Language of document :

EUROOPA KOHTU OTSUS (kolmas koda)

20. juuni 2024(*)

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 82 lõige 1 – Õigus saada hüvitist seda määrust rikkudes toimunud andmetöötlusega tekitatud kahju eest – Mõiste „mittevaraline kahju“ – Tekitatud kahju suuruse mõju – Hüvitise suuruse hindamine – Nõue hüvitada kartusel põhinev mittevaraline kahju – Artiklis 83 ettenähtud trahvikriteeriumide kohaldamatus – Heidutav funktsioon – Hindamine kõnealuse määruse ja liikmesriigi õiguse samaaegse rikkumise korral

Kohtuasjas C‑590/22,

mille ese on ELTL artikli 267 alusel Amtsgericht Weseli (Weseli esimese astme kohus, Saksamaa) 5. augusti 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 9. septembril 2022, menetluses

AT,

BT

versus

PS GbR,

VG,

MB,

DH,

WB,

GS,

EUROOPA KOHUS (kolmas koda),

koosseisus: koja president K. Jürimäe, Euroopa Kohtu president K. Lenaerts kolmanda koja kohtuniku ülesannetes, kohtunikud N. Piçarra, N. Jääskinen (ettekandja) ja M. Gavalec,

kohtujurist: M. Campos Sánchez-Bordona,

kohtusekretär: A. Calot Escobar,

arvestades kirjalikku menetlust,

arvestades seisukohti, mille esitasid:

–        Iirimaa, esindajad: Chief State Solicitor M. Browne ning A. Joyce ja M. Tierney, keda abistas D. Fennelly, BL,

–        Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,

arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,

on teinud järgmise

kohtuotsuse

1        Eelotsusetaotlus käsitleb Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 82 lõike 1 tõlgendamist.

2        Taotlus on esitatud kohtuvaidluses, mille pooled on ühelt poolt AT ja BT, kes on põhikohtuasja hagejad, ning teiselt poolt maksunõustamisega tegelev äriühing PS GbR ja PSi osanikud VG, MB, DH, WB ja GS, ning mis puudutab põhikohtuasja hagejate õigust saada isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel kahjuhüvitist kannatuste eest, mida neile väidetavalt valmistas asjaolu, et nende isikuandmeid sisaldav maksudeklaratsioon avalikustati PSi vea tõttu kolmandatele isikutele ilma nende nõusolekuta.

 Õiguslik raamistik

3        Isikuandmete kaitse üldmääruse põhjendused 85, 146 ja 148 on sõnastatud järgmiselt:

„(85)      Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. […]

[…]

(146)      Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid. Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]

[…]

(148)      Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve […]. Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele. […]“.

4        Määruse artiklis 4 „Mõisted“ on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)      „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]

[…]

7)      „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; […]

[…]

10)      „kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses:

[…]

12)      „isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

[…]“.

5        Määruse artikli 79 lõikes 1 on ette nähtud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete […] sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

6        Määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõigetes 1–3 on sätestatud:

„1.      Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2.      Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. […]

3.      Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.“

7        Määruse artikli 83 „Trahvide määramise üldtingimused“ lõigetes 2, 3 ja 5 on sätestatud:

„2.      […] Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)      rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)      kas rikkumine pandi toime tahtlikult või hooletusest;

[…]

k)      juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3.      Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

[…]

5.      Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)      töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)      andmesubjektide õigused artiklite 12–22 alusel;

[…]“.

 Põhikohtuasi ja eelotsuse küsimused

8        Põhikohtuasja hagejad AT ja BT on maksunõustamisbüroo PS kliendid. Nad andsid maksunõustamisbüroole teada, et nende postiaadress on muutunud, ja PS kandis selle muudatuse oma elektroonilisse andmetöötlussüsteemi. Seejärel saatis PS põhikohtuasja hagejate uuele aadressile mitu kirja.

