UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)
25 päivänä tammikuuta 2024 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 5, 24, 32 ja 82 artiklan tulkinta – 82 artiklan pätevyyden arviointi – Pätevyyden arviointia koskevan vaatimuksen tutkimatta jättäminen – Oikeus tämän asetuksen vastaisesti toteutetulla henkilötietojen käsittelyllä aiheutetun vahingon korvaamiseen – Tietojen luovuttaminen oikeudettomalle kolmannelle osapuolelle rekisterinpitäjän palveluksessa olevan työntekijän virheen vuoksi – Rekisterinpitäjän toteuttamien suojaamistoimenpiteiden asianmukaisuuden arviointi – Vahingonkorvauksen saamista koskevan oikeuden korvaustehtävä – Rikkomisen vakavuuden vaikutus – Velvollisuus osoittaa mainitulla rikkomisella aiheutettu vahinko – Aineettoman vahingon käsite
Asiassa C‑687/21,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Amtsgericht Hagen (Hagenin alioikeus, Saksa) on esittänyt 11.10.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 16.11.2021, saadakseen ennakkoratkaisun asiassa
BL
vastaan
MediaMarktSaturn Hagen-Iserlohn GmbH, aiemmin Saturn Electro-Handelsgesellschaft mbH Hagen,
UNIONIN TUOMIOISTUIN (kolmas jaosto),
toimien kokoonpanossa: jaoston puheenjohtaja K. Jürimäe sekä tuomarit N. Piçarra, M. Safjan, N. Jääskinen (esittelevä tuomari) ja M. Gavalec,
julkisasiamies: M. Campos Sánchez-Bordona,
kirjaaja: A. Calot Escobar,
ottaen huomioon kirjallisessa käsittelyssä esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– BL, edustajanaan D. Pudelko, Rechtsanwalt,
– MediaMarktSaturn Hagen-Iserlohn GmbH, aiemmin Saturn Electro-Handelsgesellschaft mbH Hagen, edustajanaan B. Hackl, Rechtsanwalt,
– Irlanti, asiamiehinään M. Browne, Chief State Solicitor, A. Joyce ja M. Lane, avustajanaan D. Fennelly, BL,
– Euroopan parlamentti, asiamiehinään O. Hrstková Šolcová ja J.-C. Puffer,
– Euroopan komissio, asiamiehinään A. Bouchagiar, M. Heller ja H. Kranenborg,
päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 2 artiklan 1 kohdan, 4 artiklan 7 alakohdan, 5 artiklan 1 kohdan f alakohdan, 6 artiklan 1 kohdan, 24 artiklan, 32 artiklan 1 kohdan b alakohdan ja 2 kohdan sekä 82 artiklan tulkintaa.
2 Tämä pyyntö on esitetty riita-asiassa, jossa vastakkain ovat luonnollinen henkilö BL ja MediaMarktSaturn Hagen-Iserlohn GmbH, aiemmin Saturn Electro-Handelsgesellschaft mbH Hagen (jäljempänä Saturn), ja joka koskee sellaisen aineettoman vahingon korvaamista, jonka mainittu henkilö väittää kärsineensä siitä syystä, että tämän yrityksen työntekijöiden tekemän virheen vuoksi tietyt hänen henkilötietonsa luovutettiin kolmannelle henkilölle.
Asiaa koskevat oikeussäännöt
3 Yleisen tietosuoja-asetuksen johdanto-osan 11, 74, 76, 83, 85 ja 146 perustelukappaleessa todetaan seuraavaa:
”(11) Henkilötietojen suojaaminen tehokkaasti kaikkialla [Euroopan] unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä – –
– –
(74) Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.
– –
(76) Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.
– –
(83) Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja.
– –
(85) Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton purkautuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. – –
– –
(146) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. – –”
4 Tämän asetuksen I lukuun, jonka aiheena ovat ”Yleiset säännökset”, sisältyvän kyseisen asetuksen 2 artiklan, jonka otsikko on ”Aineellinen soveltamisala”, 1 kohdassa säädetään seuraavaa:
”Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.”
5 Tämän asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –
– –
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; – –
– –
10) ’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,
– –
12) ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,
– –”
6 Yleisen tietosuoja-asetuksen II luku, jonka otsikko on ”Periaatteet”, sisältää asetuksen 5–11 artiklan.
7 Kyseisen asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:
”1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:
– –
f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (’eheys ja luottamuksellisuus’).
2. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”
8 Asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 kohdassa määritellään edellytykset, joiden on täytyttävä, jotta henkilötietojen käsittely on lainmukaista.
9 Yleisen tietosuoja-asetuksen IV lukuun, jonka otsikko on ”Rekisterinpitäjä ja henkilötietojen käsittelijä”, sisältyvät asetuksen 24–43 artikla.
10 Kyseisen luvun 1 jaksoon, jonka otsikko on ”Yleiset velvollisuudet”, sisältyvän 24 artiklan, jonka otsikko on puolestaan ”Rekisterinpitäjän vastuu”, 1 ja 2 kohdassa säädetään seuraava:
”1. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
2. Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.”
