta načeli enakovrednosti in učinkovitosti prava Unije, kot sta opredeljeni v ustaljeni sodni praksi Sodišča (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točke 53, 54 in 59).
84 Sodišče je v tem kontekstu in ob upoštevanju uvodne izjave 146, šesti stavek, SUVP, v skladu s katero je namen tega instrumenta zagotoviti „celotno in učinkovito odškodnino za škodo, ki so jo [posamezniki] utrpeli“, poudarilo, da je treba ob upoštevanju kompenzacijske funkcije pravice do odškodnine iz člena 82 te uredbe za denarno odškodnino, ki temelji na tem členu, šteti, da je „celotna in učinkovita“, če omogoča, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve te uredbe, ne da bi bilo treba za tako polno nadomestilo naložiti plačilo kaznovalne odškodnine (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 57 in 58).
85 V zvezi s tem je treba poudariti, da člen 82 SUVP nima kaznovalne funkcije, temveč kompenzacijsko funkcijo, v nasprotju z drugimi določbami te uredbe, ki so prav tako v poglavju VIII te uredbe, in sicer členoma 83 in 84 te uredbe, ki imata v bistvu kaznovalni namen, saj omogočata tako naložitev upravnih glob kot drugih sankcij. Odnos med pravili iz navedenega člena 82 in pravili iz navedenih členov 83 in 84 dokazuje, da obstaja razlika med tema kategorijama določb, vendar tudi dopolnjevanje v smislu spodbujanja k spoštovanju SUVP, pri čemer je treba opozoriti, da pravica vsakogar, da zahteva odškodnino za škodo, krepi uspešnost pravil o varstvu, določenih s to uredbo, in lahko odvrača od ponavljanja nezakonitih ravnanj (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 38 in 40).
86 Ker pravica do odškodnine iz člena 82(1) SUVP nima odvračilne ali celo kaznovalne funkcije, kot jo predvideva predložitveno sodišče, resnost kršitve te uredbe, s katero je bila povzročena zadevna škoda, ne more vplivati na znesek odškodnine, dodeljene na podlagi te določbe, tudi če ne gre za premoženjsko, ampak za nepremoženjsko škodo. Iz tega sledi, da tega zneska ni mogoče določiti v višini, ki presega polno nadomestilo te škode.
87 Zato je treba na četrto vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da ima pravica do odškodnine iz te določbe kompenzacijsko funkcijo, ker mora denarno nadomestilo, ki temelji na navedeni določbi, omogočiti, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve te uredbe, in nima odvračilne ali kaznovalne funkcije.
Peto vprašanje
88 Iz gradiva, ki ga je predložitveno sodišče posredovalo v odgovor na zahtevo po pojasnilih, ki mu je bila poslana v skladu s členom 101 Poslovnika Sodišča, je razvidno, da je namen petega vprašanja ugotoviti, po eni strani, ali sta obstoj in/ali dokaz krivde nujna pogoja za nastanek odgovornosti upravljavca ali obdelovalca, in po drugi strani, kakšen vpliv bo imela stopnja krivde upravljavca ali obdelovalca na konkretno oceno odškodnine, ki jo je treba plačati kot odškodnino za nastalo nepremoženjsko škodo.
89 Glede na posredovani odgovor predložitvenega sodišča je treba peto vprašanje razumeti tako, da se želi z njim v bistvu izvedeti, po eni strani, ali je treba člen 82 SUVP razlagati tako, da je uveljavljanje odgovornosti upravljavca pogojeno z obstojem njegove krivde, in po drugi strani, ali je treba pri določitvi zneska odškodnine za nepremoženjsko škodo na podlagi te določbe upoštevati stopnjo te krivde.
90 Kar zadeva prvi del tega vprašanja, je treba ugotoviti, da člen 82(1) SUVP, kot je bilo opozorjeno v točki 82 te sodbe, pravico do odškodnine pogojuje z izpolnitvijo treh elementov, in sicer z obstojem kršitve te uredbe, obstojem nastale škode ter obstojem vzročne zveze med to kršitvijo in to škodo.
