EUROOPA KOHTU OTSUS (kolmas koda)
25. jaanuar 2024(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artiklite 5, 24, 32 ja 82 tõlgendamine – Artikli 82 kehtivuse hindamine – Kehtivuse hindamise taotluse vastuvõetamatus – Õigus saada hüvitist kahju eest, mis on tekitatud niisuguste andmete töötlemisega seda määrust rikkudes – Andmete edastamine volitamata kolmandale isikule vastutava töötleja töötajate eksimuse tõttu – Vastutava töötleja rakendatud kaitsemeetmete sobivuse hindamine – Hüvitise saamise õiguse hüvitamisfunktsioon – Rikkumise raskuse mõju – Vajadus tõendada nimetatud rikkumisega tekitatud kahju olemasolu – Mõiste „mittevaraline kahju“
Kohtuasjas C‑687/21,
mille ese on ELTL artikli 267 alusel Amtsgericht Hageni (Hageni esimese astme kohus, Saksamaa) 11. oktoobri 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 16. novembril 2021, menetluses
BL
versus
MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro-Handelsgesellschaft mbH Hagen,
EUROOPA KOHUS (kolmas koda),
koosseisus: koja president K. Jürimäe, kohtunikud N. Piçarra, M. Safjan, N. Jääskinen (ettekandja) ja M. Gavalec,
kohtujurist: M. Campos Sánchez-Bordona,
kohtusekretär: A. Calot Escobar,
arvestades kirjalikku menetlust,
arvestades seisukohti, mille esitasid:
– BL, esindaja: Rechtsanwalt D. Pudelko,
– MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro- Handelsgesellschaft mbH Hagen, esindaja: Rechtsanwalt B. Hackl,
– Iirimaa, esindajad: Chief State Solicitor M. Browne, A. Joyce ja M. Lane, keda abistas D. Fennelly, BL,
– Euroopa Parlament, esindajad: O. Hrstková Šolcová ja J.‑C. Puffer,
– Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,
arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 2 lõike 1, artikli 4 punkti 7, artikli 5 lõike 1 punkti f, artikli 6 lõike 1, artikli 24, artikli 32 lõike 1 punkti b ja lõike 2 ning artikli 82 tõlgendamist ja nimetatud artikli 82 kehtivuse hindamist.
2 Taotlus on esitatud füüsilise isiku BLi ja MediaMarktSaturn Hagen-Iserlohn GmbH, varem Saturn Electro-Handelsgesellschaft mbH Hagen (edaspidi „Saturn“), vahelises kohtuvaidluses mittevaralise kahju hüvitamise üle, mis nimetatud isikul väidetavalt tekkis seetõttu, et selle äriühingu töötajate vea tõttu edastati mõned hageja isikuandmed kolmandale isikule.
Õiguslik raamistik
3 Isikuandmete kaitse üldmääruse põhjendused 11, 74, 76, 83, 85 ja 146 on sõnastatud järgmiselt:
„(11) Tõhusaks isikuandmete kaitseks kogu [Euroopa L]iidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, […]
[…]
(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.
[…]
(76) Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks[, kas] andmetöötlustoimingutega kaasneb oht või suur oht.
[…]
(83) Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.
[…]
(85) Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. […]
[…]
(146) Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid. Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab […] samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]“.
4 Määruse I peatükis „Üldsätted“ asuva artikli 2 „Sisuline kohaldamisala“ lõikes 1 on ette nähtud:
„Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.“
5 Määruse artiklis 4 „Mõisted“ on sätestatud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]
[…]
7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; […]
[…]
10) „kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;
[…]
12) „isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;
[…]“.
6 Isikuandmete kaitse üldmääruse II peatükk „Põhimõtted“ sisaldab määruse artikleid 5–11.
7 Määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud:
„1. Isikuandmete töötlemisel tagatakse, et
[…]
f) isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);
2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“
8 Määruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõikes 1 on määratletud tingimused, mis peavad olema täidetud, et töötlemine oleks seaduslik.
9 Isikuandmete kaitse üldmääruse IV peatükk „Vastutav töötleja ja volitatud töötleja“ sisaldab määruse artikleid 24–43.
10 IV peatüki 1. jaos „Üldkohustused“ sisalduva artikli 24 „Vastutava töötleja vastutus“ lõigetes 1 ja 2 on sätestatud:
„1. Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.