11 Tämän IV luvun 2 jaksoon, jonka otsikko on ”Henkilötietojen turvallisuus”, sisältyy yleisen tietoturva-asetuksen 32 artikla, jonka otsikko on puolestaan ”Käsittelyn turvallisuus”, ja sen 1 kohdan b alakohdassa ja 2 kohdassa säädetään seuraavaa:
”1. Ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
– –
b) kyky taata käsittelyjärjestelmien ja ‑palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
– –
2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.”
12 Yleisen tietosuoja-asetuksen VIII luku, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, sisältää kyseisen asetuksen 77–84 artiklan.
13 Tämän asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamiseen”, sanamuoto on seuraava:
”1. Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.
2. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. – –
3. Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
– –”
14 Yleisen tietosuoja-asetuksen 83 artiklassa, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, säädetään seuraavaa:
”1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.
2. – – Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:
a) rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;
b) rikkomuksen tahallisuus tai tuottamuksellisuus;
– –
d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
– –
k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.
3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua.
– –”
15 Tämän asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”
Pääasia ja ennakkoratkaisukysymykset
16 Pääasian kantaja meni Saturnin toimitiloihin, missä hän osti kodinkoneen. Tätä varten tämän yrityksen työntekijä laati myynti- ja luottosopimuksen. Tässä yhteydessä työntekijä syötti Saturnin tietojärjestelmään tätä asiakasta koskevia lukuisia henkilötietoja kuten hänen nimensä ja etunimensä, osoitteensa, asuinpaikkakuntansa, hänen työnantajansa nimen, hänen tulonsa sekä pankkitietonsa.
17 Nämä henkilötiedot sisältävät sopimusasiakirjat tulostettiin ja molemmat sopimuspuolet allekirjoittivat ne. Tämän jälkeen pääasian kantaja vei asiakirjat tavaroiden luovutuspisteessä työskenteleville Saturnin työntekijöille. Toinen asiakas, joka oli vaivihkaa kiilannut pääasian kantajan edelle, sai tällöin vahingossa haltuunsa sekä pääasian kantajan tilaaman laitteen että kyseessä olevat asiakirjat ja poistui ne mukanaan.
18 Koska erehdys huomattiin nopeasti, Saturnin työntekijä sai laitteen ja asiakirjat takaisin ja palautti ne pääsian kantajalle puolen tunnin sisällä niiden luovuttamisesta toiselle asiakkaalle. Yritys ehdotti pääasian kantajalle tämän virheen korvaamista toimittamalla kyseessä oleva laite veloituksetta hänen kotiinsa, mutta pääasian kantaja katsoi, että tämä korvaus ei ollut riittävä.
19 Pääasian kantaja nosti Amtsgericht Hagenissa (Hagenin alioikeus, Saksa), joka on ennakkoratkaisua pyytänyt tuomioistuin nyt käsiteltävässä asiassa, kanteen, jossa hän vaati erityisesti yleisen tietosuoja-asetuksen säännösten perusteella korvausta aineettomasta vahingosta, joka hänelle oli aiheutunut Saturnin työntekijöiden tekemän virheen johdosta ja tätä seuranneesta omien henkilötietojen hallitsemiskyvyn menettämisestä.
20 Puolustuksekseen Saturn väittää yhtäältä, että yleistä tietosuoja-asetusta ei ole rikottu ja että tämä rikkominen voitaisiin todeta vain, mikäli se ylittäisi tietyn vakavuusasteen, mitä nyt käsiteltävässä asiassa ei ole tapahtunut. Toisaalta tämä yritys väittää, ettei pääasian kantajalle ei ole aiheutunut minkäänlaista vahinkoa, koska ei ole todettu – eikä tähän ole edes vedottu –, että kolmas osapuoli olisi käyttänyt väärin kyseessä olevan henkilön henkilötietoja.
21 Ennakkoratkaisua pyytänyt tuomioistuin pohtii ensinnäkin yleisen tietosuoja-asetuksen 82 artiklan pätevyyttä siitä syystä, että tämä artikla vaikuttaa kyseisen tuomioistuimen mielestä epätäsmälliseltä siltä osin kuin on kyse sen oikeusvaikutuksista aineettoman vahingon korvaamisen tapauksessa.
22 Toiseksi siinä mahdollisessa tilanteessa, että unionin tuomioistuin ei totea mainittua 82 artiklaa pätemättömäksi, ennakkoratkaisua pyytänyt tuomioistuin pohtii, onko tässä artiklassa säädetyn korvauksen saamista koskevan oikeuden käyttämisen edellytyksenä paitsi yleisen tietosuoja-asetuksen rikkominen myös korvausta vaatineelle henkilölle aiheutunut vahinko ja erityisesti aineeton vahinko.
23 Kolmanneksi ennakkoratkaisua pyytänyt tuomioistuin pyrkii määrittämään, onko jo pelkästään se, että henkilötietoja sisältävät tulostetut asiakirjat on annettu luvatta kolmannelle osapuolelle rekisterinpitäjän palveluksessa olevan työntekijän virheen vuoksi, riittävä peruste katsoa yleistä tietosuoja-asetusta rikotun.