91 Člen 82(2) SUVP pa določa, da je vsak upravljavec, vključen v obdelavo, odgovoren za škodo, povzročeno z obdelavo, ki krši to uredbo. Vendar iz besedila te določbe v nekaterih njenih jezikovnih različicah, zlasti v nemški različici, ki je jezik postopka v tej zadevi, ni mogoče z gotovostjo določiti, ali je treba zadevno kršitev pripisati upravljavcu, da bi se lahko uveljavljala njegova odgovornost.
92 V zvezi s tem iz analize različnih jezikovnih različic prvega stavka člena 82(2) SUVP izhaja, da se domneva, da je upravljavec sodeloval pri obdelavi, ki pomeni navedeno kršitev te uredbe. Medtem ko so namreč nemška, francoska ali finska jezikovna različica formulirane odprto, so nekatere druge jezikovne različice bolj natančne in se v njih uporablja določilni izraz za tretjo navedbo izraza „obdelava“ ali za tretje sklicevanje na ta izraz, tako da je jasno, da ta tretja navedba ali sklicevanje napotuje na isto dejanje kot drugi primer tega izraza. To velja za različice v španščini, estonščini, grščini, italijanščini ali romunščini.
93 V členu 82(3) SUVP je s tega vidika pojasnjeno, da je upravljavec izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.
94 Iz povezane analize teh različnih določb člena 82 SUVP tako izhaja, da ta člen določa ureditev krivdne odgovornosti, pri kateri dokaznega bremena ne nosi oseba, ki je utrpela škodo, ampak upravljavec.
95 Tako razlago potrjujejo kontekst, v katerega je umeščen navedeni člen 82, in cilji, ki jih zakonodajalec Unije želi doseči s SUVP.
96 V zvezi s tem, prvič, iz besedila členov 24 in 32 SUVP izhaja, da ti določbi upravljavcu nalagata le, da sprejme tehnične in organizacijske ukrepe, s katerimi kar najbolj prepreči kakršno koli kršitev varstva osebnih podatkov. Ustreznost takih ukrepov je treba konkretno oceniti s preučitvijo, ali je upravljavec te ukrepe izvedel ob upoštevanju različnih meril iz navedenih členov in potreb po varstvu podatkov, ki so neločljivo povezane z zadevno obdelavo, ter tveganj, ki jih ta obdelava povzroča (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 30).
97 Taka obveznost pa bi bila vprašljiva, če bi moral upravljavec nato povrniti vso škodo, povzročeno z obdelavo, ki je bila izvedena v nasprotju s SUVP.
98 Drugič, kar zadeva cilje SUVP, je iz uvodnih izjav od 4 do 8 te uredbe razvidno, da je njen namen vzpostaviti ravnovesje med interesi upravljavcev osebnih podatkov in pravicami posameznikov, katerih osebni podatki se obdelujejo. Cilj, ki se želi doseči, je omogočiti razvoj digitalnega gospodarstva ob hkratnem zagotavljanju visoke ravni varstva posameznikov. Gre torej za tehtanje interesov upravljavca in posameznikov, katerih osebni podatki se obdelujejo. Ravno mehanizem krivdne odgovornosti z obrnjenim dokaznim bremenom, kot je določeno v členu 82 SUVP, pa omogoča, da se zagotovi tako ravnovesje.
99 Po eni strani, kot je generalni pravobranilec v bistvu ugotovil v točki 93 sklepnih predlogov, ne bi bilo v skladu s ciljem tako visoke ravni varstva, če bi se odločili za razlago, v skladu s katero bi posamezniki, na katere se nanašajo osebni podatki in ki so utrpeli škodo zaradi kršitve SUVP, v okviru odškodninske tožbe na podlagi člena 82 SUVP nosili dokazno breme ne le glede obstoja te kršitve in škode, ki jim je zaradi kršitve nastala, temveč tudi glede obstoja krivdnega ravnanja upravljavca, ki ga je ta storil namerno ali iz malomarnosti, ali celo glede stopnje krivde, čeprav navedeni člen 82 takih zahtev ne določa (glej v tem smislu sodbo z dne 14. decembra 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, točka 56).
100 Po drugi strani ureditev objektivne odgovornosti ne bi zagotavljala uresničitve cilja pravne varnosti, ki mu sledi zakonodajalec, kot je razvidno iz uvodne izjave 7 SUVP.
