Language of document : ECLI:EU:C:2024:536

Väliaikainen versio

UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)

20 päivänä kesäkuuta 2024(*)

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 82 artiklan 1 kohta – Oikeus korvaukseen vahingosta, joka on aiheutunut tämän asetuksen vastaisesta tietojenkäsittelystä – Aineettoman vahingon käsite – Aiheutuneen vahingon vakavuuden vaikutus – Korvauksen määrän arviointi – Pelkoon perustuvan aineettoman vahingon korvaamista koskeva vaatimus – 83 artiklassa säädettyjä hallinnollisia seuraamusmaksuja koskevia perusteita ei voida soveltaa – Varoittava vaikutus – Arviointi, jos kyseistä asetusta ja kansallista oikeutta rikotaan samanaikaisesti

Asiassa C‑590/22,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Amtsgericht Wesel (Weselin alioikeus, Saksa) on esittänyt 5.8.2022 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 9.9.2022, saadakseen ennakkoratkaisun asiassa

AT ja

BT

vastaan

PS GbR,

VG,

MB,

DH,

WB ja

GS,

UNIONIN TUOMIOISTUIN (kolmas jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja K. Jürimäe, presidentti K. Lenaerts, joka hoitaa kolmannen jaoston tuomarin tehtäviä, sekä tuomarit N. Piçarra, N. Jääskinen (esittelevä tuomari) ja M. Gavalec,

julkisasiamies: M. Campos Sánchez-Bordona,

kirjaaja: A. Calot Escobar,

ottaen huomioon kirjallisessa käsittelyssä esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        Irlanti, asiamiehinään M. Browne, Chief State Solicitor, A. Joyce ja M. Tierney, avustajanaan D. Fennelly, BL,

–        Euroopan komissio, asiamiehinään A. Bouchagiar, M. Heller ja H. Kranenborg,

päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus) 82 artiklan 1 kohdan tulkintaa.

2        Tämä pyyntö on esitetty oikeusriidassa, jossa ovat vastakkain yhtäältä pääasian kantajat AT ja BT ja toisaalta veroneuvontaa harjoittava yhtiö PS GbR, sekä VG, MB, DH, WB, ja GS, jotka ovat PS:n osakkaita, ja joka koskee pääasian kantajien oikeutta saada yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla vahingonkorvausta kärsimyksestä, jonka he katsovat kärsineensä siitä syystä, että heidän henkilötietojaan sisältävä veroilmoituksensa on PS:n tekemän virheen seurauksena luovutettu kolmansille osapuolille ilman heidän suostumustaan.

 Asiaa koskevat oikeussäännöt

3        Yleisen tietosuoja-asetuksen johdanto-osan 85, 146 ja 148 perustelukappaleessa todetaan seuraavaa:

” (85)      Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton purkautuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. – –

– –

(146)      Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. – –

– –

(148)      Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja – – Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. – – ”

4        Kyseisen asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

” Tässä asetuksessa tarkoitetaan

1)      ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja;

– –

7)      ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot;

– –

10)      ’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

– –

12)      ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

– – ”

5        Mainitun asetuksen 79 artiklan 1 kohdan sanamuoto on seuraava:

” Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”

6        Kyseisen asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamisen”, 1–3 kohdassa säädetään seuraavaa:

” 1.      Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.      Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. – –

3.      Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.”

7        Yleisen tietosuoja-asetuksen 83 artiklan, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, 2, 3 ja 5 kohdassa säädetään seuraavaa:

”2.      – – Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)      rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)      rikkomuksen tahallisuus tai tuottamuksellisuus;

– –

k)      mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.

3.      Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua.

– –

5.      Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)      edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyä koskevat perusperiaatteet, mukaan lukien suostumuksen edellytykset;

b)      rekisteröityjen 12–22 artiklan mukaiset oikeudet;

– – ”

 Pääasia ja ennakkoratkaisukysymykset

8        Pääasian kantajat AT ja BT ovat veroneuvontatoimisto PS:n asiakkaita. He ilmoittivat tälle neuvontatoimistolle postiosoitteensa muutoksesta, joka rekisteröitiin PS:n tietotekniseen tietojenkäsittelyjärjestelmään. Tämän jälkeen PS käytti pääasian kantajien uutta osoitetta useiden kirjeiden lähettämiseen.

