UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)
21 päivänä joulukuuta 2023 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 6 artiklan 1 kohta – Käsittelyn lainmukaisuuden edellytykset – 9 artiklan 1, 2 ja 3 kohta – Erityisiä tietoryhmiä koskeva käsittely – Terveystiedot – Työntekijän työkyvyn arviointi – Omien työntekijöidensä terveystietoja käsittelevä sairausvakuutuskassan työterveyspalvelu – Tällaisen käsittelyn hyväksyttävyys ja edellytykset – 82 artiklan 1 kohta – Vastuu ja oikeus korvauksen saamiseen – Aineettoman vahingon korvaaminen – Vahingonkorvaustehtävä – Rekisterinpitäjän tuottamuksen asteen vaikutus
Asiassa C‑667/21,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Bundesarbeitsgericht (liittovaltion ylin työtuomioistuin, Saksa) on esittänyt 26.8.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 8.11.2021, saadakseen ennakkoratkaisun asiassa
ZQ
vastaan
Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,
UNIONIN TUOMIOISTUIN (kolmas jaosto),
toimien kokoonpanossa: jaoston puheenjohtaja K. Jürimäe sekä tuomarit N. Piçarra, M. Safjan, N. Jääskinen (esittelevä tuomari) ja M. Gavalec,
julkisasiamies: M. Campos Sánchez-Bordona,
kirjaaja: A. Calot Escobar,
ottaen huomioon kirjallisessa käsittelyssä esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– ZQ, edustajanaan E. Daun, Rechtsanwalt,
– Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, edustajanaan M. Wehner, Rechtsanwalt,
– Irlanti, asiamiehinään M. Browne, Chief State Solicitor, A. Joyce ja M. Lane, avustajanaan D. Fennelly, BL,
– Italian hallitus, asiamiehenään G. Palmieri, avustajanaan M. Russo, avvocato dello Stato,
– Euroopan komissio, asiamiehinään A. Bouchagiar, M. Heller ja H. Kranenborg,
kuultuaan julkisasiamiehen 25.5.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 9 artiklan 1 kohdan, 2 kohdan h alakohdan ja 3 kohdan, luettuna yhdessä tämän asetuksen 6 artiklan 1 kohdan kanssa, sekä kyseisen asetuksen 82 artiklan 1 kohdan tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat ZQ ja hänen työnantajansa Medizinischer Dienst der Krankenversicherung Nordrhein (Nordrheinin sairausvakuutuksen työterveyspalvelu, Saksa; jäljempänä MDK Nordrhein) ja jossa on kyse sellaisen vahingon korvaamisesta, joka ZQ:lle on väitetysti aiheutunut siitä, että MDK Nordrhein on käsitellyt hänen terveystietojaan lainvastaisesti.
Asiaa koskevat oikeussäännöt
Unionin oikeus
3 Yleisen tietosuoja-asetuksen johdanto-osan 4–8, 10, 35, 51–53, 75 ja 146 perustelukappaleessa todetaan seuraavaa:
”(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmiskuntaa. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin. Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon [Euroopan unionin] perusoikeuskirjassa tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä – – kunnioitetaan, oikeus henkilötietojen suojaan – –
(5) Sisämarkkinoiden toiminnasta aiheutuva taloudellinen ja sosiaalinen yhdentyminen on huomattavasti lisännyt rajatylittäviä henkilötietojen siirtoja. Henkilötietojen vaihto [Euroopan] unionin julkisten ja yksityisten toimijoiden, kuten luonnollisten henkilöiden, järjestöjen sekä yritysten, kesken on lisääntynyt. Unionin oikeudessa jäsenvaltioiden viranomaisia kehotetaan toimimaan yhteistyössä ja vaihtamaan keskenään henkilötietoja, jotta ne voisivat täyttää velvollisuutensa tai suorittaa tehtäviä jonkin toisen jäsenvaltion viranomaisten puolesta.
(6) Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen suojeluun uusia haasteita. Henkilötietoja jaetaan ja kerätään nyt merkittävän paljon enemmän. Teknologian ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös luonnolliset henkilöt saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen elämän. Tulevaisuudessa se helpottanee edelleen henkilötietojen vapaata kulkua unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille ja varmistaa samalla henkilötietojen korkeatasoisen suojan.
(7) Tällainen kehitys edellyttää vahvaa ja johdonmukaisempaa tietosuojakehystä unionissa, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Luonnollisten henkilöiden olisi voitava hallita omia henkilötietojaan. Oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen olisi vahvistettava luonnollisten henkilöiden ja talouden toimijoiden sekä viranomaisten kannalta.
(8) Kun tässä asetuksessa säädetään täsmennyksistä tai rajoituksista, joita jäsenvaltioiden lainsäädännössä voidaan tehdä asetuksen sääntöihin, jäsenvaltiot voivat – siinä määrin kuin johdonmukaisuus ja kansallisten säännösten ymmärrettävyys niille, joihin niitä sovelletaan, edellyttävät – sisällyttää tämän asetuksen osia kansalliseen lainsäädäntöönsä.
– –
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. – – Lisäksi tässä asetuksessa annetaan jäsenvaltioille liikkumavaraa sääntöjen täsmentämisen suhteen, mukaan lukien henkilötietojen erityisryhmien, jäljempänä ’arkaluontoiset tiedot’, käsittelyä koskevat säännöt. – –
– –
(35) Terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoja rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta. – –
– –
(51) Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja ‑vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja ‑vapauksille. – – Tällaista käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa – –
(52) Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön ja tapahtuu asianmukaisia suojatoimia soveltaen, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden vuoksi, joita ovat erityisesti henkilötietojen käsittely työlainsäädännön ja sosiaalista suojelua koskevan lainsäädännön aloilla, eläkkeet mukaan luettuina, terveysturvaa varten, valvonta- ja hälytystarkoituksiin sekä tartuntatautien ja muiden vakavien terveysuhkien estämiseksi tai hallitsemiseksi. Tällainen poikkeus voidaan tehdä terveydenhuoltoon liittyvien syiden vuoksi, muun muassa kansanterveyden ja terveydenhuoltopalvelujen hallinnon alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä tai yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. – –
(53) Erityisiin henkilötietoryhmiin kuuluvia, erityissuojelua tarvitsevia henkilötietoja olisi voitava käsitellä vain terveyteen liittyvien syiden perusteella silloin, kun se on tarpeen luonnollisten henkilöiden ja koko yhteiskunnan etua palvelevien tarkoitusten toteuttamiseksi, erityisesti terveyden- tai sosiaalihuollon palvelujen ja järjestelmien hallinnon yhteydessä, mukaan lukien hallinnon ja keskeisten kansallisten terveysviranomaisten suorittama tällaisten tietojen käsittely terveydenhuolto- tai sosiaalihuoltojärjestelmän laadun valvomiseksi, hallintotietoja ja yleistä kansallista ja paikallista valvontaa varten ja terveydenhuollon tai sosiaalihuollon – – jatkuvuuden varmistamiseksi – –. Näin ollen tässä asetuksessa olisi säädettävä erityisiin henkilötietoryhmiin kuuluvien terveyttä koskevien henkilötietojen käsittelyn yhdenmukaisista ehdoista erityistarpeiden osalta erityisesti, kun henkilö, jolla on lakisääteinen salassapitovelvollisuus, käsittelee tällaisia tietoja tiettyjä terveyteen liittyviä tarkoituksia varten. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi säädettävä erityisistä ja asianmukaisista toimenpiteistä luonnollisten henkilöiden perusoikeuksien ja henkilötietojen suojelemiseksi. Jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön lisäehtoja, kuten rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. – –
– –
(75) Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoinnin luvattomaan purkautumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista haittaa; jos rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä hallitsemasta omia henkilötietojaan; jos käsitellään – – terveyttä – – koskevia tietoja; jos arvioidaan henkilökohtaisia ominaisuuksia, erityisesti jos kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä – –
– –
(146) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. – –”
4 Tämän asetuksen I lukuun, joka aiheena ovat yleiset säännökset, sisältyvän kyseisen asetuksen 2 artiklan, jonka otsikko on ”Aineellinen soveltamisala”, 1 kohdassa säädetään seuraavaa:
”Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.”
