JULKISASIAMIEHEN RATKAISUEHDOTUS
MANUEL CAMPOS SÁNCHEZ-BORDONA
6 päivänä lokakuuta 2022 (1)
Asia C-300/21
UI
vastaan
Österreichische Post AG
(Ennakkoratkaisupyyntö – Oberster Gerichtshof (ylin tuomioistuin, Itävalta))
Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – Tietojen lainvastaisesta käsittelystä aiheutunut henkinen kärsimys – Korvauksen saamista koskevan oikeuden edellytykset – Tietyn vakavuuskynnyksen ylittävät vahingot
1. Asetuksen (EU) 2016/679(2) mukaan henkilöllä, jolle aiheutuu asetuksen säännösten rikkomisesta aineellista tai aineetonta vahinkoa, on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus.
2. Kyseistä oikeutta oli mahdollista vaatia tuomioistuimessa jo aikaisemman lainsäädännön mukaan (direktiivin 95/46/EY(3)23 artikla), mutta tätä mahdollisuutta käytettiin vähän.(4) Ellen erehdy, unionin tuomioistuin ei ole koskaan tulkinnut nimenomaisesti kyseistä artiklaa.
3. Yleisen tietosuoja-asetuksen soveltamisaikana vahingonkorvauskanteiden merkitys on lisääntynyt.(5) Niiden määrän lisääntyminen on havaittavissa jäsenvaltioiden tuomioistuimissa, ja se heijastuu vastaavasti ennakkoratkaisupyynnöissä.(6) Tässä yhteydessä Oberster Gerichtshof (ylin tuomioistuin, Itävalta) pyytää unionin tuomioistuinta täsmentämään joitakin yleisellä tietosuoja-asetuksella käyttöön otetun vahingonkorvausvastuujärjestelmän yleisiä näkökohtia.
I Asiaa koskevat oikeussäännöt. Yleinen tietosuoja-asetus
4. Tämän oikeusriidan kannalta merkityksellisiä ovat erityisesti yleisen tietosuoja-asetuksen johdanto-osan 75, 85 ja 146 perustelukappale.
5. Asetuksen 6 artiklassa (”Käsittelyn lainmukaisuus”) säädetään seuraavaa:
”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
– –”.
6. Asetuksen 79 artiklan (”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”) 1 kohdassa säädetään seuraavaa:
”Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”
7. Asetuksen 82 artiklan (”Vastuu ja oikeus korvauksen saamiseen”) 1 kohdassa säädetään seuraavaa:
”Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.”
II Tosiseikat, pääasia ja ennakkoratkaisukysymykset
8. Postituslistoja julkaiseva yritys Österreichische Post AG on vuodesta 2017 kerännyt tietoja Itävallan väestön poliittisesta suuntautumisesta. Se määritti algoritmin avulla tiettyihin sosiodemografisiin ominaisuuksiin perustuvat niin kutsutut kohderyhmäosoitteet.
9. UI on luonnollinen henkilö, jonka osalta Österreichische Post teki tilastolliseen laskentaan perustuvan päätelmän määrittääkseen, kuuluiko hän useiden poliittisten puolueiden vaalikampanjoinnin mahdollisiin kohderyhmiin. Tämän päätelmän mukaan UI oli vahvasti suuntautunut yhteen näistä puolueista. Näitä tietoja ei siirretty kolmansille.
10. UI, joka ei ollut antanut suostumustaan tietojenkäsittelyyn, oli harmissaan poliittista suuntautumista koskevien tietojensa tallentamisesta ja vihainen ja loukkaantunut siitä, että Österreichische Post oli luokitellut hänen suuntautuvan erityisesti yhteen puolueeseen.
11. UI on vaatinut 1 000 euron korvausta henkisestä kärsimyksestä (epämiellyttävä tunne). UI väittää, että hänelle luokiteltu poliittinen suuntautuminen on loukkaava ja kiusallinen ja vahingoittaa lisäksi hänen mainettaan. Hän lisää, että Österreichische Postin toiminta on aiheuttanut hänelle suurta harmistumista ja luottamuksen menettämisen sekä tunteen nolatuksi tulemisesta.
12. Ensimmäisenä oikeusasteena asiaa käsitellyt tuomioistuin hylkäsi UI:n vahingonkorvausvaatimuksen.(7)
13. Muutoksenhakutuomioistuin pysytti ensimmäisessä oikeusasteessa annetun tuomion. Se katsoi, että jokainen yleisen tietosuoja-asetuksen rikkominen ei automaattisesti johda aineettomien vahinkojen korvaamiseen, ja totesi lisäksi seuraavaa:
– Koska Itävallan lainsäädäntöä sovelletaan yleistä tietosuoja-asetusta täydentävänä lainsäädäntönä, korvauskelpoisia ovat ainoastaan vahingot, jotka ulottuvat pidemmälle kuin kantajan oikeuksien loukkaamisesta aiheutunut harmi tai siitä aiheutuneet tunteet (Gefühlsschaden).
– On noudatettava Itävallan vahingonkorvausoikeuden perusperiaatetta, jonka mukaan pelkkä kiusallisuus ja pelkkä mielipaha eivät johda vahingonkorvausvastuuseen. Toisin sanoen oikeus vahingonkorvaukseen edellyttää, että vahingot, joita väitetään aiheutuneen, ovat tietyssä määrin merkityksellisiä.
14. Muutoksenhakutuomioistuimen tuomiosta on valitettu Oberster Gerichtshofiin, joka on esittänyt unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Edellyttääkö [yleisen tietosuoja-asetuksen] – – 82 artiklassa säädetty oikeus saada vahingonkorvausta sen lisäksi, että kyseisessä asetuksessa olevia säännöksiä on rikottu, myös sitä, että kantajalle on aiheutunut vahinkoa, vai onko kyseisen asetuksen säännösten rikkominen jo sellaisenaan riittävä peruste vahingonkorvauksen myöntämiseksi?
2) Sovelletaanko vahingonkorvauksen määrän määrittämiseen tehokkuus- ja vastaavuusperiaatteiden lisäksi muita unionin oikeuden sääntöjä?
3) Onko unionin oikeuden kanssa yhteensopivaa, että aineettomasta vahingosta myönnettävän vahingonkorvauksen edellytyksenä on, että oikeudenloukkauksella on ainakin jossain määrin merkittävä vaikutus tai seuraus, joka ulottuu pidemmälle kuin oikeudenloukkauksesta aiheutunut harmi?”
III Menettely
15. Ennakkoratkaisupyyntö kirjattiin saapuneeksi unionin tuomioistuimeen 12.5.2021.
16. Kirjallisia huomautuksia ovat esittäneet UI, Österreichische Post, Irlannin, Itävallan ja Tšekin hallitukset sekä Euroopan komissio. Asiassa ei katsottu tarpeelliseksi järjestää istuntoa.