101 Kar zadeva drugi del petega vprašanja, ki se nanaša na določitev zneska morebitne odškodnine na podlagi člena 82 SUVP, je treba opozoriti, kot je bilo poudarjeno v točki 83 te sodbe, da morajo nacionalna sodišča za oceno te odškodnine uporabiti nacionalna pravila vsake države članice v zvezi z obsegom denarne odškodnine, pod pogojem, da se spoštujeta načeli enakovrednosti in učinkovitosti prava Unije, kot sta opredeljeni v ustaljeni sodni praksi Sodišča.
102 Pojasniti je treba, da člen 82 SUVP glede na svojo kompenzacijsko funkcijo ne zahteva, da se stopnja resnosti kršitve te uredbe, za katero se domneva, da jo je storil upravljavec, upošteva pri določitvi zneska odškodnine, dodeljene za povrnitev nepremoženjske škode na podlagi te določbe, ampak zahteva, da se ta znesek določi tako, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve navedene uredbe, kot je razvidno iz točk 84 in 87 te sodbe.
103 Zato je treba na peto vprašanje odgovoriti, da je treba člen 82 SUVP razlagati tako, da je po eni strani uveljavljanje odgovornosti upravljavca pogojeno z obstojem krivdnega ravnanja tega upravljavca, ki se domneva, razen če upravljavec dokaže, da dogodka, ki je povzročil škodo, nikakor ni mogoče pripisati njemu, in da po drugi strani ta člen 82 ne zahteva, da se pri določitvi zneska odškodnine za nepremoženjsko škodo na podlagi te določbe upošteva stopnja te krivde.
Stroški
104 Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.
Iz teh razlogov je Sodišče (tretji senat) razsodilo:
1. Člen 9(2)(h) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)
je treba razlagati tako, da
se izjema iz te določbe uporablja za primere, v katerih organ za zdravstveni nadzor obdeluje podatke o zdravstvenem stanju enega od svojih zaposlenih ne v vlogi delodajalca, temveč v vlogi zdravstvene službe, da bi ocenil delovno zmožnost tega zaposlenega, pod pogojem, da so pri zadevni obdelavi izpolnjeni pogoji in zaščitni ukrepi, ki so izrecno določeni s to točko (h) in odstavkom 3 navedenega člena 9.
2. Člen 9(3) Uredbe 2016/679
je treba razlagati tako, da
upravljavcu obdelave podatkov o zdravstvenem stanju, ki temelji na členu 9(2)(h) te uredbe, na podlagi teh določb ni treba zagotoviti, da noben sodelavec posameznika, na katerega se nanašajo osebni podatki, ne more dostopati do podatkov v zvezi z njegovim zdravstvenim stanjem. Vendar se taka obveznost upravljavcu takšne obdelave lahko naloži bodisi na podlagi ureditve, ki jo sprejme država članica na podlagi člena 9(4) navedene uredbe, bodisi na podlagi načel celovitosti in zaupnosti, ki sta določeni v členu 5(1)(f) iste uredbe in konkretizirani v členu 32(1)(a) in (b) te uredbe.
3. Člen 9(2)(h) in člen 6(1) Uredbe 2016/679
je treba razlagati tako, da
mora obdelava podatkov o zdravstvenem stanju, ki temelji na tej prvi določbi, da bi bila zakonita, izpolnjevati ne le zahteve iz te določbe, ampak tudi vsaj enega od pogojev za zakonitost iz tega člena 6(1).
4. Člen 82(1) Uredbe 2016/679
je treba razlagati tako, da
ima pravica do odškodnine iz te določbe kompenzacijsko funkcijo, ker mora denarno nadomestilo, ki temelji na navedeni določbi, omogočiti, da se v celoti nadomesti škoda, ki je dejansko nastala zaradi kršitve te uredbe, in nima odvračilne ali kaznovalne funkcije.
5. Člen 82 Uredbe 2016/679
je treba razlagati tako, da
je po eni strani uveljavljanje odgovornosti upravljavca pogojeno z obstojem krivdnega ravnanja tega upravljavca, ki se domneva, razen če upravljavec dokaže, da dogodka, ki je povzročil škodo, nikakor ni mogoče pripisati njemu, in da po drugi strani ta člen 82 ne zahteva, da se pri določitvi zneska odškodnine za nepremoženjsko škodo na podlagi te določbe upošteva stopnja te krivde.
Podpisi
* Jezik postopka: nemščina.