5 Tämän asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti – –;
– –
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; – –
– –
15) ’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,
– –”
6 Yleisen tietosuoja-asetuksen II lukuun, jonka aiheena ovat kyseisessä vahvistetut periaatteet, sisältyvät kyseisen asetuksen 5–11 artikla.
7 Kyseisen asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:
”1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:
a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);
– –
f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (’eheys ja luottamuksellisuus’).
2. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”
8 Tämän asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 kohdassa säädetään seuraavaa:
”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.”
9 Saman asetuksen 9 artiklan, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, sanamuoto on seuraava:
”1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.
2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:
– –
b) käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;
– –
h) käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;
– –
3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.
4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.”
10 Yleisen tietosuoja-asetuksen IV lukuun, jonka otsikko on ”Rekisterinpitäjä ja henkilötietojen käsittelijä”, sisältyvät sen 24–43 artikla.
11 Kyseisen luvun 1 jaksoon, jonka otsikko on ”Yleiset velvollisuudet”, sisältyvän tämän asetuksen 24 artiklan, jonka otsikko on puolestaan ”Rekisterinpitäjän vastuu”, 1 kohdassa säädetään seuraava:
”Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.”
12 Tämän luvun 2 jaksoon, jonka otsikko on ”Henkilötietojen turvallisuus”, sisältyvän kyseisen asetuksen 32 artiklan, jonka otsikko on puolestaan ”Käsittelyn turvallisuus”, 1 kohdassa säädetään seuraavaa:
”Ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja ‑palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
– –”
13 Yleisen tietosuoja-asetuksen VIII luku, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, sisältää kyseisen asetuksen 77–84 artiklan.
14 Tämän asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamiseen”, sanamuoto on seuraava:
”1. Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.
2. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. – –
3. Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
– –”
15 Yleisen tietosuoja-asetuksen 83 artiklassa, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, säädetään seuraavaa:
”1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.
2. – – Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:
a) rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;
b) rikkomuksen tahallisuus tai tuottamuksellisuus;
– –
d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
– –
k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.
3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua.
– –”
16 Tämän asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”
Saksan oikeus
17 Sosiaaliturvalain V osan (Sozialgesetzbuch, Fünftes Buch), sellaisena kuin sitä sovelletaan pääasiassa, 275 §:n 1 momentin mukaan pakollisen sairausvakuutuksen kassojen on pyydettävä heitä palvelevalta työterveyspalvelulta (Medizinischer Dienst) erityisesti lausuntoa vakuutetun työkyvyttömyyteen liittyvien epäilyjen poistamiseksi laissa määrätyissä tilanteissa tai silloin, kun vakuutetun sairaus sitä edellyttää.
18 Sosiaaliturvalain V osan 278 §:n 1 momentin ensimmäisen virkkeen mukaisesti jokaiseen osavaltioon on perustettava tällainen työterveyspalvelu, joka on julkisoikeudellinen yhteisö.
Pääasia ja ennakkoratkaisukysymykset
19 MDK Nordrhein on julkisoikeudellinen yhteisö, jolla on sairausvakuutuskassojen työterveyspalveluna lakisääteisenä tehtävänään muun muassa antaa lääkärinlausuntoja vastuualueeseensa kuuluvien pakollisen sairausvakuutuksen kassoissa vakuutettujen työkyvyttömyyteen liittyvien epäilyjen poistamiseksi mukaan luettuna tilanteet, joissa kyseiset lausunnot koskevat sen omia työntekijöitä.
20 Tällaisessa tilanteessa ainoastaan erityistapausten yksiköksi kutsutun erikoisyksikön jäsenillä on oikeus käsitellä kyseisen työntekijän niin sanottuja sosiaalitietoja siten, että he käyttävät yhteisön tietojärjestelmän suojattua aluetta, ja oikeus saada pääsy sähköisiin arkistoihin lausunnon antamisen jälkeen. Näitä tapauksia koskevassa sisäisessä muistiossa todetaan muun muassa, että rajoitetulla määrällä valtuutettuja työntekijöitä, joihin kuuluvat tietyt tietoteknisen yksikön työntekijät, on pääsy näihin tietoihin.
21 Pääasian valittaja työskenteli MDK Nordrheinin tietoteknisessä yksikössä ennen kuin hänet todettiin työkyvyttömäksi lääketieteellisistä syistä. Kyseinen yhteisö jatkoi hänen palkanmaksuaan työnantajan asemassa viikon, minkä jälkeen pakollisen sairausvakuutuksen kassa, johon hän kuului, alkoi maksaa hänelle sairausetuuksia.
22 Kyseinen kassa pyysi tämän jälkeen MDK Nordrheinia antamaan pääasian valittajan työkyvyttömyyttä koskevan lausunnon. MDK Nordrheinin erityistapausten yksikössä työskentelevä lääkäri antoi lausunnon erityisesti hankkimalla tietoja pääasian valittajan hoitavalta lääkäriltä. Kun pääasian valittaja sai tiedon asiasta hoitavalta lääkäriltään, hän otti yhteyttä erääseen kollegaansa tietoteknisessä yksikössä ja pyysi häntä ottamaan valokuvia MDK Nordrheinin sähköisessä arkistossa olevasta lausunnosta ja toimittamaan ne hänelle.
23 Pääasian valittaja arvioi, että hänen työnantajansa olisi näin ollen käsitellyt lainvastaisesti hänen terveystietojaan, ja vaati tätä maksamaan hänelle 20 000 euron suuruisen korvauksen, mistä MDK Nordrhein kieltäytyi.
24 Seuraavaksi pääasian valittaja saattoi asian Arbeitsgericht Düsseldorfin (Düsseldorfin työoikeudellisten asioiden alioikeus, Saksa) käsiteltäväksi ja vaati yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan ja Saksan oikeuden säännösten nojalla, että MDK Nordrhein velvoitetaan korvaamaan hänelle näin suoritetusta henkilötietojen käsittelystä aiheutuneeksi väitetty vahinko. Hän väitti pääasiallisesti yhtäältä, että toisen työterveyspalvelun olisi tullut antaa kyseessä oleva lausunto sen välttämiseksi, että hänen kollegoillaan on pääsy hänen terveystietoihinsa, ja toisaalta, että kyseisen lausunnon arkistointiin liittyvät turvallisuustoimenpiteet olivat riittämättömiä. Hän väitti myös, että kyseinen käsittely merkitsee tällaisia tietoja suojaavien oikeussääntöjen sellaista rikkomista, josta hänelle on aiheutunut sekä aineetonta että aineellista vahinkoa.
25 MDK Nordrhein väitti vastauksena pääasiallisesti, että pääasian valittajan terveystietoja oli kerätty ja säilytetty tällaisten tietojen suojaa koskevien säännösten mukaisesti.
26 Pääasian valittajan vaatimus hylättiin ensimmäisessä oikeusasteessa, joten hän teki valituksen Landesarbeitsgericht Düsseldorfiin (Düsseldorfin työoikeudellisten asioiden ylioikeus, Saksa), joka myös hylkäsi hänen valituksensa. Näin ollen hän teki Revision-valituksen Bundesarbeitsgerichtiin (liittovaltion ylin työtuomioistuin, Saksa), joka on nyt käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin.
27 Kyseinen tuomioistuin lähtee olettamuksesta, jonka mukaan pääasiassa MDK Nordrheinin työterveyspalveluna antama lausunto merkitsee yleisen tietosuoja-asetuksen 4 artiklan 1, 2 ja 15 alakohdassa tarkoitettua henkilötietojen ja tarkemmin ottaen terveystietojen käsittelyä, joten kyseinen menettely kuuluu tämän asetuksen aineelliseen soveltamisalaan, sellaisena kuin se on määritelty sen 2 artiklan 1 kohdassa. Lisäksi se katsoo, että MDK Nordrhein on kyseessä oleva rekisterinpitäjä kyseisen asetuksen 4 artiklan 7 alakohdassa tarkoitetussa merkityksessä.