9        Pääasian kantajat pyysivät heinäkuussa 2020 PS:ää laatimaan vuoden 2019 veroilmoituksensa. Koska he eivät saaneet mitään vastausta, he ottivat yhteyttä PS:ään, joka ilmoitti heille, että kyseinen veroilmoitus oli lähetetty heille postitse 29.9.2020, täsmentämättä osoitetta, johon kyseinen kirje oli lähetetty.

10      Pääasian kantajien vanhan osoitteen uudet asukkaat ilmoittivat heille, että heille osoitettu kirjekuori oli saapunut tähän osoitteeseen ja uudet asukkaat olivat avanneet sen erehdyksessä. Yksi näistä uusista asukkaista ilmoitti, että todettuaan, ettei kyseistä postilähetystä ollut osoitettu hänelle, hän oli laittanut takaisin kirjekuoreen siitä löytämänsä asiakirjat. Tämän jälkeen hän oli antanut kirjekuoren pääasian kantajien vanhan osoitteen läheisyydessä asuville läheisille, jotta pääasian kantajat voisivat hakea kuoren.

11      Kun pääasian kantajat saivat kyseisen kirjekuoren, he totesivat, että sen sisällä oli vain jäljennös veroilmoituksesta ja saatekirje. He kuitenkin olettavat, että tämä kirjekuori sisälsi myös kyseisen veroilmoituksen alkuperäisen version, johon sisältyi henkilötietoja, joihin kuuluivat heidän nimensä ja syntymäaikansa sekä heidän lastensa nimet, verotunnistenumerot, heidän pankkiyhteystietonsa, tai tietoja heidän kuulumisestaan uskonnolliseen yhteisöön, heidän perheenjäsenensä vammaisuudesta, heidän ammateistaan ja työpaikoistaan tai erilaisista heille aiheutuneista kuluista.

12      Ennakkoratkaisua pyytänyt tuomioistuin täsmentää tältä osin, ettei ollut mahdollista selvittää, mitkä asiakirjat mainitussa kirjekuoressa alun perin olivat, eikä määrittää, missä määrin pääasian kantajien vanhan osoitteen uudet asukkaat olivat saaneet tiedon tämän kirjekuoren sisällöstä. Se toteaa myös, että kyseessä olevan kirjeen lähettäminen väärään osoitteeseen johtui siitä, että PS oli käyttänyt tietoja, jotka olivat peräisin tietokannasta, jossa oli vielä pääasian kantajien vanha osoite.

13      Tässä yhteydessä pääasian kantajat nostivat ennakkoratkaisua pyytäneessä tuomioistuimessa Amtsgericht Weselissä (Weselin alioikeus, Saksa) kanteen, jossa he vaativat yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla korvausta aineettomasta vahingosta, jonka he katsovat kärsineensä henkilötietojensa luovuttamisesta kolmansille osapuolille ja jonka suuruudeksi he arvioivat 15 000 euroa.

14      Ennakkoratkaisua pyytänyt tuomioistuin pohtii ensinnäkin, voiko tilanteessa, jossa vedotaan aineettomaan vahinkoon, oikeus saada korvausta yleisen tietosuoja-asetuksen 82 artiklan nojalla perustua pelkästään kyseisen asetuksen säännösten rikkomiseen, kun otetaan huomioon, että Saksan oikeudessa oikeus rahalliseen korvaukseen voidaan vahvistaa vain niissä tapauksissa, joissa on osoitettu, että kyseessä on merkittävä vahinko, joka ylittää pelkän oikeussäännön rikkomisen, edellyttäen, että tätä vahinkoa ei voida korvata muulla tavoin.

15      Toiseksi kyseinen tuomioistuin pohtii, voiko pelko siitä, että henkilötiedot ovat joutuneet asiattomien henkilöiden haltuun, sellaisenaan merkitä aineetonta vahinkoa, joka voi synnyttää oikeuden rahalliseen korvaukseen yleisen tietosuoja-asetuksen 82 artiklan nojalla.

