CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:756

JULKISASIAMIEHEN RATKAISUEHDOTUS

MANUEL CAMPOS SÁNCHEZ-BORDONA

6 päivänä lokakuuta 2022 (1)

Asia C-300/21

vastaan

Österreichische Post AG

(Ennakkoratkaisupyyntö – Oberster Gerichtshof (ylin tuomioistuin, Itävalta))

Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – Tietojen lainvastaisesta käsittelystä aiheutunut henkinen kärsimys – Korvauksen saamista koskevan oikeuden edellytykset – Tietyn vakavuuskynnyksen ylittävät vahingot

1. Asetuksen (EU) 2016/679(2) mukaan henkilöllä, jolle aiheutuu asetuksen säännösten rikkomisesta aineellista tai aineetonta vahinkoa, on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus.

2. Kyseistä oikeutta oli mahdollista vaatia tuomioistuimessa jo aikaisemman lainsäädännön mukaan (direktiivin 95/46/EY(3)23 artikla), mutta tätä mahdollisuutta käytettiin vähän.(4) Ellen erehdy, unionin tuomioistuin ei ole koskaan tulkinnut nimenomaisesti kyseistä artiklaa.

3. Yleisen tietosuoja-asetuksen soveltamisaikana vahingonkorvauskanteiden merkitys on lisääntynyt.(5) Niiden määrän lisääntyminen on havaittavissa jäsenvaltioiden tuomioistuimissa, ja se heijastuu vastaavasti ennakkoratkaisupyynnöissä.(6) Tässä yhteydessä Oberster Gerichtshof (ylin tuomioistuin, Itävalta) pyytää unionin tuomioistuinta täsmentämään joitakin yleisellä tietosuoja-asetuksella käyttöön otetun vahingonkorvausvastuujärjestelmän yleisiä näkökohtia.

I Asiaa koskevat oikeussäännöt. Yleinen tietosuoja-asetus

4. Tämän oikeusriidan kannalta merkityksellisiä ovat erityisesti yleisen tietosuoja-asetuksen johdanto-osan 75, 85 ja 146 perustelukappale.

5. Asetuksen 6 artiklassa (”Käsittelyn lainmukaisuus”) säädetään seuraavaa:

”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

– –”.

6. Asetuksen 79 artiklan (”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”) 1 kohdassa säädetään seuraavaa:

”Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”

7. Asetuksen 82 artiklan (”Vastuu ja oikeus korvauksen saamiseen”) 1 kohdassa säädetään seuraavaa:

”Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.”

II Tosiseikat, pääasia ja ennakkoratkaisukysymykset

8. Postituslistoja julkaiseva yritys Österreichische Post AG on vuodesta 2017 kerännyt tietoja Itävallan väestön poliittisesta suuntautumisesta. Se määritti algoritmin avulla tiettyihin sosiodemografisiin ominaisuuksiin perustuvat niin kutsutut kohderyhmäosoitteet.

9. UI on luonnollinen henkilö, jonka osalta Österreichische Post teki tilastolliseen laskentaan perustuvan päätelmän määrittääkseen, kuuluiko hän useiden poliittisten puolueiden vaalikampanjoinnin mahdollisiin kohderyhmiin. Tämän päätelmän mukaan UI oli vahvasti suuntautunut yhteen näistä puolueista. Näitä tietoja ei siirretty kolmansille.

10. UI, joka ei ollut antanut suostumustaan tietojenkäsittelyyn, oli harmissaan poliittista suuntautumista koskevien tietojensa tallentamisesta ja vihainen ja loukkaantunut siitä, että Österreichische Post oli luokitellut hänen suuntautuvan erityisesti yhteen puolueeseen.

11. UI on vaatinut 1 000 euron korvausta henkisestä kärsimyksestä (epämiellyttävä tunne). UI väittää, että hänelle luokiteltu poliittinen suuntautuminen on loukkaava ja kiusallinen ja vahingoittaa lisäksi hänen mainettaan. Hän lisää, että Österreichische Postin toiminta on aiheuttanut hänelle suurta harmistumista ja luottamuksen menettämisen sekä tunteen nolatuksi tulemisesta.

12. Ensimmäisenä oikeusasteena asiaa käsitellyt tuomioistuin hylkäsi UI:n vahingonkorvausvaatimuksen.(7)

13. Muutoksenhakutuomioistuin pysytti ensimmäisessä oikeusasteessa annetun tuomion. Se katsoi, että jokainen yleisen tietosuoja-asetuksen rikkominen ei automaattisesti johda aineettomien vahinkojen korvaamiseen, ja totesi lisäksi seuraavaa:

– Koska Itävallan lainsäädäntöä sovelletaan yleistä tietosuoja-asetusta täydentävänä lainsäädäntönä, korvauskelpoisia ovat ainoastaan vahingot, jotka ulottuvat pidemmälle kuin kantajan oikeuksien loukkaamisesta aiheutunut harmi tai siitä aiheutuneet tunteet (Gefühlsschaden).

– On noudatettava Itävallan vahingonkorvausoikeuden perusperiaatetta, jonka mukaan pelkkä kiusallisuus ja pelkkä mielipaha eivät johda vahingonkorvausvastuuseen. Toisin sanoen oikeus vahingonkorvaukseen edellyttää, että vahingot, joita väitetään aiheutuneen, ovat tietyssä määrin merkityksellisiä.

14. Muutoksenhakutuomioistuimen tuomiosta on valitettu Oberster Gerichtshofiin, joka on esittänyt unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1) Edellyttääkö [yleisen tietosuoja-asetuksen] – – 82 artiklassa säädetty oikeus saada vahingonkorvausta sen lisäksi, että kyseisessä asetuksessa olevia säännöksiä on rikottu, myös sitä, että kantajalle on aiheutunut vahinkoa, vai onko kyseisen asetuksen säännösten rikkominen jo sellaisenaan riittävä peruste vahingonkorvauksen myöntämiseksi?

2) Sovelletaanko vahingonkorvauksen määrän määrittämiseen tehokkuus- ja vastaavuusperiaatteiden lisäksi muita unionin oikeuden sääntöjä?

3) Onko unionin oikeuden kanssa yhteensopivaa, että aineettomasta vahingosta myönnettävän vahingonkorvauksen edellytyksenä on, että oikeudenloukkauksella on ainakin jossain määrin merkittävä vaikutus tai seuraus, joka ulottuu pidemmälle kuin oikeudenloukkauksesta aiheutunut harmi?”

III Menettely

15. Ennakkoratkaisupyyntö kirjattiin saapuneeksi unionin tuomioistuimeen 12.5.2021.

16. Kirjallisia huomautuksia ovat esittäneet UI, Österreichische Post, Irlannin, Itävallan ja Tšekin hallitukset sekä Euroopan komissio. Asiassa ei katsottu tarpeelliseksi järjestää istuntoa.

IV Asian tarkastelu

A Alustavat huomautukset

1. Tutkittavaksi ottaminen

17. UI väittää, että ensimmäinen ennakkoratkaisukysymys ei ole merkityksellinen oikeusriidan kannalta, koska hänen vaatimuksensa ei perustunut pelkästään yleisen tietosuoja-asetuksen säännöksen rikkomiseen vaan rikkomisen seurauksiin tai vaikutuksiin.

18. Tutkittavaksi ottamisen edellytysten puuttumista koskeva väite on hylättävä. Vaikka myönnettäisiin, että tietoja käsittelemällä rikottiin yleistä tietosuoja-asetusta aiheuttamatta vahinkoa UI:lle, tällä voisi olla oikeus saada korvausta yleisen tietosuoja-asetuksen 82 artiklan nojalla, jos ennakkoratkaisua pyytäneen tuomioistuimen kysymyksenasettelun mukaisesti todettaisiin, että pelkkä tietojen käsittelyä koskevan oikeussäännön rikkominen synnyttää tällaisen oikeuden.

19. UI:n mukaan unionin tuomioistuin voisi myös katsoa, että toinen kysymys on jätettävä tutkimatta sillä perusteella, että se on sisältönsä osalta hyvin avoin ja unionin oikeudessa asetettujen vaatimusten osalta kohtuuttoman rajoitettu, vaikka mitään yksittäistä vaatimusta ei mainita.

20. Myöskään tämä väite ei voi menestyä, vaikka se on edellistä väitettä perustellumpi. On perusteltua, että tuomioistuin haluaa selvittää, onko sen vastaavuus- ja tehokkuusperiaatteiden noudattamisen lisäksi punnittava muita unionin oikeudessa vahingon arvioimiseksi asetettuja vaatimuksia.

2. Tämän ratkaisuehdotuksen kohteen rajaaminen

21. Yleisen tietosuoja-asetuksen 82 artiklaan sisältyy kuusi kohtaa. Ennakkoratkaisua pyytänyt tuomioistuin ei mainitse mitään yksittäistä kohtaa, mutta vetoaa implisiittisesti ensimmäiseen niistä. Se ei myöskään täsmennä oikeussääntöä, jonka rikkominen johtaisi korvausvelvollisuuteen.

22. Ratkaisuehdotukseni lähtökohdat ovat seuraavat:

– UI:n henkilötietojen käsittely tapahtui tämän antamatta siihen suostumustaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetulla tavalla.

– Jokaisella, jolle on aiheutunut vahinkoa, on oikeus saada korvaus. Käsiteltävässä asiassa UI, joka on tietojen käsittelyn yhteydessä tunnistettu luonnollinen henkilö ja jota käsittely koskee, on niin kutsuttu rekisteröity.(8)

– Yleisessä tietosuoja-asetuksessa säädetään aineellisten ja aineettomien vahinkojen korvaamisesta. UI:n vaatimus rajoittuu viimeksi mainittuihin vahinkoihin, ja se on rahamääräinen.

B Ensimmäinen ennakkoratkaisukysymys

23. Ensimmäisellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, antaako jo pelkkä yleisen tietosuoja-asetuksen säännösten rikkominen oikeuden saada korvausta riippumatta siitä, onko vahinkoa aiheutunut.

24. Ennakkoratkaisua pyytäneen tuomioistuimen toteamuksista ja unionin tuomioistuimelle esitetyistä huomautuksista voidaan päätellä, että kysymys mahdollistaa myös toisenlaisen, hieman monimutkaisemman tulkinnan: kysymys on siitä, aiheutuuko yleisen tietosuoja-asetuksen säännösten rikkomisesta väistämättä vahinko, joka antaa oikeuden saada korvausta ilman, että vastaajalla on mahdollisuus näyttää toteen päinvastaista.

25. Näiden kahden lähestymistavan välillä on tietty (teoreettinen) ero: edellisessä vahinko ei ole edellytys korvauksen saamiselle, jälkimmäisessä sen sijaan on. Käytännössä vaatimus siitä, että kantaja näyttää toteen vahingon, poistuu molemmissa tapauksissa; kantajan ei myöskään tarvitse näyttää toteen rikkomisen ja kyseisen vahingon välistä syy-yhteyttä.(9)

26. Tulkittiinpa ensimmäistä kysymystä kummalla tavalla tahansa, katson, ettei siihen missään tapauksessa ole syytä vastata myöntävästi. Käsittelen kumpaakin tulkintaa erikseen.

1. Onko oikeutta korvaukseen ilman vahinkoa?

27. Väite siitä, että rekisteröidyllä on oikeus saada korvausta, vaikka yleisen tietosuoja-asetuksen rikkomisesta ei aiheudu tälle vahinkoa, tuottaa ilmeisiä vaikeuksia, joista ensimmäinen liittyy kyseisen asetuksen 82 artiklan 1 kohdan sanamuotoon.

28. Kyseisen säännöksen mukaan korvaus(10) myönnetään nimenomaisesti aikaisemmin aiheutuneesta vahingosta. Korvauksen saaminen edellyttää siis yksiselitteisesti sitä, että luonnolliselle henkilölle on aiheutunut vahinkoa yleisen tietosuoja-asetuksen rikkomisen seurauksena.