28 Sen pohdinnat koskevat ensiksi useiden yleisen tietosuoja-asetuksen 9 artiklan, joka liittyy erityisiä henkilötietoryhmiä koskevaan käsittelyyn, säännösten tulkintaa erityisesti, kun otetaan huomioon, että pääasiassa kyseessä olevaa käsittelyä on suorittanut yhteisö, joka on myös tämän asetuksen 4 artiklan 1 alakohdassa määritellyn rekisteröidyn työnantaja.
29 Aluksi ennakkoratkaisua pyytäneellä tuomioistuimella on epäilyjä siitä, voiko pääasiassa kyseessä oleva terveystietojen käsittely kuulua jonkin yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetyn poikkeuksen alaan. Kyseisen tuomioistuimen mukaan ainoastaan 2 kohdan b ja h alakohdassa olevat poikkeukset ovat merkityksellisiä nyt käsiteltävässä asiassa. Kuitenkin se toteaa heti aluksi, ettei b alakohdassa säädettyä poikkeusta sovelleta nyt käsiteltävässä asiassa, koska pääasiassa kyseessä oleva käsittely ei ole tarpeen rekisterinpitäjän, kun tätä tarkastellaan rekisteröidyn työnantajana, velvoitteiden ja oikeuksien takia. Tämän käsittelyn on nimittäin käynnistänyt toinen yhteisö, joka on pyytänyt MDK Nordrheinia suorittamaan valvontaa työterveyspalveluna. Sitä vastoin on niin, että vaikka ennakkoratkaisua pyytänyt tuomioistuin on taipuvainen katsomaan, ettei myöskään h alakohdassa säädettyä poikkeusta voida soveltaa, koska sen mukaan ainoastaan ”puolueettoman kolmannen” suorittaman käsittelyn tulisi voida kuulua tämän poikkeuksen soveltamisalaan eikä yhteisö voi vedota kaksoisrooliinsa työnantajana ja työterveyspalveluna voidakseen ohittaa tällaista käsittelyä koskevan kiellon, se ei ole tältä osin ehdoton.
30 Seuraavaksi siinä tapauksessa, että terveystietojen käsittely on tällaisissa olosuhteissa sallittua yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan nojalla, ennakkoratkaisua pyytänyt tuomioistuin on epävarma siitä, mitä terveystietojen suojaa koskevia sääntöjä on noudatettava tässä yhteydessä. Sen mukaan kyseisen asetuksen nojalla ei ole riittävää, että rekisterinpitäjä täyttää sen 9 artiklan 3 kohdassa asetetut vaatimukset. Kyseisen rekisterinpitäjän on lisäksi taattava, ettei yksikään rekisteröidyn kollegoista voi saada minkäänlaista pääsyä hänen terveydentilaansa koskeviin tietoihin.
31 Lopuksi tässä samassa tapauksessa ennakkoratkaisua pyytänyt tuomioistuin haluaa tietää, onko lisäksi ainakin yhden yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa tarkoitetun edellytyksen täytyttävä, jotta tällainen käsittely on lainmukaista. Sen mukaan asian tulisi olla näin ja pääasiassa ainoastaan 6 artiklan 1 kohdan ensimmäisen alakohdan c ja e alakohta voivat olla lähtökohtaisesti merkityksellisiä. Näitä c ja e alakohtaa ei kuitenkaan pitäisi soveltaa sillä perusteella, että asianomainen käsittely ei ole tarpeen näissä säännöksissä tarkoitetulla tavalla, koska sen voisi yhtä hyvin suorittaa muu työterveyspalvelu kuin MDK Nordrhein.
32 Toiseksi siinä tapauksessa, että nyt käsiteltävässä asiassa katsotaan, että yleistä tietosuoja-asetusta on rikottu, ennakkoratkaisua pyytänyt tuomioistuin pohtii pääasian valittajalle kyseisen asetuksen 82 artiklan nojalla mahdollisesti maksettavaa korvausta.
33 Yhtäältä se haluaa tietää, onko yleisen tietosuoja-asetuksen 82 artikla luonteeltaan varoittava tai rankaiseva sen lisäksi, että sillä on hyvittävä tehtävä, ja tarvittaessa sen, onko kyseinen luonne otettava huomioon määritettäessä aineettoman vahingon perusteella maksettavan korvauksen määrää, kun otetaan erityisesti huomioon muilla unionin oikeuden aloilla vahvistetut tehokkuusperiaate, suhteellisuusperiaate ja vastaavuusperiaate.
34 Toisaalta kyseinen tuomioistuin on taipuvainen katsomaan, että rekisterinpitäjän vastuuseen voidaan vedota 82 artiklan 1 kohdan perusteella eikä ole tarpeen näyttää toteen sen tuottamusta. Ennakkoratkaisua pyytäneellä tuomioistuimella on kuitenkin epäilyksiä pääasiallisesti Saksan oikeussäännöt huomioon ottaen, joten se pohtii, onko selvitettävä, että kyseessä oleva yleisen tietosuoja-asetuksen rikkominen on seurausta rekisterinpitäjän tahallisesta teosta tai huolimattomuudesta, ja onko kyseisen rekisterinpitäjän mahdollisen tuottamuksen vakavuudella oltava vaikutusta aineettoman vahingon hyvityksenä maksettavaan korvaukseen.
35 Bundesarbeitsgericht on tässä tilanteessa päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Onko [yleisen tietosuoja-asetuksen] 9 artiklan 2 kohdan h alakohtaa tulkittava siten, että sairausvakuutuskassan työterveyspalvelun on kiellettyä käsitellä työntekijänsä terveyttä koskevia tietoja, jotka ovat edellytys kyseisen työntekijän työkyvyn arvioimiselle?
2) Jos unionin tuomioistuin vastaa kysymykseen 1 kieltävästi sillä seurauksella, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan mukaan kyseeseen tulisi poikkeus saman artiklan 1 kohdassa säädetystä terveyttä koskevien tietojen käsittelykiellosta: onko nyt tarkasteltavan kaltaisessa tapauksessa otettava huomioon yleisen tietosuoja-asetuksen 9 artiklan 3 kohdassa säädettyjen edellytysten lisäksi muita tietosuojasäännöksiä, ja jos on, niin mitä?
3) Jos unionin tuomioistuin vastaa kysymykseen 1 kieltävästi sillä seurauksella, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan mukaan kyseeseen tulisi poikkeus saman artiklan 1 kohdassa säädetystä terveystietojen käsittelykiellosta: riippuuko nyt tarkasteltavan kaltaisessa tapauksessa terveyttä koskevien tietojen käsittelyn sallittavuus tai lainmukaisuus lisäksi siitä, että ainakin yksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa mainituista edellytyksistä täyttyy?
4) Onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohta luonteeltaan erityis- tai yleisestävä, ja onko tämä otettava huomioon arvioitaessa yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla korvattavan aineettoman vahingon, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on velvollinen korvaamaan, suuruutta?
5) Onko rekisterinpitäjän tai henkilötietojen käsittelijän tuottamuksen asteella merkitystä arvioitaessa yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla korvattavan aineettoman vahingon suuruutta? Erityisesti voidaanko rekisterinpitäjän tai henkilötietojen käsittelijän tuottamuksen puuttuminen tai vähäinen tuottamus ottaa huomioon tämän hyväksi?”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen kysymys
36 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa säädetty terveystietojen käsittelyn kielto huomioon ottaen tämän artiklan 2 kohdan h alakohtaa tulkittava siten, että siinä säädettyä poikkeusta sovelletaan tilanteisiin, joissa lääkärintarkastuksia tekevä elin käsittelee työntekijänsä terveystietoja toimien ei työnantajan ominaisuudessa vaan työterveyspalveluna kyseisen työntekijän työkyvyn arvioimiseksi.
37 Vakiintuneen oikeuskäytännön mukaan unionin oikeussäännön tulkinta edellyttää, että huomioon otetaan paitsi sen sanamuoto myös asiayhteys, johon se kuuluu, sekä sen toimen tavoitteet ja päämäärät, jonka osa se on. Unionin oikeussäännön syntyhistoriasta voi myös ilmetä sen tulkinnan kannalta merkityksellisiä seikkoja (tuomio 16.3.2023, Towercast, C‑449/21, EU:C:2023:207, 31 kohta oikeuskäytäntöviittauksineen).