2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.“
11 Isikuandmete kaitse üldmääruse IV peatüki 2. jaos „Isikuandmete turvalisus“ asuva artikli 32 „Töötlemise turvalisus“ lõike 1 punktis b ja lõikes 2 on sätestatud:
„1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:
[…]
b) võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;
[…]
2. Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.“
12 Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab määruse artikleid 77–84.
13 Määruse artiklis 82 „Õigus hüvitisele ja vastutus“ on sätestatud:
„1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.
2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. […]
3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.
[…]“.
14 Isikuandmete kaitse üldmääruse artiklis 83 „Trahvide määramise üldtingimused“ on ette nähtud:
„1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.
2. […] Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:
a) rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;
b) kas rikkumine pandi toime tahtlikult või hooletusest;
[…]
d) vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;
[…]
k) juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.
3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.
[…]“.
15 Määruse artikli 84 „Karistused“ lõikes 1 on sätestatud:
„Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“
Põhikohtuasi ja eelotsuse küsimused
16 Põhikohtuasja hageja läks Saturni äriruumidesse, kus ta soetas kodumasina. Selle äriühingu töötaja koostas selleks müügi- ja krediidilepingu. Selleks sisestas ta Saturni infosüsteemi kliendi mitmesugused isikuandmed, täpsemalt tema perekonna- ja eesnime, aadressi, elukoha, tööandja nime, sissetuleku ja pangaandmed.
17 Neid isikuandmeid sisaldavad lepingudokumendid trükiti ja mõlemad lepingupooled kirjutasid neile alla. Põhikohtuasja hageja andis need seejärel üle Saturni töötajatele, kes töötavad kauba väljastuskohas. Teine klient, kes oli vargsi põhikohtuasja hagejast ette läinud, sai seejärel eksimuse tõttu nii hageja tellitud kodumasina kui ka asjasse puutuvad dokumendid ja võttis need kõik kaasa.
18 Kuna eksimus avastati kiiresti, sai Saturni töötaja nii kodumasina kui ka dokumendid tagasi ning andis need põhikohtuasja hagejale üle pool tundi pärast nende üleandmist teisele kliendile. Ettevõtja pakkus eksimuse eest hüvitiseks seadme tasuta transporti põhikohtuasja hageja elukohta, kuid viimane ei pidanud sellist hüvitamist piisavaks.
19 Põhikohtuasja hageja esitas hagi Amtsgericht Hagenile (Hageni esimese astme kohus, Saksamaa), kes on käesolevas kohtuasjas eelotsusetaotluse esitanud kohus, ning nõudis eelkõige isikuandmete kaitse üldmääruse sätete alusel hüvitist mittevaralise kahju eest, mida ta väidab end olevat kandnud Saturni töötajate eksimuse tõttu ja sellest tuleneva ohu tõttu kaotada kontroll oma isikuandmete üle.
20 Saturn väidab enda kaitseks ühelt poolt, et isikuandmete kaitse üldmäärust ei ole rikutud ja rikkumine saab toimuda üksnes siis, kui see ületab teatud raskuse künnise, milleni käesoleval juhul ei ole jõutud. Teiselt poolt väidab see äriühing, et põhikohtuasja hageja ei ole kandnud mingit kahju, sest ei ole tuvastatud ega isegi mitte väidetud, et seotud kolmas isik oleks puudutatud isiku isikuandmeid kuritarvitanud.
21 Eelotsusetaotluse esitanud kohtul on tekkinud esiteks küsimus, kas isikuandmete kaitse üldmääruse artikkel 82 on kehtiv, sest tema arvates ei ole selles artiklis täpsustatud, millised on selle õiguslikud tagajärjed mittevaralise kahju hüvitamise korral.
22 Teiseks, juhul kui Euroopa Kohus ei tunnista artiklit 82 kehtetuks, soovib eelotsusetaotluse esitanud kohus teada, kas selles sättes ette nähtud hüvitise saamise õiguse kasutamine eeldab, et on tõendatud mitte ainult isikuandmete kaitse üldmääruse rikkumine, vaid ka kahju, täpsemalt mittevaraline kahju, mis hüvitist nõudvale isikule on tekitatud.
23 Kolmandaks soovib eelotsusetaotluse esitanud kohus kindlaks teha, kas ainuüksi asjaolu, et isikuandmeid sisaldavad trükitud dokumendid edastati vastutava töötleja töötajate eksimuse tõttu kolmandale isikule ilma loata, võimaldab tuvastada isikuandmete kaitse üldmääruse rikkumise või mitte.
