EUROOPA KOHTU OTSUS (kolmas koda)
20. juuni 2024(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikkel 82 – Õigus saada hüvitist seda määrust rikkudes toimunud andmetöötlusega tekitatud kahju eest – Mõiste „mittevaraline kahju“ – Hüvitamine, mis on karistuslik või puhtalt kompenseeriv ja rahulolu pakkuv – Väike või sümboolne hüvitis – Kauplemisrakenduses salvestatud isikuandmete vargus – Identiteedivargus või ‑pettus
Liidetud kohtuasjades C‑182/22 ja C‑189/22,
mille ese on ELTL artikli 267 alusel Amtsgericht Müncheni (Müncheni esimese astme kohus, Saksamaa) 3. märtsi 2022. aasta otsustega esitatud eelotsusetaotlused, mis saabusid Euroopa Kohtusse 10. ja 11. märtsil 2022, menetlustes
JU (C‑182/22),
SO (C‑189/22)
versus
Scalable Capital GmbH,
EUROOPA KOHUS (kolmas koda),
koosseisus: koja president K. Jürimäe, kohtunikud N. Piçarra ja N. Jääskinen (ettekandja),
kohtujurist: A. M. Collins,
kohtusekretär: A. Calot Escobar,
arvestades kirjalikku menetlust,
arvestades seisukohti, mille esitasid:
– SO, esindaja: Rechtsanwalt M. Ruigrok van de Werve,
– Scalable Capital GmbH, esindaja: Rechtsanwalt M. C. Mekat,
– Iirimaa, esindajad: Chief State Solicitor M. Browne ning A. Joyce ja M. Tierney, keda abistas D. Fennelly, BL,
– Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,
olles 26. oktoobri 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
kohtuotsuse
1 Eelotsusetaotlused käsitlevad Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 82 tõlgendamist.
2 Taotlused on esitatud kahes kohtuvaidluses, milles vastavalt JU ja SO vaidlevad Scalable Capital GmbH‑ga mittevaralise kahju hüvitamise üle, mida nad väidavad olevat kandnud selle tõttu, et kolmandad tundmatud isikud varastasid nende isikuandmeid, mis olid salvestatud selle äriühingu hallatavas kauplemisrakenduses.
Õiguslik raamistik
3 Isikuandmete kaitse üldmääruse põhjendused 75, 85 ja 146 on sõnastatud järgmiselt:
„(75) Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või ‑pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel või prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid; kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.
[…]
(85) Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. […]
[…]
(146) […] Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. […] Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]“.
4 Määruse artiklis 4 „Mõisted“ on ette nähtud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]
[…]
7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; […]
[…]
10) „kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses:
[…]
12) „isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;
[…]“.
5 Määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõigetes 1–3 on sätestatud:
„1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.
2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.
3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.“
Põhikohtuasjad ja eelotsuse küsimused
6 Saksa õiguse alusel asutatud äriühing Scalable Capital haldab trading app’i (kauplemisrakendus), milles põhikohtuasjade hagejad JU ja SO olid avanud konto. Selleks salvestasid viimased oma kontodele teatavad isikuandmed, täpsemalt oma nime, sünnikuupäeva, postiaadressi, e‑posti aadressi ja ID‑kaardi digikoopia. Põhikohtuasja hagejad olid tasunud kontode avamiseks vajaliku mitme tuhande euro suuruse summa.
7 Tundmatuks jäänud kolmandad isikud varastasid 2020. aastal põhikohtuasja hagejate isikuandmeid ja väärtpaberiportfelli andmeid. Scalable Capitali sõnul ei ole neid isikuandmeid siiani kuritarvitatud.
8 Selles kontekstis esitasid põhikohtuasja hagejad eelotsusetaotluse esitanud kohtule, Amtsgericht Münchenile (Müncheni esimese astme kohus, Saksamaa), hagi nõudega hüvitada mittevaraline kahju, mida nad väidetavalt kandsid oma isikuandmete varguse tõttu.
9 Esimesena tuleb märkida, et eelotsusetaotluse esitanud kohtu tõstatatud küsimused tulenevad Saksamaa kohtute erinevatest lähenemisviisidest selle kahju hindamisel, mis tuleks niisugustes olukordades välja mõista. Seetõttu on rahalise hüvitise summad põhikohtuasjadega sarnastel juhtudel väga erinevad eelkõige olenevalt sellest, kas võimalikku heidutavat mõju võeti arvesse või mitte. Eelotsusetaotluse esitanud kohus täpsustab, et käesoleval juhul mõjutab kõnealuste andmete kaotsiminek üle mitutkümmet tuhandet inimest ja seega tuleb kasutada ühtset hindamismeetodit.