16      Kolmanneksi kyseinen tuomioistuin toteaa, että yleisen tietosuoja-asetuksen 83 artiklassa säädetään perusteista, joiden avulla voidaan määrittää yhdenmukaisesti tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrä. Kyseiseen artiklaan ei kuitenkaan sisälly mitään vastaavaa aineettoman vahingon rahallisen korvauksen osalta. Mainittu tuomioistuin pohtii siis, voidaanko näitä perusteita soveltaa yleisen tietosuoja-asetuksen 82 artiklaan perustuvan aineettoman vahingon rahalliseen korvaamiseen.

17      Neljänneksi ennakkoratkaisua pyytänyt tuomioistuin huomauttaa, että yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa todetaan, että vahingon käsitettä on tulkittava laajasti, jotta voidaan taata täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. Se pohtii kuitenkin, merkitseekö viittaus tosiasialliseen korvaukseen sitä, että aineettomasta vahingosta maksettava korvaus on arvioitava siten, että sillä on varoittava vaikutus. Tarvittaessa rekisterinpitäjillä saattaisi olla houkutus jättää noudattamatta yleisessä tietosuoja-asetuksessa säädettyjä velvoitteita, jos tämän asetuksen tiukasta noudattamisesta aiheutuvat kustannukset osoittautuvat suuremmiksi kuin niiden vahingonkorvausten määrät, jotka ne voivat joutua maksamaan, jos kyseistä asetusta rikotaan.

18      Viidenneksi ja viimeiseksi ennakkoratkaisua pyytänyt tuomioistuin pohtii, onko yleisen tietosuoja-asetuksen säännösten ja Saksan oikeuden säännösten, kuten salassapitovelvollisuuksien asettamista tietyille elinkeinonharjoittajille koskevien säännösten, samanaikainen rikkominen otettava huomioon arvioitaessa korvausta aineettomasta vahingosta yleisen tietosuoja-asetuksen 82 artiklan nojalla. Se esittää tältä osin epäilyksensä, koska nyt käsiteltävässä asiassa merkitykselliset Saksan oikeuden säännökset olivat jo voimassa yleisen tietosuoja-asetuksen antamisajankohtana, eikä niitä näin ollen voida pitää kyseisen asetuksen mukaisesti hyväksyttyinä delegoituina säädöksinä ja täytäntöönpanosäädöksinä asetuksen johdanto-osan 146 perustelukappaleessa tarkoitetulla tavalla.

19      Näissä olosuhteissa Amtsgericht Wesel on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

” 1)      Riittääkö [yleisen tietosuoja-asetuksen] 82 artiklan 1 kohdassa tarkoitetun korvauksensaamisoikeuden perustelemiseksi, että tähän oikeuteen vetoavaa henkilöä suojaavaa yleisen tietosuoja-asetuksen säännöstä on rikottu, vai onko edellytyksenä, että säännösten rikkomisen lisäksi hänelle on aiheutunut muuta haittaa?

2.      Edellytetäänkö unionin oikeudessa, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen aineettomasta vahingosta saatavaa korvausta koskevan oikeuden perustelemiseksi kyseessä on oltava vakavuudeltaan tietynlainen haitta?

3.      Erityisesti kysytään, edellyttääkö yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukainen oikeus saada korvausta aineettomasta vahingosta, että tähän oikeuteen vetoava henkilö pelkää, että hänen henkilötietonsa ovat yleisen tietosuoja-asetuksen säännösten rikkomisen seurauksena joutuneet kolmansien osapuolten haltuun, ilman että se voidaan näyttää toteen?

4)      Onko unionin oikeuden mukaista, jos kansallinen tuomioistuin tukeutuu yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen aineettomasta vahingosta saatavan korvauksen määrittämisessä yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan toisen virkkeen arviointiperusteisiin, joita sovelletaan sen sanamuodon mukaan vain hallinnollisiin seuraamusmaksuihin?

5)      Onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen aineettomasta vahingosta saatavan korvauksen määrä määritettävä myös siten, että myönnetyn korvauksen määrällä saavutetaan varoittava vaikutus ja/tai estetään rikkomusten ”kaupallistuminen” (hallinnollisten seuraamusmaksujen/vahingonkorvausten laskelmoitu hyväksyminen)?

6)      Onko unionin oikeuden mukaista, jos yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen aineettomasta vahingosta saatavan korvauksen määrän määrittämisessä otetaan huomioon sellaisten kansallisten säännösten samanaikainen rikkominen, joiden tarkoituksena on henkilötietojen suojaaminen mutta jotka eivät ole mainitun asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä?”