38 Aluksi on palautettava mieleen, että yleisen tietosuoja-asetuksen 9 artikla koskee sen otsikosta ilmenevällä tavalla käsittelyä, joka koskee ”erityisiä henkilötietoryhmiä”, joita luonnehditaan myös arkaluontoisiksi tiedoiksi tämän asetuksen johdanto-osan 10 ja 51 perustelukappaleessa.
39 Yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleessa todetaan, että henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja ‑vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja ‑vapauksille.
40 Yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa vahvistetaan näin ollen siinä lueteltujen erityisten henkilötietoryhmien lähtökohtainen käsittelykielto. Kyseisiin henkilötietoryhmiin kuuluvat nyt käsillä olevassa asiassa kyseessä olevat ”terveystiedot”, sellaisina kuin ne on määritelty tämän asetuksen 4 artiklan 15 alakohdassa, luettuna sen johdanto-osan 35 perustelukappaleen valossa.
41 Unionin tuomioistuin on täsmentänyt, että tämän asetuksen 9 artiklan 1 kohdan tarkoituksena on varmistaa parempi suoja sellaista käsittelyä vastaan, joka sen kohteena olevien tietojen erityisen arkaluontoisuuden vuoksi voi merkitä erityisen vakavaa puuttumista yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin, jotka on taattu perusoikeuskirjan 7 ja 8 artiklassa (ks. vastaavasti tuomio 5.6.2023, komissio v. Puola (Tuomareiden riippumattomuus ja yksityiselämä), C‑204/21, EU:C:2023:442, 345 kohta oikeuskäytäntöviittauksineen).
42 Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a–j alakohdassa kuitenkin säädetään tyhjentävä luettelo näiden arkaluonteisten tietojen käsittelykieltoa koskevista poikkeuksista.
43 Erityisesti tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdassa sallitaan tällainen käsittely, jos se on ”tarpeen [muun muassa] työntekijän työkyvyn arvioimiseksi – – unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti”. Kyseisessä säännöksessä täsmennetään, että kaikessa siihen perustuvassa käsittelyssä on lisäksi erityisesti noudatettava 9 artiklan ”3 kohdassa esitettyjä edellytyksiä ja suojatoimia”.
44 Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdasta, luettuna yhdessä kyseisen artiklan 3 kohdan kanssa, käy ilmi, että terveystietojen kaltaisten arkaluonteisten tietojen käsittelymahdollisuutta on rajoitettu tiukasti useilla kumulatiivisilla edellytyksillä. Kyseiset edellytykset liittyvät ensiksi tässä h alakohdassa lueteltuihin tarkoituksiin – joihin kuuluu työntekijän työkyvyn arviointi –, toiseksi kyseisen käsittelyn oikeusperustaan – jolloin kyseessä voi olla unionin oikeus, jäsenvaltion lainsäädäntö tai terveydenhuollon ammattilaisen kanssa tehty sopimus saman h alakohdan mukaisesti –, ja lopuksi ja kolmanneksi niillä henkilöillä, jotka on valtuutettu suorittamaan tällaista käsittelyä, 9 artiklan 3 kohdan nojalla olevaan velvollisuuteen säilyttää luottamuksellisuus; tämän säännöksen mukaan kaikilla näillä henkilöillä on oltava salassapitovelvollisuus.
45 Kuten julkisasiamies on pääasiallisesti todennut ratkaisuehdotuksensa 32 ja 33 kohdassa, ei yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan sanamuodossa eikä kyseisen säännöksen syntyhistoriassa ole sellaista, minkä perusteella voitaisiin katsoa, että tässä säännöksessä säädettyä poikkeusta sovellettaisiin vain, kuten ennakkoratkaisua pyytänyt tuomioistuin antaa ymmärtää, tilanteissa, joissa käsittelyn suorittaa rekisteröityyn, sellaisena kuin hänet on määritelty tämän asetuksen 4 artiklan 1 alakohdassa, nähden ”puolueeton kolmas” eikä rekisteröidyn ”työnantaja”.
46 Kun otetaan huomioon ennakkoratkaisua pyytäneen tuomioistuimen kanta, jonka mukaan on pääasiallisesti niin, että yhteisö ei voi vedota ”kaksoisrooliinsa” työnantajana ja työterveyspalveluna välttääkseen yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa vahvistetun terveystietojen käsittelykieltoa koskevan periaatteen soveltamisen, on täsmennettävä, että on olennaista ottaa huomioon, mitä varten näitä tietoja käsitellään.
47 Nimittäin on niin, että vaikka 9 artiklan 1 kohdassa lähtökohtaisesti kielletään terveystietojen käsittely, kyseisen artiklan 2 kohdan a–j alakohdassa säädetään kymmenen toisistaan riippumatonta poikkeusta, joita on näin ollen arvioitava itsenäisesti. Näin ollen se, että jonkin tässä 2 kohdassa säädetyn poikkeuksen soveltamisedellytykset eivät täyty, ei voi olla esteenä sille, että rekisterinpitäjä vetoaa johonkin toiseen tässä säännöksessä mainittuun poikkeukseen.
48 Edellä esitetystä seuraa, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohta, luettuna yhdessä kyseisen artiklan 3 kohdan kanssa, ei millään tavoin sulje pois h alakohdassa säädetyn poikkeuksen sovellettavuutta tilanteissa, joissa lääkärintarkastuksia tekevä elin käsittelee työntekijänsä terveystietoja toimien työterveyspalvelun ominaisuudessa eikä työnantajana kyseisen työntekijän työkyvyn arvioimiseksi.
49 Toiseksi tällainen tulkinta saa tukea sen järjestelmän, jonka osa yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohta on, huomioon ottamisesta sekä tämän asetuksen ja tämän säännöksen tavoitteista.
50 Ensinnäkin on tosin niin, että koska yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetään poikkeus erityisten henkilötietoryhmien käsittelyn kieltoa koskevaan periaatteeseen, sitä on tulkittava suppeasti (tuomio 4.7.2023, Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot), C‑252/21, EU:C:2023:537, 76 kohta).
51 Yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa vahvistetun kieltoperiaatteen noudattaminen ei voi kuitenkaan johtaa siihen, että toisen tämän asetuksen säännöksen soveltamisalaa supistetaan kyseisen säännöksen selkeän sanamuodon vastaisesti. Ehdotetussa tulkinnassa, jonka mukaan tämän 9 artiklan 2 kohdan h alakohdassa säädetyn poikkeuksen soveltamisala on rajoitettava tilanteisiin, joissa ”puolueeton kolmas” käsittelee terveystietoja työntekijän työkyvyn arvioimiseksi, lisätään edellytys, joka ei käy millään tavalla ilmi tämän säännöksen selkeästä sanamuodosta.
52 Tältä osin on merkityksetöntä, että nyt käsiteltävässä asiassa tilanteessa, jossa MDK Nordrheinia kiellettäisiin hoitamasta sillä olevaa työterveyspalvelun tehtävää silloin, kun kyse on sen omasta työntekijästä, toinen lääkärintarkastuksia tekevä elin voisi ottaa sen hoitaakseen. On korostettava, että tämä ennakkoratkaisua pyytäneen tuomioistuimen mainitsema vaihtoehto ei välttämättä ole saatavilla tai toteutettavissa kaikissa jäsenvaltioissa ja kaikissa tilanteissa, jotka voivat kuulua yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan soveltamisalaan. Yhden ainoan jäsenvaltion terveydenhuoltojärjestelmään tai pääasian olosuhteisiin perustuvat näkökohdat eivät voi ohjata tämän säännöksen tulkintaa.
