Privremena verzija

PRESUDA SUDA (treće vijeće)

21. prosinca 2023.(*)

„Zahtjev za prethodnu odluku – Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba (EU) 2016/679 – Članak 6. stavak 1. – Uvjeti zakonitosti obrade – Članak 9. stavci 1. do 3. – Obrada posebnih kategorija podataka – Podaci koji se odnose na zdravlje – Procjena radne sposobnosti zaposlenika – Medicinska služba u području zdravstvenog osiguranja koja obrađuje podatke koji se odnose na zdravlje vlastitih zaposlenika – Dopuštenost i uvjeti takve obrade – Članak 82. stavak 1. – Pravo na naknadu štete i odgovornost – Naknada nematerijalne štete – Kompenzacijska funkcija – Utjecaj krivnje voditelja obrade”

U predmetu C-667/21,

povodom zahtjeva za prethodnu odluku na temelju članka 267. UFEU-a, koji je uputio Bundesarbeitsgericht (Savezni radni sud, Njemačka), odlukom od 26. kolovoza 2021., koju je Sud zaprimio 8. studenoga 2021., u postupku

ZQ

protiv

Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts,

SUD (treće vijeće),

u sastavu: K. Jürimäe, predsjednica vijeća, N. Piçarra, M. Safjan, N. Jääskinen (izvjestitelj) i M. Gavalec, suci,

nezavisni odvjetnik: M. Campos Sánchez-Bordona,

tajnik: A. Calot Escobar,

uzimajući u obzir pisani dio postupka,

uzimajući u obzir očitovanja koja su podnijeli:

–        za ZQ, E. Daun, Rechtsanwalt,

–        za Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, M. Wehner, Rechtsanwalt,

–        za Irsku, M. Browne, Chief State Solicitor, A. Joyce i M. Lane, u svojstvu agenata, uz asistenciju D. Fennellyja, BL,

–        za talijansku vladu, G. Palmieri, u svojstvu agenta, uz asistenciju M. Russo, avvocato dello Stato,

–        za Europsku komisiju, A. Bouchagiar, M. Heller i H. Kranenborg, u svojstvu agenata,

saslušavši mišljenje nezavisnog odvjetnika na raspravi održanoj 25. svibnja 2023.,

donosi sljedeću

Presudu

1        Zahtjev za prethodnu odluku odnosi se na tumačenje članka 9. stavka 1., članka 9. stavka 2. točke (h) i članka 9. stavka 3. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.; u daljnjem tekstu: OUZP) u vezi s njezinim člankom 6. stavkom 1. te na tumačenje njezina članka 82. stavka 1.

2        Zahtjev je upućen u okviru spora između osobe ZQ i njezina poslodavca, Medizinischer Dienst der Krankenversicherung Nordrhein (Medicinska služba zdravstvenog osiguranja Sjeverne Rajne, Njemačka; u daljnjem tekstu: MDK Nordrhein), u vezi s naknadom štete koju je ta osoba navodno pretrpjela zbog obrade podataka koji se odnose na njezino zdravlje koje je ta služba navodno nezakonito obrađivala.

 Pravni okvir

 Pravo Unije

3        Uvodne izjave 4. do 8., 10., 35., 51. do 53., 75. i 146. OUZP-a glase kako slijedi:

„(4)      Obrada osobnih podataka trebala bi biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti. Ovom se Uredbom poštuju sva temeljna prava i uvažavaju slobode i načela priznata [Poveljom Europske unije o temeljnim pravima], koja su sadržana u Ugovorima, a posebno poštovanje privatnog i obiteljskog života, [...] zaštita osobnih podataka, [...]

(5)      Gospodarska i društvena integracija proizašla iz funkcioniranja unutarnjeg tržišta dovela je do znatnog povećanja prekograničnih protoka osobnih podataka. Povećala se razmjena osobnih podataka između javnih i privatnih sudionika, uključujući pojedince, udruženja i poduzetnike širom [Europske] [u]nije. U skladu s pravom Unije nacionalna tijela država članica pozivaju se na suradnju i razmjenu osobnih podataka kako bi mogla izvršavati svoje dužnosti ili izvršavati zadaće u ime tijela u drugoj državi članici.

(6)      Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava. Tehnologijom se privatnim društvima i tijelima javne vlasti omogućuje uporaba osobnih podataka u dosada nedosegnutom opsegu radi ostvarenja njihovih djelatnosti. Pojedinci svoje osobne informacije sve više čine dostupnima javno i globalno. Tehnologija je preobrazila i gospodarstvo i društveni život te bi trebala dalje olakšavati slobodan protok osobnih podataka u Uniji i prijenos trećim zemljama i međunarodnim organizacijama, osiguravajući pri tome visoku razinu zaštite osobnih podataka.

(7)      Za takav razvoj potreban je čvrst i usklađeniji okvir za zaštitu podataka u Uniji koji se temelji na odlučnoj provedbi s obzirom na važnost stvaranja povjerenja koje će omogućiti razvoj digitalne ekonomije na čitavom unutarnjem tržištu. Pojedinci bi trebali imati nadzor nad vlastitim osobnim podacima. Pravnu i praktičnu sigurnost pojedinaca, gospodarskih subjekata i tijela javne vlasti trebalo bi poboljšati.

(8)      Ako se ovom Uredbom predviđaju specifikacije ili ograničenja njezinih pravila pravom države članice, države članice mogu, u mjeri u kojoj je to potrebno radi usklađenosti i kako bi nacionalne odredbe bile razumljive osobama na koje se primjenjuju, elemente ove Uredbe uključiti u svoje nacionalno pravo.

[...]

(10)      Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. [...] Ovom Uredbom također se državama članicama pruža prostor za djelovanje kako bi bolje odredile njezina pravila uključujući obradu posebnih kategorija osobnih podataka (,osjetljivi podaci’). [...]

[...]

(35)      Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. [...]

[...]

(51)      Osobni podaci koji su po svojoj naravi posebno [osjetljivi] u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. [...] Osim posebnih zahtjeva za takvu obradu, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu. Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama [...]

(52)      Odstupanje od zabrane obrade posebnih kategorija osobnih podataka također bi se trebalo dopustiti kad god je to predviđeno pravom Unije ili pravom države članice i podložno odgovarajućim zaštitnim mjerama radi zaštite osobnih podataka i drugih temeljnih prava, ako je u javnom interesu da se to učini, posebno u slučaju obrade osobnih podataka u području radnog prava, prava u vezi sa socijalnom zaštitom, uključujući mirovine te u svrhu zdravstvene zaštite, praćenja i uzbunjivanja, sprečavanja ili kontrole zaraznih bolesti i drugih ozbiljnih opasnosti za zdravlje. Takvo se odstupanje može učiniti u zdravstvene svrhe, među ostalim za javno zdravlje i upravljanje uslugama zdravstvene skrbi, posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se upotrebljavaju za rješavanje potraživanja za naknadama i uslugama u sustavu zdravstvenog osiguranja ili u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe. [...]

