EUROOPA KOHTU OTSUS (kolmas koda)
4. mai 2023(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 82 lõige 1 – Õigus saada hüvitist seda määrust rikkudes toimunud andmetöötlusega tekitatud kahju eest – Hüvitise saamise õiguse tingimused – Selle määruse pelga rikkumise ebapiisavus – Nõue, et rikkumisega peab olema tekitatud kahju – Sellisest töötlemisest tuleneva mittevaralise kahju hüvitamine – Sellise riigisisese õigusnormi vastuolu, mis seab sellise kahju hüvitamise sõltuvusse raskusastme ületamisest – Liikmesriikide kohtute poolt hüvitise kindlaksmääramise eeskirjad
Kohtuasjas C‑300/21,
mille ese on ELTL artikli 267 alusel Oberster Gerichtshofi (Austria kõrgeim üldkohus) 15. aprilli 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 12. mail 2021, menetluses
UI
versus
Österreichische Post AG,
EUROOPA KOHUS (kolmas koda),
koosseisus: koja president K. Jürimäe, kohtunikud M. Safjan, N. Piçarra, N. Jääskinen (ettekandja) ja M. Gavalec,
kohtujurist: M. Campos Sánchez-Bordona,
kohtusekretär: A. Calot Escobar,
arvestades kirjalikku menetlust,
arvestades seisukohti, mille esitasid:
– UI, esindaja: ise Rechtsanwaltina,
– Österreichische Post AG, esindaja: Rechtsanwalt R. Marko,
– Austria valitsus, esindajad: A. Posch, J. Schmoll ja G. Kunnert,
– Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,
– Iirimaa, esindajad: M. Browne, A. Joyce, M. Lane ja M. Tierney, keda abistas D. Fennelly, BL,
– Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,
olles 6. oktoobri 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Käesolev eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artiklit 82 koostoimes võrdväärsuse põhimõtte ja tõhususe põhimõttega.
2 Taotlus on esitatud UI ja Österreichische Post AG vahelises kohtuvaidluses, mis käsitleb UI esitatud hagi selle mittevaralise kahju hüvitamise nõudes, mis talle väidetavalt tekkis seetõttu, et kõnealune äriühing töötles andmeid Austrias elavate isikute, täpsemalt tema enda poliitiliste vaadete kohta, kuigi ta ei olnud selliseks töötlemiseks nõusolekut andnud.
Õiguslik raamistik
3 Isikuandmete kaitse üldmääruse põhjendused 10, 75, 85 ja 146 on sõnastatud järgmiselt:
„(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. […]
[…]
(75) Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, […]
[…]
(85) Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. […]
[…]
(146) Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid. Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]“.
4 Isikuandmete kaitse üldmääruse artikli 1 „Reguleerimisese ja eesmärgid“ lõigetes 1 ja 2 on sätestatud:
„1. Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.
2. Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.“
5 Määruse artikli 4 „Mõisted“ punktis 1 on ette nähtud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]“.
6 Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab selle määruse artikleid 77–84.
7 Määruse artikkel 77 käsitleb „[õ]igus[t] esitada järelevalveasutusele kaebus“, samas kui selle artikkel 78 käsitleb „[õ]igus[t] tõhusale õiguskaitsevahendile järelevalveasutuse vastu“.
8 Isikuandmete kaitse üldmääruse artikli 82 „Õigus hüvitisele ja vastutus“ lõigetes 1 ja 2 on sätestatud:
„1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.
2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. […]“.
9 Määruse artikli 83 „Trahvide määramise üldtingimused“ lõikes 1 on ette nähtud:
„Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.“
10 Määruse artikli 84 „Karistused“ lõikes 1 on sätestatud:
„Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“
Põhikohtuasi ja eelotsuse küsimused
11 Austria õiguse alusel asutatud äriühing Österreichische Post, kes tegeleb aadresside müügiga, on alates 2017. aastast kogunud teavet Austria elanikkonna poliitiliste vaadete kohta. Algoritmi abil, mis võtab arvesse mitmesuguseid sotsiaalseid ja demograafilisi kriteeriume, määratles ta „sihtrühmade aadressid“. Sel viisil loodud andmed müüdi eri organisatsioonidele, et nad saaksid teha suunatud otsepostitusi.