29. Tulkinta, jossa rikkomisen käsite yhdistetään automaattisesti korvauksen käsitteeseen ilman aiheutunutta vahinkoa, ei siis ole yleisen tietosuoja-asetuksen 82 artiklan sanamuodon mukainen. Se ei myöskään sovi yhteen yleisessä tietosuoja-asetuksessa käyttöön otetun vahingonkorvausvastuun päätavoitteen eli sen kanssa, että rekisteröidyn vaatimukset täytetään juuri ”täydellä ja tosiasiallisella” korvauksella aiheutuneesta vahingosta.(11)

30. Vahingon puuttuessa vahingonkorvauksen tehtävänä ei enää olisi rikkomisesta aiheutuvien epäsuotuisien vaikutusten hyvittäminen, vaan se saisi erilaisen, pikemminkin seuraamusluonteisen tehtävän.

31. On kuitenkin totta, että jäsenvaltion oikeusjärjestyksessä voidaan säätää rangaistusluonteisesta vahingonkorvauksesta.(12) Tällaisella korvauksella tarkoitetaan velvoittamista sellaisen merkittävän summan maksamiseen, joka ylittää pelkän vahingon korvaamisen.

32. Rangaistusluonteisissa vahingonkorvauksissa ei yleensä jätetä huomiotta aikaisemmin aiheutunutta vahinkoa. Tästä lähtökohdasta käsin niiden varallisuusoikeudelliset seuraukset eroavat kuitenkin kyseisen vahingon mukaisen hyvityksen määrästä.

33. Ei ole kuitenkaan mahdotonta, että rangaistusluonteisessa korvauksessa ei oteta huomioon vahinkoa tai että sillä ei katsota olevan merkitystä korvausta vaatineen osapuolen vaatimusten täyttämisen kannalta.

34. Ensimmäiseen ennakkoratkaisukysymykseen vastaaminen edellyttää sen tutkimista, ovatko tämäntyyppiset korvaukset yleisen tietosuoja-asetuksen mukaisia, varsinkin kun ennakkoratkaisupyynnössä sekä asianosaisten ja ennakkoratkaisumenettelyn muiden osapuolten huomautuksissa on viitattu niihin.

2. Rangaistusluonteiset vahingonkorvaukset

a) Sanamuodon mukainen tulkinta

35. Vahingonkorvausvastuun perinteiseen tehtävään voidaan lisätä toinen luonteeltaan rangaistusluonteinen tai varoittava tehtävä, jonka mukaisesti – kuten olen jo kuvaillut – korvauksen määrä ei vastaa aiheutunutta vahinkoa, vaan se ylittää vahingon määrän tai jopa on moninkertainen siihen verrattuna.

36. Kun kyse on unionin oikeussääntöjen rikkomisesta, unionin oikeus ei lähtökohtaisesti ole esteenä näille korvauksille, jos ne voidaan määrätä maksettavaksi jäsenvaltion sisäiseen oikeuteen perustuvan vastaavanlaisen kanteen yhteydessä.(13)

37. Rangaistusluonteisilla vahingonkorvauksilla on ehkäisevä tavoite. Tämä sama tavoite voidaan saavuttaa silloin, kun jäsenvaltioiden on direktiivin rikkomisen vuoksi toteutettava toimenpiteitä, joiden tarkoituksena on tuottaa ”todellinen ennalta ehkäisevä vaikutus”.(14) Tietyissä direktiiveissä säädetään nimenomaisesti, että seuraamuksiksi tarkoitetut korvaukset ovat varoittavia.(15)

38. Muissa säädöksissä lainsäätäjä sitä vastoin toteaa, että direktiivin tarkoituksena ”ei ole säätää rankaisevista korvauksista”(16) tai että jäsenvaltioiden on direktiiviä kansallisen lainsäädännön osaksi saattaessaan vältettävä tämän tyyppisiä korvauksia.(17) Unionin oikeudessa niin sanottujen rangaistusluonteisten korvausten määrääminen välittömästi on poikkeuksellista.(18)

39. Yleisessä tietosuoja-asetuksessa ei kuitenkaan viitata mitenkään siihen, että aineellisia tai aineettomia vahinkoja koskeva korvaus on luonteeltaan seuraamus, tai siihen, että kyseinen luonne otettaisiin huomioon korvauksen määrää laskettaessa, taikka siihen, että tämä korvaus olisi luonteeltaan varoittava (ominaisuus, jonka sitä vastoin katsotaan kuuluvan rikosoikeudellisiin seuraamuksiin ja hallinnollisiin seuraamusmaksuihin).(19) Sanamuodon näkökulmasta kyseisen asetuksen perusteella ei siis voida hyväksyä rangaistusluonteisia vahingonkorvauksia.

b) Säännöksen syntyhistoriaan perustuva tulkinta

40. Yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan edeltäjä oli direktiivin 95/46 23 artiklan 1 kohta. Viimeksi mainittu säännös oli osa järjestelmää, jonka tehokkuus perustui julkisoikeudelliseen ja yksityisoikeudelliseen täytäntöönpanoon,(20) mutta jossa (yksityisoikeudellinen) korvaus ja (julkisoikeudellinen) seuraamus eivät olleet päällekkäisiä.(21) Oikeussääntöjen noudattamisen valvonta kuului ennen kaikkea riippumattomille valvontaviranomaisille.(22)

41. Yleisessä tietosuoja-asetuksessa otetaan uudelleen käyttöön tämä malli, mutta vahvistetaan välineitä sen nykyisellään yksityiskohtaisempien säännösten ja vaikuttavampien toimien tehokkuuden takaamiseksi sen rikkomisen tai rikkomisen vaaran varalta:

– Yhtäältä siinä lisätään valvontaviranomaisten tehtäviä, joihin kuuluvat muun muassa yleisessä tietosuoja-asetuksessa itsessään säädettyjen yhdenmukaistettujen seuraamusten määrääminen.(23) Siinä korostetaan siten oikeussääntöjen julkisoikeudellista täytäntöönpanoa koskevaa osaa.

– Toisaalta siinä säädetään, että yksityiset puolustavat yleisessä tietosuoja-asetuksessa niille annettuja oikeuksia(24) joko panemalla vireille menettelyn valvontaviranomaisessa (77 artikla) tai turvautumalla tuomioistuinmenettelyyn (79 ja 82 artikla). Lisäksi tietyt yhteisöt voivat 80 artiklan nojalla nostaa edustajakanteita,(25) mikä helpottaa yksityisten yleisten etujen suojaamista.(26)

42. Yhtenäistä vahingonkorvausvastuujärjestelmää kehitettiin yleisessä tietosuoja-asetuksessa rajoitetusti. Direktiivissä 95/46 mahdollisesti epäselviksi jääneet näkökohdat, kuten aineettomien vahinkojen sisällyttäminen korvauskelpoisiin vahinkoihin,(27) selvitettiin nopeasti. Neuvotteluissa keskityttiin kyseisen järjestelmän muihin näkökohtiin.(28)

43. En ole löytänyt lainvalmisteluasiakirjoista keskustelua yleisessä tietosuoja-asetuksessa säädetyn vahingonkorvausvastuun mahdollisesta rangaistusluonteisesta tehtävästä. Koska asiasta ei ole keskusteltu, sen ei siis voida päätellä kuuluvan kyseisen asetuksen 82 artiklan soveltamisalaan varsinkaan siksi, että sen sisällyttämisestä muihin unionin oikeuden säädöksiin kyllä keskusteltiin.(29)

44. Näin ollen katson, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen oikeussuojakeinon suunnittelulla ja sääntelyllä pyrittiin vahingonkorvausvastuun tavanomaisten tehtävien hoitamiseen: vahinkojen korvaamiseen (vahinkoa kärsineen osalta) ja toissijaisesti tulevien vahinkojen ehkäisemiseen (vahingon aiheuttajan osalta).

c) Asiayhteyteen perustuva tulkinta

45. Kuten olen todennut, yleisen tietosuoja-asetuksen 82 artikla on osa sellaista oikeussääntöjen tehokkuuden takaamista koskevaa järjestelmää, jossa yksityisoikeudellisella aloitteella täydennetään asetuksen julkisoikeudellista täytäntöönpanoa. Rekisterinpitäjien tai henkilötietojen käsittelijöiden korvausvastuu edistää osaltaan tätä tehokkuutta.

46. Korvausvelvollisuus kannustaa (parhaassa tapauksessa) toimimaan jatkossa huolellisemmin ja sääntöjen mukaisesti sekä välttämään uusia vahinkoja. Näin ollen vaatiessaan korvausta itselleen jokainen henkilö myötävaikuttaa oikeussääntöjen yleiseen tehokkuuteen.

47. Tässä yhteydessä erotetaan toisistaan korvausluonteiset ja rangaistusluonteiset tehtävät:

– Jälkimmäiseen tehtävään käytetään valvontaviranomaisten tai tuomioistuinten määräämiä seuraamusmaksuja (yleisen tietosuoja-asetuksen 83 artiklan 1 ja 9 kohta) ja muita valtioiden yleisen tietosuoja-asetuksen 84 artiklan nojalla määräämiä seuraamuksia.(30)

– Ensiksi mainittuun tehtävään käytetään yksityisen tekemää kantelua (77 artikla) ja tuomioistuinmenettelyjä (79 artikla). Valvontaviranomaisten tehtävänä ei kuitenkaan ole arvioida oikeutta vahingonkorvaukseen.

48. Vastaavasti erotetaan toisistaan korvaamiseen ja seuraamuksen määräämiseen liittyvät tehtävät:

– Kun viranomainen määrää seuraamusmaksun ja vahvistaa sen määrän, sen on otettava huomioon yleisen tietosuoja-asetuksen 83 artiklassa luetellut tekijät, joista ei säädetä vahingonkorvausvastuun alalla ja joita ei lähtökohtaisesti voida soveltaa korvausta laskettaessa.(31)

– Vaikka asianomaisille henkilöille aiheutuneiden vahinkojen suurus on seuraamusmaksun porrastamiseen vaikuttava tekijä,(32) seuraamusmaksun määrää laskettaessa ei ole tarpeen ottaa huomioon sitä korvausta, jonka nämä olisivat voineet saada.(33)

49. Teoreettiselta kannalta tulkinta, jossa vahingonkorvausvastuulle annetaan rangaistusluonteinen tehtävä, vaikka vahinkoa ei ole aiheutunut, saattaa johtaa vahingonkorvausmekanismien päällekkäisyyteen seuraamusmekanismien kanssa.

50. Käytännössä se, että rangaistusluonteisen hyödyn saaminen korvauksen muodossa olisi helppoa, voisi saada rekisteröidyt suosimaan tätä menettelyä yleisen tietosuoja-asetuksen 77 artiklan mukaisen menettelyn sijasta. Kyseisen menettelyn yleistyessä valvontaviranomaiset menettäisivät yleisen edun puolustamisen kannalta kaikkein asianmukaisimpien välineiden kustannuksella välineen (rekisteröidyn kantelu), jonka avulla ne voivat saada tietoonsa yleisen tietosuoja-asetuksen mahdollisia rikkomisia sekä näin ollen tutkia niitä ja määrätä niistä seuraamuksia.

d) Teleologinen tulkinta

51. Yleisellä tietosuoja-asetuksella on kaksi päätavoitetta, jotka on mainittu jo sen otsikossa: a) yhtäältä ”luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä” ja b) toisaalta se, että suojelu on muodoltaan sellaista, että näiden tietojen vapaata liikkuvuutta unionissa ei kielletä eikä rajoiteta.(34)

52. Katson, että näiden tavoitteiden saavuttamiseksi yleisessä tietosuoja-asetuksessa ei edellytetä korvauksen yhdistämistä pelkästään tietojen käsittelyä koskevan oikeussäännön rikkomiseen siten, että vahingonkorvausvastuulle annetaan rangaistusluonteisia tehtäviä.

