–

ο ZQ, εκπροσωπούμενος από τον E. Daun, Rechtsanwalt,

–

η Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, εκπροσωπούμενη από τον M. Wehner, Rechtsanwalt,

–

η Ιρλανδία, εκπροσωπούμενη από την M. Browne, Chief State Solicitor, τον A. Joyce και την M. Lane, επικουρούμενους από τον D. Fennelly, BL,

–

η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από την M. Russo, avvocato dello Stato,

–

η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τον A. Μπουχάγιαρ, την M. Heller και τον H. Kranenborg,

1

Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 9, παράγραφος 1, παράγραφος 2, στοιχείο ηʹ, και παράγραφος 3, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ), σε συνδυασμό με το άρθρο 6, παράγραφος 1, του κανονισμού αυτού, καθώς και την ερμηνεία του άρθρου 82, παράγραφος 1, του ίδιου κανονισμού.

2

Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του ZQ και του εργοδότη του, της Medizinischer Dienst der Krankenversicherung Nordrhein (ιατρικής υπηρεσίας του ταμείου ασφάλισης υγείας της Βόρειας Ρηνανίας, Γερμανία) (στο εξής: MDK Nordrhein), σχετικά με την αποκατάσταση της ζημίας που ο ZQ προβάλλει ότι υπέστη λόγω παράνομης επεξεργασίας δεδομένων που αφορούν την υγεία του από την MDK Nordrhein.

3

Οι αιτιολογικές σκέψεις 4 έως 8, 10, 35, 51 έως 53, 75 και 146 του ΓΚΠΔ έχουν ως εξής:

[…]

[…]

[…]

[…]

[…]

4

Στο κεφάλαιο I του κανονισμού αυτού, το οποίο αφορά τις «[γ]ενικές διατάξεις», περιλαμβάνεται το άρθρο 2, με τίτλο «Ουσιαστικό πεδίο εφαρμογής», που προβλέπει στην παράγραφο 1 τα εξής:

«Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.»

5

Το άρθρο 4 του εν λόγω κανονισμού, που επιγράφεται «Ορισμοί», προβλέπει τα ακόλουθα:

«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:

[…]

[…]

[…]».

6

Το κεφάλαιο II του ΓΚΠΔ, σχετικά με τις «[α]ρχές» που καθορίζονται από αυτόν, περιλαμβάνει τα άρθρα 5 έως 11.

7

Το άρθρο 5 του ΓΚΠΔ, το οποίο τιτλοφορείται «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», προβλέπει τα εξής:

«1.   Τα δεδομένα προσωπικού χαρακτήρα:

[…]

2.   Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»

8

Το άρθρο 6 του ως άνω κανονισμού, το οποίο φέρει τον τίτλο «Νομιμότητα της επεξεργασίας», προβλέπει στην παράγραφο 1 τα εξής:

«Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.»

9

Το άρθρο 9 του ίδιου κανονισμού, το οποίο φέρει τον τίτλο «Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα», ορίζει τα εξής:

«1.   Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2.   Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

[…]

[…]

[…]

3.   Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 1 μπορεί να τύχουν επεξεργασίας για τους σκοπούς που προβλέπονται στην παράγραφο 2 στοιχείο η), όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

4.   Τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.»

10

Το κεφάλαιο IV του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», περιλαμβάνει τα άρθρα 24 έως 43.

11

Στο επιγραφόμενο «Γενικές υποχρεώσεις» τμήμα 1 του κεφαλαίου αυτού, περιλαμβάνεται το άρθρο 24 του κανονισμού, το οποίο τιτλοφορείται «Ευθύνη του υπευθύνου της επεξεργασίας» και προβλέπει στην παράγραφο 1 τα εξής:

«Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.»

12

Περιλαμβανόμενο στο τμήμα 2 του ως άνω κεφαλαίου, με τίτλο «Ασφάλεια δεδομένων προσωπικού χαρακτήρα», το άρθρο 32 του εν λόγω κανονισμού, το οποίο επιγράφεται «Ασφάλεια επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής:

«Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

[…]».

13

Το κεφάλαιο VIII του ΓΚΠΔ, το οποίο επιγράφεται «Προσφυγές, ευθύνη και κυρώσεις», περιλαμβάνει τα άρθρα 77 έως 84 του κανονισμού.

14

Κατά το άρθρο 82 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη»:

«1.   Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2.   Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. […]

3.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχ[ει] δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

[…]»

15

Το άρθρο 83 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Γενικοί όροι επιβολής διοικητικών προστίμων», προβλέπει τα εξής:

«1.   Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.

2.   […] Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:

[…]

[…]

3.   Σε περίπτωση που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει [εκ προθέσεως ή εξ αμελείας] αρκετές διατάξεις του παρόντος κανονισμού, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.

[…]»

16

Το άρθρο 84 του ως άνω κανονισμού, το οποίο επιγράφεται «Κυρώσεις», ορίζει στην παράγραφο 1 τα εξής:

«Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Οι εν λόγω κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.»

17

Δυνάμει του άρθρου 275, παράγραφος 1, του Sozialgesetzbuch, Fünftes Buch (κώδικα κοινωνικής ασφάλισης, πέμπτο βιβλίο), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της διαφοράς της κύριας δίκης, τα ταμεία υποχρεωτικής ασφάλισης υγείας υποχρεούνται να ζητούν από τη Medizinischer Dienst (ιατρική υπηρεσία), η οποία τα επικουρεί, ιδίως, τη διενέργεια πραγματογνωμοσύνης με σκοπό της άρση των αμφιβολιών όσον αφορά την ανικανότητα προς εργασία ενός ασφαλισμένου, στις συγκεκριμένες περιπτώσεις που ορίζει ο νόμος ή όταν απαιτείται λόγω της ασθένειας του ασφαλισμένου.

18

Το άρθρο 278, παράγραφος 1, του κώδικα αυτού προβλέπει τη σύσταση τέτοιας ιατρικής υπηρεσίας σε καθένα από τα ομόσπονδα κράτη, υπό τη μορφή οργανισμού δημοσίου δικαίου.

19

Η MDK Nordrhein είναι οργανισμός δημοσίου δικαίου ο οποίος, ως ιατρική υπηρεσία των ταμείων ασφάλισης υγείας, έχει ως εκ του νόμου αποστολή, μεταξύ άλλων, να διενεργεί ιατρικές πραγματογνωμοσύνες με σκοπό την άρση των αμφιβολιών όσον αφορά την ανικανότητα προς εργασία των ασφαλισμένων στα ταμεία υποχρεωτικής ασφάλισης υγείας που υπάγονται στην αρμοδιότητά της, ακόμη και όταν οι πραγματογνωμοσύνες αυτές αφορούν τους ίδιους τους υπαλλήλους της.

20

Σε μια τέτοια περίπτωση, μόνον τα μέλη μιας ειδικής μονάδας, η οποία καλείται «τομέας ειδικών περιπτώσεων», επιτρέπεται να επεξεργάζονται τα λεγόμενα «κοινωνικά» δεδομένα των υπαλλήλων αυτών, χρησιμοποιώντας μη προσπελάσιμο στους λοιπούς υπαλλήλους τομέα του συστήματος πληροφορικής του οργανισμού, και να έχουν πρόσβαση στα ψηφιακά αρχεία, μετά την ολοκλήρωση του φακέλου πραγματογνωμοσύνης. Εσωτερικό υπηρεσιακό σημείωμα που αφορά τις περιπτώσεις αυτές προβλέπει, μεταξύ άλλων, ότι περιορισμένος αριθμός εξουσιοδοτημένων υπαλλήλων, μεταξύ των οποίων ορισμένοι υπάλληλοι της υπηρεσίας πληροφορικής, έχουν πρόσβαση στα εν λόγω δεδομένα.

21

Ο αναιρεσείων της κύριας δίκης εργάστηκε στην υπηρεσία πληροφορικής της MDK Nordrhein, πριν περιέλθει σε κατάσταση ανικανότητας προς εργασία για ιατρικούς λόγους. Μετά το πέρας του εξαμήνου κατά το οποίο ο οργανισμός αυτός, ως εργοδότης, συνέχισε να του καταβάλλει αμοιβή, το ταμείο υποχρεωτικής ασφάλισης υγείας στο οποίο ήταν ασφαλισμένος άρχισε να του καταβάλλει επίδομα ασθενείας.