12 Österreichische Post töötles oma tegevuse käigus andmeid, mille alusel ta tegi statistilise ekstrapolatsiooni teel järelduse, et põhikohtuasja hageja poliitilised vaated ühtivad suuresti teatava Austria erakonna omadega. Neid andmeid ei edastatud kolmandatele isikutele, kuid põhikohtuasja hageja, kes ei olnud oma isikuandmete töötlemiseks nõusolekut andnud, tundis ennast solvatuna seetõttu, et talle omistati kõnealuse erakonnaga ühised vaated. Asjaolu, et selles äriühingus säilitati andmeid tema oletatavate poliitiliste vaadete kohta, tekitas temas tõsist pahameelt, usaldusekaotuse ja tunde, et teda on häbistatud. Eelotsusetaotlusest nähtub, et peale nende ajutiste ja emotsionaalsete kahjustuste ei ole tuvastatud mingit muud kahju.
13 Selles kontekstis esitas põhikohtuasja hageja Landesgericht für Zivilrechtssachen Wienile (tsiviilasju lahendav liidumaa kohus Viinis, Austria) hagi, milles palus esiteks kohustada Österreichische Posti lõpetama kõnealune isikuandmete töötlemine ja teiseks kohustada seda äriühingut maksma talle väidetavalt tekitatud mittevaralise kahju eest hüvitist 1000 eurot. See kohus rahuldas 14. juuli 2020. aasta otsusega esimesena nimetatud nõude, kuid jättis kahju hüvitamise nõude rahuldamata.
14 Oberlandesgericht Wien (liidumaa kõrgeim kohus Viinis, Austria), kellele esitati apellatsioonkaebus, jättis 9. detsembri 2020. aasta otsusega esimese astme kohtu otsuse muutmata. Kahju hüvitamise nõude osas viitas see kohus isikuandmete kaitse üldmääruse põhjendustele 75, 85 ja 146 ning leidis, et tsiviilvastutust käsitlevad liikmesriikide sisemised õigusnormid täiendavad selle määruse sätteid, kui määrus ei sisalda erinorme. Ta märkis sellega seoses, et Austria õiguse kohaselt ei too isikuandmete kaitse normide rikkumine automaatselt kaasa mittevaralist kahju ja annab õiguse hüvitisele üksnes siis, kui selline kahju on teatud „raskusastmega“. Nii ei ole see aga negatiivsete tunnete puhul, millele põhikohtuasja kaebaja viitas.
15 Oberster Gerichtshof (Austria kõrgeim üldkohus), kelle poole pöördusid põhikohtuasja mõlemad pooled, jättis 15. aprilli 2021. aasta vaheotsusega rahuldamata kassatsioonkaebuse, mille Österreichische Post esitas talle pandud kohustuse peale rikkumine lõpetada. Seega jäi selle kohtu menetlusse ainult kassatsioonkaebus, mille põhikohtuasja hageja esitas selle peale, et tema kahju hüvitamise nõue jäeti rahuldamata.
16 Eelotsusetaotluse esitanud kohus märgib oma eelotsusetaotluse põhjendamiseks, et isikuandmete kaitse üldmääruse põhjendusest 146 ilmneb, et selle määruse artikliga 82 on kehtestatud isikuandmete kaitse valdkonnas eraldi vastutuse kord, millega asendati liikmesriikides kehtinud normid. Seega tuleb artiklis 82 sisalduvaid mõisteid, täpsemalt selle lõikes 1 kasutatud mõistet „kahju“, tõlgendada autonoomselt ning selle vastutuse kohaldamise tingimused ei tule määratleda mitte riigisiseste õigusnormide, vaid liidu õiguse nõuete alusel.