IV Asian tarkastelu
A Alustavat huomautukset
1. Tutkittavaksi ottaminen
17. UI väittää, että ensimmäinen ennakkoratkaisukysymys ei ole merkityksellinen oikeusriidan kannalta, koska hänen vaatimuksensa ei perustunut pelkästään yleisen tietosuoja-asetuksen säännöksen rikkomiseen vaan rikkomisen seurauksiin tai vaikutuksiin.
18. Tutkittavaksi ottamisen edellytysten puuttumista koskeva väite on hylättävä. Vaikka myönnettäisiin, että tietoja käsittelemällä rikottiin yleistä tietosuoja-asetusta aiheuttamatta vahinkoa UI:lle, tällä voisi olla oikeus saada korvausta yleisen tietosuoja-asetuksen 82 artiklan nojalla, jos ennakkoratkaisua pyytäneen tuomioistuimen kysymyksenasettelun mukaisesti todettaisiin, että pelkkä tietojen käsittelyä koskevan oikeussäännön rikkominen synnyttää tällaisen oikeuden.
19. UI:n mukaan unionin tuomioistuin voisi myös katsoa, että toinen kysymys on jätettävä tutkimatta sillä perusteella, että se on sisältönsä osalta hyvin avoin ja unionin oikeudessa asetettujen vaatimusten osalta kohtuuttoman rajoitettu, vaikka mitään yksittäistä vaatimusta ei mainita.
20. Myöskään tämä väite ei voi menestyä, vaikka se on edellistä väitettä perustellumpi. On perusteltua, että tuomioistuin haluaa selvittää, onko sen vastaavuus- ja tehokkuusperiaatteiden noudattamisen lisäksi punnittava muita unionin oikeudessa vahingon arvioimiseksi asetettuja vaatimuksia.
2. Tämän ratkaisuehdotuksen kohteen rajaaminen
21. Yleisen tietosuoja-asetuksen 82 artiklaan sisältyy kuusi kohtaa. Ennakkoratkaisua pyytänyt tuomioistuin ei mainitse mitään yksittäistä kohtaa, mutta vetoaa implisiittisesti ensimmäiseen niistä. Se ei myöskään täsmennä oikeussääntöä, jonka rikkominen johtaisi korvausvelvollisuuteen.
22. Ratkaisuehdotukseni lähtökohdat ovat seuraavat:
– UI:n henkilötietojen käsittely tapahtui tämän antamatta siihen suostumustaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetulla tavalla.
– Jokaisella, jolle on aiheutunut vahinkoa, on oikeus saada korvaus. Käsiteltävässä asiassa UI, joka on tietojen käsittelyn yhteydessä tunnistettu luonnollinen henkilö ja jota käsittely koskee, on niin kutsuttu rekisteröity.(8)
– Yleisessä tietosuoja-asetuksessa säädetään aineellisten ja aineettomien vahinkojen korvaamisesta. UI:n vaatimus rajoittuu viimeksi mainittuihin vahinkoihin, ja se on rahamääräinen.
B Ensimmäinen ennakkoratkaisukysymys
23. Ensimmäisellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, antaako jo pelkkä yleisen tietosuoja-asetuksen säännösten rikkominen oikeuden saada korvausta riippumatta siitä, onko vahinkoa aiheutunut.
24. Ennakkoratkaisua pyytäneen tuomioistuimen toteamuksista ja unionin tuomioistuimelle esitetyistä huomautuksista voidaan päätellä, että kysymys mahdollistaa myös toisenlaisen, hieman monimutkaisemman tulkinnan: kysymys on siitä, aiheutuuko yleisen tietosuoja-asetuksen säännösten rikkomisesta väistämättä vahinko, joka antaa oikeuden saada korvausta ilman, että vastaajalla on mahdollisuus näyttää toteen päinvastaista.
25. Näiden kahden lähestymistavan välillä on tietty (teoreettinen) ero: edellisessä vahinko ei ole edellytys korvauksen saamiselle, jälkimmäisessä sen sijaan on. Käytännössä vaatimus siitä, että kantaja näyttää toteen vahingon, poistuu molemmissa tapauksissa; kantajan ei myöskään tarvitse näyttää toteen rikkomisen ja kyseisen vahingon välistä syy-yhteyttä.(9)
26. Tulkittiinpa ensimmäistä kysymystä kummalla tavalla tahansa, katson, ettei siihen missään tapauksessa ole syytä vastata myöntävästi. Käsittelen kumpaakin tulkintaa erikseen.
1. Onko oikeutta korvaukseen ilman vahinkoa?
27. Väite siitä, että rekisteröidyllä on oikeus saada korvausta, vaikka yleisen tietosuoja-asetuksen rikkomisesta ei aiheudu tälle vahinkoa, tuottaa ilmeisiä vaikeuksia, joista ensimmäinen liittyy kyseisen asetuksen 82 artiklan 1 kohdan sanamuotoon.
28. Kyseisen säännöksen mukaan korvaus(10) myönnetään nimenomaisesti aikaisemmin aiheutuneesta vahingosta. Korvauksen saaminen edellyttää siis yksiselitteisesti sitä, että luonnolliselle henkilölle on aiheutunut vahinkoa yleisen tietosuoja-asetuksen rikkomisen seurauksena.
29. Tulkinta, jossa rikkomisen käsite yhdistetään automaattisesti korvauksen käsitteeseen ilman aiheutunutta vahinkoa, ei siis ole yleisen tietosuoja-asetuksen 82 artiklan sanamuodon mukainen. Se ei myöskään sovi yhteen yleisessä tietosuoja-asetuksessa käyttöön otetun vahingonkorvausvastuun päätavoitteen eli sen kanssa, että rekisteröidyn vaatimukset täytetään juuri ”täydellä ja tosiasiallisella” korvauksella aiheutuneesta vahingosta.(11)
30. Vahingon puuttuessa vahingonkorvauksen tehtävänä ei enää olisi rikkomisesta aiheutuvien epäsuotuisien vaikutusten hyvittäminen, vaan se saisi erilaisen, pikemminkin seuraamusluonteisen tehtävän.
31. On kuitenkin totta, että jäsenvaltion oikeusjärjestyksessä voidaan säätää rangaistusluonteisesta vahingonkorvauksesta.(12) Tällaisella korvauksella tarkoitetaan velvoittamista sellaisen merkittävän summan maksamiseen, joka ylittää pelkän vahingon korvaamisen.
32. Rangaistusluonteisissa vahingonkorvauksissa ei yleensä jätetä huomiotta aikaisemmin aiheutunutta vahinkoa. Tästä lähtökohdasta käsin niiden varallisuusoikeudelliset seuraukset eroavat kuitenkin kyseisen vahingon mukaisen hyvityksen määrästä.