(53)      Posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale bi se obrađivati samo u svrhe povezane sa zdravljem radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi, u što se ubraja i obrada takvih podataka koju u svrhu kontrole kvalitete, informacija o upravljanju i općeg nacionalnog i lokalnog nadzora sustava zdravstvene ili socijalne skrbi provode uprava i središnja nacionalna tijela nadležna za zdravlje i u svrhu osiguravanja kontinuiteta zdravstvene ili socijalne skrbi [...]. Stoga bi se ovom Uredbom trebali utvrditi usklađeni uvjeti za obradu posebnih kategorija osobnih podataka koji se odnose na zdravlje, za posebne potrebe, osobito kada obradu takvih podataka za određene zdravstvene svrhe provode osobe koje podliježu pravnoj obvezi čuvanja profesionalne tajne. Pravom Unije ili pravom države članice trebalo bi predvidjeti specifične i primjerene mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca. Državama članicama trebalo bi omogućiti zadržavanje ili uvođenje dodatnih uvjeta, uključujući ograničenja, u vezi s obradom genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje. [...]

[...]

(75)      Rizik za prava i [slobode] pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizići iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; [...] ako je riječ o obradi [...] podataka koji se odnose na zdravlje [...] ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem [...] kako bi se izradili ili upotrebljavali osobni profili; [...]

[...]

(146)      Voditelj obrade ili izvršitelj obrade trebao bi nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši ova Uredba. Voditelj obrade ili izvršitelj obrade trebao bi biti izuzet od odgovornosti ako dokaže da nije ni na koji način odgovoran za štetu. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe. Time se ne dovode u pitanje zahtjevi za naknadu štete koja proizlazi iz kršenja drugih pravila prava Unije ili prava države članice. Obrada kojom se krši ova Uredba također uključuje obradu kojom se krše delegirani i provedbeni akti doneseni u skladu s ovom Uredbom i pravom države članice kojim se razrađuju pravila ove Uredbe. Ispitanici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli. [...]”

4        U poglavlju I. te uredbe, naslovljenom „[o]pće odredbe”, njezin članak 2., naslovljen „[Materijalno] područje primjene”, u stavku 1. propisuje:

„Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti [ili djelomično] obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.”

5        Članak 4. navedene uredbe, naslovljen „Definicije”, određuje:

„Za potrebe ove Uredbe:

1.      ‚osobni podaci’ znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (‚ispitanik’); [...]

2.      ‚obrada’ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima [...]

[...]

7.      ‚voditelj obrade’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; [...]

[...]

15.      ‚podaci koji se odnose na zdravlje’ znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

[...]”

6        Poglavlje II. OUZP-a, koje se odnosi na „[n]ačela” koja su njime određena, sadržava članke 5. do 11. te uredbe.

7        Člankom 5. te uredbe, naslovljenim „Načela obrade osobnih podataka”, predviđa se:

„1.      Osobni podaci moraju biti:

(a)      zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (‚zakonitost, poštenost i transparentnost’);

[...]

(f)      obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (‚cjelovitost i povjerljivost’);

2.      Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (‚pouzdanost’).”

8        Članak 6. navedene uredbe, naslovljen „Zakonitost obrade”, u stavku 1. propisuje:

„Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)      ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b)      obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c)      obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d)      obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e)      obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f)      obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.”

9        Člankom 9. te uredbe, naslovljenim „Obrada posebnih kategorija osobnih podataka”, predviđa se:

„1.      Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

2.      Stavak 1. ne primjenjuje se ako je ispunjeno jedno od sljedećeg:

[...]

(b)      obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

[...]

(h)      obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;

[...]

3.      Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kada te podatke obrađuje stručnjak ili se podaci obrađuju pod odgovornošću stručnjaka koji podliježe obvezi čuvanja profesionalne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.

4.      Države članice mogu zadržati ili uvesti dodatne uvjete, uključujući ograničenja s obzirom na obradu genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje.”

10      Poglavlje IV. OUZP-a, naslovljeno „Voditelj obrade i izvršitelj obrade”, sadržava njegove članke 24. do 43.

11      U odjeljku 1. tog poglavlja, naslovljenom „Opće obveze”, nalazi se članak 24. te uredbe, koji je pak naslovljen „Obveze voditelja obrade”, koji u stavku 1. predviđa:

„Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.”

12      U odjeljku 2. navedenog poglavlja, naslovljenom „Sigurnost osobnih podataka”, nalazi se članak 32. navedene uredbe, koji je pak naslovljen „Sigurnost obrade”, koji u stavku 1. određuje:

„Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

(a)      pseudonimizaciju i enkripciju osobnih podataka;

(b)      sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

[...]”

13      U poglavlju VIII. OUZP-a, naslovljenom „Pravna sredstva, odgovornost i sankcije” nalaze se članci 77. do 84. te uredbe.

14      U skladu s člankom 82. navedene uredbe, naslovljenim „Pravo na naknadu štete i odgovornost”:

„1.      Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

2.      Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. [...]

3.      Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.

[...]”

15      Članak 83. OUZP-a, naslovljen „Opći uvjeti za izricanje upravnih novčanih kazni”, predviđa:

„1.      Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.

2.      [...] Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

(a)      prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;

(b)      ima li kršenje obilježje namjere ili nepažnje;

[...]

(d)      stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;

[...]

(k)      svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.

3.      Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos [upravne] novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje.

[...]”

16      Članak 84. te uredbe, naslovljen „Sankcije”, u stavku 1. propisuje:

„Države članice utvrđuju pravila o ostalim sankcijama koje se primjenjuju na kršenja ove Uredbe, a posebno na ona kršenja koja ne podliježu upravnim novčanim kaznama na temelju članka 83., te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Te sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.”

 Njemačko pravo

17      Na temelju članka 275. stavka 1. Sozialgesetzbucha, Fünftes Buch (Socijalni zakonik, peta knjiga), u verziji koja se primjenjuje u glavnom postupku, fondovi za obvezno zdravstveno osiguranje dužni su od Medizinischer Diensta (medicinske službe), koji im pomaže, posebno tražiti stručno mišljenje radi uklanjanja dvojbi u pogledu radne nesposobnosti osiguranika u slučajevima utvrđenima zakonom ili kada to zahtijeva njegova bolest.

18      Člankom 278. stavkom 1. tog zakonika predviđa se da se takva medicinska služba osniva u svakoj saveznoj zemlji kao javnopravno tijelo.

