–

AT ja VX, esindaja: Rechtsanwalt O. Leuze,

–

Gemeinde Ummendorf, esindaja: Rechtsanwalt A. Staudacher,

–

Iirimaa, esindajad: M. Browne, A. Joyce ja M. Tierney, keda abistas D. Fennelly, BL,

–

Euroopa Komisjon, esindajad: A. Bouchagiar, M. Heller ja H. Kranenborg,

1

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 82 lõiget 1.

2

Taotlus on esitatud kahe füüsilise isiku, AT ja VX, ning Gemeinde Ummendorfi (Ummendorfi kohalik omavalitsusüksus, Saksamaa) vahelises kohtuvaidluses, mille ese on isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel kahjuhüvitise väljamõistmine põhjustatud kannatuste eest (pretium doloris), mida nad väidetavalt kandsid seetõttu, et nende isikuandmed avaldati ilma nende nõusolekuta selle omavalitsusüksuse veebisaidil.

3

Isikuandmete kaitse üldmääruse põhjenduse 146 esimene, kolmas ja kuues lause on sõnastatud järgmiselt:

„Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. […] Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. […] Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]“.

4

Määruse artikli 5 „Isikuandmete töötlemise põhimõtted“ lõike 1 punktis a on sätestatud:

„Isikuandmete töötlemisel tagatakse, et

5

Selle määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõikes 1 on sätestatud:

„Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“

6

Ummendorfi omavalitsusüksus avaldas ilma põhikohtuasja kaebajate nõusolekuta 19. juunil 2020 internetis kohaliku omavalitsusüksuse volikogu istungi päevakorra, milles oli korduvalt nimetatud kaebajate nimesid, ning Verwaltungsgericht Sigmaringeni (Sigmaringeni halduskohus, Saksamaa) 10. märtsi 2020. aasta kohtuotsuse, milles olid samuti ära toodud nende perekonna- ja eesnimed ning nende elukoha aadress. Need dokumendid olid kättesaadavad selle omavalitsusüksuse veebisaidi avalehel kuni 22. juunini 2020.

7

Kuivõrd põhikohtuasja kaebajad leidsid, et sellise avaldamisega rikuti isikuandmete kaitse üldmäärust ning et Ummendorfi omavalitsusüksus oli tegutsenud tahtlikult, kuna ülejäänud selle kohtuotsusega päädinud menetluse osaliste nimed olid kustutatud, siis palusid põhikohtuasja kaebajad kohalikul omavalitsusüksusel hüvitada mittevaralise kahju, mida nad väitsid end olevat kandnud selle määruse artikli 82 lõike 1 tähenduses. Nad leiavad, et isiku isikuandmete ebaseaduslik avalikustamine kujutab endast „kahju“ selle sätte tähenduses, ilma et saaks tugineda „miinimumkünnisele“, mis oleks vastuolus isikuandmete kaitse üldmääruse ülesehituse ja nimetatud sätte heidutava mõjuga.

8

Ummendorfi omavalitsusüksus leiab seevastu, et isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses „mittevaralise kahju“ hüvitamiseks on vaja tõendada tegelikult tekkinud kahju ja nende isiklike huvide objektiivselt tajutavat kahjustamist.

9

Põhikohtuasja poolte vahelist apellatsioonitaseme vaidlust lahendav Landgericht Ravensburg (Ravensburgi appellatsioonikohus, Saksamaa), kes on eelotsusetaotluse esitanud kohus, leiab, et põhikohtuasja kaebajate isikuandmete veebis avaldamisega rikkus Ummendorfi omavalitsusüksus isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti a. Eelotsusetaotluse esitanud kohtul on siiski tekkinud küsimus, kas see avaldamine tekitas hagejatele mittevaralist kahju selle määruse artikli 82 lõike 1 tähenduses, mis annaks neile õiguse saada kogetud kannatuste eest hüvitist.

10

Eelkõige leiab eelotsusetaotluse esitanud kohus, et pelgalt kontrolli kaotamine põhikohtuasja kaebajate isikuandmete üle ei ole piisav, et tuvastada mittevaraline kahju isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses. Ta leiab, et mittevaralise kahju olemasolu tuvastamiseks tuleb ületada „miinimumkünnis“ ning et see ei ole ületatud, kui andmesubjektid kaotasid kontrolli oma andmete üle vaid lühikese aja jooksul, ilma et see oleks neile tekitanud tegelikku kahju ja ilma et oleks tõendatud nende isiklike huvide objektiivselt tajutav kahjustamine.

11

Nendel asjaoludel otsustas Landgericht Ravensburg (Ravensburgi apellatsioonikohus) menetluse peatada ning esitada Euroopa Kohtule järgmise eelotsuse küsimuse:

„Kas [isikuandmete kaitse üldmääruse] artikli 82 lõikes 1 sisalduvat mõistet „mittemateriaalne kahju“ tuleb tõlgendada nii, et mittevaralise kahju olemasolu saab eeldada vaid juhul, kui andmesubjektile on tekkinud tegelik kahju ja tema isiklikke huve on objektiivselt tajutavalt kahjustatud, või piisab sellest, et andmesubjekt kaotab lihtsalt lühiajaliselt kontrolli oma andmete üle seetõttu, et tema isikuandmed on mõne päeva vältel veebis avaldatud, ilma et see oleks tekitanud andmesubjektile tegelikke või negatiivseid tagajärgi?“

12

Oma küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid või liikmesriigi praktika, millega kehtestatakse selle määruse rikkumisega tekitatud mittevaralise kahju iseloomustamiseks „miinimumkünnis“.