9        Põhikohtuasja hagejad palusid 2020. aasta juulis PSil koostada nende 2019. aasta maksudeklaratsioon. Kuna vastust ei saabunud, võtsid nad ühendust PSiga, kes teatas neile, et oli neile maksudeklaratsiooni 29. septembril 2020 posti teel saatnud, ent jättis täpsustamata aadressi, kuhu kiri saadeti.

10      Põhikohtuasja hagejate varasemal aadressil elavad uued elanikud teatasid neile, et sellele aadressile on saabunud hagejate nimele adresseeritud ümbrik, mille nad ekslikult avasid. Üks uutest elanikest selgitas, et olles märganud, et kõnealune kiri ei olnud adresseeritud talle, pani ta ümbrikus olnud dokumendid sinna tagasi. Seejärel andis ta ümbriku üle sugulastele, kes elavad põhikohtuasja hagejate endise aadressi läheduses, et viimased saaksid sellele järele minna.

11      Kui põhikohtuasja hagejad ümbriku kätte said, tegid nad kindlaks, et selles on ainult üks maksudeklaratsiooni koopia ja kaaskiri. Nad eeldavad siiski, et ümbrik sisaldas ka selle maksudeklaratsiooni originaali koos isikuandmetega, mille hulgas olid nii nende kui ka nende laste nimed ja sünnikuupäevad, maksukohustuslasena registreerimise numbrid, pangaandmed, andmed nende kuuluvuse kohta usukogukonda, nende pereliikme puude olemasolu kohta, nende kutsealade ja töökohtade kohta ja nende kulude kohta.

12      Eelotsusetaotluse esitanud kohus täpsustab seejuures, et ei olnud võimalik kindlaks teha ei seda, millised dokumendid esialgu ümbrikus olid, ega seda, mil määral olid põhikohtuasja hagejate endisel aadressil elavad uued elanikud ümbriku sisuga tutvunud. Ta märgib samuti, et kiri saadeti valele aadressile sellepärast, et PS kasutas andmeid, mis pärinesid andmebaasist, kus oli endiselt põhikohtuasja kaebajate varasem aadress.

13      Selles kontekstis esitasid põhikohtuasja hagejad hagi eelotsusetaotluse esitanud kohtule, Amtsgericht Weselile (Weseli esimese astme kohus, Saksamaa), milles palusid isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel hüvitada mittevaralise kahju, mis neile enda hinnangul tekkis nende isikuandmete kolmandatele isikutele avalikustamise tõttu ja mille suuruseks nad hindavad 15 000 eurot.

14      Eelotsusetaotluse esitanud kohus soovib esiteks teada, kas juhul, kui viidatakse mittevaralisele kahjule, võib isikuandmete kaitse üldmääruse artiklist 82 tulenev õigus hüvitisele põhineda üksnes selle määruse sätete rikkumisel, arvestades, et Saksa õiguse kohaselt saab õigust rahalisele hüvitisele tunnustada üksnes juhul, kui tuvastatakse suur kahju, mis läheb kaugemale pelgalt õigusnormi rikkumisest, tingimusel et seda kahju ei ole võimalik muul viisil heastada.

15      Teiseks soovib eelotsusetaotluse esitanud kohus teada, kas ainuüksi kartus, et isikuandmed on jõudnud volitamata isikute valdusse, võib endast kujutada mittevaralist kahju, mis võib anda õiguse saada rahalist hüvitist isikuandmete kaitse üldmääruse artikli 82 alusel.

16      Kolmandaks märgib eelotsusetaotluse esitanud kohus, et isikuandmete kaitse üldmääruse artiklis 83 on sätestatud kriteeriumid, mis võimaldavad ühetaoliselt kindlaks määrata selle määruse rikkumise eest määratavate trahvide suuruse. Samas ei sisalda see artikkel samaväärseid sätteid mittevaralise kahju rahalise hüvitamise kohta. Seetõttu on tal tekkinud küsimus, kas need kriteeriumid on ülekantavad mittevaralise kahju rahalise hüvitamisele isikuandmete kaitse üldmääruse artikli 82 alusel.

