KOHTUJURISTI ETTEPANEK
MANUEL CAMPOS SÁNCHEZ-BORDONA
esitatud 6. oktoobril 2022(1)
Kohtuasi C‑300/21
UI
versus
Österreichische Post AG
(eelotsusetaotlus, mille on esitanud Oberster Gerichtshof (Austria kõrgeim üldkohus))
Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Ebaseadusliku töötlemisega tekitatud mittevaraline kahju – Hüvitise saamise õiguse tingimused – Teatud raskusastet ületav kahju
1. Määrus (EL) 2016/679(2) annab igale isikule, kellele on selle sätete rikkumisega tekitatud varalist või mittevaralist kahju, õiguse saada vastutavalt või volitatud andmetöötlejalt hüvitist.
2. Võimalus sellele õigusele kohtus tugineda oli olemas juba varasemates õigusnormides (direktiivi 95/46/EÜ(3)artikkel 23), kuigi seda kasutati vähe(4). Kui ma ei eksi, ei ole Euroopa Kohus konkreetselt seda artiklit tõlgendanud.
3. Isikuandmete kaitse üldmääruse kehtivusajal on kahju hüvitamise hagide olulisus kasvanud.(5) See kasv on märgatav liikmesriikide kohtutes ja see kajastub vastavates eelotsusetaotlustes.(6) Sellega seoses palub Oberster Gerichtshof (Austria kõrgeim üldkohus) Euroopa Kohtul piiritleda mõningaid isikuandmete kaitse üldmäärusega kehtestatud tsiviilvastutuskorra ühiseid punkte.
I. Õiguslik raamistik. Isikuandmete kaitse üldmäärus
4. Selles vaidluses on asjakohased eelkõige isikuandmete kaitse üldmääruse põhjendused 75, 85 ja 146.
5. Artiklis 6 („Isikuandmete töötlemise seaduslikkus“) on märgitud:
„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;
[…]“.
6. Artikli 79 („Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“) lõikes 1 on ette nähtud:
„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete […] sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“
7. Artikli 82 („Õigus hüvitisele ja vastutus“) lõikes 1 on sätestatud:
„Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“
II. Faktilised asjaolud, kohtuvaidlus ja eelotsuse küsimused
8. Aadressiraamatute kirjastaja Österreichische Post AG kogus alates 2017. aastast teavet Austria elanike erakondlike eelistuste kohta. Ta määras algoritmi abil teatavate sotsiaal-demograafiliste tunnuste järgi kindlaks „sihtrühma-aadressid“.
9. UI on füüsiline isik, kelle suhtes tegi Österreichische Post statistilise arvutuse põhjal ekstrapolatsiooni, et määrata kindlaks tema liigitamine mitme erakonna valimisreklaami võimalikesse sihtrühmadesse. Sellest ekstrapolatsioonist nähtus, et UI eelistas suurel määral ühte neist. Neid andmeid kolmandatele isikutele ei edastatud.
10. UI-le, kes ei olnud andnud oma isikuandmete töötlemiseks nõusolekut, tekitas andmete säilitamine erakondade eelistamise kohta vastumeelsust ning ta oli häiritud ja solvunud selle eelistuse pärast, mille Österreichische Post oli talle konkreetselt omistanud.
11. UI nõudis 1000 euro suurust hüvitist mittevaralise kahju eest (sisemine vastumeelsustunne). Ta väidab, et talle määratud poliitiline eelistus on solvav ja häbivääristav ning kahjustab tema head nime. Ta lisab, et Österreichische Posti teguviis on tekitanud temas suurt pahameelt ja usaldusekaotust, samuti alandustunde.
12. Esimese astme kohus jättis UI kahju hüvitamise nõude rahuldamata.(7)
13. Apellatsioonikohus jättis esimese astme kohtu otsuse muutmata. Ta otsustas, et isikuandmete kaitse üldmääruse iga rikkumisega ei kaasne automaatselt mittevaralise kahju hüvitamist ja et:
– kuna Austria õigus on kohaldatav isikuandmete kaitse üldmääruse täiendusena, on hüvitatav ainult kahju, mis on ulatuslikum kui hageja õiguste rikkumisega põhjustatud ärritus või tundeline kahju („Gefühlsschaden“);
– tuleb järgida Austria õigusnormide aluseks olevat põhimõtet, et kõik peavad lihtsalt ebamugavus- ja ebameeldivustunde ära kannatama ilma kahju hüvitamise tagajärgedeta. Teisisõnu eeldab õigus hüvitist saada väidetava kahju teatavat olulisust.
14. Apellatsioonikohtu otsuse peale esitati kaebus Oberster Gerichtshofile (Austria kõrgeim üldkohus), kes esitab Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas kahjuhüvitise väljamõistmiseks isikuandmete kaitse üldmääruse […] artikli 82 kohaselt on lisaks isikuandmete kaitse üldmääruse sätete rikkumisele nõutav ka hagejal kahju tekkimine või piisab kahjuhüvitise väljamõistmiseks juba iseenesest üksnes isikuandmete kaitse üldmääruse sätete rikkumisest?
2. Kas kahjuhüvitise hindamiseks on peale tõhususe ja võrdväärsuse põhimõtete olemas ka muud liidu õiguse nõuded?
3. Kas liidu õigusega on kooskõlas see, kui mittevaralise kahju väljamõistmise eelduseks on, et õiguste rikkumise järelmõju või tagajärg on vähemalt arvestatava kaaluga, mis ületab õiguste rikkumisega tekitatud ärritust?“
III. Menetlus
15. Eelotsusetaotlus registreeriti Euroopa Kohtus 12. mail 2021.
16. Kirjalikud seisukohad esitasid UI, Österreichische Post, Austria, Tšehhi ja Iiri valitsus ning Euroopa Komisjon. Kohtuistungi korraldamist ei peetud vajalikuks.