22

Κατόπιν τούτου, το ως άνω ταμείο ζήτησε από την MDK Nordrhein να διενεργήσει πραγματογνωμοσύνη σχετικά με την ανικανότητα προς εργασία του αναιρεσείοντος της κύριας δίκης. Ένας ιατρός που εργάζεται στον «τομέα ειδικών περιπτώσεων» της MDK Nordrhein διενήργησε την πραγματογνωμοσύνη, λαμβάνοντας ιδίως πληροφορίες από τον θεράποντα ιατρό του αναιρεσείοντος της κύριας δίκης. Όταν ο αναιρεσείων αυτός ενημερώθηκε σχετικά από τον θεράποντα ιατρό του, επικοινώνησε με έναν από τους συναδέλφους του στην υπηρεσία πληροφορικής και του ζήτησε να φωτογραφίσει την έκθεση πραγματογνωμοσύνης που περιλαμβανόταν στα ψηφιακά αρχεία της MDK Nordrhein και στη συνέχεια να του διαβιβάσει τις σχετικές φωτογραφίες.

23

Εκτιμώντας ότι δεδομένα σχετικά με την υγεία του αποτέλεσαν αντικείμενο παράνομης επεξεργασίας από τον εργοδότη του, ο αναιρεσείων της κύριας δίκης ζήτησε να του καταβληθεί αποζημίωση ύψους 20000 ευρώ, την οποία η MDK Nordrhein αρνήθηκε να καταβάλει.

24

Στη συνέχεια, ο αναιρεσείων της κύριας δίκης άσκησε αγωγή ενώπιον του Arbeitsgericht Düsseldorf (δικαστηρίου εργατικών διαφορών Ντίσελντορφ, Γερμανία) ζητώντας, βάσει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ και των διατάξεων του γερμανικού δικαίου, να υποχρεωθεί η MDK Nordrhein να αποκαταστήσει τη ζημία που προέβαλε ότι υπέστη λόγω της πραγματοποιηθείσας κατά τα ως άνω επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ισχυρίστηκε κατ’ ουσίαν, αφενός, ότι η επίμαχη πραγματογνωμοσύνη έπρεπε να είχε διενεργηθεί από άλλη ιατρική υπηρεσία προκειμένου να αποφευχθεί το ενδεχόμενο οι συνάδελφοί του να έχουν πρόσβαση σε δεδομένα σχετικά με την υγεία του και, αφετέρου, ότι τα μέτρα ασφαλείας που εφαρμόστηκαν στο πλαίσιο της αρχειοθέτησης της έκθεσης πραγματογνωμοσύνης ήταν ανεπαρκή. Υποστήριξε επίσης ότι η ως άνω επεξεργασία συνιστούσε παράβαση των κανόνων δικαίου που προστατεύουν τέτοια δεδομένα, η οποία του προκάλεσε τόσο υλική όσο και μη υλική ζημία.

25

Στο πλαίσιο της άμυνάς της, η MDK Nordrhein υποστήριξε ότι η συλλογή και η διατήρηση των δεδομένων που αφορούν την υγεία του αναιρεσείοντος της κύριας δίκης είχαν πραγματοποιηθεί σύμφωνα με τις διατάξεις περί προστασίας των δεδομένων αυτών.

26

Μετά την απόρριψη της αγωγής του σε πρώτο βαθμό, ο αναιρεσείων της κύριας δίκης άσκησε έφεση ενώπιον του Landesarbeitsgericht Düsseldorf (δευτεροβάθμιου δικαστηρίου εργατικών διαφορών Ντίσελντορφ, Γερμανία), το οποίο απέρριψε την έφεσή του. Κατόπιν τούτου, άσκησε αναίρεση ενώπιον του Bundesarbeitsgericht (Ομοσπονδιακού Δικαστηρίου Εργατικών Διαφορών, Γερμανία), το οποίο είναι το αιτούν δικαστήριο στην υπό κρίση υπόθεση.

27

Το αιτούν δικαστήριο εκκινεί από την παραδοχή ότι, στη διαφορά της κύριας δίκης, η πραγματογνωμοσύνη που διενήργησε η MDK Nordrhein, ως ιατρική υπηρεσία, συνιστά «επεξεργασία»«δεδομένων προσωπικού χαρακτήρα» και, ειδικότερα, «δεδομένων που αφορούν την υγεία», κατά την έννοια του άρθρου 4, σημεία 1, 2 και 15, του ΓΚΠΔ, και ως εκ τούτου η πράξη αυτή εμπίπτει στο καθ’ ύλην πεδίο εφαρμογής του κανονισμού, όπως αυτό ορίζεται στο άρθρο του 2, παράγραφος 1. Επιπλέον, θεωρεί ότι η MDK Nordrhein είναι ο οικείος «υπεύθυνος επεξεργασίας», κατά την έννοια του άρθρου 4, σημείο 7, του εν λόγω κανονισμού.

28

Οι προβληματισμοί του σχετίζονται, πρώτον, με την ερμηνεία διαφόρων διατάξεων του άρθρου 9 του ΓΚΠΔ, το οποίο αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, λαμβανομένου ιδίως υπόψη του ότι η επίμαχη στην κύρια δίκη επεξεργασία πραγματοποιήθηκε από φορέα ο οποίος είναι επίσης εργοδότης του υποκειμένου των δεδομένων, όπως αυτό ορίζεται στο άρθρο 4, σημείο 1, του κανονισμού αυτού.

29

Κατ’ αρχάς, το αιτούν δικαστήριο αμφιβάλλει κατά πόσον η επίμαχη στην κύρια δίκη επεξεργασία δεδομένων υγείας μπορεί να εμπίπτει σε μία από τις εξαιρέσεις που προβλέπονται στην παράγραφο 2 του άρθρου 9 του ΓΚΠΔ. Κατά το αιτούν δικαστήριο, κρίσιμες εν προκειμένω είναι μόνον οι εξαιρέσεις που προβλέπονται στα στοιχεία βʹ και ηʹ της εν λόγω παραγράφου 2. Εντούτοις, αποκλείει εκ προοιμίου την εφαρμογή στην υπό κρίση υπόθεση της παρέκκλισης που προβλέπεται στο ως άνω στοιχείο βʹ, με την αιτιολογία ότι η επίμαχη στην κύρια δίκη επεξεργασία δεν ήταν αναγκαία για την άσκηση των δικαιωμάτων και την εκτέλεση των υποχρεώσεων του υπευθύνου επεξεργασίας, υπό την ιδιότητά του ως εργοδότη του υποκειμένου των δεδομένων. Συγκεκριμένα, η επεξεργασία αυτή κινήθηκε από άλλον φορέα, ο οποίος ζήτησε από την MDK Nordrhein να προβεί σε έλεγχο υπό την ιδιότητά της ως ιατρικής υπηρεσίας. Αντιθέτως, το αιτούν δικαστήριο δεν είναι κατηγορηματικό ως προς το ζήτημα αυτό, μολονότι κλίνει προς την άποψη να μην εφαρμόσει ούτε την παρέκκλιση που προβλέπεται στο στοιχείο ηʹ, διότι θεωρεί ότι μόνον η επεξεργασία που πραγματοποιείται από «ουδέτερο τρίτο» θα πρέπει να εμπίπτει σε αυτήν και ότι ένας φορέας δεν μπορεί να στηριχθεί στη «διττή λειτουργία» του ως εργοδότης και ιατρική υπηρεσία για να παρακάμψει την απαγόρευση μιας τέτοιας επεξεργασίας.

30

Εν συνεχεία, σε περίπτωση που η επεξεργασία δεδομένων που αφορούν την υγεία είναι επιτρεπτή υπό τέτοιες περιστάσεις δυνάμει του άρθρου 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ, το αιτούν δικαστήριο διερωτάται ως προς τους κανόνες προστασίας των δεδομένων που αφορούν την υγεία οι οποίοι πρέπει να τηρούνται εντός του εν λόγω πλαισίου. Κατά την άποψή του, ο κανονισμός αυτός συνεπάγεται ότι δεν αρκεί ο υπεύθυνος επεξεργασίας να πληροί τις απαιτήσεις του άρθρου 9, παράγραφος 3. Ο υπεύθυνος θα πρέπει επίσης να διασφαλίζει ότι κανένας από τους συναδέλφους του υποκειμένου των δεδομένων δεν μπορεί να έχει πρόσβαση στα δεδομένα που αφορούν την κατάσταση της υγείας του.

31

Τέλος, πάντοτε στην ίδια περίπτωση, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν πρέπει επιπλέον να πληρούται τουλάχιστον μία από τις προϋποθέσεις του άρθρου 6, παράγραφος 1, του ΓΚΠΔ προκειμένου η επεξεργασία αυτή να είναι σύννομη. Κατά το αιτούν δικαστήριο, τούτο θα έπρεπε να ισχύει, στο δε πλαίσιο της διαφοράς της κύριας δίκης μόνον τα στοιχεία γʹ και εʹ του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, θα μπορούσαν a priori να είναι κρίσιμα. Ωστόσο, τα δύο αυτά στοιχεία γʹ και εʹ δεν θα πρέπει να εφαρμοστούν, για τον λόγο ότι η οικεία επεξεργασία δεν είναι «απαραίτητη», κατά την έννοια των εν λόγω διατάξεων, διότι μπορεί να πραγματοποιηθεί και από ιατρική υπηρεσία διαφορετική από την MDK Nordrhein.