 Ennakkoratkaisukysymysten tarkastelu

 Ensimmäinen ja toinen ennakkoratkaisukysymys

20      Ensimmäisellä ja toisella kysymyksellään, jotka on syytä käsitellä yhdessä, ennakkoratkaisua pyytänyt tuomioistuin kysyy, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että tämän asetuksen säännösten rikkominen sellaisenaan riittää korvauksen saamista koskevan oikeuden perustaksi tämän säännöksen nojalla, vai onko rekisteröidyn lisäksi osoitettava tästä rikkomisesta aiheutunut vahinko, joka on vakavuudeltaan tietynasteinen.

21      Yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetään, että ”jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta”.

22      Unionin tuomioistuin on jo katsonut, että kyseisen säännöksen sanamuodosta ilmenee selvästi, että aineellisen tai aineettoman ”vahingon aiheutuminen” on yksi tässä 82 artiklan 1 kohdassa säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin se, että kyseistä asetusta on rikottu ja että vahingon ja rikkomisen välillä on syy-yhteys (ks. vastaavasti tuomio 4.3.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 32 kohta ja tuomio 11.4.2024, , C‑741/21, EU:C:2024:288, 34 kohta).

23      Ei siis voida katsoa, että yleisen tietosuoja-asetuksen säännösten ”rikkominen” yksinään antaisi rekisteröidylle, sellaisena kuin rekisteröity määritellään kyseisen asetuksen 4 artiklan 1 alakohdassa, mainitun oikeuden korvauksen saamiseen. Lisäksi mainitun asetuksen 82 artiklan 1 kohdassa olevat erilliset maininnat ”vahingosta” ja ”rikkomisesta” olisivat tarpeettomia, jos unionin lainsäätäjä olisi katsonut, että kyseisen asetuksen säännösten rikkominen voisi yksinään ja joka tapauksessa riittää korvauksen saamista koskevan oikeuden perustaksi (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 33 ja 34 kohta).

24      Tästä seuraa, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että pelkkä kyseisen asetuksen säännösten rikkominen ei riitä antamaan oikeutta korvauksen saamiseen (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 42 kohta).

25      Henkilön, joka vaatii korvausta aineettomasta vahingosta tämän säännöksen perusteella, on nimittäin näytettävä toteen paitsi kyseisen asetuksen säännösten rikkominen myös se, että rikkominen on aiheuttanut hänelle tällaista vahinkoa (ks. vastaavasti tuomio 4.3.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 42 ja 50 kohta ja tuomio 11.4.2024, , C‑741/21, EU:C:2024:288, 35 kohta).

26      Viimeksi mainitun edellytyksen osalta yleisen tietosuoja-asetuksen 82 artiklan 1 kohta on esteenä kansalliselle oikeussäännölle tai käytännölle, jossa asetetaan kyseisessä säännöksessä tarkoitetun aineettoman vahingon korvaamisen edellytykseksi se, että rekisteröidylle aiheutunut vahinko on vakavuudeltaan tietynasteinen (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 51 kohta ja tuomio 11.4.2024, juris, EU:C:2024:288, 36 kohta).

27      Rekisteröidyllä on kuitenkin kyseisen asetuksen 82 artiklan 1 kohdan nojalla velvollisuus osoittaa, että hänelle on tosiasiallisesti aiheutunut aineellista tai aineetonta vahinkoa (ks. vastaavasti tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 39 kohta).

28      Edellä esitetyn perusteella ensimmäiseen ja toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että kyseisen asetuksen rikkominen ei sellaisenaan riitä korvauksen saamista koskevan oikeuden perustaksi tämän säännöksen nojalla. Rekisteröidyn on myös osoitettava tästä rikkomisesta aiheutunut vahinko, mutta vahingon ei kuitenkaan tarvitse olla vakavuudeltaan tietynasteinen.

 Kolmas kysymys

29      Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella kysymyksellään, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että henkilön pelko siitä, että hänen henkilötietonsa on tämän asetuksen rikkomisen seurauksena luovutettu kolmansille, ilman että voidaan osoittaa, että näin on todella tapahtunut, riittää synnyttämään oikeuden saada korvausta aineettomasta vahingosta.