 Glavni postupak i prethodna pitanja

19      MDK Nordrhein je javnopravno tijelo, kojem je kao medicinskoj službi fondova za zdravstveno osiguranje zakonska zadaća, među ostalim, izrada stručnih mišljenja radi uklanjanja dvojbi u pogledu radne nesposobnosti osiguranikâ fondova za obvezno zdravstveno osiguranje za koje je nadležno, uključujući i kada se ta stručna mišljenja odnose na njegove vlastite zaposlenike.

20      U takvom su slučaju samo članovi posebnog odjela, takozvane „jedinice za posebne slučajeve”, ovlašteni obrađivati takozvane „socijalne” podatke tog zaposlenika koristeći se zaštićenim dijelom informatičkog sustava tog tijela i pristupiti elektroničkom arhivu nakon zatvaranja spisa sa stručnim mišljenjem. Interni pravilnik službe koji se odnosi na te slučajeve predviđa, među ostalim, da ograničen broj ovlaštenih službenika, među kojima su određeni službenici informatičke službe, ima pristup navedenim podacima.

21      Tužitelj iz glavnog postupka radio je u informatičkoj službi MDK Nordrheina prije nego što je proglašen radno nesposobnim zbog medicinskih razloga. Nakon isteka polugodišnjeg razdoblja tijekom kojeg mu je to tijelo, kao poslodavac, nastavilo isplaćivati plaću, fond za obvezno zdravstveno osiguranje kod kojeg je bio osiguran počeo mu je isplaćivati novčano davanje za slučaj bolesti.

22      Taj je fond stoga od MDK Nordrheina zatražio da izradi stručno mišljenje o radnoj nesposobnosti tužitelja iz glavnog postupka. Liječnik koji je radio u „jedinici za posebne slučajeve” MDK Nordrheina izradio je mišljenje tako što je, među ostalim, pribavio podatke od obiteljskog liječnika tužitelja iz glavnog postupka. Nakon što ga je njegov obiteljski liječnik o tome obavijestio, obratio se jednom od svojih kolega iz informatičke službe te ga je zamolio da fotografira stručno mišljenje koje se nalazilo u elektroničkom arhivu MDK Nordrheina i da mu proslijedi te fotografije.

23      Smatrajući da je njegov poslodavac nezakonito obradio podatke koji se odnose na njegovo zdravlje, tužitelj iz glavnog postupka zatražio je od njega da mu isplati naknadu štete u iznosu od 20 000 eura, što je MDK Nordrhein odbio.

24      Nakon toga je tužitelj iz glavnog postupka pokrenuo postupak pred Arbeitsgerichtom Düsseldorf (Radni sud u Düsseldorfu, Njemačka) kako bi se na temelju članka 82. stavka 1. OUZP-a i odredbi njemačkog prava MDK Nordrheinu naložila naknada štete koju je navodno pretrpio zbog tako provedene obrade osobnih podataka. U biti je istaknuo, s jedne strane, da je stručno mišljenje o kojem je riječ trebala izraditi druga medicinska služba kako bi se izbjeglo da njegovi kolege imaju pristup podacima koji se odnose na njegovo zdravlje i, s druge strane, da su sigurnosne mjere koje se odnose na arhiviranje izvješća o tom stručnom mišljenju bile nedostatne. Također je tvrdio da ta obrada predstavlja povredu pravnih pravila kojima se štite takvi podaci, što mu je uzrokovalo i nematerijalnu i materijalnu štetu.

25      U svoju obranu MDK Nordrhein je ponajprije tvrdio da su prikupljanje i pohrana podataka koji se odnose na zdravlje tužitelja iz glavnog postupka provedeni u skladu s odredbama o zaštiti takvih podataka.

26      Nakon što je odbijen njegov zahtjev u prvom stupnju, tužitelj iz glavnog postupka podnio je žalbu Landesarbeitsgerichtu Düsseldorf (Zemaljski radni sud u Düsseldorfu, Njemačka), koji je također odbio njegovu tužbu. Stoga je podnio reviziju Bundesarbeitsgerichtu (Savezni radni sud, Njemačka), sudu koji je uputio zahtjev u ovom predmetu.

27      Taj sud polazi od pretpostavki prema kojima, u glavnom postupku, stručno mišljenje koje je sastavio MDK Nordhein, kao medicinska služba, predstavlja „obradu osobnih podataka” i konkretnije „podataka koji se odnose na zdravlje” u smislu članka 4. točaka 1., 2. i 15. OUZP-a, tako da je taj postupak obuhvaćen materijalnim područjem primjene te uredbe, kako je definiran u njezinu članku 2. stavku 1. Usto smatra da je MDK Nodrhein „voditelj obrade” o kojem je riječ, u smislu članka 4. točke 7. navedene uredbe.

28      Njegova se pitanja odnose, kao prvo, na tumačenje niza odredbi članka 9. OUZP-a, koji se odnosi na obrade posebnih kategorija osobnih podataka, osobito uzimajući u obzir činjenicu da je obradu o kojoj je riječ u glavnom postupku provelo tijelo koje je također poslodavac ispitanika, kako je definiran u članku 4. točki 1. te uredbe.

29      Najprije, sud koji je uputio zahtjev sumnja da obrada podataka koji se odnose na zdravlje o kojoj je riječ u glavnom postupku može biti obuhvaćena jednom od iznimaka predviđenih u članku 9. stavku 2. OUZP-a. Prema mišljenju tog suda, u ovom su slučaju relevantne samo iznimke iz točaka (b) i (h) tog stavka 2. Međutim, on odmah isključuje primjenu odstupanja iz te točke (b) u ovom slučaju jer obrada o kojoj je riječ u glavnom postupku nije bila nužna za potrebe prava i obveza voditelja obrade, koje ima kao poslodavac ispitanika. Naime, tu je obradu iniciralo drugo tijelo koje je od MDK Nordrheina zatražilo da obavi nadzor u svojstvu medicinske službe. S druge strane, iako je sklon ne primijeniti ni odstupanje predviđeno u toj točki (h) jer mu se čini da bi samo obrada koju provodi „neutralna treća strana” trebala moći biti obuhvaćena tom odredbom i da se tijelo ne može osloniti na svoju „dvostruku funkciju” poslodavca i medicinske službe kako bi otklonilo zabranu takve obrade, sud koji je uputio zahtjev u tom pogledu nije kategoričan.

30      Nadalje, u slučaju da je obrada podataka koji se odnose na zdravlje u takvim okolnostima dopuštena na temelju članka 9. stavka 2. točke (h) OUZP-a, sud koji je uputio zahtjev dvoji o tome koja se pravila o zaštiti podataka koji se odnose na zdravlje u tom okviru moraju poštovati. Smatra da se tom uredbom podrazumijeva da nije dovoljno da voditelj obrade ispunjava zahtjeve iz njezina članka 9. stavka 3. Taj voditelj obrade usto treba jamčiti da nijedan od ispitanikovih kolega ne može imati nikakav pristup podacima koji se odnose na njegovo zdravlje.