32

Δεύτερον, σε περίπτωση που στοιχειοθετηθεί εν προκειμένω παράβαση του ΓΚΠΔ, το αιτούν δικαστήριο διερωτάται ως προς την ενδεχόμενη αποζημίωση του αναιρεσείοντος της κύριας δίκης δυνάμει του άρθρου 82 του κανονισμού.

33

Αφενός, ζητεί να διευκρινιστεί αν ο κανόνας του άρθρου 82, παράγραφος 1, του ΓΚΠΔ έχει αποτρεπτικό ή τιμωρητικό χαρακτήρα, πέραν της επανορθωτικής λειτουργίας του, και, ενδεχομένως, αν πρέπει να ληφθεί υπόψη ο εν λόγω χαρακτήρας κατά τον καθορισμό του ποσού της χρηματικής ικανοποίησης λόγω μη υλικής ζημίας, ιδίως υπό το πρίσμα των αρχών της αποτελεσματικότητας, της αναλογικότητας και της ισοδυναμίας που κατοχυρώνονται σε άλλους τομείς του δικαίου της Ένωσης.

34

Αφετέρου, το αιτούν δικαστήριο τείνει να θεωρήσει ότι μπορεί να θεμελιωθεί ευθύνη του υπευθύνου της επεξεργασίας βάσει του εν λόγω άρθρου 82, παράγραφος 1, χωρίς να απαιτείται να αποδειχθεί η υπαιτιότητά του. Εντούτοις, στο μέτρο που διατηρεί αμφιβολίες, κυρίως υπό το πρίσμα των κανόνων του γερμανικού δικαίου, διερωτάται κατά πόσον πρέπει να εξακριβωθεί αν η επίμαχη παράβαση του ΓΚΠΔ μπορεί να καταλογιστεί στον υπεύθυνο επεξεργασίας λόγω πράξης τελεσθείσας εκ προθέσεως ή λόγω αμέλειας εκ μέρους του και αν ο βαθμός της ενδεχόμενης υπαιτιότητας του υπευθύνου επεξεργασίας πρέπει να ασκεί επιρροή όσον αφορά την επιδίκαση χρηματικής ικανοποίησης λόγω μη υλικής ζημίας.

35

Υπό τις συνθήκες αυτές, το Bundesarbeitsgericht (Ομοσπονδιακό Δικαστήριο Εργατικών Διαφορών) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

36

Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν, λαμβανομένης υπόψη της απαγόρευσης επεξεργασίας δεδομένων υγείας την οποία προβλέπει το άρθρο 9, παράγραφος 1, του ΓΚΠΔ, η παράγραφος 2, στοιχείο ηʹ, του άρθρου αυτού έχει την έννοια ότι η εξαίρεση την οποία προβλέπει έχει εφαρμογή στις περιπτώσεις κατά τις οποίες οργανισμός ιατρικού ελέγχου επεξεργάζεται δεδομένα που αφορούν την υγεία εργαζομένου του όχι υπό την ιδιότητά του ως εργοδότης, αλλά ως ιατρική υπηρεσία, προκειμένου να εκτιμήσει την ικανότητα προς εργασία του εν λόγω εργαζομένου.

37

Κατά πάγια νομολογία, για την ερμηνεία διάταξης του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο αυτή εντάσσεται, καθώς και οι στόχοι και ο σκοπός που επιδιώκει η πράξη της οποίας αποτελεί μέρος. Το ιστορικό της θέσπισης μιας διάταξης του δικαίου της Ένωσης μπορεί επίσης να παρέχει κρίσιμα στοιχεία για την ερμηνεία της (απόφαση της 16ης Μαρτίου 2023, Towercast, C‑449/21, EU:C:2023:207, σκέψη 31 και εκεί μνημονευόμενη νομολογία).

38

Πρώτον, υπενθυμίζεται ότι το άρθρο 9 του ΓΚΠΔ αφορά, όπως προκύπτει από τον τίτλο του, την «[ε]πεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα», τα οποία επίσης χαρακτηρίζονται ως «ευαίσθητα» στις αιτιολογικές σκέψεις 10 και 51 του κανονισμού αυτού.

39

Στην αιτιολογική σκέψη 51 του ΓΚΠΔ επισημαίνεται ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες.

40

Ειδικότερα, το άρθρο 9, παράγραφος 1, του ΓΚΠΔ κατοχυρώνει την αρχή της απαγόρευσης της επεξεργασίας των εκεί απαριθμούμενων ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Μεταξύ αυτών περιλαμβάνονται τα «δεδομένα που αφορούν την υγεία», όπως ορίζονται στο άρθρο 4, σημείο 15, του κανονισμού αυτού, σε συνδυασμό με την αιτιολογική του σκέψη 35, τα οποία και αφορά η υπό κρίση υπόθεση.

41

Το Δικαστήριο διευκρίνισε ότι ο σκοπός του άρθρου 9, παράγραφος 1, του εν λόγω κανονισμού συνίσταται στη διασφάλιση αυξημένης προστασίας έναντι επεξεργασίας η οποία, λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των δεδομένων που αποτελούν το αντικείμενό της, μπορεί να συνιστά ιδιαιτέρως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων [πρβλ. απόφαση της 5ης Ιουνίου 2023, Επιτροπή κατά Πολωνίας (Ανεξαρτησία και ιδιωτική ζωή των δικαστών), C‑204/21, EU:C:2023:442, σκέψη 345 και εκεί μνημονευόμενη νομολογία].

42

Το άρθρο 9, παράγραφος 2, στοιχεία αʹ έως ιʹ, του ΓΚΠΔ προβλέπει, εντούτοις, εξαντλητικό κατάλογο εξαιρέσεων από την αρχή της απαγόρευσης επεξεργασίας των ευαίσθητων αυτών δεδομένων.

43

Ειδικότερα, το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ επιτρέπει την επεξεργασία αυτή εφόσον είναι «απαραίτητη [μεταξύ άλλων] για σκοπούς εκτίμησης της ικανότητας προς εργασία του εργαζομένου […] βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας». Η ως άνω διάταξη διευκρινίζει ότι κάθε επεξεργασία που βασίζεται σε αυτήν είναι δυνατή «με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παράγραφο 3» του εν λόγω άρθρου 9.

44

Από το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ, σε συνδυασμό με την παράγραφο 3 του ίδιου άρθρου, προκύπτει ότι η δυνατότητα επεξεργασίας ευαίσθητων δεδομένων, όπως αυτών που αφορούν την υγεία, οριοθετείται αυστηρά από μια σειρά σωρευτικών προϋποθέσεων. Οι προϋποθέσεις αυτές σχετίζονται, κατά πρώτον, με τους σκοπούς που απαριθμούνται στο εν λόγω στοιχείο ηʹ –μεταξύ των οποίων περιλαμβάνεται η εκτίμηση της ικανότητας προς εργασία του εργαζομένου–, κατά δεύτερον, με τη νομική βάση της επεξεργασίας αυτής –είτε πρόκειται για το δίκαιο της Ένωσης, είτε για το δίκαιο κράτους μέλους, είτε για σύμβαση συναφθείσα με επαγγελματία του τομέα της υγείας, κατά το ίδιο στοιχείο ηʹ– και, τέλος, κατά τρίτον, με το καθήκον εμπιστευτικότητας που υπέχουν τα πρόσωπα που δικαιούνται να προβούν στην επεξεργασία αυτή, δυνάμει του εν λόγω άρθρου 9, παράγραφος 3, τα δε πρόσωπα αυτά πρέπει όλα να υπόκεινται σε υποχρέωση τήρησης του απορρήτου σύμφωνα με την τελευταία διάταξη.

45

Όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στα σημεία 32 και 33 των προτάσεών του, ούτε από το γράμμα του άρθρου 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ ούτε από το ιστορικό θέσπισης της διάταξης αυτής προκύπτουν στοιχεία από τα οποία να μπορεί να συναχθεί ότι η προβλεπόμενη εκεί παρέκκλιση εφαρμόζεται, όπως υποστηρίζει το αιτούν δικαστήριο, μόνο στις περιπτώσεις κατά τις οποίες η επεξεργασία πραγματοποιείται από «ουδέτερο τρίτο και όχι από τον εργοδότη» του υποκειμένου των δεδομένων, όπως αυτό ορίζεται στο άρθρο 4, σημείο 1, του κανονισμού αυτού.