17 Täpsemalt, mis puudutab esimesena õigust hüvitisele isikuandmete kaitse rikkumise eest, siis kaldub see kohus isikuandmete kaitse üldmääruse põhjenduse 146 kuuendat lauset silmas pidades leidma, et selle määruse artiklil 82 põhinev hüvitis eeldab, et andmesubjektile on reaalselt tekkinud varaline või mittevaraline kahju. Sellise hüvitise väljamõistmine sõltub rikkumisest eraldiseisva konkreetse kahju tõendamisest, mis iseenesest ei tõenda mittevaralise kahju olemasolu. Nimetatud määruse põhjenduses 75 on mainitud lihtsalt võimalust, et mittevaraline kahju tuleneb selles loetletud rikkumistest, ning kuigi määruse põhjenduses 85 on küll mainitud asjasse puutuvate andmete üle „kontrolli kaotamise“ ohtu, on see oht käesoleval juhul siiski ebakindel, kuna neid andmeid ei edastatud kolmandale isikule.
18 Teisena, mis puudutab selle hüvitise hindamist, mille võib isikuandmete kaitse üldmääruse artikli 82 alusel välja mõista, siis leiab eelotsusetaotluse esitanud kohus, et liidu õiguse tõhususe põhimõttel peab olema piiratud mõju, sest selles määruses on juba ette nähtud rasked karistused selle määruse rikkumise eest ning seega ei ole selle soovitava toime tagamiseks lisaks vaja välja mõista suurt kahjuhüvitist. Tema hinnangul peab sellel alusel kahju hüvitamine olema proportsionaalne, tõhus ja hoiatav, et väljamõistetav kahjuhüvitis saaks täita kompenseerivat funktsiooni, kuid sellel ei oleks karistuslikku laadi, mis ei oleks liidu õigusega kooskõlas.
19 Kolmandana seab eelotsusetaotluse esitanud kohus kahtluse alla Österreichische Posti väite, et sellise hüvitise väljamõistmine sõltub tingimusest, et isikuandmete kaitse rikkumine oleks põhjustanud eriti suure kahju. Ta rõhutab sellega seoses, et isikuandmete kaitse üldmääruse põhjendus 146 soovitab tõlgendada mõistet „kahju“ selle määruse tähenduses laialt. Ta leiab, et mittevaraline kahju tuleb vastavalt määruse artiklile 82 hüvitada, kui see on hoomatav, isegi kui kahju on väike. Seevastu ei tuleks sellist kahju hüvitada, kui see on täiesti tähtsusetu, nagu lihtsate ebameeldivate tunnete puhul, mis tavaliselt sellise rikkumisega kaasnevad.
20 Neil asjaoludel otsustas Oberster Gerichtshof (kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas kahjuhüvitise väljamõistmiseks isikuandmete kaitse üldmääruse […] artikli 82 kohaselt on lisaks isikuandmete kaitse üldmääruse sätete rikkumisele nõutav ka hagejal kahju tekkimine või piisab kahjuhüvitise väljamõistmiseks juba iseenesest isikuandmete kaitse üldmääruse sätete rikkumisest?
2. Kas kahjuhüvitise hindamiseks on peale tõhususe põhimõtte ja võrdväärsuse põhimõtte olemas ka muid liidu õiguse nõudeid?
3. Kas liidu õigusega on kooskõlas see, kui mittevaralise kahju [hüvitise] väljamõistmine eeldab, et õiguste rikkumise tagajärg või mõju on vähemalt arvestatava kaaluga ja läheb kaugemale õiguste rikkumisega tekitatud rahulolematusest?“
Eelotsuse küsimuste analüüs
Esimese ja teise küsimuse vastuvõetavus
21 Põhikohtuasja hageja väidab sisuliselt, et esimene küsimus on vastuvõetamatu, kuna see on hüpoteetiline. Ta leiab kõigepealt, et tema kahju hüvitamise hagi ei põhine isikuandmete kaitse üldmääruse sätte „pelgal“ rikkumisel. Seejärel on eelotsusetaotluses viidatud üksmeelele selles, et hüvitist tuleb maksta ainult juhul, kui sellise rikkumisega kaasneb reaalselt tekitatud kahju. Lõpuks näib tema arvates olevat põhikohtuasja poolte vahel vaidlus ainult küsimuses, kas kahju peab olema teatud „raskusastmest“ suurem. Kui aga Euroopa Kohus vastaks selle kohta esitatud kolmandale küsimusele eitavalt – nagu põhikohtuasja hageja ise välja pakub –, ei oleks esimene küsimus vaidluse lahendamiseks tarvilik.