53 Toiseksi edellä 48 kohdassa oleva tulkinta on yleisen tietosuoja-asetuksen ja sen 9 artiklan tavoitteiden mukainen.
54 Yleisen tietosuoja-asetuksen johdanto-osan neljännen perustelukappaleen mukaan oikeus henkilötietojen suojaan ei siis ole absoluuttinen, koska sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin (ks. vastaavasti tuomio 22.6.2023, Pankki S, C‑579/21, EU:C:2023:501, 78 kohta). Unionin tuomioistuin on lisäksi jo korostanut, että käsillä olevien eri oikeuksien ja etujen välisen oikeudenmukaisen tasapainon löytämiseksi käytettävät mekanismit löytyvät itse yleisestä tietosuoja-asetuksesta (ks. vastaavasti tuomio 17.6.2021, M.I.C.M., C‑597/19, EU:C:2021:492, 112 kohta).
55 Nämä toteamukset pätevät myös silloin, kun kyseessä olevat tiedot kuuluvat tämän asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin (ks. vastaavasti tuomio 24.9.2019, GC ym. (Arkaluonteisten tietojen poistaminen hakutulosten luettelosta), C‑136/17, EU:C:2019:773, 57 ja 66–68 kohta).
56 Täsmällisemmin yleisen tietosuoja-asetuksen johdanto-osan 52 perustelukappaleesta käy ilmi, että ”erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelykiellosta” olisi voitava poiketa ”kun se on perusteltua yleistä etua koskevien syiden vuoksi – – erityisesti – –työlainsäädännön ja sosiaalista suojelua koskevan lainsäädännön aloilla” sekä ”erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä”. Tämän asetuksen johdanto-osan 53 perustelukappaleessa todetaan myös, että henkilötietoja olisi voitava käsitellä ”terveyteen liittyvien syiden perusteella” silloin, ”kun se on tarpeen luonnollisten henkilöiden ja koko yhteiskunnan etua palvelevien tarkoitusten toteuttamiseksi erityisesti terveyden- tai sosiaalihuollon palvelujen ja järjestelmien hallinnon yhteydessä”.
57 Unionin lainsäätäjä on tämän kokonaiskuvan ja käsillä olevat erilaiset oikeutetut edut huomioon ottaen säätänyt yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdassa mahdollisuuden poiketa tämän artiklan 1 kohdassa vahvistetusta terveystietojen käsittelykieltoa koskevasta periaatteesta edellyttäen, että asianomainen käsittely täyttää edellytykset ja takeet, jotka nimenomaisesti asetetaan tässä h alakohdassa ja muissa tämän asetuksen merkityksellisissä säännöksissä ja erityisesti tämän 9 artiklan 3 kohdassa; näissä säännöksissä ei edellytetä, että tällaisia tietoja h alakohdan nojalla käsittelevä työterveyspalvelu on rekisteröidyn työnantajasta erillinen yksikkö.
58 Edellä esitetyn perusteella, ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohtaa on tulkittava siten, että siinä säädettyä poikkeusta sovelletaan tilanteisiin, joissa lääkärintarkastuksia tekevä elin käsittelee työntekijänsä terveystietoja toimien ei työnantajan ominaisuudessa vaan työterveyspalveluna kyseisen työntekijän työkyvyn arvioimiseksi edellyttäen, että asianomainen käsittely täyttää h alakohdassa ja 9 artiklan 3 kohdassa nimenomaisesti asetetut edellytykset ja takeet, sanotun kuitenkaan rajoittamatta toiseen ja kolmanteen kysymykseen annettavia vastauksia.
Toinen kysymys
59 Ennakkoratkaisua pyytäneen tuomioistuimen mukaan yleisen tietosuoja-asetuksen johdanto-osan 35, 51, 53 ja 75 perustelukappaleesta ilmenee, että 9 artiklan 3 kohdassa asetettujen edellytysten täyttyminen ei ole riittävää pääasiassa kyseessä olevan kaltaisessa tilanteessa, jossa rekisterinpitäjä on myös sen henkilön, jonka työkykyä arvioidaan, työnantaja. Sen mukaan kyseisen asetuksen nojalla lisäksi kaikki rekisterinpitäjän työntekijät, joilla on jonkinlainen ammatillinen yhteys tähän henkilöön, on pidettävä erillään terveystietojen käsittelystä. Tämän tuomioistuimen mukaan kaikkien MDK Nordrheinin kaltaisten rekisterinpitäjien, joilla on useita toimipaikkoja, tulisi varmistaa, että tämän rekisterinpitäjän työntekijöiden terveystietojen käsittelystä vastaava yksikkö kuuluu aina muuhun toimipaikkaan kuin siihen, jossa asianomainen työntekijä työskentelee. Lisäksi tällaisten tietojen käsittelyyn valtuutettujen työntekijöiden salassapitovelvollisuus ei tosiasiallisesti estä sitä, että rekisteröidyn kollega voi saada pääsyn häntä koskeviin tietoihin, mistä aiheutuu vaara kyseisen henkilön maineelle aiheutuvan haitan kaltaisesta vahingosta.
60 Näin ollen ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen säännöksiä tulkittava siten, että rekisterinpitäjän, joka käsittelee terveystietoja tämän asetuksen 9 artiklan 2 kohdan h alakohdan nojalla, on taattava, ettei yksikään rekisteröidyn kollega voi saada pääsyä hänen terveydentilaansa koskeviin tietoihin.
61 On palautettava mieleen, että yleisen tietosuoja-asetuksen 9 artiklan 3 kohdan nojalla käsittely, joka koskee 9 artiklan 1 kohdassa lueteltuja tietoja – nyt käsiteltävässä asiassa työntekijän terveystietoja – ja joka suoritetaan 2 kohdan h alakohdassa mainittuja tarkoituksia varten – nyt käsiteltävässä asiassa työntekijän työkyvyn arvioimiseksi –, voidaan suorittaa vain silloin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.
62 Säätäessään tämän asetuksen 9 artiklan 3 kohdan, jossa viitataan nimenomaisesti saman artiklan 2 kohdan h alakohtaan, unionin lainsäätäjä on määritellyt erityiset suojatoimenpiteet, joita se on edellyttänyt tällaista käsittelyä suorittavien rekisterinpitäjien noudattavan ja jotka koostuvat siitä, että kyseinen käsittely on varattu henkilöille, joilla on salassapitovelvollisuus tässä 3 kohdassa yksityiskohtaisesti vahvistettujen edellytysten mukaisesti. Tämän säännöksen sanamuotoon ei siis voida lisätä edellytyksiä, joita siinä ei mainita.
63 Tästä seuraa – kuten julkisasiamies on pääasiallisesti todennut ratkaisuehdotuksensa 43 kohdassa –, että yleisen tietosuoja-asetuksen 9 artiklan 3 kohtaa ei voida käyttää oikeusperustana toimenpiteelle, jolla taataan, ettei kukaan rekisteröidyn kollegoista voi saada pääsyä hänen terveydentilaansa koskeviin tietoihin.
64 On kuitenkin arvioitava, voidaanko rekisterinpitäjää, joka käsittelee terveystietoja yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan nojalla, vaatia takaamaan, ettei kukaan rekisteröidyn kollegoista voi saada pääsyä hänen terveydentilaansa koskeviin tietoihin, jonkin muun tämän asetuksen säännöksen perusteella.
65 Tältä osin on täsmennettävä, että jäsenvaltiot voivat täydentää kyseisen asetuksen 9 artiklan 2 ja 3 kohdassa säädettyjä edellytyksiä tällaisella edellytyksellä ainoastaan sen nojalla, että niille on tämän artiklan 4 kohdassa nimenomaisesti annettu mahdollisuus ”pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat – – terveystietojen käsittelyä”.
66 Tällaiset mahdolliset täydentävät edellytykset eivät kuitenkaan seuraa yleisen tietosuoja-asetuksen säännöksistä itsessään vaan tarvittaessa tämäntyyppistä käsittelyä sääntelevistä kansallisen oikeuden säännöistä, joiden osalta tässä asetuksessa nimenomaisesti jätetään harkintavaltaa jäsenvaltioille (ks. vastaavasti tuomio 30.3.2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, 51 ja 78 kohta).