33. Ei ole kuitenkaan mahdotonta, että rangaistusluonteisessa korvauksessa ei oteta huomioon vahinkoa tai että sillä ei katsota olevan merkitystä korvausta vaatineen osapuolen vaatimusten täyttämisen kannalta.
34. Ensimmäiseen ennakkoratkaisukysymykseen vastaaminen edellyttää sen tutkimista, ovatko tämäntyyppiset korvaukset yleisen tietosuoja-asetuksen mukaisia, varsinkin kun ennakkoratkaisupyynnössä sekä asianosaisten ja ennakkoratkaisumenettelyn muiden osapuolten huomautuksissa on viitattu niihin.
2. Rangaistusluonteiset vahingonkorvaukset
a) Sanamuodon mukainen tulkinta
35. Vahingonkorvausvastuun perinteiseen tehtävään voidaan lisätä toinen luonteeltaan rangaistusluonteinen tai varoittava tehtävä, jonka mukaisesti – kuten olen jo kuvaillut – korvauksen määrä ei vastaa aiheutunutta vahinkoa, vaan se ylittää vahingon määrän tai jopa on moninkertainen siihen verrattuna.
36. Kun kyse on unionin oikeussääntöjen rikkomisesta, unionin oikeus ei lähtökohtaisesti ole esteenä näille korvauksille, jos ne voidaan määrätä maksettavaksi jäsenvaltion sisäiseen oikeuteen perustuvan vastaavanlaisen kanteen yhteydessä.(13)
37. Rangaistusluonteisilla vahingonkorvauksilla on ehkäisevä tavoite. Tämä sama tavoite voidaan saavuttaa silloin, kun jäsenvaltioiden on direktiivin rikkomisen vuoksi toteutettava toimenpiteitä, joiden tarkoituksena on tuottaa ”todellinen ennalta ehkäisevä vaikutus”.(14) Tietyissä direktiiveissä säädetään nimenomaisesti, että seuraamuksiksi tarkoitetut korvaukset ovat varoittavia.(15)
38. Muissa säädöksissä lainsäätäjä sitä vastoin toteaa, että direktiivin tarkoituksena ”ei ole säätää rankaisevista korvauksista”(16) tai että jäsenvaltioiden on direktiiviä kansallisen lainsäädännön osaksi saattaessaan vältettävä tämän tyyppisiä korvauksia.(17) Unionin oikeudessa niin sanottujen rangaistusluonteisten korvausten määrääminen välittömästi on poikkeuksellista.(18)
39. Yleisessä tietosuoja-asetuksessa ei kuitenkaan viitata mitenkään siihen, että aineellisia tai aineettomia vahinkoja koskeva korvaus on luonteeltaan seuraamus, tai siihen, että kyseinen luonne otettaisiin huomioon korvauksen määrää laskettaessa, taikka siihen, että tämä korvaus olisi luonteeltaan varoittava (ominaisuus, jonka sitä vastoin katsotaan kuuluvan rikosoikeudellisiin seuraamuksiin ja hallinnollisiin seuraamusmaksuihin).(19) Sanamuodon näkökulmasta kyseisen asetuksen perusteella ei siis voida hyväksyä rangaistusluonteisia vahingonkorvauksia.
b) Säännöksen syntyhistoriaan perustuva tulkinta
40. Yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan edeltäjä oli direktiivin 95/46 23 artiklan 1 kohta. Viimeksi mainittu säännös oli osa järjestelmää, jonka tehokkuus perustui julkisoikeudelliseen ja yksityisoikeudelliseen täytäntöönpanoon,(20) mutta jossa (yksityisoikeudellinen) korvaus ja (julkisoikeudellinen) seuraamus eivät olleet päällekkäisiä.(21) Oikeussääntöjen noudattamisen valvonta kuului ennen kaikkea riippumattomille valvontaviranomaisille.(22)
41. Yleisessä tietosuoja-asetuksessa otetaan uudelleen käyttöön tämä malli, mutta vahvistetaan välineitä sen nykyisellään yksityiskohtaisempien säännösten ja vaikuttavampien toimien tehokkuuden takaamiseksi sen rikkomisen tai rikkomisen vaaran varalta:
– Yhtäältä siinä lisätään valvontaviranomaisten tehtäviä, joihin kuuluvat muun muassa yleisessä tietosuoja-asetuksessa itsessään säädettyjen yhdenmukaistettujen seuraamusten määrääminen.(23) Siinä korostetaan siten oikeussääntöjen julkisoikeudellista täytäntöönpanoa koskevaa osaa.
– Toisaalta siinä säädetään, että yksityiset puolustavat yleisessä tietosuoja-asetuksessa niille annettuja oikeuksia(24) joko panemalla vireille menettelyn valvontaviranomaisessa (77 artikla) tai turvautumalla tuomioistuinmenettelyyn (79 ja 82 artikla). Lisäksi tietyt yhteisöt voivat 80 artiklan nojalla nostaa edustajakanteita,(25) mikä helpottaa yksityisten yleisten etujen suojaamista.(26)
42. Yhtenäistä vahingonkorvausvastuujärjestelmää kehitettiin yleisessä tietosuoja-asetuksessa rajoitetusti. Direktiivissä 95/46 mahdollisesti epäselviksi jääneet näkökohdat, kuten aineettomien vahinkojen sisällyttäminen korvauskelpoisiin vahinkoihin,(27) selvitettiin nopeasti. Neuvotteluissa keskityttiin kyseisen järjestelmän muihin näkökohtiin.(28)
43. En ole löytänyt lainvalmisteluasiakirjoista keskustelua yleisessä tietosuoja-asetuksessa säädetyn vahingonkorvausvastuun mahdollisesta rangaistusluonteisesta tehtävästä. Koska asiasta ei ole keskusteltu, sen ei siis voida päätellä kuuluvan kyseisen asetuksen 82 artiklan soveltamisalaan varsinkaan siksi, että sen sisällyttämisestä muihin unionin oikeuden säädöksiin kyllä keskusteltiin.(29)
44. Näin ollen katson, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen oikeussuojakeinon suunnittelulla ja sääntelyllä pyrittiin vahingonkorvausvastuun tavanomaisten tehtävien hoitamiseen: vahinkojen korvaamiseen (vahinkoa kärsineen osalta) ja toissijaisesti tulevien vahinkojen ehkäisemiseen (vahingon aiheuttajan osalta).
c) Asiayhteyteen perustuva tulkinta
45. Kuten olen todennut, yleisen tietosuoja-asetuksen 82 artikla on osa sellaista oikeussääntöjen tehokkuuden takaamista koskevaa järjestelmää, jossa yksityisoikeudellisella aloitteella täydennetään asetuksen julkisoikeudellista täytäntöönpanoa. Rekisterinpitäjien tai henkilötietojen käsittelijöiden korvausvastuu edistää osaltaan tätä tehokkuutta.