IV. Õiguslik analüüs
A. Sissejuhatus
1. Vastuvõetavus
17. UI väidab, et esimene küsimus ei ole menetluses asjakohane, kuna tema nõue ei põhine mitte „lihtsal“ isikuandmete kaitse üldmääruse normi rikkumisel, vaid selle tagajärgedel ja mõjul.
18. Vastuvõetamatuse vastuväide tuleb tagasi lükata. Isegi kui möönda, et isikuandmete töötlemine rikkus isikuandmete kaitse üldmäärust ilma UI-le kahju tekitamata, võib UI-l olla õigus saada isikuandmete kaitse üldmääruse artikli 82 alusel hüvitist, kui – nagu asja menetlev kohus küsib – kinnitatakse, et juba ainuüksi andmetöötlust käsitleva õigusnormi rikkumine tekitab sellise õiguse.
19. UI arvates võiks Euroopa Kohus tunnistada ka teise küsimuse vastuvõetamatuks põhjusel, et see on sisult väga lahtine ja liidu õiguse nõuete osas liiga piiratud, neist ühtegi konkreetselt nimetamata.
20. Ehkki seda vastuväidet on põhjendatud eelmisest rohkem, ei saa ka sellega nõustuda. Liikmesriigi kohtul on õigus küsida, kas tal tuleb lisaks võrdväärsuse ja tõhususe põhimõtete järgimisele hinnata ka muid liidu õigusega kahju hindamiseks kehtestatud tingimusi.
2. Käesoleva ettepaneku eseme piiritlemine
21. Isikuandmete kaitse üldmääruse artiklis 82 on kuus lõiget. Eelotsusetaotluse esitanud kohus ei viita ühelegi konkreetselt, kuid viitab kaudselt lõikele 1. Ta ei täpsusta ka õigusnormi, mille rikkumine annaks õiguse saada hüvitist.
22. Ettepanekus lähtun järgmistest eeldustest:
– UI isikuandmete töötlemine toimus isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a tähenduses ilma tema nõusolekuta.
– Õigus hüvitisele on igal isikul, kes on kandnud kahju. Käesolevas asjas on UI kui tuvastatud füüsiline isik, keda andmete töötlemine puudutab, „andmesubjekt“(8).
– Isikuandmete kaitse üldmääruses on ette nähtud varalise ja mittevaralise kahju hüvitamine. UI nõuab ainult viimati nimetatud kahju hüvitamist ja see on rahaline nõue.
B. Esimene eelotsuse küsimus
23. Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse sätete rikkumine iseenesest annab õiguse hüvitistele, olenemata sellest, kas kahju on tekitatud või mitte.
24. Eelotsusetaotluse esitanud kohtu kinnitustest ja Euroopa Kohtule esitatud seisukohtadest võib järeldada, et küsimust saab tõlgendada ka teisiti, veidi keerulisemalt: tuleks välja selgitada, kas isikuandmete kaitse üldmääruse artiklite rikkumine tekitab tingimata kahju, mis annab õiguse hüvitisele, ilma et kostjal oleks võimalust tõendada vastupidist.
25. Nende kahe käsitlusviisi vahel on teatav (teoreetiline) erinevus: esimeses ei ole kahju hüvitise saamise eeltingimuseks, teises seevastu küll. Praktikas aga kaob mõlemal juhul nõue, et hageja peab tõendama kahju, samuti ei pea ta tõendama põhjuslikku seost rikkumise ja selle kahju vahel.(9)
26. Igal juhul ütlen ette ära, et kummalegi esimese eelotsuse küsimuse kahest tõlgendusest ei tuleks minu arvates vastata jaatavalt. Käsitlen neid kahte eraldi.
1. Hüvitis ilma kahjuta?
27. Väide, et õigus hüvitisele on olemas isegi siis, kui andmesubjektile ei ole isikuandmete kaitse üldmääruse rikkumisega kahju tekitatud, tekitab vaieldamatult raskusi, alustades selle määruse artikli 82 lõike 1 sõnastusega seostuvast.
28. Selle artikli kohaselt makstakse hüvitist(10) just seetõttu, et eelnevalt on kantud kahju. Seega on üheselt nõutav, et füüsiline isik on kandnud isikuandmete kaitse üldmääruse rikkumise tulemusel mittevaralist või varalist kahju.
29. Tõlgendus, mis seostab mõiste „rikkumine“ automaatselt mõistega „hüvitis“, ilma et esineks vahepealset kahju, ei ühti seega isikuandmete kaitse üldmääruse artikli 82 sõnastusega. See ei ole ka kooskõlas isikuandmete kaitse üldmääruses kehtestatud tsiviilvastutuse esmase eesmärgiga, milleks on just nimelt heastada andmesubjektile tekitatud kahju „täieliku ja tõhusa“ hüvitamise kaudu.(11)
30. Kui kahju ei ole tekkinud, ei täidaks hüvitamine enam rikkumise põhjustatud ebasoodsate tagajärgede hüvitamise ülesannet, vaid teist laadi ülesannet, mis läheneb pigem karistamisele.
31. On siiski tõsi, et liikmesriigi õiguskorras võib ette näha karistusliku hüvitise maksmise.(12) Sellisena käsitatakse olulise summa väljamõistmist, mis ületab otseselt kahju hüvitamiseks vajalikku summat.
32. Karistusliku hüvitise puhul võetakse üldjuhul arvesse eelnev kahju. Kahju tekkimine võetakse küll lähtepunktiks, kuid sellele kahjule vastava hüvitise summat vaadeldakse siiski kahju varalistest tagajärgedest täiesti eraldi seisvana.
33. Ei ole siiski mõeldamatu, et karistusliku hüvitise puhul kahju üldse arvesse ei võeta või seda loetakse hüvitist nõudnud isiku nõude rahuldamiseks asjasse puutumatuks.