22 Põhikohtuasja hageja väidab samuti, et teine küsimus on vastuvõetamatu, kuna see on nii selle sisu poolest väga lai kui ka sõnastuse poolest liiga ebatäpne, kuivõrd eelotsusetaotluse esitanud kohus viitab „liidu õiguse nõuetele“, toomata konkreetselt ühte neist esile.
23 Sellega seoses väärib meeldetuletamist, et väljakujunenud kohtupraktika kohaselt on üksnes asja menetleva ja selles tehtava kohtulahendi eest vastutava liikmesriigi kohtu ülesanne kohtuasja eripära arvesse võttes hinnata nii eelotsusetaotluse vajalikkust asjas otsuse tegemiseks kui ka nende küsimuste asjakohasust, mis ta Euroopa Kohtule esitab ja mille asjakohasust eeldatakse. Seega, kui küsimus on esitatud liidu õigusnormi tõlgendamise või kehtivuse kohta, on Euroopa Kohus üldjuhul kohustatud vastama, välja arvatud juhul, kui on ilmne, et taotletaval tõlgendusel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikke faktilisi või õiguslikke asjaolusid, et anda tarvilik vastus talle esitatud küsimusele (vt selle kohta 15. detsembri 1995. aasta kohtuotsus Bosman, C‑415/93, EU:C:1995:463, punkt 61; 7. septembri 1999. aasta kohtuotsus Beck ja Bergdorf, C‑355/97, EU:C:1999:391, punkt 22, ning 5. mai 2022. aasta kohtuotsus Zagrebačka banka, C‑567/20, EU:C:2022:352, punkt 43 ja seal viidatud kohtupraktika).
24 Käesolevas menetluses puudutab esimene küsimus tingimusi, mis on nõutavad selleks, et kasutada õigust hüvitisele, mis on ette nähtud isikuandmete kaitse üldmääruse artiklis 82. Lisaks ei ole ilmne, et taotletaval tõlgendusel puuduks seos põhikohtuasjaga või et tõstatatud probleem oleks hüpoteetiline. Nimelt, esiteks on vaidlus seotud kahju hüvitamise nõudega, mis kuulub isikuandmete kaitse üldmäärusega kehtestatud isikuandmete kaitse korra kohaldamisalasse. Teiseks soovitakse selle küsimusega kindlaks teha, kas määruses sätestatud vastutust käsitlevate õigusnormide kohaldamiseks on vaja, et andmesubjektile oleks tekkinud kahju, mis erineb määruse rikkumisest.
25 Mis puudutab teist küsimust, siis on juba otsustatud, et ainuüksi asjaolu, et Euroopa Kohtul palutakse teha otsus abstraktselt ja üldiselt, ei saa kaasa tuua eelotsusetaotluse vastuvõetamatust (15. novembri 2007. aasta kohtuotsus International Mail Spain, C‑162/06, EU:C:2007:681, punkt 24). Selliselt sõnastatud küsimust võib pidada hüpoteetiliseks ja seega vastuvõetamatuks, kui eelotsusetaotlus ei sisalda minimaalseid selgitusi, mis võimaldaksid tuvastada seose selle küsimuse ja põhikohtuasja vahel (vt selle kohta 8. juuli 2021. aasta kohtuotsus Sanresa, C‑295/20, EU:C:2021:556, punktid 69 ja 70).
26 Käesoleval juhul see aga nii ei ole, kuna eelotsusetaotluse esitanud kohus selgitab, et tema teine küsimus põhineb kahtlustel, kas selle kahjuhüvitise hindamisel, mida Österreichische Post võib isikuandmete kaitse üldmääruse sätete rikkumise tõttu olla kohustatud maksma, ei ole vaja järgida mitte ainult selles küsimuses mainitud võrdväärsuse põhimõtet ja tõhususe põhimõtet, vaid ka võimalikke muid liidu õiguse nõudeid. Selles kontekstis ei võta asjaolu, et eelotsusetaotluse esitanud kohus ei ole esitanud täpsemaid andmeid kui need, mille ta esitas nimetatud põhimõtete kohta, Euroopa Kohtult võimalust anda asjakohastele liidu õigusnormidele tarvilik tõlgendus.