31      Naposljetku, i dalje u istom slučaju, taj sud želi znati treba li, štoviše, barem jedan od uvjeta iz članka 6. stavka 1. OUZP-a biti ispunjen kako bi takva obrada bila zakonita. Prema njegovu mišljenju, to bi trebao biti slučaj i, u okviru glavnog postupka, samo točke (c) i (e) tog članka 6. stavka 1. prvog podstavka mogu a priori biti relevantne. Međutim, te dvije točke (c) i (e) ne bi se trebale primjenjivati s obzirom na to da obrada o kojoj je riječ nije „nužna” u smislu tih odredbi jer je isto tako može provoditi druga medicinska služba, a ne MDK Nordrhein.

32      Kao drugo, u slučaju da se u ovom predmetu utvrdi povreda OUZP-a, sud koji je uputio zahtjev dvoji o mogućoj naknadi štete koju će trebati isplatiti tužitelju iz glavnog postupka na temelju članka 82. te uredbe.

33      S jedne strane, on želi znati ima li pravilo predviđeno člankom 82. stavkom 1. OUZP-a odvraćajući ili kazneni učinak, uz njegovu obeštećujuću funkciju i treba li, ovisno o slučaju, uzeti u obzir navedeni učinak prilikom određivanja iznosa naknade nematerijalne štete s obzirom na, među ostalim, načela djelotvornosti, proporcionalnosti i ekvivalentnosti koja su zajamčena u drugim područjima prava Unije.

34      S druge strane, taj sud smatra da se odgovornost voditelja obrade može utvrditi na temelju navedenog članka 82. stavka 1., a da pritom nije potrebno dokazati njegovu krivnju. Međutim, budući da ima dvojbe, osobito s obzirom na pravila njemačkog prava, postavlja pitanje o tome treba li provjeriti može li se povreda OUZP-a o kojoj je riječ pripisati voditelju obrade zbog njegove namjere ili nepažnje i treba li stupanj njegove eventualne krivnje utjecati na naknadu nematerijalne štete.

35      U tim je okolnostima Bundesarbeitsgericht (Savezni radni sud) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

„1.      Treba li članak 9. stavak 2. točku (h) OUZP-a tumačiti na način da je medicinskoj službi fonda zdravstvenog osiguranja zabranjeno da obrađuje zaposlenikove podatke koji se odnose na zdravlje i koji su preduvjet za procjenu radne sposobnosti tog zaposlenika?

2.      Ako Sud niječno odgovori na prvo pitanje, što dovodi do toga da u skladu s člankom 9. stavkom 2. točkom (h) OUZP-a dolazi u obzir iznimka od zabrane obrade podataka koji se odnose na zdravlje koja je utvrđena u članku 9. stavku 1. OUZP-a: treba li u slučaju kao što je ovaj osim uvjeta utvrđenih u članku 9. stavku 3. OUZP-a podataka uzeti u obzir i druge zahtjeve u pogledu zaštite osobnih podataka i, ako je to potrebno, koji su to zahtjevi?

3.      Ako Sud niječno odgovori na prvo pitanje, što dovodi do toga da u skladu s člankom 9. stavkom 2. točkom (h) OUZP-a dolazi u obzir iznimka od zabrane obrade podataka koji se odnose na zdravlje koja je utvrđena u članku 9. stavku 1. OUZP-a: ovisi li zakonitost obrade podataka koji se odnose na zdravlje u slučaju kao što je ovaj i o tome da treba biti ispunjen barem jedan od uvjeta koji se navode u članku 6. stavku 1. OUZP-a?

4.      Je li članak 82. stavak 1. OUZP-a namijenjen posebnoj odnosno općoj prevenciji i treba li to uzeti u obzir prilikom određivanja iznosa nematerijalne štete koju je potrebno nadoknaditi na temelju članka 82. stavka 1. OUZP-a na teret voditelja obrade ili izvršitelja obrade?

5.      Je li prilikom određivanja iznosa nematerijalne štete koju je potrebno nadoknaditi na temelju članka 82. stavka 1. OUZP-a relevantan stupanj krivnje voditelja obrade ili izvršitelja obrade? Konkretno, treba li nepostojanje krivnje ili manji stupanj krivnje voditelja obrade ili izvršitelja obrade uzeti u obzir u njegovu korist?”

 O prethodnim pitanjima

 Prvo pitanje

36      Svojim prvim pitanjem sud koji je uputio zahtjev u biti pita treba li, s obzirom na zabranu obrade podataka koji se odnose na zdravlje predviđenu člankom 9. stavkom 1. OUZP-a, taj članak stavak 2. točku (h) tumačiti na način da se iznimka koja se njime predviđa primjenjuje na situacije u kojima tijelo za medicinski nadzor obrađuje podatke koji se odnose na zdravlje jednog od svojih zaposlenika, u svojstvu medicinske službe, a ne poslodavca, kako bi se ocijenila radna sposobnost tog zaposlenika.

37      U skladu s ustaljenom sudskom praksom, tumačenje odredbe prava Unije zahtijeva da se u obzir uzme ne samo njezin tekst nego i kontekst u kojem se nalazi kao i ciljevi te svrha akta kojeg je ona dio. Nastanak neke odredbe prava Unije može se također pokazati relevantnim za njezino tumačenje (presuda od 16. ožujka 2023., Towercast, C-449/21, EU:C:2023:207, t. 31. i navedena sudska praksa).

38      Kao prvo, valja podsjetiti na to da se članak 9. OUZP-a, kao što je to navedeno u njegovu naslovu, odnosi na „[o]brad[u] posebnih kategorija osobnih podataka”, također kvalificiranih kao „osjetljivi” podaci u uvodnim izjavama 10. i 51. te uredbe.

39      Uvodnom izjavom 51. OUZP-a određuje se da osobni podaci koji su po svojoj naravi posebno osjetljivi u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode.

40      Stoga članak 9. stavak 1. OUZP-a postavlja načelo zabrane obrada u njemu navedenih posebnih kategorija osobnih podataka. Među njima su i „podaci koji se odnose na zdravlje”, kako su definirani u članku 4. točki 15. te uredbe, u vezi s njezinom uvodnom izjavom 35., na koje se odnosi ovaj predmet.

41      Sud je pojasnio da se svrha članka 9. stavka 1. navedene uredbe sastoji od osiguravanja pojačane zaštite od obrada koje, zbog posebne osjetljivosti odnosnih podataka, mogu predstavljati osobito teško miješanje u temeljna prava na privatnost i na zaštitu osobnih podataka, zajamčena u člancima 7. i 8. Povelje o temeljnim pravima (vidjeti u tom smislu presudu od 5. lipnja 2023., Komisija/Poljska (Neovisnost i privatan život sudaca), C-204/21, EU:C:2023:442, t. 345. i navedenu sudsku praksu).

