Language of document : ECLI:EU:C:2023:1022

TIESAS SPRIEDUMS (trešā palāta)

2023. gada 21. decembrī (*)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 6. panta 1. punkts – Apstrādes likumīguma nosacījumi – 9. panta 1. līdz 3. punkts – Īpašu kategoriju datu apstrāde – Veselības dati – Darbinieka darbspējas novērtēšana – Veselības apdrošināšanas medicīniskais dienests, kas apstrādā savu darbinieku veselības datus – Šādas apstrādes pieļaujamība un nosacījumi – 82. panta 1. punkts – Tiesības uz kompensāciju un atbildība – Nemateriālā kaitējuma atlīdzinājums – Kompensējošā funkcija – Pārziņa vainas ietekme

Lietā C‑667/21

par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Bundesarbeitsgericht (Federālā darba lietu tiesa, Vācija) iesniegusi ar 2021. gada 26. augusta lēmumu un kas Tiesā reģistrēts 2021. gada 8. novembrī, tiesvedībā

ZQ

pret

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

TIESA (trešā palāta)

šādā sastāvā: palātas priekšsēdētāja K. Jirimēe [K. Jürimäe], tiesneši N. Pisarra [N. Piçarra], M. Safjans [M. Safjan], N. Jēskinens [N. Jääskinen] (referents) un M. Gavalecs [M. Gavalec],

ģenerāladvokāts: M. Kamposs Sančess‑Bordona [M. Campos SánchezBordona],

sekretārs: A. Kalots Eskobars [A. Calot Escobar],

ņemot vērā rakstveida procesu,

ņemot vērā apsvērumus, ko snieguši:

–        ZQ vārdā – E. Daun, Rechtsanwalt,

–        Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts vārdā – M. Wehner, Rechtsanwalt,

–        Īrijas vārdā – M. Browne, Chief State Solicitor, A. Joyce un M. Lane, pārstāvji, kam palīdz D. Fennelly, BL,

–        Itālijas valdības vārdā – G. Palmieri, pārstāve, kurai palīdz M. Russo, avvocato dello Stato,

–        Eiropas Komisijas vārdā – A. Bouchagiar, M. Heller un H. Kranenborg, pārstāvji,

noklausījusies ģenerāladvokāta secinājumus 2023. gada 25. maija tiesas sēdē,

pasludina šo spriedumu.

Spriedums

1        Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 9. panta 1. punktu, 2. punkta h) apakšpunktu un 3. punktu, lasot tos kopsakarā ar šīs regulas 6. panta 1. punktu, kā arī to, kā interpretēt tās 82. panta 1. punktu.

2        Šis lūgums ir iesniegts saistībā ar tiesvedību starp ZQ un viņa darba devēju Medizinischer Dienst der Krankenversicherung Nordrhein (Ziemeļreinas Veselības apdrošināšanas medicīniskais dienests, Vācija; turpmāk tekstā – “MDK Nordrhein”) par tāda kaitējuma atlīdzinājumu, kas pēc ZQ teiktā esot viņam nodarīts ar viņa veselības datu apstrādi, kuru šis dienests esot veicis nelikumīgi.

 Atbilstošās tiesību normas

 Savienības tiesības

3        VDAR 4.–8., 10., 35., 51.–53., 75. un 146. apsvērums ir formulēti šādi:

“(4)      Personas datu apstrāde būtu jāveido tā, lai tā kalpotu cilvēkam. Tiesības uz personas datu aizsardzību nav absolūta prerogatīva; tās ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu. Šajā regulā ir ievērotas visas pamattiesības, brīvības un principi, kas atzīti [Eiropas Savienības Pamattiesību] hartā un ietverti Līgumos, jo īpaši privātās un ģimenes dzīves [..] neaizskaramība, personas datu aizsardzība, [..]

(5)      Ekonomikas un sociālā integrācija, kas izriet no iekšējā tirgus darbības, ir novedusi pie personas datu pārrobežu plūsmu ievērojama pieauguma. Personas datu apmaiņa starp publiskā un privātā sektora dalībniekiem, tostarp fiziskām personām, apvienībām un uzņēmumiem, visā [Eiropas] Savienībā ir palielinājusies. Savienības tiesības aicina valsts iestādes dalībvalstīs sadarboties un apmainīties ar personas datiem, lai varētu pildīt savus pienākumus vai veikt uzdevumus kādas iestādes vārdā citā dalībvalstī.

(6)      Straujā tehnoloģiju attīstība un globalizācija ir radījusi jaunas problēmas personas datu aizsardzības jomā. Personas datu vākšanas un apmaiņas apjoms ir būtiski pieaudzis. Tehnoloģija ļauj gan privātām uzņēmējsabiedrībām, gan publiskām iestādēm vēl nepieredzētā apjomā savas darbības mērķiem izmantot personas datus. Fiziskas personas aizvien biežāk personiska rakstura informāciju dara publiski un globāli pieejamu. Tehnoloģija ir pārveidojusi gan ekonomiku, gan sociālo dzīvi, un tai arī turpmāk būtu jāuzlabo personas datu brīva aprite Savienībā un nosūtīšana uz trešām valstīm un starptautiskām organizācijām, vienlaikus nodrošinot personas datu augsta līmeņa aizsardzību.

(7)      Šī notikumu gaita nozīmē, ka ir vajadzīgs stingrāks un saskaņotāks datu aizsardzības regulējums Savienībā, ko stiprina pienācīga izpilde, ņemot vērā to, cik nozīmīgi ir veidot uzticību, kas ļaus iekšējā tirgū uzplaukt digitālajai ekonomikai. Fiziskām personām būtu jāspēj kontrolēt savus personas datus. Būtu jāstiprina juridiskā un praktiskā noteiktība fizisku personu, ekonomikas dalībnieku un publisko iestāžu labā.

(8)      Ja šajā regulā paredzēts, ka tās noteikumi tiek konkretizēti vai ierobežoti ar dalībvalstu tiesību aktiem, dalībvalstis, ciktāl tas vajadzīgs saskaņotības dēļ un lai valstu noteikumus padarītu saprotamus tām personām, kam tie ir piemērojami, var valstu tiesību aktos iekļaut šīs regulas elementus.

[..]

(10)      Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. [..] Šajā regulā dalībvalstīm ir arī paredzēta rīcības brīvība precizēt tās noteikumus, tostarp attiecībā uz īpašu kategoriju personas datu (“sensitīvu datu”) apstrādi. [..]

[..]

(35)      Personas datos attiecībā uz veselību būtu jāiekļauj visi dati par datu subjekta veselības stāvokli, kuri atspoguļo informāciju par datu subjekta kādreizējo, tagadējo vai prognozējamo fiziskās vai garīgās veselības stāvokli. [..]

[..]

(51)      Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām. [..] Papildus konkrētajām prasībām attiecībā uz šādu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem. Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām [..]

(52)      Atkāpties no aizlieguma apstrādāt īpašu kategoriju personas datus būtu jāatļauj arī tad, ja tas paredzēts Savienības vai dalībvalsts tiesību aktos un ja ir paredzētas atbilstošas garantijas personas datu un citu pamattiesību aizsardzībai, ja to darīt ir sabiedrības interesēs, jo īpaši personas datu apstrāde nodarbinātības tiesību aktu, sociālās aizsardzības tiesību aktu jomā, tostarp attiecībā uz pensijām un veselības drošības, uzraudzības un brīdināšanas nolūkos, lipīgu infekcijas slimību un citu nopietnu veselības apdraudējumu profilaksei vai kontrolei. Šādu atkāpi var veikt ar veselību saistītos nolūkos, tostarp sabiedrības veselības un veselības aprūpes pakalpojumu pārvaldības nolūkos, jo īpaši, lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību vai lai veiktu arhivēšanu sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos. [..]

(53)      Īpašu kategoriju personas datus, kuriem pienākas augstāka aizsardzība, būtu jāapstrādā ar veselību saistītos nolūkos tikai tad, ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību, tostarp šādu datu apstrādi, ko kvalitātes kontroles nolūkos veic pārvaldības un centrālās valsts veselības iestādes, informāciju par pārvaldību un veselības vai sociālās aprūpes sistēmas vispārēju valsts mēroga un vietēju pārraudzību, un lai nodrošinātu veselības vai sociālās aprūpes [..] nepārtrauktību [..]. Tāpēc šai regulai būtu jānodrošina saskaņoti nosacījumi īpašu kategoriju personas veselības datu apstrādei attiecībā uz konkrētām vajadzībām, jo īpaši gadījumos, kad šādu datu apstrādi konkrētos ar veselību saistītos nolūkos veic personas, uz kurām attiecas juridiskais pienākums ievērot dienesta noslēpumu. Savienības vai dalībvalsts tiesību aktiem būtu jāparedz konkrēti un atbilstoši pasākumi, lai aizsargātu fizisku personu pamattiesības un personas datus. Būtu jāļauj dalībvalstīm saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi. [..]