46

Λαμβανομένης υπόψη της γνώμης του αιτούντος δικαστηρίου ότι, κατ’ ουσίαν, ένας φορέας δεν πρέπει να μπορεί να στηριχθεί στη «διττή λειτουργία» του ως εργοδότης του υποκειμένου των δεδομένων και ως ιατρική υπηρεσία για να αποφύγει την εφαρμογή της αρχής της απαγόρευσης επεξεργασίας δεδομένων που αφορούν την υγεία, η οποία κατοχυρώνεται στο άρθρο 9, παράγραφος 1, του ΓΚΠΔ, πρέπει να διευκρινιστεί ότι έχει καθοριστική σημασία να λαμβάνεται υπόψη δυνάμει ποιας διάταξης πραγματοποιείται η επεξεργασία των δεδομένων αυτών.

47

Πράγματι, μολονότι το εν λόγω άρθρο 9, παράγραφος 1, απαγορεύει, κατ’ αρχήν, την επεξεργασία δεδομένων που αφορούν την υγεία, στην παράγραφο 2 του εν λόγω άρθρου προβλέπονται, στα στοιχεία αʹ έως ιʹ, δέκα παρεκκλίσεις οι οποίες είναι ανεξάρτητες μεταξύ τους και οι οποίες πρέπει, ως εκ τούτου, να εκτιμώνται αυτοτελώς. Επομένως, το γεγονός ότι δεν πληρούνται οι προϋποθέσεις εφαρμογής μιας από τις παρεκκλίσεις που προβλέπονται στην παράγραφο 2 δεν εμποδίζει τον υπεύθυνο επεξεργασίας να επικαλεστεί άλλη παρέκκλιση που μνημονεύεται στη διάταξη αυτή.

48

Από τα ανωτέρω προκύπτει ότι το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ, σε συνδυασμό με την παράγραφο 3 του άρθρου αυτού, ουδόλως αποκλείει την εφαρμογή της εξαίρεσης που προβλέπεται στο εν λόγω στοιχείο ηʹ σε περιπτώσεις στις οποίες οργανισμός ιατρικού ελέγχου επεξεργάζεται ως ιατρική υπηρεσία και όχι ως εργοδότης δεδομένα που αφορούν την υγεία εργαζομένου του, προκειμένου να εκτιμήσει την ικανότητά του προς εργασία.

49

Δεύτερον, η ερμηνεία αυτή ενισχύεται από τη συνεκτίμηση του συστήματος στο οποίο εντάσσεται το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ, καθώς και από τους σκοπούς που επιδιώκουν ο κανονισμός και η διάταξη αυτή.

50

Κατά πρώτον, ασφαλώς, στον βαθμό που προβλέπει εξαίρεση από την αρχή της απαγόρευσης της επεξεργασίας των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, το άρθρο 9, παράγραφος 2, του ΓΚΠΔ πρέπει να ερμηνεύεται στενά [απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου),C‑252/21, EU:C:2023:537, σκέψη 76].

51

Εντούτοις, η τήρηση της αρχής της απαγόρευσης που κατοχυρώνεται στο άρθρο 9, παράγραφος 1, του ΓΚΠΔ δεν μπορεί να έχει ως αποτέλεσμα τον περιορισμό του πεδίου εφαρμογής άλλης διάταξης του ίδιου κανονισμού κατά τρόπον αντίθετο προς το σαφές γράμμα της διάταξης αυτής. Πλην όμως, η προτεινόμενη ερμηνεία, κατά την οποία το πεδίο εφαρμογής της εξαίρεσης του άρθρου 9, παράγραφος 2, στοιχείο ηʹ, πρέπει να περιορίζεται στις περιπτώσεις κατά τις οποίες «ουδέτερος τρίτος» επεξεργάζεται δεδομένα που αφορούν την υγεία για την εκτίμηση της ικανότητας προς εργασία του εργαζομένου, θα προσέθετε μια απαίτηση η οποία ουδόλως προκύπτει από το σαφές γράμμα της τελευταίας αυτής διάταξης.

52

Συναφώς, δεν ασκεί επιρροή το γεγονός ότι, εν προκειμένω, σε περίπτωση που απαγορευθεί στην MDK Nordrhein να εκπληρώσει τα καθήκοντά της ως ιατρική υπηρεσία όταν πρόκειται για έναν από τους υπαλλήλους της, άλλος φορέας ιατρικού ελέγχου είναι σε θέση να αναλάβει την εκπλήρωση των εν λόγω καθηκόντων. Πρέπει να υπογραμμιστεί ότι η εναλλακτική αυτή δυνατότητα, στην οποία αναφέρεται το αιτούν δικαστήριο, δεν υφίσταται κατ’ ανάγκην ούτε είναι εφικτή σε όλα τα κράτη μέλη και σε όλες τις περιπτώσεις που ενδέχεται να καλύπτονται από το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ. Η ερμηνεία όμως της ως άνω διάταξης δεν μπορεί να υπαγορεύεται από εκτιμήσεις που αφορούν το σύστημα υγείας ενός μόνον κράτους μέλους ή απορρέουν από περιστάσεις που προσιδιάζουν στη διαφορά της κύριας δίκης.

53

Κατά δεύτερον, η ερμηνεία που παρατίθεται στη σκέψη 48 της παρούσας απόφασης συνάδει με τους σκοπούς του ΓΚΠΔ και του άρθρου του 9.

54

Ειδικότερα, στην αιτιολογική σκέψη 4 του ΓΚΠΔ επισημαίνεται ότι το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα, αλλά πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας (πρβλ. απόφαση της 22ας Ιουνίου 2023, Pankki S, C‑579/21, EU:C:2023:501, σκέψη 78). Επιπλέον, το Δικαστήριο έχει υπογραμμίσει ότι οι μηχανισμοί που καθιστούν δυνατή την εξεύρεση δίκαιης ισορροπίας μεταξύ των διαφόρων εμπλεκομένων δικαιωμάτων και συμφερόντων περιλαμβάνονται στον ίδιο τον ΓΚΠΔ (πρβλ. απόφαση της 17ης Ιουνίου 2021, M.I.C.M., C‑597/19, EU:C:2021:492, σκέψη 112).

55

Οι εκτιμήσεις αυτές ισχύουν ακόμη και όταν τα επίμαχα δεδομένα εμπίπτουν στις ειδικές κατηγορίες του άρθρου 9 του κανονισμού αυτού [πρβλ. απόφαση της 24ης Σεπτεμβρίου 2019, GC κ.λπ. (Διαγραφή συνδέσμων προς ευαίσθητα δεδομένα),C‑136/17, EU:C:2019:773, σκέψεις 57 και 66 έως 68], όπως τα δεδομένα που αφορούν την υγεία.

56

Ειδικότερα, από την αιτιολογική σκέψη 52 του ΓΚΠΔ προκύπτει ότι η «παρέκκλιση από την απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα» θα πρέπει να επιτρέπεται «εφόσον δικαιολογείται από λόγους δημόσιου συμφέροντος, ιδίως […] στον τομέα του εργατικού δικαίου, του δικαίου κοινωνικής προστασίας» καθώς και «για σκοπούς υγειονομικής ασφάλειας […] προκειμένου ειδικότερα να διασφαλίζονται η ποιότητα και η αποδοτικότητα ως προς το κόστος των διαδικασιών που χρησιμοποιούνται για τον διακανονισμό αξιώσεων για παροχές και υπηρεσίες στο σύστημα υγειονομικής ασφάλισης». Η αιτιολογική σκέψη 53 του κανονισμού αυτού αναφέρει επίσης ότι η επεξεργασία που πραγματοποιείται «για σκοπούς που σχετίζονται με την υγεία» θα πρέπει να είναι δυνατή «εφόσον αυτό είναι απαραίτητο για την επίτευξη των εν λόγω στόχων, προς όφελος των φυσικών προσώπων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της διαχείρισης των υπηρεσιών και συστημάτων υγειονομικής περίθαλψης και κοινωνικής μέριμνας».

57

Υπό το συνολικό αυτό πρίσμα και λαμβανομένων υπόψη των διαφόρων εμπλεκόμενων έννομων συμφερόντων, ο νομοθέτης της Ένωσης προέβλεψε, στο άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ, δυνατότητα παρέκκλισης από την αρχή της απαγόρευσης της επεξεργασίας δεδομένων που αφορούν την υγεία, η οποία ορίζεται στην παράγραφο 1 του άρθρου αυτού, υπό την προϋπόθεση ότι η οικεία επεξεργασία πληροί τις προϋποθέσεις και τις εγγυήσεις που ρητώς επιβάλλονται από το στοιχείο ηʹ και από τις λοιπές σχετικές διατάξεις του κανονισμού, ιδίως δε από την παράγραφο 3 του άρθρου 9, διατάξεις στις οποίες δεν περιλαμβάνεται η απαίτηση μια ιατρική υπηρεσία που επεξεργάζεται τέτοια δεδομένα βάσει του εν λόγω στοιχείου ηʹ να αποτελεί οντότητα διαφορετική από τον εργοδότη του υποκειμένου των δεδομένων.