27 Seega on esimene ja teine küsimus vastuvõetavad.
Sisulised küsimused
Esimene küsimus
28 Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et pelgalt selle määruse sätete rikkumisest piisab, et tekiks õigus hüvitisele.
29 Sellega seoses väärib meeldetuletamist, et väljakujunenud kohtupraktika kohaselt tuleb liidu õigusnormi, mis selle sisu ja ulatuse täpsustamiseks ei viita sõnaselgelt liikmesriikide õigusele, üldjuhul kogu liidus tõlgendada autonoomselt ja ühetaoliselt (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 81, ja 10. veebruari 2022. aasta kohtuotsus ShareWood Switzerland, C‑595/20, EU:C:2022:86, punkt 21) ning seda tehes tuleb muu hulgas arvesse võtta asjaomase sätte sõnastust ja konteksti (vt selle kohta 15. aprilli 2021. aasta kohtuotsus The North of England P & I Association, C‑786/19, EU:C:2021:276, punkt 48, ja 10. juuni 2021. aasta kohtuotsus KRONE – Verlag, C‑65/20, EU:C:2021:471, punkt 25).
30 Isikuandmete kaitse üldmäärus ei viita liikmesriikide õigusele seoses selle määruse artiklis 82 kasutatud sõnade – täpsemalt varalise või mittevaralise kahju ja tekitatud kahju hüvitamise mõiste – tähenduse ja ulatusega. Sellest tuleneb, et nimetatud määruse kohaldamisel tuleb neid mõisteid pidada liidu õiguse autonoomseteks mõisteteks, mida tuleb kõikides liikmesriikides tõlgendada ühetaoliselt.
31 Esimesena tuleb isikuandmete kaitse üldmääruse artikli 82 sõnastusega seoses märkida, et selle artikli lõikes 1 on sätestatud, et „[i]gal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“.
32 Esiteks nähtub selle sätte sõnastusest selgelt, et „kantud“ või „tekitatud“ „kahju“ olemasolu on üks selles sättes ette nähtud hüvitise saamise õiguse tingimustest, nagu ka isikuandmete kaitse üldmääruse rikkumise esinemine ja põhjuslik seos kahju ja rikkumise vahel, kusjuures need kolm tingimust on kumulatiivsed.
33 Seega ei saa asuda seisukohale, et isikuandmete kaitse üldmääruse sätete mis tahes „rikkumine“ üksi annab andmesubjektile – nagu ta on määratletud selle määruse artikli 4 punktis 1 – õiguse hüvitisele. Selline tõlgendus läheks vastuollu määruse artikli 82 lõike 1 sõnastusega.
34 Teiseks on oluline rõhutada, et „kahju“ ja „rikkumise“ eraldi mainimine isikuandmete kaitse üldmääruse artikli 82 lõikes 1 oleks üleliigne, kui liidu seadusandja oleks leidnud, et selle määruse sätete rikkumine võib iseenesest ja igal juhul olla piisav, et anda alust õigusele saada hüvitist.
35 Teisena tuleb märkida, et eespool esitatud grammatilist tõlgendust kinnitab selle sätte kontekst.
36 Nimelt on isikuandmete kaitse üldmääruse artikli 82 lõikes 2, milles on täpsustatud vastutuse korda, mille põhimõtteline sisu on sätestatud selle artikli lõikes 1, üle võetud kolm tingimust, mis peavad olema täidetud, et tekiks õigus hüvitisele, nimelt isikuandmete töötlemine isikuandmete kaitse üldmääruse sätteid rikkudes, andmesubjektile tekitatud kahju ning põhjuslik seos õigusvastase töötlemise ja selle kahju vahel.