24 Neljänneksi kyseinen tuomioistuin toteaa, että ”[vastaajana olevalla] yrityksellä on näyttötaakka syyttömyydestään”, ja haluaa tietää, onko sen toteaminen, että asiakirjoja on luovutettu tuottamuksellisesti, riittävä peruste katsoa, että tietosuoja-asetusta on rikottu, erityisesti kun otetaan huomioon velvoite, joka rekisterinpitäjällä on toteuttaa asianmukaisia toimenpiteitä käsiteltäviä tietoja koskevan turvallisuuden varmistamiseksi tämän asetuksen 2, 5, 6 ja 24 artiklan nojalla.
25 Viidenneksi ennakkoratkaisua pyytänyt tuomioistuin pohtii, onko silloinkin, kun vaikuttaa siltä, että oikeudeton kolmas osapuoli ei ole tutustunut kyseisiin henkilötietoihin ennen nämä tiedot sisältävien asiakirjojen palauttamista, kyseessä yleisen tietosuoja-asetuksen 82 artiklassa tarkoitettu aineeton vahinko vain sillä perusteella, että henkilö, jonka henkilötiedot on laittomasti luovutettu edelleen, tuntee pelkoa – jota mainittu tuomioistuin ei ole poissulkenut – siitä riskistä, että tämä kolmas henkilö saattaa tiedot muiden henkilöiden saataville tai että niitä jopa käytetään myöhemmin väärin.
26 Kuudenneksi kansallinen tuomioistuin pohtii, mikä on pääasiassa kyseessä olevien kaltaisissa olosuhteissa tapahtuneen rikkomisen vakavuuden asteen mahdollinen vaikutus 82 artiklaan perustuvan aineettoman vahingon korvausta koskevan kanteen yhteydessä, kun otetaan huomioon, että rekisterinpitäjä olisi voinut käyttää tehokkaampia valvontamenetelmiä.
27 Seitsemänneksi kansallinen tuomioistuin haluaa tietää yleiseen tietosuoja-asetukseen perustuvan aineettoman vahingon korvaamisen tarkoituksen ja se viittaa siihen, että kyseessä voisi olla luonteeltaan sopimussakon kaltainen seuraamus.
28 Näissä olosuhteissa Amtsgericht Hagen on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko eurooppalaiseen yleiseen tietosuoja-asetukseen sisältyvä vahingonkorvaussäännös (yleisen tietosuoja-asetuksen 82 artikla) tehoton siksi, että säännökset aineettoman vahingon korvaamisen yhteydessä määrättävistä oikeusseurauksista eivät ole täsmällisiä?
2) Edellyttääkö vahingonkorvausvaade sen lisäksi, että suojeltavat tiedot on saatettu oikeudettoman kolmannen osapuolen tietoon, myös todettavissa olevaa aineetonta vahinkoa, joka vaatimuksen esittäjän on näytettävä toteen?
3) Riittääkö yleisen tietosuoja-asetuksen rikkomiseen se, että rekisteröidyn henkilön henkilötiedot (nimi, osoite, ammatti, tulot ja työnantajat) tietoja käsittelevän yrityksen työntekijöiden virheen vuoksi erehdyksessä luovutetaan paperille tulostetussa muodossa kolmannelle osapuolelle paperisella asiakirjalla?
4) Onko tietojen tahattoman kolmannelle osapuolelle luovuttamisen vuoksi kyseessä tietojen laiton myöhempi käsittely, jos yritys on työntekijöidensä menettelyn vuoksi vahingossa luovuttanut muutoin tietojenkäsittelylaitteelle tallennettavat tiedot tulostetussa muodossa oikeudettomalle kolmannelle osapuolelle (yleisen tietosuoja-asetuksen 2 artiklan 1 kohta, 5 artiklan 1 kohdan f alakohta, 6 artiklan 1 kohta ja 24 artikla)?
5) Onko kyseessä yleisen tietosuoja-asetuksen 82 artiklassa tarkoitettu aineeton vahinko jo silloin, kun kolmas osapuoli, joka on vastaanottanut henkilötietoja sisältävät asiakirjat, ei ole tutustunut kyseisiin tietoihin ennen paperiasiakirjan, johon tiedot sisältyvät, palauttamista, vai riittääkö yleisen tietosuoja-asetuksen 82 artiklassa tarkoitettuun vahinkoon mielipahan aiheutuminen henkilölle, jonka henkilötiedot on laittomasti luovutettu edelleen, koska henkilötietojen oikeudettoman luovutuksen yhteydessä on aina olemassa vaara siitä, että suuruudeltaan määrittelemättömän henkilöjoukon henkilötietoja voidaan käsitellä myöhemmin tai jopa käyttää väärin?