[..]

(75)      Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; ja tiek apstrādāti [..] veselības dati [..]; ja tiek izvērtēti personiskie aspekti, jo īpaši analizējot vai prognozējot aspektus attiecībā uz personas sniegumu darbā, ekonomisko situāciju, veselību [..], lai izveidotu vai izmantotu personiskos profilus; [..]

[..]

(146)      Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu. Pārzinis vai apstrādātājs būtu jāatbrīvo no atbildības, ja tas pierāda, ka nekādā veidā nav atbildīgs par kaitējumu. Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem. Tas neskar prasības par kaitējumu [zaudējumu atlīdzību], kas izriet no citu Savienības vai dalībvalstu tiesību aktu noteikumu pārkāpumiem. Apstrāde, kas pārkāpj šo regulu, ietver arī apstrādi, kas pārkāpj deleģētos un īstenošanas aktus, kuri pieņemti saskaņā ar šo regulu un dalībvalsts tiesību aktiem, kuros precizēti šīs regulas noteikumi. Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu. [..]”

4        Šīs regulas I nodaļā “Vispārīgi noteikumi” ietvertā 2. panta “Materiālā darbības joma” 1. punkts noteic:

“Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.”

5        Minētās regulas 4. pants “Definīcijas” noteic:

“Šajā regulā:

1)      “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); [..]

2)      “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem [..]

[..]

7)      “pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; [..]

[..]

15)      “veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;

[..].”

6        VDAR II nodaļā par šajā regulā noteiktajiem “principiem” ir ietverts tās 5.–11. pants.

7        VDAR 5. pants “Personas datu apstrādes principi” noteic:

“1.      Personas dati:

a)      tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);

[..]

f)      tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”);

2.      Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

8        Šīs regulas 6. panta “Apstrādes likumīgums” 1. punkts noteic:

“Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

a)      datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

b)      apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c)      apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

d)      apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;

e)      apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;

f)      apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.

Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.”

9        Šīs pašas regulas 9. pants “Īpašu kategoriju personas datu apstrāde” ir formulēts šādi:

“1.      Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2.      Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

[..]

b)      apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā, ciktāl to pieļauj Savienības vai dalībvalsts tiesību akti vai koplīgums atbilstīgi dalībvalsts tiesību aktiem, paredzot piemērotas garantijas datu subjekta pamattiesībām un interesēm;

[..]

h)      apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;

[..]

3.      Šā panta 1. punktā minētos personas datus var apstrādāt 2. punkta h) apakšpunktā minētajos nolūkos, ja šos datus apstrādā profesionālis, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda profesionāļa atbildībā; vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.

4.      Dalībvalstis var saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi.”

10      VDAR IV nodaļā “Pārzinis un apstrādātājs” ir ietverts šīs regulas 24.–43. pants.

11      Šīs nodaļas 1. iedaļā “Vispārīgi pienākumi” ietvertā šīs regulas 24. panta “Pārziņa atbildība” 1. punkts noteic:

“Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.”

12      Minētās nodaļas 2. iedaļā “Personas datu drošība” ietvertā šīs regulas 32. panta “Apstrādes drošība” 1. punkts noteic:

“Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu tādu drošības līmeni, kas atbilst riskam, tostarp attiecīgā gadījumā cita starpā:

a)      personas datu pseidonimizāciju un šifrēšanu;

b)      spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;

[..].”

13      VDAR VIII nodaļā “Tiesību aizsardzības līdzekļi, atbildība un sankcijas” ir ietverts šīs regulas 77.–84. pants.

14      Saskaņā ar minētās regulas 82. pantu “Tiesības uz kompensāciju un atbildība”:

“1.      Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.

2.      Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. [..]

3.      Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.

[..]”

15      Šīs regulas 83. pants “Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu” noteic:

“1.      Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.

2.      [..] Lemjot par to, vai piemērot administratīvo naudas sodu, un pieņemot lēmumu par administratīvā naudas soda apmēru, katrā konkrētā gadījumā pienācīgi ņem vērā šādus elementus:

a)      pārkāpuma būtību, smagumu un ilgumu, ņemot vērā attiecīgo datu apstrādes veidu, apmēru vai nolūku, kā arī ietekmēto datu subjektu skaitu un tiem nodarītā kaitējuma apmēru;

b)      to, vai pārkāpums izdarīts tīši vai neuzmanības dēļ;

[..]

d)      pārziņa vai apstrādātāja atbildības līmeni, ņemot vērā tehniskos un organizatoriskos pasākumiem, ko tie īsteno saskaņā ar 25. un 32. pantu;

[..]

k)      jebkādu citu pastiprinošu vai mīkstinošu apstākli, kas piemērojams lietas apstākļiem, piemēram, no pārkāpuma tieši vai netieši gūti finansiālie labumi vai novērsti zaudējumi.

3.      Ja pārzinis vai apstrādātājs tīši vai aiz neuzmanības attiecībā uz to pašu vai saistītu apstrādes darbību pārkāpj vairākus šīs regulas noteikumus, kopējais administratīvā naudas soda apmērs nepārsniedz summu, kas paredzēta par vissmagāko pārkāpumu.

[..]”

16      Šīs regulas 84. panta “Sankcijas” 1. punkts noteic:

“Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Šādas sankcijas ir iedarbīgas, samērīgas un atturošas.”

 Vācijas tiesības

17      Saskaņā ar Sozialgesetzbuch, Fünftes Buch (Sociālā nodrošinājuma kodeksa piektais sējums) 275. panta 1. punktu, redakcijā, kas piemērojama pamatlietā, obligātās veselības apdrošināšanas slimokasēm ir jālūdz tām palīdzošajam Medizinischer Dienst (medicīniskajam dienestam) tostarp veikt ekspertīzi, lai novērstu šaubas par apdrošinātās personas darbnespēju vai nu likumā noteiktajos gadījumos, vai tad, ja tas nepieciešams šīs personas slimības dēļ.

18      Šā kodeksa 278. panta 1. punkts noteic, ka šāds medicīniskais dienests publisko tiesību subjekta formā jāizveido katrā federālajā zemē.

 Pamatlieta un prejudiciālie jautājumi

19      MDK Nordrhein ir publisko tiesību subjekts, kuram – kā slimokasu medicīniskajam dienestam – likumiski ir noteikts uzdevums citastarp sagatavot medicīniskās ekspertīzes atzinumus, lai kliedētu šaubas par tā teritoriālajā piekritībā esošajās obligātās veselības apdrošināšanas slimokasēs apdrošināto personu darbnespēju, tostarp arī tad, ja šīs ekspertīzes attiecas uz šā dienesta darbiniekiem.

20      Šādā gadījumā apstrādāt šā darbinieka tā sauktos “sociālā nodrošinājuma datus”, izmantojot slēgtu šīs organizācijas informātikas sistēmas domēnu, un piekļūt digitālajiem arhīviem pēc ekspertīzes lietas slēgšanas ir atļauts tikai īpašas struktūrvienības – sauktas par “Īpašo gadījumu struktūrvienību” – darbiniekiem. Iekšējā dienesta instrukcijā par šiem gadījumiem tostarp paredzēts, ka šiem datiem var piekļūt ierobežots skaits pilnvarotu darbinieku, tostarp daži informātikas dienesta darbinieki.

21      Prasītājs pamatlietā bija strādājis MDK Nordrhein informātikas dienestā līdz darbnespējas atzīšanai medicīnisku iemeslu dēļ. Beidzoties sešu mēnešu periodam, kura laikā šī organizācija kā darba devējs turpināja viņam maksāt algu, obligātās veselības apdrošināšanas slimokase, kurā viņš bija apdrošināts, sāka viņam izmaksāt slimības pabalstus.

22      Tad šī slimokase lūdza MDK Nordrhein veikt ekspertīzi par prasītāja pamatlietā darbnespēju. Ārste, kas praktizē MDK Nordrhein Īpašo gadījumu struktūrvienībā, veica ekspertīzi, tostarp ievācot informāciju no prasītāju pamatlietā ārstējošā ārsta. Kad prasītāju par to informēja viņu ārstējošais ārsts, viņš sazinājās ar kādu no saviem kolēģiem informātikas dienestā un lūdza nofotografēt MDK Nordrhein digitālajos arhīvos esošo ekspertīzes atzinumu un pēc tam nosūtīt viņam tā fotouzņēmumus.