24 Neljandaks soovib eelotsusetaotluse esitanud kohus – kes leiab, et „[kostjaks oleval] ettevõtjal lasub oma süütuse tõendamise koormis“ – teada, kas piisab tuvastamisest, et dokumendid anti üle hooletuse tõttu, et asuda seisukohale, et isikuandmete kaitse üldmäärust on rikutud, eriti arvestades vastutaval töötlejal lasuvat kohustust võtta selle määruse artiklite 2, 5, 6 ja 24 alusel sobivad meetmed töödeldavate andmete turvalisuse tagamiseks.
25 Viiendaks on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas isegi siis, kui näib, et volitamata kolmas isik ei tutvunud asjaomaste isikuandmetega enne neid andmeid sisaldavate dokumentide tagastamist, saab mittevaralise kahju tekkimist isikuandmete kaitse üldmääruse artikli 82 tähenduses tõendada ainuüksi asjaoluga, et isik, kelle andmed sel viisil edastati, tunneb hirmu ohu ees – mida eelotsusetaotluse esitanud kohtu sõnul ei saa välistada –, et see kolmas isik edastab need andmed teistele isikutele või neid kuritarvitatakse edaspidi.
26 Kuuendaks soovib eelotsusetaotluse esitanud kohus teada, kas viidatud artikli 82 alusel esitatud mittevaralise kahju hüvitamise hagi raames võib olla mõju sellise rikkumise raskusel, mis on toime pandud niisugustel asjaoludel nagu põhikohtuasjas, võttes arvesse, et tema arvates oleks vastutav töötleja võinud võtta tõhusamaid turvameetmeid.
27 Seitsmendaks soovib ta teada, mis on mittevaralise kahju hüvitamise eesmärk isikuandmete kaitse üldmääruse alusel, väites, et sarnaselt leppetrahviga võib see olla karistuslik.
28 Neil asjaoludel otsustas Amtsgericht Hagen (Hageni esimese astme kohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas isikuandmete kaitse üldmääruse säte, mis näeb ette kahju hüvitamise (st selle määruse artikkel 82), on kehtetu, sest selles ei ole täpselt kindlaks määratud, millised peavad olema mittevaralise kahju hüvitamise õiguslikud tagajärjed?
2. Kas kahju hüvitamise nõude esitamiseks on nõutav, et lisaks sellele, et kaitstud andmeid on avaldatud volitamata kolmandale isikule, on nõude esitajal tekkinud mittevaraline kahju, mida viimane peab tõendama?
3. Kas isikuandmete kaitse üldmääruse rikkumiseks piisab sellest, et andmesubjekti isikuandmed (nimi, aadress, elukutse, sissetulek, tööandja) edastatakse ettevõtja töötajate eksimuse tõttu paberdokumendile trükituna kolmandale isikule?
4. Kas tegemist on isikuandmete ebaseadusliku edasise töötlemisega isikuandmete juhusliku edastamise (avaldamise) tõttu kolmandale isikule, kui ettevõtja andis oma töötajate kaudu andmed, mis on muu hulgas sisestatud infosüsteemi, paberdokumendile trükituna ekslikult edasi kolmandale isikule (isikuandmete kaitse üldmääruse artikli 2 lõige 1, artikli 5 lõike 1 punkt f, artikli 6 lõige 1 ja artikkel 24)?
5. Kas mittevaralise kahjuga isikuandmete kaitse üldmääruse artikli 82 tähenduses on tegemist juba siis, kui isikuandmeid sisaldava dokumendi saanud kolmas isik ei ole nende andmetega enne andmeid sisaldava dokumendi tagasiandmist tutvunud, või on mittevaralise kahju tekkimiseks isikuandmete kaitse üldmääruse artikli 82 tähenduses piisav, et andmesubjekt, kelle isikuandmed ebaseaduslikult edastati, tunneb end häirituna, sest andmete ilma loata avaldamise korral ei saa välistada võimalust, et määratlemata hulk isikuid võib siiski andmeid edastada või isegi kuritarvitada?