42      Međutim, člankom 9. stavkom 2. točkama (a) do (j) OUZP-a predviđa se taksativan popis iznimaka od načela zabrane obrade tih osjetljivih podataka.

43      Konkretno, članak 9. stavak 2. točka (h) OUZP-a dopušta takvu obradu ako je obrada „nužna u svrhu [, među ostalim,] procjene radne sposobnosti zaposlenika [...] na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom”. Tom se odredbom pojašnjava da svaka obrada koja se temelji na toj odredbi usto mora biti „u skladu s uvjetima i zaštitnim mjerama iz stavka 3.” tog članka 9.

44      Iz članka 9. stavka 2. točke (h) OUZP-a, u vezi sa stavkom 3. tog članka, proizlazi da je mogućnost obrade osjetljivih podataka, kao što su oni koji se odnose na zdravlje, strogo ograničena nizom kumulativnih uvjeta. Ti se uvjeti odnose, kao prvo, na svrhe navedene u navedenoj točki (h) – među kojima je procjena radne sposobnosti zaposlenika – kao drugo, na pravnu osnovu te obrade – bilo da je riječ o pravu Unije, pravu države članice ili ugovoru sa zdravstvenim radnikom, u skladu s istom točkom (h) – i naposljetku, kao treće, na obvezu povjerljivosti koju imaju osobe ovlaštene za takvu obradu na temelju tog članka 9. stavka 3., pri čemu sve te osobe moraju podlijegati obvezi čuvanja tajne u skladu s tom odredbom.

45      Kao što je to nezavisni odvjetnik u biti istaknuo u točkama 32. i 33. svojeg mišljenja, ni tekst članka 9. stavka 2. točke (h) OUZP-a ni nastanak te odredbe ne pružaju elemente na temelju kojih se može smatrati da je primjena odstupanja predviđenog navedenom odredbom ograničena, kao što to navodi sud koji je uputio zahtjev, samo na slučajeve u kojima obradu provodi „neutralna treća strana, a ne poslodavac” ispitanika, kako je definiran u članku 4. točki 1. te uredbe.

46      S obzirom na mišljenje suda koji je uputio zahtjev prema kojem se tijelo u biti ne bi smjelo moći osloniti na svoju „dvostruku funkciju” poslodavca ispitanika i medicinske službe kako bi izbjeglo načelo zabrane obrade podataka koji se odnose na zdravlje iz članka 9. stavka 1. OUZP-a, valja pojasniti da je odlučujuće uzeti u obzir osnovu provedbe obrade tih podataka.

47      Naime, iako taj članak 9. stavak 1. u načelu zabranjuje obradu podataka koji se odnose na zdravlje, u navedenom članku stavku 2. točkama (a) do (j) predviđa se deset odstupanja koja su međusobno neovisna i koja se stoga moraju samostalno ocijeniti. Iz toga slijedi da činjenica da nisu ispunjeni uvjeti za primjenu jednog od odstupanja predviđenih u tom stavku 2. ne može biti prepreka tomu da se voditelj obrade pozove na drugo odstupanje navedeno u toj odredbi.

48      Iz prethodno navedenog proizlazi da članak 9. stavak 2. točka (h) OUZP-a, u vezi sa stavkom 3. tog članka, uopće ne isključuje primjenjivost iznimke navedene u toj točki (h) na situacije u kojima tijelo za medicinski nadzor obrađuje podatke koji se odnose na zdravlje jednog od svojih zaposlenika u svojstvu službe, a ne kao poslodavac, kako bi procijenilo radnu sposobnost tog zaposlenika.

49      Kao drugo, takvo je tumačenje potkrijepljeno uzimanjem u obzir sustava čiji je dio članak 9. stavak 2. točka (h) OUZP-a kao i ciljevima koji se nastoje postići tom uredbom i tom odredbom.

50      Kao prvo, točno je da, u mjeri u kojoj predviđa iznimku od načela zabrane obrade posebnih kategorija osobnih podataka, članak 9. stavak 2. OUZP-a treba tumačiti usko (presuda od 4. srpnja 2023., Meta Platforms i dr. (Opći uvjeti uporabe društvene mreže), C-252/21, EU:C:2023:537, t. 76.).

51      Međutim, poštovanje načela zabrane iz članka 9. stavka 1. OUZP-a ne može dovesti do ograničavanja područja primjene druge odredbe te uredbe na način koji bi bio protivan njezinu jasnom tekstu. Predloženo tumačenje, prema kojem područje primjene iznimke predviđene tim člankom 9. stavkom 2. točkom (h) treba biti ograničeno na slučajeve u kojima „neutralna treća osoba” obrađuje podatke koji se odnose na zdravlje u svrhu procjene radne sposobnosti zaposlenika, dodaje zahtjev koji ni na koji način ne proizlazi iz jasnog teksta te odredbe.

52      U tom pogledu nije relevantno to što bi u ovom slučaju, u slučaju da se MDK Nordrheinu zabrani ispunjavanje njegove zadaće medicinske službe kad je riječ o njegovim vlastitim zaposlenicima, za to moglo biti zaduženo drugo tijelo za medicinski nadzor. Važno je naglasiti da ta alternativa, koju navodi sud koji je uputio zahtjev, nije nužno prisutna ili ostvariva u svim državama članicama i u svim situacijama koje mogu biti obuhvaćene člankom 9. stavkom 2. točkom (h) OUZP-a. Tumačenje te odredbe ne može se stoga voditi razmatranjima koja se temelje na zdravstvenom sustavu samo jedne države članice ili proizlaze iz okolnosti glavnog postupka.

53      Kao drugo, tumačenje iz točke 48. ove presude u skladu je s ciljevima OUZP-a i ciljevima članka 9. te uredbe.

54      Kao što se to navodi u uvodnoj izjavi 4. OUZP-a, pravo na zaštitu osobnih podataka nije apsolutno pravo jer ga se mora razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti (vidjeti u tom smislu presudu od 22. lipnja 2023., Pankki S, C-579/21, EU:C:2023:501, t. 78.). Usto, Sud je već naglasio da su mehanizmi koji omogućuju postizanje pravedne ravnoteže između različitih uključenih prava i interesa sadržani u samom OUZP-u (vidjeti u tom smislu presudu od 17. lipnja 2021., M. I. C. M., C-597/19, EU:C:2021:492, t. 112.).

55      Ta razmatranja vrijede i kada podaci o kojima je riječ pripadaju posebnim kategorijama iz članka 9. te uredbe (vidjeti u tom smislu presudu od 24. rujna 2019., GC i dr. (Uklanjanje poveznica na osjetljive podatke), C-136/17, EU:C:2019:773, t. 57. i 66. do 68.), poput podataka koji se odnose na zdravlje.