53. Ensiksi mainitun tavoitteen saavuttamiseksi ei ole tarpeen laajentaa yleisen tietosuoja-asetuksen 82 artiklan soveltamisalaa tulkintateitse siten, että se kattaisi tapaukset, joissa tiettyä oikeussääntöä on rikottu, mutta vahinkoa ei ole aiheutunut. Tämä laajennus voisi sitä vastoin vaikuttaa kielteisesti viimeksi mainittuun tavoitteeseen.

54. Olen jo korostanut, että yleisessä tietosuoja-asetuksessa on useita säännöksiä, joilla taataan sen sääntöjen noudattaminen, joita sovelletaan samanaikaisesti ja jotka täydentävät toisiaan. Jäsenvaltioiden ei tietosuojan takaamiseksi tarvitse (eivätkä ne todellisuudessa voi) valita VIII lukuun sisältyvien mekanismien välillä. Kun kyseessä on rikkominen, josta ei aiheudu vahinkoa, rekisteröidylle on vielä (vähintäänkin) annettava oikeus tehdä kantelu valvontaviranomaiselle yleisen tietosuoja-asetuksen 77 artiklan 1 kohdan mukaisesti.

55. Lisäksi mahdollisuus saada korvausta ilman minkäänlaista vahinkoa kannustaisi todennäköisesti panemaan vireille siviilioikeudellisia riita-asioita, joissa esitetyt vaatimukset eivät välttämättä aina olisi perusteltuja,(35) ja se voisi tältä osin tehdä tietojenkäsittelytoiminnasta vähemmän houkuttelevaa.(36)

3. Oletetaanko vahinkoa aiheutuneen?

56. Joissakin oikeusriidan asianosaisten huomautuksissa kannatetaan ensimmäisen ennakkoratkaisukysymyksen tulkitsemista eri tavalla kuin olen edellä esittänyt. Jos ymmärrän oikein näiden asianosaisten kannan,(37) ne näyttävät puoltavan sitä, että oikeussäännön rikkomisen jälkeen on olemassa vahinkoa koskeva kiistämätön olettama.

57. Asianosaisten mukaan tällainen rikkominen johtaa väistämättä tietojen valvomiskyvyn menettämiseen, joka on itsessään yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan nojalla korvattava vahinko.

58. Tämän olettaman perusteella ei teoriassa ole mahdollista jättää huomiotta vahinkoa, joten vahingonkorvausvastuun tavanomaista rakennetta ja yleisen tietosuoja-asetuksen säännöksen sanamuotoa kunnioitetaan. Käytännössä olettaman hyväksymisen vaikutukset kantajan ja vastaajan kannalta olisivat kuitenkin samankaltaisia kuin ne, jotka johtuvat yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan mukaisen vahingonkorvauksen yhdistämisestä pelkkään oikeussäännön rikkomiseen.

59. Selitän uudestaan tavanomaisten tulkintaperusteiden avulla, miksi tämä tulkinta ei mielestäni ole oikea.

a) Sanamuodon mukainen tulkinta

60. Kun lainsäätäjä on katsonut muilla unionin oikeuden aloilla, että oikeussäännön rikkomisesta seuraa automaattisesti oikeus vahingonkorvaukseen, se ei ole epäröinyt säätää siitä.(38) Näin ei ole yleisessä tietosuoja-asetuksessa, johon sisältyy todistelua koskevia sääntöjä tai sääntöjä, joilla on välittömiä vaikutuksia siihen,(39) mutta ei rikkomisen ja vahingonkorvauksen välistä automaattista liittymää riippumatta siitä, onko se suora vai syntyykö se kumoamattoman olettaman kautta.

61. Yleisen tietosuoja-asetuksen johdanto-osan 75(40) ja 85 perustelukappaleessa(41) olevat viittaukset tietojen valvomiseen (tai valvomiskyvyn menettämiseen) eivät mielestäni kumoa kyseisen liittymän puuttumista. Paitsi että näillä johdanto-osan perustelukappaleilla ei ole normatiivista merkitystä, kummassakaan niistä ei myöskään todeta, että oikeussäännön rikkominen sinänsä johtaisi korvattavaan vahinkoon:

– Johdanto-osan 75 perustelukappaleessa mainitaan yhtenä käsittelyyn liittyvistä mahdollisista riskeistä henkilötietojen valvomisen estäminen.

– Johdanto-osan 85 perustelukappaleessa viitataan valvomiskyvyn menettämiseen yhtenä niistä seurauksista, joita henkilötietojen tietoturvaloukkauksesta voisi aiheutua.(42)

62. Tietojen valvomiskyvyn menettämisen ei väistämättä tarvitse johtaa vahinkoon. Ilmauksella voidaan ymmärtää viitattavan tällaisesta menettämisestä seuraaviin vahinkoihin, mikäli ne toteutuvat.(43)

b) Syntyhistoriaan perustuva tulkinta

63. Yleisen tietosuoja-asetuksen syntyhistorian tarkastelu ei myöskään tue sitä, että kyse olisi vahinko-olettamasta, jota ei mainittu direktiivissä 95/46,(44) eikä sitä tarkastella tutkimissani yleisen tietosuoja-asetuksen antamista edeltävissä komission, Euroopan parlamentin ja neuvoston asiakirjoissa.

c) Asiayhteyteen perustuva tulkinta

64. Yleisen tietosuoja-asetuksen mukaisessa järjestelmässä esitetään seikkoja, joiden perusteella voidaan kiistää, että siinä hyväksyttäisiin kyseessä oleva olettama, kun otetaan vertailukohdaksi rekisteröidyn suostumus.(45) Kyseinen suostumus, jonka avulla rekisteröity valvoo tietojaan, oikeuttaa tietojen käsittelyn samalla tasolla muiden oikeusperustojen kanssa (yleisen tietosuoja-asetuksen 6 artikla).(46)

65. Henkilötietojen lainmukainen käsittely on mahdollista ilman rekisteröidyn lupaa ja näin ollen ilman sitä valvontaa, jota kyseisen luvan myöntäminen tai epääminen merkitsee. Sen merkitys järjestelmässä ei viime kädessä ole ehdoton.

66. Lisäksi yleisessä tietosuoja-asetuksessa säädetään muista mahdollisuuksista harjoittaa tätä valvontaa: näihin kuuluu tietojen poistamista koskeva oikeus, joka velvoittaa rekisterinpitäjän poistamaan kyseessä olevat tiedot ”ilman aiheetonta viivytystä”.(47)

67. Henkilölle, jonka tietoja käsitellään, tämä oikeus toimii tietosuojaa koskevan järjestelmän varoventtiilinä: suoja säilyy (pääperiaatteen mukaan) silloin, kun rekisterinpitäjä ei ole saanut rekisteröidyn suostumusta eikä tietojenkäsittelylle ole olemassa muuta oikeuttamisperustetta; suoja ei myöskään riipu tietojen käsittelystä aiheutuvasta vahingosta.(48)

d) Teleologinen tulkinta

1) Onko yleisen tietosuoja-asetuksen tavoitteena rekisteröidyn oikeus valvoa tietojaan?

68. Automaattinen vastaavuus ilman rekisteröidyn suostumusta tehdyn henkilötietojen käsittelyn ja korvattavan vahingon välillä edellyttää, että kyseinen valvonta, jonka välineenä käytetään suostumusta, on arvo sinänsä.

69. Myönnän, että ensi näkemältä tämä näkemys saa tukea. Kansalaisten oikeus valvoa tietojaan mainitaan komission ehdotuksessa yhtenä uudistuksen pääasiallisista syistä.(49) Yleisen tietosuoja-asetuksen johdanto-osan seitsemännessä perustelukappaleessa todetaan, että ”luonnollisten henkilöiden olisi voitava valvoa omia henkilötietojaan”.

70. On totta, että tätä käsitettä tulkittaessa on noudatettava suurempaa varovaisuutta kuin siitä oikeuskirjallisuudessa käydyissä keskusteluissa. Yleisessä tietosuoja-asetuksessa ei esitetä (enkä ole mistään muualta löytänyt) täsmällistä valvonnan määritelmää.(50) Termillä on ainakin kaksi merkitystä, jotka eivät ole toisensa poissulkevia: kuten ”valta” tai ”määräysvalta”, ja kuten ”seuranta”.

71. Yleisen tietosuoja-asetuksen johdanto-osan seitsemännen perustelukappaleen sanamuoto herättää jossain määrin epävarmuutta, koska se vaihtelee eri kieliversioiden mukaan.(51) Kun otetaan huomioon yleisen tietosuoja-asetuksen sisältö, katson, että siinä annetaan rekisteröidylle valvonta- ja toimintavaltuuksia sellaisten tietoja koskevien toimien osalta, joita muuta tahot toteuttavat, ja näitä valtuuksia käytetään tietojen suojaamisen välineenä (yhdessä muiden välineiden kanssa).

72. Rekisteröity itse edistää tiedoissa esitettyjen tietojen suojaamista ja vastaa siitä yleisessä tietosuoja-asetuksessa säädetyn tason ja yksityiskohtaisten sääntöjen mukaisesti. Yksilön toimintakehys on suppea: se rajoittuu yleisessä tietosuoja-asetuksessa lueteltujen oikeuksien osalta niiden käyttämiseen täsmällisten edellytysten mukaisesti.

73. Rekisteröidyn suostumus valvonnan ylimpänä ilmauksena(52) on vain yksi lainmukaisen käsittelyn oikeusperustoista, mutta sillä ei voida korjata muiden rekisterinpitäjälle ja henkilötietojen käsittelijälle asetettujen velvoitteiden ja edellytysten noudattamatta jättämistä.

74. Mielestäni yleisestä tietosuoja-asetuksesta ei ole helppoa päätellä, että sen tavoitteena olisi antaa rekisteröidylle henkilötietojen valvontaa koskeva oikeus itseisarvoisesti. Ei myöskään sitä, että rekisteröidyn on voitava valvoa näitä tietoja mahdollisimman kattavasti.

75. Tämä toteamus ei ole yllättävä. Yhtäältä ei ole ilmeistä, että valvonta tietojen määräysvaltaa koskevassa merkityksessä kuuluisi henkilötietojen suojaa koskevan perusoikeuden keskeiseen sisältöön.(53) Toisaalta käsitys tästä oikeudesta tietoja koskevana itsemääräämisoikeutena ei suinkaan ole yksimielinen: perusoikeuskirjan 8 artiklassa ei käytetä tällaista ilmaisua.(54)

76. Yleisen tietosuoja-asetuksen lopulliseen tekstiin ei vastaavasti myöskään lisätty johdanto-osan perustelukappaletta, jonka mukaan ”oikeus henkilötietojen suojaan perustuu rekisteröidyn oikeuteen valvoa käsiteltäviä henkilötietojaan”.(55)

77. Edellä esitettyjen kenties liian abstraktien pohdintojen perusteella totean, että kun rekisteröity ei anna suostumusta tietojen käsittelyyn ja kun tietojen käsittely toteutetaan ilman muuta lainmukaista oikeudellista perustaa, hänelle ei tästä syystä pidä maksaa taloudellista korvausta omien tietojensa valvomiskyvyn menettäminen perusteella, ikään kuin tämä menettäminen itsessään johtaisi korvattavaan vahinkoon.(56) Se, onko hän tämän lisäksi kärsinyt vahinkoa, on selvitettävä (ja näytettävä toteen).(57)

2) Rekisteröidyn valvontaoikeus asiayhteydessään

78. Lopuksi on mielestäni aiheellista muistuttaa, että henkilötietojen suoja asetetaan yleisen tietosuoja-asetuksen tavoitteeksi yhdessä tietojen vapaan liikkuvuuden edistämisen kanssa.(58)

79. Yksi henkilötietojen suojaa koskevan järjestelmän uudistamiselle asetetuista päämääristä on vahvistaa kansalaisen oikeutta valvoa henkilötietojaan digitaalisessa toimintaympäristössä, mutta se ei ole itsenäinen tai irrallinen tavoite.