34. Esimesele küsimusele vastamiseks tuleb mul analüüsida, kas isikuandmete kaitse üldmäärus hõlmab karistuslikke hüvitisi, eriti kui nendele on viidatud nii eelotsusetaotluses kui ka poolte ja eelotsusemenetlusse osalenute seisukohtades.
2. Karistuslik kahjuhüvitis?
a) Grammatiline tõlgendamine
35. Tsiviilvastutuse klassikalisele funktsioonile võib lisada veel teise, „karistusliku“ või „eeskuju“ funktsiooni, mille kohaselt – nagu ma juba kirjeldasin – hüvitise summa ei ole võrdne kantud kahjuga, vaid suurendab või isegi mitmekordistab selle summat.
36. Need hüvitised ei ole liidu õigusega põhimõtteliselt vastuolus selle õigusnormide rikkumise korral, kui neid hüvitisi on samalaadsetes hagides lubatud välja mõista riigisisese õiguse alusel.(13)
37. Karistuslikul kahjuhüvitisel on hoiatav eesmärk. Sama eesmärk võib olla siis, kui direktiivi rikkumise korral peavad liikmesriigid võtma meetmeid, et tagada „tegelik hoiatav mõju“(14). Mõnes direktiivis on sõnaselgelt ette nähtud, et hüvitised, mis on ette nähtud karistusena, peavad olema hoiatavad.(15)
38. Seevastu teistes õigusaktides on seadusandja kinnitanud, et direktiivi eesmärk „ei ole kehtestada kahju hüvitamise kohustus karistuseks“(16) või et liikmesriigid peavad seda liiki hüvitamist direktiivi ülevõtmisel vältima(17). Liidu õiguses on „karistusliku kahjuhüvitise“ otsene väljamõistmine erandlik.(18)
39. Isikuandmete kaitse üldmäärus ei sisalda aga ühtegi viidet sellele, et hüvitis varalise või mittevaralise kahju eest on karistuslikku laadi, või sellele, et hüvitise summa arvutamine peab kajastama seda laadi või et hüvitis peab olema hoiatav (selline omadus on aga küll omistatud kriminaalkaristustele ja trahvidele).(19) Grammatilise tõlgenduse järgi ei võimalda see seega nõustuda karistusliku kahjuhüvitisega.
b) Tõlgendamine selle artikli taustast lähtuvalt
40. Isikuandmete kaitse üldmääruse artikli 82 lõikele 1 eelnev õigusnorm on direktiivi 95/46 artikli 23 lõige 1. Viimane oli osa süsteemist, milles usaldati selle tõhus rakendamine avalik- ja eraõiguslikele meetmetele(20), kuid milles ei aetud omavahel segi (eraõiguslikku) hüvitist ja (avalik-õiguslikku) halduskaristust(21). Eeskirjade järgimist valvasid eelkõige sõltumatud järelevalveasutused.(22)
41. Isikuandmete kaitse üldmäärus võtab selle mudeli üle, kuid tugevdab vahendeid, mis on vajalikud, et tagada nende – nüüd üksikasjalikumate – sätete tõhusus ja nende sätete rikkumise või rikkumise ohu korral ette nähtud – nüüdsest intensiivsemate – reaktsioonide tõhusus:
– esiteks suurendab see järelevalveasutuste ülesandeid, kelle pädevuses on muu hulgas kehtestada isikuandmete kaitse üldmääruses endas ette nähtud ühtlustatud halduskaristused.(23) See rõhutab seega õigusnormide avalik-õiguslike meetmete komponenti;
– teiseks on selles ette nähtud, et üksikisikud kaitsevad neile isikuandmete kaitse üldmäärusega antud õigusi(24) järelevalveasutuste tegevuse aktiveerimise teel (artikkel 77) või kohtusse pöördudes (artiklid 79 ja 82). Veel lubab artikkel 80 teatud üksustel kasutada esindushagisid,(25) mis hõlbustab üksikisikute ulatusega üldiste huvide kaitset(26).
42. Kahju eest ühtse tsiviilvastutuse korra arendamine oli isikuandmete kaitse üldmääruses piiratud. Aspekte, mis võisid direktiivis 95/46 jääda kaheldavaks, nagu see, kas mittevaraline kahju kuulub hüvitatava kahju hulka,(27) selgitati peagi. Läbirääkimiste keskmes olid selle korra teised aspektid.(28)
43. Ma ei leidnud õigusakte ettevalmistavates materjalides mingit arutelu isikuandmete kaitse üldmääruses käsitletud tsiviilvastutuse võimaliku karistusliku funktsiooni üle. Seega ei saa sellest järeldada, et see kuuluks artikli 82 kohaldamisalasse, kuna selles küsimuses puudub igasugune arutelu, seda enam, et arutelu oli seevastu selle lisamise üle teistesse liidu õigusaktidesse.(29)
44. Neil asjaoludel leian, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 sätestatud hagi on välja töötatud ja ette nähtud kasutamiseks tüüpiliste tsiviilvastutuse ülesannete teenistuses: kahju hüvitamine (kahju kannatanud isikule) ja teisejärguliselt tulevase kahju ennetamine (õigusrikkujale).
c) Kontekstipõhine tõlgendamine
45. Nagu ma juba märkisin, kuulub isikuandmete kaitse üldmääruse artikkel 82 õigusnormide tõhususe tagatiste süsteemi, milles eraalgatus täiendab selle süsteemi rakendamise avalik-õiguslikku meedet. Hüvitise väljamõistmine vastutavatelt või volitatud andmetöötlejatelt aitab sellele tõhususele kaasa.
46. Hüvitamiskohustus toimib (ideaalis) stiimulina, mis paneb tulevikus hoolikamalt toimima, järgides eeskirju ja vältides uusi kahjusid. Nii aitab iga isik endale hüvitist nõudes kaasa õigusnormide üldisele tõhususele.