67 Lisäksi on korostettava, että jäsenvaltion, joka aikoo käyttää tämän asetuksen 9 artiklan 4 kohdassa annettua mahdollisuutta, on suhteellisuusperiaatteen mukaisesti varmistuttava siitä, että niiden täydentävien edellytysten, joita kyseinen jäsenvaltio suunnittelee ottavansa käyttöön, erityisesti organisatoriset, taloudelliset ja lääketieteelliset käytännön seuraukset eivät ole kohtuuttomia tällaista käsittelyä suorittaville rekisterinpitäjille, jotka eivät välttämättä ole riittävän suuria tai joilla ei välttämättä ole käytettävissään riittäviä teknisiä tai henkilöstöresursseja tällaisten edellytysten täyttämiseksi. Tällaisilla edellytyksillä ei nimittäin saa heikentää saman asetuksen 9 artiklan 2 kohdan h alakohdassa nimenomaisesti säädetyn käsittelyn hyväksymisen, jota säädellään kyseisen artiklan 3 kohdassa, tehokasta vaikutusta.
68 Lopuksi on korostettava, että yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan a ja b alakohdan, joissa konkretisoidaan kyseisen asetuksen 5 artiklan 1 kohdan f alakohdassa vahvistetut eheyden ja luottamuksellisuuden periaatteet, mukaan kaikkien henkilötietoja käsittelevien rekisterinpitäjien on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, erityisesti tällaisten tietojen pseudonymisointi ja salaus, ja niillä on oltava kyky taata muun muassa käsittelyjärjestelmien ja ‑palveluiden jatkuva luottamuksellisuus ja eheys. Kyseiseen velvollisuuteen liittyvien käytännön menettelytapojen määrittelemisessä rekisterinpitäjän on 32 artiklan 1 kohdan mukaan otettava huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
69 Ennakkoratkaisua pyytäneen tuomioistuimen on kuitenkin arvioitava, onko nyt käsiteltävässä asiassa MDK Nordrheinin toteuttamien teknisten ja organisatoristen toimenpiteiden kokonaisuus yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan a ja b alakohdan vaatimusten mukainen.
70 Näin ollen toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 9 artiklan 3 kohtaa on tulkittava siten, että rekisterinpitäjä, joka käsittelee terveystietoja tämän asetuksen 9 artiklan 2 kohdan h alakohdan nojalla, ei ole näiden säännösten perusteella velvollinen takaamaan, ettei yksikään rekisteröidyn kollega voi saada pääsyä hänen terveydentilaansa koskeviin tietoihin. Tällaista käsittelyä suorittavalla rekisterinpitäjällä voi kuitenkin olla tällainen velvollisuus joko jäsenvaltion tämän asetuksen 9 artiklan 4 kohdan nojalla antaman lainsäädännön nojalla tai sen 5 artiklan 1 kohdan f alakohdassa todettujen ja 32 artiklan 1 kohdan a ja b alakohdassa konkretisoitujen eheyden ja luottamuksellisuuden periaatteiden nojalla.
Kolmas kysymys
71 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohtaa ja 6 artiklan 1 kohtaa tulkittava siten, että ensiksi mainittuun säännökseen perustuva terveystietojen käsittely on lainmukaista silloin, kun se täyttää paitsi tästä säännöksestä johtuvat edellytykset myös vähintään yhden tässä 6 artiklan 1 kohdassa vahvistetuista käsittelyn lainmukaisuuden edellytyksistä.
72 Tältä osin on muistutettava, että yleisen tietosuoja-asetuksen 5, 6 ja 9 artikla sisältyvät kyseisen asetuksen II lukuun, jonka otsikko on ”Periaatteet”, ja ne liittyvät henkilötietojen käsittelyä koskeviin periaatteisiin, käsittelyn lainmukaisuuteen ja erityisiä henkilötietoryhmiä koskevaan käsittelyyn.
73 Lisäksi on huomautettava, että yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleessa todetaan nimenomaisesti, että ”erityisen arkaluonteisten” henkilötietojen käsittelyä koskevien ja tämän asetuksen 9 artiklan 2 ja 3 kohdassa vahvistettujen todettujen ”erityisvaatimusten lisäksi” – sanotun kuitenkaan rajoittamatta jäsenvaltion tämän artiklan 4 kohdan nojalla mahdollisesti toteuttamia toimenpiteitä – tällaiseen käsittelyyn olisi myös ”sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta”, sellaisina kuin ne käyvät ilmi tämän asetuksen 6 artiklasta.
74 Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan mukaan terveystietojen kaltaisten erityisen arkaluonteisten henkilötietojen käsittely on siis lainmukaista ainoastaan silloin, jos vähintään yksi tämän 1 kohdan ensimmäisen alakohdan a–f alakohdassa todetuista edellytyksistä täyttyy.
75 Tämän asetuksen 6 artiklan 1 kohdan ensimmäisessä alakohdassa vahvistetaan tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan lainmukaista. Jotta käsittelyn voidaan siis katsoa olevan oikeutettua, sen on kuuluttava johonkin näissä säännöksissä säädetyistä tapauksista (tuomio 4.7.2023, Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot), C‑252/21, EU:C:2023:537, 90 kohta oikeuskäytäntöviittauksineen).
76 Unionin tuomioistuin on näin ollen toistuvasti todennut, että kaikessa henkilötietojen käsittelyssä on noudatettava tietojen käsittelyä koskevia periaatteita, jotka mainitaan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdassa, ja sen osalta on täytyttävä jokin tietojen käsittelyn lainmukaisuudelle asetetuista edellytyksistä, jotka luetellaan asetuksen 6 artiklassa (tuomio 4.5.2023, Saksan liittotasavalta (Sähköinen tuomioistuinasioiden postilaatikko), C‑60/22, EU:C:2023:373, 57 kohta oikeuskäytäntöviittauksineen).
77 Unionin tuomioistuin on jo lisäksi todennut, että koska yleisen tietosuoja-asetuksen 7–11 artiklan, jotka sisältyvät sen 5 ja 6 artiklan tavoin kyseisen asetuksen II lukuun, tarkoituksena on täsmentää rekisterinpitäjälle mainitun asetuksen 5 artiklan 1 kohdan a alakohdan ja 6 artiklan 1 kohdan nojalla kuuluvien velvollisuuksien ulottuvuutta, lainmukaisessa henkilötietojen käsittelyssä on myös noudatettava, kuten unionin tuomioistuimen oikeuskäytännöstä ilmenee, mainitun luvun kyseisiä muita säännöksiä, jotka koskevat pääasiallisesti suostumusta, erityisten arkaluonteisten henkilötietoryhmien käsittelyä sekä rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittelyä (tuomio 4.5.2023, Saksan liittotasavalta (Sähköinen tuomioistuinasioiden postilaatikko), C‑60/22, EU:C:2023:373, 58 kohta oikeuskäytäntöviittauksineen).
78 Tästä seuraa erityisesti, että koska yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan tarkoituksena on täsmentää rekisterinpitäjälle kyseisen asetuksen 5 artiklan 1 kohdan a alakohdan ja 6 artiklan 1 kohdan nojalla kuuluvien velvollisuuksien ulottuvuutta, 9 artiklan 2 kohdan h alakohtaan perustuva terveystietojen käsittely on lainmukaista silloin, kun se täyttää yhtäaikaisesti sekä tästä säännöksestä että kahdesta viimeksi mainitusta säännöksestä johtuvat edellytykset että erityisesti vähintään yhden 6 artiklan 1 kohdassa vahvistetuista lainmukaisuuden edellytyksistä.
79 Edellä esitetyn perusteella kolmanteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohtaa ja 6 artiklan 1 kohtaa on tulkittava siten, että ensiksi mainittuun säännökseen perustuva terveystietojen käsittely on lainmukaista silloin, kun se täyttää paitsi tästä säännöksestä johtuvat edellytykset myös vähintään yhden tässä 6 artiklan 1 kohdassa vahvistetuista käsittelyn lainmukaisuuden edellytyksistä.