58

Λαμβανομένων υπόψη των προεκτεθέντων και υπό την επιφύλαξη των απαντήσεων που θα δοθούν στο δεύτερο και στο τρίτο προδικαστικό ερώτημα, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ έχει την έννοια ότι η εξαίρεση η οποία προβλέπεται στη διάταξη αυτή έχει εφαρμογή στις περιπτώσεις κατά τις οποίες οργανισμός ιατρικού ελέγχου επεξεργάζεται δεδομένα που αφορούν την υγεία εργαζομένου του όχι υπό την ιδιότητά του ως εργοδότης, αλλά ως ιατρική υπηρεσία, προκειμένου να εκτιμήσει την ικανότητα προς εργασία του εν λόγω εργαζομένου, υπό την επιφύλαξη ότι η οικεία επεξεργασία πληροί τις προϋποθέσεις και τις εγγυήσεις που ρητώς επιβάλλονται από το στοιχείο ηʹ και από την παράγραφο 3 του άρθρου 9.

59

Κατά το αιτούν δικαστήριο, από τις αιτιολογικές σκέψεις 35, 51, 53 και 75 του ΓΚΠΔ προκύπτει ότι δεν αρκεί να πληρούνται οι απαιτήσεις του άρθρου 9, παράγραφος 3, αυτού, σε περίπτωση όπως η επίμαχη στην κύρια δίκη, όπου ο υπεύθυνος επεξεργασίας είναι επίσης ο εργοδότης του προσώπου του οποίου η ικανότητα προς εργασία αξιολογείται. Επιπλέον, ο κανονισμός αυτός επιβάλλει να αποκλείονται από την επεξεργασία δεδομένων που αφορούν την υγεία όλοι οι εργαζόμενοι του υπευθύνου της επεξεργασίας οι οποίοι έχουν οιαδήποτε επαγγελματική επαφή με το πρόσωπο αυτό. Κατά το αιτούν δικαστήριο, κάθε υπεύθυνος επεξεργασίας που διαθέτει πλείονες εγκαταστάσεις, όπως η MDK Nordrhein, θα πρέπει να διασφαλίζει ότι η οντότητα που είναι υπεύθυνη για την επεξεργασία των δεδομένων υγείας των εργαζομένων του υπευθύνου αυτού υπάγεται πάντοτε σε διαφορετική εγκατάσταση από εκείνη στην οποία εργάζεται ο οικείος εργαζόμενος. Επιπλέον, η υποχρέωση τήρησης του επαγγελματικού απορρήτου την οποία υπέχουν οι υπάλληλοι που είναι εξουσιοδοτημένοι να επεξεργάζονται τέτοια δεδομένα δεν εμποδίζει, στην πράξη, τη δυνατότητα συναδέλφου του υποκειμένου των δεδομένων να έχει πρόσβαση στα δεδομένα που το αφορούν, πράγμα που συνεπάγεται κινδύνους βλάβης, όπως η προσβολή της φήμης του.

60

Υπό τις συνθήκες αυτές, με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν οι διατάξεις του ΓΚΠΔ έχουν την έννοια ότι ο υπεύθυνος επεξεργασίας δεδομένων που αφορούν την υγεία, η οποία βασίζεται στο άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του κανονισμού αυτού, υποχρεούται να διασφαλίζει ότι κανένας συνάδελφος του υποκειμένου των δεδομένων δεν μπορεί να έχει πρόσβαση στα δεδομένα που αφορούν την κατάσταση της υγείας του.

61

Υπενθυμίζεται ότι, δυνάμει του άρθρου 9, παράγραφος 3, του ΓΚΠΔ, επεξεργασία η οποία αφορά τα δεδομένα που απαριθμούνται στην παράγραφο 1 και επιδιώκει τους σκοπούς που μνημονεύονται στην παράγραφο 2, στοιχείο ηʹ, του εν λόγω άρθρου 9, ήτοι εν προκειμένω δεδομένα που αφορούν την υγεία εργαζομένου για τους σκοπούς της αξιολόγησης της ικανότητάς του προς εργασία, μπορεί να πραγματοποιηθεί μόνον όταν τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.

62

Ο νομοθέτης της Ένωσης, θεσπίζοντας το άρθρο 9, παράγραφος 3, του κανονισμού αυτού, το οποίο παραπέμπει ακριβώς στην παράγραφο 2, στοιχείο ηʹ, του ίδιου άρθρου, καθόρισε τα ειδικά μέτρα προστασίας που προτίθετο να επιβάλει στους υπευθύνους τέτοιας επεξεργασίας, τα οποία συνίστανται στο να επιφυλάσσεται η επεξεργασία σε πρόσωπα που υποχρεούνται να τηρούν το απόρρητο, σύμφωνα με τις προϋποθέσεις που εκτίθενται λεπτομερώς στην εν λόγω παράγραφο 3. Επομένως, δεν πρέπει να προστεθούν στο γράμμα της τελευταίας αυτής διάταξης απαιτήσεις τις οποίες η ίδια δεν μνημονεύει.

63

Ως εκ τούτου, όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 43 των προτάσεών του, το άρθρο 9, παράγραφος 3, του ΓΚΠΔ δεν μπορεί να αποτελέσει τη νομική βάση για μέτρο που διασφαλίζει ότι κανένας συνάδελφος του υποκειμένου των δεδομένων δεν μπορεί να έχει πρόσβαση στα δεδομένα που αφορούν την κατάσταση της υγείας του.

64

Εντούτοις, πρέπει να εκτιμηθεί αν η απαίτηση να διασφαλίζεται ότι κανένας συνάδελφος του υποκειμένου των δεδομένων δεν έχει πρόσβαση στα δεδομένα που αφορούν την κατάσταση της υγείας του μπορεί να επιβληθεί βάσει άλλης διάταξης του ΓΚΠΔ σε αυτόν που είναι υπεύθυνος, δυνάμει του άρθρου 9, παράγραφος 2, στοιχείο ηʹ, του κανονισμού αυτού, για την επεξεργασία δεδομένων που αφορούν την υγεία.

65

Συναφώς, πρέπει να διευκρινιστεί ότι η μόνη δυνατότητα των κρατών μελών να προσθέσουν μια τέτοια απαίτηση, σε σχέση με τις προβλεπόμενες στις παραγράφους 2 και 3 του άρθρου 9 του κανονισμού, έγκειται στην ευχέρεια που τους παρέχει ρητώς η παράγραφος 4 του άρθρου αυτού να «διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία […] δεδομένων που αφορούν την υγεία».

66

Εντούτοις, οι πιθανοί αυτοί περαιτέρω όροι δεν απορρέουν από τις διατάξεις του ΓΚΠΔ αυτές καθεαυτές, αλλά, ενδεχομένως, από κανόνες του εθνικού δικαίου που διέπουν τέτοιου είδους πράξεις επεξεργασίας, κανόνες ως προς τους οποίους ο εν λόγω κανονισμός καταλείπει ρητώς περιθώριο εκτίμησης στα κράτη μέλη (πρβλ. απόφαση της 30ής Μαρτίου 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, σκέψεις 51 και 78).

67

Επιπλέον, επισημαίνεται ότι ένα κράτος μέλος που προτίθεται να κάνει χρήση της ευχέρειας που παρέχει το άρθρο 9, παράγραφος 4, του εν λόγω κανονισμού πρέπει, σύμφωνα με την αρχή της αναλογικότητας, να διασφαλίζει ότι οι πρακτικές συνέπειες, ιδίως οργανωτικής, οικονομικής και ιατρικής φύσεως, τις οποίες συνεπάγονται οι πρόσθετες απαιτήσεις που το κράτος μέλος αυτό προτίθεται να επιβάλει, δεν θα είναι υπερβολικές για τους υπευθύνους της επεξεργασίας, οι οποίοι δεν διαθέτουν κατ’ ανάγκη επαρκές μέγεθος ή επαρκείς τεχνικούς και ανθρώπινους πόρους για να ανταποκριθούν στις απαιτήσεις αυτές. Συγκεκριμένα, οι εν λόγω απαιτήσεις δεν πρέπει να θίγουν την πρακτική αποτελεσματικότητα της άδειας επεξεργασίας που προβλέπεται ρητώς στο άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ίδιου κανονισμού και οριοθετείται στην παράγραφο 3 του άρθρου αυτού.