6. Kui raskeks tuleb rikkumist pidada juhul, kui andmete juhuslikku edastamist kolmandale isikule oleks saanud vältida ettevõtja abitöötajate tõhusama kontrolli ja/või andmeturbe parema korraldamisega, näiteks sel viisil, et kauba väljastamise käigus ei puututa kokku lepingu-, eriti finantsdokumentidega, vaid vormistatakse eraldi väljastusleht või vajalikud andmed edastatakse ettevõtjas kauba väljastamisega tegelevale töötajale ilma kliendi vahenduseta, kellele on antud väljatrükitud dokumendid, sealhulgas kauba väljastusleht (isikuandmete kaitse üldmääruse artikli 32 lõike 1 punkt b ja lõige 2 ning artikli 4 punkt 7)?
7. Kas mittevaralise kahju hüvitamine võib olla sarnaselt leppetrahviga karistuslik meede?“
Eelotsuse küsimuste analüüs
Esimene küsimus
29 Esimese küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas isikuandmete kaitse üldmääruse artikkel 82 on kehtetu, kuna selles ei ole täpsustatud, millised õiguslikud tagajärjed peavad kaasnema mittevaralise kahju hüvitamisega.
30 Euroopa Parlament väidab, et see küsimus on vastuvõetamatu, sest eelotsusetaotluse esitanud kohus ei ole täitnud Euroopa Kohtu kodukorra artikli 94 punkti c nõudeid, kuigi ta tõstatab eriti keerulise küsimuse, mis puudutab liidu õigusnormi kehtivuse hindamist.
31 Vastavalt kodukorra artikli 94 punktile c peab eelotsusetaotlus lisaks Euroopa Kohtule esitatud eelotsuse küsimuste tekstile sisaldama muu hulgas selgitust, mis põhjustel on eelotsusetaotluse esitanud kohus tõstatanud mõne liidu õigusnormi tõlgendamise või kehtivuse küsimuse.
32 Siinkohal olgu märgitud, et eelotsusetaotluse põhjendused on hädavajalikud mitte ainult selleks, et Euroopa Kohtul oleks võimalik anda tarvilik vastus, vaid ka selleks, et liikmesriikide valitsustel ja teistel huvitatud isikutel oleks võimalik esitada Euroopa Liidu Kohtu põhikirja artikli 23 alusel oma seisukohad. Täpsemalt peab Euroopa Kohus liidu õigusnormi kehtivust hindama just eelotsusetaotluses esitatud kehtetuse põhjenduste alusel, mistõttu juhul, kui ei ole mainitud täpseid põhjusi, mis on pannud eelotsusetaotluse esitanud kohut seda küsimust tõstatama, on kehtivuse kohta esitatud küsimused vastuvõetamatud (vt selle kohta 15. juuni 2017. aasta kohtuotsus T.KUP, C‑349/16, EU:C:2017:469, punktid 16–18, ja 22. juuni 2023. aasta kohtuotsus Vitol, C‑268/22, EU:C:2023:508, punktid 52–55).
33 Käesoleval juhul ei esita eelotsusetaotluse esitanud kohus aga ühtegi konkreetset asjaolu, mis võimaldaks Euroopa Kohtul analüüsida isikuandmete kaitse üldmääruse artikli 82 kehtivust.
34 Järelikult tuleb esimene küsimus vastuvõetamatuks tunnistada.
Kolmas ja neljas küsimus
35 Kolmanda ja neljanda küsimusega, mida tuleb analüüsida koos ja esimeses järjekorras, soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikleid 5, 24, 32 ja 82 koostoimes tuleb tõlgendada nii, et artikli 82 alusel esitatud kahju hüvitamise hagi korral saab ainuüksi asjaolu põhjal, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi, teha järelduse, et selle vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ artiklite 24 ja 32 tähenduses.
36 Isikuandmete kaitse üldmääruse artiklis 24 on ette nähtud isikuandmete vastutava töötleja üldine kohustus rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete töötlemise vastavus sellele määrusele ja suuta seda tõendada (14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 24).
37 Isikuandmete kaitse üldmääruse artiklis 32 on omakorda täpsustatud vastutava töötleja ja võimaliku volitatud töötleja kohustusi seoses töötlemise turvalisusega. Nii on selle artikli lõikes 1 sätestatud, et need töötlejad peavad rakendama töötlemisega seotud ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades töötlemise laadi, ulatust, konteksti ja eesmärke. Ühtlasi on selle artikli lõikes 2 veel sätestatud, et vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige nende andmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile loata juurdepääsu (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 26 ja 27).