Neljäs kysymys
80 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee neljännellä kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että siinä säädetyllä korvauksen saamista koskevalla oikeudella on paitsi vahingonkorvaustehtävä myös varoittava tai rankaiseva tehtävä, ja jos näin on, onko kyseinen tehtävä otettava mahdollisesti huomioon vahvistettaessa aineettomasta vahingosta tämän säännöksen perusteella suoritettavan korvauksen määrää.
81 On muistutettava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaan on niin, että ”jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta”.
82 Unionin tuomioistuin on tulkinnut tätä säännöstä siten, että pelkkä yleisen tietosuoja-asetuksen rikkominen ei riitä antamaan oikeutta korvauksen saamiseen, korostettuaan ensin muun muassa, että ”vahingon” olemassaolo on yksi 82 artiklan 1 kohdassa säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin se, että tätä asetusta on rikottu ja että vahingon ja kyseisen rikkomisen välillä on syy-yhteys (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 32 ja 42 kohta).
83 Unionin tuomioistuin on lisäksi katsonut, että koska yleisessä tietosuoja-asetuksessa ei ole säännöstä, jolla määritettäisiin säännöt, jotka koskevat tämän säännöksen 82 artiklassa vahvistetun korvauksen saamista koskevan oikeuden perusteella suoritettavan vahingonkorvauksen arviointia, kansallisten tuomioistuinten on menettelyllisen itsemääräämisoikeuden periaatteen nojalla sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, kunhan unionin oikeuden vastaavuus- ja tehokkuusperiaatteita, sellaisina kuin ne on määritetty unionin vakiintuneessa oikeuskäytännössä, noudatetaan (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 53, 54 ja 59 kohta).
84 Tässä yhteydessä ja yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleen kuudennen virkkeen, jonka mukaan tämän asetuksen tarkoituksena on taata ”täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta”, osalta unionin tuomioistuin on todennut, että kun otetaan huomioon tämän asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden vahingonkorvaustehtävä, kyseiseen artiklaan perustuvaa rahamääräistä korvausta on pidettävä ”täytenä ja tosiasiallisena”, jos sillä voidaan korvata kyseisen asetuksen rikkomisesta konkreettisesti aiheutunut vahinko täysimittaisesti ilman, että tällainen täysimittainen korvaus edellyttäisi rangaistusluonteisten vahingonkorvausten määräämistä maksettavaksi (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 57 ja 58 kohta).
85 Tältä osin on korostettava, että yleisen tietosuoja-asetuksen 82 artiklan tehtävänä ei ole rankaiseminen vaan vahingon korvaaminen päinvastoin kuin muiden yhtä lailla tämän asetuksen VIII luvussa olevien säännösten eli 83 ja 84 artiklan, joiden tarkoitus on puolestaan olennaisesti rangaista, koska niiden nojalla voidaan määrätä hallinnollisia seuraamusmaksuja ja muita seuraamuksia. Mainitussa 82 artiklassa vahvistettujen sääntöjen ja mainituissa 83 ja 84 artiklassa vahvistettujen sääntöjen välinen suhde osoittaa, että näiden kahden säännösryhmän välillä on ero mutta ne myös täydentävät toisiaan siltä osin kuin on kyse kannustimista noudattaa yleistä tietosuoja-asetusta, kun otetaan huomioon, että jokaisen oikeus vaatia korvausta vahingosta vahvistaa kyseisessä asetuksessa säädettyjen suojasääntöjen toimivuutta ja on omiaan tekemään lainvastaisen toiminnan toistamisen vähemmän houkuttelevaksi (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 38 ja 40 kohta).
86 Koska yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyn korvauksen saamista koskevalla oikeudella ei ole ennakkoratkaisua pyytäneen tuomioistuimen hahmottelemalla tavalla varoittavaa tai rankaisevaa tehtävää, asianomaisen vahingon aiheuttaneen tämän asetuksen rikkomisen vakavuudella ei voi olla vaikutusta tämän säännöksen nojalla myönnettävän vahingonkorvauksen määrään silloinkaan, kun kyse ei ole aineellisesta vaan aineettomasta vahingosta. Tästä seuraa, että kyseistä määrää ei voida vahvistaa tämän vahingon täysimääräisen korvaamisen ylittävälle tasolle.
87 Näin ollen neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että siinä säädetyllä korvauksen saamista koskevalla oikeudella on vahingonkorvaustehtävä siltä osin kuin tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata täysimääräisesti tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko ja että sillä ei ole varoittavaa tai rankaisevaa tehtävää.
Viides kysymys
88 Ennakkoratkaisua pyytäneen tuomioistuimen vastauksena sille unionin tuomioistuimen työjärjestyksen 101 artiklan mukaisesti esitettyyn selvennyspyyntöön toimittamista tiedoista käy ilmi, että viidennellä kysymyksellä pyritään selvittämään yhtäältä, onko rekisterinpitäjän tai henkilötietojen käsittelijän korvausvastuun syntymisen edellytyksenä tuottamus ja/tai näyttö siitä, ja toisaalta, mikä vaikutus rekisterinpitäjän tai henkilötietojen käsittelijän tuottamuksen asteella voi olla aiheutuneesta aineettomasta vahingosta maksettavan korvauksen konkreettisessa arvioinnissa.
89 Kun otetaan huomioon tämä ennakkoratkaisua pyytäneen tuomioistuimen vastaus, on katsottava, että viidennen kysymyksen tarkoituksena on pääasiallisesti selvittää yhtäältä, onko yleisen tietosuoja-asetuksen 82 artiklaa tulkittava siten, että rekisterinpitäjän korvausvastuun syntymisen edellytyksenä on sen tuottamus, ja toisaalta, onko kyseisen tuottamuksen vakavuus otettava huomioon määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää.
90 Tämän kysymyksen ensimmäisestä osasta on todettava, että – kuten edellä 82 kohdassa on palautettu mieleen – yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaan korvauksen saamista koskeva oikeus edellyttää kolmen seikan yhtäaikaista olemassaoloa, eli tämän asetuksen rikkomista, vahingon olemassaoloa sekä vahingon ja kyseisen rikkomisen välistä syy-yhteyttä.
91 Yleisen tietosuoja-asetuksen 82 artiklan 2 kohdassa säädetään puolestaan, että kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Tiettyihin kielitoisintoihin ja erityisesti nyt käsiteltävän asian oikeudenkäyntikielellä olevaan saksankieliseen toisintoon sisältyvän tämän säännöksen sanamuodon perusteella ei voida määrittää varmuudella, onko rekisterinpitäjän korvausvastuun syntymisen edellytyksenä oltava se, että tämä on vastuussa kyseessä olevasta rikkomisesta.
92 Tältä osin yleisen tietosuoja-asetuksen 82 artiklan 2 kohdan ensimmäisen virkkeen eri kielitoisintojen arvioinnista käy ilmi, että rekisterinpitäjän oletetaan osallistuneen käsittelyyn, joka merkitsee kyseessä olevaa tämän asetuksen rikkomista. Nimittäin on niin, että vaikka saksan-, ranskan- ja suomenkieliset toisinnot on muotoiltu yleisluontoisesti, tietty määrä muita kielitoisintoja on täsmällisempiä ja niissä käytetään demonstratiivipronomia siinä yhteydessä, kun ilmaisua ”käsittely” käytetään kolmannen kerran tai kun tähän ilmaisuun viitataan kolmannen kerran, joten on selvää, että silloin, kun ilmaisua käytetään tai siihen viitataan kolmannen kerran, kyse on samasta toimenpiteestä kuin silloin, kun ilmaisua käytetään toisen kerran. Asia on näin espanjan-, viron-, kreikan-, italian- ja romaniankielisissä versioissa.
93 Yleisen tietosuoja-asetuksen 82 artiklan 3 kohdassa täsmennetään tältä osin, että rekisterinpitäjä on vapautettava vastuusta tämän 82 artiklan 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
94 Näiden eri yleisen tietosuoja-asetuksen 82 artiklan säännösten tarkastelusta yhdessä ilmenee, että tässä artiklassa säädetään tuottamukseen perustuvan vastuun järjestelmästä, jossa todistustaakka ei ole vahingon kärsineellä henkilöllä vaan rekisterinpitäjällä.