46. Korvausvelvollisuus kannustaa (parhaassa tapauksessa) toimimaan jatkossa huolellisemmin ja sääntöjen mukaisesti sekä välttämään uusia vahinkoja. Näin ollen vaatiessaan korvausta itselleen jokainen henkilö myötävaikuttaa oikeussääntöjen yleiseen tehokkuuteen.
47. Tässä yhteydessä erotetaan toisistaan korvausluonteiset ja rangaistusluonteiset tehtävät:
– Jälkimmäiseen tehtävään käytetään valvontaviranomaisten tai tuomioistuinten määräämiä seuraamusmaksuja (yleisen tietosuoja-asetuksen 83 artiklan 1 ja 9 kohta) ja muita valtioiden yleisen tietosuoja-asetuksen 84 artiklan nojalla määräämiä seuraamuksia.(30)
– Ensiksi mainittuun tehtävään käytetään yksityisen tekemää kantelua (77 artikla) ja tuomioistuinmenettelyjä (79 artikla). Valvontaviranomaisten tehtävänä ei kuitenkaan ole arvioida oikeutta vahingonkorvaukseen.
48. Vastaavasti erotetaan toisistaan korvaamiseen ja seuraamuksen määräämiseen liittyvät tehtävät:
– Kun viranomainen määrää seuraamusmaksun ja vahvistaa sen määrän, sen on otettava huomioon yleisen tietosuoja-asetuksen 83 artiklassa luetellut tekijät, joista ei säädetä vahingonkorvausvastuun alalla ja joita ei lähtökohtaisesti voida soveltaa korvausta laskettaessa.(31)
– Vaikka asianomaisille henkilöille aiheutuneiden vahinkojen suurus on seuraamusmaksun porrastamiseen vaikuttava tekijä,(32) seuraamusmaksun määrää laskettaessa ei ole tarpeen ottaa huomioon sitä korvausta, jonka nämä olisivat voineet saada.(33)
49. Teoreettiselta kannalta tulkinta, jossa vahingonkorvausvastuulle annetaan rangaistusluonteinen tehtävä, vaikka vahinkoa ei ole aiheutunut, saattaa johtaa vahingonkorvausmekanismien päällekkäisyyteen seuraamusmekanismien kanssa.
50. Käytännössä se, että rangaistusluonteisen hyödyn saaminen korvauksen muodossa olisi helppoa, voisi saada rekisteröidyt suosimaan tätä menettelyä yleisen tietosuoja-asetuksen 77 artiklan mukaisen menettelyn sijasta. Kyseisen menettelyn yleistyessä valvontaviranomaiset menettäisivät yleisen edun puolustamisen kannalta kaikkein asianmukaisimpien välineiden kustannuksella välineen (rekisteröidyn kantelu), jonka avulla ne voivat saada tietoonsa yleisen tietosuoja-asetuksen mahdollisia rikkomisia sekä näin ollen tutkia niitä ja määrätä niistä seuraamuksia.
d) Teleologinen tulkinta
51. Yleisellä tietosuoja-asetuksella on kaksi päätavoitetta, jotka on mainittu jo sen otsikossa: a) yhtäältä ”luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä” ja b) toisaalta se, että suojelu on muodoltaan sellaista, että näiden tietojen vapaata liikkuvuutta unionissa ei kielletä eikä rajoiteta.(34)
52. Katson, että näiden tavoitteiden saavuttamiseksi yleisessä tietosuoja-asetuksessa ei edellytetä korvauksen yhdistämistä pelkästään tietojen käsittelyä koskevan oikeussäännön rikkomiseen siten, että vahingonkorvausvastuulle annetaan rangaistusluonteisia tehtäviä.
53. Ensiksi mainitun tavoitteen saavuttamiseksi ei ole tarpeen laajentaa yleisen tietosuoja-asetuksen 82 artiklan soveltamisalaa tulkintateitse siten, että se kattaisi tapaukset, joissa tiettyä oikeussääntöä on rikottu, mutta vahinkoa ei ole aiheutunut. Tämä laajennus voisi sitä vastoin vaikuttaa kielteisesti viimeksi mainittuun tavoitteeseen.
54. Olen jo korostanut, että yleisessä tietosuoja-asetuksessa on useita säännöksiä, joilla taataan sen sääntöjen noudattaminen, joita sovelletaan samanaikaisesti ja jotka täydentävät toisiaan. Jäsenvaltioiden ei tietosuojan takaamiseksi tarvitse (eivätkä ne todellisuudessa voi) valita VIII lukuun sisältyvien mekanismien välillä. Kun kyseessä on rikkominen, josta ei aiheudu vahinkoa, rekisteröidylle on vielä (vähintäänkin) annettava oikeus tehdä kantelu valvontaviranomaiselle yleisen tietosuoja-asetuksen 77 artiklan 1 kohdan mukaisesti.
55. Lisäksi mahdollisuus saada korvausta ilman minkäänlaista vahinkoa kannustaisi todennäköisesti panemaan vireille siviilioikeudellisia riita-asioita, joissa esitetyt vaatimukset eivät välttämättä aina olisi perusteltuja,(35) ja se voisi tältä osin tehdä tietojenkäsittelytoiminnasta vähemmän houkuttelevaa.(36)
3. Oletetaanko vahinkoa aiheutuneen?
56. Joissakin oikeusriidan asianosaisten huomautuksissa kannatetaan ensimmäisen ennakkoratkaisukysymyksen tulkitsemista eri tavalla kuin olen edellä esittänyt. Jos ymmärrän oikein näiden asianosaisten kannan,(37) ne näyttävät puoltavan sitä, että oikeussäännön rikkomisen jälkeen on olemassa vahinkoa koskeva kiistämätön olettama.
57. Asianosaisten mukaan tällainen rikkominen johtaa väistämättä tietojen valvomiskyvyn menettämiseen, joka on itsessään yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla korvattava vahinko.
58. Tämän olettaman perusteella ei teoriassa ole mahdollista jättää huomiotta vahinkoa, joten vahingonkorvausvastuun tavanomaista rakennetta ja yleisen tietosuoja-asetuksen säännöksen sanamuotoa kunnioitetaan. Käytännössä olettaman hyväksymisen vaikutukset kantajan ja vastaajan kannalta olisivat kuitenkin samankaltaisia kuin ne, jotka johtuvat yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen vahingonkorvauksen yhdistämisestä pelkkään oikeussäännön rikkomiseen.