30      Ennakkoratkaisupyynnöstä ilmenee, että pääasian kantajat vaativat tietosuoja-asetuksen nojalla korvausta aineettomasta vahingosta, joka heille on aiheutunut siitä, että he ovat menettäneet hallitsemiskyvyn henkilötietoihinsa, joita on käsitelty, voimatta osoittaa, missä määrin kolmannet ovat tosiasiallisesti tutustuneet näihin tietoihin.

31      Tästä on todettava, että koska yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa ei viitata jäsenvaltioiden kansalliseen oikeuteen, kyseisessä säännöksessä tarkoitettu aineettoman vahingon käsite on määriteltävä itsenäisesti ja yhtenäisesti unionin oikeudessa (ks. vastaavasti tuomio 4.3.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 30 kohta ja tuomio 25.1.2024, juris, C‑687/21, EU:C:2024:72, 64 kohta).

32      Unionin tuomioistuin on katsonut, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan sanamuodosta, luettuna yhdessä tämän asetuksen johdanto-osan 85 ja 146 perustelukappaleen kanssa, joiden mukaan tässä artiklassa tarkoitettua aineettoman vahingon käsitettä olisi tulkittava laajasti, mutta myös asetuksen tavoitteena olevan luonnollisten henkilöiden korkeatasoisen suojelun tavoitteesta henkilötietojen käsittelyssä seuraa, että rekisteröidylle kyseisen asetuksen rikkomisesta aiheutuva pelko siitä, että kolmannet osapuolet käyttävät väärin hänen henkilötietojaan, voi sellaisenaan olla tässä 82 artiklan 1 kohdassa tarkoitettua aineetonta vahinkoa (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 79–86 kohta ja tuomio 25.1.2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, 65 kohta).

33      Henkilötietojen hallitsemiskyvyn menettäminen jopa vain lyhytaikaisesti voi aiheuttaa rekisteröidylle yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa tarkoitetun aineettoman vahingon, joka on perusteena oikeudelle saada korvaus, sillä edellytyksellä, että rekisteröity osoittaa, että hänelle on tosiasiallisesti aiheutunut tällainen vahinko, vaikka se olisikin vähäinen, kun otetaan huomioon, että pelkkä yleisen tietosuoja-asetuksen rikkominen ei riitä antamaan oikeutta korvauksen saamiseen (ks. vastaavasti tuomio 25.01.2024, Natsionalna agentsia za prihodite, C‑687/21, EU:C:2024:72, 66–86 kohta ja tuomio 11.4.2024, MediaMarktSaturn, C‑741/21, EU:C:2024:288, 42 kohta).

34      Henkilön, joka katsoo, että hänen henkilötietojaan on käsitelty yleisen tietosuoja-asetuksen merkityksellisten säännösten vastaisesti, ja vaatii korvausta kyseisen asetuksen 82 artiklan 1 kohdan nojalla, on siis osoitettava, että hänelle on tosiasiallisesti aiheutunut aineellista tai aineetonta vahinkoa.

35      Näin ollen pelkkä väite pelosta, jolla ei ole osoitettu olevan kielteisiä seurauksia, ei voi johtaa vahingonkorvaukseen tämän säännöksen nojalla.

36      Edellä esitetyillä perusteilla kolmanteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että henkilön pelko siitä, että hänen henkilötietonsa on tämän asetuksen rikkomisen seurauksena luovutettu kolmansille, ilman että voidaan osoittaa, että näin on todella tapahtunut, riittää vahingonkorvausoikeuden syntymiseen, kunhan tämä pelko ja sen kielteiset seuraukset on asianmukaisesti näytetty toteen.

 Neljäs ja viides kysymys

37      Ennakkoratkaisua pyytänyt tuomioistuin kysyy neljännellä ja viidennellä kysymyksellään, jotka on syytä tutkia yhdessä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että tämän säännöksen nojalla vahingosta maksettavan korvauksen määrän määrittämiseksi on yhtäältä sovellettava soveltuvin osin tämän asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän määritysperusteita ja toisaalta katsottava, että tällä korvauksen saamista koskevalla oikeudella on varoittava tehtävä.