47. Selle raames on hüvitamis- ja karistamisfunktsioonid lahus:
– karistavat funktsiooni täidavad rahatrahvid, mida võivad määrata järelevalveasutused või kohtud (isikuandmete kaitse üldmääruse artikli 83 lõiked 1 ja 9), ning muud halduskaristused, mida võivad riigid kehtestada isikuandmete kaitse üldmääruse artikli 84 alusel;(30)
– hüvitavat funktsiooni teenivad üksikisiku kaebus (artikkel 77) ja kohtumenetlus (artikkel 79). Hüvitise saamise õiguse üle otsustamine ei ole siiski järelevalveasutuste ülesanne.
48. Samuti seoses hüvitamis- ja karistamisfunktsioonide lahususega:
– peab ametiasutus trahvi kehtestamisel ja selle summa kindlaksmääramisel arvesse võtma isikuandmete kaitse üldmääruse artiklis 83 loetletud tegureid, mida ei ole tsiviilvastutuse valdkonnas ette nähtud ja mis ei ole põhimõtteliselt hüvitise arvutamisele ülekantavad;(31)
– kuigi andmesubjektidele tekitatud kahju tase on trahvi astmelisuse tegur,(32) ei tule trahvisumma arvutamisel arvesse võtta hüvitist, mida need subjektid võisid saada(33).
49. Teoreetiliselt võib tõlgendus, mis annab igasuguse kahju puudumisel tsiviilvastutusele karistusliku funktsiooni, tekitada ohu, et karistamismehhanismidega muudetakse hüvitamismehhanismid üleliigseks.
50. Praktikas võib hüvitisena „karistusliku“ kasu saamise lihtsustamine ajendada andmesubjekte eelistama seda võimalust isikuandmete kaitse üldmääruse artiklis 77 ette nähtud võimalusele. Kui see muutuks üldiseks, võetaks järelevalveasutustelt ära vahend (andmesubjekti kaebus), millega menetleda ning seega uurida ja karistada isikuandmete kaitse üldmääruse võimalikke rikkumisi, kahjustades seega üldise huvi kaitseks sobivamaid vahendeid.
d) Teleoloogiline tõlgendamine
51. Isikuandmete kaitse üldmäärusel on peamiselt kaks eesmärki, mis on välja toodud juba pealkirjas: a) esiteks „füüsiliste isikute kaitse isikuandmete töötlemisel“; b) teiseks, et see kaitse oleks kujundatud nii, et see ei takistaks ega piiraks „nende andmete vaba liikumist“.(34)
52. Leian, et nende eesmärkide saavutamiseks ei nõua isikuandmete kaitse üldmäärus, et hüvitis seostatakse ainult sellega, et on rikutud nimetatud õigusnormi, mis reguleerib andmete töötlemist, omistades seeläbi tsiviilvastutusele karistamisülesanded.
53. Mis puutub esimesse eesmärki, siis selle saavutamiseks ei ole vaja laiendada isikuandmete kaitse üldmääruse artikli 82 kohaldamisala tõlgendamise teel nii, et see hõlmaks juhtumeid, kus normi on rikutud, kuid kahju ei ole tekkinud. Seevastu võib sellel laiendamisel olla negatiivne mõju teisele eesmärgile.
54. Rõhutasin juba, et isikuandmete kaitse üldmääruses on selle eeskirjade järgimise tagamiseks ette nähtud mitu vahendit, mis eksisteerivad koos ja täiendavad üksteist. Liikmesriikidel ei ole andmekaitse tagamiseks vaja (ja nad tegelikult ei saagi) valida VIII peatüki mehhanismide hulgast. Rikkumise puhul, mis kahju ei tekita, on andmesubjektil ikkagi (vähemalt) õigus esitada isikuandmete kaitse üldmääruse artikli 77 lõike 1 alusel kaebus järelevalveasutusele.
55. Pealegi ergutaks võimalus ilma igasuguse kahjuta hüvitist saada tõenäoliselt tsiviilõiguslikke vaidlusi, kus nõuded ei ole ehk alati põhjendatud,(35) ning võib seetõttu pärssida huvi andmeid töödelda(36).
3. Kahju eeldamine?
56. Mõnes vaidluse poolte seisukohtadest on välja pakutud esimese eelotsuse küsimuse tõlgendus, mis erineb sellest, mida ma seni analüüsisin. Kui ma nende seisukohast õigesti aru saan,(37) siis näib, et nad on arvamusel, et kui õigusnormi on rikutud, kehtib vaieldamatu kahju eeldus.
57. Nad lisavad, et selline rikkumine viib tingimata kontrolli kaotamiseni andmete üle, mis juba iseenesest kujutab endast isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel hüvitatavat kahju.
58. Teoreetiliselt ei võimalda see eeldus kahju tekitamist tähelepanuta jätta, mistõttu järgitakse tüüpilist tsiviilvastutuse struktuuri ning samuti isikuandmete kaitse üldmääruse sätte sõnastust. Praktikas on sellega nõustumise tagajärjed hagejale ja kostjale siiski sarnased nendega, mis tulenevad sellest, kui isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud hüvitis seostatakse ainuüksi õigusnormi rikkumisega.
59. Lähtun taas tavapärastest tõlgendamiskriteeriumidest, et selgitada, miks see tõlgendus ei ole minu arvates õige.
a) Grammatiline tõlgendamine
60. Kui seadusandja on teistes liidu õiguse valdkondades leidnud, et õigusnormi rikkumisest tuleneb automaatselt õigus hüvitisele, ei ole ta kõhelnud seda sätestamast.(38) Nii ei ole see isikuandmete kaitse üldmääruse puhul, kus on loetletud eeskirjad, mis puudutavad tõendamist või millel on tagajärjed tõendamisele,(39) kuid mitte automaatset seost, olgu siis otsese või ümberlükkamatu eelduse teel.