17      Neljandaks tuletab eelotsusetaotluse esitanud kohus meelde, et isikuandmete kaitse üldmääruse põhjenduses 146 on ette nähtud, et mõistet „kahju“ tuleb tõlgendada laialt, et tagada kantud kahju täielik ja tõhus hüvitamine. Tal on aga küsimus, kas viide „tõhusale“ hüvitamisele tähendab, et mittevaralise kahju eest makstavat hüvitist tuleb hinnata nii, et sellel oleks heidutav mõju. Vastutavatel töötlejatel võib nimelt tekkida kiusatus jätta isikuandmete kaitse üldmääruses ette nähtud kohustused täitmata juhul, kui selle määruse range järgimise kulu on suurem kui kahjuhüvitis, mida nad võivad olla kohustatud maksma selle määruse rikkumise korral.

18      Viiendaks ja viimaseks soovib eelotsusetaotluse esitanud kohus teada, kas isikuandmete kaitse üldmääruse sätete ja selliste Saksa õiguse sätete samaaegset rikkumist, nagu need, millega on kehtestatud konfidentsiaalsuskohustus teatavate kutsealade töötajatele, tuleb võtta arvesse mittevaralise kahju eest makstava hüvitise hindamisel isikuandmete kaitse üldmääruse artikli 82 alusel. Eelotsusetaotluse esitanud kohus märgib, et tal on selles osas kahtlusi, sest käesoleval juhul kõne all olevad asjakohased Saksa õigusnormid olid isikuandmete kaitse üldmääruse vastuvõtmise ajal juba jõus ning neid ei saa seega pidada selle määruse põhjenduse 146 tähenduses delegeeritud õigusaktideks või rakendusaktideks, mis on vastu võetud selle määruse alusel.

19      Neil asjaoludel otsustas Amtsgericht Wesel (Weseli esimese astme kohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas selleks, et [isikuandmete kaitse üldmääruse] artikli 82 lõike 1 alusel tekiks kahjuhüvitise saamise õigus, on piisav, et rikutud on mõnda hüvitisenõude esitanud isikut kaitsvat [selle määruse] sätet, või peab lisaks sätete rikkumisele kui sellisele olema selle isiku jaoks tekkinud veel mõni negatiivne tagajärg?

2.      Kas selleks, et isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel tekiks mittevaralise kahju eest hüvitise saamise õigus, on liidu õiguse kohaselt nõutav, et negatiivne tagajärg oleks teatud raskusega?

3.      Eelkõige: kas selleks, et isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel tekiks mittevaralise kahju eest hüvitise saamise õigus, piisab hüvitisenõude esitanud isiku kartusest, et isikuandmete kaitse üldmääruse sätete rikkumise tagajärjel satuvad tema isikuandmed kõrvaliste isikute kätte, ilma et seda saaks positiivselt tuvastada?

4.      Kas liidu õigusega on kooskõlas, kui isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel mittevaralise kahju hüvitise suurust määrates tugineb liikmesriigi kohus analoogia alusel isikuandmete kaitse üldmääruse artikli 83 lõike 2 teises lauses sisalduvatele kriteeriumidele, mis on sõnastuse poolest kohaldatavad vaid trahvidele?

5.      Kas isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel mittevaralise kahju hüvitise suurust määrates tuleb arvestada ka seda, et määratud hüvitise suurusega saavutatakse heidutav mõju ja/või hoitakse ära rikkumiste „kommertsialiseerumine“ (kalkuleeriv trahvide ja kahjuhüvitistega arvestamine)?