56      Konkretnije, iz uvodne izjave 52. OUZP-a proizlazi da bi „odstupanje od zabrane obrade posebnih kategorija [...] podataka” trebalo dopustiti „ako je u javnom interesu da se to učini, posebno [...] u području radnog prava, prava u vezi socijalnom zaštitom” te „u zdravstvene svrhe, [...] posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se upotrebljavaju za rješavanje [zahtjevâ za davanja i usluge] u sustavu zdravstvenog osiguranja”. U uvodnoj izjavi 53. te uredbe navodi se i da bi obrade „u svrhe povezane sa zdravljem” trebale biti moguće „radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi”.

57      Zakonodavac Unije je, imajući u vidu tu širu sliku i s obzirom na različite uključene legitimne interese, u članku 9. stavku 2. točki (h) OUZP-a predvidio mogućnost odstupanja od načela zabrane obrade podataka koji se odnose na zdravlje iz stavka 1. tog članka, pod uvjetom da obrada o kojoj je riječ ispunjava uvjete i jamstva koji su izričito određeni tom točkom (h) i drugim relevantnim odredbama te uredbe, osobito navedenim člankom 9. stavkom 3., a u tim odredbama nema zahtjeva prema kojem medicinska služba koja obrađuje takve podatke na temelju navedene točke (h) mora biti subjekt koji je odvojen od poslodavca ispitanika.

58      Imajući u vidu prethodno navedene razloge i ne dovodeći u pitanje odgovore na drugo i treće pitanje, na prvo pitanje valja odgovoriti tako da članak 9. stavak 2. točku (h) OUZP-a treba tumačiti na način da se iznimka koja je predviđena tom odredbom primjenjuje na situacije u kojima tijelo za medicinski nadzor obrađuje podatke koji se odnose na zdravlje jednog od svojih zaposlenika, u svojstvu medicinske službe, a ne poslodavca, kako bi se procijenila radna sposobnost tog zaposlenika, pod uvjetom da obrada o kojoj je riječ ispunjava uvjete i jamstva koji su izričito određeni tom točkom (h) i navedenim člankom 9. stavkom 3.

 Drugo pitanje

59      Prema mišljenju suda koji je uputio zahtjev, iz uvodnih izjava 35., 51., 53. i 75. OUZP-a proizlazi da nije dovoljno ispuniti zahtjeve iz članka 9. stavka 3. te uredbe u situaciji poput one o kojoj je riječ u glavnom postupku, u kojoj je voditelj obrade također poslodavac osobe čija se radna sposobnost procjenjuje. Usto, tom se uredbom navodno nalaže da se iz obrade podataka koji se odnose na zdravlje isključe svi zaposlenici voditelja obrade koji imaju bilo kakav profesionalni kontakt s tom osobom. Prema mišljenju tog suda, svaki voditelj obrade koji ima više ustanova, kao što je MDK Nordrhein, treba osigurati da je subjekt zadužen za obradu podataka o zdravlju zaposlenika tog voditelja obrade uvijek dio ustanove različite od one u kojoj zaposlenik radi. Štoviše, navodi da obveza čuvanja profesionalne tajne koju imaju zaposlenici ovlašteni za obradu takvih podataka zapravo ne sprečava to da ispitanikov kolega ima pristup podacima koji se na njega odnose, što dovodi do opasnosti od štete, kao što je povreda ugleda te osobe.

60      U tim okolnostima, svojim drugim pitanjem sud koji je uputio zahtjev u biti želi znati treba li odredbe OUZP-a tumačiti na način da je voditelj obrade podataka koji se odnose na zdravlje, na temelju članka 9. stavka 2. točke (h) te uredbe, dužan osigurati da nijedan ispitanikov kolega ne može pristupiti podacima koji se odnose na njegovo zdravstveno stanje.

61      Valja podsjetiti na to da se, na temelju članka 9. stavka 3. OUZP-a, podaci iz stavka 1. mogu obrađivati u svrhe navedene u stavku 2. točki (h) tog članka 9., u ovom slučaju podaci koji se odnose na zdravlje zaposlenika u svrhu procjene njegove radne sposobnosti, samo kada te podatke obrađuje stručnjak ili se podaci obrađuju pod odgovornošću stručnjaka koji podliježe obvezi čuvanja profesionalne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.

62      Donošenjem članka 9. stavka 3. te uredbe, koji upućuje upravo na stavak 2. točku (h) istog članka, zakonodavac Unije definirao je posebne zaštitne mjere koje namjerava nametnuti voditeljima takvih obrada, koje se sastoje od toga da te obrade mogu provoditi samo osobe koje podliježu obvezi čuvanja tajne, u skladu s detaljnim uvjetima iz navedenog stavka 3. Stoga tekstu potonje odredbe ne treba dodavati zahtjeve koji se u njoj ne spominju.

63      Iz toga slijedi, kao što je to nezavisni odvjetnik u biti istaknuo u točki 43. svojeg mišljenja, da članak 9. stavak 3. OUZP-a ne može biti pravna osnova za mjeru kojom se osigurava da nijedan ispitanikov kolega nema pristup podacima koji se odnose na njegovo zdravstveno stanje.

64      Međutim, valja ocijeniti može li se zahtjev da se osigura to da nijedan ispitanikov kolega nema pristup podacima koji se odnose na njegovo zdravstveno stanje nametnuti voditelju obrade podataka koji se odnose na zdravlje, koja se temelji na članku 9. stavku 2. točki (h) OUZP-a, na temelju druge odredbe te uredbe.

65      U tom pogledu valja pojasniti da države članice mogu dodati takav zahtjev, povrh zahtjeva iz članka 9. stavaka 2. i 3. navedene uredbe, jedino ako iskoriste mogućnost koja im je izričito dodijeljena stavkom 4. tog članka da „zadrž[e] ili uve[du] dodatne uvjete, uključujući ograničenja s obzirom na obradu [...] podataka koji se odnose na zdravlje”.

66      Međutim, ti eventualni dodatni uvjeti ne proizlaze iz samih odredbi OUZP-a, nego, ovisno o slučaju, iz pravila nacionalnog prava kojima se uređuju obrade te vrste, pravila u pogledu kojih ta uredba izričito ostavlja marginu prosudbe državama članicama (vidjeti u tom smislu presudu od 30. ožujka 2023., Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, t. 51. i 78.).

67      Usto, valja naglasiti da se država članica koja namjerava iskoristiti mogućnost predviđenu člankom 9. stavkom 4. navedene uredbe mora, u skladu s načelom proporcionalnosti, uvjeriti da praktične posljedice, među ostalim, organizacijske, gospodarske i medicinske, koje proizlaze iz dodatnih zahtjeva čije poštovanje ta država članica želi uvesti, nisu prekomjerne za one voditelje takve obrade koji nisu nužno dovoljno veliki ili nemaju dostatne tehničke i ljudske resurse za ispunjenje tih zahtjeva. Naime, one ne smiju naštetiti korisnom učinku ovlaštenja za obradu koje je izričito predviđeno člankom 9. stavkom 2. točkom (h) iste uredbe i uređeno stavkom 3. tog članka.