61. Mulle näib, et viited kontrollile andmete üle (või selle kontrolli kaotamisele), millest annavad tunnistust isikuandmete kaitse üldmääruse põhjendused 75(40) ja 85(41), ei tasakaalusta seda puudumist. Lisaks asjaolule, et neil põhjendustel puudub normatiivne jõud, ei toeta kumbki neist seda, et õigusnormi rikkumine iseenesest tähendab, et on tekitatud kahju, mille eest saab hüvitist:
– põhjendus 75 viitab sellele, et kontrollist ilmajäämine isikuandmete üle on üks andmete töötlemise võimalikest ohtudest;
– põhjendus 85 viitab kontrolli kaotamisele kui ühele tagajärgedest, mis võivad kaasneda isikuandmete turvalisuse kahjustamisega.(42)
62. Andmete üle kontrolli kaotamine ei pea tingimata tekitama kahju. Seda väljendit võib mõista kui kõnekujundit, et viidata selle kontrolli kaotamisest tingitud kahjule, kui see peaks tekkima.(43)
b) Tõlgendamine taustast lähtudes
63. Ka tausta analüüs ei kinnita, et kehtiks selline eeldus, mida ei olnud direktiivis 95/46(44) ja mida ei olnud ette nähtud isikuandmete kaitse üldmääruse vastuvõtmisele eelnenud komisjoni, Euroopa Parlamendi või nõukogu dokumentides, mida ma analüüsisin.
c) Kontekstipõhine tõlgendamine
64. Isikuandmete kaitse üldmääruse ülesehitus pakub tõendeid selle välistamiseks, et see sisaldab vaidlusalust eeldust, võttes aluseks andmesubjekti nõusoleku.(45) See nõusolek kui tema andmete kontrollimise vahend muudab andmete töötlemise õiguspäraseks samal tasandil nagu muud õiguslikud alused (isikuandmete kaitse üldmääruse artikkel 6).(46)
65. Seaduslik isikuandmete töötlemine on mõeldav ka ilma andmesubjekti loata ja järelikult ilma kontrollita, mida kujutab endast niisuguse loa andmine või andmisest keeldumine. Selle kaal süsteemis ei ole lõpuks absoluutne.
66. Lisaks on isikuandmete kaitse üldmääruses selleks kontrolliks ette nähtud muud võimalused, sealhulgas andmete kustutamise õigus, mis kohustab vastutavat töötlejat vastava teabe „põhjendamatu viivituseta“ kustutama.(47)
67. Isiku jaoks, kelle andmeid töödeldakse, toimib see õigus kaitsesüsteemi kaitseklapina: see jääb kehtima (põhimõttelise reeglina), kui vastutav töötleja ei ole saanud andmesubjekti nõusolekut, aga ka juhul, kui ei ole muud alust, mis muudaks andmetöötluse õiguspäraseks, ja see ei sõltu sellest, kas töötlemine tekitab kahju.(48)
d) Teleoloogiline tõlgendamine
1) Kas andmesubjekti kontroll tema andmete üle on isikuandmete kaitse üldmääruse eesmärk?
68. Isikuandmete töötlemise, milleks ei ole saadud andmesubjekti nõusolekut, ja hüvitamisele kuuluva kahju automaatne samaväärsus eeldab, et selline kontroll, mille vahendiks on nõusolek, kujutab endast väärtust iseenesest.
69. Ma möönan, et esmapilgul näib, et nii mõnigi argument toetab seda arvamust. Kodanike kontroll oma andmete üle ilmneb komisjoni ettepanekus kui üks seadusemuudatuse peamisi põhjendusi.(49) Isikuandmete kaitse üldmääruse põhjenduses 7 on märgitud, et „[f]üüsilistel isikutel peaks olema kontroll oma isikuandmete üle“.
70. On tõsi, et selle mõiste tõlgendamisel tuleb olla ettevaatlik määral, mis läheb kaugemale aruteludest, mida see on õigusteoorias tekitanud. Isikuandmete kaitse üldmääruses ei ole mõiste „kontroll“ täpset määratlust (ja ma ei ole leidnud seda ka kusagilt mujalt).(50) Sellel sõnal on vähemalt kaks tähendust, mis ei ole üksteist välistavad: „võim“ või „ülemvõim“ ja „järelevalve“.
71. Isikuandmete kaitse üldmääruse põhjenduse 7 sõnastus tekitab teatud ebakindlust, sest see on eri keeleversioonides erinev.(51) Isikuandmete kaitse üldmääruse sisu arvestades leian, et see annab andmesubjektile järelevalve- ja sekkumisõiguse toimingute üle, mida teised tema andmetega teevad, vahendina (koos teistega) nende andmete kaitse teenistuses.
72. Andmesubjekt aitab ise kaasa andmetes sisalduva teabe kaitsele ja on selle eest vastutav sellisel määral – st tasemel ja viisil –, mis on isikuandmete kaitse üldmääruses ette nähtud. Individuaalhagi ulatus on piiratud: isikuandmete kaitse üldmääruses loetletud õiguste osas piirdub see nende kasutamisega konkreetsetel tingimustel.
73. Andmesubjekti nõusolek kui maksimaalne kontrolli väljendus(52) on vaid üks seadusliku töötlemise õiguslikest alustest, kuid sellel ei ole võimet heastada seda, et vastutav töötleja ja volitatud töötleja ei täida muid kohustusi ja tingimusi.
74. Mulle tundub, et isikuandmete kaitse üldmäärusest ei ole lihtne järeldada, et sellega soovitakse anda andmesubjektile isikuandmete üle kontrolli kui väärtust iseenesest. Samuti ei ole sellest lihtne järeldada, et andmesubjektil peaks olema nende andmete üle võimalikult suurem kontroll.