6) Kuinka vakavana rikkomista on pidettävä, jos tietojen tahaton luovuttaminen kolmansille osapuolille on estettävissä yrityksessä työskentelevien avustavien työntekijöiden tehokkaammalla valvonnalla ja/tai tietoturvan paremmalla organisoinnilla, esimerkiksi järjestämällä tavaran luovutus hoidettavaksi erillään sopimus- ja erityisesti rahoitusasiakirjojen hoidosta erillisellä luovutusasiakirjalla tai siirtämällä asiakirjat yrityksen tiloissa tavaran luovuttamisesta huolehtiville työntekijöille ilman asiakkaan, joka on saanut haltuunsa tulostetut asiakirjat, tavaran noutamiseen oikeuttava asiakirja mukaan lukien, myötävaikutusta (yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohta ja 2 kohta sekä 4 artiklan 7 alakohta)?
7) Onko aineettoman vahingon korvaamisella katsottava tarkoitettavan seuraamuksen määräämistä sopimussakon tavoin?”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen kysymys
29 Ennakkoratkaisua pyytänyt tuomioistuin kysyy ensimmäisellä kysymyksellään, onko tietosuoja-asetuksen 82 artikla tehoton siltä osin kuin siinä ei täsmennetä aineettoman vahingon korvaamisen yhteydessä määrättäviä oikeusseurauksia.
30 Euroopan parlamentti väittää, että tämä kysymys on jätettävä tutkimatta, koska ennakkoratkaisua pyytänyt tuomioistuin ei ole täyttänyt unionin tuomioistuimen työjärjestyksen 94 artiklan c alakohdan mukaisia vaatimuksia, vaikka kyseinen tuomioistuin tuo esiin erittäin monitahoisen ongelman eli unionin oikeuden säännöksen pätevyyden arvioinnin.
31 Työjärjestyksen 94 artiklan c alakohdan mukaan ennakkoratkaisupyyntöön on sisällytettävä unionin tuomioistuimelle esitettävien ennakkoratkaisukysymysten lisäksi muun muassa selostus niistä syistä, joiden vuoksi ennakkoratkaisua pyytävä tuomioistuin on ryhtynyt tarkastelemaan kysymystä unionin oikeuden tiettyjen säännösten tulkinnasta tai pätevyydestä.
32 Tästä on todettava, että ennakkoratkaisupyynnön perustelut eivät ole välttämättömiä ainoastaan sen vuoksi, että unionin tuomioistuin voi niiden perusteella antaa hyödyllisiä vastauksia, vaan myös siksi, että jäsenvaltioiden hallituksilla ja muilla osapuolilla on niiden perusteella mahdollisuus esittää huomautuksensa Euroopan unionin tuomioistuimen perussäännön 23 artiklan mukaisesti. Tarkemmin sanottuna unionin tuomioistuin tutkii unionin oikeuden säännöksen pätevyyden ennakkoratkaisupyynnössä esitettyjen pätemättömyysperusteiden valossa, joten se, ettei ennakkoratkaisupyynnössä ole mainittu mitään täsmällistä syytä, jonka johdosta ennakkoratkaisua pyytäneellä tuomioistuimella on tältä osin epäilyksiä, johtaa näiden kysymysten tutkimatta jättämiseen (ks. vastaavasti tuomio 15.7.2017, T.KUP, C‑349/16, EU:C:2017:469, 16–18 kohta ja tuomio 22.6.2023, Vitol, C‑268/22, EU:C:2023:508, 52–55 kohta).
33 Nyt käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin ei ole esittänyt yhtään täsmällistä seikkaa, jonka perusteella unionin tuomioistuin voisi tutkia yleisen tietosuoja-asetuksen 82 artiklan pätevyyden.
34 Tästä seuraa, että ensimmäinen kysymys on jätettävä tutkimatta.
Kolmas ja neljäs kysymys
35 Kolmannella ja neljännellä kysymyksellään, joita on tarkasteltava yhdessä ja ensin, ennakkoratkaisua pyytänyt tuomioistuin kysyy, onko yleisen tietosuoja-asetuksen 5, 24, 32 ja 82 artiklaa yhdessä luettuina tulkittava siten, että 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä jo pelkästään sillä perusteella, että rekisterinpitäjän palveluksessa oleva työntekijä on erehdyksessä luovuttanut henkilötietoja sisältävän asiakirjan oikeudettomalle kolmannelle osapuolelle, voidaan todeta, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetulla tavalla.
36 Yleisen tietosuoja-asetuksen 24 artiklassa säädetään rekisterinpitäjän yleisestä velvollisuudesta toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan kyseistä asetusta (tuomio 14.12.2023, Natsionalna age ntsia za prihodite, C‑340/21, EU:C:2023:986, 24 kohta).
37 Yleisen tietosuoja-asetuksen 32 artiklassa puolestaan täsmennetään käsittelyn turvallisuutta koskevat rekisterinpitäjän ja mahdollisen henkilötietojen käsittelijän velvollisuudet. Kyseisen artiklan 1 kohdassa säädetään näin ollen, että rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava kyseiseen käsittelyyn liittyviä riskejä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet uusin teknologia, toteuttamiskustannukset ja käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen. Mainitun artiklan 2 kohdassa todetaan myös, että asianmukaisen turvallisuustason arvioinnissa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin muun muassa henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai tällaisiin tietoihin pääsyn vuoksi (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 26–27 kohta).