68      Naposljetku, važno je naglasiti da na temelju članka 32. stavka 1. točaka (a) i (b) OUZP-a, kojim se konkretiziraju načela cjelovitosti i povjerljivosti iz članka 5. stavka 1. točke (f) te uredbe, svaki voditelj obrade osobnih podataka mora provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurao odgovarajuću razinu sigurnosti s obzirom na rizik, posebno pseudonimizaciju i enkripciju takvih podataka, kao i sredstva za osiguravanje, među ostalim, povjerljivosti i cjelovitosti sustava i usluga obrade. Pri utvrđivanju praktičnih modaliteta te obveze voditelj obrade mora, u skladu s tim člankom 32. stavkom 1., uzeti u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca.

69      Međutim, na sudu koji je uputio zahtjev jest da ocijeni jesu li sve tehničke i organizacijske mjere koje u ovom slučaju provodi MDK Nordrhein u skladu sa zahtjevima iz članka 32. stavka 1. točaka (a) i (b) OUZP-a.

70      Stoga na drugo pitanje valja odgovoriti tako da članak 9. stavak 3. OUZP-a treba tumačiti na način da voditelj obrade podataka koji se odnose na zdravlje, koja se temelji na članku 9. stavku 2. točke (h) te uredbe, nije dužan osigurati da nijedan ispitanikov kolega ne može pristupiti podacima koji se odnose na njegovo zdravstveno stanje. Međutim, takva se obveza može naložiti voditelju takve obrade bilo na temelju propisa koji je država članica donijela na temelju članka 9. stavka 4. navedene uredbe, bilo na temelju načela cjelovitosti i povjerljivosti navedenih u članku 5. stavku 1. točki (f) iste uredbe i konkretiziranih u njezinu članku 32. stavku 1. točkama (a) i (b).

 Treće pitanje

71      Svojim trećim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 9. stavak 2. točku (h) i članak 6. stavak 1. OUZP-a tumačiti na način da obrada podataka o zdravlju utemeljena na toj prvoj odredbi treba, kako bi bila zakonita, ne samo ispuniti zahtjeve koji iz nje proizlaze nego i ispuniti barem jedan od uvjeta zakonitosti navedenih u tom članku 6. stavku 1.

72      U tom pogledu valja podsjetiti na to da se članci 5., 6. i 9. OUZP-a nalaze u poglavlju II. te uredbe, naslovljenom „Načela”, a odnose se, redom, na načela obrade osobnih podataka, na uvjete zakonitosti obrade i na obradu posebnih kategorija osobnih podataka.

73      Usto, valja istaknuti da se u uvodnoj izjavi 51. OUZP-a izričito navodi da bi se „[o]sim posebnih zahtjeva” za obradu „posebno osjetljiv[ih]” podataka, koji su navedeni u članku 9. stavcima 2. i 3. te uredbe, ne dovodeći u pitanje mjere koje je država članica eventualno donijela na temelju stavka 4. tog članka, „trebala […] primjenjivati opća načela i druga pravila iz [navedene] uredbe [također na takvu obradu], posebno u pogledu uvjeta za zakonitu obradu”, kako proizlaze iz članka 6. iste uredbe.

74      Stoga je, u skladu s člankom 6. stavkom 1. prvim podstavkom OUZP-a, obrada koja se odnosi na „posebno osjetljiv[e]” podatke, kao što su oni koji se odnose na zdravlje, zakonita samo ako je ispunjen barem jedan od uvjeta iz navedenog stavka 1. prvog podstavka točaka (a) do (f).

75      Međutim, člankom 6. stavkom 1. prvim podstavkom navedene uredbe predviđa se iscrpan i taksativan popis slučajeva u kojima se obrada osobnih podataka može smatrati zakonitom. Dakle, da bi se mogla smatrati zakonitom, obrada mora biti obuhvaćena jednim od slučajeva predviđenih tom odredbom (presuda od 4. srpnja 2023., Meta Platforms i dr. (Opći uvjeti uporabe društvene mreže), C-252/21, EU:C:2021:537, t. 90. i navedena sudska praksa).

76      Stoga je Sud u više navrata presudio da svaka obrada osobnih podataka mora biti u skladu s načelima koja se odnose na obradu podataka navedenima u članku 5. stavku 1. te uredbe i ispunjavati uvjete zakonitosti obrade navedene u članku 6. te uredbe (presuda od 4. svibnja 2023., Bundesrepublik Deutschland (Elektronički sudski poštanski pretinac), C-60/22, EU:C:2023:373, t. 57. i navedena sudska praksa).

77      Štoviše, već je utvrđeno da, s obzirom na to da je predmet članaka 7. do 11. OUZP-a, koji se, poput njezinih članaka 5. i 6., nalaze u poglavlju II. te uredbe, odrediti doseg obveza koje voditelj obrade ima na temelju članka 5. stavka 1. točke (a) i članka 6. stavka 1. navedene uredbe, da bi obrada osobnih podataka bila zakonita, kao što to proizlazi iz sudske prakse Suda, moraju se poštovati i te druge odredbe navedenog poglavlja koje se u biti odnose na privolu, obradu posebnih kategorija osjetljivih osobnih podataka i obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela (presuda od 4. svibnja 2023., Bundesrepublik Deutschland (Elektronički sudski poštanski pretinac), C-60/22, EU:C:2023:373, t. 58. i navedena sudska praksa).

78      Iz toga osobito slijedi da, s obzirom na to da je cilj članka 9. stavka 2. točke (h) OUZP-a pojasniti doseg obveza koje voditelj obrade ima na temelju članka 5. stavka 1. točke (a) i članka 6. stavka 1. te uredbe, obrada podataka koji se odnose na zdravlje utemeljena na toj prvoj odredbi treba, kako bi bila zakonita, istodobno ispuniti zahtjeve koji iz nje proizlaze te obveze koje proizlaze iz tih dviju potonjih odredbi i osobito ispuniti barem jedan od uvjeta zakonitosti navedenih u tom članku 6. stavku 1.

79      S obzirom na prethodno navedeno, na treće pitanje valja odgovoriti da članak 9. stavak 2. točku (h) i članak 6. stavak 1. OUZP-a treba tumačiti na način da obrada podataka koji se odnose na zdravlje utemeljena na toj prvoj odredbi treba, kako bi bila zakonita, ne samo ispuniti zahtjeve koji iz nje proizlaze nego i ispuniti barem jedan od uvjeta zakonitosti navedenih u tom članku 6. stavku 1.