37 Lisaks kinnitavad seda tõlgendust isikuandmete kaitse üldmääruse põhjendustes 75, 85 ja 146 esitatud täpsustused. Esiteks on põhjenduse 146 – mis käsitleb konkreetselt määruse artikli 82 lõikes 1 ette nähtud õigust hüvitisele – esimeses lauses viidatud „kahju[le], mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole [selle] määrusega kooskõlas“. Teiseks on põhjenduses 75 märgitud, et „ohud […] võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida […] kahju“, ja põhjenduses 85, et „[i]sikuandmetega seotud rikkumine […] võib põhjustada […] kahju“. Sellest nähtub esiteks, et sellise töötlemise käigus on kahju tekkimine üksnes potentsiaalne, teiseks, et isikuandmete kaitse üldmääruse rikkumine ei too tingimata kaasa kahju, ning kolmandaks, et kahju hüvitamise nõude aluseks peab asjaomase rikkumise ja andmesubjektile tekitatud kahju vahel olema põhjuslik seos.
38 Isikuandmete kaitse üldmääruse artikli 82 lõike 1 grammatilist tõlgendust kinnitab ka võrdlus teiste sätetega, mis sisalduvad samuti selle määruse VIII peatükis, mis reguleerib eelkõige erinevaid õiguskaitsevahendeid, mis võimaldavad kaitsta andmesubjekti õigusi juhul, kui tema isikuandmeid töödeldakse väidetavalt vastuolus selle määruse sätetega.
39 Sellega seoses tuleb märkida, et isikuandmete kaitse üldmääruse nimetatud peatükis sisalduvates artiklites 77 ja 78 on ette nähtud õiguskaitsevahendid järelevalveasutuses või järelevalveasutuse vastu selle määruse väidetava rikkumise korral, ilma et nendes oleks mainitud, et andmesubjektile peab olema tekitatud „kahju“, selleks et ta võiks kaebuse esitada, vastupidi artiklis 82 seoses kahju hüvitamise hagidega kasutatud sõnastusele. Selline sõnastuse erinevus näitab, kui oluline on „kahju“ kriteerium ja seega selle eripära võrreldes „rikkumise“ kriteeriumiga, kui tegemist on isikuandmete kaitse üldmäärusel põhinevate kahju hüvitamise nõuetega.
40 Samuti on isikuandmete kaitse üldmääruse artiklitel 83 ja 84, mis võimaldavad määrata trahve ja muid sanktsioone, peamiselt karistuslik eesmärk ja need ei sõltu isikliku kahju tekkimisest. Artiklis 82 sätestatud õigusnormide suhestatus artiklites 83 ja 84 sätestatutega näitab, et need kaks sätete kategooriat on erinevad, aga ka üksteist täiendavad, kuivõrd need motiveerivad isikuandmete kaitse üldmäärust järgima, kusjuures tuleb märkida, et igaühe õigus nõuda kahju hüvitamist tugevdab selles määruses ette nähtud kaitsenormide toimivust ja võib pärssida õigusvastase tegevuse kordumist.
41 Lõpuks on oluline täpsustada, et isikuandmete kaitse üldmääruse põhjenduse 146 neljandas lauses on märgitud, et selle määrusega kehtestatud õigusnormide kohaldamine ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju hüvitamise nõudeid.
42 Kõiki eespool toodud põhjendusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et pelgalt selle määruse sätete rikkumisest ei piisa, et tekiks õigus hüvitisele.
Kolmas küsimus
43 Kolmanda küsimusega, mida tuleb analüüsida enne teist küsimust, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et sellega on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses mittevaralise kahju hüvitamine, et andmesubjektile tekkinud kahju oleks teatud raskusastmega.
44 Sellega seoses tuleb märkida, et nagu on rõhutatud käesoleva kohtuotsuse punktis 30, tuleb mõistele „kahju“ ja täpsemalt käesoleval juhul mõistele „mittevaraline kahju“ isikuandmete kaitse üldmääruse artikli 82 tähenduses omistada liidu õigusele omane autonoomne ja ühetaoline määratlus, kuna puudub igasugune viide liikmesriikide riigisisesele õigusele.
45 Esimesena tuleb mainida, et isikuandmete kaitse üldmääruses ei ole määratletud mõistet „kahju“ selle õigusakti kohaldamise tarbeks. Määruse artiklis 82 on üksnes sõnaselgelt sätestatud, et õiguse hüvitisele võib anda mitte ainult „materiaalne kahju“, vaid ka „mittemateriaalne kahju“, ilma et oleks mainitud mingit raskusastet.