95 Tällaista tulkintaa tukevat 82 artiklan asiayhteys ja unionin lainsäätäjän yleisellä tietosuoja-asetuksella tavoittelemat päämäärät.
96 Tältä osin ensinnäkin yleisen tietosuoja-asetuksen 24 ja 32 artiklan sanamuodosta ilmenee, että kyseisissä säännöksissä ainoastaan velvoitetaan rekisterinpitäjä toteuttamaan teknisiä ja organisatorisia toimenpiteitä, joiden tarkoituksena on mahdollisimman pitkälle välttää kaikenlaiset henkilötietojen tietoturvaloukkaukset. Tällaisten toimenpiteiden asianmukaisuutta on arvioitava konkreettisesti tarkastellen sitä, onko kyseinen rekisterinpitäjä toteuttanut kyseiset toimenpiteet ottaen huomioon mainituissa artikloissa tarkoitetut eri kriteerit ja kyseessä olevaan käsittelyyn ja siitä johtuviin riskeihin erityisesti liittyvät henkilötietojen suojelun tarpeet (ks. vastaavasti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 30 kohta).
97 Tällainen velvoite kyseenalaistettaisiin, jos rekisterinpitäjän olisi tämän jälkeen korvattava kaikki vahingot, jotka aiheutuvat yleisen tietosuoja-asetuksen vastaisesti suoritetusta käsittelystä.
98 Toiseksi yleisen tietosuoja-asetuksen tavoitteista on todettava, että sen johdanto-osan 4–8 perustelukappaleesta käy ilmi, että sen tarkoituksena on tasapainottaa henkilötietoja käsittelevien rekisterinpitäjien ja niiden henkilöiden, joiden henkilötietoja käsitellään, edut. Tavoitteena on sallia digitaalitalouden kehittyminen siten, että varmistetaan korkeatasoinen henkilöiden suojelu. Tarkoituksena on siis tasapainottaa rekisterinpitäjän ja henkilöiden, joiden henkilötietoja käsitellään, edut. Yleisen tietosuoja-asetuksen 82 artiklassa säädetyllä tuottamukseen perustuvan vastuun järjestelmällä, jossa näyttötaakka on käännetty, voidaan nimenomaisesti taata tällainen tasapaino.
99 Toisaalta on niin, kuten julkisasiamies on pääasiallisesti huomauttanut ratkaisuehdotuksensa 93 kohdassa, ettei ole tällaisen korkeatasoisen suojan tavoitteen mukaista hyväksyä tulkintaa, jonka mukaan rekisteröityjen, joille on aiheutunut vahinkoa yleisen tietosuoja-asetuksen rikkomisesta, olisi tämän asetuksen 82 artiklaan perustuvan korvauskanteen yhteydessä kannettava todistustaakka paitsi tämän rikkomisen olemassaolosta ja siitä heille aiheutuneesta vahingosta myös rekisterinpitäjän tahalliseen tai huolimattomaan toimintaan perustuvasta tuottamuksesta tai jopa tämän tuottamuksen vakavuudesta, vaikka 82 artiklassa ei esitetä tällaisia vaatimuksia (ks. analogisesti tuomio 14.12.2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 56 kohta).
100 Toisaalta tuottamuksesta riippumattoman vastuun järjestelmällä ei varmistettaisi sitä, että saavutetaan lainsäätäjän tavoittelema oikeusvarmuuden tavoite, sellaisena kuin se käy ilmi yleisen tietosuoja-asetuksen johdanto-osan seitsemännestä perustelukappaleesta.
101 Viidennen kysymyksen toisesta osasta, joka liittyy yleisen tietosuoja-asetuksen 82 artiklan nojalla mahdollisesti maksettavan korvauksen suuruuden määrittämiseen, on muistutettava, että – kuten edellä 83 kohdassa korostetaan – vahingonkorvauksen arvioinnissa kansallisten tuomioistuinten on sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, kunhan unionin oikeuden vastaavuus- ja tehokkuusperiaatteita, sellaisina kuin ne on määritetty unionin vakiintuneessa oikeuskäytännössä, noudatetaan.
102 On täsmennettävä, että kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklan korvaustehtävä, kyseisessä artiklassa ei edellytetä, että tämän asetuksen rikkomisen, johon rekisterinpitäjä on oletetusti syyllistynyt, vakavuusaste otettaisiin huomioon määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää, vaan siinä edellytetään, että kyseinen summa määritetään siten, että korvataan täysimääräisesti tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko, kuten edellä 84 ja 87 kohdasta ilmenee.
103 Näin ollen viidenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklaa on tulkittava siten, että yhtäältä rekisterinpitäjän korvausvastuun syntymisen edellytyksenä on sen tuottamus, jonka oletetaan olevan käsillä, ellei rekisterinpitäjä osoita, ettei se ole millään tapaa vastuussa vahingon aiheuttaneesta teosta, ja että toisaalta kyseisessä artiklassa ei edellytetä, että tämän tuottamuksen vakavuusaste otetaan huomioon määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää.
Oikeudenkäyntikulut
104 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 9 artiklan 2 kohdan h alakohtaa
on tulkittava siten, että
siinä säädettyä poikkeusta sovelletaan tilanteisiin, joissa lääkärintarkastuksia tekevä elin käsittelee työntekijänsä terveystietoja toimien ei työnantajan ominaisuudessa vaan työterveyspalveluna kyseisen työntekijän työkyvyn arvioimiseksi edellyttäen, että asianomainen käsittely täyttää h alakohdassa ja 9 artiklan 3 kohdassa nimenomaisesti asetetut edellytykset ja takeet.
2) Asetuksen 2016/679 9 artiklan 3 kohtaa
on tulkittava siten, että
rekisterinpitäjä, joka käsittelee terveystietoja tämän asetuksen 9 artiklan 2 kohdan h alakohdan nojalla, ei ole näiden säännösten perusteella velvollinen takaamaan, ettei yksikään rekisteröidyn kollega voi saada pääsyä hänen terveydentilaansa koskeviin tietoihin. Tällaista käsittelyä suorittavalla rekisterinpitäjällä voi kuitenkin olla tällainen velvollisuus joko jäsenvaltion tämän asetuksen 9 artiklan 4 kohdan nojalla antaman lainsäädännön nojalla tai sen 5 artiklan 1 kohdan f alakohdassa todettujen ja 32 artiklan 1 kohdan a ja b alakohdassa konkretisoitujen eheyden ja luottamuksellisuuden periaatteiden nojalla.
3) Asetuksen 2016/679 9 artiklan 2 kohdan h alakohtaa ja 6 artiklan 1 kohtaa
on tulkittava siten, että
ensiksi mainittuun säännökseen perustuva terveystietojen käsittely on lainmukaista silloin, kun se täyttää paitsi tästä säännöksestä johtuvat edellytykset myös vähintään yhden tässä 6 artiklan 1 kohdassa vahvistetuista käsittelyn lainmukaisuuden edellytyksistä.
4) Asetuksen 2016/679 82 artiklan 1 kohtaa
on tulkittava siten, että
siinä säädetyllä korvauksen saamista koskevalla oikeudella on vahingonkorvaustehtävä siltä osin kuin tähän säännökseen perustuvalla rahamääräisellä korvauksella on voitava korvata täysimääräisesti tämän asetuksen rikkomisesta konkreettisesti aiheutunut vahinko ja että sillä ei ole varoittavaa tai rankaisevaa tehtävää.
5) Asetuksen 2016/679 82 artiklaa
on tulkittava siten, että
yhtäältä rekisterinpitäjän korvausvastuun syntymisen edellytyksenä on tuottamus, jonka oletetaan olevan käsillä, ellei rekisterinpitäjä osoita, ettei se ole millään tapaa vastuussa vahingon aiheuttaneesta teosta, ja että toisaalta kyseisessä artiklassa ei edellytetä, että tämän tuottamuksen vakavuusaste otetaan huomioon määritettäessä tämän säännöksen perusteella aineettomasta vahingosta maksettavan korvauksen määrää.
Allekirjoitukset