10 Mis teisena puudutab mittevaralise kahju hindamist, siis tugineb ta Saksa õigusele, et eristada „kompenseerivat“ funktsiooni „isikliku rahulolu“ pakkumise funktsioonist. Kompenseeriva funktsiooni eesmärk on kompenseerida väidetava kahju tekkinud ja ettenähtavad tagajärjed, samas kui isikliku rahulolu pakkumise funktsiooni eesmärk on neutraliseerida kahju tekkimise tõttu kogetud ebaõigluse tunne. Ta märgib, et Saksa õiguses on see rahulolu pakkumise funktsioon üksnes täiendav, ning leiab, et käesoleval juhul ei tohiks see funktsioon kuidagi mõjutada hagejate nõutud kahjuhüvitise arvutamist.
11 Kolmandana selgitab ta, et Saksa õiguses puudub skaala, mis võimaldaks kindlaks määrata kahjuhüvitise suurust vastavalt olukorrale, milles seda nõutakse. Siiski võimaldab langetatud üksikotsuste suur hulk kindlaks määrata raamistiku, millele saab tugineda ja mis moodustab teatava hüvitiste süsteemi. Sellega seoses täpsustab ta, et Saksa õiguskorras määratakse rahaline hüvitis isiklike õiguste rikkumiste kompenseerimiseks üksnes juhul, kui need rikkumised on eriti rasked. Rahas hindamine on objektiivsem tervisekahjustuste hüvitamise puhul. Seetõttu on eelotsusetaotluse esitanud kohus seisukohal, et andmete kaotsiminek peaks olema vähem kaalukas kui füüsilised kahjustused.
12 Neljandana soovib see kohus teada, kas on võimalik määrata väikeseid, sümboolsena tajutavaid hüvitisi, kui isikuandmete kaitse üldmääruse rikkumisega seotud kahju on väike.
13 Viiendana täheldab ta, et põhikohtuasjade pooled tõlgendavad mõistet „identiteedivargus“ erinevalt. Ta leiab sellega seoses, et identiteedivargusega on tegemist üksnes juhul, kui kolmas isik kasutab ebaseaduslikult saadud andmeid andmesubjekti identiteedi ebaseaduslikuks kasutamiseks.
14 Neil asjaoludel otsustas Amtsgericht München (Müncheni esimese astme kohus) kohtuasjades C‑182/22 ja C‑189/22 menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused, mis on mõlemas kohtuasjas sõnastatud identselt:
„1. Kas [isikuandmete kaitse üldmääruse] artiklit 82 tuleb tõlgendada nii, et kahjuhüvitise saamise õigusel ei ole karistuslikku iseloomu isegi hüvitise suuruse arvutamisel ja eelkõige ei ole sellel üldiselt või konkreetselt heidutavat funktsiooni, vaid kahjuhüvitise saamise õigusel on üksnes kompenseeriv ja olenevalt asjaoludest rahulolu pakkuv funktsioon?
2. Kas mittevaralise kahju eest hüvitise suuruse määramisel tuleb lähtuda sellest, et kahjuhüvitise saamise õigusel on ka isikule rahulolu pakkuv funktsioon, mida tuleb käesolevas asjas mõista kui kahjustatud isiku isiklikku huvi selle vastu, et kahju tekitaja võetakse vastutusele, või on kahjuhüvitise saamise õigusel üksnes kompenseeriv funktsioon, mida tuleb käesolevas asjas mõista põhjustatud kahjustuste kompenseerimise funktsioonina?
Juhul kui mittevaralise kahju eest hüvitise saamise õigusel on nii kompenseeriv kui ka rahulolu pakkuv funktsioon, siis kas hüvitise suuruse määramisel tuleb lähtuda sellest, et kompenseeriv funktsioon on rahulolu pakkuva funktsiooni suhtes strukturaalselt või vähemasti reegli-erandi-suhtest tulenevalt prioriteetne? Kas selle tagajärjel tuleb rahulolu pakkuv funktsioon kõne alla vaid tahtliku või raskest hooletusest põhjustatud kahjustuse korral?