59. Selitän uudestaan tavanomaisten tulkintaperusteiden avulla, miksi tämä tulkinta ei mielestäni ole oikea.
a) Sanamuodon mukainen tulkinta
60. Kun lainsäätäjä on katsonut muilla unionin oikeuden aloilla, että oikeussäännön rikkomisesta seuraa automaattisesti oikeus vahingonkorvaukseen, se ei ole epäröinyt säätää siitä.(38) Näin ei ole yleisessä tietosuoja-asetuksessa, johon sisältyy todistelua koskevia sääntöjä tai sääntöjä, joilla on välittömiä vaikutuksia siihen,(39) mutta ei rikkomisen ja vahingonkorvauksen välistä automaattista liittymää riippumatta siitä, onko se suora vai syntyykö se kumoamattoman olettaman kautta.
61. Yleisen tietosuoja-asetuksen johdanto-osan 75(40) ja 85 perustelukappaleessa(41) olevat viittaukset tietojen valvomiseen (tai valvomiskyvyn menettämiseen) eivät mielestäni kumoa kyseisen liittymän puuttumista. Paitsi että näillä johdanto-osan perustelukappaleilla ei ole normatiivista merkitystä, kummassakaan niistä ei myöskään todeta, että oikeussäännön rikkominen sinänsä johtaisi korvattavaan vahinkoon:
– Johdanto-osan 75 perustelukappaleessa mainitaan yhtenä käsittelyyn liittyvistä mahdollisista riskeistä henkilötietojen valvomisen estäminen.
– Johdanto-osan 85 perustelukappaleessa viitataan valvomiskyvyn menettämiseen yhtenä niistä seurauksista, joita henkilötietojen tietoturvaloukkauksesta voisi aiheutua.(42)
62. Tietojen valvomiskyvyn menettämisen ei väistämättä tarvitse johtaa vahinkoon. Ilmauksella voidaan ymmärtää viitattavan tällaisesta menettämisestä seuraaviin vahinkoihin, mikäli ne toteutuvat.(43)
b) Syntyhistoriaan perustuva tulkinta
63. Yleisen tietosuoja-asetuksen syntyhistorian tarkastelu ei myöskään tue sitä, että kyse olisi vahinko-olettamasta, jota ei mainittu direktiivissä 95/46,(44) eikä sitä tarkastella tutkimissani yleisen tietosuoja-asetuksen antamista edeltävissä komission, Euroopan parlamentin ja neuvoston asiakirjoissa.
c) Asiayhteyteen perustuva tulkinta
64. Yleisen tietosuoja-asetuksen mukaisessa järjestelmässä esitetään seikkoja, joiden perusteella voidaan kiistää, että siinä hyväksyttäisiin kyseessä oleva olettama, kun otetaan vertailukohdaksi rekisteröidyn suostumus.(45) Kyseinen suostumus, jonka avulla rekisteröity valvoo tietojaan, oikeuttaa tietojen käsittelyn samalla tasolla muiden oikeusperustojen kanssa (yleisen tietosuoja-asetuksen 6 artikla).(46)
65. Henkilötietojen lainmukainen käsittely on mahdollista ilman rekisteröidyn lupaa ja näin ollen ilman sitä valvontaa, jota kyseisen luvan myöntäminen tai epääminen merkitsee. Sen merkitys järjestelmässä ei viime kädessä ole ehdoton.
66. Lisäksi yleisessä tietosuoja-asetuksessa säädetään muista mahdollisuuksista harjoittaa tätä valvontaa: näihin kuuluu tietojen poistamista koskeva oikeus, joka velvoittaa rekisterinpitäjän poistamaan kyseessä olevat tiedot ”ilman aiheetonta viivytystä”.(47)
67. Henkilölle, jonka tietoja käsitellään, tämä oikeus toimii tietosuojaa koskevan järjestelmän varoventtiilinä: suoja säilyy (pääperiaatteen mukaan) silloin, kun rekisterinpitäjä ei ole saanut rekisteröidyn suostumusta eikä tietojenkäsittelylle ole olemassa muuta oikeuttamisperustetta; suoja ei myöskään riipu tietojen käsittelystä aiheutuvasta vahingosta.(48)
d) Teleologinen tulkinta
1) Onko yleisen tietosuoja-asetuksen tavoitteena rekisteröidyn oikeus valvoa tietojaan?
68. Automaattinen vastaavuus ilman rekisteröidyn suostumusta tehdyn henkilötietojen käsittelyn ja korvattavan vahingon välillä edellyttää, että kyseinen valvonta, jonka välineenä käytetään suostumusta, on arvo sinänsä.
69. Myönnän, että ensi näkemältä tämä näkemys saa tukea. Kansalaisten oikeus valvoa tietojaan mainitaan komission ehdotuksessa yhtenä uudistuksen pääasiallisista syistä.(49) Yleisen tietosuoja-asetuksen johdanto-osan seitsemännessä perustelukappaleessa todetaan, että ”luonnollisten henkilöiden olisi voitava valvoa omia henkilötietojaan”.
70. On totta, että tätä käsitettä tulkittaessa on noudatettava suurempaa varovaisuutta kuin siitä oikeuskirjallisuudessa käydyissä keskusteluissa. Yleisessä tietosuoja-asetuksessa ei esitetä (enkä ole mistään muualta löytänyt) täsmällistä valvonnan määritelmää.(50) Termillä on ainakin kaksi merkitystä, jotka eivät ole toisensa poissulkevia: kuten ”valta” tai ”määräysvalta”, ja kuten ”seuranta”.
71. Yleisen tietosuoja-asetuksen johdanto-osan seitsemännen perustelukappaleen sanamuoto herättää jossain määrin epävarmuutta, koska se vaihtelee eri kieliversioiden mukaan.(51) Kun otetaan huomioon yleisen tietosuoja-asetuksen sisältö, katson, että siinä annetaan rekisteröidylle valvonta- ja toimintavaltuuksia sellaisten tietoja koskevien toimien osalta, joita muuta tahot toteuttavat, ja näitä valtuuksia käytetään tietojen suojaamisen välineenä (yhdessä muiden välineiden kanssa).
72. Rekisteröity itse edistää tiedoissa esitettyjen tietojen suojaamista ja vastaa siitä yleisessä tietosuoja-asetuksessa säädetyn tason ja yksityiskohtaisten sääntöjen mukaisesti. Yksilön toimintakehys on suppea: se rajoittuu yleisessä tietosuoja-asetuksessa lueteltujen oikeuksien osalta niiden käyttämiseen täsmällisten edellytysten mukaisesti.
73. Rekisteröidyn suostumus valvonnan ylimpänä ilmauksena(52) on vain yksi lainmukaisen käsittelyn oikeusperustoista, mutta sillä ei voida korjata muiden rekisterinpitäjälle ja henkilötietojen käsittelijälle asetettujen velvoitteiden ja edellytysten noudattamatta jättämistä.