38      Ensinnäkin siltä osin kuin on kyse yleisen tietosuoja-asetuksen 83 artiklassa säädettyjen perusteiden mahdollisesta huomioon ottamisesta asetuksen 82 artiklan nojalla maksettavan korvauksen määrän arvioimiseksi, on selvää, että näillä kahdella säännöksellä on eri tavoitteet. Kyseisen asetuksen 83 artiklassa nimittäin määritellään ”hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, kun taas kyseisen asetuksen 82 artiklassa säädetään ”vastuu[sta] ja oikeu[desta] korvauksen saamiseen”.

39      Tästä seuraa, että yleisen tietosuoja-asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän arviointiperusteita, jotka mainitaan myös kyseisen asetuksen johdanto-osan 148 perustelukappaleessa, ei voida käyttää kyseisen asetuksen 82 artiklan mukaisen vahingonkorvauksen määrän arvioimiseen (tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 57 kohta).

40      Yleisessä tietosuoja-asetuksessa ei ole säännöstä, jolla määritetäisiin säännöt, jotka koskevat sen vahingonkorvauksen arviointia, jota kyseisen asetuksen 4 artiklan 1 alakohdassa tarkoitettu rekisteröity voi vaatia sen 82 artiklan nojalla, jos mainitun asetuksen rikkomisesta on aiheutunut hänelle vahinkoa. Koska unioni ei ole antanut asiaa koskevia sääntöjä, jokaisen jäsenvaltion sisäisessä oikeusjärjestyksessä on siten vahvistettava kanteita, joilla pyritään turvaamaan yksityisten kyseiseen 82 artiklaan perustuvat oikeudet, koskevat yksityiskohtaiset säännöt ja erityisesti perusteet tässä yhteydessä maksettavan korvauksen suuruuden määrittämiseksi, sillä edellytyksellä, että vastaavuus- ja tehokkuusperiaatteita noudatetaan (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 54 kohta ja tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 58 kohta).

41      Toiseksi yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyllä korvauksen saamista koskevalla oikeudella ei ole varoittavaa tai rankaisevaa tehtävää. Tästä seuraa, että väitetyn aineellisen tai aineettoman vahingon aiheuttaneen tämän asetuksen rikkomisen vakavuudella ei voi olla vaikutusta tämän säännöksen nojalla myönnettävän vahingonkorvauksen määrään ja että kyseistä määrää ei voida vahvistaa tämän vahingon täysimääräisen korvaamisen ylittävälle tasolle (ks. vastaavasti tuomio 21.12.2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, 86 kohta ja tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 60 kohta).

42      Kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden vahingonkorvaustehtävä, sellaisena kuin se ilmaistaan kyseisen asetuksen johdanto-osan 146 perustelukappaleen kuudennessa virkkeessä, kyseiseen artiklaan perustuvaa rahamääräistä korvausta on pidettävä ”täytenä ja tosiasiallisena”, jos sillä voidaan korvata kyseisen asetuksen rikkomisesta konkreettisesti aiheutunut vahinko täysimittaisesti ilman, että tällainen täysimittainen korvaus edellyttäisi rangaistusluonteisten vahingonkorvausten määräämistä maksettavaksi (ks. vastaavasti tuomio 4.3.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 57 kohta ja tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 61 kohta).

43      Kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklan, luettuna yhdessä sen johdanto-osan 146 perustelukappaleen kanssa, ja mainitun asetuksen 83 artiklan, luettuna yhdessä sen johdanto-osan 148 perustelukappaleen kanssa, sanamuodon ja tavoitteiden erot, ei siis voida katsoa, että kyseisessä 83 artiklassa nimenomaisesti mainittuja arviointiperusteita voitaisiin soveltaa soveltuvin osin kyseisen 82 artiklan yhteydessä siitä huolimatta, että näissä kahdessa säännöksessä säädetyt oikeussuojakeinot täydentävät toisiaan saman asetuksen noudattamisen varmistamiseksi (tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 62 kohta).

44      Edellä esitetyn perusteella on neljänteen ja viidenteen kysymykseen vastattava, että tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että tämän säännöksen nojalla vahingosta maksettavan korvauksen määrän määrittämiseksi ei yhtäältä sovelleta soveltuvin osin tämän asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän määritysperusteita eikä toisaalta katsota, että tällä korvauksen saamista koskevalla oikeudella olisi varoittava tehtävä.