75. See järeldus ei ole üllatav. Esiteks ei ole ilmne, et kontroll ülemvõimu tähenduses andmete üle on osa põhiõiguse andmekaitsele põhiolemusest.(53) Teiseks ei ole selle õiguse kui informatsioonilise enesemääramise õiguse tõlgendamine kaugeltki üksmeelne: harta artiklis 8 ei ole seda sõnastust kasutatud.(54)
76. Samamoodi ei võetud isikuandmete kaitse üldmääruse lõppteksti ka ühte põhjendust, mille kohaselt „[õ]igus isikuandmete kaitsele põhineb andmesubjekti õigusel teha kontrolli töödeldavate isikuandmete üle“.(55) [mitteametlik tõlge]
77. Esitatud arutluskäik, mis on vahest liiga abstraktne, viib mind järeldusele, et kui andmesubjekt ei ole andmete töötlemisega nõus ja seda tehakse ilma muu õiguspärase õigusliku aluseta, ei tule talle seepärast tema andmete üle kontrolli kaotamise eest siiski rahalist hüvitist maksta, nagu tähendaks see kontrolli kaotamine iseenesest hüvitamisele kuuluva kahju tekitamist.(56) See, kas talle on lisaks kahju tekkinud või mitte, alles selgub (ja see peab olema tõendatud).(57)
2) Andmesubjekti kontroll kontekstis
78. Lõpuks on minu arvates kohane meenutada, et isikuandmete kaitse koos eesmärgiga soodustada isikuandmete vaba liikumist on kuulutatud isikuandmete kaitse üldmääruse eesmärgiks.(58)
79. Kodanike kontrolli tugevdamine nende isikliku teabe üle digikeskkonnas on üks isikuandmete kaitse korra ajakohastamise tunnustatud eesmärke, kuid mitte sõltumatu või eraldi eesmärk.
80. Komisjon seostas isikuandmete kaitse üldmääruse ettepanekule lisatud teatises andmete kõrgetasemelise kaitse usaldusega veebiteenuste vastu, mis võimaldaks kasutada ära digimajanduse potentsiaali ja edendada „seeläbi majanduskasvu ja ELi ettevõtjate konkurentsivõimet“. Liidu õigusnormide ajakohastamine (ja suurem ühtlustamine) tugevdaks „isikuandmete kaitse valdkonna ühtse turu mõõdet“(59).
81. Arvestades andmete (isikuandmete ja isikustamata andmete) ilmselget väärtust Euroopa majanduslikus ja sotsiaalses arengus, ei ole isikuandmete kaitse üldmääruse eesmärk mitte suurendada isiku kontrolli tema andmete üle, andes lihtsalt järgi tema eelistustele, vaid ühitada igaühe õigus isikuandmete kaitsele kolmandate isikute ja ühiskonna huvidega.(60)
82. Rõhutan, et isikuandmete kaitse üldmääruse eesmärk ei ole süstemaatiliselt piirata isikuandmete töötlemist, vaid muuta see rangetel tingimustel õiguspäraseks. Seda eesmärki aitab saavutada eelkõige see, kui suurendatakse andmesubjektide usaldust selle vastu, et töötlemine toimub turvalises keskkonnas,(61) millele see isik aitab ise kaasa. Nii julgustatakse tema vabatahtlikku valmidust lubada oma andmetega tutvuda ja neid kasutada muu hulgas veebis toimuvates kaubandustehingutes.
C. Teine eelotsuse küsimus
83. Eelotsusetaotluse esitanud kohus soovib teada, kas „kahjuhüvitise hindamiseks on peale tõhususe ja võrdväärsuse põhimõtete olemas ka muud liidu õiguse nõuded“.
84. Tegelikult näib, et võrdväärsuse põhimõttel ei ole siin oluline roll: isikuandmete kaitse üldmääruse ühtset korda kohaldatakse selles valdkonnas otse ja selle artikkel 82 reguleerib kogu rikkumisest tingitud mittevaralist kahju, olenemata selle tekkekohast.
85. Tõhususe põhimõtte kohta kehtib sama arutluskäik. Hoopis teine küsimus on, et hüvitisel peab isikuandmete kaitse üldmääruse põhjendusest 146 (andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud) lähtuvalt olema üks või teine sisu.
86. Isikuandmete kaitse üldmääruse artikkel 82 ei kehtesta ühtegi muud tingimust kui selle sätete rikkumine, kui see toob kaasa mis tahes isikule varalise või mittevaralise kahju. Selle kahju eest konkreetselt hüvitise summa arvutamiseks ei ole liikmesriikide kohtutele suuniseid sätestatud.
87. Eespool nimetatud omadusi (täielik ja tõhus) arvestades sõltub hüvitis eelkõige iga hageja esitatud nõudest.
88. Kui nõutaks karistusliku kahjuhüvitise väljamõistmist,(62) piisaks vastusest esimesele eelotsuse küsimusele: seda laadi hüvitist ei ole isikuandmete kaitse üldmääruses ette nähtud. Selles määruses on tsiviilvastutusel „eraõiguslik“ hüvitamisülesanne, samas kui rahatrahvid ja kriminaalkaristused täidavad avalik-õiguslikku hoiatamise ja vajaduse korral karistamise ülesannet.
89. Ei ole välistatud, et mittevaralise kahju eest nõutav hüvitis sisaldab muid komponente peale üksnes rahalise, näiteks rikkumise toimepanemise tunnistamist, mis annaks hagejale teatud moraalse rahulduse. Kuigi Euroopa Kohtu 15. aprilli 2021. aasta kohtuotsus(63) on tehtud valdkonnas, mis ei lange kokku andmekaitsega, võimaldaks see analoogia alusel sellele taotlusele vastata.