Juhul kui mittevaralise kahju eest hüvitise saamise õigusel ei ole rahulolu pakkuvat funktsiooni, siis kas hüvitise suuruse arvutamisel loetakse raskendavatel asjaoludel toime pandud rikkumisteks vaid neid isikuandmetega seotud kahjustusi, mis on tahtlikud või põhjustatud raskest hooletusest?
3. Kas mittevaralise kahju eest hüvitise suuruse määramisel tuleb lähtuda strukturaalsest hierarhiast või vähemasti reegli-erandi-suhte hierarhiast, mille puhul on isikuandmetega seotud rikkumisest põhjustatud kahjustusel väiksem kaal kui tervisekahjustusest tuleneval kahjustusel ja valutundel?
4. Kas liikmesriigi kohus võib juhul, kui tuleb lähtuda põhimõttest, et kahju on tekitatud, kuid rikkumine ei ole raske, välja mõista üksnes väikeses summas kahjuhüvitise, mida kahjustatud isik või üldsus võib sellisel juhul tajuda vaid sümboolsena?
5. Kas mittevaralise kahju hüvitamisel tuleb kahju tagajärgede hindamisel lähtuda põhimõttest, et identiteedivargusega [isikuandmete kaitse üldmääruse] põhjenduse 75 tähenduses on tegemist alles siis, kui kurjategija on tegelikult omastanud andmesubjekti identiteedi ja on seega mingil kujul esitlenud ennast selle isikuna, või seisneb identiteedivargus juba selles, et kurjategijate käes on andmed, mis võimaldavad andmesubjekti identifitseerida?“
Menetlus Euroopa Kohtus
15 Euroopa Kohtu presidendi 19. aprilli 2022. aasta otsusega liideti kohtuasjad C‑182/22 ja C‑189/22 menetluse kirjaliku ja suulise osa ning kohtuotsuse huvides.
16 Euroopa Kohtu president jättis 1. juunil 2022 rahuldamata Scalable Capitali taotluse muuta käesolev menetlus anonüümseks Euroopa Kohtu kodukorra artikli 95 lõike 2 alusel.
Eelotsusetaotluste vastuvõetavus
17 Scalable Capital väidab sisuliselt, et käesolevad eelotsusetaotlused ei ole vastuvõetavad, kuna need ei mõjuta põhikohtuasjade lahendust. Ta leiab, et sellist abstraktset kontrolli kaotamist andmete üle nagu käesolevates asjades ei tule kvalifitseerida „kahjuks“ isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses, kui sellisel kontrolli kaotamisel ei ole konkreetseid tagajärgi, mistõttu ei ole artikli 82 kohaldamise tingimused täidetud. Selline kvalifitseerimine tähendaks nimelt seda, et määruse mis tahes rikkumine loob eelduse, et on tekkinud kahju, see aga oleks vastuolus isikuandmete kaitse üldmääruse artikli 82 sõnastuse, üldise ülesehituse ja kujunemislooga.
18 Sellega seoses tuleb märkida, et vastavalt väljakujunenud kohtupraktikale on üksnes asja menetleval ja selle lahendamise eest vastutaval liikmesriigi kohtul õigus kohtuasja eripära arvesse võttes hinnata nii eelotsuse vajalikkust kohtuasjas otsuse langetamiseks kui ka nende küsimuste asjakohasust, mis ta Euroopa Kohtule esitab ja mille asjasse puutuvust eeldatakse. Seega, kui küsimused on esitatud liidu õigusnormi tõlgendamise või kehtivuse kohta, on Euroopa Kohus üldjuhul kohustatud vastama, välja arvatud juhul, kui ilmneb, et taotletud tõlgendamine ei ole mingil viisil seotud põhikohtuasja faktiliste asjaolude või esemega, või ka juhul, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada faktilised või õiguslikud asjaolud, mis on vajalikud nimetatud küsimustele tarviliku vastuse andmiseks (vt 5. mai 2022. aasta kohtuotsus Zagrebačka banka, C‑567/20, EU:C:2022:352, punkt 43, ning 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 23).