38 Yleisen tietosuoja-asetuksen 24 ja 32 artiklan sanamuodosta ilmenee siten, että rekisterinpitäjän toteuttamien toimenpiteiden asianmukaisuutta on arvioitava konkreettisesti ottamalla huomioon näissä artikloissa tarkoitetut eri kriteerit ja kyseessä olevaan käsittelyyn ja siitä johtuviin riskeihin erityisesti liittyvät henkilötietojen suojelun tarpeet, ja näin on etenkin siksi, että rekisterinpitäjän on pystyttävä osoittamaan, että sen toteuttamat toimenpiteet ovat tämän asetuksen mukaisia, mikä ei olisi mahdollista, jos sellainen olettama, jota ei voi kumota, hyväksyttäisiin (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 30–32 kohta).
39 Tätä sanamuodon mukaista tulkintaa tukevat mainitun asetuksen 24 ja 32 artikla ja 5 artiklan 2 kohta sekä 82 artikla luettuina yhdessä ja asetuksen johdanto-osan 74, 76 ja 83 perustelukappaleen valossa; niistä käy erityisesti ilmi, että rekisterinpitäjällä on velvollisuus lieventää henkilötietojen tietoturvaloukkauksia koskevia riskejä mutta ei velvollisuutta estää näiden tietojen kaikkia tietoturvaloukkauksia (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 33–38 kohta).
40 Niinpä unionin tuomioistuin on tulkinnut yleisen tietosuoja-asetuksen 24 ja 32 artiklaa siten, että se, että kyseisen asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet luovuttavat henkilötietoja luvattomasti tai pääsevät niihin luvattomasti, ei sellaisenaan riitä sen toteamiseen, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetussa merkityksessä (tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 39 kohta).
41 Nyt käsiteltävässä asiassa se, että rekisterinpitäjän palveluksessa oleva työntekijä antaa erehdyksessä henkilötietoja sisältävän asiakirjan luvatta kolmannelle, voi olla riittävä seikka sen toteamiseksi, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetussa merkityksessä. Erityisesti tämä voi olla seuraus huolimattomuudesta tai laiminlyönnistä rekisterinpitäjän organisaatiossa, jossa ei oteta konkreettisesti huomioon kyseessä olevien tietojen käsittelyyn liittyviä riskejä.
42 Tältä osin on korostettava, että yleisen tietosuoja-asetuksen 5, 24 ja 32 artiklasta luettuina yhdessä ja tämän asetuksen johdanto-osan 74 perustelukappaleen valossa käy ilmi, että tämän asetuksen 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä todistustaakka siitä, että henkilötietoja käsitellään tavalla, jolla varmistetaan niiden asianmukainen turvallisuus kyseisen asetuksen 5 artiklan 1 kohdan f alakohdassa ja 32 artiklassa tarkoitetussa merkityksessä, on kyseisellä rekisterinpitäjällä. Tällaisella todistustaakan jaolla paitsi kannustetaan näitä tietoja käsitteleviä rekisterinpitäjiä ottamaan käyttöön yleisen tietosuoja-asetuksen edellyttämiä turvatoimenpiteitä myös säilytetään tämän asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden tehokas vaikutus ja noudatetaan asetuksen johdanto-osan 11 perustelukappaleessa mainittuja unionin lainsäätäjän tavoitteita (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 49–56 kohta).
43 Näin ollen unionin tuomioistuin on tulkinnut yleisen tietosuoja-asetuksen 5 artiklan 2 kohdassa vahvistettua ja sen 24 artiklassa konkretisoitua rekisterinpitäjän osoitusvelvollisuuden periaatetta siten, että kyseessä olevalla rekisterinpitäjällä on kyseisen asetuksen 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä todistustaakka siitä, että sen yleisen tietosuoja-asetuksen 32 artiklan nojalla toteuttamat turvallisuustoimenpiteet ovat asianmukaisia (tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 57 kohta).
44 Näin ollen tällaista yleisen tietosuoja-asetuksen 82 artiklaan perustuvaa vahingonkorvauskannetta käsittelevä tuomioistuin ei voi ratkaistessaan, onko tässä asetuksessa säädettyä velvollisuutta rikottu, ottaa huomioon pelkästään sitä seikkaa, että rekisterinpitäjän palveluksessa oleva työntekijä on antanut erehdyksessä henkilötietoja sisältävän asiakirjan oikeudettomalle kolmannelle osapuolelle. Tämän tuomioistuimen on nimittäin otettava huomioon myös kaikki näyttö, jonka rekisterinpitäjä on esittänyt osoittaakseen, että tekniset ja organisatoriset toimenpiteet, jotka se on toteuttanut mainitun asetuksen 24 ja 32 artiklan mukaisten velvollisuuksiensa noudattamiseksi, ovat olleet asianmukaisia.
45 Edellä esitetyn perusteella kolmanteen ja neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 5, 24, 32 ja 82 artiklaa yhdessä luettuina on tulkittava siten, että 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä pelkästään sillä perusteella, että rekisterinpitäjän palveluksessa oleva työntekijä on erehdyksessä antanut henkilötietoja sisältävän asiakirjan oikeudettomalle kolmannelle osapuolelle, ei voida todeta, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetulla tavalla.