90. Õiguskordades, mis seda ette näevad, on võimalik, et tsiviilvastutuse kord näeb ette, et kohtuotsusega kohustatakse tunnistama teatud õigust (sümboolse hüvitise maksmine) või neutraliseerima alusetult saadud eelist (põhjendamatult saadud kasu üleandmine).
91. Esimeste aluseks on õiguse järjepidevuse tagamine ja rakendamine („Rechtsfortsetzungsfunktion“) puhtsümboolse hüvitise kaudu, mis lisandub tuvastamisele, et kostja on käitunud süüliselt ja rikkunud hageja õigusi. Isikuandmete kaitse üldmääruse artiklis 82 ei ole seda ette nähtud ning seda ei leia ka ettevalmistavatest materjalidest, mis ei ole üllatav, sest see ei ole liikmesriikide õigussüsteemides levinud(64) ning tekitab poleemikat nendes, kus see on olemas(65).
92. Isikuandmete kaitse üldmääruse ülesehituse ja selle eesmärkidega ei ole siiski vastuolus see, kui liikmesriigid, kes seda õiguskaitsevahendit tunnistavad, pakuvad seda õigusnormi rikkumise tõttu kannatanud isikutele selle määruse artiklis 79 ette nähtud õiguskaitsevahendite hulgas olukorras, kus kahju täielikult puudub. Seevastu juhul, kui hageja väidab, et talle on tekitatud rahalist kahju, reguleerib olukorda isikuandmete kaitse üldmääruse artikkel 82 ja selle tõendamise raskus ei tohi viia sümboolse hüvitise maksmiseni.(66)
93. Mis puutub juhtudesse, kus õiguse rikkumise tagajärjel mõistetakse välja rahasumma, siis selle eesmärk võib olla rikkumise toimepanija saadud kasust ilma jätta. Väljaspool intellektuaalomandi valdkonda(67) ei ole see eesmärk levinud kahju hüvitamise õiguses, kuna selles peetakse silmas pigem kahju kannatanu kaotust kui õigusrikkuja kasu(68). Isikuandmete kaitse üldmääruse artiklid seda ei sisalda.
94. Esitan selle arutluskäigu selleks, et lihtsustada eelotsusetaotluse esitanud kohtu ülesannet, arvestades tema teise eelotsuse küsimuse ulatust. Olen siiski täielikult teadlik, et sellest ei pruugi palju kasu olla sellise nõude rahuldamiseks või rahuldamata jätmiseks, milles andmesubjekt nõuab mittevaralise kahju eest rangelt rahalist hüvitist.
D. Kolmas eelotsuse küsimus
95. Eelotsusetaotluse esitanud kohus soovib teada, kas isikuandmete kaitse üldmääruses on mittevaralise kahju väljamõistmise tingimuseks „vähemalt arvestatava kaaluga [tagajärg], mis ületab õiguste rikkumisega tekitatud ärritust“.
96. Hüvitamisele kuuluva kahju kriteeriumina võtab eelotsusetaotlus arvesse kahju kannatanu kogetu intensiivsust. Seevastu ei küsi see (vähemalt otseselt), kas kannatanu teatav emotsioon või tunne on isikuandmete kaitse üldmääruse artikli 82 lõike 1 sisu seisukohast oluline või ebaoluline.(69)
97. Seega tekib küsimus, kas liikmesriigid võivad seada mittevaralise kahju hüvitamise tingimuseks, et õigusnormi rikkumise tagajärjed peavad olema teatud suurusjärgus, mistõttu kahjuks loetakse ainult neid, mis ületavad teatud raskusastme künnise. Küsimus ei puuduta seega hüvitamisele kuuluvaid kahjuartikleid(70) ega hüvitise summat, vaid seda, kas on olemas kahju kannatanu reageerimise alampiir, millest allapoole jäävat kahju ei hüvitata.
98. Isikuandmete kaitse üldmääruse artikkel 82 ei anna sellele küsimusele otsest vastust. Minu arvates ei anna seda ka põhjendused 75 ja 85. Mõlemad sisaldavad kahjude näitlikku loetelu, mis lõpeb lahtise klausliga, millest näib, et hüvitatav kahju piirdub „tõsise“ kahjuga.
99. Ma ei usu siiski, et need põhjendused aitavad hajutada eelotsusetaotluse esitanud kohtu kahtlusi:
– esimene neist käsitleb andmetöötluse riskide tuvastamist ja hindamist ning meetmete võtmist nende vältimiseks või leevendamiseks. Selles on näitlikult esitatud igasuguse andmetöötluse soovimatuid tagajärgi ja rõhutatud „eelkõige“ teatud juhtusid, kindlasti seepärast, et need on kõige raskemad;
– teine viitab isikuandmete kaitsega seotud rikkumistele, hoiatades selle tagajärgede eest, mis võivad olla olulised.
100. Isikuandmete kaitse üldmääruse põhjenduse 146 sõnastusest (vastutavad isikud peavad hüvitama „igasuguse kahju“)(71) ei selgu samuti kriteeriume, mis võimaldaksid vastata sellele küsimusele.
101. Selle põhjenduse lisamine isikuandmete kaitse üldmääruse teksti tähendas, et see sisaldab sõnaselgelt mittevaralist kahju, erinevalt direktiivist 95/46, kus sellekohased sätted puudusid.(72) Kuid praegu Euroopa Kohtus tõstatatud küsimust selles konkreetselt ei käsitletud.
102. Isikuandmete kaitse üldmääruse põhjenduses 146 on märgitud, et „[k]ahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke“.
103. Ma ei ole kindel, et sellest oleks olnud andmekaitse kontekstis väga palju kasu, kuna Euroopa Kohus ei olnud selles valdkonnas veel otsust teinud, kui isikuandmete kaitse üldmäärus vastu võeti.(73) Kui oleks tahetud viidata teistes direktiivides või määrustes reguleeritud tsiviilvastutust käsitlevatele kohtuotsustele, oleks analoogiale viitamine olnud teretulnud.
104. Tegelikult ei ole Euroopa Kohus andnud üldist „kahjuhüvitise“ määratlust, mida kohaldataks vahet tegemata igas valdkonnas.(74) Käesoleval juhul (mittevaraline kahju) võib tema kohtupraktikast järeldada:
– kui tõlgendatava õigusnormi eesmärk (või üks eesmärke) on isiku või teatud isikute kategooria kaitse,(75) peab kahjuhüvitise mõiste olema lai;
– kooskõlas selle kriteeriumiga laieneb hüvitamine mittevaralisele kahjule, isegi kui seda ei ole tõlgendatavas õigusnormis nimetatud(76).
105. Kuigi Euroopa Kohtu praktika lubab väita, et liidu õiguses eksisteerib esitatud sõnastuses mittevaralise kahju hüvitamise põhimõte, ei usu ma siiski, et sellest saaks tuletada reeglit, et igasugune mittevaraline kahju selle tõsidusest olenemata on hüvitatav.
106. Euroopa Kohus on tunnistanud Euroopa õigusnormidega kooskõlas olevaks liikmesriigi õigusnormi, milles hüvitise arvutamisel eristatakse õnnetusjuhtumi põhjustatud kehavigastustega seotud mittevaralist kahju õnnetusjuhtumi põhjuste järgi.(77)
107. Ta on samuti hinnanud, mis asjaoludel mittevaraline kahju tekib, vastavalt igas kohtuasjas kohaldatavale õigusnormile(78), kuid ei ole võtnud sõnaselgelt seisukohta (kui ma ei eksi) selle kahju tõsiduse tingimuse kohta(79).
108. Siinkohal olen arvamusel, et kolmandale eelotsuse küsimusele tuleb vastata jaatavalt.
109. Oma seisukoha põhjenduseks meenutan, et isikuandmete kaitse üldmääruse eesmärk ei ole ainult tagada põhiõigus isikuandmete kaitsele(80) ning et selle tagatissüsteem hõlmab erinevat tüüpi mehhanisme(81).
110. Selles kontekstis on asjakohane teha vahet, nagu soovitati Euroopa Kohtule, hüvitamisele kuuluval mittevaralisel kahjul ja teistel seaduslikkuse nõude eiramisest tingitud ebamugavustel, mis vähese tähtsuse tõttu ei anna tingimata õigust hüvitisele.
111. Sellist vahetegemist tajutakse liikmesriikide õiguskordades ühiskonnaelu vältimatu tagajärjena.(82) Euroopa Kohtule ei ole see eristamine võõras, mida ta tunnistab, kui ta viitab raskustele ja ebamugavustele kui kahju eraldi kategooriale valdkondades, milles ta leiab, et need tuleb hüvitada.(83) Miski ei takista selle ülekandmist isikuandmete kaitse üldmäärusele.
112. Lisaks näib mulle, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigus hüvitisele ei ole sobiv vahend õigusrikkumiste vastu isikuandmete töötlemisel, kui see töötlemine tekitab andmesubjektile ainult ebamugavust või ärritust.
113. Igasugune isikuandmete kaitse õigusnormi rikkumine põhjustab üldjuhul andmesubjekti negatiivset reaktsiooni. Hüvitis, mis tuleneb pelgalt pahameelest, et teine isik ei järgi seadust, on kergesti segiaetav hüvitamisega, kui kahju ei ole tekkinud, mille võimaluse ma juba enne tagasi lükkasin.
114. Praktikas ei oleks tõhus arvata hüvitatava mittevaralise kahju hulka lihtsalt ärritust, võttes arvesse, kui ebamugav ja keeruline on kohtuliku kaebuse esitamine hageja jaoks(84) ja kaitse kostja jaoks(85).
115. Asjaolu, et andmete töötlemise eeskirjade rikkumisega seotud nõrkade ja mööduvate tunnete või emotsioonide(86) eest ei ole õigust hüvitist saada, ei jäta andmesubjekti täiesti kaitsetuks. Nagu ma esimese küsimuse käsitlemisel märkisin, pakub isikuandmete kaitse üldmääruse süsteem talle muid õiguskaitsevahendeid.
116. Ma ei kahtle, et piir lihtsalt ärrituse (mida ei saa hüvitada) ja tegeliku mittevaralise kahju (mis seevastu on hüvitatav) vahel on õhuke, ja tean, kui keeruline on neid kahte kategooriat abstraktselt piiritleda ning neid kohtuvaidluses konkreetselt kohaldada. See keeruline töö on liikmesriikide kohtute ülesanne, kes tõenäoliselt ei saa oma otsustes kõrvale kalduda sellest, kuidas ühiskond igal hetkel lubatavat sallivust tajub, kui õigusnormi rikkumise subjektiivsed tagajärjed selles valdkonnas ei ületa minimaalselt vajaliku piirmäära.(87)
V. Ettepanek
117. Esitatut arvestades teen ettepaneku vastata Oberster Gerichtshofile (Austria kõrgeim üldkohus) järgmiselt:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artiklit 82 tuleb tõlgendada nii:
selleks et tunnustada isiku õigust saada nimetatud määruse rikkumise tagajärjel tekitatud kahju eest hüvitist, ei piisa ainult õigusnormi rikkumisest iseenesest, kui sellega ei kaasne varalist või mittevaralist kahju.
Selles ette nähtud mittevaralise kahju hüvitamine ei laiene lihtsalt ärritusele, mida võib kahju kannatanud isik määruse 2016/679 sätete rikkumise tõttu tunda. Liikmesriigi kohtute ülesanne on kindlaks teha, millal võib subjektiivset ebameeldivustunnet selle tunnuste järgi igal üksikjuhul pidada mittevaraliseks kahjuks.