19 Käesoleval juhul piisab, kui meenutada, et kui ei ole ilmne, et liidu õigusnormi tõlgendusel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, ei puuduta väide, et säte ei ole põhikohtuasjas kohaldatav, eelotsusetaotluse vastuvõetavust, vaid esitatud küsimuste sisu (vt selle kohta 13. juuli 2006. aasta kohtuotsus Manfredi jt, C‑295/04–C‑298/04, EU:C:2006:461, punkt 30; 4. juuli 2019. aasta kohtuotsus Kirschstein, C‑393/17, EU:C:2019:563, punkt 28, ja 24. juuli 2023. aasta kohtuotsus Lin, C‑107/23 PPU, EU:C:2023:606, punkt 66).
20 Järelikult on käesolevad eelotsusetaotlused vastuvõetavad.
Eelotsuse küsimuste analüüs
Esimene küsimus ja teise küsimuse esimene osa
21 Esimese küsimusega ja teise küsimuse esimese osaga, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selles sättes ette nähtud õigus hüvitisele täidab kompenseerivat funktsiooni, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama täielikult kompenseerida selle määruse rikkumisega tekitatud kahju, või nii, et see täidab ka karistuslikku funktsiooni, mille eesmärk on muu hulgas rahuldada andmesubjekti isiklikud huvid.
22 Euroopa Kohus on selle kohta juba otsustanud, et isikuandmete kaitse üldmääruse artiklil 82 ei ole mitte karistuslik, vaid kompenseeriv funktsioon erinevalt teistest selle määruse VIII peatüki sätetest, nimelt artiklitest 83 ja 84, millel omakorda on peamiselt karistuslik eesmärk, kuna need võimaldavad vastavalt määrata trahve ja muid sanktsioone. Artiklis 82 sätestatud õigusnormide suhe artiklites 83 ja 84 sätestatutega näitab, et need kaks sätete kategooriat on erinevad, aga ka üksteist täiendavad, kuivõrd need ajendavad isikuandmete kaitse üldmäärust järgima, kusjuures tuleb märkida, et igaühe õigus nõuda kahju hüvitamist tugevdab selles määruses ette nähtud kaitsenormide toimivust ja võib pärssida õigusvastase tegevuse kordumist (vt eelkõige 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 38 ja 40, ning 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 59).
23 Seega on isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tõlgendatud nii, et selles sättes ette nähtud õigusel hüvitisele, eelkõige mittevaralise kahju korral, on üksnes kompenseeriv, aga mitte heidutav või karistuslik funktsioon, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama täielikult kompenseerida selle määruse rikkumisega konkreetselt tekitatud kahju (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 57 ja 58, ning 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 61).
24 Järelikult tuleb esimesele küsimusele ja teise küsimuse esimesele osale vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selles sättes ette nähtud õigusel hüvitisele on eranditult kompenseeriv funktsioon, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama kantud kahju täielikult kompenseerida.
Teise küsimuse teine osa
25 Arvestades esimesele küsimusele ja teise küsimuse esimesele osale antud vastust, ei ole teise küsimuse teisele osale vaja vastata.
Teise küsimuse kolmas osa
26 Teise küsimuse kolmanda osaga soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et see nõuab, et kahju hüvitamisel selle sätte alusel võetaks arvesse, millise raskusastmega on selle määruse rikkumine vastutava töötleja poolt, ja rikkumise võimalikku tahtlikkust.
27 Isikuandmete kaitse üldmääruse artikli 82 alusel maksmisele kuuluva võimaliku kahjuhüvitise hindamise kohta olgu märgitud, et kuna see määrus ei sisalda sellise esemega sätet, peavad liikmesriikide kohtud kohaldama liikmesriigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, järgides liidu õiguses kehtivaid võrdväärsuse ja tõhususe põhimõtteid (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 53, 54 ja 59, ning 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 53).
28 Tuleb siiski rõhutada, et ühelt poolt sõltub vastutava töötleja vastutuse tekkimine isikuandmete kaitse üldmääruse artikli 82 alusel tema süüst, mida eeldatakse, välja arvatud juhul, kui ta tõendab, et kahju põhjustanud tegu ei ole talle omistatav, ning teiselt poolt ei nõua nimetatud artikkel 82, et selle sätte alusel mittevaralise kahju hüvitamiseks välja mõistetava kahjuhüvitise summa kindlaksmääramisel võetaks arvesse süü suurust (21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 103, ja 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 52).