80. Yleistä tietosuoja-asetusta koskevan ehdotuksensa liitteenä olevassa tiedonannossa komissio yhdisti toisiinsa korkeatasoisen tietosuojan ja luottamuksen online-palveluihin, jotta voitaisiin hyödyntää digitaalitalouden kaikki mahdollisuudet ja edistää ”talouskasvua ja EU:n teollisuuden kilpailukykyä”. Unionin lainsäädännön uudistaminen (ja suurempi yhdenmukaistaminen) ”edistää – – tietosuojan sisämarkkinaulottuvuutta”.(59)

81. Koska tietojen (sekä henkilötietojen että muiden tietojen) arvo Euroopan taloudellisen ja sosiaalisen edistyksen kannalta on ilmeinen, yleisen tietosuoja-asetuksen tarkoituksena ei ole vahvistaa yksilön oikeutta valvoa itseään koskevia tietoja pelkästään omien mieltymystensä mukaisesti, vaan sovittaa yhteen jokaisen oikeus henkilötietojen suojaan kolmansien osapuolten ja yhteiskunnan etujen kanssa.(60)

82. Korostan, että yleisen tietosuoja-asetuksen tarkoituksena ei ole rajoittaa järjestelmällisesti henkilötietojen käsittelyä vaan oikeuttaa se tiukoin edellytyksin. Tätä varten on ennen kaikkea parannettava rekisteröidyn luottamusta siihen, että käsittely suoritetaan turvallisessa ympäristössä,(61) johon hän itse myötävaikuttaa. Tällä tavoin kannustetaan hänen halukkuuttaan sallia vapaaehtoisesti pääsy tietoihinsa ja niiden käyttö muun muassa verkkoliiketoiminnan alalla.

C Toinen ennakkoratkaisukysymys

83. Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, ”sovelletaanko vahingonkorvauksen määrän määrittämiseen tehokkuus- ja vastaavuusperiaatteiden lisäksi muita unionin oikeuden sääntöjä”.

84. Tosiasiassa ei vaikuta siltä, että vastaavuusperiaatteella olisi tässä yhteydessä merkitystä: yleisen tietosuoja-asetuksen yhdenmukaistettua sääntelyä sovelletaan suoraan tällä alalla, ja sen 82 artikla koskee kaikkia rikkomisesta aiheutuvia aineettomia vahinkoja, olipa niiden alkuperä mikä tahansa.

85. Sama pohdinta pätee tehokkuusperiaatteeseen. Eri asia on, että yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa esitetyn toteamuksen (rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta) mukaisesti korvauksella on oltava tietty sisältö.

86. Yleisen tietosuoja-asetuksen 82 artiklassa ei aseteta muita vaatimuksia kuin sen sääntöjen rikkominen, kun siitä aiheutuu kenelle tahansa henkilölle aineellisia tai aineettomia vahinkoja. Siinä ei anneta kansallisille tuomioistuimille ohjeita näistä vahingoista maksettavan korvauksen määrän konkreettisesta laskemisesta.

87. Kun otetaan huomioon molemmat edellä mainitut määreet (täysi ja tosiasiallinen), korvaus määräytyy ensisijaisesti kunkin kantajan esittämien vaatimusten mukaan.

88. Vaikka tämä vaatimus perustuisi rangaistusluonteisen vahingonkorvauksen määräämiseen,(62) vastaus ensimmäiseen ennakkoratkaisukysymykseen olisi riittävä: tällaisia korvauksia ei mainita yleisessä tietosuoja-asetuksessa. Kyseisessä asetuksessa vahingonkorvausvastuulle on annettu vahinkojen korvaamiseen liittyvä yksityisoikeudellinen tehtävä, kun taas seuraamusmaksujen ja rikosoikeudellisten seuraamusten julkisoikeudellisena tehtävänä on varoittaa ja tarvittaessa rangaista.

89. Ei ole poissuljettua, että aineettomien vahinkojen perusteella vaadittuun korvaukseen kuuluu muitakin kuin pelkästään rahamääräisiä osatekijöitä, kuten rikkomisen myöntäminen, mikä antaa kantajalle tietynlaisen henkisen tyydytyksen. Vaikka unionin tuomioistuimen 15.4.2021 antama tuomio(63) koski sellaista alaa, joka ei ole yhtäläinen tietosuojan alan kanssa, tämä vaatimus voidaan analogisesti hyväksyä sen perusteella.

90. Oikeusjärjestyksissä, joissa säädetään tästä, on mahdollista, että vahingonkorvausvastuujärjestelmässä määrätään oikeuden puolustamiseen (symbolisen korvauksen maksaminen) tai perusteettomasti saadun edun poistamiseen (perusteettomasti saadun hyödyn luovuttaminen) perustuvia korvauksia.

91. Ensiksi mainittujen korvauksien taustalla on ajatus oikeuden jatkuvuudesta ja toteutumisesta (Rechtsfortsetzungsfunktion) puhtaasti symbolisen korvauksen kautta sekä sen toteamisesta, että vastaaja on toiminut lainvastaisesti ja loukannut kantajan oikeuksia. Yleisen tietosuoja-asetuksen 82 artiklassa ei säädetä symbolisesta korvauksesta, eikä siihen viitata valmisteluasiakirjoissa, mikä on luonnollista, koska se ei ole yhteistä kaikkien jäsenvaltioiden oikeusjärjestelmille(64) ja se on kiistanalainen niissä, joihin se kuuluu.(65)

92. Yleisessä tietosuoja-asetuksessa säädetty järjestelmä ja sen tavoitteet eivät kuitenkaan ole esteenä sille, että jäsenvaltiot, joissa tämä oikeussuojakeino tunnetaan, tarjoavat sen 79 artiklassa tarkoitettujen kanteiden yhteydessä niille, joita oikeussäännön rikkominen koskee, siinä tapauksessa, että mitään vahinkoa ei ole aiheutunut. Kun kantaja sitä vastoin väittää kärsineensä rahallista vahinkoa, tilanteeseen sovelletaan yleisen tietosuoja-asetuksen 82 artiklaa, eikä se, että sen toteen näyttäminen on vaikeaa, saa johtaa symboliseen korvaukseen.(66)

93. Sen, että tuomitaan maksamaan rahamäärä oikeuden loukkaamisen seurauksena, tarkoituksena voi olla se, että oikeudenloukkaukseen syyllistynyt menettää saamansa hyödyn. Muihin kuin immateriaalioikeuksiin(67) liittyvillä aloilla tämä tarkoitus ei ole yleinen vahingonkorvausoikeudessa, jossa keskitytään pikemminkin vahinkoa kärsineen osapuolen menetykseen kuin vahingon aiheuttajan saamaan hyötyyn.(68) Se ei sisälly yleisen tietosuoja-asetuksen artiklaosaan.

94. Näiden pohdintojen tarkoituksena on helpottaa ennakkoratkaisua pyytäneen tuomioistuimen tehtävää, kun otetaan huomioon sen toisen ennakkoratkaisukysymyksen laajuus. Olen kuitenkin tietoinen siitä, että niiden hyöty voi olla vähäinen, kun tarkoituksena on hyväksyä tai hylätä kanne, jossa rekisteröity vaatii aineettomasta vahingosta pelkästään rahallista korvausta.

D Kolmas ennakkoratkaisukysymys

95. Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, asetetaanko yleisessä tietosuoja-asetuksessa aineettomasta vahingosta myönnettävän vahingonkorvauksen edellytykseksi se, että ”oikeudenloukkauksella on ainakin jossain määrin merkittävä vaikutus tai seuraus, joka ulottuu pidemmälle kuin oikeudenloukkauksesta aiheutunut harmi”.

96. Ennakkoratkaisupyynnössä otetaan korvattavuuden perusteena huomioon vahinkoa kärsineen osapuolen kokemuksen voimakkuus. Siinä ei sitä vastoin kysytä (ainakaan suoraan), onko kyseisen osapuolen tietyillä tunteilla tai tuntemuksilla yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan yhteydessä merkitystä niiden sisällön perusteella.(69)

97. Näin ollen herää kysymys siitä, voivatko jäsenvaltiot asettaa aineettoman vahingon korvaamisen edellytykseksi oikeussäännön rikkomisesta aiheutuneiden seurauksien merkityksen siten, että ne ottavat huomioon vain tietyn vakavuuskynnyksen ylittävät seuraukset. Kysymys ei siis koske korvattavia vahinkolajeja(70) eikä korvauksen määrää, vaan sitä, onko vahinkoa kärsineen osapuolen reaktiolle olemassa vähimmäisraja, jonka alittuessa tämä ei saa korvausta.

98. Yleisen tietosuoja-asetuksen 82 artikla ei anna suoraa vastausta kysymykseen. Mielestäni sitä eivät anna myöskään kyseisen asetuksen johdanto-osan 75 ja 85 perustelukappale. Molempiin sisältyy esimerkinomainen vahinkoluettelo, joka päättyy avoimeen lausekkeeseen, jolla näytetään rajaavan korvauskelpoiset vahingot ”merkittäviin” vahinkoihin.

99. Uskoakseni näistä johdanto-osan perustelukappaleista ei kuitenkaan ole hyötyä ennakkoratkaisua pyytäneen tuomioistuimen epäilyksien hälventämisessä:

– Edellinen niistä koskee tietojen käsittelyyn liittyvien riskien määrittämistä ja arviointia sekä toimenpiteiden toteuttamista niiden välttämiseksi tai lievittämiseksi. Siinä havainnollistetaan kaikenlaisen käsittelyn epätoivottavia seurauksia ja korostetaan ”erityisesti” joitakin niistä varmastikin sen vuoksi, että ne ovat luonteeltaan vakavampia.

– Jälkimmäisessä viitataan tietoturvaloukkauksiin ja huomautetaan, että niillä voi olla merkittäviä seurauksia.

100. Yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa olevasta toteamuksesta (rekisterinpitäjän on korvattava ”vahingot”)(71) ei myöskään ole pääteltävissä perusteita tähän kysymykseen vastaamiseksi.

101. Tämän johdanto-osan perustelukappaleen ottaminen yleisen tietosuoja-asetuksen tekstiin ratkaisi sen, että aineettomat vahingot sisällytettiin nimenomaisesti kyseiseen asetukseen eivätkä ne jääneet kokonaan mainitsematta, kuten direktiivissä 95/46.(72) Unionin yleiselle tuomioistuimelle nyt käsiteltävässä asiassa esitettyä kysymystä ei kuitenkaan käsitelty erikseen.

102. Tässä samassa yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa todetaan, että ”vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon”.

103. En ole varma siitä, onko tästä toteamuksesta juurikaan hyötyä tietosuojan yhteydessä, koska unionin tuomioistuin ei ollut vielä lausunut asiasta, kun yleinen tietosuoja-asetus annettiin.(73) Jos tarkoitettiin muissa direktiiveissä tai asetuksissa säädettyä vahingonkorvausvastuuta koskevia tuomioita, olisi ollut suositeltavaa viitata niihin analogisesti.

104. Tosiasiassa unionin tuomioistuin ei ole laatinut yleistä vahingon määritelmää, jota sovellettaisiin erotuksetta millä tahansa alalla.(74) Nyt käsiteltävän asian osalta (aineettomat vahingot) unionin tuomioistuimen oikeuskäytännöstä voidaan päätellä seuraavaa:

– Jos tulkittavan säännöksen tavoitteena (tai yhtenä sen tavoitteista) on yksilön tai tietyn henkilöryhmän(75) suojelu, vahingon käsitteen on oltava laaja.