68

Τέλος, πρέπει να υπογραμμιστεί ότι, δυνάμει του άρθρου 32, παράγραφος 1, στοιχεία αʹ και βʹ, του ΓΚΠΔ, το οποίο εξειδικεύει τις αρχές της ακεραιότητας και της εμπιστευτικότητας που προβλέπονται στο άρθρο 5, παράγραφος 1, στοιχείο στʹ, του κανονισμού αυτού, κάθε υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα οφείλει να εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων της ψευδωνυμοποίησης και της κρυπτογράφησης των δεδομένων αυτών, καθώς και της δυνατότητας διασφάλισης, μεταξύ άλλων, της εμπιστευτικότητας και της ακεραιότητας των συστημάτων και των υπηρεσιών επεξεργασίας. Κατά τον καθορισμό των πρακτικών λεπτομερειών εφαρμογής της εν λόγω υποχρέωσης, ο υπεύθυνος επεξεργασίας πρέπει, σύμφωνα με το άρθρο 32, παράγραφος 1, να λαμβάνει υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

69

Εναπόκειται, ωστόσο, στο αιτούν δικαστήριο να εκτιμήσει αν το σύνολο των τεχνικών και οργανωτικών μέτρων που έλαβε, εν προκειμένω, η MDK Nordrhein συμμορφώνεται προς τις επιταγές του άρθρου 32, παράγραφος 1, στοιχεία αʹ και βʹ, του ΓΚΠΔ.

70

Ως εκ τούτου, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 9, παράγραφος 3, του ΓΚΠΔ έχει την έννοια ότι ο υπεύθυνος επεξεργασίας δεδομένων που αφορούν την υγεία, η οποία βασίζεται στο άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του κανονισμού αυτού, δεν υποχρεούται, δυνάμει των ως άνω διατάξεων, να διασφαλίζει ότι κανένας συνάδελφος του υποκειμένου των δεδομένων δεν μπορεί να έχει πρόσβαση στα δεδομένα που αφορούν την κατάσταση της υγείας του. Εντούτοις, ο υπεύθυνος επεξεργασίας μπορεί να υπέχει τέτοια υποχρέωση είτε δυνάμει ρύθμισης θεσπισθείσας από κράτος μέλος βάσει του άρθρου 9, παράγραφος 4, του εν λόγω κανονισμού είτε βάσει των αρχών της ακεραιότητας και της εμπιστευτικότητας που διατυπώνονται στο άρθρο 5, παράγραφος 1, στοιχείο στʹ, του ίδιου κανονισμού και εξειδικεύονται στο άρθρο 32, παράγραφος 1, στοιχεία αʹ και βʹ, του κανονισμού.

71

Με το τρίτο προδικαστικό ερώτημα, το αιτούν δικαστήριο διερωτάται, κατ’ ουσίαν, αν το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, και το άρθρο 6, παράγραφος 1, του ΓΚΠΔ έχουν την έννοια ότι η στηριζόμενη στην πρώτη διάταξη επεξεργασία δεδομένων που αφορούν την υγεία πρέπει, προκειμένου να είναι σύννομη, όχι μόνο να πληροί τις απαιτήσεις που απορρέουν από τη διάταξη αυτή, αλλά και να πληροί τουλάχιστον μία από τις προϋποθέσεις νομιμότητας που προβλέπονται στο άρθρο 6, παράγραφος 1.

72

Συναφώς, πρέπει να υπομνησθεί ότι τα άρθρα 5, 6 και 9 του ΓΚΠΔ περιλαμβάνονται στο κεφάλαιο II του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Αρχές», και αφορούν, αντιστοίχως, τις αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τις προϋποθέσεις της νομιμότητας της επεξεργασίας και την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

73

Επιπλέον, επισημαίνεται ότι η αιτιολογική σκέψη 51 του ΓΚΠΔ αναφέρει ρητώς ότι, «[ε]κτός από τις ειδικές απαιτήσεις» στις οποίες υπάγεται η επεξεργασία «ιδιαίτερα ευαίσθητων» δεδομένων, οι οποίες προβλέπονται στο άρθρο 9, παράγραφοι 2 και 3, του κανονισμού αυτού, υπό την επιφύλαξη τυχόν μέτρων που λαμβάνονται από κράτος μέλος βάσει της παραγράφου 4 του άρθρου αυτού, «θα πρέπει [επίσης] να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του [εν λόγω] κανονισμού [σε μια τέτοια επεξεργασία], ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας», όπως αυτοί προκύπτουν από το άρθρο 6 του ίδιου κανονισμού.

74

Επομένως, σύμφωνα με το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του ΓΚΠΔ, επεξεργασία που αφορά «ιδιαίτερα ευαίσθητα» δεδομένα, όπως αυτά που αφορούν την υγεία, είναι σύννομη μόνον εφόσον πληρούται τουλάχιστον μία από τις προϋποθέσεις της εν λόγω παραγράφου 1, πρώτο εδάφιο, στοιχεία αʹ έως στʹ.

75

Πλην όμως, το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του ως άνω κανονισμού περιέχει εξαντλητικό και περιοριστικό κατάλογο των περιπτώσεων στις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί νόμιμη. Συνεπώς, για να μπορεί να θεωρηθεί νόμιμη η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να εμπίπτει σε μία από τις περιπτώσεις που προβλέπονται στη διάταξη αυτή [απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου),C‑252/21, EU:C:2023:537, σκέψη 90 και εκεί μνημονευόμενη νομολογία].

76

Κατά συνέπεια, το Δικαστήριο έχει επανειλημμένως κρίνει ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να συνάδει με τις αρχές σχετικά με την επεξεργασία των δεδομένων που προβλέπονται στο άρθρο 5, παράγραφος 1, του ΓΚΠΔ και να πληροί τις προϋποθέσεις νομιμότητας της επεξεργασίας που απαριθμούνται στο άρθρο 6 του κανονισμού [απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου),C‑60/22, EU:C:2023:373, σκέψη 57 και εκεί μνημονευόμενη νομολογία].

77

Επιπλέον, έχει κριθεί ότι, καθόσον τα άρθρα 7 έως 11 του ΓΚΠΔ, τα οποία περιλαμβάνονται, όπως και τα άρθρα 5 και 6, στο κεφάλαιο II του κανονισμού αυτού, έχουν ως σκοπό να διασαφηνίσουν το περιεχόμενο των υποχρεώσεων που υπέχει ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου 5, παράγραφος 1, στοιχείο αʹ, και του άρθρου 6, παράγραφος 1, του κανονισμού, για να είναι σύννομη η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει επίσης να είναι σύμφωνη, όπως προκύπτει από τη νομολογία του Δικαστηρίου, με τις λοιπές αυτές διατάξεις του προαναφερθέντος κεφαλαίου οι οποίες αφορούν, κατ’ ουσίαν, τη συγκατάθεση, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και την επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικών με ποινικές καταδίκες και αδικήματα [απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου),C‑60/22, EU:C:2023:373, σκέψη 58 και εκεί μνημονευόμενη νομολογία].

78

Ως εκ τούτου, ειδικότερα, στο μέτρο που το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, του ΓΚΠΔ έχει ως αντικείμενο να διευκρινίσει το περιεχόμενο των υποχρεώσεων που υπέχει ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου 5, παράγραφος 1, στοιχείο αʹ, και του άρθρου 6, παράγραφος 1, του κανονισμού αυτού, η επεξεργασία δεδομένων που αφορούν την υγεία η οποία στηρίζεται στην πρώτη αυτή διάταξη πρέπει να τηρεί, προκειμένου να είναι σύννομη, τόσο τις απαιτήσεις που απορρέουν από την εν λόγω διάταξη όσο και τις υποχρεώσεις που απορρέουν από τις δύο τελευταίες διατάξεις και, ειδικότερα, να πληροί τουλάχιστον μία από τις προϋποθέσεις νομιμότητας που προβλέπονται στο άρθρο 6, παράγραφος 1.

79

Λαμβανομένων υπόψη των προεκτεθέντων, στο τρίτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 9, παράγραφος 2, στοιχείο ηʹ, και το άρθρο 6, παράγραφος 1, του ΓΚΠΔ έχουν την έννοια ότι η στηριζόμενη στην πρώτη διάταξη επεξεργασία δεδομένων που αφορούν την υγεία πρέπει, προκειμένου να είναι σύννομη, όχι μόνο να πληροί τις απαιτήσεις που απορρέουν από τη διάταξη αυτή, αλλά και να πληροί τουλάχιστον μία από τις προϋποθέσεις νομιμότητας που προβλέπονται στο άρθρο 6, παράγραφος 1.

80

Με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι το δικαίωμα αποζημίωσης που προβλέπει η διάταξη αυτή επιτελεί όχι μόνον αντισταθμιστική, αλλά και αποτρεπτική ή τιμωρητική λειτουργία και, σε περίπτωση καταφατικής απάντησης, αν η λειτουργία αυτή πρέπει ενδεχομένως να λαμβάνεται υπόψη κατά τον καθορισμό του ποσού της αποζημίωσης που επιδικάζεται για χρηματική ικανοποίηση λόγω μη υλικής ζημίας βάσει της εν λόγω διάταξης.

81

Υπενθυμίζεται ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ ορίζει ότι «[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».