38 Seega nähtub isikuandmete kaitse üldmääruse artiklite 24 ja 32 sõnastusest, et vastutava töötleja rakendatavate meetmete sobivust tuleb hinnata konkreetselt, võttes arvesse nendes artiklites osutatud erinevaid kriteeriume ja asjaomase andmete töötlemisega konkreetselt seotud andmekaitsevajadusi ning sellest töötlemisest tulenevaid riske, eriti kuna vastutav töötleja peab suutma tõendada, et võetud meetmed on selle määrusega kooskõlas – sellest võimalusest jääks ta ilma, kui aktsepteeritaks ümberlükkamatut eeldust (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 30–32).
39 Sellele grammatilisele tõlgendusele leiab kinnitust nimetatud määruse artiklitest 24 ja 32 koostoimes artikli 5 lõikega 2 ja artikliga 82, arvestades määruse põhjendusi 74, 76 ja 83, millest tuleneb täpsemalt, et vastutavalt töötlejalt nõutakse isikuandmetega seotud rikkumise ohtude leevendamist, mitte isikuandmetega seotud mis tahes rikkumise ärahoidmist (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 33–38).
40 Seetõttu on Euroopa Kohus tõlgendanud isikuandmete kaitse üldmääruse artikleid 24 ja 32 nii, et isikuandmete loata avalikustamine „kolmandate isikute“ poolt selle määruse artikli 4 punkti 10 tähenduses või nende isikute loata juurdepääs neile andmetele ei ole iseenesest piisav, et asuda seisukohale, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ kõnealuste artiklite 24 ja 32 tähenduses (14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 39).
41 Käesoleval juhul võib asjaolu, et eksimuse tõttu edastasid vastutava töötleja töötajad isikuandmeid sisaldava dokumendi volitamata kolmandale isikule, näidata, et vastutava töötleja rakendatud tehnilised ja korralduslikud meetmed ei olnud „asjakohased“ nimetatud artiklite 24 ja 32 tähenduses. Selline asjaolu võib nimelt tuleneda hooletusest või puudustest vastutava töötleja töökorralduses, mis ei võta konkreetselt arvesse kõnealuste andmete töötlemisega seotud riske.
42 Sellega seoses tuleb rõhutada, et isikuandmete kaitse üldmääruse artiklitest 5, 24 ja 32, arvestades selle määruse põhjendust 74, tuleneb, et selle määruse artikli 82 alusel esitatud kahju hüvitamise hagi korral lasub vastutaval töötlejal kohustus tõendada, et isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse selle määruse artikli 5 lõike 1 punkti f ja artikli 32 tähenduses. Selline tõendamiskoormise jaotus mitte ainult ei ajenda nende andmete vastutavaid töötlejaid võtma isikuandmete kaitse üldmääruses ette nähtud turvameetmeid, vaid tagab ka selle määruse artiklis 82 ette nähtud õiguse hüvitisele soovitava toime ning järgib liidu seadusandja kavatsusi, mida on mainitud selle määruse põhjenduses 11 (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 49–56).
43 Seetõttu on Euroopa Kohus tõlgendanud isikuandmete kaitse üldmääruse artikli 5 lõikes 2 sätestatud vastutava töötleja vastutuse põhimõtet, mida on täpsustatud selle määruse artiklis 24, nii, et selle määruse artikli 82 alusel esitatud kahju hüvitamise hagi korral lasub vastutaval töötlejal kohustus tõendada, et turvameetmed, mille ta on võtnud selle määruse artikli 32 alusel, on asjakohased (14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 57).
44 Seega ei saa kohus, kellele on esitatud selline kahju hüvitamise hagi isikuandmete kaitse üldmääruse artikli 82 alusel, võtta selle kindlakstegemisel, kas määruses ette nähtud kohustust on rikutud, arvesse üksnes asjaolu, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi. See kohus peab nimelt arvesse võtma ka kõiki tõendeid, mille vastutav töötleja on esitanud selleks, et tõendada nende tehniliste ja korralduslike meetmete asjakohasust, mille ta on võtnud määruse artiklitest 24 ja 32 tulenevate kohustuste täitmiseks.
45 Eeltoodud kaalutlusi arvestades tuleb kolmandale ja neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikleid 5, 24, 32 ja 82 koostoimes tuleb tõlgendada nii, et artikli 82 alusel esitatud kahju hüvitamise hagi korral ei saa ainuüksi asjaolu põhjal, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi, teha järeldust, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud artiklite 24 ja 32 tähenduses „asjakohased“.