13

Sellega seoses tuleb meenutada, et selles sättes on ette nähtud, et „[i]gal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest“.

14

Nagu Euroopa Kohus on rõhutanud, tuleneb isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusest, et „kantud kahju“ või „tekitatud kahju“ olemasolu on üks selles sättes ette nähtud hüvitise saamise õiguse tingimustest, nagu ka isikuandmete kaitse üldmääruse rikkumise esinemine ja põhjuslik seos kahju ja rikkumise vahel, kusjuures need kolm tingimust on kumulatiivsed (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 32, ning kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, punkt 77). Sellest järeldub, et need kolm tingimust on vajalikud ja piisavad selleks, et tekiks õigus hüvitisele nimetatud sätte tähenduses.

15

Arvestades, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 puudub igasugune viide liikmesriikide riigisisesele õigusele, tuleb mõistele „mittevaraline kahju“ selle sätte tähenduses anda liidu õigusele omane autonoomne ja ühetaoline määratlus (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 30 ja 44).

16

Sellest vaatevinklist ning tuginedes nii grammatilistele, süstemaatilistele kui ka teleoloogilistele kaalutlustele, tõlgendas Euroopa Kohus isikuandmete kaitse üldmääruse artikli 82 lõiget 1 nii, et sellega on vastuolus riigisisene õigusnorm või praktika, mille kohaselt eeldab selle sätte tähenduses mittevaralise kahju hüvitamine, et andmesubjektile tekkinud kahju oleks teatud raskusastmega (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 51, ning kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, kohtulahendite kogumikus veel avaldamata, punkt 78).

17

Seega ei saa asuda seisukohale, et lisaks käesoleva kohtuotsuse punktis 14 nimetatud kolmele tingimusele võiks lisada muid isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ette nähtud vastutuse tekkimise tingimusi, nagu kahju tegelik laad või kahjustamise objektiivne laad.

18

Sellest järeldub, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 ei ole nõutud, et selle määruse sätete tõendatud rikkumise korral peab andmesubjekti väidetav „mittevaraline kahju“ ulatuma „miinimumkünniseni“, et see kahju oleks hüvitatav.

19

Niisugust tõlgendust kinnitab isikuandmete kaitse üldmääruse põhjenduse 146 kolmas lause, mille kohaselt „[k]ahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke“. Ent mõistete „kantud kahju“ või „tekitatud kahju“ laia käsitlusega, mida eelistab liidu seadusandja, mindaks vastuollu, kui neid mõisteid piirataks üksnes teatava raskusastmega kahjuga, eelkõige seoses selle ajavahemiku pikkusega, mille jooksul asjaomased isikud kandsid nimetatud määruse rikkumisest tulenevaid negatiivseid tagajärgi (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 46, ning kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, kohtulahendite kogumikus veel avaldamata, punkt 81).

20

Lisaks on selline tõlgendus kooskõlas ühega isikuandmete kaitse üldmääruse eesmärkidest, milleks on tagada liidus füüsiliste isikute järjekindel ja kõrgetasemeline kaitse isikuandmete töötlemisel. See, kui seada mittevaralise kahju hüvitamine sõltuvusse teatud raskusastmest, võib aga kahjustada isikuandmete kaitse üldmäärusega kehtestatud korra järjekindlust, kuna sellise künnise astmelisus, millest sõltuks, kas hüvitist on võimalik saada või mitte, varieeruks olenevalt asja menetlevate kohtute hinnangust (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 48 ja 49).

21

Isik, keda puudutab isikuandmete kaitse üldmääruse rikkumine, millel on tema jaoks negatiivsed tagajärjed, peab siiski tõendama, et need tagajärjed kujutavad endast mittevaralist kahju selle määruse artikli 82 tähenduses (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 50, ning kohtuotsus Natsionalna agentsia za prihodite, C‑340/21, punkt 84). Nimelt ei piisa pelgalt selle määruse sätete rikkumisest, et tekiks õigus hüvitisele (4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punkt 42).

22

Neil asjaoludel – kuigi miski ei takista seda, et isikuandmete internetis avaldamine ja sellele järgnev lühikese aja jooksul nende üle kontrolli kaotamine võib tekitada andmesubjektidele isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses „mittevaralist kahju“, mis annab õiguse hüvitisele –, on veel vaja, et need isikud tõendaksid, et nad on tegelikult sellist kahju kandnud, olgu see kahju kui tahes minimaalne.

23

Eeltoodud kaalutlusi arvestades tuleb esitatud küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid või liikmesriigi praktika, millega kehtestatakse „miinimumkünnis“, mis iseloomustab selle määruse rikkumisega tekitatud mittevaralist kahju. Asjaomane isik peab tõendama, et selle rikkumise tagajärjed, mille all ta väidab end olevat kannatanud, kujutavad endast kahju, mis eristub pelgast nimetatud määruse sätete rikkumisest.

24

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 82 lõiget 1

tuleb tõlgendada nii, et

sellega on vastuolus riigisisesed õigusnormid või liikmesriigi praktika, millega kehtestatakse „miinimumkünnis“, mis iseloomustab selle määruse rikkumisega tekitatud mittevaralist kahju. Asjaomane isik peab tõendama, et selle rikkumise tagajärjed, mille all ta väidab end olevat kannatanud, kujutavad endast kahju, mis eristub pelgast nimetatud määruse sätete rikkumisest.