29 Lisaks välistab isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud hüvitise saamise õiguse eranditult kompenseeriv funktsioon selle sätte alusel mittevaralise kahju hüvitamiseks väljamõistetava kahjuhüvitise summa kindlaksmääramisel selle arvesse võtmise, kui raske oli kõnealuse määruse rikkumine, mille vastutav töötleja eeldatavasti toime pani. See summa tuleb siiski kindlaks määrata nii, et see hüvitaks täielikult selle määruse rikkumisega tegelikult tekitatud kahju (vt analoogia alusel 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 102, ja 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 54).
30 Eeltoodud kaalutlusi arvestades tuleb teise küsimuse kolmandale osale vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et see ei nõua, et kahju hüvitamisel selle sätte alusel võetaks arvesse seda, millise raskusastmega on selle määruse rikkumine vastutava töötleja poolt, ja rikkumise võimalikku tahtlikkust.
Kolmas küsimus
31 Kolmanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et mittevaralise kahju hüvitamise õiguse alusel maksmisele kuuluva kahjuhüvitise summa kindlaksmääramisel tuleb asuda seisukohale, et niisugune isikuandmetega seotud rikkumisega tekitatud kahju on oma olemuselt väiksem kui isikukahju.
32 Sellega seoses on oluline meelde tuletada, et väljakujunenud kohtupraktikast ilmneb, et kui konkreetses valdkonnas puuduvad liidu õigusnormid, tuleb õigussubjektide õiguste kaitse tagamiseks mõeldud kohtuasjade menetluslikke aspekte menetlusautonoomia põhimõtte kohaselt reguleerida iga liikmesriigi sisemises õiguskorras, kuid seda siiski tingimusel, et need õigusnormid ei ole liidu õiguse kohaldamisalasse kuuluvates olukordades vähem soodsad kui normid, mis reguleerivad riigisisese õiguse kohaldamisalasse kuuluvaid sarnaseid olukordi (võrdväärsuse põhimõte), ning need ei muuda liidu õigusega antud õiguste kasutamist praktiliselt võimatuks ega ülemäära keeruliseks (tõhususe põhimõte) (vt selle kohta 13. detsembri 2017. aasta kohtuotsus El Hassani, C‑403/16, EU:C:2017:960, punkt 26, ja 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 53).
33 Käesoleval juhul tuleb märkida, et isikuandmete kaitse üldmäärus ei sisalda sätet, mille eesmärk oleks määratleda selle kahju hindamist reguleerivad õigusnormid, mida andmesubjekt määruse artikli 4 punkti 1 tähenduses võib nõuda määruse artikli 82 alusel, kui selle määruse rikkumine on talle kahju tekitanud. Seega, kuna selles valdkonnas puuduvad liidu õigusnormid, tuleb iga liikmesriigi õiguskorras kehtestada menetlusnormid hagidele, mille eesmärk on tagada õigussubjektidele artikliga 82 antud õiguste kaitse, ja eelkõige kriteeriumid, mis võimaldavad kindlaks määrata selle raames makstava hüvitise ulatuse, tingimusel et järgitakse võrdväärsuse põhimõtet ja tõhususe põhimõtet (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 54).
34 Kuna miski Euroopa Kohtu käsutuses olevas toimikus ei viita sellele, et võrdväärsuse põhimõte võiks olla põhikohtuasjade kontekstis asjakohane, tuleb keskenduda tõhususe põhimõttele. Seda silmas pidades peab eelotsusetaotluse esitanud kohus kindlaks tegema, ega isikuandmete kaitse üldmääruse artiklis 82 ette nähtud hüvitise saamise õiguse alusel tasumisele kuuluva kahjuhüvitise kohtu poolt kindlaksmääramise kord, mis on ette nähtud Saksa õiguses, ei muuda liidu õigusega ja täpsemalt kõnealuse määrusega antud õiguste kasutamist praktikas võimatuks või ülemäära keeruliseks.
35 Sellega seoses tuleneb käesoleva kohtuotsuse punktis 23 meenutatud kohtupraktikast, et arvestades määruse artikli 82 lõikes 1 ette nähtud hüvitise saamise õiguse eranditult kompenseerivat funktsiooni, tuleb sellel sättel põhinevat rahalist hüvitist pidada „täielikuks ja tõhusaks“, kui see võimaldab täielikult kompenseerida selle määruse rikkumisega konkreetselt tekitatud kahju.
36 Seda silmas pidades on nimetatud määruse põhjenduses 146 muu hulgas märgitud, et „[k]ahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke“ ning „[a]ndmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud“.
37 Samuti tuleb märkida, et isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 on välja toodud erinevad asjaolud, mida võib pidada „füüsiliseks, materiaalseks või mittemateriaalseks kahjuks“, ilma et need oleksid omavahel hierarhias või näitaksid, et andmetega seotud rikkumisega tekitatud kahjustused on oma olemuselt väiksemad kui tervisekahjustused.
38 Eeldamine, et isikukahju on oma olemuselt suurem kui mittevaraline kahju, seaks aga tekitatud kahju täieliku ja tõhusa hüvitamise põhimõtte kahtluse alla.
39 Eeltoodud kaalutlusi arvestades tuleb kolmandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et mittevaralise kahju hüvitamise õiguse alusel maksmisele kuuluva kahjuhüvitise summa kindlaksmääramisel tuleb asuda seisukohale, et niisugune isikuandmetega seotud rikkumisega tekitatud kahju ei ole oma olemuselt väiksem kui isikukahju.
Neljas küsimus
40 Neljanda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et kui kahju on tuvastatav, kuid ei ole suur, võib liikmesriigi kohus mõista selle kompenseerimiseks andmesubjektile välja väikese hüvitise, mida võidakse tajuda sümboolsena.
41 Tuleb meenutada, et väljakujunenud kohtupraktikast tuleneb, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et pelgalt selle määruse rikkumisest ei piisa, et tekiks õigus hüvitisele, kuna „kantud“ või „tekitatud“ varalise või mittevaralise „kahju“ olemasolu on üks nimetatud artikli 82 lõikes 1 ette nähtud hüvitise saamise õiguse tingimustest, nagu ka selle määruse rikkumise esinemine ning põhjuslik seos kahju ja rikkumise vahel, kusjuures need kolm tingimust on kumulatiivsed (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 32, ning 11. aprilli 2024. aasta kohtuotsus juris C‑741/21, EU:C:2024:288, punkt 34).
42 Seega peab isik, kes soovib nimetatud sätte alusel mittevaralise kahju hüvitamist, tõendama mitte ainult selle määruse sätete rikkumist, vaid ka seda, et rikkumine põhjustas talle sellise kahju, mida ei saa seega eeldada üksnes selle rikkumise toimumise põhjal (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 42 ja 50, ning 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 35).
43 Kui isik suudab tõendada, et isikuandmete kaitse üldmääruse rikkumisega on talle tekitatud kahju selle määruse artikli 82 tähenduses, tuleneb käesoleva kohtuotsuse punktist 33 sisuliselt, et hindamiskriteeriumid, mis võimaldavad kindlaks määrata hüvitise, mis tuleb välja mõista kohtuasjades, mille eesmärk on tagada õigussubjektidele selle artikliga antud õiguste kaitse, peavad selleks, et hüvitamine oleks täielik ja tõhus, olema kehtestatud iga liikmesriigi õiguskorras.
44 Euroopa Kohus on selle kohta otsustanud, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ei ole nõutud, et selle määruse sätete tõendatud rikkumise korral peaks andmesubjekti väidetav kahju selleks, et see oleks hüvitatav, ulatuma teatava „miinimumkünniseni“ (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 18).
45 Need kaalutlused ei välista aga, et liikmesriigi kohus võib välja mõista väikesesummalise hüvitise, juhul kui see hüvitis kompenseerib nimetatud kahju täielikult – seda peab kontrollima eelotsusetaotluse esitanud kohus, arvestades käesoleva kohtuotsuse punktis 43 mainitud põhimõtteid.
46 Eeltoodud kaalutlusi arvestades tuleb neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, kui kahju on tuvastatav, kuid ei ole suur, võib liikmesriigi kohus mõista selle kompenseerimiseks andmesubjektile välja väikese hüvitise, juhul kui see hüvitis kompenseerib kantud kahju täielikult.
Viies küsimus
Vastuvõetavus
47 Euroopa Komisjon tõstatas oma kirjalikes seisukohtades küsimuse, kas viies küsimus on põhikohtuasjades toimuvatele vaidlustele vastamiseks asjakohane, kuna ta tõdeb, et eelotsusetaotluse esitanud kohus ei ole teinud ühtegi viidet konkreetsele liidu õigusnormile.