6.      Kas liidu õigusega on kooskõlas võtta isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel mittevaralise kahju hüvitise suurust määrates arvesse isikuandmete kaitset reguleerivate riigisiseste õigusnormide rikkumisi, mille puhul ei ole aga tegemist delegeeritud õigusaktide või rakendusaktidega, mis on vastu võetud kooskõlas nimetatud määrusega, ega liikmesriigi õigusega, milles täpsustatakse isikuandmete kaitse üldmääruse norme?“

 Eelotsuse küsimuste analüüs

 Esimene ja teine küsimus

20      Esimese ja teise küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et ainuüksi selle määruse rikkumisest piisab, et tekiks õigus hüvitisele selle sätte alusel, või peab andmesubjekt ka tõendama, et rikkumisega tekitatud kahju on teatud raskusastmega.

21      Isikuandmete kaitse üldmääruse artikli 82 lõikes 1 on sätestatud, et „[i]gal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“.

22      Sellega seoses on Euroopa Kohus tõdenud, et selle sätte sõnastusest nähtub selgelt, et „kantud“ või „tekitatud“ varalise või mittevaralise „kahju“ olemasolu on üks nimetatud artikli 82 lõikes 1 ette nähtud hüvitise saamise õiguse tingimustest, nagu ka selle määruse rikkumise esinemine ning põhjuslik seos kahju ja rikkumise vahel, kusjuures need kolm tingimust on kumulatiivsed (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 32, ning 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 34).

23      Seega ei saa asuda seisukohale, et isikuandmete kaitse üldmääruse sätete mis tahes „rikkumine“ üksi annab andmesubjektile – nagu ta on määratletud selle määruse artikli 4 punktis 1 – õiguse hüvitisele. Pealegi oleks „kahju“ ja „rikkumise“ eraldi mainimine isikuandmete kaitse üldmääruse artikli 82 lõikes 1 üleliigne, kui liidu seadusandja oleks leidnud, et selle määruse sätete rikkumine võib iseenesest ja igal juhul olla piisav, et anda alust õigusele saada hüvitist (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 33 ja 34).

24      Sellest järeldub, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et pelgalt selle määruse sätete rikkumisest ei piisa, et tekiks õigus hüvitisele (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 42).

25      Seega peab isik, kes soovib nimetatud sätte alusel mittevaralise kahju hüvitamist, tõendama nii nimetatud määruse sätete rikkumist kui ka seda, et rikkumine põhjustas talle sellise kahju (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 42 ja 50, ning 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 35).

26      Mis puudutab viimati nimetatud tingimust, siis isikuandmete kaitse üldmääruse artikli 82 lõikega 1 on vastuolus liikmesriigi õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses mittevaralise kahju hüvitamine, et andmesubjektile tekkinud kahju oleks teatud raskusastmega (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 51, ja 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 36).

27      Sellegipoolest on sellel isikul nimetatud määruse artikli 82 lõike 1 alusel kohustus tõendada, et ta on tegelikult kandnud varalist või mittevaralist kahju (vt selle kohta 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 39).

28      Eeltoodud kaalutlusi arvestades tuleb esimesele ja teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et ainuüksi selle määruse rikkumisest ei piisa, et tekiks õigus hüvitisele selle sätte alusel. Andmesubjekt peab tõendama ka rikkumisega tekitatud kahju olemasolu, kuid see kahju ei pea siiski olema teatud raskusastmega.

 Kolmas küsimus

29      Kolmanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et isiku kartusest, et tema isikuandmed on selle määruse rikkumise tõttu avalikustatud kolmandatele isikutele – ilma et seda avalikustamist oleks tegelikult võimalik tõendada – piisab, et tekiks õigus mittevaralise kahju hüvitamisele.

30      Eelotsusetaotlusest nähtub, et põhikohtuasja hagejad soovivad isikuandmete kaitse üldmääruse alusel saada hüvitist mittevaralise kahju eest, mis seisneb kontrolli kaotamises nende kohta käivate töödeldud isikuandmete üle, ilma et nad suudaksid kindlaks teha, mil määral kolmandad isikud nende andmetega tegelikult tutvusid.