Seitsemäs kysymys
46 Ennakkoratkaisua pyytänyt tuomioistuin kysyy seitsemännellä kysymyksellään, onko yleisen tietosuoja-asetuksen 82 artiklaa tulkittava siten, että tässä säännöksessä säädetyllä vahingonkorvauksen saamista koskevalla oikeudella on erityisesti aineettoman vahingon tapauksessa rankaiseva tehtävä.
47 Tästä unionin tuomioistuin on katsonut, että yleisen tietosuoja-asetuksen 82 artiklan tehtävänä ei ole rankaiseminen vaan vahingon korvaaminen päinvastoin kuin muiden, yhtä lailla tämän asetuksen VIII luvussa olevien säännösten eli 83 ja 84 artiklan, joiden tarkoitus on puolestaan olennaisesti rangaista, koska niiden nojalla voidaan määrätä hallinnollisia seuraamusmaksuja ja muita seuraamuksia. Asetuksen 82 artiklassa vahvistettujen sääntöjen ja 83 ja 84 artiklassa vahvistettujen sääntöjen välinen suhde osoittaa, että näiden kahden säännösryhmän välillä on ero ja että ne täydentävät toisiaan siltä osin kuin on kyse kannustimista noudattaa yleistä tietosuoja-asetusta, kun otetaan huomioon, että jokaisen oikeus vaatia korvausta vahingosta vahvistaa kyseisessä asetuksessa säädettyjen suojasääntöjen toimivuutta ja on omiaan tekemään lainvastaisen toiminnan toistamisen vähemmän houkuttelevaksi (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 38 ja 40 kohta ja tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 85 kohta).
48 Unionin tuomioistuin on täsmentänyt, että koska yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyllä korvauksen saamista koskevalla oikeudella ei ole varoittavaa tai rankaisevaa tehtävää vaan korvaustehtävä, asetuksen rikkomisen, josta vahinkoa on aiheutunut, vakavuudella ei voi olla vaikutusta tämän säännöksen nojalla myönnettävän vahingonkorvauksen määrään silloinkaan, kun kyse ei ole aineellisesta vaan aineettomasta vahingosta, joten kyseistä määrää ei voida vahvistaa tämän vahingon täysimääräisen korvaamisen ylittävälle tasolle (ks. vastaavasti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86 ja 87 kohta).
49 Edellä esitetystä seuraa, että ei ole tarpeen lausua ennakkoratkaisua pyytäneen tuomioistuimen esittämästä tämän 82 artiklan 1 kohdan mukaisen korvauksen saamista koskevan oikeuden tarkoituksen ja sopimussakon rankaisevan tehtävän välisestä yhteydestä.
50 Näin ollen seitsemänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että tässä säännöksessä säädetyllä vahingonkorvauksen saamista koskevalla oikeudella on korvaustehtävä, erityisesti aineettoman vahingon osalta, siltä osin kuin tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata täysimääräisesti tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko, eikä sillä ole rankaisevaa tehtävää.
Kuudes kysymys
51 Ennakkoratkaisua pyytänyt tuomioistuin kysyy kuudennella kysymyksellään, onko tietosuoja-asetuksen 82 artiklaa tulkittava siten, että tässä artiklassa edellytetään, että tämän asetuksen rikkomisen, johon rekisterinpitäjä on syyllistynyt, vakavuusaste otetaan huomioon määritettäessä tämän säännöksen perusteella vahingosta maksettavaa korvausta.
52 Tästä on todettava, että yleisen tietosuoja-asetuksen 82 artiklasta seuraa, että yhtäältä rekisterinpitäjän korvausvastuun syntymisen edellytyksenä on muun muassa sen tuottamus, joka on olettamana, ellei rekisterinpitäjä osoita, ettei vahinkoa aiheuttanutta tekoa voida miltään osin lukea sen syyksi, ja että toisaalta 82 artiklassa ei edellytetä, että tämän tuottamuksen vakavuusaste otetaan huomioon määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää (tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 103 kohta).
53 Yleisen tietosuoja-asetuksen 82 artiklan nojalla mahdollisesti vahvistettavan vahingonkorvauksen arvioinnista on todettava, että koska tässä asetuksessa ei ole tätä koskevaa säännöstä, kansallisten tuomioistuinten on tätä arviointia tehdessään sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, kunhan unionin oikeuden vastaavuus- ja tehokkuusperiaatetta noudatetaan (ks. vastaavasti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 83 ja 101 kohta oikeuskäytäntöviittauksineen).
54 Lisäksi unionin tuomioistuin on täsmentänyt, että kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden korvaustehtävä, tässä säännöksessä ei edellytetä, että tämän asetuksen rikkomisen, johon rekisterinpitäjä on oletetusti syyllistynyt, vakavuusaste otettaisiin huomioon määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää, vaan siinä edellytetään, että kyseinen summa määritetään siten, että korvataan täysimääräisesti tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko (ks. vastaavasti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 84–87 ja 102 kohta oikeuskäytäntöviittauksineen).