82

Το Δικαστήριο έχει ερμηνεύσει τη διάταξη αυτή υπό την έννοια ότι απλώς και μόνον η παράβαση του ΓΚΠΔ δεν αρκεί προς θεμελίωση δικαιώματος αποζημίωσης, αφού τόνισε, μεταξύ άλλων, ότι η ύπαρξη «ζημίας» την οποία «υπέστη» ένα πρόσωπο συνιστά μία από τις προϋποθέσεις του προβλεπόμενου στο άρθρο 82, παράγραφος 1, δικαιώματος αποζημίωσης, όπως ακριβώς και η ύπαρξη παράβασης του κανονισμού αυτού και αιτιώδους συνάφειας μεταξύ της ζημίας και της παράβασης, δεδομένου ότι οι τρεις αυτές προϋποθέσεις είναι σωρευτικές [πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα),C‑300/21, EU:C:2023:370, σκέψεις 32 και 42].

83

Επιπλέον, το Δικαστήριο έχει κρίνει ότι, δεδομένου ότι ο ΓΚΠΔ δεν περιέχει ορισμένη διάταξη με αντικείμενο τον καθορισμό των κανόνων σχετικά με την εκτίμηση της αποζημίωσης που οφείλεται βάσει του σχετικού δικαιώματος που κατοχυρώνεται στο άρθρο 82 του κανονισμού, τα εθνικά δικαστήρια οφείλουν προς τούτο να εφαρμόζουν, δυνάμει της αρχής της δικονομικής αυτονομίας, τους εσωτερικούς κανόνες εκάστου κράτους μέλους σχετικά με την έκταση της χρηματικής αποζημίωσης, υπό την προϋπόθεση ότι τηρούνται οι αρχές της ισοδυναμίας και της αποτελεσματικότητας του δικαίου της Ένωσης, όπως αυτές ορίζονται από την πάγια νομολογία του Δικαστηρίου [πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα),C‑300/21, EU:C:2023:370, σκέψεις 53, 54 και 59].

84

Στο πλαίσιο αυτό και λαμβανομένης υπόψη της αιτιολογικής σκέψης 146, έκτη περίοδος, του ΓΚΠΔ, κατά την οποία το νομοθέτημα αυτό αποσκοπεί στο να διασφαλίσει ότι τα υποκείμενα των δεδομένων λαμβάνουν «πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν», το Δικαστήριο επισήμανε ότι, λαμβανομένης υπόψη της αντισταθμιστικής λειτουργίας του δικαιώματος αποζημίωσης που προβλέπεται στο άρθρο 82 του κανονισμού αυτού, χρηματική αποζημίωση βάσει του ίδιου άρθρου πρέπει να θεωρείται «πλήρης και ουσιαστική» αν παρέχει τη δυνατότητα πλήρους αποκατάστασης της συγκεκριμένης ζημίας που προκλήθηκε από την παράβαση του κανονισμού, χωρίς να απαιτείται, για τους σκοπούς μιας τέτοιας πλήρους αποζημίωσης, να επιβληθεί η επιδίκαση τιμωρητικής αποζημίωσης [πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα),C‑300/21, EU:C:2023:370, σκέψεις 57 και 58].

85

Συναφώς, πρέπει να επισημανθεί ότι το άρθρο 82 του ΓΚΠΔ δεν επιτελεί τιμωρητική αλλά αντισταθμιστική λειτουργία, αντιθέτως προς άλλες διατάξεις του κανονισμού αυτού οι οποίες περιλαμβάνονται επίσης στο κεφάλαιο VIII αυτού, ήτοι στα άρθρα 83 και 84, τα οποία έχουν κατ’ ουσίαν τιμωρητικό σκοπό, δεδομένου ότι επιτρέπουν, αντιστοίχως, την επιβολή διοικητικών προστίμων καθώς και άλλων κυρώσεων. Η σχέση μεταξύ των κανόνων του άρθρου 82 και των κανόνων των άρθρων 83 και 84 καταδεικνύει ότι υπάρχει διαφορά μεταξύ των δύο αυτών κατηγοριών διατάξεων, αλλά και συμπληρωματικότητα, όσον αφορά την ενθάρρυνση για την τήρηση του ΓΚΠΔ, με την επισήμανση ότι το δικαίωμα κάθε προσώπου να ζητήσει αποκατάσταση ζημίας ενισχύει την αποτελεσματικότητα των κανόνων προστασίας του ΓΚΠΔ και δύναται να αποθαρρύνει την επανάληψη παράνομων συμπεριφορών [πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα),C‑300/21, EU:C:2023:370, σκέψεις 38 και 40].

86

Δεδομένου ότι το δικαίωμα αποζημίωσης που προβλέπεται στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ δεν επιτελεί αποτρεπτική, ή ακόμη και τιμωρητική, λειτουργία, όπως αυτή την οποία εξετάζει το αιτούν δικαστήριο, η σοβαρότητα της παράβασης του κανονισμού η οποία προκάλεσε την οικεία ζημία δεν μπορεί να επηρεάσει το ύψος της αποζημίωσης που επιδικάζεται δυνάμει της διάταξης αυτής, ακόμη και όταν δεν πρόκειται για υλική αλλά για μη υλική ζημία. Επομένως, το ποσό αυτό δεν μπορεί να καθοριστεί σε επίπεδο που υπερβαίνει την πλήρη αποκατάσταση της ζημίας.

87

Κατά συνέπεια, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι το δικαίωμα αποζημίωσης που προβλέπει η διάταξη αυτή επιτελεί αντισταθμιστική λειτουργία, καθόσον η χρηματική αποζημίωση βάσει της εν λόγω διάταξης πρέπει να καθιστά δυνατή την πλήρη αποκατάσταση της συγκεκριμένης ζημίας που προκλήθηκε από την παράβαση του κανονισμού, και όχι αποτρεπτική ή τιμωρητική λειτουργία.

88

Από τα στοιχεία που διαβίβασε το αιτούν δικαστήριο, απαντώντας σε αίτηση παροχής διευκρινίσεων που του απηύθυνε σύμφωνα με το άρθρο 101 του Κανονισμού Διαδικασίας το Δικαστήριο, προκύπτει ότι με το πέμπτο προδικαστικό ερώτημα ζητείται να καθοριστεί, αφενός, αν η ύπαρξη και/ή η απόδειξη υπαιτιότητας αποτελούν προϋποθέσεις που απαιτούνται για τη θεμελίωση της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και, αφετέρου, ποια επίπτωση μπορεί να έχει ο βαθμός υπαιτιότητας του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στη συγκεκριμένη εκτίμηση της αποζημίωσης που πρέπει να καταβληθεί προς αποκατάσταση της προκληθείσας μη υλικής ζημίας.

89

Λαμβανομένης υπόψη της απάντησης του αιτούντος δικαστηρίου, πρέπει να γίνει δεκτό ότι με το πέμπτο προδικαστικό ερώτημα ζητείται, κατ’ ουσίαν, να διευκρινιστεί, αφενός, αν το άρθρο 82 του ΓΚΠΔ έχει την έννοια ότι η στοιχειοθέτηση της ευθύνης του υπευθύνου επεξεργασίας εξαρτάται από την ύπαρξη υπαιτιότητάς του και, αφετέρου, αν ο βαθμός υπαιτιότητας πρέπει να λαμβάνεται υπόψη κατά τον καθορισμό του ποσού της αποζημίωσης που επιδικάζεται για χρηματική ικανοποίηση λόγω μη υλικής ζημίας βάσει της διάταξης αυτής.

90

Όσον αφορά το πρώτο σκέλος του ερωτήματος αυτού, επισημαίνεται ότι, όπως υπομνήσθηκε στη σκέψη 82 της παρούσας απόφασης, το άρθρο 82, παράγραφος 1, του ΓΚΠΔ εξαρτά το δικαίωμα αποζημίωσης από τη συνδρομή τριών στοιχείων, ήτοι την ύπαρξη παράβασης του κανονισμού, την ύπαρξη ζημίας και την ύπαρξη αιτιώδους συνάφειας μεταξύ της παράβασης και της ζημίας.

91

Το άρθρο 82, παράγραφος 2, του ΓΚΠΔ ορίζει ότι κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία η οποία συνιστά παράβαση του κανονισμού. Πλην όμως, από το γράμμα της διάταξης αυτής σε ορισμένες γλωσσικές αποδόσεις, ιδίως στη γερμανική απόδοση που είναι η απόδοση της γλώσσας διαδικασίας στην υπό κρίση υπόθεση, δεν δύναται να συναχθεί με βεβαιότητα αν η επίμαχη παράβαση πρέπει να καταλογίζεται στον υπεύθυνο της επεξεργασίας προκειμένου να στοιχειοθετείται η ευθύνη του.