48 Selle kohta tuleb märkida, et viiendas küsimuses on peetud silmas mõistet „identiteedivargus“ isikuandmete kaitse üldmääruse põhjenduse 75 tähenduses ja formaalselt ei puuduta see kõnealuse määruse artiklit 82. Siiski ei saa ainuüksi asjaolu, et Euroopa Kohtul palutakse teha otsus abstraktselt ja üldiselt, kaasa tuua eelotsusetaotluse vastuvõetamatust (15. novembri 2007. aasta kohtuotsus International Mail Spain, C‑162/06, EU:C:2007:681, punkt 24).
49 Samas palub eelotsusetaotluse esitanud kohus selle küsimusega Euroopa Kohtul tõlgendada isikuandmete kaitse üldmääruse põhjenduses 75 sisalduvat mõistet „identiteedivargus“, et määrata kindlaks isikuandmete kaitse üldmääruse artiklis 82 ette nähtud rahalise hüvitise suurus. See küsimus puudutab seega tõepoolest liidu õiguse sätet. Ühtlasi on vastus sellele küsimusele asjakohane ka seetõttu, et ei eelotsusetaotluse esitanud kohus ega põhikohtuasja pooled ei ole üksmeelel selle mõiste määratluses põhikohtuasjades tekkinud kahju hindamise tarbeks.
50 Neid asjaolusid arvestades on viies küsimus vastuvõetav.
Sisuline analüüs
51 Väljakujunenud kohtupraktika kohaselt on ELTL artiklis 267 sätestatud liikmesriigi kohtute ja Euroopa Kohtu vahelises koostöömenetluses Euroopa Kohtu ülesanne anda liikmesriigi kohtule tarvilik vastus, mis võimaldaks viimasel tema menetluses oleva kohtuasja lahendada. Seda arvestades tuleb Euroopa Kohtul temale esitatud küsimused vajaduse korral ümber sõnastada. Ka võib Euroopa Kohus arvesse võtta neid liidu õigusnorme, millele liikmesriigi kohus ei ole oma küsimuses viidanud (7. septembri 2023. aasta kohtuotsus Groenland Poultry, C‑169/22, EU:C:2023:638, punkt 47 ja seal viidatud kohtupraktika).
52 Käesoleval juhul puudutab viies küsimus isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigust hüvitisele ja täpsemalt isikuandmete kaitse üldmääruse põhjenduses 75 kasutatud mõistet „identiteedivargus“. Tuleb aga märkida, et lisaks sellele põhjendusele on seda mõistet mainitud ka sama määruse põhjenduses 85.
53 Järelikult tuleb asuda seisukohale, et viienda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb selle määruse põhjendusi 75 ja 85 arvestades tõlgendada nii, et selleks, et identiteedivargus oleks tuvastatav ja annaks õiguse mittevaralise kahju hüvitamisele selle sätte alusel, eeldab mõiste „identiteedivargus“, et kolmas isik oleks isikuandmete vargusest puudutatud andmesubjekti identiteeti tõepoolest ebaseaduslikult kasutanud, või on niisugune identiteedivargus tuvastatav, kui selle kolmanda isiku käsutuses on andmed, mis võimaldavad andmesubjekti tuvastada.
54 Identiteedivarguse mõistet ei ole isikuandmete kaitse üldmääruses määratletud. Samas on identiteedi „vargus“ või „pettus“ selle määruse põhjenduses 75 nimetatud mitteammendavas loetelus isikuandmete töötlemise tagajärgedest, mis võivad põhjustada füüsilist, varalist või mittevaralist kahju. Määruse põhjenduses 85 mainitakse taas identiteedi „vargust“ või „pettust“ koos loeteluga füüsilisest, varalisest või mittevaralisest kahjust, mida võib põhjustada isikuandmetega seotud rikkumine.
55 Nagu kohtujurist oma ettepaneku punktis 29 märkis, on isikuandmete kaitse üldmääruse põhjenduste 75 ja 85 erinevates keeleversioonides mainitud mõisteid „identiteedivargus“, „identiteedipettus“, „identiteedikelmus“, „identiteedi kuritarvitamine“ ja „identiteedi omastamine“, mida seal kasutatakse ühes ja samas tähenduses. Järelikult on mõisted „vargus“ ja „pettus“ omavahel asendatavad ning neil ei saa vahet teha. Need kaks viimast mõistet annavad alust eeldada tahet omastada sellise isiku identiteet, kelle isikuandmed on varem varastatud.