– Tämän arviointiperusteen mukaisesti korvaus kattaa aineettomat vahingot, vaikka niitä ei mainittaisi tulkitussa säännöksessä.(76)

105. Vaikka unionin tuomioistuimen oikeuskäytännön perusteella onkin mahdollista väittää, että unionin oikeuteen sisältyy tällä tavoin ilmaistuna aineettomien vahinkojen korvaamista koskeva periaate, siitä ei mielestäni sen sijaan voida johtaa sääntöä, jonka mukaan kaikki aineettomat vahingot voidaan korvata niiden vakavuudesta riippumatta.

106. Unionin tuomioistuin on myöntänyt sellaisen kansallisen lainsäädännön yhteensopivuuden unionin lainsäädännön kanssa, jossa korvausta laskettaessa erotellaan terveyteen kohdistuvat henkilövahingot onnettomuuden syyn mukaan.(77)

107. Unionin tuomioistuin on myös arvioinut kussakin asiassa(78) sovellettavan säännöksen mukaisesti, mitkä seikat ovat omiaan aiheuttamaan aineettomia vahinkoja, mutta se ei ole nimenomaisesti lausunut (ellen erehdy) kyseisten vahinkojen vakavuutta koskevasta vaatimuksesta.(79)

108. Tässä vaiheessa katson, että kolmanteen ennakkoratkaisukysymykseen on vastattava myöntävästi.

109. Näkemykseni tueksi muistutan, että yleisen tietosuoja-asetuksen ainoana tavoitteena ei ole henkilötietojen suojaa koskevan perusoikeuden turvaaminen(80) ja että sen suojajärjestelmä sisältää erityyppisiä mekanismeja.(81)

110. Tässä yhteydessä on merkitystä unionin tuomioistuimelle ehdotetulla erottelulla, joka tehdään korvattavien aineettomien vahinkojen ja sellaisten muiden lainvastaisista menettelyistä aiheutuvien haittojen välillä, jotka eivät vähäisen merkityksensä vuoksi välttämättä oikeuta korvaukseen.

111. Tällainen erottelu ymmärretään kansallisissa oikeusjärjestyksissä yhteiskuntaelämän väistämättömänä seurauksena.(82) Unionin tuomioistuin on tietoinen tästä erosta, jonka se myöntää viitatessaan vaikeuksiin ja haittoihin vahinkoihin nähden itsenäisenä ryhmänä aloilla, joilla se katsoo niiden olevan korvattavia.(83) Mikään ei estä soveltamasta sitä yleiseen tietosuoja-asetukseen.

112. Yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetty oikeus korvaukseen ei mielestäni myöskään vaikuta tarkoituksenmukaiselta välineeltä torjua henkilötietojen käsittelyyn liittyviä rikkomuksia, jos ne aiheuttavat rekisteröidylle ainoastaan suuttumusta tai harmia.

113. Yleensä mikä tahansa henkilötietojen suojaa koskevan oikeussäännön rikkominen aiheuttaa rekisteröidyssä jonkin kielteisen reaktion. Korvaus, joka johtuu pelkästä mielipahasta sen vuoksi, että kolmas ei ole noudattanut lakia, on helposti päällekkäinen sellaisen korvauksen kanssa, johon ei liity vahinkoa ja jonka jo edellä hylkäsin.

114. Käytännön näkökulmasta pelkkien harmien sisällyttäminen korvattaviin aineettomiin vahinkoihin ei ole tehokasta, kun otetaan huomioon kanteista kantajalle(84) ja vastineesta vastaajalle tyypillisesti aiheutuvat haitat ja vaikeudet.(85)

115. Korvauksen epääminen rekisteröidyltä sen vuoksi, että tietojenkäsittelyä koskevien sääntöjen rikkomiseen liittyvät tunteet tai tuntemukset ovat vähäisiä tai ohimeneviä,(86) ei merkitse rekisteröidyn täydellistä sivuuttamista. Kuten ensimmäisen kysymyksen päätteeksi totesin, yleisessä tietosuoja-asetuksessa säädetty järjestelmä tarjoaa hänelle muita oikeussuojakeinoja.

116. Mielestäni on selvää, että pelkkien harmien (jotka eivät ole korvattavia) ja varsinaisten aineettomien vahinkojen (jotka ovat korvattavia) välinen raja on hiuksenhieno, ja tiedostan myös, että kumpaakin näistä ryhmistä on vaikea rajata abstraktisti ja soveltaa konkreettisesti oikeusriidassa. Tämä vaikea tehtävä kuuluu jäsenvaltioiden tuomioistuimille, jotka eivät ratkaisuissaan voi todennäköisesti sivuuttaa yhteiskunnassa kulloinkin vallitsevaa käsitystä hyväksyttävästä sietorajasta silloin, kun kyseisen alan oikeussäännön rikkomisesta aiheutuvat subjektiiviset seuraukset eivät ylitä tiettyä vähimmäistasoa.(87)

V Ratkaisuehdotus

117. Edellä esitetyn perusteella ehdotan, että Oberster Gerichtshofin kysymykseen vastataan seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/697 (yleinen tietosuoja-asetus) 82 artiklaa on tulkittava seuraavasti:

Kyseisen asetuksen rikkomisesta aiheutuneesta vahingosta saatavaa vahingonkorvausta koskevan oikeuden tunnustamisen kannalta pelkkä oikeussäännön rikkominen ei sellaisenaan ole riittävää, ellei siihen liity vastaavia aineellisia tai aineettomia vahinkoja.

Kyseisessä artiklassa säädetty aineettomien vahinkojen korvaaminen ei ulotu pelkkään harmiin, jota asianomainen henkilö saattaa tuntea asetuksen 2016/679 säännösten rikkomisen vuoksi. Kansallisten tuomioistuinten tehtävänä on ratkaista, milloin henkilökohtaista mielipahan tunnetta voidaan kussakin tapauksessa pitää ominaispiirteidensä vuoksi aineettomana vahinkona.

1 Alkuperäinen kieli: espanja.

2 Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1). Jäljempänä yleinen tietosuoja-asetus.

3 Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi (EYVL 1995, L 281, s. 31).

4 Euroopan unionin perusoikeusviraston (FRA) raportin ”Tietosuojaan liittyvien oikeussuojakeinojen saatavuus EU:n jäsenvaltioissa” mukaan; Euroopan unionin julkaisutoimisto, 2014, 3 ja 4 kohta.

5 Tämän oikeuden tunnustaminen lainsäädännössä on suurelta osin unionin suojajärjestelmän erityispiirre. Henkilötietojen siirtoa kolmansiin maihin koskevien instrumenttien pätevyyden tutkimisessa otetaan erityisesti huomioon se, sisältyykö niihin säännös tai määräys, jolla on sama tarkoitus. Ks. lausunto 1/15 (Euroopan unionin ja Kanadan välinen PNR-sopimus), 26.7.2017, (EU:C:2017:592) sekä tuomio 16.7.2020, Facebook Ireland ja Schrems (C-311/18, EU:C:2020:559) ja tuomio 21.6.2022, Ligue des droits humains (C-817/19, EU:C:2022:491).

6 Tämän ratkaisuehdotuksen laatimishetkellä on esitetty kuusi muuta tätä alaa koskevaa ennakkoratkaisupyyntöä (C-340/21, C-667/21, C-687/21, C-741/21, C-182/22 ja C-189/22). Samanaikaisesti Euroopan parlamentin vetoomusvaliokuntaa on pyydetty selventämään yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleita erityisesti muiden kuin aineellisten vahinkojen osalta, jotta saksalaiset tuomioistuimet eivät antaisi enempää epäoikeudenmukaisia tuomioita (vetoomus nro 0386/2021).

7 Sitä vastoin se hyväksyi toiminnan lopettamista koskevan pyynnön, joka vahvistettiin muutoksenhakuasteessa. Österreichische Postin lopettamismääräyksestä tekemä Revision-valitus hylättiin.

8 Käytän tätä ilmaisua yleisen tietosuoja-asetuksen 4 artiklan 1 kohdassa tarkoitetussa merkityksessä.

9 Toisinaan rekisteröidyn ei tarvitse edes näyttää toteen, ettei hän ole antanut suostumustaan, sillä yleisen tietosuoja-asetuksen 7 artiklan 1 kohdassa säädetään, että ”jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn”. Kantajaa voidaan kuitenkin vaatia esittämään seikkoja, joiden perusteella vahingon määrä voidaan määrittää.

10 Sanaa ”korvaus” käytetään espanjan- ja portugalinkielisissä versioissa (edellisessä ”indemnización” ja jälkimmäisessä ”indemnização”). Erittäin ytimekäs on myös saksankielisessä versiossa käytetty ilmaus ”Schadenersatz”. Ranskankielisessä versiossa ei käytetä sanaa ”indemnisation” vaan ”réparation”, englanninkielisessä taas ”compensation”. Mielestäni kaikissa näissä ja muissa vastaavissa versioissa lopputulos on sama: vahinko on edelleen vahingonkorvausvastuun välttämätön edellytys.

11 Yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappale. Vahingonkorvauksella pyritään palauttamaan tasapainoon oikeusasema, johon lainsäädännön rikkominen on vaikuttanut kielteisesti (jota se on vahingoittanut).

12 Rangaistusluonteiset vahingonkorvaukset (punitive damages) ovat ominaisia anglosaksiselle oikeudelle. Muissa oikeusjärjestelmissä niihin turvaudutaan erityisen vilpillisten tai törkeän tuottamuksellisten menettelyjen tapauksessa. Toisinaan ne liittyvät fyysisen koskemattomuuden tai yksilön yksityisyyden suojan loukkaamisesta aiheutuneen henkisen kärsimyksen arviointiin.

13 Tuomio 13.7.2006, Manfredi ym. (C-295/04–C-298/04, EU:C:2006:461, 92 kohta): ”vahingonkorvauksen myöntämisestä ja kenties kysymykseen tulevasta mahdollisuudesta määrätä seuraamusluonteisia vahingonkorvauksia on todettava, että koska yhteisö ei ole antanut tätä asiaa koskevia säännöksiä, jokaisen jäsenvaltion sisäisessä oikeusjärjestyksessä on vahvistettava perusteet [korvauksen suuruuden] määrittämiseksi, edellyttäen kuitenkin että vastaavuus‑ ja tehokkuusperiaatteita noudatetaan”. Kursivointi tässä.

14 Tuomio 11.10.2007, Paquay (C-460/06, EU:C:2007:601, 44 kohta ja sitä seuraavat kohdat), luettuna yhdessä miesten ja naisten tasa-arvoisen kohtelun periaatteen toteuttamisesta mahdollisuuksissa työhön, ammatilliseen koulutukseen ja uralla etenemiseen sekä työoloissa 9.2.1976 annetun neuvoston direktiivin 76/207/ETY (EYVL 1976, L 39, s. 40) 6 artiklan kanssa.

15 Säännellyillä markkinoilla kaupankäynnin kohteeksi otettavien arvopaperien liikkeeseenlaskijoita koskeviin tietoihin liittyvien avoimuusvaatimusten yhdenmukaistamisesta ja direktiivin 2001/34/EY muuttamisesta 15.12.2004 annetun Euroopan parlamentin ja neuvoston direktiivin 2004/109/EY (EUVL 2004, L 390, s. 38) 28 artikla tai miesten ja naisten yhtäläisten mahdollisuuksien ja yhdenvertaisen kohtelun periaatteen täytäntöönpanosta työhön ja ammattiin liittyvissä asioissa 5.7.2006 annetun Euroopan parlamentin ja neuvoston direktiivin 2006/54/EY (EUVL 2006, L 204, s. 23) 25 artikla.