55 Edellä esitetyn perusteella kuudenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklaa on tulkittava siten, että tässä artiklassa ei edellytetä, että tämän asetuksen rikkomisen, johon rekisterinpitäjä on syyllistynyt, vakavuusaste otetaan huomioon määritettäessä tämän säännöksen perusteella vahingosta maksettavaa korvausta.
Toinen kysymys
56 Ennakkoratkaisua pyytänyt tuomioistuin kysyy toisella kysymyksellään, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että henkilön, joka esittää vahingonkorvausvaateen tämän säännöksen perusteella, on osoitettava paitsi tämän asetuksen säännösten rikkominen myös se, että tästä rikkomisesta on aiheutunut hänelle aineellista tai aineetonta vahinkoa.
57 Tästä on huomautettava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaan on niin, että ”jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta”.
58 Tämän säännöksen sanamuodosta käy ilmi, että pelkkä tietosuoja-asetuksen rikkominen ei riitä antamaan oikeutta korvauksen saamiseen. On nimittäin niin, että vahingon aiheutuminen on yksi tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin ne, että kyseistä asetusta on rikottu ja että vahingon ja rikkomisen välillä on syy-yhteys (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 32 ja 42 kohta; tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 77 kohta; tuomio 14.12.2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 14 kohta ja tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 82 kohta).
59 Erityisesti aineettomasta vahingosta unionin tuomioistuin on katsonut lisäksi, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohta on esteenä kansalliselle oikeussäännölle tai käytännölle, jossa asetetaan kyseisessä säännöksessä tarkoitetun aineettoman vahingon korvaamisen edellytykseksi se, että rekisteröidylle, sellaisena kuin rekisteröity on määritelty tämän asetuksen 4 artiklan 1 alakohdassa, aiheutunut vahinko on vakavuudeltaan tietynasteinen (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 51 kohta; tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 78 kohta ja tuomio 14.12.2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 16 kohta).
60 Unionin tuomioistuin on täsmentänyt, että henkilöllä, jolle on aiheutunut kielteisiä seurauksia yleisen tietosuoja-asetuksen rikkomisesta, on kuitenkin velvollisuus osoittaa, että nämä seuraukset muodostavat kyseisen asetuksen 82 artiklassa tarkoitetun aineettoman vahingon, koska pelkkä kyseisen asetuksen säännösten rikkominen ei riitä antamaan oikeutta korvauksen saamiseen (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 42 ja 50 kohta; tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 84 kohta ja tuomio 14.12.2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 21 ja 23 kohta).
61 Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että henkilön, joka esittää vahingonkorvausvaateen tämän säännöksen perusteella, on osoitettava paitsi tämän asetuksen säännösten rikkominen myös se, että tästä rikkomisesta on aiheutunut hänelle aineellista tai aineetonta vahinkoa.
Viides kysymys
62 Ennakkoratkaisua pyytänyt tuomioistuin kysyy viidennellä kysymyksellään, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että tilanteessa, jossa henkilötietoja sisältävä asiakirja on annettu oikeudettomalle kolmannelle osapuolelle, joka todistetusti ei ole tutustunut näihin tietoihin, tässä säännöksessä tarkoitettu aineeton vahinko on voinut aiheutua jo pelkästään sillä perusteella, että rekisteröity pelkää, että tämä tietojen luovuttaminen on mahdollistanut kyseisen asiakirjan kopioinnin ennen sen palauttamista ja näin ollen näiden tietojen tulevaisuudessa tapahtuvan levittämisen tai väärinkäytön.
63 On täsmennettävä, että kyseinen tuomioistuin toteaa, että nyt käsiteltävässä asiassa kyseessä olevat tiedot sisältävä asiakirja palautettiin pääasian kantajalle puolen tunnin kuluessa siitä, kun se oli annettu oikeudettomalle kolmannelle osapuolelle ja että tämä kolmas osapuoli ei tutustunut näihin tietoihin ennen asiakirjan palauttamista, mutta pääasian kantaja väittää, että tämä asiakirjan antaminen on mahdollistanut kolmannelle sen kopioimisen ennen sen palauttamista ja että tämä on aiheuttanut hänelle pelon siitä, että näitä tietoja käytetään tulevaisuudessa väärin.
64 Koska yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa ei viitata jäsenvaltioiden kansalliseen oikeuteen, kyseisessä säännöksessä tarkoitettu aineettoman vahingon käsite on määriteltävä itsenäisesti ja yhtenäisesti unionin oikeudessa (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 30 ja 44 kohta ja tuomio 14.12.2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 15 kohta).
65 Unionin tuomioistuin on katsonut, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan sanamuodosta, luettuna yhdessä tämän asetuksen johdanto-osan 85 ja 146 perustelukappaleen kanssa, joiden mukaan tässä artiklassa tarkoitettua aineettoman vahingon käsitettä olisi tulkittava laajasti, mutta myös asetuksen tavoitteena olevan luonnollisten henkilöiden korkeatasoisen suojelun tavoitteesta henkilötietojen käsittelyssä seuraa, että rekisteröidylle kyseisen asetuksen rikkomisesta aiheutuva pelko siitä, että kolmannet osapuolet käyttävät väärin hänen henkilötietojaan, voi sellaisenaan olla tässä 82 artiklan 1 kohdassa tarkoitettua aineetonta vahinkoa (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 79–86 kohta).