Seitsmes küsimus
46 Seitsmenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et selles sättes ette nähtud õigus hüvitisele, eelkõige mittevaralise kahju korral, täidab karistuslikku funktsiooni.
47 Selle kohta on Euroopa Kohus otsustanud, et isikuandmete kaitse üldmääruse artiklil 82 ei ole mitte karistuslik, vaid hüvitamisfunktsioon erinevalt teistest selle määruse VIII peatüki sätetest, nimelt artiklitest 83 ja 84, millel omakorda on peamiselt karistuslik eesmärk, kuna need võimaldavad vastavalt määrata trahve ja muid sanktsioone. Artiklis 82 sätestatud õigusnormide suhe artiklites 83 ja 84 sätestatutega näitab, et need kaks sätete kategooriat on erinevad, aga ka üksteist täiendavad, kuivõrd need ajendavad isikuandmete kaitse üldmäärust järgima, kusjuures tuleb märkida, et igaühe õigus nõuda kahju hüvitamist tugevdab selles määruses ette nähtud kaitsenormide toimivust ja võib pärssida õigusvastase tegevuse kordumist (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 38 ja 40, ning 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 85).
48 Euroopa Kohus on täpsustanud, et kuna isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigusel hüvitisele ei ole heidutavat ega ka mitte karistavat funktsiooni, vaid see täidab hüvitamisfunktsiooni, ei saa see, kui raske oli kõnealuse määruse rikkumine, mis kahju põhjustas, mõjutada selle sätte alusel välja mõistetava kahjuhüvitise suurust, isegi kui tegemist ei ole mitte varalise, vaid mittevaralise kahjuga, mistõttu ei tohi määratav summa olla nii suur, et see ületab kahju täieliku hüvitamise (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 86 ja 87).
49 Eeltoodust tuleneb, et ei ole vaja teha otsust selle kohta, kas kõnealuse artikli 82 lõikes 1 sätestatud õiguse kahju hüvitamisele eesmärk on võrreldav leppetrahvi karistusliku funktsiooniga, nagu pakkus välja eelotsusetaotluse esitanud kohus.
50 Järelikult tuleb seitsmendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selles sättes ette nähtud õigus hüvitisele, eelkõige mittevaralise kahju korral, ei täida mitte karistuslikku, vaid hüvitamisfunktsiooni, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama täielikult hüvitada selle määruse rikkumisega tegelikult tekitatud kahju.
Kuues küsimus
51 Kuuenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et see artikkel nõuab, et kahju hüvitamisel selle sätte alusel võetaks arvesse seda, kui raske oli kõnealuse määruse rikkumine vastutava töötleja poolt.
52 Selles küsimuses tuleneb isikuandmete kaitse üldmääruse artiklist 82 esiteks, et vastutava töötleja vastutuse eeldus on tema süü, mida eeldatakse, välja arvatud juhul, kui ta tõendab, et kahju põhjustanud tegu ei ole talle omistatav, ning et teiseks ei nõua nimetatud artikkel 82, et selle sätte alusel mittevaralise kahju hüvitamiseks välja mõistetava kahjuhüvitise summa kindlaksmääramisel võetaks arvesse süü suurust (21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 103).
53 Isikuandmete kaitse üldmääruse artikli 82 alusel maksmisele kuuluva võimaliku kahjuhüvitise hindamise kohta olgu märgitud, et kuna see määrus ei sisalda sellise esemega sätet, peavad liikmesriikide kohtud kohaldama liikmesriigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, järgides liidu õiguses kehtivaid võrdväärsuse ja tõhususe põhimõtteid (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 83 ja 101 ning seal viidatud kohtupraktika).
54 Lisaks on Euroopa Kohus täpsustanud, et isikuandmete kaitse üldmääruse artiklis 82 ette nähtud hüvitise saamise õiguse hüvitamisfunktsiooni arvestades ei ole selles sättes nõutud, et selle alusel mittevaralise kahju hüvitamiseks väljamõistetava kahjuhüvitise summa kindlaksmääramisel võetaks arvesse, kui raske oli selle määruse rikkumine, mille vastutav töötleja eeldatavasti toime pani, vaid nõutud on, et see summa määrataks kindlaks nii, et see hüvitaks täielikult selle määruse rikkumisega tegelikult tekitatud kahju (vt selle kohta 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punktid 84–87 ja 102 ning seal viidatud kohtupraktika).
55 Eeltoodud kaalutlusi arvestades tuleb kuuendale küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et see artikkel ei nõua, et selle sätte alusel kahju hüvitamisel võetaks arvesse vastutava töötleja toime pandud rikkumise raskust.