74. Mielestäni yleisestä tietosuoja-asetuksesta ei ole helppoa päätellä, että sen tavoitteena olisi antaa rekisteröidylle henkilötietojen valvontaa koskeva oikeus itseisarvoisesti. Ei myöskään sitä, että rekisteröidyn on voitava valvoa näitä tietoja mahdollisimman kattavasti.
75. Tämä toteamus ei ole yllättävä. Yhtäältä ei ole ilmeistä, että valvonta tietojen määräysvaltaa koskevassa merkityksessä kuuluisi henkilötietojen suojaa koskevan perusoikeuden keskeiseen sisältöön.(53) Toisaalta käsitys tästä oikeudesta tietoja koskevana itsemääräämisoikeutena ei suinkaan ole yksimielinen: perusoikeuskirjan 8 artiklassa ei käytetä tällaista ilmaisua.(54)
76. Yleisen tietosuoja-asetuksen lopulliseen tekstiin ei vastaavasti myöskään lisätty johdanto-osan perustelukappaletta, jonka mukaan ”oikeus henkilötietojen suojaan perustuu rekisteröidyn oikeuteen valvoa käsiteltäviä henkilötietojaan”.(55)
77. Edellä esitettyjen kenties liian abstraktien pohdintojen perusteella totean, että kun rekisteröity ei anna suostumusta tietojen käsittelyyn ja kun tietojen käsittely toteutetaan ilman muuta lainmukaista oikeudellista perustaa, hänelle ei tästä syystä pidä maksaa taloudellista korvausta omien tietojensa valvomiskyvyn menettäminen perusteella, ikään kuin tämä menettäminen itsessään johtaisi korvattavaan vahinkoon.(56) Se, onko hän tämän lisäksi kärsinyt vahinkoa, on selvitettävä (ja näytettävä toteen).(57)
2) Rekisteröidyn valvontaoikeus asiayhteydessään
78. Lopuksi on mielestäni aiheellista muistuttaa, että henkilötietojen suoja asetetaan yleisen tietosuoja-asetuksen tavoitteeksi yhdessä tietojen vapaan liikkuvuuden edistämisen kanssa.(58)
79. Yksi henkilötietojen suojaa koskevan järjestelmän uudistamiselle asetetuista päämääristä on vahvistaa kansalaisen oikeutta valvoa henkilötietojaan digitaalisessa toimintaympäristössä, mutta se ei ole itsenäinen tai irrallinen tavoite.
80. Yleistä tietosuoja-asetusta koskevan ehdotuksensa liitteenä olevassa tiedonannossa komissio yhdisti toisiinsa korkeatasoisen tietosuojan ja luottamuksen online-palveluihin, jotta voitaisiin hyödyntää digitaalitalouden kaikki mahdollisuudet ja edistää ”talouskasvua ja EU:n teollisuuden kilpailukykyä”. Unionin lainsäädännön uudistaminen (ja suurempi yhdenmukaistaminen) ”edistää – – tietosuojan sisämarkkinaulottuvuutta”.(59)
81. Koska tietojen (sekä henkilötietojen että muiden tietojen) arvo Euroopan taloudellisen ja sosiaalisen edistyksen kannalta on ilmeinen, yleisen tietosuoja-asetuksen tarkoituksena ei ole vahvistaa yksilön oikeutta valvoa itseään koskevia tietoja pelkästään omien mieltymystensä mukaisesti, vaan sovittaa yhteen jokaisen oikeus henkilötietojen suojaan kolmansien osapuolten ja yhteiskunnan etujen kanssa.(60)
82. Korostan, että yleisen tietosuoja-asetuksen tarkoituksena ei ole rajoittaa järjestelmällisesti henkilötietojen käsittelyä vaan oikeuttaa se tiukoin edellytyksin. Tätä varten on ennen kaikkea parannettava rekisteröidyn luottamusta siihen, että käsittely suoritetaan turvallisessa ympäristössä,(61) johon hän itse myötävaikuttaa. Tällä tavoin kannustetaan hänen halukkuuttaan sallia vapaaehtoisesti pääsy tietoihinsa ja niiden käyttö muun muassa verkkoliiketoiminnan alalla.
C Toinen ennakkoratkaisukysymys
83. Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, ”sovelletaanko vahingonkorvauksen määrän määrittämiseen tehokkuus- ja vastaavuusperiaatteiden lisäksi muita unionin oikeuden sääntöjä”.
84. Tosiasiassa ei vaikuta siltä, että vastaavuusperiaatteella olisi tässä yhteydessä merkitystä: yleisen tietosuoja-asetuksen yhdenmukaistettua sääntelyä sovelletaan suoraan tällä alalla, ja sen 82 artikla koskee kaikkia rikkomisesta aiheutuvia aineettomia vahinkoja, olipa niiden alkuperä mikä tahansa.
85. Sama pohdinta pätee tehokkuusperiaatteeseen. Eri asia on, että yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa esitetyn toteamuksen (rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta) mukaisesti korvauksella on oltava tietty sisältö.
86. Yleisen tietosuoja-asetuksen 82 artiklassa ei aseteta muita vaatimuksia kuin sen sääntöjen rikkominen, kun siitä aiheutuu kenelle tahansa henkilölle aineellisia tai aineettomia vahinkoja. Siinä ei anneta kansallisille tuomioistuimille ohjeita näistä vahingoista maksettavan korvauksen määrän konkreettisesta laskemisesta.
87. Kun otetaan huomioon molemmat edellä mainitut määreet (täysi ja tosiasiallinen), korvaus määräytyy ensisijaisesti kunkin kantajan esittämien vaatimusten mukaan.
88. Vaikka tämä vaatimus perustuisi rangaistusluonteisen vahingonkorvauksen määräämiseen,(62) vastaus ensimmäiseen ennakkoratkaisukysymykseen olisi riittävä: tällaisia korvauksia ei mainita yleisessä tietosuoja-asetuksessa. Kyseisessä asetuksessa vahingonkorvausvastuulle on annettu vahinkojen korvaamiseen liittyvä yksityisoikeudellinen tehtävä, kun taas seuraamusmaksujen ja rikosoikeudellisten seuraamusten julkisoikeudellisena tehtävänä on varoittaa ja tarvittaessa rangaista.
89. Ei ole poissuljettua, että aineettomien vahinkojen perusteella vaadittuun korvaukseen kuuluu muitakin kuin pelkästään rahamääräisiä osatekijöitä, kuten rikkomisen myöntäminen, mikä antaa kantajalle tietynlaisen henkisen tyydytyksen. Vaikka unionin tuomioistuimen 15.4.2021 antama tuomio(63) koski sellaista alaa, joka ei ole yhtäläinen tietosuojan alan kanssa, tämä vaatimus voidaan analogisesti hyväksyä sen perusteella.