66 Lisäksi unionin tuomioistuin on katsonut myös sanamuotoon perustuvien, systemaattisen ja teleologisten näkökohtien perusteella, että henkilötietojen hallitsemiskyvyn menettäminen lyhytaikaisesti voi aiheuttaa rekisteröidylle yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa tarkoitetun aineettoman vahingon, joka on perusteena oikeudelle saada korvaus, sillä edellytyksellä, että mainittu henkilö osoittaa, että hänelle on tosiasiallisesti aiheutunut tällainen vahinko, vaikka se olisikin vähäinen, kun otetaan huomioon, että pelkkä yleisen tietosuoja-asetuksen rikkominen ei riitä antamaan oikeutta korvauksen saamiseen (ks. vastaavasti tuomio 14.12.2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 18–23 kohta).
67 Samoin nyt käsiteltävässä asiassa on todettava, että on sekä yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan sanamuodon mukaista että tämän asetuksen pyrkimyksenä olevan suojelun tavoitteen mukaista, että aineettoman vahingon käsite kattaa tilanteen, jossa rekisteröidyllä on perusteltuja pelkoja – mikä asiaa käsittelevän kansallisen tuomioistuimen on tarkistettava – siitä, että tulevaisuudessa kolmannet osapuolet levittävät tai käyttävät väärin häntä koskevia henkilötietoja, koska näitä tietoja sisältävä asiakirja on annettu oikeudettomalle kolmannelle osapuolelle, jolla on ollut mahdollisuus ottaa kopioita siitä ennen sen palauttamista.
68 On kuitenkin yleisen tietoturva-asetuksen 82 artiklaan perustuvan vahingonkorvauskanteen nostajan asiana osoittaa tällainen vahinko. Erityisesti puhtaasti hypoteettinen riski oikeudettoman kolmannen osapuolen toteuttamasta väärinkäytöstä ei oikeuta korvaukseen. Näin on silloin, kun mikään kolmas taho ei ole tutustunut kyseessä oleviin henkilötietoihin.
69 Näin ollen viidenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että tilanteessa, jossa henkilötietoja sisältävä asiakirja on annettu oikeudettomalle kolmannelle osapuolelle, joka todistetusti ei ole tutustunut näihin tietoihin, tässä säännöksessä tarkoitettu aineeton vahinko ei voi aiheutua pelkästään sillä perusteella, että rekisteröity pelkää, että tämä asiakirjan antaminen on mahdollistanut sen kopioinnin ennen sen palauttamista ja näin ollen näiden tietojen tulevaisuudessa tapahtuvan levittämisen tai väärinkäytön.
Oikeudenkäyntikulut
70 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 5, 24, 32 ja 82 artiklaa yhdessä luettuina
on tulkittava siten, että
82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä pelkästään sillä perusteella, että rekisterinpitäjän palveluksessa oleva työntekijä on erehdyksessä antanut henkilötietoja sisältävän asiakirjan oikeudettomalle kolmannelle osapuolelle, ei voida todeta, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetulla tavalla.
2) Direktiivin 2016/679 82 artiklan 1 kohtaa
on tulkittava siten, että
tässä säännöksessä säädetyllä vahingonkorvauksen saamista koskevalla oikeudella on korvaustehtävä, erityisesti aineettoman vahingon osalta, siltä osin kuin tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata täysimääräisesti tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko, eikä sillä ole rankaisevaa tehtävää.
3) Asetuksen 2016/679 82 artiklaa
on tulkittava siten, että
tässä artiklassa ei edellytetä, että tämän asetuksen rikkomisen, johon rekisterinpitäjä on syyllistynyt, vakavuusaste otetaan huomioon määritettäessä tämän säännöksen perusteella vahingosta maksettavaa korvausta.
4) Direktiivin 2016/679 82 artiklan 1 kohtaa
on tulkittava siten, että
henkilön, joka esittää vahingonkorvausvaateen tämän säännöksen perusteella, on osoitettava paitsi tämän asetuksen säännösten rikkominen myös se, että tästä rikkomisesta on aiheutunut hänelle aineellista tai aineetonta vahinkoa.
5) Direktiivin 2016/679 82 artiklan 1 kohtaa
on tulkittava siten, että
tilanteessa, jossa henkilötietoja sisältävä asiakirja on annettu oikeudettomalle kolmannelle osapuolelle, joka todistetusti ei ole tutustunut näihin tietoihin, tässä säännöksessä tarkoitettu aineeton vahinko ei voi aiheutua pelkästään sillä perusteella, että rekisteröity pelkää, että tämä asiakirjan antaminen on mahdollistanut sen kopioinnin ennen sen palauttamista ja näin ollen näiden tietojen tulevaisuudessa tapahtuvan levittämisen tai väärinkäytön.
Allekirjoitukset