31      Arvestades, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ei ole mingit viidet liikmesriikide riigisisesele õigusele, tuleb mõistele „mittevaraline kahju“ selle sätte tähenduses omistada liidu õigusele omane autonoomne ja ühetaoline määratlus (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 30 ja 44, ning 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 64).

32      Euroopa Kohus on otsustanud, et nii isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusest – arvestades selle määruse põhjendusi 85 ja 146, milles peetakse vajalikuks käsitada mõistet „mittevaraline kahju“ selle esimese sätte tähenduses laialt – kui ka selle määrusega taotletavast eesmärgist tagada füüsiliste isikute kõrgetasemeline kaitse isikuandmete töötlemisel tuleneb, et ainuüksi andmesubjekti kartus, et kolmas isik võib tema isikuandmeid kuritarvitada, mida ta kogeb määruse rikkumise tagajärjel, võib endast kujutada „mittevaralist kahju“ viidatud artikli 82 lõike 1 tähenduses (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 79–86, ning 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 65).

33      Kontrolli kaotamine isikuandmete üle kas või lühikeseks ajaks võib tekitada andmesubjektile mittevaralist kahju isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses, mis annab õiguse hüvitisele, tingimusel et see isik tõendab, et ta on tegelikult kandnud sellist kahju, isegi kui see on väga väike, kusjuures tuleb meenutada, et pelgalt selle määruse sätete rikkumisest ei piisa, et selle alusel tekiks õigus hüvitisele (vt selle kohta 25. jaanuari 2024. aasta kohtuotsus MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 66, ja 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 42).

34      Isik, kes leiab, et tema isikuandmeid on töödeldud isikuandmete kaitse üldmääruse asjakohaseid sätteid rikkudes, ja nõuab selle määruse artikli 82 lõike 1 alusel hüvitist, peab seega tõendama, et talle on tegelikult tekitatud varalist või mittevaralist kahju.

35      Seega ei anna lihtsalt kartuse väide, ilma et selle kartuse negatiivsed tagajärjed oleks tõendatud, alust hüvitisele selle sätte alusel.

36      Eeltoodud kaalutlusi arvestades tuleb kolmandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et isiku kartusest, et tema isikuandmed on selle määruse rikkumise tõttu avalikustatud kolmandatele isikutele, ilma et seda avalikustamist oleks tegelikult võimalik tõendada, piisab, et tekiks õigus mittevaralise kahju hüvitamisele, kui kartus koos selle negatiivsete tagajärgedega on piisavalt tõendatud.

 Neljas ja viies küsimus

37      Neljanda ja viienda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selleks, et määrata kindlaks selle sättega kehtestatud hüvitise saamise õiguse kohaselt tasumisele kuuluva kahjuhüvitise suurus, tuleb esiteks mutatis mutandis kohaldada selle määruse artiklis 83 ette nähtud trahvide suuruse kindlaksmääramise kriteeriume ja teiseks tuleb sellele kahju hüvitamise õigusele anda heidutav funktsioon.

38      Mis esimesena puudutab isikuandmete kaitse üldmääruse artiklis 83 sätestatud kriteeriumide võimalikku arvessevõtmist määruse artikli 82 alusel makstava hüvitise summa kindlaksmääramisel, siis on selge, et neil kahel sättel on erinev eesmärk. Selle määruse artiklis 83 on nimelt kindlaks määratud „[t]rahvide määramise üldtingimused“, samas kui määruse artikli 82 teema on „[õ]igus hüvitisele ja vastutus“.

39      Sellest tuleneb, et isikuandmete kaitse üldmääruse artiklis 83 sätestatud trahvide summa kindlaksmääramise kriteeriume, mida on samuti mainitud selle määruse põhjenduses 148, ei saa kasutada selle määruse artikli 82 kohase kahjuhüvitise suuruse hindamiseks (11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 57).