90. Oikeusjärjestyksissä, joissa säädetään tästä, on mahdollista, että vahingonkorvausvastuujärjestelmässä määrätään oikeuden puolustamiseen (symbolisen korvauksen maksaminen) tai perusteettomasti saadun edun poistamiseen (perusteettomasti saadun hyödyn luovuttaminen) perustuvia korvauksia.
91. Ensiksi mainittujen korvauksien taustalla on ajatus oikeuden jatkuvuudesta ja toteutumisesta (Rechtsfortsetzungsfunktion) puhtaasti symbolisen korvauksen kautta sekä sen toteamisesta, että vastaaja on toiminut lainvastaisesti ja loukannut kantajan oikeuksia. Yleisen tietosuoja-asetuksen 82 artiklassa ei säädetä symbolisesta korvauksesta, eikä siihen viitata valmisteluasiakirjoissa, mikä on luonnollista, koska se ei ole yhteistä kaikkien jäsenvaltioiden oikeusjärjestelmille(64) ja se on kiistanalainen niissä, joihin se kuuluu.(65)
92. Yleisessä tietosuoja-asetuksessa säädetty järjestelmä ja sen tavoitteet eivät kuitenkaan ole esteenä sille, että jäsenvaltiot, joissa tämä oikeussuojakeino tunnetaan, tarjoavat sen 79 artiklassa tarkoitettujen kanteiden yhteydessä niille, joita oikeussäännön rikkominen koskee, siinä tapauksessa, että mitään vahinkoa ei ole aiheutunut. Kun kantaja sitä vastoin väittää kärsineensä rahallista vahinkoa, tilanteeseen sovelletaan yleisen tietosuoja-asetuksen 82 artiklaa, eikä se, että sen toteen näyttäminen on vaikeaa, saa johtaa symboliseen korvaukseen.(66)
93. Sen, että tuomitaan maksamaan rahamäärä oikeuden loukkaamisen seurauksena, tarkoituksena voi olla se, että oikeudenloukkaukseen syyllistynyt menettää saamansa hyödyn. Muihin kuin immateriaalioikeuksiin(67) liittyvillä aloilla tämä tarkoitus ei ole yleinen vahingonkorvausoikeudessa, jossa keskitytään pikemminkin vahinkoa kärsineen osapuolen menetykseen kuin vahingon aiheuttajan saamaan hyötyyn.(68) Se ei sisälly yleisen tietosuoja-asetuksen artiklaosaan.
94. Näiden pohdintojen tarkoituksena on helpottaa ennakkoratkaisua pyytäneen tuomioistuimen tehtävää, kun otetaan huomioon sen toisen ennakkoratkaisukysymyksen laajuus. Olen kuitenkin tietoinen siitä, että niiden hyöty voi olla vähäinen, kun tarkoituksena on hyväksyä tai hylätä kanne, jossa rekisteröity vaatii aineettomasta vahingosta pelkästään rahallista korvausta.
D Kolmas ennakkoratkaisukysymys
95. Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, asetetaanko yleisessä tietosuoja-asetuksessa aineettomasta vahingosta myönnettävän vahingonkorvauksen edellytykseksi se, että ”oikeudenloukkauksella on ainakin jossain määrin merkittävä vaikutus tai seuraus, joka ulottuu pidemmälle kuin oikeudenloukkauksesta aiheutunut harmi”.
96. Ennakkoratkaisupyynnössä otetaan korvattavuuden perusteena huomioon vahinkoa kärsineen osapuolen kokemuksen voimakkuus. Siinä ei sitä vastoin kysytä (ainakaan suoraan), onko kyseisen osapuolen tietyillä tunteilla tai tuntemuksilla yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan yhteydessä merkitystä niiden sisällön perusteella.(69)
97. Näin ollen herää kysymys siitä, voivatko jäsenvaltiot asettaa aineettoman vahingon korvaamisen edellytykseksi oikeussäännön rikkomisesta aiheutuneiden seurauksien merkityksen siten, että ne ottavat huomioon vain tietyn vakavuuskynnyksen ylittävät seuraukset. Kysymys ei siis koske korvattavia vahinkolajeja(70) eikä korvauksen määrää, vaan sitä, onko vahinkoa kärsineen osapuolen reaktiolle olemassa vähimmäisraja, jonka alittuessa tämä ei saa korvausta.
98. Yleisen tietosuoja-asetuksen 82 artikla ei anna suoraa vastausta kysymykseen. Mielestäni sitä eivät anna myöskään kyseisen asetuksen johdanto-osan 75 ja 85 perustelukappale. Molempiin sisältyy esimerkinomainen vahinkoluettelo, joka päättyy avoimeen lausekkeeseen, jolla näytetään rajaavan korvauskelpoiset vahingot ”merkittäviin” vahinkoihin.
99. Uskoakseni näistä johdanto-osan perustelukappaleista ei kuitenkaan ole hyötyä ennakkoratkaisua pyytäneen tuomioistuimen epäilyksien hälventämisessä:
– Edellinen niistä koskee tietojen käsittelyyn liittyvien riskien määrittämistä ja arviointia sekä toimenpiteiden toteuttamista niiden välttämiseksi tai lievittämiseksi. Siinä havainnollistetaan kaikenlaisen käsittelyn epätoivottavia seurauksia ja korostetaan ”erityisesti” joitakin niistä varmastikin sen vuoksi, että ne ovat luonteeltaan vakavampia.
– Jälkimmäisessä viitataan tietoturvaloukkauksiin ja huomautetaan, että niillä voi olla merkittäviä seurauksia.
100. Yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa olevasta toteamuksesta (rekisterinpitäjän on korvattava ”vahingot”)(71) ei myöskään ole pääteltävissä perusteita tähän kysymykseen vastaamiseksi.
101. Tämän johdanto-osan perustelukappaleen ottaminen yleisen tietosuoja-asetuksen tekstiin ratkaisi sen, että aineettomat vahingot sisällytettiin nimenomaisesti kyseiseen asetukseen eivätkä ne jääneet kokonaan mainitsematta, kuten direktiivissä 95/46.(72) Unionin yleiselle tuomioistuimelle nyt käsiteltävässä asiassa esitettyä kysymystä ei kuitenkaan käsitelty erikseen.
102. Tässä samassa yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa todetaan, että ”vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon”.
103. En ole varma siitä, onko tästä toteamuksesta juurikaan hyötyä tietosuojan yhteydessä, koska unionin tuomioistuin ei ollut vielä lausunut asiasta, kun yleinen tietosuoja-asetus annettiin.(73) Jos tarkoitettiin muissa direktiiveissä tai asetuksissa säädettyä vahingonkorvausvastuuta koskevia tuomioita, olisi ollut suositeltavaa viitata niihin analogisesti.