46 Teisena tuleb märkida, et ka sätte kontekst näitab, et õigus hüvitisele ei sõltu sellest, kas asjaomane kahju on teatud raskusastmega. Isikuandmete kaitse üldmääruse põhjenduse 146 kolmandas lauses on nimelt kirjas, et „[k]ahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult [selle] määruse eesmärke“. Mõiste „kahju“ laia käsitlusega, mida liidu seadusandja eelistab, mindaks aga vastuollu, kui seda mõistet piirataks üksnes kahjuga, mis on teatud raskusastmega.
47 Kolmandana kinnitavad sellist tõlgendust isikuandmete kaitse üldmäärusega taotletavad eesmärgid. Sellega seoses väärib meeldetuletamist, et selle määruse põhjenduse 146 kolmandas lauses on mõiste „kahju“ määratlemiseks määruse tähenduses sõnaselgelt üles kutsutud „kajasta[ma] täielikult [selle] määruse eesmärke“.
48 Täpsemalt nähtub isikuandmete kaitse üldmääruse põhjendusest 10, et selle sätete eesmärk on eelkõige tagada liidus füüsiliste isikute järjekindel ja kõrgetasemeline kaitse isikuandmete töötlemisel ning tagada selleks kogu liidus nende isikute põhiõiguste ja -vabaduste kaitse normide järjekindel ja ühtne kohaldamine isikuandmete töötlemisel (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 101, ning 12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 44 ja seal viidatud kohtupraktika).
49 See, kui seada mittevaralise kahju hüvitamine sõltuvusse teatud raskusastmest, võib aga kahjustada isikuandmete kaitse üldmäärusega kehtestatud korra järjekindlust, kuna sellise künnise astmelisus, millest sõltuks, kas hüvitist on võimalik saada või mitte, varieeruks olenevalt asja menetlevate kohtute hinnangust.
50 Sellegipoolest ei saa sellist tõlgendust mõista nii, et see tähendab, et isik, keda puudutab isikuandmete kaitse üldmääruse rikkumine, millel on tema jaoks negatiivsed tagajärjed, ei pea tõendama, et need tagajärjed kujutavad endast mittevaralist kahju selle määruse artikli 82 tähenduses.
51 Eespool toodud põhjendusi arvestades tuleb kolmandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et sellega on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses mittevaralise kahju hüvitamine, et andmesubjektile tekkinud kahju oleks teatud raskusastmega.
Teine küsimus
52 Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et selleks et määrata kindlaks selle kahjuhüvitise suurus, mis kuulub tasumisele nimetatud artikliga kehtestatud hüvitise saamise õiguse kohaselt, peavad liikmesriikide kohtud kohaldama liikmesriigi riigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, järgides mitte ainult liidu õigusest tulenevat võrdväärsuse põhimõtet ja tõhususe põhimõtet.
53 Sellega seoses on oluline meelde tuletada, et väljakujunenud praktikast ilmneb, et kui konkreetses valdkonnas puuduvad liidu õigusnormid, tuleb õigussubjektide õiguste kaitse tagamiseks mõeldud kohtuasjade menetluslikke aspekte menetlusautonoomia põhimõtte kohaselt reguleerida iga liikmesriigi sisemises õiguskorras, kuid seda siiski tingimusel, et need õigusnormid ei ole liidu õiguse kohaldamisalasse kuuluvates olukordades vähem soodsad kui normid, mis reguleerivad riigisisese õiguse kohaldamisalasse kuuluvaid sarnaseid olukordi (võrdväärsuse põhimõte), ning need ei muuda liidu õigusega antud õiguste kasutamist praktiliselt võimatuks ega ülemäära keeruliseks (tõhususe põhimõte) (vt selle kohta 13. detsembri 2017. aasta kohtuotsus El Hassani, C‑403/16, EU:C:2017:960, punkt 26, ja 15. septembri 2022. aasta kohtuotsus Uniqa Versicherungen, C‑18/21, EU:C:2022:682, punkt 36).