40      Isikuandmete kaitse üldmäärus ei sisalda sätet, mille eesmärk oleks määratleda selle kahju hindamist reguleerivad õigusnormid, mida andmesubjekt määruse artikli 4 punkti 1 tähenduses võib nõuda määruse artikli 82 alusel, kui selle määruse rikkumine on talle kahju tekitanud. Seega, kuna selles valdkonnas puuduvad liidu õigusnormid, tuleb iga liikmesriigi õiguskorras kehtestada menetlusnormid hagidele, mille eesmärk on tagada õigussubjektidele artikliga 82 antud õiguste kaitse, ja eelkõige kriteeriumid, mis võimaldavad kindlaks määrata selle raames makstava hüvitise ulatuse, tingimusel et järgitakse võrdväärsuse põhimõtet ja tõhususe põhimõtet (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 54, ja 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 58).

41      Teisena ei täida isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigus hüvitisele ei heidutavat ega ka mitte karistavat funktsiooni. Sellest järeldub, et see, kui raske oli kõnealuse määruse rikkumine, mis kahju põhjustas, ei saa mõjutada selle sätte alusel väljamõistetava kahjuhüvitise suurust ning väljamõistetav summa ei tohi olla nii suur, et see ületab kahju täieliku hüvitamise (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 86, ja 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 60).

42      Võttes arvesse isikuandmete kaitse üldmääruse artiklis 82 ette nähtud hüvitise saamise õiguse hüvitamisfunktsiooni, mida on mainitud selle määruse põhjenduse 146 kuuendas lauses, tuleb sellele sättele tuginevat rahalist hüvitist pidada „täielikuks ja tõhusaks“, kui see võimaldab täielikult hüvitada selle määruse rikkumisega konkreetselt tekitatud kahju, ilma et täieliku hüvitamise jaoks oleks vaja välja mõista karistuslikku kahjuhüvitist (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 57 ja 58, ning 11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 61).

43      Võttes arvesse erinevusi isikuandmete kaitse üldmääruse artikli 82 – arvestades määruse põhjendust 146 – ning selle määruse artikli 83 – arvestades selle määruse põhjendust 148 – sõnastuse ja eesmärkide vahel, ei saa seega asuda seisukohale, et artiklis 83 konkreetselt sätestatud hindamiskriteeriumid on mutatis mutandis kohaldatavad artikli 82 raames, olenemata sellest, et nendes kahes sättes ette nähtud õiguskaitsevahendid tõepoolest täiendavad üksteist, et tagada sama määruse järgimine (11. aprilli 2024. aasta kohtuotsus juris, C‑741/21, EU:C:2024:288, punkt 62).

44      Eeltoodud kaalutlusi arvestades tuleb neljandale ja viiendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selleks, et määrata kindlaks selle sättega kehtestatud hüvitise saamise õiguse kohaselt tasumisele kuuluva kahjuhüvitise suurus, ei tule esiteks mutatis mutandis kohaldada selle määruse artiklis 83 ette nähtud trahvide suuruse kindlaksmääramise kriteeriume ja teiseks ei tule sellele kahju hüvitamise õigusele anda heidutavat funktsiooni.

 Kuues küsimus

45      Kuuenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selleks, et määrata kindlaks selle sättega kehtestatud hüvitise saamise õiguse kohaselt tasumisele kuuluva kahjuhüvitise suurus, tuleb arvesse võtta niisuguste isikuandmete kaitset käsitlevate riigisiseste õigusnormide samaaegset rikkumist, mille eesmärk ei ole selle määruse sätete täpsustamine.

46      See küsimus on esitatud seoses põhikohtuasja hagejate arusaamaga, et kui rikutakse isikuandmete kaitse üldmäärusest tulenevaid sätteid koostoimes maksunõustajate suhtes kohaldatavate Saksa õigusnormidega, mis võeti vastu enne selle määruse jõustumist ja mille eesmärk ei ole seega täpsustada selle määruse norme, peaks selle tagajärjel suurenema kahjuhüvitis, mida hagejad nõuavad isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel kompensatsiooniks neile väidetavalt tekitatud mittevaralise kahju eest.

47      Sellega seoses nähtub isikuandmete kaitse üldmääruse põhjenduse 146 viiendast lausest tõesti sisuliselt, et seda määrust rikkuv isikuandmete töötlemine „hõlmab […] samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju“.

48      Asjaolu, et andmete töötlemise käigus rikuti ka isikuandmete kaitset käsitlevaid riigisiseseid õigusnorme, mille eesmärk ei olnud aga täpsustada selle määruse norme, ei kujuta endast siiski asjakohast tegurit isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel väljamõistetava kahjuhüvitise hindamisel. Selliste riigisiseste õigusnormide rikkumine ei ole nimelt hõlmatud selle määruse artikli 82 lõikega 1, arvestades sama määruse põhjendust 146.

49      See ei mõjuta asjaolu, et juhul, kui liikmesriigi õigus seda võimaldab, võib liikmesriigi kohus andmesubjektile välja mõista isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud täielikust ja tõhusast hüvitisest suurema hüvitise juhul, kui võttes arvesse asjaolu, et kahju tekkis ka selliste liikmesriigi õigusnormide rikkumise tulemusel, mida on mainitud eelmises punktis, ei peeta viimati nimetatud hüvitist piisavaks või sobivaks.

50      Eeltoodud kaalutlusi arvestades tuleb kuuendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selleks, et määrata kindlaks selle sättega kehtestatud hüvitise saamise õiguse kohaselt tasumisele kuuluva kahjuhüvitise suurus, ei tule arvesse võtta niisuguste isikuandmete kaitset käsitlevate riigisiseste õigusnormide samaaegset rikkumist, mille eesmärk ei ole selle määruse sätete täpsustamine.

 Kohtukulud

51      Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:

1.      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 82 lõiget 1

tuleb tõlgendada nii, et

ainuüksi selle määruse rikkumisest ei piisa, et tekiks õigus hüvitisele selle sätte alusel. Andmesubjekt peab tõendama ka rikkumisega tekitatud kahju olemasolu, kuid see kahju ei pea siiski olema teatud raskusastmega.

2.      Määruse 2016/679 artikli 82 lõiget 1

tuleb tõlgendada nii, et

isiku kartusest, et tema isikuandmed on selle määruse rikkumise tõttu avalikustatud kolmandatele isikutele, ilma et seda avalikustamist oleks tegelikult võimalik tõendada, piisab, et tekiks õigus mittevaralise kahju hüvitamisele, kui kartus koos selle negatiivsete tagajärgedega on piisavalt tõendatud.

3.      Määruse 2016/679 artikli 82 lõiget 1

tuleb tõlgendada nii, et

selleks, et määrata kindlaks selle sättega kehtestatud hüvitise saamise õiguse kohaselt tasumisele kuuluva kahjuhüvitise suurus, ei tule esiteks mutatis mutandis kohaldada selle määruse artiklis 83 ette nähtud trahvide suuruse kindlaksmääramise kriteeriume ja teiseks ei tule sellele kahju hüvitamise õigusele anda heidutavat funktsiooni.

4.      Määruse 2016/679 artikli 82 lõiget 1

tuleb tõlgendada nii, et

selleks, et määrata kindlaks selle sättega kehtestatud hüvitise saamise õiguse kohaselt tasumisele kuuluva kahjuhüvitise suurus, ei tule arvesse võtta niisuguste isikuandmete kaitset käsitlevate riigisiseste õigusnormide samaaegset rikkumist, mille eesmärk ei ole selle määruse sätete täpsustamine.

Allkirjad

*      Kohtumenetluse keel: saksa.