23      Uzskatot, ka tādējādi darba devējs ir nelikumīgi apstrādājis viņa veselības datus, prasītājs pamatlietā lūdza viņam samaksāt atlīdzinājumu 20 000 EUR apmērā, taču MDK Nordrhein atteicās to darīt.

24      Pēc tam prasītājs pamatlietā vērsās Arbeitsgericht Düsseldorf (Diseldorfas Darba lietu tiesa, Vācija), lai, pamatojoties uz VDAR 82. panta 1. punktu un Vācijas tiesību normām, panāktu, ka MDK Nordrhein tiek piespriests atlīdzināt kaitējumu, kas viņam esot nodarīts šādi veiktās personas datu apstrādes dēļ. Viņš būtībā apgalvoja, pirmkārt, ka attiecīgā ekspertīze esot bijusi jāveic kādam citam medicīniskajam dienestam, lai izvairītos no tā, ka viņa kolēģi varētu piekļūt viņa veselības datiem, un, otrkārt, ka drošības pasākumi saistībā ar šīs ekspertīzes atzinuma arhivēšanu esot bijuši nepietiekami. Viņš arī apgalvoja, ka ar šo apstrādi esot izdarīts šādus datus aizsargājošo tiesību normu pārkāpums, kura dēļ viņam esot nodarīts gan nemateriāls, gan materiāls kaitējums.

25      Savai aizstāvībai MDK Nordrhein galvenokārt apgalvoja, ka prasītāja pamatlietā veselības datu vākšana un glabāšana esot veikta saskaņā ar tiesību normām par šādu datu aizsardzību.

26      Tā kā viņa prasība pirmajā instancē tika noraidīta, prasītājs pamatlietā iesniedza apelācijas sūdzību Landesarbeitsgericht Düsseldorf (Federālās zemes Darba lietu tiesa Diseldorfā, Vācija), kas arī viņa prasību noraidīja. Tad viņš iesniedza revīzijas sūdzību Bundesarbeitsgericht (Federālā darba lietu tiesa, Vācija), kas ir iesniedzējtiesa šajā lietā.

27      Minētā tiesa balstās uz pieņēmumiem, ka pamatlietā ekspertīze, ko MDK Nordrhein veicis kā medicīniskais dienests, ir “personas datu”, konkrēti “veselības datu”, “apstrāde” VDAR 4. panta 1., 2. un 15. punkta izpratnē un tāpēc šī darbība ietilpst šīs regulas materiālajā piemērošanas jomā, kā tā noteikta šīs regulas 2. panta 1. punktā. Turklāt tā uzskata, ka MDK Nordrhein ir attiecīgais “pārzinis” minētās regulas 4. panta 7. punkta izpratnē.

28      Pirmām kārtām, tā vaicā par to, kā interpretējamas vairākas īpašu kategoriju personas datu apstrādi reglamentējošā VDAR 9. panta normas, it īpaši ņemot vērā, ka pamatlietā aplūkoto apstrādi ir veikusi organizācija, kas ir arī datu subjekta – šīs regulas 4. panta 1. punkta izpratnē – darba devējs.

29      Visupirms, iesniedzējtiesa šaubās, vai uz pamatlietā aplūkoto veselības datu apstrādi varētu attiekties kāds no VDAR 9. panta 2. punktā paredzētajiem izņēmumiem. Šīs tiesas ieskatā, šajā lietā nozīmīgi ir tikai 2. punkta b) un h) apakšpunktā minētie izņēmumi. Tomēr tā uzreiz izslēdz iespēju šajā lietā piemērot b) apakšpunktā paredzēto atkāpi, tāpēc ka pamatlietā aplūkotā apstrāde nebija nepieciešama, lai īstenotu tiesības un izpildītu pienākumus, kas pārzinim ir kā datu subjekta darba devējam. Proti, šo apstrādi esot sākusi kāda cita organizācija, kas lūdza MDK Nordrhein veikt pārbaudi kā medicīniskajam dienestam. Lai gan arī h) apakšpunktā paredzēto atkāpi iesniedzējtiesa sliecas uzskatīt par nepiemērojamu, jo uzskata, ka šī atkāpe būtu attiecināma tikai uz “neitrālas trešās personas” veiktu apstrādi un ka organizācija nevar izvairīties no šādas apstrādes aizlieguma, aizbildinoties ar to, ka tai kā darba devējam un medicīniskajam dienestam esot “divējāda funkcija”, tomēr šajā ziņā iesniedzējtiesas viedoklis nav kategorisks.

30      Turklāt gadījumā, ja veselības datu apstrāde šādos apstākļos būtu atļauta saskaņā ar VDAR 9. panta 2. punkta h) apakšpunktu, iesniedzējtiesa prāto par to, kādi veselības datu aizsardzības noteikumi saistībā ar to ir jāievēro. Tās ieskatā, no šīs regulas izriet, ka ar pārziņa atbilstību šīs regulas 9. panta 3. punktā noteiktajām prasībām nav pietiekami. Šim pārzinim esot arī jānodrošina, ka neviens no datu subjekta kolēģiem nevar nekādi piekļūt datiem par šā datu subjekta veselības stāvokli.

31      Visbeidzot, balstoties uz šo pašu hipotēzi, šī tiesa vēlas noskaidrot, vai tālab, lai šāda apstrāde būtu likumīga, vēl jābūt izpildītam arī vismaz kādam no VDAR 6. panta 1. punktā paredzētajiem nosacījumiem. Iesniedzējtiesa uzskata, ka tā tam būtu jābūt un ka pamatlietā a priori nozīmīgs varētu būt tikai 6. panta 1. punkta pirmās daļas c) un e) apakšpunkts. Tomēr šie abi apakšpunkti – c) un e) – neesot piemērojami tāpēc, ka attiecīgā apstrāde nav “vajadzīga” šo tiesību normu izpratnē, jo to varētu veikt arī kāds cits medicīniskais dienests, ne tikai MDK Nordrhein.

32      Otrām kārtām, gadījumā, ja šajā lietā būtu noticis VDAR pārkāpums, iesniedzējtiesa prāto par kompensāciju, kas prasītājam pamatlietā iespējami pienākas saskaņā ar šīs regulas 82. pantu.

33      Pirmkārt, tā vēlas noskaidrot, vai VDAR 82. panta 1. punktā paredzētais noteikums ne tikai pilda kompensējošu funkciju, bet pēc sava rakstura ir arī preventīvs jeb sodošs, un gadījumā, ja tas tā ir – vai minētais raksturs būtu jāņem vērā, nosakot nemateriālā kaitējuma atlīdzinājuma apmēru, it īpaši ievērojot citās Savienības tiesību jomās nostiprinātos efektivitātes, samērīguma un līdzvērtības principus.

34      Otrkārt, šī tiesa sliecas uzskatīt, ka pārziņa atbildība, pamatojoties uz minēto 82. panta 1. punktu, var iestāties bez nepieciešamības pierādīt viņa vainu. Tomēr šaubīdamās – galvenokārt jau Vācijas tiesību normu dēļ –, tā jautā, vai būtu jāpārbauda, vai attiecīgais VDAR pārkāpums ir piedēvējams pārzinim tā tīšas rīcības vai neuzmanības dēļ un vai tā iespējamās vainas pakāpei būtu jāietekmē nemateriālā kaitējuma atlīdzināšanai piešķirtā zaudējumu atlīdzība.

35      Šādos apstākļos Bundesarbeitsgericht (Federālā darba lietu tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

“1)      Vai [VDAR] 9. panta 2. punkta h) apakšpunkts ir jāinterpretē tādējādi, ka slimokases medicīniskajam dienestam ir aizliegts apstrādāt sava darbinieka veselības datus, kas ir priekšnosacījums šā darbinieka darbspējas novērtēšanai?

2)      Ja Tiesa uz pirmo jautājumu atbildētu noliedzoši, un tādējādi saskaņā ar VDAR 9. panta 2. punkta h) apakšpunktu būtu iespējams atkāpties no VDAR 9. panta 1. punktā paredzētā aizlieguma apstrādāt veselības datus – vai tādā gadījumā kā šeit aplūkotajā papildus VDAR 9. panta 3. punktā noteiktajām prasībām ir jāņem vērā vēl kādas citas – un attiecīgā gadījumā kādas – datu aizsardzības prasības?

3)      Ja Tiesa uz pirmo jautājumu atbildētu noliedzoši, un tādējādi saskaņā ar VDAR 9. panta 2. punkta h) apakšpunktu būtu iespējams atkāpties no VDAR 9. panta 1. punktā paredzētā aizlieguma apstrādāt veselības datus – vai tādā gadījumā kā šeit aplūkotajā veselības datu apstrādes pieļaujamība vai likumība turklāt ir atkarīga no tā, vai ir izpildīts vismaz viens no VDAR 6. panta 1. punktā paredzētajiem nosacījumiem?

4)      Vai VDAR 82. panta 1. punktam ir konkrēti vai vispārēji preventīvs raksturs un vai tas ir jāņem vērā, novērtējot saskaņā ar VDAR 82. panta 1. punktu atlīdzināmā nemateriālā kaitējuma apmēru, kas jāsedz pārzinim vai apstrādātājam?

5)      Vai, novērtējot saskaņā ar VDAR 82. panta 1. punktu atlīdzināmā nemateriālā kaitējuma apmēru, nozīme ir pārziņa vai apstrādātāja vainas pakāpei? Proti, vai apstākli, ka pārziņa vai apstrādātāja vainas nav vai arī tā ir niecīga, var ņemt vērā viņu labā?”

 Par prejudiciālajiem jautājumiem

 Par pirmo jautājumu

36      Ar pirmo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai – ņemot vērā VDAR 9. panta 1. punktā paredzēto aizliegumu apstrādāt veselības datus – šā panta 2. punkta h) apakšpunkts ir jāinterpretē tādējādi, ka tajā paredzētais izņēmums ir piemērojams situācijās, kad medicīniskās kontroles iestāde kāda sava darbinieka veselības datus apstrādā nevis kā darba devējs, bet gan kā medicīniskais dienests, lai novērtētu šā darbinieka darbspēju.

37      Pastāvīgās judikatūras atziņa ir tāda, ka, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās teksts, bet arī konteksts un šo normu ietverošā tiesību akta mērķi un nolūks. Viens no Savienības tiesību normas interpretācijā vērā ņemamajiem apstākļiem var būt arī tās rašanās vēsture (spriedums, 2023. gada 16. marts, Towercast, C‑449/21, EU:C:2023:207, 31. punkts un tajā minētā judikatūra).

38      Pirmām kārtām, jāatgādina, ka VDAR 9. pants, kā liecina tā virsraksts, attiecas uz “īpašu kategoriju personas datu apstrād[i]”, kas šīs regulas 10. un 51. apsvērumā ir kvalificēti arī kā “sensitīvi” dati.

39      VDAR 51. apsvērumā ir teikts, ka personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām.

40      Tālab VDAR 9. panta 1. punkts noteic principu, ka ir aizliegts apstrādāt tajā uzskaitīto īpašo kategoriju personas datus. To vidū ir arī šajā lietā aplūkotie “veselības dati”, kas definēti šīs regulas 4. panta 15. punktā, lasot to šīs regulas 35. apsvēruma gaismā.

41      Tiesa ir precizējusi, ka minētās regulas 9. panta 1. punkta mērķis ir nodrošināt labāku aizsardzību pret apstrādi, kas apstrādājamo datu īpašās sensitivitātes dēļ var radīt Hartas 7. un 8. pantā garantēto pamattiesību uz privātās dzīves neaizskaramību un personas datu aizsardzību īpaši smagu aizskārumu (šajā nozīmē skat. spriedumu, 2023. gada 5. jūnijs, Komisija/Polija (Tiesnešu neatkarība un privātā dzīve), C‑204/21, EU:C:2023:442, 345. punkts un tajā minētā judikatūra).

42      Tomēr VDAR 9. panta 2. punkta a)–j) apakšpunktā ir izsmeļoši uzskaitīti izņēmumi no šo sensitīvo datu apstrādes aizlieguma principa.

43      Konkrēti VDAR 9. panta 2. punkta h) apakšpunktā šāda apstrāde ir atļauta, ja tā ir “vajadzīga [tostarp] darbinieka darbspējas novērtēšanai [..], pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli”. Šajā tiesību normā ir precizēts, ka ikviena uz to balstītā apstrāde turklāt ir veicama, ir īpaši “ievērojot [šā 9. panta] 3. punktā minētos nosacījumus un garantijas”.

44      No VDAR 9. panta 2. punkta h) apakšpunkta, lasot to kopsakarā ar šā panta 3. punktu, izriet, ka iespēju apstrādāt tādus sensitīvus datus kā veselības datus, ir stingri ierobežota ar virkni kumulatīvu nosacījumu. Šie nosacījumi attiecas, pirmkārt, uz minētajā h) apakšpunktā uzskaitītajiem nolūkiem – starp kuriem figurē arī darbinieka darbspējas novērtēšana –, otrkārt, uz šīs apstrādes juridisko pamatu – kas savukārt var izrietēt vai nu no Savienības, vai dalībvalsts tiesību aktiem vai līguma, kas noslēgts ar veselības aprūpes speciālistu saskaņā ar to pašu h) apakšpunktu –, un visbeidzot, treškārt, uz konfidencialitātes pienākumu, kas šādu apstrādi veikt tiesīgajām personām jāievēro saskaņā ar šā 9. panta 3. punktu, kurā visām šīm personām noteikts pienākums ievērot konfidencialitāti.

45      Kā secinājumu 32. un 33. punktā būtībā norāda ģenerāladvokāts, ne VDAR 9. panta 2. punkta h) apakšpunkta formulējums, ne šīs tiesību normas rašanās vēsture nedod pamatu uzskatīt, ka minētajā normā paredzētā atkāpe būtu, kā uzskata iesniedzējtiesa, piemērojama tikai gadījumos, kad apstrādi veic “neitrāla trešā persona”, nevis datu subjekta – kā definēts šīs regulas 4. panta 1. punktā – “darba devējs”.

46      Ņemot vērā iesniedzējtiesas viedokli – saskaņā ar kuru būtībā organizācijai nevajadzētu būt iespējai izvairīties no VDAR 9. panta 1. punktā noteiktā veselības datu apstrādes aizlieguma, aizbildinoties ar to, ka tai kā datu subjekta darba devējam un medicīniskajam dienestam esot “divējāda funkcija” –, jāprecizē, ka izšķiroša nozīme ir tam, kādā statusā tiek veikta šo datu apstrāde.

47      Proti, lai gan 9. panta 1. punktā veselības datu apstrāde principā ir aizliegta, minētā panta 2. punkta a)–j) apakšpunktā ir paredzētas desmit atkāpes, kas ir savstarpēji neatkarīgas un tāpēc vērtējamas katra atsevišķi. No tā izriet – apstāklis, ka nav izpildīti nosacījumi kādas no 2. punktā paredzētajām atkāpēm piemērošanai, nevar liegt pārzinim atsaukties uz kādu citu šajā tiesību normā minēto atkāpi.

48      No iepriekš izklāstītā izriet, ka VDAR 9. panta 2. punkta h) apakšpunkts, lasot to kopsakarā ar šā panta 3. punktu, nekādi neizslēdz h) apakšpunktā paredzētā izņēmuma piemērojamību situācijām, kurās medicīniskās kontroles iestāde kāda sava darbinieka veselības datus šā darbinieka darbspējas novērtēšanas nolūkā apstrādā nevis kā darba devējs, bet gan kā medicīniskais dienests.

49      Otrām kārtām, apstiprinājums šādas interpretācijas pareizībai ir rodams arī, ņemot vērā gan sistēmu, kurā iekļaujas VDAR 9. panta 2. punkta h) apakšpunkts, gan šīs regulas un šīs tiesību normas mērķus.

50      Pirmkārt, tā kā VDAR 9. panta 2. punkts paredz izņēmumu no īpašu kategoriju personas datu apstrādes aizlieguma principa, šī tiesību norma, protams, ir jāinterpretē šauri (spriedums, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi), C‑252/21, EU:C:2023:537, 76. punkts).

51      Tomēr VDAR 9. panta 1. punktā noteiktā aizlieguma principa ievērošanas rezultāts nedrīkst būt tāds, ka kādas citas šīs regulas normas piemērošanas joma tiek sašaurināta veidā, kas būtu pretrunā tās skaidrajam formulējumam. Taču ar piedāvāto interpretāciju, saskaņā ar kuru 9. panta 2. punkta h) apakšpunktā paredzētā izņēmuma piemērošanas joma būtu jāaprobežo ar gadījumiem, kad darbinieka darbspējas novērtēšanas nolūkā veselības datus apstrādā “neitrāla trešā persona”, tiktu pievienota vēl viena prasība, kas nekādi neizriet no šīs nupat minētās tiesību normas skaidrā formulējuma.

52      Šajā ziņā nav nozīmes apstāklim, ka gadījumā, ja MDK Nordrhein šajā lietā būtu aizliegts pildīt savu medicīniskā dienesta uzdevumu attiecībā uz kādu no tās darbiniekiem, to darīt varētu uzņemties kāda cita medicīniskās kontroles iestāde. Jāuzsver, ka šī iesniedzējtiesas norādītā alternatīva var arī neeksistēt vai nebūt praktiski īstenojama visās dalībvalstīs un visās situācijās, uz kurām varētu attiekties VDAR 9. panta 2. punkta h) apakšpunkts. Šīs tiesību normas interpretācijā nevar vadīties pēc apsvērumiem, kas izriet no kādas vienas dalībvalsts veselības aprūpes sistēmas vai no pamatlietas konkrētajiem apstākļiem.

53      Otrkārt, šā sprieduma 48. punktā izklāstītā interpretācija ir atbilstīga gan pašas VDAR, gan tās 9. panta mērķiem.

54      Proti, saskaņā ar VDAR 4. apsvērumu tiesības uz personas datu aizsardzību nav absolūta prerogatīva, jo tās ir jāaplūko saistībā ar to funkciju sabiedrībā un jāsamēro ar citām pamattiesībām atbilstoši samērīguma principam (šajā nozīmē skat. spriedumu, 2023. gada 22. jūnijs, Pankki S, C‑579/21, EU:C:2023:501, 78. punkts). Turklāt Tiesa jau ir uzsvērusi, ka mehānismi, kas ļauj rast taisnīgu līdzsvaru starp dažādajām iesaistītajām tiesībām un interesēm, ir paredzēti pašā VDAR (šajā nozīmē skat. spriedumu, 2021. gada 17. jūnijs, M.I.C.M., C‑597/19, EU:C:2021:492, 112. punkts).

55      Šie apsvērumi ir spēkā arī tad, ja attiecīgie dati ietilpst šīs regulas 9. pantā minētajās īpašajās kategorijās (šajā nozīmē skat. spriedumu, 2019. gada 24. septembris, GC u.c. (Atsauču uz sensitīviem datiem atsaistīšana), C‑136/17, EU:C:2019:773, 57. un 66.–68. punkts), kā tas ir, piemēram, veselības datu gadījumā.

56      Konkrētāk, no VDAR 52. apsvēruma izriet, ka “atkāpties no aizlieguma apstrādāt īpašu kategoriju personas datus” būtu jāatļauj, “ja to darīt ir sabiedrības interesēs, jo īpaši [..] nodarbinātības tiesību aktu, sociālās aizsardzības tiesību aktu jomā”, kā arī “ar veselību saistītos nolūkos, [..] jo īpaši, lai nodrošinātu pabalstu un veselības apdrošināšanas sistēmas pakalpojumu pieprasīšanai izmantoto procedūru kvalitāti un izmaksu lietderību”. Arī šīs regulas 53. apsvērumā ir teikts, ka apstrādei, ko veic “ar veselību saistītos nolūkos”, vajadzētu būt iespējamai tad, “ja minētie nolūki jāsasniedz fizisku personu un visas sabiedrības labā, jo īpaši saistībā ar veselības vai sociālās aprūpes pakalpojumu un sistēmu pārvaldību”.

57      Tieši ar šādu visaptverošu pieeju un ievērojot dažādās iesaistītās leģitīmās intereses, Savienības likumdevējs VDAR 9. panta 2. punkta h) apakšpunktā ir paredzējis iespēju atkāpties no šā panta 1. punktā noteiktā veselības datu apstrādes aizlieguma principa, ja vien attiecīgā apstrāde atbilst nosacījumiem un garantijām, ko skaidri noteic šis h) apakšpunkts un citas piemērojamās šīs regulas tiesību normas, it īpaši minētā 9. panta 3. punkts, taču šajās tiesību normās nav ietverta prasība, ka medicīniskajam dienestam, kas apstrādā šādus datus saskaņā ar minēto h) apakšpunktu, būtu jābūt no datu subjekta darba devēja atšķirīgai struktūrai.

58      Ņemot vērā iepriekš izklāstītos iemeslus un neskarot uz otro un trešo jautājumu sniedzamās atbildes, uz pirmo jautājumu ir atbildams, ka VDAR 9. panta 2. punkta h) apakšpunkts ir jāinterpretē tādējādi, ka šajā tiesību normā paredzētais izņēmums ir piemērojams situācijās, kad medicīniskās kontroles iestāde kāda sava darbinieka veselības datus šā darbinieka darbspēju novērtēšanas nolūkā apstrādā nevis kā darba devējs, bet gan kā medicīniskais dienests, ja vien attiecīgajā apstrādē tiek ievēroti nosacījumi un garantijas, ko skaidri noteic šis h) apakšpunkts un minētā 9. panta 3. punkts.

 Par otro jautājumu

59      Iesniedzējtiesa uzskata, ka no VDAR 35., 51., 53. un 75. apsvēruma izriet, ka tādā situācijā kā pamatlietā aplūkotā, kad pārzinis ir arī tās personas darba devējs, kuras darbspēja tiek novērtēta, nav pietiekami izpildīt tās 9. panta 3. punkta prasības. Šajā regulā esot arī prasīts no veselības datu apstrādes izslēgt visus pārziņa darbiniekus, kuriem darba attiecību kontekstā jebkādā veidā ir jānonāk saskarē ar šo personu. Šī tiesa uzskata, ka ikvienam pārzinim, kuram ir vairāki dibinājumi, kā tas ir MDK Nordrhein gadījumā, būtu jānodrošina, lai par pārziņa darbinieku veselības datu apstrādi atbildīgā struktūra vienmēr būtu kāds cits dibinājums, nevis tas, kurā strādā attiecīgais darbinieks. Turklāt dienesta noslēpuma ievērošanas pienākums, kas noteikts šādus datus apstrādāt tiesīgajiem darbiniekiem, faktiski neliedzot kādam datu subjekta kolēģim piekļūt šā datu subjekta datiem, taču tas radot tāda kaitējuma risku kā, piemēram, šā subjekta reputācijas aizskārums.

60      Šādos apstākļos ar otro jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR normas ir jāinterpretē tādējādi, ka pārzinim, kas veselības datus apstrādā, pamatojoties uz šīs regulas 9. panta 2. punkta h) apakšpunktu, ir pienākums nodrošināt, ka neviens datu subjekta kolēģis nevar piekļūt datiem par šā subjekta veselības stāvokli.

61      Jāatgādina, ka VDAR 9. panta 3. punkts noteic – šā 9. panta 1. punktā minēto datu apstrādi šā panta 2. punkta h) apakšpunktā minētajos nolūkos, šajā gadījumā – darbinieka veselības datu apstrāde tālab, lai novērtētu viņa darbspēju, – var tikt veikta tikai tad, ja šos datus apstrādā veselības aprūpes speciālists, uz kuru saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem attiecas dienesta noslēpuma ievērošanas pienākums, vai ja tos apstrādā šāda speciālista atbildībā; vai cita persona, uz kuru arī attiecas pienākums ievērot dienesta noslēpumu saskaņā ar Savienības vai dalībvalsts tiesību aktiem vai valsts kompetento iestāžu ieviestiem noteikumiem.

62      Pieņemot šīs regulas 9. panta 3. punktu, kurā ir tieša atsauce uz šā paša panta 2. punkta h) apakšpunktu, Savienības likumdevējs ir noteicis īpašos aizsardzības pasākumus, kurus tas ir vēlējies uzlikt šādu apstrādi veicošajiem pārziņiem, proti, ka šo apstrādi atbilstoši minētajā 3. punktā sīki izklāstītajiem nosacījumiem drīkst veikt tikai personas, uz kurām attiecas noslēpuma ievērošanas pienākums. Tātad šīs nupat minētās tiesību normas formulējums nav papildināms ar prasībām, kuras tajā nav minētas.

63      No tā izriet – kā secinājumu 43. punktā būtībā norāda ģenerāladvokāts –, ka VDAR 9. panta 3. punkts nevar būt juridiskais pamats pasākumam, kas nodrošina, ka neviens datu subjekta kolēģis nevar piekļūt datiem par šā datu subjekta veselības stāvokli.

64      Tomēr jāizvērtē, vai pārzinim, kas veic veselības datu apstrādi saskaņā ar VDAR 9. panta 2. punkta h) apakšpunktu, atbilstoši kādai citai šīs regulas normai var noteikt prasību nodrošināt, ka nevienam datu subjekta kolēģim nav piekļuves datiem par šā datu subjekta veselības stāvokli.

65      Šajā ziņā jāprecizē, ka pievienot šādu prasību papildus minētās regulas 9. panta 2. un 3. punktā noteiktajām prasībām dalībvalstīm ir iespējams, vienīgi izmantojot tām šā panta 4. punktā piešķirtās pilnvaras “saglabāt vai ieviest papildu nosacījumus, tostarp ierobežojumus, attiecībā uz [..] veselības datu apstrādi”.

66      Tomēr šie iespējamie papildu nosacījumi izriet nevis no pašām VDAR normām, bet eventuāli no valsts tiesību normām, kas reglamentē šāda veida apstrādi, attiecībā uz kurām šajā regulā dalībvalstīm ir skaidri paredzēta rīcības brīvība (šajā nozīmē skat. spriedumu, 2023. gada 30. marts, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, 51. un 78. punkts).

67      Turklāt jāuzsver, ka dalībvalstij, kura vēlētos izmantot minētās regulas 9. panta 4. punktā paredzēto iespēju, saskaņā ar samērīguma principu būtu jānodrošina, ka praktiskās, jo īpaši organizatoriska, ekonomiska un medicīniska rakstura, sekas – ko rada papildu prasības, kuras šī valsts vēlas noteikt kā obligāti ievērojamas, – nav pārmērīgas attiecībā uz šo apstrādi veicošajiem pārziņiem, kuriem ne vienmēr ir pietiekama kapacitāte jeb tehniskie un cilvēkresursi, lai izpildītu šīs prasības. Proti, šīs prasības nedrīkst mazināt lietderīgo iedarbību, kādai ir jāpiemīt apstrādes atļaujai, kura skaidri paredzēta šīs pašas regulas 9. panta 2. punkta h) apakšpunktā un kuras nosacījumi ir noteikti šā panta 3. punktā.

68      Visbeidzot jāuzsver, ka saskaņā ar VDAR 32. panta 1. punkta a) un b) apakšpunktu, kuros konkretizēti šīs regulas 5. panta 1. punkta f) apakšpunktā noteiktie integritātes un konfidencialitātes principi, ikvienam personas datu pārzinim ir jāīsteno atbilstīgi tehniskie un organizatoriskie pasākumi, lai nodrošinātu gan tādu drošības līmeni, kas atbilst riskam, citastarp, veicot šādu datu pseidonimizāciju un šifrēšanu, gan spēju nodrošināt tostarp apstrādes sistēmu un pakalpojumu konfidencialitāti un integritāti. Lemjot par šā pienākuma praktiskās izpildes kārtību, pārzinim saskaņā ar 32. panta 1. punktu ir jāņem vērā tehnikas līmenis, īstenošanas izmaksas un apstrādes raksturs, apmērs, konteksts un nolūki, kā arī dažādas iespējamības un smaguma pakāpes riski attiecībā uz fizisku personu tiesībām un brīvībām.

69      Taču iesniedzējtiesai būs jāizvērtē, vai šajā gadījumā MDK Nordrhein īstenoto tehnisko un organizatorisko pasākumu kopums atbilst VDAR 32. panta 1. punkta a) un b) apakšpunkta prasībām.

70      Tāpēc uz otro jautājumu ir atbildams, ka VDAR 9. panta 3. punkts ir jāinterpretē tādējādi, ka pārzinim, kas veselības datus apstrādā, pamatojoties uz šīs regulas 9. panta 2. punkta h) apakšpunktu, šajā tiesību normā nav noteikts pienākums nodrošināt, ka neviens datu subjekta kolēģis nevar piekļūt datiem par šā subjekta veselības stāvokli. Tomēr šāds pienākums šādam pārzinim var būt noteikts vai nu saskaņā ar tiesisko regulējumu – ko dalībvalsts pieņēmusi, pamatojoties uz minētās regulas 9. panta 4. punktu –, vai arī atbilstoši šīs pašas regulas 5. panta 1. punkta f) apakšpunktā noteiktajiem un tās 32. panta 1. punkta a) un b) apakšpunktā konkretizētajiem integritātes un konfidencialitātes principiem.

 Par trešo jautājumu

71      Ar trešo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 9. panta 2. punkta h) apakšpunkts un 6. panta 1. punkts ir jāinterpretē tādējādi, ka, lai veselības datu apstrāde, kas balstīta uz šo pirmo tiesību normu, būtu likumīga, tai jāatbilst ne tikai no šīs normas izrietošajām prasībām, bet arī vismaz vienam no šā 6. panta 1. punktā minētajiem likumīguma nosacījumiem.

72      Šajā ziņā jāatgādina, ka VDAR 5., 6. un 9. pants ir ietverti šīs regulas II nodaļā “Principi” un attiecas uz personas datu apstrādes principiem, apstrādes likumīgumu un īpašu kategoriju personas datu apstrādi.

73      Turklāt jānorāda, ka VDAR 51. apsvērumā ir skaidri norādīts, ka “papildus konkrētajām prasībām”, kas šīs regulas 9. panta 2. un 3. punktā noteiktas kā piemērojamas “īpaši sensitīvu” datu apstrādei – neskarot pasākumus, ko dalībvalsts iespējami pieņem, pamatojoties uz šā panta 4. punktu –, “[šādai apstrādei] būtu jāpiemēro [arī] vispārējie principi un citi [minētās] regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem”, kas izriet no šīs pašas regulas 6. panta.

74      Tāpēc saskaņā ar VDAR 6. panta 1. punkta pirmo daļu tādu “īpaši sensitīvu” datu kā veselības dati apstrāde ir likumīga tikai tad, ja ir izpildīts vismaz viens no 1. punkta pirmās daļas a)–f) apakšpunktā paredzētajiem nosacījumiem.

75      Minētās regulas 6. panta 1. punkta pirmajā daļā ir veikts izsmeļošs un ierobežojošs to gadījumu uzskaitījums, kuros personas datu apstrādi var uzskatīt par likumīgu. Tādējādi, lai apstrādi varētu uzskatīt par likumīgu, uz to jāattiecas kādam no šajā tiesību normā paredzētajiem gadījumiem (spriedums, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi), C‑252/21, EU:C:2023:537, 90. punkts, kā arī tajā minētā judikatūra).

76      Tādējādi Tiesa ir vairākkārt nospriedusi, ka ikvienai personas datu apstrādei ir jāatbilst VDAR 5. panta 1. punktā noteiktajiem datu apstrādes principiem un šīs regulas 6. pantā uzskaitītajiem apstrādes likumīguma nosacījumiem (spriedums, 2023. gada 4. maijs, Bundesrepublik Deutschland (Tiesu elektroniskā pastkaste), C‑60/22, EU:C:2023:373, 57. punkts un tajā minētā judikatūra).

77      Turklāt ir jau nospriests, ka ciktāl VDAR 7.–11. panta, kas tāpat kā tās 5. un 6. pants ir ietverti šīs regulas II nodaļā, mērķis ir precizēt to pienākumu apjomu, kas pārzinim ir noteikti saskaņā ar minētās regulas 5. panta 1. punkta a) apakšpunktu un 6. panta 1. punktu, personas datu apstrādē, lai tā būtu likumīga, kā tas izriet no Tiesas judikatūras, ir jāievēro arī šie citi minētās nodaļas noteikumi, kas būtībā attiecas uz piekrišanu, īpašu kategoriju sensitīviem personas datiem un personas datu apstrādi par sodāmību un pārkāpumiem (spriedums, 2023. gada 4. maijs, Bundesrepublik Deutschland (Tiesu elektroniskā pastkaste), C‑60/22, EU:C:2023:373, 58. punkts un tajā minētā judikatūra).

78      No tā konkrēti izriet, ka – tā kā VDAR 9. panta 2. punkta h) apakšpunkta mērķis ir precizēt pārzinim saskaņā ar šīs regulas 5. panta 1. punkta a) apakšpunktu un 6. panta 1. punktu noteikto pienākumu apjomu – veselības datu apstrāde, kas balstīta uz 9. panta 2. punkta h) apakšpunktu, ir likumīga tikai tad, ja tajā ir gan ievērotas prasības, kuras izriet no šīs tiesību normas, gan izpildīti pienākumi, kas izriet no šiem 5. panta 1. punkta a) apakšpunkta un 6. panta 1. punkta, un it īpaši izpildīts vismaz viens no šajā 6. panta 1. punktā minētajiem likumīguma nosacījumiem.

79      Ņemot vērā iepriekš izklāstīto, uz trešo jautājumu ir atbildams, ka VDAR 9. panta 2. punkta h) apakšpunkts un 6. panta 1. punkts ir jāinterpretē tādējādi, ka, lai veselības datu apstrāde, kas balstīta uz šo pirmo tiesību normu, būtu likumīga, tai jāatbilst ne tikai no šīs normas izrietošajām prasībām, bet arī vismaz vienam no 6. panta 1. punktā minētajiem likumīguma nosacījumiem.

 Par ceturto jautājumu

80      Ar ceturto jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 82. panta 1. punkts ir jāinterpretē tādējādi, ka šajā tiesību normā paredzētajām tiesībām uz kompensāciju ir ne tikai kompensējoša, bet arī preventīva jeb sodoša funkcija, un apstiprinošas atbildes gadījumā – vai šī otrā funkcija, iespējams, ir jāņem vērā, nosakot apmēru, kādā atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu, ir piešķirama zaudējumu atlīdzība.

81      Jāatgādina, ka VDAR 82. panta 1. punkts noteic, ka “jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu”.

82      Tiesa šo tiesību normu ir interpretējusi tādējādi, ka ar vienkāršu VDAR pārkāpumu vien nepietiek, lai varētu piešķirt tiesības uz kompensāciju; iepriekš gan tā tostarp ir īpaši uzsvērusi, ka “nodarīta” “kaitējuma” esamība ir viens no 82. panta 1. punktā paredzēto tiesību uz kompensāciju nosacījumiem, tāpat kā VDAR pārkāpuma esamība un cēloņsakarība starp šo kaitējumu un šo pārkāpumu, un šie trīs nosacījumi ir kumulatīvi (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 32. un 42. punkts).

83      Turklāt Tiesa ir nospriedusi, ka – tā kā VDAR nav tiesību normas, kuras mērķis būtu paredzēt noteikumus par to, kā aprēķināms apmērs, kādā maksājama zaudējumu atlīdzība saistībā ar šīs regulas 82. pantā nostiprinātajām tiesībām uz kompensāciju, – valsts tiesām šajā nolūkā atbilstoši procesuālās autonomijas principam ir jāpiemēro savas valsts iekšējie noteikumi par finansiālā atlīdzinājuma apmēru, ja vien tiek ievēroti Savienības tiesību līdzvērtības un efektivitātes principi, kas noteikti Tiesas pastāvīgajā judikatūrā (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 53., 54. un 59. punkts).

84      Šajā kontekstā un ņemot vērā VDAR 146. apsvēruma sesto teikumu, kurā teikts, ka šā tiesību akta mērķis ir nodrošināt “piln[u] un iedarbīg[u] kompensācij[u] par [..] nodarīto kaitējumu”, Tiesa ir nospriedusi, ka, ņemot vērā šīs regulas 82. pantā paredzēto tiesību uz kompensāciju kompensējošo funkciju, finansiālais atlīdzinājums, kas pamatots ar šo tiesību normu, ir jāuzskata par “pilnīgu un efektīvu”, ja tas ļauj pilnībā atlīdzināt šīs regulas pārkāpuma dēļ konkrēti nodarīto kaitējumu, un nav nepieciešams šāda pilnīga atlīdzinājuma nodrošināšanai noteikt pienākumu maksāt sodošu kaitējuma atlīdzinājumu (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 57. un 58. punkts).

85      Šajā ziņā jāuzsver, ka VDAR 82. pantam ir nevis sodoša, bet gan kompensējoša funkcija, atšķirībā no citām šīs regulas tiesību normām, kas arī ir ietvertas tās VIII nodaļā, proti, tās 83. un 84. pantam, kuri savukārt būtībā ir vērsti uz sodīšanu, jo pirmais no tiem ļauj piemērot administratīvus naudas sodus un otrais – citas sankcijas. Mijiedarbības attiecības starp noteikumiem, kas ietverti šīs regulas 82. pantā, un tiem, kuri ietverti tās 83. un 84. pantā, norāda uz atšķirību starp šīm abām tiesību normu kategorijām, bet vienlaikus arī liecina par šo normu savstarpējo komplementaritāti tajā ziņā, ka tās visas mudina ievērot VDAR, ņemot vērā, ka ikvienas personas tiesības prasīt kaitējuma kompensāciju pastiprina šajā regulā paredzēto aizsardzības noteikumu operativitāti un var atturēt no prettiesiskas rīcības atkārtošanas (šajā nozīmē skat. spriedumu, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi), C‑300/21, EU:C:2023:370, 38. un 40. punkts).

86      Tā kā VDAR 82. panta 1. punktā paredzētajām tiesībām uz kompensāciju nav iesniedzējtiesas apsvērtās preventīvās jeb sodošās funkcijas, attiecīgo kaitējumu izraisījušā šīs regulas pārkāpuma smagums nevar ietekmēt saskaņā ar šo tiesību normu piešķiramās zaudējumu atlīdzības summu pat tad, ja šis kaitējums ir nevis materiāls, bet gan nemateriāls. No tā izriet, ka šo summu nedrīkst noteikt tādā apmērā, kas pārsniegtu pilnīgu šā kaitējuma atlīdzinājumu.

87      Tāpēc uz ceturto jautājumu ir atbildams, ka VDAR 82. panta 1. punkts ir jāinterpretē tādējādi, ka šajā tiesību normā paredzētajām tiesībām uz kompensāciju ir kompensējoša funkcija – jo finansiālajam atlīdzinājumam, kas balstīts uz minēto tiesību normu, ir jāļauj pilnībā atlīdzināt šīs regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu –, taču ne preventīva jeb sodoša funkcija.

 Par piekto jautājumu

88      No informācijas, ko iesniedzējtiesa sniegusi, atbildot uz tai saskaņā ar Tiesas Reglamenta 101. pantu nosūtīto lūgumu sniegt paskaidrojumus, izriet, ka piektā jautājuma mērķis ir noskaidrot, pirmkārt, vai vainas esamība un/vai vainas pierādījums ir priekšnosacījumi tam, lai varētu iestāties pārziņa vai apstrādātāja atbildība, un, otrkārt, kāda ietekme pārziņa vai apstrādātāja vainas pakāpei var būt uz konkrētu nemateriālā kaitējuma atlīdzinājumam maksājamās zaudējumu atlīdzības novērtējumu.

89      Ņemot vērā šo iesniedzējtiesas atbildi, ir saprotams, ka ar piekto jautājumu būtībā tiek vaicāts, pirmkārt, vai VDAR 82. pants ir jāinterpretē tādējādi, ka pārziņa atbildības iestāšanās ir atkarīga no tā vainas esamības, un, otrkārt, vai šī vainas pakāpe ir jāņem vērā, nosakot zaudējumu atlīdzības summu, kas piešķirama atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu.

90      Par šā jautājuma pirmo daļu jāteic – kā atgādināts šā sprieduma 82. punktā –, ka VDAR 82. panta 1. punktā tiesības uz kompensāciju ir pakārtotas trīs nosacījumu kopumam, proti, jābūt šīs regulas pārkāpumam, nodarītajam kaitējumam, kā arī cēloņsakarībai starp šo pārkāpumu un šo kaitējumu.

91      Savukārt VDAR 82. panta 2. punkts noteic, ka jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. Taču šīs tiesību normas formulējums dažās valodu versijās, tostarp vācu valodas versijā, kas ir tiesvedības valoda šajā lietā, neļauj droši noteikt, vai attiecīgajam pārkāpumam jābūt piedēvējamam pārzinim, lai varētu iestāties viņa atbildība.

92      Šajā ziņā no VDAR 82. panta 2. punkta pirmā teikuma dažādu valodu versiju analīzes izriet, ka tiek prezumēts, ka pārzinis ir piedalījies apstrādē, kas ir attiecīgais šīs regulas pārkāpums. Proti, lai gan vācu, franču un somu valodas versiju formulējums ir atvērtāks, vairāku citu valodu versijas izrādās esam precīzākas, jo trešo reizi atkārtojot terminu “apstrāde” vai atsauci uz šo terminu, izmanto norādāmo vietniekvārdu, un tādējādi ir skaidrs, ka šis trešais atkārtojums vai atsauce norāda uz to pašu darbību, kas domāta šā termina otrajā atkārtojumā. Tā ir spāņu, igauņu, grieķu, itāļu un rumāņu valodu versijās.

93      VDAR 82. panta 3. punktā šajā ziņā ir precizēts, ka pārzini atbrīvo no atbildības saskaņā ar šā 82. panta 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.

94      Tādējādi no šo dažādo VDAR 82. panta normu kopīgas analīzes izriet, ka šajā pantā ir paredzēta uz vainu balstītas atbildības sistēma, kurā pierādīšanas pienākums ir nevis personai, kurai ir nodarīts kaitējums, bet gan pārzinim.

95      Šādu interpretāciju apstiprina konteksts, kādā iekļaujas 82. pants, kā arī mērķi, kurus Savienības likumdevējs cenšas sasniegt ar VDAR palīdzību.

96      Šajā ziņā, pirmkārt, no VDAR 24. un 32. panta formulējuma izriet, ka šajās tiesību normās pārzinim ir tikai noteikts pienākums veikt tehniskus un organizatoriskus pasākumus, lai, cik vien iespējams, novērstu jebkādu personas datu aizsardzības pārkāpumu. Šādu pasākumu piemērotība ir konkrēti jāizvērtē, pārbaudot, vai šis pārzinis pasākumus ir veicis, ņemot vērā minētajos pantos paredzētos dažādos kritērijus un ar attiecīgo apstrādi saistītās datu aizsardzības vajadzības, kā arī ar šo apstrādi saistītos riskus (šajā nozīmē skat. spriedumu, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 30. punkts).

97      Taču šāda pienākuma lietderība būtu apšaubāma, ja pārzinim pēc tam būtu jāatlīdzina viss kaitējums, kas nodarīts tādas apstrādes rezultātā, kura veikta, pārkāpjot VDAR.

98      Otrkārt, runājot par VDAR mērķiem, no šīs regulas 4.–8. apsvēruma izriet, ka tās mērķis ir panākt līdzsvaru starp personas datu pārziņu interesēm un to personu tiesībām, kuru dati tiek apstrādāti. Mērķis ir ļaut attīstīties digitālajai ekonomikai, vienlaikus nodrošinot augsta līmeņa aizsardzību personām. Tādējādi tas, ko likumdevējs vēlas panākt, ir pārziņa interešu samērošana ar to personu interesēm, kuru personas dati tiek apstrādāti. Savukārt tieši uz vainu balstītas atbildības mehānisms kopā ar VDAR 82. pantā paredzēto pierādīšanas pienākuma apvēršanu ir tas, kas ļauj šādu līdzsvaru nodrošināt.

99      Pirmkārt – kā secinājumu 93. punktā būtībā norāda ģenerāladvokāts – šādas augsta līmeņa aizsardzības mērķim nebūtu atbilstīgi izvēlēties interpretāciju, saskaņā ar kuru datu subjektiem – kam VDAR pārkāpuma dēļ ir nodarīts kaitējums, saistībā ar prasību par zaudējumu atlīdzību, kura pamatota ar tās 82. pantu, – būtu pienākums pierādīt ne tikai šā pārkāpuma esamību un no tā izrietošo kaitējumu, kas tiem nodarīts, bet arī pārziņa vainu nodoma vai neuzmanības formā vai pat šīs vainas pakāpi, lai gan minētajā 82. pantā šādas prasības nav noteiktas (pēc analoģijas skat. spriedumu, 2023. gada 14. decembris, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, 56. punkts).

100    Otrkārt, bezvainas atbildības sistēma nenodrošinātu likumdevēja – kā redzams no VDAR 7. apsvēruma – izvirzītā tiesiskās noteiktības mērķa sasniegšanu.

101    Attiecībā uz piektā jautājuma otro daļu par atbilstoši VDAR 82. pantam iespējami maksājamās zaudējumu atlīdzības summas aprēķinu jāatgādina – kā uzsvērts šā sprieduma 83. punktā –, ka, lai novērtētu šo zaudējumu apmēru, valstu tiesām jāpiemēro katras dalībvalsts iekšējie noteikumi par finansiālā atlīdzinājuma apmēru, ja vien tiek ievēroti Savienības tiesību līdzvērtības un efektivitātes principi, kas noteikti Tiesas pastāvīgajā judikatūrā.

102    Jāprecizē, ka VDAR 82. pants – ņemot vērā tā kompensējošo funkciju – neprasa, lai, nosakot zaudējumu atlīdzības summu, kas piešķirama atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu, tiktu ņemta vērā smaguma pakāpe, kāda piemīt šīs regulas pārkāpumam, par kuru tiek pieņemts, ka to ir izdarījis pārzinis, bet gan prasa, lai šī summa tiktu noteikta tā, lai pilnībā kompensētu par minētās regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu, kā izriet no šā sprieduma 84. un 87. punkta.

103    Tāpēc uz piekto jautājumu ir atbildams, ka VDAR 82. pants ir jāinterpretē tādējādi, ka, pirmkārt, pārziņa atbildības iestāšanās ir pakārtota tā vainas esamībai, kura tiek prezumēta, ja vien pārzinis nepierāda, ka kaitējumu izraisījušais notikums tam nekādi nav piedēvējams, un, otrkārt, 82. pants neprasa, lai, nosakot zaudējumu atlīdzības summu, kas piešķirama atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu, tiktu ņemta vērā šīs vainas pakāpe.

 Par tiesāšanās izdevumiem

104    Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (trešā palāta) nospriež:

1)      Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 9. panta 2. punkta h) apakšpunkts

ir jāinterpretē tādējādi, ka

šajā tiesību normā paredzētais izņēmums ir piemērojams situācijās, kad medicīniskās kontroles iestāde kāda sava darbinieka veselības datus šā darbinieka darbspēju novērtēšanas nolūkā apstrādā nevis kā darba devējs, bet gan kā medicīniskais dienests, ja vien attiecīgajā apstrādē tiek ievēroti nosacījumi un garantijas, ko skaidri noteic šis h) apakšpunkts un minētā 9. panta 3. punkts.

2)      Regulas 2016/679 9. panta 3. punkts

ir jāinterpretē tādējādi, ka

pārzinim, kas veselības datus apstrādā, pamatojoties uz šīs regulas 9. panta 2. punkta h) apakšpunktu, šajā tiesību normā nav noteikts pienākums nodrošināt, ka neviens datu subjekta kolēģis nevar piekļūt datiem par šā subjekta veselības stāvokli. Tomēr šāds pienākums šādam pārzinim var būt noteikts vai nu saskaņā ar tiesisko regulējumu – ko dalībvalsts pieņēmusi, pamatojoties uz minētās regulas 9. panta 4. punktu –, vai arī atbilstoši šīs pašas regulas 5. panta 1. punkta f) apakšpunktā noteiktajiem un tās 32. panta 1. punkta a) un b) apakšpunktā konkretizētajiem integritātes un konfidencialitātes principiem.

3)      Regulas 2016/679 9. panta 2. punkta h) apakšpunkts un 6. panta 1. punkts

ir jāinterpretē tādējādi, ka,

lai veselības datu apstrāde, kas balstīta uz šo pirmo tiesību normu, būtu likumīga, tai jāatbilst ne tikai no šīs normas izrietošajām prasībām, bet arī vismaz vienam no 6. panta 1. punktā minētajiem likumīguma nosacījumiem.

4)      Regulas 2016/679 82. panta 1. punkts

ir jāinterpretē tādējādi, ka

šajā tiesību normā paredzētajām tiesībām uz kompensāciju ir kompensējoša funkcija – jo finansiālajam atlīdzinājumam, kas balstīts uz minēto tiesību normu, ir jāļauj pilnībā atlīdzināt šīs regulas pārkāpuma rezultātā konkrēti nodarīto kaitējumu –, taču ne preventīva jeb sodoša funkcija.

5)      Regulas 2016/679 82. pants

ir jāinterpretē tādējādi, ka

pirmkārt, pārziņa atbildības iestāšanās ir pakārtota tā vainas esamībai, kura tiek prezumēta, ja vien pārzinis nepierāda, ka kaitējumu izraisījušais notikums tam nekādi nav piedēvējams, un, otrkārt, 82. pants neprasa, lai, nosakot zaudējumu atlīdzības summu, kas piešķirama atlīdzinājumam par nemateriālo kaitējumu, pamatojoties uz šo tiesību normu, tiktu ņemta vērā šīs vainas pakāpe.

[Paraksti]

*      Tiesvedības valoda – vācu.