Teine küsimus
56 Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et isik, kes nõuab nimetatud sätte alusel hüvitist, peab tõendama mitte ainult selle määruse sätete rikkumist, vaid ka seda, et see rikkumine tekitas talle varalise või mittevaralise kahju.
57 Sellega seoses tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 on sätestatud, et „[i]gal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“.
58 Selle sätte sõnastusest nähtub, et pelgalt isikuandmete kaitse üldmääruse rikkumisest ei piisa selleks, et tekiks õigus kahju hüvitamisele. Üks artikli 82 lõikes 1 ette nähtud hüvitise saamise õiguse tingimustest on nimelt „kantud kahju“ või „tekitatud kahju“ olemasolu, nagu ka selle määruse rikkumise esinemine ja põhjuslik seos kahju ja rikkumise vahel, kusjuures need kolm tingimust on kumulatiivsed (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 32 ja 42; 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 77; 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 14, ning 21. detsembri 2023. aasta kohtuotsus Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 82).
59 Konkreetsemalt mittevaralise kahju kohta on Euroopa Kohus samuti otsustanud, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et sellega on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses mittevaralise kahju hüvitamine, et andmesubjektile – nagu on määratletud selle määruse artikli 4 punktis 1 – tekkinud kahju oleks teatud raskusastmega (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 51; 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 78, ja 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 16).
60 Euroopa Kohus on täpsustanud, et andmesubjekt, keda puudutab isikuandmete kaitse üldmääruse rikkumine, millel on tema jaoks negatiivsed tagajärjed, peab siiski tõendama, et need tagajärjed kujutavad endast mittevaralist kahju selle määruse artikli 82 tähenduses, sest pelgalt selle määruse sätete rikkumisest ei piisa, et tekiks õigus hüvitisele (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 42 ja 50; 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 84, ning 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punktid 21 ja 23).
61 Eeltoodud põhjendusi arvestades tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et isik, kes nõuab selle sätte alusel hüvitist, peab tõendama mitte ainult viidatud määruse sätete rikkumist, vaid ka seda, et nimetatud rikkumine tekitas talle varalise või mittevaralise kahju.
Viies küsimus
62 Viienda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et juhul, kui isikuandmeid sisaldav dokument on edastatud volitamata kolmandale isikule, kelle puhul on tuvastatud, et ta ei tutvunud nende andmetega, võib mittevaraline kahju selle sätte tähenduses seisneda pelgas asjaolus, et andmesubjekt kardab, et selle edastamise tõttu, mis võimaldas teha dokumendist enne selle tagastamist koopia, võidakse edaspidi tema andmeid levitada või isegi kuritarvitada.
63 Tuleb täpsustada, et eelotsusetaotluse esitanud kohus märgib, et käesoleval juhul tagastati dokument, mis sisaldas asjasse puutuvaid andmeid, põhikohtuasja hagejale poole tunni jooksul pärast dokumendi üleandmist volitamata kolmandale isikule ning viimane ei tutvunud nende andmetega enne dokumendi tagastamist, kuid hageja väidab, et üleandmine andis sellele kolmandale isikule võimaluse teha dokumendist enne selle tagastamist koopiad ning see tekitas talle kartuse seoses ohuga, et neid andmeid võidakse tulevikus kuritarvitada.
64 Arvestades, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ei ole mingit viidet liikmesriikide riigisisesele õigusele, tuleb mõistele „mittevaraline kahju“ selle sätte tähenduses anda liidu õiguses autonoomne ja ühetaoline määratlus (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 30 ja 44, ning 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punkt 15).
65 Euroopa Kohus on otsustanud, et mitte ainult isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusest, arvestades selle määruse põhjendusi 85 ja 146, milles peetakse vajalikuks käsitada mõistet „mittevaraline kahju“ selle esimese sätte tähenduses laialt, vaid ka selle määrusega taotletavast eesmärgist tagada füüsiliste isikute kõrgetasemeline kaitse isikuandmete töötlemisel tuleneb, et andmesubjekti hirm, et selle määruse rikkumise järel võivad kolmandad isikud tema isikuandmeid kuritarvitada, võib endast iseenesest kujutada „mittevaralist kahju“ viidatud artikli 82 lõike 1 tähenduses (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punktid 79–86).