16 Näin todetaan teollis- ja tekijänoikeuksien noudattamisen varmistamisesta 29.4.2004 annetun Euroopan parlamentin ja neuvoston direktiivin 2004/48/EY (EUVL 2004, L 157, s. 45) johdanto-osan 26 perustelukappaleessa. Tässä tapauksessa rankaisevan toimenpiteen toteuttaminen ei ole kiellettyä, mutta siihen ei myöskään velvoiteta: tuomio 25.1.2017, Stowarzyszenie Oławska Telewizja Kablowa (C-367/15, EU:C:2017:36, 28 kohta).

17 Tietyistä säännöistä, joita sovelletaan jäsenvaltioiden ja Euroopan unionin kilpailuoikeuden säännösten rikkomisen johdosta kansallisen lainsäädännön nojalla nostettuihin vahingonkorvauskanteisiin, 26.11.2014 annetun Euroopan parlamentin ja neuvoston direktiivin 2014/104/EU (EUVL 2014, L 349, s. 1) 3 artiklan 3 kohta tai kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista ja direktiivin 2009/22/EY kumoamisesta 25.11.2020 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 (EUVL 2020, L 409, s. 1), joka kattaa tietosuojan alan, johdanto-osan 10 ja 42 perustelukappale.

18 Esimerkkinä mainitaan yleensä yhteisön kasvinjalostajanoikeuksista annetun neuvoston asetuksen (EY) N:o 2100/94 14 artiklan 3 kohdassa säädetyn maataloutta koskevan vapautuksen soveltamista koskevista säännöistä 24.7.1995 annetun asetuksen (EY) N:o 1768/95 (EYVL 1995, L 173, s. 14) 18 artiklan 2 kohta: ”korvausvelvollisuuden, joka koskee omistajalle – – hyvitettäviä kaikkia lisävahinkoja, on käsitettävä vähintään kertasumma, joka on laskettu – – perittävän summan nelinkertaisen – – arvon perusteella”.

19 Jäljempänä tämän ratkaisuehdotuksen 47 kohta.

20 Käytän tässä ilmaisua ”julkisoikeudellinen täytäntöönpano” ja ”yksityisoikeudellinen täytäntöönpano” samassa merkityksessä kuin direktiivissä 2014/104.

21 Direktiivin 95/46 johdanto-osan 55 perustelukappaleessa ilmoitettiin kyseisen direktiivin III luvun (”Oikeuskeinot, vastuu ja sanktiot”) sisältö. Sen 22, 23 ja 24 artikla koskivat näitä käsitteitä samassa järjestyksessä. Direktiivin VI luvussa käsiteltiin valvontaviranomaisia.

22 Unionin tuomioistuin on vahvistanut näiden viranomaisten keskeisen merkityksen järjestelmässä: esim. 9.3.2010 annetun tuomion komissio v. Saksa (C-518/07, EU:C:2010:125) 23 kohdassa. Kyseisiin viranomaisiin viitataan Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 8 artiklan 3 kohdassa ja SEUT 16 artiklan 2 kohdan lopussa.

23 Virossa ja Tanskassa on erityisjärjestely, johon viitataan yleisen tietosuoja-asetuksen johdanto-osan 151 perustelukappaleessa.

24 Siitä huolimatta, että yleisessä tietosuoja-asetuksessa ei ole suoraan mainittu oikeussääntöjen yksityisoikeudellisen täytäntöönpanon merkitystä samalla tavoin kuin direktiivin 2014/104 johdanto-osan kolmannessa perustelukappaleessa.

25 Mahdollisuus kollektiivisten kanteiden nostamiseen oli hyväksytty jo ennen yleistä tietosuoja-asetusta: tuomio 29.7.2019, Fashion ID (C-40/17, EU:C:2019:629). Yleisen tietosuoja-asetuksen 80 artiklan 1 kohdan mukaan rekisteröityjä puolustavat elimet voivat toimia vahingonkorvausasioissa vain jäsenvaltioiden lainsäädännön nojalla ja rekisteröidyn annettua tarvittavan valtuutuksen. Tilanne voi muuttua direktiivin 2020/1828 perusteella.

26 Kuten julkisasiamies Richard de la Tour toteaa ratkaisuehdotuksessaan Meta Platforms Ireland (C-319/20, EU:C:2021:979), yleisen tietosuoja-asetuksen 80 artiklan mukainen toiminta on omiaan palvelemaan erityisten ja yleisten etujen suojaamista. Mainitussa asiassa oli kyse kieltokanteesta.

27 Erityisesti jäsenvaltioissa, jotka ovat haluttomia hyväksymään korvausvastuun määräämisen aineettomista vahingoista ilman, että siitä säädetään laissa.

28 Kuten passiivilegitimaatioon, vapauttamisperusteisiin sekä yhteisrekisterinpitäjien ja henkilötietojen yhteiskäsittelijöiden korvausvastuujärjestelmään. Eräässä neuvoston asiakirjassa mainitaan seuraava Belgian valtuuskunnan esittämä kysymys ”whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage”. Komissio vastasi siihen, että vahingon toteen näyttäminen oli välttämätöntä: ks. ensimmäisen kerran puheenjohtajavaltion 16.12.2013 antama ilmoitus nro 17831/13, alaviite 541. Sen mukaan tästä kysymyksestä ei keskusteltu laajemmin.

29 Viittaan direktiivien 2004/48 ja 2014/104 valmisteluasiakirjoihin. Tulkinnalla, jossa yleisen tietosuoja-asetuksen 82 artikla laajennettaisiin koskemaan rangaistusluonteisia vahingonkorvauksia, olisi merkittäviä seurauksia jäsenvaltioille: niiden olisi esimerkiksi vastattava siihen, kuka on seuraamuksena käytettävän korvauksen saaja, miten korvaus lasketaan, jotta se täyttää sille asetetun tavoitteen, tai miten suhteuttaa se hallinnollistiin seuraamusmaksuihin ja rikosoikeudellisiin seuraamuksiin, jotta vältetään rangaistuksen kohtuuttomuus.

30 Näitä rikosoikeudellisia tai hallinnollisia ”muita seuraamuksia” ei ole yhdenmukaistettu. Seuraamusmaksujen tavoin niiden on oltava ”tehokkaita, oikeasuhteisia ja varoittavia” (84 artiklan 1 kohdan loppu).

31 En sulje pois sitä, että abstraktilla tasolla joitakin niistä voidaan soveltaa myös vahingonkorvausvastuun yhteydessä (esimerkiksi yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan b alakohdan mukaan rikkomisen ”tahallisuus tai tuottamuksellisuus”) tai ottaa huomioon vahingonkorvauksessa (kuten saman kohdan g alakohdan mukaan ”henkilötietoryhmät, joihin rikkominen vaikuttaa”). Näissäkään tapauksissa kunkin tekijän siirtäminen alalta toiselle ei kuitenkaan tapahdu automaattisesti.

32 Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohta.

33 Ei laskentaparametrina eikä sen vähentämiseksi summasta.

34 Yleisen tietosuoja-asetuksen 1 artikla sekä johdanto-osan 6, 9 ja 170 perustelukappale. Johdanto-osan yhdeksännessä perustelukappaleessa muistutetaan, että nämä olivat direktiivin 95/46 tavoitteet, ja korostetaan niiden olevan edelleen pätevät. Yleensä korostetaan, että direktiivissä 95/46 henkilötietojen vapaan liikkuvuuden tavoite oli ensisijainen suojelutavoitteeseen nähden, kun taas yleisessä tietosuoja-asetuksessa asia on päinvastoin, mikä selittyy sillä, että oikeus henkilötietojen suojaan tunnustetaan virallisesti perusoikeuskirjan 8 artiklassa, joka oli saatettava osaksi uutta lainsäädäntöä. Yleisen tietosuoja-asetuksen 1 artikla on kuitenkin selvä siltä osin kuin kyse on pyrkimyksestä sovittaa yhteen henkilötietojen suoja ja niiden vapaa liikkuvuus. Tämä merkitsee luonnollisesti, että sama suojan taso varmistetaan kaikissa jäsenvaltioissa välttämällä lainsäädännön pirstaloitumisesta johtuvat esteet, mutta myös vähentämällä yksityisten haluttomuutta jakaa tai toimittaa henkilötietoja niiden käsittelyä varten parantamalla luottamusta siihen, että näitä tietoja suojellaan.

35 Irlannin hallitus toteaa huomautustensa 53 kohdassa seuraavaa: ”– – very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage” (kursivointi tässä). Saksan oikeuskirjallisuudessa huomautetaan kanteiden väärinkäytön vaarasta ja tarpeesta välttää niin kutsutun ”datenschutzrechtliche Klageindustrie” ‑ilmiön syntyminen: Wybitul, T., Neu, L., Strauch, M., ”Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen”, Zeitschrift für Datenschutz, 2018, s. 202 ja sitä seuraavat sivut, erityisesti s. 206 ja Paal, B.P., Kritzer, I., „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, s. 2433 ja sitä seuraavat sivut.

36 Kannustavaa vaikutusta tai kerrannaisvaikutusta, joka johtuu sellaisen vahingonkorvauskanteen menestymisestä, johon ei liity vahinkoa, ei voida sivuuttaa. Se lisää todennäköisyyttä siihen, että talouden toimijoihin kohdistuu mahdollisen hallinnollisen tai rikosoikeudellisen seuraamuksen lisäksi ryhmäkanteita tai suuri määrä yksittäisiä kanteita (joissain tapauksissa jokseenkin väärinkäytösluonteisia).

37 Asianosaisten huomautuksissa ainoastaan viitataan siihen, mutta ei käsitellä sitä laajemmin. Niissä ei esimerkiksi täsmennetä, onko kyseessä ehdoton tai kumottavissa oleva olettama. Koska ensimmäinen vaihtoehto soveltuu parhaiten yhteen ennakkoratkaisua pyytäneen tuomioistuimen kysymyksen kanssa, käsittelen ainoastaan sitä.

38 Ks. matkustajille heidän lennolle pääsynsä epäämisen sekä lentojen peruuttamisen tai pitkäaikaisen viivästymisen johdosta annettavaa korvausta ja apua koskevista yhteisistä säännöistä sekä asetuksen (ETY) N:o 295/91 kumoamisesta 11.2.2004 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 261/2004 (EUVL 2004, L 46, s. 1) 7 artikla tai matkustajien oikeuksista meri- ja sisävesiliikenteessä sekä asetuksen (EY) N:o 2006/2004 muuttamisesta 24.11.2010 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1177/2010 (EUVL 2010, L 334, s. 1) 19 artikla.

39 Yleisen tietosuoja-asetuksen 82 artiklan 3 ja 4 kohdassa.

40 ”Kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan”.

41 ”[Tietoturvaloukkauksesta] – – voi aiheutua luonnollisille henkilöille – omien henkilötietojen valvomiskyvyn menettäminen”.

42 Tässä perustelukappaleessa luetellut seuraukset eivät ole automaattisia. Yleisen tietosuoja-asetuksen 34 artiklan mukaan rekisterinpitäjän on arvioitava tapauskohtaisesti, onko tietoturvaloukkauksesta ilmoitettava rekisteröidylle.

43 Tietojen valvomiskyvyn menettämiseen liittyvät tunneperäiset seuraukset, kuten pelko tai ahdistus siitä, mitä tiedoille voisi tapahtua, johtuvat menettämisestä, mutta eivät tarkoita samaa kuin se.

44 Tietyt jäsenvaltiot olivat ottaneet käyttöön vahinko-olettaman tietosuojaan läheisesti liittyvillä aloilla. Niinpä Espanjassa hyvää mainetta, yksityis- ja perhe-elämää ja omaa kuvaa koskevan oikeuden siviilioikeudellisesta suojasta 5.5.1982 annetun lain nro 1/1982 (Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen; BOE nro 115, 14.5.1982, s. 12546–12548) 9 §:n 3 momentissa säädettiin, että ”vahingon oletetaan olevan olemassa, jos on näytetty toteen, että [tässä laissa taattuja oikeuksia] on lainvastaisesti loukattu”.

45 Muistutan, että tässä oikeusriidassa menettelyn lainvastaisuus liittyy nimenomaisesti siihen, ettei rekisteröity ole antanut suostumustaan. Väitteet, jotka koskevat korvauksen saamista koskevan oikeuden paikkaa yleisen tietosuoja-asetuksen säännösten noudattamista koskevien takeiden joukossa, pätevät myös tässä tapauksessa.

46 Kyse on kuitenkin vain yhdestä lainmukaisen käsittelyn perusteesta, ja kaikki yleisessä tietosuoja-asetuksessa luetellut perusteet ovat samanarvoisia. Ks. 29 artiklan mukaisen tietosuojatyöryhmän 9.4.2014 antama lausunto 06/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän oikeutetun intressin käsitteestä, s. 10. Rekisterinpitäjä ei kuitenkaan voi muuttaa käsittelyn perustaa aloitettuaan käsittelyn: Asetuksen 2016/679 mukaista suostumusta koskevat Euroopan tietosuojaneuvoston suuntaviivat 05/2020, 121–123 kohta.

47 Yleisen tietosuoja-asetuksen 17 artiklan 1 kohta. Tämä ei merkitse sitä, ettei olisi olemassa oikeutta korvaukseen vahingoista, joita käsittelystä on voinut aiheutua tietojen poistamiseen saakka.

48 Tuomio 13.5.2014, Google Spain ja Google (C-131/12, EU:C:2014:317, tuomiolauselman 4 kohta).

49 Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) (COM(2012)011 final), s. 2 ja ehdotuksen johdanto-osan kuudes perustelukappale. Ks. myös komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle ”Yksityisyydensuoja verkottuvassa maailmassa – Euroopan uusi tietosuojakehys” (COM(2012) 09 final), 2 kohta.

50 Mielestäni määritelmän puuttuminen ei ole sattumaa. Henkilötietojen omistusoikeutta koskevien käsitteellisten pohdintojen lisäksi on selvitettävä, hyväksytäänkö se, että luonnollisten henkilöiden oikeus valvoa tietojaan merkitsee, että heillä on omistusoikeudet heitä koskeviin tietoihin (mikä ei todennäköisesti olisi kolmansien osapuolten ja koko yhteiskunnan etujen mukaista). Suositus henkilötietoja koskevan omistusoikeuden tunnustamisesta sisältyy Euroopan talous- ja sosiaalikomitean lausuntoon aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta datahallinnosta (datahallintosäädös)”, COM(2020) 767 final, (EUVL 2021, C 286, s. 38), 4.18 kohta: ”ETSK suosittaakin, että tunnustetaan digitaalisten tietojen eurooppalainen omistusoikeus, jotta kansalaiset (työntekijät, kuluttajat, yrittäjät) kykenevät valvomaan ja hallinnoimaan tietojensa käyttöä tai kieltämään sen” (kursivointi tässä). Sitä vastoin tietojen kielletään olevan hyödykkeitä, ks. jäljempänä alaviitteen 53 loppu.

51 Espanjankielisessä versiossa todetaan, että ”las personas físicas deben tener el control de sus propios daños personales” (kursivointi tässä); englanninkielisessä versiossa todetaan, että ”natural persons should have control of their own personal data” (ei ”the control”). Muissa versioissa, kuten portugalinkielisessä, kohdan sanamuoto on ”as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”. Yleisen tietosuoja-asetuksen 4 artiklan mukaan henkilötietoja koskeva valvonta kohdistuu niissä esitettyihin tietoihin. Tietojen käyttöä koskeva valvonta kohdistuu pikemminkin niiden käsittelyyn.

52 Käytännössä suostumus rajoittuu sen, jonka tarkoituksena on käsitellä tietoja, tekemän ehdotuksen hyväksymiseen tai hylkäämiseen.

53 En sulje pois sitä, että sääntelykehitys viittaisi rekisteröidyn omistusoikeuksien tunnustamiseen. On kuitenkin mielestäni epävarmaa, merkitseekö tämä yksiön oikeutta mahdollisimman kattavaan valvontaan: se, että rekisteröidyllä on omistusoikeus henkilötietoihin, ei välttämättä sovi hyvin yhteen talouden ja innovaatioiden kehityksen kanssa; niiden yhteensopivuus perusoikeutta koskevan ulottuvuuden kanssa on kyseenalainen. Ks. tietyistä digitaalisen sisällön ja digitaalisten palvelujen toimittamista koskeviin sopimuksiin liittyvistä seikoista 20.5.2019 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/770 (EUVL 2019, L 136, s. 1) johdanto-osan 24 perustelukappale: ”Tässä direktiivissä otetaan täysimääräisesti huomioon, että henkilötietojen suoja on perusoikeus ja siksi henkilötietoja ei voida pitää hyödykkeenä – –”. Kursivointi tässä.

54 Perusoikeuskirjan 19 artiklan sanamuotoa ei hyväksytty siinä muodossa, jossa se esitettiin puheenjohtajiston 11.5.2000 antamassa ilmoituksessa ”Ehdotus Euroopan unionin perusoikeuskirjaksi”, Charte 4284/1/00 REV 1: ”Toute personne a le droit de décider elle-même de la divulgation et de l'utilisation de ses données personnelles” [”Jokaisella henkilöllä on oikeus päättää itse henkilötietojensa ilmaisemisesta ja käytöstä”]. Hyväksymättä jäi myös sanamuoto, jota esitettiin saman määräyksen osalta puheenjohtajiston 4.6.2000 antamassa ilmoituksessa ”Ehdotus Euroopan unionin perusoikeuskirjaksi”, Charte 4333/00: ” Toute personne a le droit de décider elle-même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant” [”Jokaisella on oikeus päättää itseään koskevien luonteeltaan henkilökohtaisten tietojen keräämisestä, käytöstä ja ilmaisemisesta”]. Kansallisella tasolla ajatus tietoja koskevasta itsemääräämisoikeudesta on omaksuttu tietyissä jäsenvaltioissa, kuten Saksassa, Bundesverfassungsgerichtin (liittovaltion perustuslakituomioistuin, Saksa) annettua 15.12.1983 ratkaisun asiassa 1 BvR 209/83. Ks. Espanjan osalta esim. Tribunal Constitucionalin (perustuslakituomioistuin, Espanja) 30.11.2000 antama tuomio 292/2000 (BOE, 4.1.2001). En ole varma, onko näin unionin tapauksessa, vaikka tämänsuuntainen viittaus esitetään julkisasiamies Szpunarin ratkaisuehdotuksen Orange Romania (C-61/19, EU:C:2020:158) 37 kohdassa: ”Unionin tietosuojalainsäädännön johtavana periaatteena on ajatus yksityishenkilöstä, joka kykenee itse päättämään henkilötietojensa käytöstä ja käsittelystä itsemääräämisoikeutensa mukaisesti”; kohdassa viitataan nimenomaisesti saksalaiseen oikeuskirjallisuuteen.

55 Mietintöluonnos ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) (COM(2012)0011) – C7-0025/2012 – 2012/0011(COD)), PE501.927v04-00, 16.1.2013, tarkistus 29.

56 En väitä, että oikeussäännön rikkomisen pitäisi jäädä rankaisematta, vaan tarkoitan, että korvaus ei ole sopiva väline, jos vahinkoa ei ole aiheutunut.

57 Koska henkilölle annettu oikeus valvoa tietojaan ei voi itsessään olla yleisen tietosuoja-asetuksen tavoite, en sulje pois sitä, että tietojen valvomiskyvyn menettämistä käytetään aineettomien vahinkojen tunnustamista koskevana ohjeena kyseisen menettämisen aiheuttamien reaktioiden huomioon ottamiseksi.

58 Ks. edellä tämän ratkaisuehdotuksen 51 kohta. Tietojen vapaa liikkuvuus on ainoa tavoite muiden kuin henkilötietojen osalta: muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa 14.11.2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1807 (EUVL 2018, L 303, s. 59) 1 artikla.

59 Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle: ”Yksityisyydensuoja verkottuvassa maailmassa. Euroopan uusi tietosuojakehys” (COM(2012) 09 final), 1 kohta. Jäljempänä s. 5: ”yksityisyydensuojaan liittyvä huoli on suurimpia syitä siihen, että ihmiset eivät osta tavaroita ja palveluja verkosta”.

60 Yleisen tietosuoja-asetuksen johdanto-osan toinen perustelukappale: ”– – tukea vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä luonnollisten henkilöiden hyvinvointia”. Johdanto-osan neljäs perustelukappale: ”– – Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa – –”. Vastaavasti tuomio 24.9.2019, Google (Hakutulosten luettelosta poistamisen alueellinen ulottuvuus) (C-507/17, EU:C:2019:772, 60 kohta oikeuskäytäntöviittauksineen).

61 Tämä päämäärä on yhteinen sääntelylle, jonka tavoitteena on vahvistaa datan sisämarkkinoita. Vastaavasti komission tiedonannossa Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Euroopan datastrategia (COM(2020) 66 final, todetaan seuraavaa: ”Yhteiskunnassa, jossa ihmiset tuottavat yhä suurempia määriä dataa, yksilön edut on asetettava etusijalle datan keruu- ja käyttötavoissa eurooppalaisten arvojen, perusoikeuksien ja sääntöjen mukaisesti. Kansalaiset luottavat datavetoisiin innovaatioihin ja ottavat ne käyttöönsä vain, jos he voivat luottaa siihen, että kaikkeen henkilötietojen yhteiskäyttöön EU:ssa sovelletaan asianmukaisesti EU:n tiukkoja tietosuojasääntöjä.”

62 Ennakkoratkaisua pyytänyt tuomioistuin näyttää olevan huolissaan siitä (ennakkoratkaisupyyntö, kysymysten perustelujen 5 kohta), että korvauksesta tulisi rangaistusluonteinen, sen vuoksi, että yleisessä tietosuoja-asetuksessa säädetään jo suurista seuraamusmaksuista, joten asetuksen tehokkuus ei edellytä suurten korvausten maksamista myös henkisestä kärsimyksestä.

63 Tuomio C-30/19, Braathens Regional Aviation (EU:C:2021:269, 49 kohta): ”rahamäärän maksaminen ei ole riittävä keino sellaisen henkilön esittämien vaatimusten osalta, joka ensisijaisesti haluaa, että korvauksena aineettomasta vahingosta tunnustetaan, että hän on syrjinnän uhri, joten kyseisen rahamäärän maksamisen ei voida siten tässä tarkoituksessa katsoa täyttävän hyvitystehtävää riittävällä tavalla”. Kyseinen asia koski rodusta tai etnisestä alkuperästä riippumattoman yhdenvertaisen kohtelun periaatteen täytäntöönpanosta 29.6.2000 annettua neuvoston direktiiviä 2000/43/EY (EYVL 2000, L 180, s. 22).

64 Ks. Magnus, U., ”Comparative Report on the Law of Damages”, Unification of Tort Law: Damages, Kluwer Law International, 2001, s. 187, 14 ja 15 kappale.

65 Tyypillisesti common law ‑järjestelmissä ja erityisesti Yhdysvalloissa, jossa symbolisen korvauksen vaatimiseen turvaudutaan viimesijaisena perustuslaillisten oikeuksien puolustamiskeinona. Tiivistelmä keskusteluista, joita kyseisen keinon hyödyllisyydestä on käyty Yhdysvalloissa, ks. Grealish, M-B., ”A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion”, Fordham L. Rev., osa 87, s. 733 ja Yhdysvaltojen korkeimman oikeuden 8.3.2021 antama tuomio Uzuegbunam v. Preczewski. Symbolisia korvauksia (nominal damages) ei hyväksytä yksiselitteisesti myöskään Yhdistyneessä kuningaskunnassa: symbolisten vahingonkorvauksien määräämistä koskevan intressin oletetaan käytännössä riippuvan siitä, että edunsaaja katsotaan voittavaksi osapuoleksi oikeudenkäyntikulujen jakamisen osalta, mikä ei ole ollut itsestään selvää tuomion Anglo-Cyprian Trade Agencies Ltd v Paphos Wine Industries Ltd (1951) 1 All ER 873 antamisen jälkeen.

66 Yhteisöjen tuomioistuin vaati (tuolloisen) ETY:n perustamissopimuksen 215 artiklan mukaisesti vahingon toteen näyttämistä myös silloin, kun kantaja vaati symbolista korvausta sen vuoksi, että vahingon toteen näyttäminen oli vaikeaa: tuomio 21.5.1976, Roquette Frères v. komissio (26/74, EU:C:1976:69, 23 ja 24 kohta).

67 Immateriaalioikeuksien yhteydessä vahingonkorvauksella, joka määrätään oikeussäännön rikkomisen vuoksi, pyritään saavuttamaan tälle alalle luonteenomainen keskeinen tavoite suojata oikeuden taloudellista koskemattomuutta. Direktiivin 2004/48 13 artiklan 1 kohdan a alakohdassa mainitaan ”loukkaajaan saama perusteeton etu” yhtenä niistä tekijöistä, joita oikeusviranomaisten on pohdittava vahinkojen toteamiseksi.

68 Vastaava säännös sisältyy yhteisön kasvinjalostajanoikeuksista 27.7.1994 annetun neuvoston asetuksen (EY) N:o 2100/94 (EYVL 1994, L 227, s. 1) 94 artiklan 2 kohtaan: ”Jos vahinko on pieni, omistajan oikeutta hyvitykseen voidaan vastaavasti pienentää, hyvitys ei kuitenkaan saa olla pienempi kuin tuotteiden väärentäjän tuoteväärennösten tekemisestä saama hyöty”.

69 Se, että tunteita tai tuntemuksia on mahdotonta pukea sanoiksi, varsinkin jos ne liittyvät vaaroihin siitä, mitä tiedoille voi tapahtua tulevaisuudessa, on johtanut siihen, ettei niitä pidetä vahinkoina, koska ne eivät ole riittävän konkreettisia tai ne ovat luonteeltaan hypoteettisia.

70 Eli käsitteitä ”chefs de préjudice” tai ”heads of damage”.

71 Kyseisen johdanto-osan perustelukappaleen mukaan rekisteröityjen olisi saatava ”täysi ja tosiasiallinen” korvaus. Mielestäni tällä toteamuksella ei ole merkitystä kolmannen ennakkoratkaisukysymyksen kannalta, koska siinä ei viitata korvattavien vahinkojen luokkiin vaan korvauksen laskemiseen (tämä vaihe seuraa loogisesti korvattavien vahinkojen määrittämistä, eikä näitä kahta vaihetta voida sekoittaa toisiinsa). Kun otetaan huomioon yleisen tietosuoja-asetuksen valmisteluasiakirjat, pitämällä kiinni ”täyden ja tosiasiallisen” korvauksen edellytyksestä taataan se, että useiden rekisterinpitäjien ja henkilötietojen käsittelijöiden osallistuminen ei johda rekisteröidyn vahinkojen korvaamiseen vain osittain. Tämän vuoksi yleisen tietosuoja-asetuksen 82 artiklan 4 kohdassa säädetään, että ”– – kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa koko vahingosta, jotta voidaan varmistaa, että rekisteröity saa tosiasiallisen korvauksen”.

72 Direktiivin 95/46 23 artiklassa ei täsmennetty korvattavia vahinkoja, mikä antoi mahdollisuuden keskustella siitä, mitkä vahingot se kattoi. Yleistä tietosuoja-asetusta edeltäneissä neuvotteluissa keskityttiin hälventämään aineettomien vahinkojen sisällyttämiseen liittyviä epäilyjä. Edellä alaviitteessä 49 mainitun komission ehdotuksen johdanto-osan 118 perustelukappaleessa viitattiin mahdollisesti aiheutuneiden vahinkojen korvaamiseen. Yhteisen lainsäädäntömenettelyn myöhemmissä vaiheissa mainittiin ”mahdollisesti aiheutuneet joko rahalliset tai muut vahingot”, minkä jälkeen käytettiin sanamuotoa ”muut kuin rahamääräiset vahingot” ja lopulta nykyistä sanamuotoa ”aineettomat vahingot”.

73 Se ei ollut tehnyt näin direktiivin 95/46 23 artiklan osalta eikä toistaiseksi myöskään yleisen tietosuoja-asetuksen 82 artiklan osalta. Ei myöskään – ellen erehdy – luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (EUVL L 119, s. 89) 56 artiklan tai kumotun puitepäätöksen 19 artiklan osalta.

74 Se ei myöskään ole todennut minkään itsenäisen tai kansalliseen lainsäädäntöön viittaavan tulkintamenetelmän olevan ensisijainen, vaan se riippuu tutkittavasta asiasta. Vrt. puutteellisten tuotteiden alalla 10.5.2001 annettu tuomio Veedfald (C-203/99, EU:C:2001:258, 27 kohta); lentoliikenteen harjoittajan korvausvastuun alalla 6.5.2010 annettu tuomio Walz (C-63/09, EU:C:2010:251, 21 kohta) tai moottoriajoneuvojen käyttämisestä aiheutuneiden vahinkotapahtumien alalla 10.6.2021 annettu tuomio Van Ameyde España (C-923/19, EU:C:2021:475, 37 kohta ja sitä seuraavat kohdat). Yleisestä tietosuoja-asetuksesta käytyjä neuvotteluja koskevista asiakirjoista ilmenevät jäsenvaltioiden epäilykset siitä, onko (tuolloiseen) 77 artiklaan sisältyvien vahingon ja korvauksen käsitteiden oltava itsenäisiä, ja niissä esitetään tältä osin erilaisia näkemyksiä. Komissio kannatti asian jättämistä unionin tuomioistuimen ratkaistavaksi. Ks. Euroopan unionin neuvosto, puheenjohtajavaltion 16.12.2013 antama ilmoitus nro 17831/13, alaviite 539.

75 Esimerkiksi kuluttajat tai liikenneonnettomuuksien uhrit.

76 Matkapakettien alalla tuomio 12.3.2002, Leitner (C-168/00, EU:C:2002:163); moottoriajoneuvojen käyttöön liittyvän vastuun alalla tuomio 24.10.2013, tuomio Haasová (C-22/12, EU:C:2013:692, 47–50 kohta); tuomio 24.10.2013, Drozdovs (C-277/12, EU:C:2013:685, 40 kohta) ja tuomio 23.1.2014, Petillo (C-371/12, EU:C:2014:26, 35 kohta).

77 Tuomion 23.1.2014, Petillo (C-371/12, EU:C:2014:26) tuomiolauselma: unionin oikeus ei ole esteenä ”kansalliselle lainsäädännölle, jossa säädetään lievistä terveyteen kohdistuvista vahingoista, jotka ovat aiheutuneet moottoriajoneuvojen käyttöön liittyvistä tieliikenneonnettomuuksista, johtuvien aineettomien vahinkojen korvaamista koskevasta erityisestä järjestelmästä ja rajoitetaan näiden vahinkojen korvaamista verrattuna muista syistä kuin tieliikenneonnettomuuksista aiheutuneiden samanlaisten vahinkojen korvaamiseen”.

78 Esim. lomanautinnon menettämisestä 12.3.2002 annettu tuomio Leitner (C-168/00, EU:C:2002:163) ja matkatavaroiden katoamisesta matkapakettien yhteydessä 6.5.2010 annettu tuomio Walz (C-63/09, EU:C:2010:251).

79 Direktiivin 2004/48 tulkinnasta 17.3.2016 annetussa tuomiossa Liffers (C-99/15, EU:C:2016:173, 17 kohta) korostettiin, että aineeton vahinko on osa tosiasiallisesti aiheutunutta vahinkoa, ”mikäli se näytetään toteen”. Loogisesti vahingon toteen näyttäminen edellyttää, että vahinko on tosiasiassa syntynyt; tämä puolestaan liittyy läheisesti ajatukseen vahingon vakavuudesta, vaikka ei vastaakaan sitä.

80 Ks. edempänä tämän ratkaisuehdotuksen 51 kohta.

81 Ks. edempänä tämän ratkaisuehdotuksen 45 kohta ja sitä seuraavat kohdat.

82 Äskettäin Italiassa Tribunale di Palermo, sez. I civilen tietosuojan alalla 5.10.2017 antama tuomio nro 5261 sekä Cass Civ. Ord. Sez 6:n antama tuomio nro 17383/2020. Saksassa mm. AG Diez, 7.11.2018 –8 C 130/18; LG Karlsruhe, 2.8.2019 –8 O 26/19 ja AG Frankfurt am Main, 10.7.2020 –385 C 155/19 (70). Itävallassa OGH 6 Ob 56/21k.

83 Ks. 23.10.2012 annetun tuomion Nelson ym. (C-581/10 ja C-629/10, EU:C:2012:657) 51 kohta, jossa erotetaan toisistaan eräiden kansainvälistä ilmakuljetusta koskevien sääntöjen yhtenäistämisestä Montrealissa 28.5.1999 tehdyn yleissopimuksen 19 artiklassa tarkoitettu vahinko ja asetuksessa N:o 261/2004 tarkoitetut haitat, jotka ovat 19.11.2009 annetun tuomion Sturgeon ym. (C-402/07 ja C-432/07) mukaan korvattavia viimeksi mainitun asetuksen 7 artiklan nojalla. Tällä alalla, kuten asetuksessa N:o 1177/2010 tarkoitettujen meri- ja sisävesiliikenteen matkustajaliikennepalvelujen alalla, lainsäätäjä on voinut hyväksyä abstraktin vaikeuksien ryhmän sillä perusteella, että vaikeuden aiheuttava tekijä ja sen merkitys ovat samat kaikille vahinkoa kärsineille osapuolille. Mielestäni tämä päättely ei ole mahdollinen tietosuojan alalla.

84 Yleisen tietosuoja-asetuksen 82 artiklan mukaisen oikeuden käyttämistä koskeva esimerkkimekanismi on kanteen nostaminen tavanomaisessa tuomioistuinmenettelyssä. Tehokkuusperiaate voi tietenkin asettaa edellytyksiä kansallisten sääntöjen soveltamiselle oikeudenkäyntikulujen ja todistelun kaltaisiin seikkoihin. Se, että on vaikea hyväksyä, että pelkät harmit ovat korvattavia, ei kuitenkaan johdu pelkästään siitä, että oikeusriidan kulut ovat suhteettoman suuret harmien rahalliseen arvoon nähden (sen lisäksi, että lainkäyttöön liittyvät kustannukset eivät kohdistu yksinomaan asianosaisiin). Koska yleisessä tietosuoja-asetuksessa ei ole asiaa koskevia säännöksiä, ei mielestäni ole perusteltua vaatia jäsenvaltioita kehittämään ad hoc ‑menettelyä.

85 Muistutan, että yleisen tietosuoja-asetuksen 82 artiklan 3 kohdan mukaan rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta vain, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

86 Näillä pohdinnoilla en ota ennalta kantaa siihen, kuuluiko UI:n tilanne nyt käsiteltävässä asiassa johonkin tiettyyn ryhmään, minkä ennakkoratkaisua pyytänyt tuomioistuin ratkaisee.

87 Sama koskee korvauksen määrää.