 Kuudes kysymys

45      Kuudennella kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että kyseiseen säännökseen perustuvan vahingonkorvauksen määrän määrittämiseksi on otettava huomioon henkilötietojen suojaa koskevien sellaisten kansallisten säännösten samanaikaiset rikkomiset, joiden tarkoituksena ei ole täsmentää kyseisen asetuksen sääntöjä.

46      Tämä kysymys on esitetty sen perusteella, että pääasian kantajat katsovat, että yleisen tietosuoja-asetuksen säännösten ja veroneuvojiin sovellettavan Saksan lainsäädännön, joka on annettu ennen kyseisen asetuksen voimaantuloa ja jolla ei siis pyritä täsmentämään sen sääntöjä, samanaikaisen rikkomisen pitäisi johtaa siihen, että kantajien yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla vaatimia vahingonkorvauksia, joilla korvataan heille väitetysti aiheutunut aineeton vahinko, korotetaan.

47      Tältä osin yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleen viidennestä virkkeestä ilmenee kyllä, että tietojenkäsittelyllä, jolla rikotaan tätä asetusta, ”tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä”.

48      Se, että tällainen tietojenkäsittely on toteutettu myös sellaisten kansallisten säännösten vastaisesti, jotka koskevat henkilötietojen suojaa mutta joiden tarkoituksena ei ole täsmentää kyseisen asetuksen sääntöjä, ei kuitenkaan ole merkityksellinen tekijä arvioitaessa yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan perusteella myönnettyjä vahingonkorvauksia. Tällaisten kansallisten säännösten rikkominen ei nimittäin kuulu kyseisen asetuksen 82 artiklan 1 kohdan, luettuna yhdessä sen johdanto-osan 146 perustelukappaleen kanssa, soveltamisalaan.

49      Tämä ei rajoita sitä, että kansallinen tuomioistuin voi kansallisen oikeuden salliessa myöntää rekisteröidylle suuremman korvauksen kuin yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetty täysi ja tosiasiallinen korvaus, jos jälkimmäistä korvausta ei pidetä riittävänä tai tarkoituksenmukaisena, kun otetaan huomioon, että vahinko on aiheutunut myös edellisessä kohdassa mainittujen kaltaisten kansallisen oikeuden säännösten rikkomisesta.

50      Edellä esitetyn perusteella kuudenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että tähän säännökseen perustuvan vahingonkorvauksen määrän määrittämiseksi ei oteta huomioon henkilötietojen suojaa koskevien sellaisten kansallisten säännösten samanaikaista rikkomista, joiden tarkoituksena ei ole täsmentää kyseisen asetuksen sääntöjä.

 Oikeudenkäyntikulut

51      Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti:

1)      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 82 artiklan 1 kohtaa

on tulkittava siten, että

kyseisen asetuksen rikkominen ei sellaisenaan riitä korvauksen saamista koskevan oikeuden perustaksi tämän säännöksen nojalla. Rekisteröidyn on myös osoitettava tästä rikkomisesta aiheutunut vahinko, mutta vahingon ei kuitenkaan tarvitse olla vakavuudeltaan tietynasteinen.

2)      Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

henkilön pelko siitä, että hänen henkilötietonsa on tämän asetuksen rikkomisen seurauksena luovutettu kolmansille, ilman että voidaan osoittaa, että näin on todella tapahtunut, riittää vahingonkorvausoikeuden syntymiseen, kunhan tämä pelko ja sen kielteiset seuraukset on asianmukaisesti näytetty toteen.

3)      Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

tämän säännöksen nojalla vahingosta maksettavan korvauksen määrän määrittämiseksi ei yhtäältä sovelleta soveltuvin osin tämän asetuksen 83 artiklassa säädettyjä hallinnollisten seuraamusmaksujen määrän määritysperusteita eikä toisaalta katsota, että tällä korvauksen saamista koskevalla oikeudella olisi varoittava tehtävä.

4)      Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

tähän säännökseen perustuvan vahingonkorvauksen määrän määrittämiseksi ei oteta huomioon henkilötietojen suojaa koskevien sellaisten kansallisten säännösten samanaikaista rikkomista, joiden tarkoituksena ei ole täsmentää kyseisen asetuksen sääntöjä.

Allekirjoitukset

*      Oikeudenkäyntikieli: saksa.