104. Tosiasiassa unionin tuomioistuin ei ole laatinut yleistä vahingon määritelmää, jota sovellettaisiin erotuksetta millä tahansa alalla.(74) Nyt käsiteltävän asian osalta (aineettomat vahingot) unionin tuomioistuimen oikeuskäytännöstä voidaan päätellä seuraavaa:
– Jos tulkittavan säännöksen tavoitteena (tai yhtenä sen tavoitteista) on yksilön tai tietyn henkilöryhmän(75) suojelu, vahingon käsitteen on oltava laaja.
– Tämän arviointiperusteen mukaisesti korvaus kattaa aineettomat vahingot, vaikka niitä ei mainittaisi tulkitussa säännöksessä.(76)
105. Vaikka unionin tuomioistuimen oikeuskäytännön perusteella onkin mahdollista väittää, että unionin oikeuteen sisältyy tällä tavoin ilmaistuna aineettomien vahinkojen korvaamista koskeva periaate, siitä ei mielestäni sen sijaan voida johtaa sääntöä, jonka mukaan kaikki aineettomat vahingot voidaan korvata niiden vakavuudesta riippumatta.
106. Unionin tuomioistuin on myöntänyt sellaisen kansallisen lainsäädännön yhteensopivuuden unionin lainsäädännön kanssa, jossa korvausta laskettaessa erotellaan terveyteen kohdistuvat henkilövahingot onnettomuuden syyn mukaan.(77)
107. Unionin tuomioistuin on myös arvioinut kussakin asiassa(78) sovellettavan säännöksen mukaisesti, mitkä seikat ovat omiaan aiheuttamaan aineettomia vahinkoja, mutta se ei ole nimenomaisesti lausunut (ellen erehdy) kyseisten vahinkojen vakavuutta koskevasta vaatimuksesta.(79)
108. Tässä vaiheessa katson, että kolmanteen ennakkoratkaisukysymykseen on vastattava myöntävästi.
109. Näkemykseni tueksi muistutan, että yleisen tietosuoja-asetuksen ainoana tavoitteena ei ole henkilötietojen suojaa koskevan perusoikeuden turvaaminen(80) ja että sen suojajärjestelmä sisältää erityyppisiä mekanismeja.(81)
110. Tässä yhteydessä on merkitystä unionin tuomioistuimelle ehdotetulla erottelulla, joka tehdään korvattavien aineettomien vahinkojen ja sellaisten muiden lainvastaisista menettelyistä aiheutuvien haittojen välillä, jotka eivät vähäisen merkityksensä vuoksi välttämättä oikeuta korvaukseen.
111. Tällainen erottelu ymmärretään kansallisissa oikeusjärjestyksissä yhteiskuntaelämän väistämättömänä seurauksena.(82) Unionin tuomioistuin on tietoinen tästä erosta, jonka se myöntää viitatessaan vaikeuksiin ja haittoihin vahinkoihin nähden itsenäisenä ryhmänä aloilla, joilla se katsoo niiden olevan korvattavia.(83) Mikään ei estä soveltamasta sitä yleiseen tietosuoja-asetukseen.
112. Yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetty oikeus korvaukseen ei mielestäni myöskään vaikuta tarkoituksenmukaiselta välineeltä torjua henkilötietojen käsittelyyn liittyviä rikkomuksia, jos ne aiheuttavat rekisteröidylle ainoastaan suuttumusta tai harmia.
113. Yleensä mikä tahansa henkilötietojen suojaa koskevan oikeussäännön rikkominen aiheuttaa rekisteröidyssä jonkin kielteisen reaktion. Korvaus, joka johtuu pelkästä mielipahasta sen vuoksi, että kolmas ei ole noudattanut lakia, on helposti päällekkäinen sellaisen korvauksen kanssa, johon ei liity vahinkoa ja jonka jo edellä hylkäsin.
114. Käytännön näkökulmasta pelkkien harmien sisällyttäminen korvattaviin aineettomiin vahinkoihin ei ole tehokasta, kun otetaan huomioon kanteista kantajalle(84) ja vastineesta vastaajalle tyypillisesti aiheutuvat haitat ja vaikeudet.(85)
115. Korvauksen epääminen rekisteröidyltä sen vuoksi, että tietojenkäsittelyä koskevien sääntöjen rikkomiseen liittyvät tunteet tai tuntemukset ovat vähäisiä tai ohimeneviä,(86) ei merkitse rekisteröidyn täydellistä sivuuttamista. Kuten ensimmäisen kysymyksen päätteeksi totesin, yleisessä tietosuoja-asetuksessa säädetty järjestelmä tarjoaa hänelle muita oikeussuojakeinoja.
116. Mielestäni on selvää, että pelkkien harmien (jotka eivät ole korvattavia) ja varsinaisten aineettomien vahinkojen (jotka ovat korvattavia) välinen raja on hiuksenhieno, ja tiedostan myös, että kumpaakin näistä ryhmistä on vaikea rajata abstraktisti ja soveltaa konkreettisesti oikeusriidassa. Tämä vaikea tehtävä kuuluu jäsenvaltioiden tuomioistuimille, jotka eivät ratkaisuissaan voi todennäköisesti sivuuttaa yhteiskunnassa kulloinkin vallitsevaa käsitystä hyväksyttävästä sietorajasta silloin, kun kyseisen alan oikeussäännön rikkomisesta aiheutuvat subjektiiviset seuraukset eivät ylitä tiettyä vähimmäistasoa.(87)
V Ratkaisuehdotus
117. Edellä esitetyn perusteella ehdotan, että Oberster Gerichtshofin kysymykseen vastataan seuraavasti:
Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/697 (yleinen tietosuoja-asetus) 82 artiklaa on tulkittava seuraavasti:
Kyseisen asetuksen rikkomisesta aiheutuneesta vahingosta saatavaa vahingonkorvausta koskevan oikeuden tunnustamisen kannalta pelkkä oikeussäännön rikkominen ei sellaisenaan ole riittävää, ellei siihen liity vastaavia aineellisia tai aineettomia vahinkoja.
Kyseisessä artiklassa säädetty aineettomien vahinkojen korvaaminen ei ulotu pelkkään harmiin, jota asianomainen henkilö saattaa tuntea asetuksen 2016/679 säännösten rikkomisen vuoksi. Kansallisten tuomioistuinten tehtävänä on ratkaista, milloin henkilökohtaista mielipahan tunnetta voidaan kussakin tapauksessa pitää ominaispiirteidensä vuoksi aineettomana vahinkona.