56 Lisaks, nagu märkis ka kohtujurist oma ettepaneku punktis 30, eristatakse isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 sisalduvates loeteludes kasutatud eri mõistete hulgas „kontrolli kaotamist“ või „kontrollist [ilmajäämist]“ oma isikuandmete üle identiteedi „vargusest“ või „pettusest“. Sellest järeldub, et selliste andmetega tutvumine ja nende üle kontrolli teostamine, mida võib samastada nende andmete vargusega, ei ole iseenesest samastatavad identiteedi „varguse“ või „pettusega“. Teisisõnu ei ole isikuandmete vargus iseenesest identiteedivargus või -pettus.
57 Sellega seoses tuleb siiski täpsustada, et isikuandmete vargusega tekitatud mittevaralise kahju hüvitamine isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel ei saa olla piiratud juhtudega, kus on tõendatud, et selline andmevargus viis seejärel identiteedivarguse või ‑pettuseni. Andmesubjekti isikuandmete vargus annab nimelt õiguse saada isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel hüvitist mittevaralise kahju eest, kui on täidetud selles sättes ette nähtud kolm tingimust, nimelt isikuandmete töötlemine isikuandmete kaitse üldmääruse sätteid rikkudes, andmesubjektile tekitatud kahju ning põhjuslik seos õigusvastase töötlemise ja selle kahju vahel (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 32 ja 36).
58 Neil põhjustel tuleb viiendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb selle määruse põhjendusi 75 ja 85 arvestades tõlgendada nii, et selleks, et identiteedivargus oleks tuvastatav ja annaks õiguse mittevaralise kahju hüvitamisele selle sätte alusel, eeldab mõiste „identiteedivargus“, et kolmas isik oleks isikuandmete vargusest puudutatud andmesubjekti identiteeti tõepoolest ebaseaduslikult kasutanud. Sellele vaatamata ei saa isikuandmete vargusega tekitatud mittevaralise kahju hüvitamine selle sätte alusel olla piiratud juhtudega, kus on tõendatud, et selline andmevargus viis seejärel identiteedivarguse või -pettuseni.
Kohtukulud
59 Kuna põhikohtuasjade poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:
1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 82 lõiget 1
tuleb tõlgendada nii, et
selles sättes ette nähtud õigusel hüvitisele on eranditult kompenseeriv funktsioon, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama kantud kahju täielikult kompenseerida.
2. Määruse 2016/679 artikli 82 lõiget 1
tuleb tõlgendada nii, et
see ei nõua, et kahju hüvitamisel selle sätte alusel võetaks arvesse seda, millise raskusastmega on selle määruse rikkumine vastutava töötleja poolt, ja rikkumise võimalikku tahtlikkust.
3. Määruse 2016/679 artikli 82 lõiget 1
tuleb tõlgendada nii, et
mittevaralise kahju hüvitamise õiguse alusel maksmisele kuuluva kahjuhüvitise summa kindlaksmääramisel tuleb asuda seisukohale, et niisugune isikuandmetega seotud rikkumisega tekitatud kahju ei ole oma olemuselt väiksem kui isikukahju.
4. Määruse 2016/679 artikli 82 lõiget 1
tuleb tõlgendada nii, et
kui kahju on tuvastatav, kuid ei ole suur, võib liikmesriigi kohus mõista selle kompenseerimiseks andmesubjektile välja väikese hüvitise, juhul kui see hüvitis kompenseerib kantud kahju täielikult.
5. Määruse 2016/679 artikli 82 lõiget 1 tuleb selle määruse põhjendusi 75 ja 85 arvestades
tõlgendada nii, et
selleks, et identiteedivargus oleks tuvastatav ja annaks õiguse mittevaralise kahju hüvitamisele selle sätte alusel, eeldab mõiste „identiteedivargus“, et kolmas isik oleks isikuandmete vargusest puudutatud andmesubjekti identiteeti tõepoolest ebaseaduslikult kasutanud. Sellele vaatamata ei saa isikuandmete vargusega tekitatud mittevaralise kahju hüvitamine selle sätte alusel olla piiratud juhtudega, kus on tõendatud, et selline andmevargus viis seejärel identiteedivarguse või -pettuseni.
Allkirjad