66 Peale selle on Euroopa Kohus nii grammatilistele, süsteemsetele kui ka teleoloogilistele kaalutlustele tuginedes leidnud, et kontrolli kaotamine isikuandmete üle lühikeseks ajaks võib tekitada andmesubjektile mittevaralist kahju isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses, mis annab õiguse hüvitisele, tingimusel et see isik tõendab, et ta on tegelikult kandnud sellist kahju, isegi kui see on väga väike, kusjuures tuleb meenutada, et pelgalt selle määruse sätete rikkumisest ei piisa, et selle alusel tekiks õigus hüvitisele (vt selle kohta 14. detsembri 2023. aasta kohtuotsus Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punktid 18–23).
67 Samuti tuleb käesoleval juhul märkida, et nii isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusega kui ka selle määrusega taotletava kaitse-eesmärgiga on kooskõlas see, et mõiste „mittevaraline kahju“ hõlmab olukorda, kus andmesubjektil on põhjendatud kartus – mida peab kontrollima asja menetlev liikmesriigi kohus –, et kolmandad isikud levitavad või kuritarvitavad edaspidi tema teatavaid isikuandmeid, sest neid andmeid sisaldav dokument anti üle volitamata kolmandale isikule, kellel oli enne dokumendi tagastamist võimalus teha nendest andmetest koopiad.
68 Sellegipoolest on isikuandmete kaitse üldmääruse artikli 82 alusel esitatud kahju hüvitamise hagi puhul nõude esitaja ülesanne tõendada sellise kahju olemasolu. Täpsemalt ei anna kahju hüvitamiseks alust puhthüpoteetiline oht, et volitamata kolmas isik kuritarvitab andmeid. Nii on see juhul, kui ükski kolmas isik ei ole vaidlusaluste isikuandmetega tutvunud.
69 Järelikult tuleb viiendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et juhul, kui isikuandmeid sisaldav dokument on edastatud volitamata kolmandale isikule, kelle puhul on tõendatud, et ta ei tutvunud nende andmetega, ei ole mittevaraline kahju selle sätte tähenduses olemas üksnes seetõttu, et andmesubjekt kardab, et selle edastamise tõttu, mis võimaldas teha dokumendist enne selle tagastamist koopia, võidakse edaspidi tema andmeid levitada või isegi kuritarvitada.
Kohtukulud
70 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seiskohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:
1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikleid 5, 24, 32 ja 82 koostoimes
tuleb tõlgendada nii, et
artikli 82 alusel esitatud kahju hüvitamise hagi korral ei saa ainuüksi asjaolu põhjal, et eksimuse tõttu edastasid vastutava töötleja töötajad volitamata kolmandale isikule isikuandmeid sisaldava dokumendi, teha järeldust, et vastutava töötleja võetud tehnilised ja korralduslikud meetmed ei olnud artiklite 24 ja 32 tähenduses „asjakohased“.
2. Määruse 2016/679 artikli 82 lõiget 1
tuleb tõlgendada nii, et
selles sättes ette nähtud õigus hüvitisele, eelkõige mittevaralise kahju korral, ei täida mitte karistuslikku, vaid hüvitamisfunktsiooni, kuna sellel sättel põhinev rahaline hüvitis peab võimaldama täielikult hüvitada selle määruse rikkumisega tegelikult tekitatud kahju.
3. Määruse 2016/679 artiklit 82
tuleb tõlgendada nii, et
see artikkel ei nõua, et selle sätte alusel kahju hüvitamisel võetaks arvesse vastutava töötleja toime pandud rikkumise raskust.
4. Määruse 2016/679 artikli 82 lõiget 1
tuleb tõlgendada nii, et
isik, kes nõuab selle sätte alusel hüvitist, peab tõendama mitte ainult viidatud määruse sätete rikkumist, vaid ka seda, et nimetatud rikkumine tekitas talle varalise või mittevaralise kahju.
5. Määruse 2016/679 artikli 82 lõiget 1
tuleb tõlgendada nii, et
juhul, kui isikuandmeid sisaldav dokument on edastatud volitamata kolmandale isikule, kelle puhul on tõendatud, et ta ei tutvunud nende andmetega, ei ole mittevaraline kahju selle sätte tähenduses olemas üksnes seetõttu, et andmesubjekt kardab, et selle edastamise tõttu, mis võimaldas teha dokumendist enne selle tagastamist koopia, võidakse edaspidi tema andmeid levitada või isegi kuritarvitada.
Allkirjad