54 Käesoleval juhul tuleb märkida, et isikuandmete kaitse üldmäärus ei sisalda sätet, mille eesmärk oleks määratleda selle kahju hindamist reguleerivad õigusnormid, mida andmesubjekt määruse artikli 4 punkti 1 tähenduses võib nõuda määruse artikli 82 alusel, kui selle määruse rikkumine on talle kahju tekitanud. Seega, kuna valdkonnas puuduvad liidu õigusnormid, siis tuleb iga liikmesriigi õiguskorras kehtestada menetlusnormid hagidele, mille eesmärk on tagada õigussubjektidele artikliga 82 antud õiguste kaitse, ja eelkõige kriteeriumid, mis võimaldavad kindlaks määrata selle raames makstava hüvitise ulatuse, tingimusel et järgitakse võrdväärsuse põhimõtet ja tõhususe põhimõtet (vt analoogia alusel 13. juuli 2006. aasta kohtuotsus Manfredi jt, C‑295/04–C‑298/04, EU:C:2006:461, punktid 92 ja 98).
55 Mis puudutab võrdväärsuse põhimõtet, siis ei ole Euroopa Kohtule käesolevas menetluses teada ühtegi asjaolu, mis tekitaks kahtlusi, kas põhikohtuasjas kohaldatavad riigisisesed õigusnormid on selle põhimõttega kooskõlas, ja mis näitaks, et nimetatud põhimõttel võib olla selles vaidluses konkreetne mõju.
56 Mis puudutab tõhususe põhimõtet, siis on eelotsusetaotluse esitanud kohtu ülesanne kindlaks teha, kas isikuandmete kaitse üldmääruse artiklis 82 ette nähtud hüvitise saamise õiguse alusel tasumisele kuuluva kahjuhüvitise kohtu poolt kindlaksmääramise kord, mis on ette nähtud Austria õiguses, ei muuda liidu õigusega ja täpsemalt selle määrusega antud õiguste kasutamist praktikas võimatuks või ülemäära keeruliseks.
57 Sellega seoses tuleb rõhutada, et isikuandmete kaitse üldmääruse põhjenduse 146 kuuendas lauses on märgitud, et selle õigusakti eesmärk on tagada, et andmesubjektid saavad „täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud“.
58 Sellega seoses, võttes arvesse isikuandmete kaitse üldmääruse artiklis 82 ette nähtud hüvitise saamise õiguse hüvitamisfunktsiooni, siis nagu kohtujurist oma ettepaneku punktides 39, 49 ja 52 sisuliselt rõhutas, tuleb sellele sättele tuginevat rahalist hüvitist pidada „täielikuks ja tõhusaks“, kui see võimaldab täielikult hüvitada selle määruse rikkumisega konkreetselt tekitatud kahju, ilma et täieliku hüvitamise jaoks oleks vaja välja mõista karistuslikku kahjuhüvitist.
59 Kõiki eespool toodud kaalutlusi silmas pidades tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et selleks et määrata kindlaks selle kahjuhüvitise suurus, mis kuulub tasumisele nimetatud artikliga kehtestatud hüvitise saamise õiguse kohaselt, peavad liikmesriikide kohtud kohaldama liikmesriigi riigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, tingimusel et järgitakse liidu õigusest tulenevat võrdväärsuse põhimõtet ja tõhususe põhimõtet.
Kohtukulud
60 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:
1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 82 lõiget 1
tuleb tõlgendada nii, et
pelgalt selle määruse sätete rikkumisest ei piisa, et tekiks õigus hüvitisele.
2. Määruse 2016/679 artikli 82 lõiget 1
tuleb tõlgendada nii, et
sellega on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses mittevaralise kahju hüvitamine, et andmesubjektile tekkinud kahju oleks teatud raskusastmega.
3. Määruse 2016/679 artiklit 82
tuleb tõlgendada nii, et
selleks et määrata kindlaks selle kahjuhüvitise suurus, mis kuulub tasumisele nimetatud artikliga kehtestatud hüvitise saamise õiguse kohaselt, peavad liikmesriikide kohtud kohaldama liikmesriigi riigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, tingimusel et järgitakse liidu õigusest tulenevat võrdväärsuse põhimõtet ja tõhususe põhimõtet.
Allkirjad