92

Συναφώς, από την ανάλυση των διαφόρων γλωσσικών αποδόσεων της πρώτης περιόδου του άρθρου 82, παράγραφος 2, του ΓΚΠΔ προκύπτει ότι ο υπεύθυνος επεξεργασίας τεκμαίρεται ότι συμμετείχε στην επεξεργασία η οποία συνιστά παράβαση του κανονισμού. Πράγματι, ενώ οι αποδόσεις στη γερμανική, τη γαλλική ή τη φινλανδική γλώσσα είναι διατυπωμένες κατά τρόπο αόριστο, ορισμένες άλλες γλωσσικές αποδόσεις είναι ακριβέστερες και χρησιμοποιούν έναν προσδιορισμό την τρίτη φορά που εμφανίζεται ο όρος «επεξεργασία» ή για την τρίτη αναφορά στον όρο αυτόν, με αποτέλεσμα να είναι σαφές ότι ο όρος, την τρίτη φορά που εμφανίζεται ή που γίνεται αναφορά σε αυτόν, παραπέμπει στην ίδια πράξη όπως και τη δεύτερη φορά που εμφανίζεται. Αυτό ισχύει για την απόδοση στην ισπανική, την εσθονική, την ελληνική, την ιταλική ή τη ρουμανική γλώσσα.

93

Το άρθρο 82, παράγραφος 3, του ΓΚΠΔ διευκρινίζει, στο πλαίσιο αυτό, ότι ο υπεύθυνος επεξεργασίας απαλλάσσεται από την ευθύνη που έχει, δυνάμει της παραγράφου 2 του άρθρου 82, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

94

Επομένως, από τη συνδυαστική ανάλυση των διαφόρων αυτών διατάξεων του άρθρου 82 του ΓΚΠΔ προκύπτει ότι το εν λόγω άρθρο προβλέπει καθεστώς ευθύνης λόγω υπαιτιότητας όπου το βάρος απόδειξης δεν φέρει το πρόσωπο που υπέστη ζημία αλλά ο υπεύθυνος της επεξεργασίας.

95

Η ερμηνεία αυτή επιρρωννύεται από το πλαίσιο στο οποίο εντάσσεται το άρθρο 82, καθώς και από τους σκοπούς που επιδιώκει ο νομοθέτης της Ένωσης μέσω του ΓΚΠΔ.

96

Συναφώς, πρώτον, από το γράμμα των άρθρων 24 και 32 του ΓΚΠΔ προκύπτει ότι οι διατάξεις αυτές επιβάλλουν απλώς στον υπεύθυνο επεξεργασίας την υποχρέωση να λαμβάνει τεχνικά και οργανωτικά μέτρα για την αποφυγή, στο μέτρο του δυνατού, οποιασδήποτε προσβολής των δεδομένων προσωπικού χαρακτήρα. Η καταλληλότητα των μέτρων αυτών πρέπει να αξιολογείται κατά τρόπο συγκεκριμένο, με εξέταση του αν ο υπεύθυνος εφάρμοσε τα μέτρα αυτά λαμβάνοντας υπόψη τα διάφορα κριτήρια που προβλέπονται στα εν λόγω άρθρα και τις ανάγκες προστασίας των δεδομένων που είναι ειδικώς εγγενείς στη συγκεκριμένη επεξεργασία, καθώς και τους κινδύνους που ενέχει η επεξεργασία αυτή (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 30).

97

Μια τέτοια υποχρέωση όμως θα ετίθετο υπό αμφισβήτηση αν ο υπεύθυνος επεξεργασίας όφειλε, εν συνεχεία, να αποκαταστήσει κάθε ζημία που προκλήθηκε από επεξεργασία η οποία διενεργήθηκε κατά παράβαση του ΓΚΠΔ.

98

Δεύτερον, όσον αφορά τους σκοπούς του ΓΚΠΔ, από τις αιτιολογικές του σκέψεις 4 έως 8 προκύπτει ότι αποσκοπεί στην επίτευξη ισορροπίας μεταξύ των συμφερόντων των υπευθύνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα και των δικαιωμάτων των προσώπων των οποίων τα δεδομένα αυτά υποβάλλονται σε επεξεργασία. Ο επιδιωκόμενος σκοπός είναι να καταστεί δυνατή η ανάπτυξη της ψηφιακής οικονομίας ενώ θα διασφαλιστεί παράλληλα υψηλό επίπεδο προστασίας των υποκειμένων των δεδομένων. Επομένως, πρόκειται για στάθμιση μεταξύ των συμφερόντων του υπευθύνου της επεξεργασίας και των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία. Πλην όμως, ένας μηχανισμός υποκειμενικής ευθύνης με αντιστροφή του βάρους απόδειξης, όπως προβλέπεται στο άρθρο 82 του ΓΚΠΔ, καθιστά ακριβώς δυνατή τη διασφάλιση της εν λόγω ισορροπίας.

99

Αφενός, όπως παρατήρησε κατ’ ουσίαν ο γενικός εισαγγελέας στο σημείο 93 των προτάσεών του, δεν θα ήταν σύμφωνο με τον σκοπό μιας τέτοιας αυξημένης προστασίας να προκριθεί ερμηνεία κατά την οποία τα υποκείμενα των δεδομένων που υπέστησαν ζημία λόγω παράβασης του ΓΚΠΔ θα έπρεπε, στο πλαίσιο αγωγής αποζημίωσης βάσει του άρθρου 82 του ΓΚΠΔ, να φέρουν το βάρος να αποδείξουν όχι μόνον την ύπαρξη της παράβασης και της ζημίας που υπέστησαν, αλλά και την ύπαρξη υπαιτιότητας του υπευθύνου επεξεργασίας εκ προθέσεως ή εξ αμελείας, ή ακόμη και τον βαθμό της εν λόγω υπαιτιότητας, μολονότι το άρθρο 82 δεν θέτει τέτοιες απαιτήσεις (βλ., κατ’ αναλογίαν, απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 56).

100

Αφετέρου, ένα καθεστώς αντικειμενικής ευθύνης δεν διασφαλίζει την επίτευξη του σκοπού της ασφάλειας δικαίου που επιδιώκει ο νομοθέτης, όπως προκύπτει από την αιτιολογική σκέψη 7 του ΓΚΠΔ.

101

Όσον αφορά το δεύτερο σκέλος του πέμπτου ερωτήματος, σχετικά με τον καθορισμό του ποσού της αποζημίωσης που ενδεχομένως οφείλεται δυνάμει του άρθρου 82 του ΓΚΠΔ, υπενθυμίζεται ότι, όπως υπογραμμίστηκε στη σκέψη 83 της παρούσας απόφασης, για τον υπολογισμό της αποζημίωσης αυτής, τα εθνικά δικαστήρια οφείλουν να εφαρμόζουν τους εσωτερικούς κανόνες κάθε κράτους μέλους σχετικά με την έκταση της χρηματικής αποζημίωσης, υπό την προϋπόθεση ότι τηρούνται οι αρχές της ισοδυναμίας και της αποτελεσματικότητας του δικαίου της Ένωσης, όπως αυτές ορίζονται από την πάγια νομολογία του Δικαστηρίου.

102

Πρέπει να διευκρινιστεί ότι, λαμβανομένης υπόψη της αντισταθμιστικής λειτουργίας του, το άρθρο 82 του ΓΚΠΔ δεν απαιτεί να λαμβάνεται υπόψη ο βαθμός σοβαρότητας της παράβασης του κανονισμού αυτού, την οποία τεκμαίρεται ότι διέπραξε ο υπεύθυνος επεξεργασίας, κατά τον καθορισμό του ποσού της αποζημίωσης που επιδικάζεται για χρηματική ικανοποίηση λόγω μη υλικής ζημίας βάσει της διάταξης αυτής, αλλά απαιτεί το ποσό αυτό να καθορίζεται κατά τέτοιον τρόπον ώστε να αντισταθμίζεται πλήρως η συγκεκριμένη ζημία που προκλήθηκε από την παράβαση του κανονισμού, όπως προκύπτει από τις σκέψεις 84 και 87 της παρούσας απόφασης.

103

Κατά συνέπεια, στο πέμπτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82 του ΓΚΠΔ έχει την έννοια ότι, αφενός, η στοιχειοθέτηση της ευθύνης του υπευθύνου επεξεργασίας εξαρτάται από την ύπαρξη υπαιτιότητάς του, η οποία τεκμαίρεται, εκτός αν αυτός αποδείξει ότι ουδόλως μπορεί να του καταλογιστεί ευθύνη για το ζημιογόνο γεγονός, και, αφετέρου, το άρθρο 82 δεν απαιτεί να λαμβάνεται υπόψη ο βαθμός υπαιτιότητας κατά τον καθορισμό του ποσού της αποζημίωσης που επιδικάζεται για χρηματική ικανοποίηση λόγω μη υλικής ζημίας βάσει της διάταξης αυτής.

104

Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (τρίτο τμήμα) αποφαίνεται: