Language of document : ECLI:EU:C:2022:756

KOHTUJURISTI ETTEPANEK

MANUEL CAMPOS SÁNCHEZ-BORDONA

esitatud 6. oktoobril 2022(1)

Kohtuasi C300/21

UI

versus

Österreichische Post AG

(eelotsusetaotlus, mille on esitanud Oberster Gerichtshof (Austria kõrgeim üldkohus))

Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Ebaseadusliku töötlemisega tekitatud mittevaraline kahju – Hüvitise saamise õiguse tingimused – Teatud raskusastet ületav kahju






1.        Määrus (EL) 2016/679(2) annab igale isikule, kellele on selle sätete rikkumisega tekitatud varalist või mittevaralist kahju, õiguse saada vastutavalt või volitatud andmetöötlejalt hüvitist.

2.        Võimalus sellele õigusele kohtus tugineda oli olemas juba varasemates õigusnormides (direktiivi 95/46/EÜ(3)artikkel 23), kuigi seda kasutati vähe(4). Kui ma ei eksi, ei ole Euroopa Kohus konkreetselt seda artiklit tõlgendanud.

3.        Isikuandmete kaitse üldmääruse kehtivusajal on kahju hüvitamise hagide olulisus kasvanud.(5) See kasv on märgatav liikmesriikide kohtutes ja see kajastub vastavates eelotsusetaotlustes.(6) Sellega seoses palub Oberster Gerichtshof (Austria kõrgeim üldkohus) Euroopa Kohtul piiritleda mõningaid isikuandmete kaitse üldmäärusega kehtestatud tsiviilvastutuskorra ühiseid punkte.

I.      Õiguslik raamistik. Isikuandmete kaitse üldmäärus

4.        Selles vaidluses on asjakohased eelkõige isikuandmete kaitse üldmääruse põhjendused 75, 85 ja 146.

5.        Artiklis 6 („Isikuandmete töötlemise seaduslikkus“) on märgitud:

„1.      Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)      andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

[…]“.

6.        Artikli 79 („Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“) lõikes 1 on ette nähtud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete […] sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

7.        Artikli 82 („Õigus hüvitisele ja vastutus“) lõikes 1 on sätestatud:

„Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“

II.    Faktilised asjaolud, kohtuvaidlus ja eelotsuse küsimused

8.        Aadressiraamatute kirjastaja Österreichische Post AG kogus alates 2017. aastast teavet Austria elanike erakondlike eelistuste kohta. Ta määras algoritmi abil teatavate sotsiaal-demograafiliste tunnuste järgi kindlaks „sihtrühma-aadressid“.

9.        UI on füüsiline isik, kelle suhtes tegi Österreichische Post statistilise arvutuse põhjal ekstrapolatsiooni, et määrata kindlaks tema liigitamine mitme erakonna valimisreklaami võimalikesse sihtrühmadesse. Sellest ekstrapolatsioonist nähtus, et UI eelistas suurel määral ühte neist. Neid andmeid kolmandatele isikutele ei edastatud.

10.      UI-le, kes ei olnud andnud oma isikuandmete töötlemiseks nõusolekut, tekitas andmete säilitamine erakondade eelistamise kohta vastumeelsust ning ta oli häiritud ja solvunud selle eelistuse pärast, mille Österreichische Post oli talle konkreetselt omistanud.

11.      UI nõudis 1000 euro suurust hüvitist mittevaralise kahju eest (sisemine vastumeelsustunne). Ta väidab, et talle määratud poliitiline eelistus on solvav ja häbivääristav ning kahjustab tema head nime. Ta lisab, et Österreichische Posti teguviis on tekitanud temas suurt pahameelt ja usaldusekaotust, samuti alandustunde.

12.      Esimese astme kohus jättis UI kahju hüvitamise nõude rahuldamata.(7)

13.      Apellatsioonikohus jättis esimese astme kohtu otsuse muutmata. Ta otsustas, et isikuandmete kaitse üldmääruse iga rikkumisega ei kaasne automaatselt mittevaralise kahju hüvitamist ja et:

–      kuna Austria õigus on kohaldatav isikuandmete kaitse üldmääruse täiendusena, on hüvitatav ainult kahju, mis on ulatuslikum kui hageja õiguste rikkumisega põhjustatud ärritus või tundeline kahju („Gefühlsschaden“);

–      tuleb järgida Austria õigusnormide aluseks olevat põhimõtet, et kõik peavad lihtsalt ebamugavus- ja ebameeldivustunde ära kannatama ilma kahju hüvitamise tagajärgedeta. Teisisõnu eeldab õigus hüvitist saada väidetava kahju teatavat olulisust.

14.      Apellatsioonikohtu otsuse peale esitati kaebus Oberster Gerichtshofile (Austria kõrgeim üldkohus), kes esitab Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas kahjuhüvitise väljamõistmiseks isikuandmete kaitse üldmääruse […] artikli 82 kohaselt on lisaks isikuandmete kaitse üldmääruse sätete rikkumisele nõutav ka hagejal kahju tekkimine või piisab kahjuhüvitise väljamõistmiseks juba iseenesest üksnes isikuandmete kaitse üldmääruse sätete rikkumisest?

2.      Kas kahjuhüvitise hindamiseks on peale tõhususe ja võrdväärsuse põhimõtete olemas ka muud liidu õiguse nõuded?

3.      Kas liidu õigusega on kooskõlas see, kui mittevaralise kahju väljamõistmise eelduseks on, et õiguste rikkumise järelmõju või tagajärg on vähemalt arvestatava kaaluga, mis ületab õiguste rikkumisega tekitatud ärritust?“

III. Menetlus

15.      Eelotsusetaotlus registreeriti Euroopa Kohtus 12. mail 2021.

16.      Kirjalikud seisukohad esitasid UI, Österreichische Post, Austria, Tšehhi ja Iiri valitsus ning Euroopa Komisjon. Kohtuistungi korraldamist ei peetud vajalikuks.

IV.    Õiguslik analüüs

A.      Sissejuhatus

1.      Vastuvõetavus

17.      UI väidab, et esimene küsimus ei ole menetluses asjakohane, kuna tema nõue ei põhine mitte „lihtsal“ isikuandmete kaitse üldmääruse normi rikkumisel, vaid selle tagajärgedel ja mõjul.

18.      Vastuvõetamatuse vastuväide tuleb tagasi lükata. Isegi kui möönda, et isikuandmete töötlemine rikkus isikuandmete kaitse üldmäärust ilma UI-le kahju tekitamata, võib UI-l olla õigus saada isikuandmete kaitse üldmääruse artikli 82 alusel hüvitist, kui – nagu asja menetlev kohus küsib – kinnitatakse, et juba ainuüksi andmetöötlust käsitleva õigusnormi rikkumine tekitab sellise õiguse.

19.      UI arvates võiks Euroopa Kohus tunnistada ka teise küsimuse vastuvõetamatuks põhjusel, et see on sisult väga lahtine ja liidu õiguse nõuete osas liiga piiratud, neist ühtegi konkreetselt nimetamata.

20.      Ehkki seda vastuväidet on põhjendatud eelmisest rohkem, ei saa ka sellega nõustuda. Liikmesriigi kohtul on õigus küsida, kas tal tuleb lisaks võrdväärsuse ja tõhususe põhimõtete järgimisele hinnata ka muid liidu õigusega kahju hindamiseks kehtestatud tingimusi.

2.      Käesoleva ettepaneku eseme piiritlemine

21.      Isikuandmete kaitse üldmääruse artiklis 82 on kuus lõiget. Eelotsusetaotluse esitanud kohus ei viita ühelegi konkreetselt, kuid viitab kaudselt lõikele 1. Ta ei täpsusta ka õigusnormi, mille rikkumine annaks õiguse saada hüvitist.

22.      Ettepanekus lähtun järgmistest eeldustest:

–      UI isikuandmete töötlemine toimus isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a tähenduses ilma tema nõusolekuta.

–      Õigus hüvitisele on igal isikul, kes on kandnud kahju. Käesolevas asjas on UI kui tuvastatud füüsiline isik, keda andmete töötlemine puudutab, „andmesubjekt“(8).

–      Isikuandmete kaitse üldmääruses on ette nähtud varalise ja mittevaralise kahju hüvitamine. UI nõuab ainult viimati nimetatud kahju hüvitamist ja see on rahaline nõue.

B.      Esimene eelotsuse küsimus

23.      Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse sätete rikkumine iseenesest annab õiguse hüvitistele, olenemata sellest, kas kahju on tekitatud või mitte.

24.      Eelotsusetaotluse esitanud kohtu kinnitustest ja Euroopa Kohtule esitatud seisukohtadest võib järeldada, et küsimust saab tõlgendada ka teisiti, veidi keerulisemalt: tuleks välja selgitada, kas isikuandmete kaitse üldmääruse artiklite rikkumine tekitab tingimata kahju, mis annab õiguse hüvitisele, ilma et kostjal oleks võimalust tõendada vastupidist.

25.      Nende kahe käsitlusviisi vahel on teatav (teoreetiline) erinevus: esimeses ei ole kahju hüvitise saamise eeltingimuseks, teises seevastu küll. Praktikas aga kaob mõlemal juhul nõue, et hageja peab tõendama kahju, samuti ei pea ta tõendama põhjuslikku seost rikkumise ja selle kahju vahel.(9)

26.      Igal juhul ütlen ette ära, et kummalegi esimese eelotsuse küsimuse kahest tõlgendusest ei tuleks minu arvates vastata jaatavalt. Käsitlen neid kahte eraldi.

1.      Hüvitis ilma kahjuta?

27.      Väide, et õigus hüvitisele on olemas isegi siis, kui andmesubjektile ei ole isikuandmete kaitse üldmääruse rikkumisega kahju tekitatud, tekitab vaieldamatult raskusi, alustades selle määruse artikli 82 lõike 1 sõnastusega seostuvast.

28.      Selle artikli kohaselt makstakse hüvitist(10) just seetõttu, et eelnevalt on kantud kahju. Seega on üheselt nõutav, et füüsiline isik on kandnud isikuandmete kaitse üldmääruse rikkumise tulemusel mittevaralist või varalist kahju.

29.      Tõlgendus, mis seostab mõiste „rikkumine“ automaatselt mõistega „hüvitis“, ilma et esineks vahepealset kahju, ei ühti seega isikuandmete kaitse üldmääruse artikli 82 sõnastusega. See ei ole ka kooskõlas isikuandmete kaitse üldmääruses kehtestatud tsiviilvastutuse esmase eesmärgiga, milleks on just nimelt heastada andmesubjektile tekitatud kahju „täieliku ja tõhusa“ hüvitamise kaudu.(11)

30.      Kui kahju ei ole tekkinud, ei täidaks hüvitamine enam rikkumise põhjustatud ebasoodsate tagajärgede hüvitamise ülesannet, vaid teist laadi ülesannet, mis läheneb pigem karistamisele.

31.      On siiski tõsi, et liikmesriigi õiguskorras võib ette näha karistusliku hüvitise maksmise.(12) Sellisena käsitatakse olulise summa väljamõistmist, mis ületab otseselt kahju hüvitamiseks vajalikku summat.

32.      Karistusliku hüvitise puhul võetakse üldjuhul arvesse eelnev kahju. Kahju tekkimine võetakse küll lähtepunktiks, kuid sellele kahjule vastava hüvitise summat vaadeldakse siiski kahju varalistest tagajärgedest täiesti eraldi seisvana.

33.      Ei ole siiski mõeldamatu, et karistusliku hüvitise puhul kahju üldse arvesse ei võeta või seda loetakse hüvitist nõudnud isiku nõude rahuldamiseks asjasse puutumatuks.

34.      Esimesele küsimusele vastamiseks tuleb mul analüüsida, kas isikuandmete kaitse üldmäärus hõlmab karistuslikke hüvitisi, eriti kui nendele on viidatud nii eelotsusetaotluses kui ka poolte ja eelotsusemenetlusse osalenute seisukohtades.

2.      Karistuslik kahjuhüvitis?

a)      Grammatiline tõlgendamine

35.      Tsiviilvastutuse klassikalisele funktsioonile võib lisada veel teise, „karistusliku“ või „eeskuju“ funktsiooni, mille kohaselt – nagu ma juba kirjeldasin – hüvitise summa ei ole võrdne kantud kahjuga, vaid suurendab või isegi mitmekordistab selle summat.

36.      Need hüvitised ei ole liidu õigusega põhimõtteliselt vastuolus selle õigusnormide rikkumise korral, kui neid hüvitisi on samalaadsetes hagides lubatud välja mõista riigisisese õiguse alusel.(13)

37.      Karistuslikul kahjuhüvitisel on hoiatav eesmärk. Sama eesmärk võib olla siis, kui direktiivi rikkumise korral peavad liikmesriigid võtma meetmeid, et tagada „tegelik hoiatav mõju“(14). Mõnes direktiivis on sõnaselgelt ette nähtud, et hüvitised, mis on ette nähtud karistusena, peavad olema hoiatavad.(15)

38.      Seevastu teistes õigusaktides on seadusandja kinnitanud, et direktiivi eesmärk „ei ole kehtestada kahju hüvitamise kohustus karistuseks“(16) või et liikmesriigid peavad seda liiki hüvitamist direktiivi ülevõtmisel vältima(17). Liidu õiguses on „karistusliku kahjuhüvitise“ otsene väljamõistmine erandlik.(18)

39.      Isikuandmete kaitse üldmäärus ei sisalda aga ühtegi viidet sellele, et hüvitis varalise või mittevaralise kahju eest on karistuslikku laadi, või sellele, et hüvitise summa arvutamine peab kajastama seda laadi või et hüvitis peab olema hoiatav (selline omadus on aga küll omistatud kriminaalkaristustele ja trahvidele).(19) Grammatilise tõlgenduse järgi ei võimalda see seega nõustuda karistusliku kahjuhüvitisega.

b)      Tõlgendamine selle artikli taustast lähtuvalt

40.      Isikuandmete kaitse üldmääruse artikli 82 lõikele 1 eelnev õigusnorm on direktiivi 95/46 artikli 23 lõige 1. Viimane oli osa süsteemist, milles usaldati selle tõhus rakendamine avalik- ja eraõiguslikele meetmetele(20), kuid milles ei aetud omavahel segi (eraõiguslikku) hüvitist ja (avalik-õiguslikku) halduskaristust(21). Eeskirjade järgimist valvasid eelkõige sõltumatud järelevalveasutused.(22)

41.      Isikuandmete kaitse üldmäärus võtab selle mudeli üle, kuid tugevdab vahendeid, mis on vajalikud, et tagada nende – nüüd üksikasjalikumate – sätete tõhusus ja nende sätete rikkumise või rikkumise ohu korral ette nähtud – nüüdsest intensiivsemate – reaktsioonide tõhusus:

–      esiteks suurendab see järelevalveasutuste ülesandeid, kelle pädevuses on muu hulgas kehtestada isikuandmete kaitse üldmääruses endas ette nähtud ühtlustatud halduskaristused.(23) See rõhutab seega õigusnormide avalik-õiguslike meetmete komponenti;

–      teiseks on selles ette nähtud, et üksikisikud kaitsevad neile isikuandmete kaitse üldmäärusega antud õigusi(24) järelevalveasutuste tegevuse aktiveerimise teel (artikkel 77) või kohtusse pöördudes (artiklid 79 ja 82). Veel lubab artikkel 80 teatud üksustel kasutada esindushagisid,(25) mis hõlbustab üksikisikute ulatusega üldiste huvide kaitset(26).

42.      Kahju eest ühtse tsiviilvastutuse korra arendamine oli isikuandmete kaitse üldmääruses piiratud. Aspekte, mis võisid direktiivis 95/46 jääda kaheldavaks, nagu see, kas mittevaraline kahju kuulub hüvitatava kahju hulka,(27) selgitati peagi.  Läbirääkimiste keskmes olid selle korra teised aspektid.(28)

43.      Ma ei leidnud õigusakte ettevalmistavates materjalides mingit arutelu isikuandmete kaitse üldmääruses käsitletud tsiviilvastutuse võimaliku karistusliku funktsiooni üle. Seega ei saa sellest järeldada, et see kuuluks artikli 82 kohaldamisalasse, kuna selles küsimuses puudub igasugune arutelu, seda enam, et arutelu oli seevastu selle lisamise üle teistesse liidu õigusaktidesse.(29)

44.      Neil asjaoludel leian, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 sätestatud hagi on välja töötatud ja ette nähtud kasutamiseks tüüpiliste tsiviilvastutuse ülesannete teenistuses: kahju hüvitamine (kahju kannatanud isikule) ja teisejärguliselt tulevase kahju ennetamine (õigusrikkujale).

c)      Kontekstipõhine tõlgendamine

45.      Nagu ma juba märkisin, kuulub isikuandmete kaitse üldmääruse artikkel 82 õigusnormide tõhususe tagatiste süsteemi, milles eraalgatus täiendab selle süsteemi rakendamise avalik-õiguslikku meedet. Hüvitise väljamõistmine vastutavatelt või volitatud andmetöötlejatelt aitab sellele tõhususele kaasa.

46.      Hüvitamiskohustus toimib (ideaalis) stiimulina, mis paneb tulevikus hoolikamalt toimima, järgides eeskirju ja vältides uusi kahjusid. Nii aitab iga isik endale hüvitist nõudes kaasa õigusnormide üldisele tõhususele.

47.      Selle raames on hüvitamis- ja karistamisfunktsioonid lahus:

–      karistavat funktsiooni täidavad rahatrahvid, mida võivad määrata järelevalveasutused või kohtud (isikuandmete kaitse üldmääruse artikli 83 lõiked 1 ja 9), ning muud halduskaristused, mida võivad riigid kehtestada isikuandmete kaitse üldmääruse artikli 84 alusel;(30)

–      hüvitavat funktsiooni teenivad üksikisiku kaebus (artikkel 77) ja kohtumenetlus (artikkel 79). Hüvitise saamise õiguse üle otsustamine ei ole siiski järelevalveasutuste ülesanne.

48.      Samuti seoses hüvitamis- ja karistamisfunktsioonide lahususega:

–      peab ametiasutus trahvi kehtestamisel ja selle summa kindlaksmääramisel arvesse võtma isikuandmete kaitse üldmääruse artiklis 83 loetletud tegureid, mida ei ole tsiviilvastutuse valdkonnas ette nähtud ja mis ei ole põhimõtteliselt hüvitise arvutamisele ülekantavad;(31)

–      kuigi andmesubjektidele tekitatud kahju tase on trahvi astmelisuse tegur,(32) ei tule trahvisumma arvutamisel arvesse võtta hüvitist, mida need subjektid võisid saada(33).

49.      Teoreetiliselt võib tõlgendus, mis annab igasuguse kahju puudumisel tsiviilvastutusele karistusliku funktsiooni, tekitada ohu, et karistamismehhanismidega muudetakse hüvitamismehhanismid üleliigseks.

50.      Praktikas võib hüvitisena „karistusliku“ kasu saamise lihtsustamine ajendada andmesubjekte eelistama seda võimalust isikuandmete kaitse üldmääruse artiklis 77 ette nähtud võimalusele. Kui see muutuks üldiseks, võetaks järelevalveasutustelt ära vahend (andmesubjekti kaebus), millega menetleda ning seega uurida ja karistada isikuandmete kaitse üldmääruse võimalikke rikkumisi, kahjustades seega üldise huvi kaitseks sobivamaid vahendeid.

d)      Teleoloogiline tõlgendamine

51.      Isikuandmete kaitse üldmäärusel on peamiselt kaks eesmärki, mis on välja toodud juba pealkirjas: a) esiteks „füüsiliste isikute kaitse isikuandmete töötlemisel“; b) teiseks, et see kaitse oleks kujundatud nii, et see ei takistaks ega piiraks „nende andmete vaba liikumist“.(34)

52.      Leian, et nende eesmärkide saavutamiseks ei nõua isikuandmete kaitse üldmäärus, et hüvitis seostatakse ainult sellega, et on rikutud nimetatud õigusnormi, mis reguleerib andmete töötlemist, omistades seeläbi tsiviilvastutusele karistamisülesanded.

53.      Mis puutub esimesse eesmärki, siis selle saavutamiseks ei ole vaja laiendada isikuandmete kaitse üldmääruse artikli 82 kohaldamisala tõlgendamise teel nii, et see hõlmaks juhtumeid, kus normi on rikutud, kuid kahju ei ole tekkinud. Seevastu võib sellel laiendamisel olla negatiivne mõju teisele eesmärgile.

54.      Rõhutasin juba, et isikuandmete kaitse üldmääruses on selle eeskirjade järgimise tagamiseks ette nähtud mitu vahendit, mis eksisteerivad koos ja täiendavad üksteist. Liikmesriikidel ei ole andmekaitse tagamiseks vaja (ja nad tegelikult ei saagi) valida VIII peatüki mehhanismide hulgast. Rikkumise puhul, mis kahju ei tekita, on andmesubjektil ikkagi (vähemalt) õigus esitada isikuandmete kaitse üldmääruse artikli 77 lõike 1 alusel kaebus järelevalveasutusele.

55.      Pealegi ergutaks võimalus ilma igasuguse kahjuta hüvitist saada tõenäoliselt tsiviilõiguslikke vaidlusi, kus nõuded ei ole ehk alati põhjendatud,(35) ning võib seetõttu pärssida huvi andmeid töödelda(36).

3.      Kahju eeldamine?

56.      Mõnes vaidluse poolte seisukohtadest on välja pakutud esimese eelotsuse küsimuse tõlgendus, mis erineb sellest, mida ma seni analüüsisin. Kui ma nende seisukohast õigesti aru saan,(37) siis näib, et nad on arvamusel, et kui õigusnormi on rikutud, kehtib vaieldamatu kahju eeldus.

57.      Nad lisavad, et selline rikkumine viib tingimata kontrolli kaotamiseni andmete üle, mis juba iseenesest kujutab endast isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel hüvitatavat kahju.

58.      Teoreetiliselt ei võimalda see eeldus kahju tekitamist tähelepanuta jätta, mistõttu järgitakse tüüpilist tsiviilvastutuse struktuuri ning samuti isikuandmete kaitse üldmääruse sätte sõnastust. Praktikas on sellega nõustumise tagajärjed hagejale ja kostjale siiski sarnased nendega, mis tulenevad sellest, kui isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud hüvitis seostatakse ainuüksi õigusnormi rikkumisega.

59.      Lähtun taas tavapärastest tõlgendamiskriteeriumidest, et selgitada, miks see tõlgendus ei ole minu arvates õige.

a)      Grammatiline tõlgendamine

60.      Kui seadusandja on teistes liidu õiguse valdkondades leidnud, et õigusnormi rikkumisest tuleneb automaatselt õigus hüvitisele, ei ole ta kõhelnud seda sätestamast.(38) Nii ei ole see isikuandmete kaitse üldmääruse puhul, kus on loetletud eeskirjad, mis puudutavad tõendamist või millel on tagajärjed tõendamisele,(39) kuid mitte automaatset seost, olgu siis otsese või ümberlükkamatu eelduse teel.

61.      Mulle näib, et viited kontrollile andmete üle (või selle kontrolli kaotamisele), millest annavad tunnistust isikuandmete kaitse üldmääruse põhjendused 75(40) ja 85(41), ei tasakaalusta seda puudumist. Lisaks asjaolule, et neil põhjendustel puudub normatiivne jõud, ei toeta kumbki neist seda, et õigusnormi rikkumine iseenesest tähendab, et on tekitatud kahju, mille eest saab hüvitist:

–      põhjendus 75 viitab sellele, et kontrollist ilmajäämine isikuandmete üle on üks andmete töötlemise võimalikest ohtudest;

–      põhjendus 85 viitab kontrolli kaotamisele kui ühele tagajärgedest, mis võivad kaasneda isikuandmete turvalisuse kahjustamisega.(42)

62.      Andmete üle kontrolli kaotamine ei pea tingimata tekitama kahju. Seda väljendit võib mõista kui kõnekujundit, et viidata selle kontrolli kaotamisest tingitud kahjule, kui see peaks tekkima.(43)

b)      Tõlgendamine taustast lähtudes

63.      Ka tausta analüüs ei kinnita, et kehtiks selline eeldus, mida ei olnud direktiivis 95/46(44) ja mida ei olnud ette nähtud isikuandmete kaitse üldmääruse vastuvõtmisele eelnenud komisjoni, Euroopa Parlamendi või nõukogu dokumentides, mida ma analüüsisin.

c)      Kontekstipõhine tõlgendamine

64.      Isikuandmete kaitse üldmääruse ülesehitus pakub tõendeid selle välistamiseks, et see sisaldab vaidlusalust eeldust, võttes aluseks andmesubjekti nõusoleku.(45) See nõusolek kui tema andmete kontrollimise vahend muudab andmete töötlemise õiguspäraseks samal tasandil nagu muud õiguslikud alused (isikuandmete kaitse üldmääruse artikkel 6).(46)

65.      Seaduslik isikuandmete töötlemine on mõeldav ka ilma andmesubjekti loata ja järelikult ilma kontrollita, mida kujutab endast niisuguse loa andmine või andmisest keeldumine. Selle kaal süsteemis ei ole lõpuks absoluutne.

66.      Lisaks on isikuandmete kaitse üldmääruses selleks kontrolliks ette nähtud muud võimalused, sealhulgas andmete kustutamise õigus, mis kohustab vastutavat töötlejat vastava teabe „põhjendamatu viivituseta“ kustutama.(47)

67.      Isiku jaoks, kelle andmeid töödeldakse, toimib see õigus kaitsesüsteemi kaitseklapina: see jääb kehtima (põhimõttelise reeglina), kui vastutav töötleja ei ole saanud andmesubjekti nõusolekut, aga ka juhul, kui ei ole muud alust, mis muudaks andmetöötluse õiguspäraseks, ja see ei sõltu sellest, kas töötlemine tekitab kahju.(48)

d)      Teleoloogiline tõlgendamine

1)      Kas andmesubjekti kontroll tema andmete üle on isikuandmete kaitse üldmääruse eesmärk?

68.      Isikuandmete töötlemise, milleks ei ole saadud andmesubjekti nõusolekut, ja hüvitamisele kuuluva kahju automaatne samaväärsus eeldab, et selline kontroll, mille vahendiks on nõusolek, kujutab endast väärtust iseenesest.

69.      Ma möönan, et esmapilgul näib, et nii mõnigi argument toetab seda arvamust. Kodanike kontroll oma andmete üle ilmneb komisjoni ettepanekus kui üks seadusemuudatuse peamisi põhjendusi.(49) Isikuandmete kaitse üldmääruse põhjenduses 7 on märgitud, et „[f]üüsilistel isikutel peaks olema kontroll oma isikuandmete üle“.

70.      On tõsi, et selle mõiste tõlgendamisel tuleb olla ettevaatlik määral, mis läheb kaugemale aruteludest, mida see on õigusteoorias tekitanud. Isikuandmete kaitse üldmääruses ei ole mõiste „kontroll“ täpset määratlust (ja ma ei ole leidnud seda ka kusagilt mujalt).(50) Sellel sõnal on vähemalt kaks tähendust, mis ei ole üksteist välistavad: „võim“ või „ülemvõim“ ja „järelevalve“.

71.      Isikuandmete kaitse üldmääruse põhjenduse 7 sõnastus tekitab teatud ebakindlust, sest see on eri keeleversioonides erinev.(51) Isikuandmete kaitse üldmääruse sisu arvestades leian, et see annab andmesubjektile järelevalve- ja sekkumisõiguse toimingute üle, mida teised tema andmetega teevad, vahendina (koos teistega) nende andmete kaitse teenistuses.

72.      Andmesubjekt aitab ise kaasa andmetes sisalduva teabe kaitsele ja on selle eest vastutav sellisel määral – st tasemel ja viisil –, mis on isikuandmete kaitse üldmääruses ette nähtud. Individuaalhagi ulatus on piiratud: isikuandmete kaitse üldmääruses loetletud õiguste osas piirdub see nende kasutamisega konkreetsetel tingimustel.

73.      Andmesubjekti nõusolek kui maksimaalne kontrolli väljendus(52) on vaid üks seadusliku töötlemise õiguslikest alustest, kuid sellel ei ole võimet heastada seda, et vastutav töötleja ja volitatud töötleja ei täida muid kohustusi ja tingimusi.

74.      Mulle tundub, et isikuandmete kaitse üldmäärusest ei ole lihtne järeldada, et sellega soovitakse anda andmesubjektile isikuandmete üle kontrolli kui väärtust iseenesest. Samuti ei ole sellest lihtne järeldada, et andmesubjektil peaks olema nende andmete üle võimalikult suurem kontroll.

75.      See järeldus ei ole üllatav. Esiteks ei ole ilmne, et kontroll ülemvõimu tähenduses andmete üle on osa põhiõiguse andmekaitsele põhiolemusest.(53) Teiseks ei ole selle õiguse kui informatsioonilise enesemääramise õiguse tõlgendamine kaugeltki üksmeelne: harta artiklis 8 ei ole seda sõnastust kasutatud.(54)

76.      Samamoodi ei võetud isikuandmete kaitse üldmääruse lõppteksti ka ühte põhjendust, mille kohaselt „[õ]igus isikuandmete kaitsele põhineb andmesubjekti õigusel teha kontrolli töödeldavate isikuandmete üle“.(55) [mitteametlik tõlge]

77.      Esitatud arutluskäik, mis on vahest liiga abstraktne, viib mind järeldusele, et kui andmesubjekt ei ole andmete töötlemisega nõus ja seda tehakse ilma muu õiguspärase õigusliku aluseta, ei tule talle seepärast tema andmete üle kontrolli kaotamise eest siiski rahalist hüvitist maksta, nagu tähendaks see kontrolli kaotamine iseenesest hüvitamisele kuuluva kahju tekitamist.(56) See, kas talle on lisaks kahju tekkinud või mitte, alles selgub (ja see peab olema tõendatud).(57)

2)      Andmesubjekti kontroll kontekstis

78.      Lõpuks on minu arvates kohane meenutada, et isikuandmete kaitse koos eesmärgiga soodustada isikuandmete vaba liikumist on kuulutatud isikuandmete kaitse üldmääruse eesmärgiks.(58)

79.      Kodanike kontrolli tugevdamine nende isikliku teabe üle digikeskkonnas on üks isikuandmete kaitse korra ajakohastamise tunnustatud eesmärke, kuid mitte sõltumatu või eraldi eesmärk.

80.      Komisjon seostas isikuandmete kaitse üldmääruse ettepanekule lisatud teatises andmete kõrgetasemelise kaitse usaldusega veebiteenuste vastu, mis võimaldaks kasutada ära digimajanduse potentsiaali ja edendada „seeläbi majanduskasvu ja ELi ettevõtjate konkurentsivõimet“. Liidu õigusnormide ajakohastamine (ja suurem ühtlustamine) tugevdaks „isikuandmete kaitse valdkonna ühtse turu mõõdet“(59).

81.      Arvestades andmete (isikuandmete ja isikustamata andmete) ilmselget väärtust Euroopa majanduslikus ja sotsiaalses arengus, ei ole isikuandmete kaitse üldmääruse eesmärk mitte suurendada isiku kontrolli tema andmete üle, andes lihtsalt järgi tema eelistustele, vaid ühitada igaühe õigus isikuandmete kaitsele kolmandate isikute ja ühiskonna huvidega.(60)

82.      Rõhutan, et isikuandmete kaitse üldmääruse eesmärk ei ole süstemaatiliselt piirata isikuandmete töötlemist, vaid muuta see rangetel tingimustel õiguspäraseks. Seda eesmärki aitab saavutada eelkõige see, kui suurendatakse andmesubjektide usaldust selle vastu, et töötlemine toimub turvalises keskkonnas,(61) millele see isik aitab ise kaasa. Nii julgustatakse tema vabatahtlikku valmidust lubada oma andmetega tutvuda ja neid kasutada muu hulgas veebis toimuvates kaubandustehingutes.

C.      Teine eelotsuse küsimus

83.      Eelotsusetaotluse esitanud kohus soovib teada, kas „kahjuhüvitise hindamiseks on peale tõhususe ja võrdväärsuse põhimõtete olemas ka muud liidu õiguse nõuded“.

84.      Tegelikult näib, et võrdväärsuse põhimõttel ei ole siin oluline roll: isikuandmete kaitse üldmääruse ühtset korda kohaldatakse selles valdkonnas otse ja selle artikkel 82 reguleerib kogu rikkumisest tingitud mittevaralist kahju, olenemata selle tekkekohast.

85.      Tõhususe põhimõtte kohta kehtib sama arutluskäik. Hoopis teine küsimus on, et hüvitisel peab isikuandmete kaitse üldmääruse põhjendusest 146 (andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud) lähtuvalt olema üks või teine sisu.

86.      Isikuandmete kaitse üldmääruse artikkel 82 ei kehtesta ühtegi muud tingimust kui selle sätete rikkumine, kui see toob kaasa mis tahes isikule varalise või mittevaralise kahju. Selle kahju eest konkreetselt hüvitise summa arvutamiseks ei ole liikmesriikide kohtutele suuniseid sätestatud.

87.      Eespool nimetatud omadusi (täielik ja tõhus) arvestades sõltub hüvitis eelkõige iga hageja esitatud nõudest.

88.      Kui nõutaks karistusliku kahjuhüvitise väljamõistmist,(62) piisaks vastusest esimesele eelotsuse küsimusele: seda laadi hüvitist ei ole isikuandmete kaitse üldmääruses ette nähtud. Selles määruses on tsiviilvastutusel „eraõiguslik“ hüvitamisülesanne, samas kui rahatrahvid ja kriminaalkaristused täidavad avalik-õiguslikku hoiatamise ja vajaduse korral karistamise ülesannet.

89.      Ei ole välistatud, et mittevaralise kahju eest nõutav hüvitis sisaldab muid komponente peale üksnes rahalise, näiteks rikkumise toimepanemise tunnistamist, mis annaks hagejale teatud moraalse rahulduse. Kuigi Euroopa Kohtu 15. aprilli 2021. aasta kohtuotsus(63) on tehtud valdkonnas, mis ei lange kokku andmekaitsega, võimaldaks see analoogia alusel sellele taotlusele vastata.

90.      Õiguskordades, mis seda ette näevad, on võimalik, et tsiviilvastutuse kord näeb ette, et kohtuotsusega kohustatakse tunnistama teatud õigust (sümboolse hüvitise maksmine) või neutraliseerima alusetult saadud eelist (põhjendamatult saadud kasu üleandmine).

91.      Esimeste aluseks on õiguse järjepidevuse tagamine ja rakendamine („Rechtsfortsetzungsfunktion“) puhtsümboolse hüvitise kaudu, mis lisandub tuvastamisele, et kostja on käitunud süüliselt ja rikkunud hageja õigusi. Isikuandmete kaitse üldmääruse artiklis 82 ei ole seda ette nähtud ning seda ei leia ka ettevalmistavatest materjalidest, mis ei ole üllatav, sest see ei ole liikmesriikide õigussüsteemides levinud(64) ning tekitab poleemikat nendes, kus see on olemas(65).

92.      Isikuandmete kaitse üldmääruse ülesehituse ja selle eesmärkidega ei ole siiski vastuolus see, kui liikmesriigid, kes seda õiguskaitsevahendit tunnistavad, pakuvad seda õigusnormi rikkumise tõttu kannatanud isikutele selle määruse artiklis 79 ette nähtud õiguskaitsevahendite hulgas olukorras, kus kahju täielikult puudub. Seevastu juhul, kui hageja väidab, et talle on tekitatud rahalist kahju, reguleerib olukorda isikuandmete kaitse üldmääruse artikkel 82 ja selle tõendamise raskus ei tohi viia sümboolse hüvitise maksmiseni.(66)

93.      Mis puutub juhtudesse, kus õiguse rikkumise tagajärjel mõistetakse välja rahasumma, siis selle eesmärk võib olla rikkumise toimepanija saadud kasust ilma jätta. Väljaspool intellektuaalomandi valdkonda(67) ei ole see eesmärk levinud kahju hüvitamise õiguses, kuna selles peetakse silmas pigem kahju kannatanu kaotust kui õigusrikkuja kasu(68). Isikuandmete kaitse üldmääruse artiklid seda ei sisalda.

94.      Esitan selle arutluskäigu selleks, et lihtsustada eelotsusetaotluse esitanud kohtu ülesannet, arvestades tema teise eelotsuse küsimuse ulatust. Olen siiski täielikult teadlik, et sellest ei pruugi palju kasu olla sellise nõude rahuldamiseks või rahuldamata jätmiseks, milles andmesubjekt nõuab mittevaralise kahju eest rangelt rahalist hüvitist.

D.      Kolmas eelotsuse küsimus

95.      Eelotsusetaotluse esitanud kohus soovib teada, kas isikuandmete kaitse üldmääruses on mittevaralise kahju väljamõistmise tingimuseks „vähemalt arvestatava kaaluga [tagajärg], mis ületab õiguste rikkumisega tekitatud ärritust“.

96.      Hüvitamisele kuuluva kahju kriteeriumina võtab eelotsusetaotlus arvesse kahju kannatanu kogetu intensiivsust. Seevastu ei küsi see (vähemalt otseselt), kas kannatanu teatav emotsioon või tunne on isikuandmete kaitse üldmääruse artikli 82 lõike 1 sisu seisukohast oluline või ebaoluline.(69)

97.      Seega tekib küsimus, kas liikmesriigid võivad seada mittevaralise kahju hüvitamise tingimuseks, et õigusnormi rikkumise tagajärjed peavad olema teatud suurusjärgus, mistõttu kahjuks loetakse ainult neid, mis ületavad teatud raskusastme künnise. Küsimus ei puuduta seega hüvitamisele kuuluvaid kahjuartikleid(70) ega hüvitise summat, vaid seda, kas on olemas kahju kannatanu reageerimise alampiir, millest allapoole jäävat kahju ei hüvitata.

98.      Isikuandmete kaitse üldmääruse artikkel 82 ei anna sellele küsimusele otsest vastust. Minu arvates ei anna seda ka põhjendused 75 ja 85. Mõlemad sisaldavad kahjude näitlikku loetelu, mis lõpeb lahtise klausliga, millest näib, et hüvitatav kahju piirdub „tõsise“ kahjuga.

99.      Ma ei usu siiski, et need põhjendused aitavad hajutada eelotsusetaotluse esitanud kohtu kahtlusi:

–      esimene neist käsitleb andmetöötluse riskide tuvastamist ja hindamist ning meetmete võtmist nende vältimiseks või leevendamiseks. Selles on näitlikult esitatud igasuguse andmetöötluse soovimatuid tagajärgi ja rõhutatud „eelkõige“ teatud juhtusid, kindlasti seepärast, et need on kõige raskemad;

–      teine viitab isikuandmete kaitsega seotud rikkumistele, hoiatades selle tagajärgede eest, mis võivad olla olulised.

100. Isikuandmete kaitse üldmääruse põhjenduse 146 sõnastusest (vastutavad isikud peavad hüvitama „igasuguse kahju“)(71) ei selgu samuti kriteeriume, mis võimaldaksid vastata sellele küsimusele.

101. Selle põhjenduse lisamine isikuandmete kaitse üldmääruse teksti tähendas, et see sisaldab sõnaselgelt mittevaralist kahju, erinevalt direktiivist 95/46, kus sellekohased sätted puudusid.(72) Kuid praegu Euroopa Kohtus tõstatatud küsimust selles konkreetselt ei käsitletud.

102. Isikuandmete kaitse üldmääruse põhjenduses 146 on märgitud, et „[k]ahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke“.

103. Ma ei ole kindel, et sellest oleks olnud andmekaitse kontekstis väga palju kasu, kuna Euroopa Kohus ei olnud selles valdkonnas veel otsust teinud, kui isikuandmete kaitse üldmäärus vastu võeti.(73) Kui oleks tahetud viidata teistes direktiivides või määrustes reguleeritud tsiviilvastutust käsitlevatele kohtuotsustele, oleks analoogiale viitamine olnud teretulnud.

104. Tegelikult ei ole Euroopa Kohus andnud üldist „kahjuhüvitise“ määratlust, mida kohaldataks vahet tegemata igas valdkonnas.(74) Käesoleval juhul (mittevaraline kahju) võib tema kohtupraktikast järeldada:

–      kui tõlgendatava õigusnormi eesmärk (või üks eesmärke) on isiku või teatud isikute kategooria kaitse,(75) peab kahjuhüvitise mõiste olema lai;

–      kooskõlas selle kriteeriumiga laieneb hüvitamine mittevaralisele kahjule, isegi kui seda ei ole tõlgendatavas õigusnormis nimetatud(76).

105. Kuigi Euroopa Kohtu praktika lubab väita, et liidu õiguses eksisteerib esitatud sõnastuses mittevaralise kahju hüvitamise põhimõte, ei usu ma siiski, et sellest saaks tuletada reeglit, et igasugune mittevaraline kahju selle tõsidusest olenemata on hüvitatav.

106. Euroopa Kohus on tunnistanud Euroopa õigusnormidega kooskõlas olevaks liikmesriigi õigusnormi, milles hüvitise arvutamisel eristatakse õnnetusjuhtumi põhjustatud kehavigastustega seotud mittevaralist kahju õnnetusjuhtumi põhjuste järgi.(77)

107. Ta on samuti hinnanud, mis asjaoludel mittevaraline kahju tekib, vastavalt igas kohtuasjas kohaldatavale õigusnormile(78), kuid ei ole võtnud sõnaselgelt seisukohta (kui ma ei eksi) selle kahju tõsiduse tingimuse kohta(79).

108. Siinkohal olen arvamusel, et kolmandale eelotsuse küsimusele tuleb vastata jaatavalt.

109. Oma seisukoha põhjenduseks meenutan, et isikuandmete kaitse üldmääruse eesmärk ei ole ainult tagada põhiõigus isikuandmete kaitsele(80) ning et selle tagatissüsteem hõlmab erinevat tüüpi mehhanisme(81).

110. Selles kontekstis on asjakohane teha vahet, nagu soovitati Euroopa Kohtule, hüvitamisele kuuluval mittevaralisel kahjul ja teistel seaduslikkuse nõude eiramisest tingitud ebamugavustel, mis vähese tähtsuse tõttu ei anna tingimata õigust hüvitisele.

111. Sellist vahetegemist tajutakse liikmesriikide õiguskordades ühiskonnaelu vältimatu tagajärjena.(82) Euroopa Kohtule ei ole see eristamine võõras, mida ta tunnistab, kui ta viitab raskustele ja ebamugavustele kui kahju eraldi kategooriale valdkondades, milles ta leiab, et need tuleb hüvitada.(83) Miski ei takista selle ülekandmist isikuandmete kaitse üldmäärusele.

112. Lisaks näib mulle, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud õigus hüvitisele ei ole sobiv vahend õigusrikkumiste vastu isikuandmete töötlemisel, kui see töötlemine tekitab andmesubjektile ainult ebamugavust või ärritust.

113. Igasugune isikuandmete kaitse õigusnormi rikkumine põhjustab üldjuhul andmesubjekti negatiivset reaktsiooni. Hüvitis, mis tuleneb pelgalt pahameelest, et teine isik ei järgi seadust, on kergesti segiaetav hüvitamisega, kui kahju ei ole tekkinud, mille võimaluse ma juba enne tagasi lükkasin.

114. Praktikas ei oleks tõhus arvata hüvitatava mittevaralise kahju hulka lihtsalt ärritust, võttes arvesse, kui ebamugav ja keeruline on kohtuliku kaebuse esitamine hageja jaoks(84) ja kaitse kostja jaoks(85).

115. Asjaolu, et andmete töötlemise eeskirjade rikkumisega seotud nõrkade ja mööduvate tunnete või emotsioonide(86) eest ei ole õigust hüvitist saada, ei jäta andmesubjekti täiesti kaitsetuks. Nagu ma esimese küsimuse käsitlemisel märkisin, pakub isikuandmete kaitse üldmääruse süsteem talle muid õiguskaitsevahendeid.

116. Ma ei kahtle, et piir lihtsalt ärrituse (mida ei saa hüvitada) ja tegeliku mittevaralise kahju (mis seevastu on hüvitatav) vahel on õhuke, ja tean, kui keeruline on neid kahte kategooriat abstraktselt piiritleda ning neid kohtuvaidluses konkreetselt kohaldada. See keeruline töö on liikmesriikide kohtute ülesanne, kes tõenäoliselt ei saa oma otsustes kõrvale kalduda sellest, kuidas ühiskond igal hetkel lubatavat sallivust tajub, kui õigusnormi rikkumise subjektiivsed tagajärjed selles valdkonnas ei ületa minimaalselt vajaliku piirmäära.(87)

V.      Ettepanek

117. Esitatut arvestades teen ettepaneku vastata Oberster Gerichtshofile (Austria kõrgeim üldkohus) järgmiselt:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artiklit 82 tuleb tõlgendada nii:

selleks et tunnustada isiku õigust saada nimetatud määruse rikkumise tagajärjel tekitatud kahju eest hüvitist, ei piisa ainult õigusnormi rikkumisest iseenesest, kui sellega ei kaasne varalist või mittevaralist kahju.

Selles ette nähtud mittevaralise kahju hüvitamine ei laiene lihtsalt ärritusele, mida võib kahju kannatanud isik määruse 2016/679 sätete rikkumise tõttu tunda. Liikmesriigi kohtute ülesanne on kindlaks teha, millal võib subjektiivset ebameeldivustunnet selle tunnuste järgi igal üksikjuhul pidada mittevaraliseks kahjuks.

1      Algkeel: hispaania.

2      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1). Edaspidi „isikuandmete kaitse üldmäärus“.

3      Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).

4      Vastavalt Euroopa Liidu Põhiõiguste Ameti (FRA) aruandele Access to data protection remedies in the EU Member States, Euroopa Liidu Väljaannete Talitus, 2013, punktid 3 ja 4.

5      Selle õiguse tunnustamine õigusaktides on suurel määral liidu kaitsesüsteemi eripära. Isikuandmete kolmandasse riiki edastamist käsitlevate õigusaktide kehtivuse analüüsimisel võetakse konkreetselt arvesse seda, kas selles on ette nähtud samaotstarbelisi sätteid. Vt arvamuse 1/15 punktid 226 ja 227 (ELi ja Kanada vaheline broneeringuinfo leping, 26. juuli 2017 (EU:C:2017:592)) ning 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559) ja 21. juuni 2022. aasta kohtuotsus Ligue des droits humains (C‑817/19, EU:C:2022:491).

6      Käesoleva ettepaneku koostamise ajal on sellel teemal esitatud veel seitse eelotsusetaotlust (kohtuasjad C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22, C‑189/22 ja C‑456/22). Samal ajal paluti Euroopa Parlamendi petitsioonikomisjonil „selgitada isikuandmete kaitse üldmääruse põhjendusi, eelkõige mis puudutab mittevaralist kahju, et vältida seda, et Saksamaa kohtud teevad rohkem ebaõiglaseid kohtuotsuseid“ (petitsioon nr 0386/2021).

7      Seevastu rahuldas kohus tegevuse lõpetamise nõude, see otsus jäeti apellatsiooniastmes muutmata. Österreichische Posti kassatsioonkaebus tegevuse lõpetamise kohustuse peale jäeti rahuldamata.

8      Kasutan seda terminit isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses.

9      Mõnikord ei pea andmesubjekt isegi tõendama, et ta ei ole andnud nõusolekut, sest isikuandmete kaitse üldmääruse artikli 7 lõikes 1 on ette nähtud, et „[k]ui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega“. Küll aga võib hagejalt nõuda selliste asjaolude esitamist, mis võimaldaksid välja arvutada kahju suurust.

10      Terminit „hüvitis“ kasutatakse hispaania- ja portugalikeelses versioonis (vastavalt „indemnización“ ja „indemnização“). Väga väljendusrikas on ka „Schadenersatz“ saksakeelses versioonis. Prantsuse keeles ei kasutata mitte sõna „indemnisation“, vaid „réparation“; inglise keeles „compensation“. Mulle näib, et kõigis nendes keeleversioonides ja teistes analoogsetes versioonides on tulemus sama: kahju on endiselt tsiviilvastutuse tekkimiseks tingimata vajalik element.

11      Isikuandmete kaitse üldmääruse põhjendus 146. Hüvitise eesmärk on taastada õigusliku olukorra tasakaal, mida on õiguse rikkumisega negatiivselt mõjutatud (kahjustatud).

12      Karistuslikud kahjuhüvitised („punitive damages“) on iseloomulikud anglosaksi õigusele. Teised õigussüsteemid kasutavad neid reageerimiseks eriti tahtlikele või raske hooletuse tegudele. Mõnikord seostatakse neid kehavigastuse või isikupuutumatuse kahjustamise tagajärjel tekkinud mittevaralise kahju hindamisega.

13      13. juuli 2006. aasta kohtuotsus Manfredi jt (C‑295/04–C‑298/04, EU:C:2006:461, punkt 92): „Mis puutub karistuslik[e] kahjuhüvitiste väljamõistmisse ja sellise kahju väljamõistmise võimalusse juhul, kui asjakohase ühenduse regulatsioon puudub, siis tuleb iga liikmesriigi sisemise õiguskorraga kehtestada kriteeriumid, mille alusel määrata kindlaks EÜ artikliga 81 keelatud kokkuleppe või tegevusega tekitatud kahju hüvitamise ulatus, järgides samas tõhususe ja samaväärsuse põhimõtteid.“ Originaalis kursiivita.

14      11. oktoobri 2007. aasta kohtuotsus Paquay (C‑460/06, EU:C:2007:601, punkt 44 jj) koostoimes nõukogu 9. veebruari 1976. aasta direktiivi 76/207/EMÜ meeste ja naiste võrdse kohtlemise põhimõtte rakendamise kohta seoses töö saamise, kutseõppe ja edutamisega ning töötingimustega (EÜT 1976, L 39, lk 40; ELT eriväljaanne 05/01, lk 187) artikliga 6.

15      Euroopa Parlamendi ja nõukogu 15. detsembri 2004. aasta direktiivi 2004/109/EÜ läbipaistvuse nõuete ühtlustamise kohta teabele, mis kuulub avaldamisele emitentide kohta, kelle väärtpaberid on lubatud reguleeritud turul kauplemisele, ning millega muudetakse direktiivi 2001/34/EÜ (ELT 2004, L 390, lk 38), artikkel 28 ning Euroopa Parlamendi ja nõukogu 5. juuli 2006. aasta direktiivi 2006/54/EÜ meeste ja naiste võrdsete võimaluste ja võrdse kohtlemise põhimõtte rakendamise kohta tööhõive ja elukutse küsimustes (ELT 2006, L 204, lk 23) artikkel 25.

16      Näiteks Euroopa Parlamendi ja nõukogu 29. aprilli 2004. aasta direktiivi 2004/48/EÜ intellektuaalomandi õiguste jõustamise kohta (ELT 2004, L 157, lk 45; ELT eriväljaanne 17/02, lk 32) põhjendus 26. Sel juhul ei ole karistusmeetme võtmine keelatud, kuid see ei ole kohustuslik: 25. jaanuari 2017. aasta kohtuotsus Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, punkt 28).

17      Euroopa Parlamendi ja nõukogu 26. novembri 2014. aasta direktiivi 2014/104/EL teatavate eeskirjade kohta, millega reguleeritakse liikmesriikide õiguse kohaseid kahju hüvitamise hagisid liikmesriikide ja Euroopa Liidu konkurentsiõiguse rikkumise korral (ELT 2014, L 349, lk 1), artikli 3 lõige 3 ning Euroopa Parlamendi ja nõukogu 25. novembri 2020. aasta direktiivi (EL) 2020/1828, mis käsitleb tarbijate kollektiivsete huvide kaitsmise esindushagisid ja millega tunnistatakse kehtetuks direktiiv 2009/22/EÜ (ELT 2020, L 409, lk 1), põhjendused 10 ja 42, mis hõlmavad andmekaitse valdkonda.

18      Harilikult tuuakse näiteks komisjoni 24. juuli 1995. aasta määruse (EÜ) nr 1768/95 ühenduse sordikaitset käsitleva nõukogu määruse (EÜ) nr 2100/94 artikli 14 lõikes 3 osutatud põllumajandusliku erandi rakenduseeskirjade kohta (EÜT 1995, L 173, lk 14; ELT eriväljaanne 03/18, lk 63) artikli 18 lõige 2: „omanikule edasiste kahjustuste hüvitamise vastutus [hõlmab] vähemalt ühekordset summat, mis arvutatakse, korrutades […] tasumisele kuuluv keskmine summa neljaga […]“.

19      Eespool punkt 47.

20      Kasutan siin termineid „avalik-õiguslik meede“ ja „eraõiguslik meede“ samas tähenduses nagu direktiivis 2014/104.

21      Põhjenduses 55 oli kirjeldatud direktiivi 95/46 III peatüki („Õiguskaitsevahendid, vastutus ja sanktsioonid“) sisu. Direktiivi artiklid 22, 23 ja 24 vastasid igale nendest mõistetest. VI peatükk käsitles järelevalveasutusi.

22      Euroopa Kohus oli kinnitanud nende asutuste keskset rolli süsteemis näiteks oma 9. märtsi 2010. aasta kohtuotsuses komisjon vs. Saksamaa (C‑518/07, EU:C:2010:125, punkt 23). Nendes on viidatud Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 8 lõikele 3 ja ELTL artikli 16 lõikele 2 in fine.

23      Eestil ja Taanil on erikord, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 151.

24      Vaatamata sellele, et isikuandmete kaitse üldmääruses ei ole otseselt nimetatud seda, kui oluline on õigusnormide rakendamine eraõiguslike meetmetega, mis on sarnane direktiivi 2014/104 põhjenduses 3 tehtud viitega.

25      Kollektiivhagide võimalus oli lubatud juba enne isikuandmete kaitse üldmäärust: 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629). Isikuandmete kaitse üldmääruse artikli 80 lõike 1 kohaselt ei saa andmesubjekti kaitsvad üksused tegutseda hüvitise valdkonnas, välja arvatud juhul, kui liikmesriigid näevad seda ette ja kui andmesubjekt annab vajaliku volituse. Olukord võib pärast direktiivi 2020/1828 muutuda.

26      Nagu märgib kohtujurist Richard de la Tour oma ettepanekus kohtuasjas Meta Platforms Ireland (C‑319/20, EU:C:2021:979), võib isikuandmete kaitse üldmääruse artiklis 80 ette nähtud hagi kasutada konkreetsete ja üldiste huvide kaitseks. Selles kohtuasjas oli vaidluse all rikkumise lõpetamise hagi.

27      Eelkõige liikmesriikides, kes ei ole valmis lubama mittevaralise kahju väljamõistmist, kui seaduses puuduvad sellekohased sätted.

28      Nagu kostja pädevus, vastutusest vabastamise alused ja kaasvastutajate vastutuse kord ning kaasvastutavate ja kaasvolitatud töötlejate vastutuse kord. Ühes nõukogu dokumendis on kajastatud Belgia delegatsiooni järgmist küsimust: „whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage“. Komisjoni vastus oli, et kahju on vaja tõendada: vt esimese korra kohta eesistujariigi 16. detsembri 2013. aasta teatis nr 17831/13, märkus 541. Ei ole teada, et see küsimus oleks tekitanud suuremat arutelu.

29      Viitan direktiivide 2004/48 ja 2014/104 vastuvõtmist ettevalmistavatele materjalidele. Tõlgendusel, millega laiendataks isikuandmete kaitse üldmääruse artiklit 82 karistuslikku laadi hüvitistele, oleksid liikmesriikide jaoks olulised tagajärjed, näiteks tuleks neil lahendada küsimus, kes peab olema halduskaristuseks määratud hüvitise vastuvõtja, kuidas seda arvutada, et see vastaks eesmärgile, või kuidas seda suhestada haldustrahvidega ja kriminaalkaristustega, et vältida ülemäärast karistamist.

30      Neid „muid“ kriminaal- või halduskaristusi ei ole ühtlustatud. Sarnaselt rahatrahvidele peavad need olema „tõhusad, proportsionaalsed ja heidutavad“ (artikli 84 lõike 1 lõpp).

31      Ma ei välista, et abstraktselt võivad mõned tegurid olla ülekantavad ka tsiviilvastutuse raames (pean silmas näiteks rikkumise toimepanemist „tahtlikult või hooletusest“ isikuandmete kaitse üldmääruse artikli 83 lõike 2 punkti b tähenduses) või kajastuda hüvitises (näiteks „rikkumisest mõjutatud isikuandmete liigid“ vastavalt sama lõike punktile g). Isegi nendel juhtudel ei toimu iga teguri üleviimine ühest valdkonnast teise automaatselt.

32      Isikuandmete kaitse üldmääruse artikli 83 lõike 2 punkt a.

33      Kas siis arvutamise parameetrina või selle summast mahaarvamiseks.

34      Isikuandmete kaitse üldmääruse artikkel 1 ning põhjendused 6, 9 ja 170. Põhjenduses 9 on meelde tuletatud, et need eesmärgid olid direktiivi 95/46 eesmärgid, ja rõhutatud, et need on endiselt kehtivad. Harilikult rõhutatakse, et direktiivis 95/46 oli isikuandmete vaba liikumise eesmärk kaitse-eesmärgist olulisem, samas kui isikuandmete kaitse üldmääruses on see vastupidi, mis on seletatav sellega, et seda õigust on ametlikult tunnustatud harta artiklis 8, mis tuli üle võtta uutes õigusnormides. Isikuandmete kaitse üldmääruse artiklis 1 on siiski selge, et isikuandmete kaitse tahetakse ühitada isikuandmete vaba liikumisega. See tähendab loomulikult, et püütakse tagada, et kaitsetase oleks kõikides liikmesriikides võrdväärne, vältides õiguslikust killustumisest tingitud takistusi, aga ka et üksikisikud ei tõrguks isikuandmeid töötlemiseks jagamast või andmast, kuna nad võivad olla kindlad, et nende isikuandmed on kaitstud.

35      Iiri valitsus kinnitab oma seisukohtade punktis 53: „(…) very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage“ (kohtujuristi kursiiv). Saksamaal juhib osa õigusteooriast tähelepanu nõuete kuritarvitamise ohule ja vajadusele vältida „datenschutzrechtliche Klageindustrie“ tekkimist: Wybitul, T., Neu, L., Strauch, M., „Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen“, Zeitschrift für Datenschutz, 2018, lk 202 jj, eriti lk 206; Paal, B. P., Kritzer, I., „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, lk 2433 jj.

36      Juhul kui tsiviilvastutuse hagi, mis on algatatud, ilma et oleks kantud kahju, on edukas, ei saa välistada, et sellel on „üleskutse“ või kordaja mõju. Sellega suureneks tõenäosus, et ettevõtjate vastu esitatakse kollektiivhagisid või palju individuaalhagisid (mis võivad olla rohkem või vähem kuritarvitavad) lisaks võimalikele haldus- või kriminaalkaristustele.

37      Pooled on oma seisukohtades sellele üksnes vihjanud, kuid ei seleta seda lahti. Näiteks ei ole täpsemalt märgitud, kas tegemist on absoluutse või ümberlükatava eeldusega. Kuna esimene võimalus on eelotsusetaotluse esitanud kohtu küsimusega paremini kooskõlas, piirdun ma seega selle võimalusega.

38      Vt Euroopa Parlamendi ja nõukogu 11. veebruari 2004. aasta määruse (EÜ) nr 261/2004, millega kehtestatakse ühiseeskirjad reisijatele lennureisist mahajätmise korral ning lendude tühistamise või pikaajalise hilinemise eest antava hüvitise ja abi kohta ning tunnistatakse kehtetuks määrus (EMÜ) nr 295/91 (ELT 2004, L 46, lk 1; ELT eriväljaanne 07/08, lk 10), artikkel 7 ning Euroopa Parlamendi ja nõukogu 24. novembri 2010. aasta määruse (EL) nr 1177/2010, mis käsitleb meritsi ja siseveeteedel reisijate õigusi ning millega muudetakse määrust (EÜ) nr 2006/2004 (ELT 2010, L 334, lk 1), artikkel 19.

39      Kaugemale minemata on see sätestatud isikuandmete kaitse üldmääruse artikli 82 enda lõigetes 3 ja 4.

40      „[K]ui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle“.

41      „Isikuandmetega seotud rikkumine […] võib põhjustada füüsilistele isikutele […] kontrolli kaotami[st] oma isikuandmete üle […]“.

42      Selles põhjenduses loetletud tagajärjed ei ole automaatsed. Isikuandmete kaitse üldmääruse artikli 34 kohaselt peab vastutav töötleja juhtumipõhiselt hindama, kas andmesubjektile on vaja rikkumisest teatada.

43      Andmete üle kontrolli kaotamisega seotud emotsionaalsed tagajärjed, nagu hirm või ärevus selle pärast, mis võib andmetega juhtuda, on tingitud sellest kaotamisest, kuid ei ole sellega identsed.

44      Mõned liikmesriigid kehtestasid kahju tekkimise eelduse andmekaitsele lähedastes sektorites. Näiteks Hispaanias oli 5. mai 1982. aasta konstitutsioonilise seaduse 1/1982 au, era‑ ja perekonnaelu puutumatuse tsiviilkaitse kohta (BOE nr 115, 14.5.1982, lk 12546–12548) artikli 9 lõikes 3 sätestatud, et „[k]ahju teket eeldatakse alati, kui on tuvastatud õigusvastane sekkumine [selle seadusega tagatud õigustesse]“.

45      Meenutan, et selles kohtuasjas on tegevuse õigusvastasus seotud just nimelt sellega, et puudub andmesubjekti nõusolek. Argumendid hüvitise saamise õiguse koha kohta isikuandmete kaitse üldmääruse eeskirjade järgimise tagatiste hulgas kehtivad ka siin.

46      See on siiski vaid üks alustest, selleks et andmete töötlemine oleks seaduslik, ja kõik need, mis on isikuandmete kaitse üldmääruses loetletud, on sama väärtusega. Vt direktiivi artikli 29 alusel asutatud andmekaitse töörühma arvamus 06/2014 vastutava andmetöötleja õigustatud huvide mõiste kohta direktiivi 95/46/EÜ artikli 7 tähenduses, mis võeti vastu 9. aprillil 2014, lk 10. Vastutav töötleja ei tohi aga isikuandmete töötlemise alust pärast töötlemise alustamist muuta: Euroopa andmekaitsenõukogu, suunised 5/2020 nõusoleku kohta määruse (EL) 2016/679 tähenduses, punktid 121–123.

47      Isikuandmete kaitse üldmääruse artikli 17 lõige 1. See ei tähenda, et ei oleks õigust saada hüvitist kahju eest, mida andmete töötlemine kuni nende kustutamiseni võis tekitada.

48      13. mai 2014. aasta kohtuotsus Google Spain ja Google (C‑131/12, EU:C:2014:317, resolutsiooni punkt 4).

49      Ettepanek: Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) (COM(2012) 11 (final)), lk 2 ja ettepaneku teksti põhjendus 6. Vt ka komisjoni teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele „Eraelu puutumatuse kaitse ühendatud maailmas. Euroopa 21. sajandi isikuandmete kaitse raamistik“, punkt 2 (KOM(2012) 9 (lõplik)).

50      Vaikimine selles küsimuses ei ole minu arvates juhuslik. Lisaks kontseptuaalsetele aruteludele isikuandmete omandiõiguse üle on küsimus selles, kas nõustuda, et kontroll oma andmete üle võrdub sellega, et füüsilistel isikutel on nende kohta käiva teabe suhtes omandiõigused (mis ei oleks tõenäoliselt kooskõlas kolmandate isikute ja kogu ühiskonna huvidega). Soovitus tunnistada omandiõigusi isikuandmete suhtes on esitatud Euroopa Majandus- ja Sotsiaalkomitee arvamuse „Ettepanek: Euroopa Parlamendi ja nõukogu määrus Euroopa andmehalduse kohta (andmehaldust käsitlev õigusakt)“, COM(2020) 767 (final) (ELT 2021, C 286, lk 38), punktis 4.18: „[…] komitee [soovitab] tunnustada Euroopa omandiõigusi digitaalsetele andmetele, et võimaldada inimestel (töötajad, tarbijad, ettevõtjad) kontrollida ja hallata oma andmete kasutamist või keelata nende kasutamine“ (kohtujuristi kursiiv). Seevastu eitatakse, et andmed on kaup, vt 53. joonealuse märkuse lõpuosa.

51      Hispaaniakeelses versioonis on märgitud, et „las personas físicas deben tener el control de sus propios datos personales“ (füüsilistel isikutel peaks olema kontroll oma isikuandmete üle) (kohtujuristi kursiiv), ingliskeelses versioonis on märgitud, et „natural persons should have control of their own personal data“ (ja mitte „the control“). Teistes keeltes, nagu portugalikeelne versioon, on kirjutatud, et „as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais“. Isikuandmete kaitse üldmääruse artikli 4 kohaselt hõlmab kontroll isikuandmete üle teavet, mida need esindavad. Kontroll andmete kasutamise üle puudutab pigem nende töötlemist.

52      Praktikas piirdub nõusolek andmeid töödelda kavatseva isiku ettepanekuga nõustumisega või selle tagasilükkamisega.

53      Ma ei välista, et õiguskord areneb selles suunas, et tunnustatakse andmesubjekti omandiõigust. Kahtlen siiski, et sellega kaasneb maksimaalne individuaalne kontroll: andmesubjekti ülemvõimu positsioon isikuandmete suhtes ei pruugi majanduse arengu ja innovatsiooniga hästi kokku sobida; selle kooskõla põhiõiguse mõõtmega oleks vaieldav. Vt Euroopa Parlamendi ja nõukogu 20. mai 2019. aasta direktiivi (EL) 2019/770 digisisu üleandmise ja digiteenuste osutamise lepingute teatavate aspektide kohta (ELT 2019, L 136, lk 1) põhjendus 24: „Täielikult tunnistades, et isikuandmete kaitse on põhiõigus ja seetõttu ei saa isikuandmeid käsitada millegi kaubeldavana […]“. Kohtujuristi kursiiv.

54      Selliseid sõnastusi, nagu on soovitatud artikli 19 jaoks presiidiumi 11. mai 2000. aasta teatises „Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV 1“ – „Toute personne a le droit de décider elle-même de la divulgation et de l’utilisation de ses données personnelles“ –, vastu ei võetud. Samuti ei võetud vastu sama sätte kohta esitatud presiidiumi 4. juuni 2000. aasta teatises „Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00“ esitatud sõnastust: „Toute personne a le droit de décider elle-même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant“. Riigi tasandil on informatsioonilise enesemääramise idee oluline mõnes liikmesriigis, nagu Saksamaal, pärast Bundesverfassungsgerichti (liitvabariigi konstitutsioonikohus) 15. detsembri 1983. aasta kohtuotsust 1 BvR 209/83. Hispaanias vt näiteks Tribunal Constitucionali (konstitutsioonikohus) 30. novembri 2000. aasta kohtuotsus 292/2000 (BOE, 4.1.2001). Ma ei ole kindel, kas see liidus nii on, kuigi selles suunas osutab kohtujurist Szpunari ettepanek kohtuasjas Orange Romania (C‑61/19, EU:C:2020:158, punkt 37) – „ELi andmekaitseõiguse aluspõhimõte hõlmab sellise isiku iseseisvat otsust, kes on võimeline tegema valikud oma andmete kasutamise ja töötlemise kohta“ – just nimelt Saksa õigusteooriale.

55      Raporti projekt ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) (COM(2012) 0011 – C7-0025/2012 – 2012/0011(COD)), PE501.927v04-00, 16. jaanuar 2013, muudatusettepanek 29.

56      Ma ei väida, et õigusnormi rikkumine peaks jääma karistamata: ütlen, et kui kahju ei ole kantud, ei ole hüvitis sobiv vahend.

57      Kui on välistatud, et isikule tema andmete üle kontrolli andmine on iseenesest isikuandmete kaitse üldmääruse eesmärk, ei välista ma, et kontrolli kaotamisest võiks juhinduda mittevaralise kahju tunnustamiseks selles mõttes, et võetakse arvesse sellele kaotamisele järgnevaid reaktsioone.

58      Vt käesoleva ettepaneku punkt 51. Andmete vaba liikumine on ainus eesmärk isikustamata andmete osas: Euroopa Parlamendi ja nõukogu 14. novembri 2018. aasta määruse (EL) 2018/1807, mis käsitleb isikustamata andmete Euroopa Liidus vaba liikumise raamistikku (ELT 2018, L 303, lk 59), artikkel 1.

59      Komisjoni teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele „Eraelu puutumatuse kaitsmine ühendatud maailmas. Euroopa isikuandmete kaitse raamistik 21. sajandil“ (KOM(2012) 9 (lõplik), punkt 1). Punkt 5 tagapool: „mure privaatsuse pärast [on] üks sagedasematest põhjustest, miks inimesed ei osta kaupu ja teenuseid veebist“.

60      Isikuandmete kaitse üldmääruse põhjendus 2: „[…] aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu saavutamisele, majanduslikule ja sotsiaalsele arengule, riikide majanduse tugevdamisele ja lähendamisele siseturul ning füüsiliste isikute heaolule“. Põhjendus 4: „[…] Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas […]“. Samamoodi on 24. septembri 2019. aasta kohtuotsuses Google (territoriaalne ulatus, mis on õigusel linkide eemaldamisele) (C‑507/17, EU:C:2019:772, punkt 60) koos teiste viidetega.

61      See eesmärk on ühine reguleerivale raamistikule, mille eesmärk on tugevdada ühtset andmeturgu. Selle kohta on komisjoni teatise Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele „Euroopa andmestrateegia“ (COM(2020) 66 (final)) lõikes 1 selgitatud: „Ühiskonnas, kus üksikisikud tekitavad üha rohkem andmeid, tuleb andmete kogumisel ja kasutamisel arvestada eelkõige üksikisikute huvidega, kooskõlas Euroopa väärtuste, põhiõiguste ja normidega. Kodanikud usaldavad andmepõhiseid uuendusi ja võtavad need kasutusele ainult juhul, kui nad on veendunud, et ELis järgitakse isikuandmete jagamisel täielikult ELi rangeid andmekaitsenorme.“

62      Näib, et asja menetlevale kohtule teeb muret (eelotsusetaotlus, küsimuste põhjenduste punkt 5), et hüvitis omandab karistusliku mõõtme, kuna isikuandmete kaitse üldmääruses on juba niigi ette nähtud kõrged rahatrahvid, mistõttu ei nõuaks selle tõhusus lisaks ka suuri mittevaralise kahju hüvitisi.

63      Kohtuotsus Braathens Regional Aviation (C‑30/19, EU:C:2021:269, punkt 49): „rahasumma maksmisest [ei piisa] sellise isiku nõuete rahuldamiseks, kes soovib, et talle tekitatud mittevaralise kahju hüvitamiseks tunnustataks eelkõige, et teda on diskrimineeritud, mistõttu sellest vaatenurgast ei ole raha maksmisel rahuldavat hüvitavat mõju“. See kohtuasi puudutas nõukogu 29. juuni 2000. aasta direktiivi 2000/43/EÜ, millega rakendatakse võrdse kohtlemise põhimõte sõltumata isikute rassilisest või etnilisest päritolust (EÜT 2000, L 180, lk 22; ELT eriväljaanne 20/01, lk 23).

64      Vt Magnus, U., „Comparative Report on the Law of Damages“, Unification of Tort Law: Damages, Kluwer Law International, 2001, lk 187, punktid 14 ja 15.

65      Tüüpiliselt common law' süsteemides, eelkõige Ameerika Ühendriikides, kus sümboolse hüvitise nõue näib olevat viimane õiguskaitsevahend põhiseaduslike õiguste kaitseks. Kokkuvõtteks aruteludest selle tarvilikkuse üle selles riigis vt Grealish, M.-B., „A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion“, Fordham L. Rev., 87. kd, lk 733, ja hiljuti USA kõrgeima kohtu 8. märtsi 2021. aasta otsus kohtuasjas Uzuegbunam vs. Preczewski. Ka Ühendkuningriigis ei aktsepteerita sümboolset hüvitist (nominal damages)  üksmeelselt: eeldatakse, et praktikas sõltub sümboolse hüvitise väljamõistmise huvi sellest, et hüvitise saajat loetakse kohtuasja võitjaks kohtukulude väljamõistmisel, mis ei ole enam automaatne alates kohtuotsusest Anglo-Cyprian Trade Agencies Ltd vs. Paphos Wine Industries Ltd [1951] 1 All ER 873.

66      Euroopa Kohus nõudis (sel ajal) EMÜ asutamislepingu artikli 215 raames kahju tõendamist isegi siis, kui hageja nõudis sümboolset hüvitist seetõttu, et kahju oli raske tõendada: 21. mai 1976. aasta kohtuotsus Roquette Frères vs. komisjon (26/74, EU:C:1976:69, punktid 23 ja 24).

67      Intellektuaalomandi kontekstis on kahju hüvitamise kui normi rikkumisele reageerimise eesmärk saavutada selles valdkonnas oma peamine eesmärk kaitsta õiguse majanduslikku terviklikkust. Direktiivi 2004/48 artikli 13 lõike 1 punktis a on nimetatud „rikkuja poolt teenitud mis tahes ebaõigla[st] tulu“ ühe tegurina, mida kohtud peavad kahjuhüvitise kindlaksmääramisel arvesse võtma.

68      Analoogne säte on ette nähtud nõukogu 27. juuli 1994. aasta määruse (EÜ) nr 2100/94 ühenduse sordikaitse kohta (EÜT 1994, L 227, lk 1; ELT eriväljaanne 03/16, lk 390) artikli 94 lõikes 2: „Kerge ettevaatamatuse korral võib selliseid nõudeid vastavalt ettevaatamatuse astmele vähendada, kuid ometi mitte sedavõrd, et nõue on väiksem kui õigusrikkumise sooritanud isiku poolt sellest saadud kasu.“

69      Kuna emotsioonid või tunded on sõnulseletamatud, eriti kui need on seotud riskidega seoses sellega, mis võib andmetega tulevikus juhtuda, ei saa neid pidada kahjuks, sest need ei ole piisavalt konkreetsed või on olemuselt hüpoteetilised.

70      See tähendab chefs de préjudice või heads of damage.

71      Selle põhjenduse kohaselt tuleb andmesubjektidele maksta „täielikku ja tõhusat“ hüvitist. Ma ei arva, et see kinnitus oleks kolmanda eelotsuse küsimuse jaoks asjakohane, sest see ei puuduta hüvitatava kahju liike, vaid hüvitise arvutamist (mis on loogiliselt hilisem etapp, mida ei tohi segi ajada etapiga, kus tehakse kindlaks, milline kahju kuulub hüvitamisele). Isikuandmete kaitse üldmääruse ettevalmistavaid materjale arvestades tagab „täieliku ja tõhusa“ hüvitise rõhutamine, et mitme vastutava töötleja või volitatud töötleja osalemisel ei saa andmesubjekt ainult osalist hüvitist. Seetõttu on isikuandmete kaitse üldmääruse artikli 82 lõikes 4 märgitud, et „vastutav töötleja või volitatud töötleja [võetakse] vastutusele kogu kahju eest, et tagada andmesubjektile tõhus hüvitamine“.

72      Direktiivi 95/46 artikkel 23 ei täpsustanud hüvitatavat kahju, mis tekitas arutelusid, milline kahju on hüvitatav. Isikuandmete kaitse üldmäärusele eelnenud läbirääkimistel keskenduti kahtluste hajutamisele küsimuses, kas direktiiv hõlmab mittevaralist kahju. 49. joonealuses märkuses viidatud komisjoni ettepaneku põhjenduses 118 oli nimetatud igasuguse kahju hüvitamist. Kaasotsustamismenetluse hilisemates etappides nimetati „igasugust majanduslikku või muud laadi kahju“, mis võimaldaks kasutada väljendit „mitterahaline kahju“ ja mis viis lõpuks välja praeguse „mittemateriaalse kahjuni“.

73      Euroopa Kohus ei teinud seda seoses direktiivi 95/46 artikliga 23 ega ole siiani teinud seda ka seoses isikuandmete kaitse üldmääruse artikliga 82. Kui ma ei eksi, siis ei ole Euroopa Kohus seda teinud ka seoses Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), artikliga 56 või kehtetuks tunnistatud raamotsuse artikliga 19.

74      Euroopa Kohus ei ole ka märkinud eelistatavat tõlgendamismeetodit – eraldi või viitega liikmesriikide õiguskorrale –, mis sõltub valdkonnast, mida analüüsitakse. Võrrelda võib 10. mai 2001. aasta kohtuotsust Veedfald (C‑203/99, EU:C:2001:258, punkt 27), mis puudutas defektseid tooteid; 6. mai 2010. aasta kohtuotsust Walz (C‑63/09, EU:C:2010:251, punkt 21), mis puudutas lennuettevõtjate vastutust, või 10. juuni 2021. aasta kohtuotsust Van Ameyde España (C‑923/19, EU:C:2021:475, punkt 37 jj), mis puudutas mootorsõidukite kasutamisest tingitud õnnetustes kohaldatavat tsiviilvastutust. Isikuandmete kaitse üldmääruse läbirääkimistega seotud dokumendid kajastavad liikmesriikide kahtlusi küsimuses, kas (tollase) artikli 77 mõisted „kahju“ ja „hüvitis“ peavad olema autonoomsed või mitte, ning näitavad erinevaid seisukohti. Komisjon oli seisukohal, et see küsimus tuleks jätta Euroopa Kohtu otsustada. Vt Euroopa Liidu Nõukogu, eesistujariigi 16. detsembri 2013. aasta teatis nr 17831/13, 539. joonealune märkus.

75      Näiteks toodete tarbijad või liiklusõnnetuste ohvrid.

76      Vt seoses pakettreisidega 12. märtsi 2002. aasta kohtuotsus Leitner (C‑168/00, EU:C:2002:163); mootorsõiduki kasutamisest tuleneva tsiviilvastutusega 24. oktoobri 2013. aasta kohtuotsus Haasová (C‑22/12, EU:C:2013:692, punktid 47–50); 24. oktoobri 2013. aasta kohtuotsus Drozdovs (C‑277/12, EU:C:2013:685, punkt 40) ja 23. jaanuari 2014. aasta kohtuotsus Petillo (C‑371/12, EU:C:2014:26, punkt 35).

77      23. jaanuari 2014. aasta kohtuotsus Petillo (C‑371/12, EU:C:2014:26), resolutsioon: liidu õigusega ei ole vastuolus „niisugused siseriiklikud õigusnormid, […] mis näevad ette liiklusõnnetustest põhjustatud kergetest kehavigastustest tuleneva mittevaralise kahju hüvitamise erikorra, piirates selle kahju eest ette nähtud hüvitist võrreldes hüvitisega, mida peetakse kohaseks muudel põhjustel kui niisuguste õnnetuste tõttu tekkinud samasuguse kahju puhul“.

78      Näiteks 12. märtsi 2002. aasta kohtuotsus Leitner (C‑168/00, EU:C:2002:163) puhkuse kasutamise võimaluse kaotamise kohta ja 6. mai 2010. aasta kohtuotsus Walz (C‑63/09, EU:C:2010:251) pagasi kaotsimineku kohta pakettreiside valdkonnas.

79      17. märtsi 2016. aasta kohtuotsuses Liffers (C‑99/15, EU:C:2016:173, punkt 17) direktiivi 2004/48 tõlgendamise kohta rõhutati, et mittevaraline kahju on „selle tõendatuse korral“ tegelikult tekitatud kahju üks koostisosa. Loogiliselt tõendamine eeldab, et kahju on tegelik; see omakorda on lähedane, ehkki mitte kokkulangev ideega, et vigastus on tõsine.

80      Punkt 51 eespool.

81      Punkt 45 jj eespool.

82      Hiljuti andmekaitse valdkonnas Itaalias Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 n. 5261, samuti Cass Civ. Ord. Sez 6, nr 17383/2020. Saksamaal muu hulgas AG Diez, 07.11.2018 – 8 C 130/18; LG Karlsruhe, 02.08.2019 – 8 O 26/19, ja AG Frankfurt am Main, 10.07.2020 – 385 C 155/19 (70). Austrias OGH 6 Ob 56/21k.

83      Vt 23. oktoobri 2012. aasta kohtuotsus Nelson jt (C‑581/10 ja C‑629/10, EU:C:2012:657, punkt 51) vahetegemise kohta ühelt poolt „kahjude“ rahvusvahelise õhuveo nõuete ühtlustamise konventsiooni, mis sõlmiti Montréalis 28. mail 1999, artikli 19 tähenduses ja teiselt poolt niisuguste „ebamugavuste“ vahel määruse nr 261/2004 tähenduses, mis on hüvitatavad selle määruse artikli 7 alusel, vastavalt 19. novembri 2009. aasta kohtuotsusele Sturgeon jt (C‑402/07 ja C‑432/07, EU:C:2009:716). Selles sektoris, nagu ka määruses nr 1177/2010 käsitletud reisijateveo puhul meritsi ja siseveeteedel võis seadusandja tunnustada abstraktset kategooriat tänu sellele, et tegur, mis põhjustab raskusi, ja selle sisu on kõigi kannatanute puhul identsed. Arvan, et andmekaitse valdkonnas ei ole see järeldus võimalik.

84      Isikuandmete kaitse üldmääruse artikli 82 kohase õiguse kasutamise paradigmaatiline mehhanism on tavaline kohtumenetlus. Tõhususe põhimõte võib loomulikult kehtestada tingimusi riigisiseste õigusnormide kohaldamisele niisugustes aspektides nagu kohtukulud ja tõendamine. Lihtsalt ebamugavuse hüvitada lubamise raskused ei seisne siiski ainult selles, et nende rahaline väärtus on kohtuasja maksumusega ebaproportsionaalne (lisaks sellele, et õigusemõistmise kulud ei ole ainult poolte kanda). Kuna isikuandmete kaitse üldmääruses sellekohased sätted puuduvad, ei ole minu arvates õigustatud kohustada liikmesriike, et nad töötaksid välja ad-hoc-menetluse.

85      Tuletan meelde, et isikuandmete kaitse üldmääruse artikli 82 lõike 3 kohaselt on vastutav töötleja või volitatud töötleja vastutusest vabastatud üksnes siis, kui ta tõendab, et ei ole kahju põhjustanud sündmuse eest mingil viisil vastutav.

86      Nende kaalutlustega ei anna ma hinnangut, et käesolevas asjas kuulub UI olukord ühte või teise kategooriasse, mille üle otsustab eelotsusetaotluse esitanud kohus.

87      Sama kehtib hüvitise summa kohta.