 Četvrto pitanje

80      Svojim četvrtim pitanjem sud koji je uputio zahtjev u biti želi znati treba li članak 82. stavak 1. OUZP-a tumačiti na način da pravo na naknadu štete predviđeno tom odredbom ispunjava ne samo kompenzacijsku funkciju nego i odvraćajuću ili kaznenu funkciju i, u slučaju potvrdnog odgovora, treba li tu funkciju eventualno uzeti u obzir prilikom određivanja iznosa naknade nematerijalne štete na temelju te odredbe.

81      Valja podsjetiti na to da se u članku 82. stavku 1. OUZP-a navodi da „svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu”.

82      Sud je tu odredbu protumačio na način da obična povreda OUZP-a nije dovoljna za dodjelu prava na naknadu štete, nakon što je osobito istaknuo da je postojanje „štete” ili „pretrpljene štete” jedan od uvjeta prava na naknadu štete predviđenog u tom članku 82. stavku 1., kao i postojanje povrede te uredbe i uzročne veze između te štete i te povrede, a ta su tri uvjeta kumulativna (vidjeti u tom smislu presudu od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 32. i 42.).

83      Usto, Sud je presudio da, s obzirom na to da OUZP ne sadržava odredbu čiji je cilj utvrditi pravila o određivanju naknade štete koja se duguje na temelju prava na naknadu štete zajamčenog člankom 82. te uredbe, nacionalni sudovi u tu svrhu moraju, na temelju načela procesne autonomije, primijeniti nacionalna pravila svake države članice o opsegu novčane naknade, pod uvjetom da se poštuju načela prava Unije o ekvivalentnosti i djelotvornosti, kako su utvrđena ustaljenom sudskom praksom Suda (vidjeti u tom smislu presudu od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 53., 54. i 59.).

84      U tom kontekstu i s obzirom na šestu rečenicu uvodne izjave 146. OUZP-a, prema kojoj se tim propisom ispitanicima nastoji osigurati „potpuna i učinkovita naknada za štetu koju su pretrpjeli”, Sud je istaknuo da, imajući u vidu kompenzacijsku funkciju prava na naknadu štete predviđenog člankom 82. te uredbe, novčanu naknadu koja se temelji na tom članku treba smatrati „cjelovitom i djelotvornom” ako omogućuje da se u potpunosti nadoknadi šteta koja je konkretno pretrpljena zbog povrede navedene uredbe, a da pritom u svrhu takve potpune naknade nije potrebno naložiti plaćanje naknade štete u svrhu kažnjavanja (vidjeti u tom smislu presudu od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 57. i 58.).

85      U tom pogledu valja naglasiti da članak 82. OUZP-a nema kaznenu, nego kompenzacijsku funkciju, za razliku od drugih odredbi te uredbe koje se također nalaze u njezinu poglavlju VIII., odnosno njezinih članaka 83. i 84., koji pak u biti imaju kaznenu svrhu jer omogućuju izricanje upravnih novčanih kazni i drugih sankcija. Odnos između pravila iz navedenog članka 82. i onih iz članaka 83. i 84. dokazuje da postoji razlika, ali i komplementarnost između tih dviju kategorija odredbi, u pogledu poticanja na postupanje u skladu s OUZP-om, pri čemu pravo svake osobe da zahtijeva naknadu štete osnažuje operativni karakter pravila o zaštiti predviđenih tom uredbom i može obeshrabriti ponavljanje nezakonitih ponašanja (vidjeti u tom smislu presudu od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 38. i 40.).

86      Budući da pravo na naknadu štete predviđeno u članku 82. stavku 1. OUZP-a ne ispunjava odvraćajuću ili pak kaznenu funkciju, kako je to zamislio sud koji je uputio zahtjev, težina povrede te uredbe kojom je prouzročena šteta o kojoj je riječ ne može utjecati na iznos naknade štete dodijeljene na temelju te odredbe, čak ni kada je riječ o nematerijalnoj, a ne o materijalnoj šteti. Iz toga slijedi da se taj iznos ne može utvrditi na razini koja premašuje punu naknadu te štete.

87      Slijedom toga, na četvrto pitanje valja odgovoriti tako da članak 82. stavak 1. OUZP-a treba tumačiti na način da pravo na naknadu štete predviđeno tom odredbom ispunjava kompenzacijsku funkciju jer novčana naknada koja se temelji na navedenoj odredbi mora omogućiti da se u potpunosti nadoknadi šteta koja je konkretno pretrpljena zbog povrede te uredbe, a ne odvraćajuću ili kaznenu funkciju.

 Peto pitanje

88      Iz elemenata koje je dostavio sud koji je uputio zahtjev, u odgovoru na zahtjev za pojašnjenje koji mu je upućen u skladu s člankom 101. Poslovnika Suda, proizlazi da se petim pitanjem nastoji utvrditi, s jedne strane, jesu li postojanje i/ili dokazivanje krivnje nužni uvjeti za utvrđivanje odgovornosti voditelja obrade ili izvršitelja obrade i, s druge strane, koje posljedice stupanj krivnje voditelja obrade ili izvršitelja obrade može imati na konkretnu procjenu naknade pretrpljene nematerijalne štete koju treba isplatiti.

89      S obzirom na taj odgovor suda koji je uputio zahtjev, peto pitanje valja shvatiti na način da se njime u biti želi znati, s jedne strane, treba li članak 82. OUZP-a tumačiti na način da je utvrđivanje odgovornosti voditelja obrade uvjetovano postojanjem njegove krivnje i, s druge strane, treba li stupanj te krivnje uzeti u obzir prilikom određivanja iznosa naknade nematerijalne štete dodijeljene na temelju te odredbe.

90      Što se tiče prvog dijela tog pitanja, valja napomenuti da se, kao što je to navedeno u točki 82. ove presude, člankom 82. stavkom 1. OUZP-a pravo na naknadu štete uvjetuje ispunjenjem triju elemenata, odnosno postojanjem povrede te uredbe, postojanjem pretrpljene štete i postojanjem uzročne veze između te povrede i te štete.

91      Člankom 82. stavkom 2. OUZP-a određuje se pak da je svaki voditelj obrade koji je uključen u obradu odgovoran za štetu prouzročenu obradom kojom se krši ta uredba. Međutim, na temelju teksta te odredbe u nekim njezinim jezičnim verzijama, osobito u njemačkoj verziji, koja je verzija jezika postupka u ovom predmetu, ne može se sa sigurnošću utvrditi mora li povreda o kojoj je riječ biti pripisiva voditelju obrade kako bi se mogla utvrditi njegova odgovornost.

92      U tom pogledu, iz analize različitih jezičnih verzija prve rečenice članka 82. stavka 2. OUZP-a proizlazi da se pretpostavlja da je voditelj obrade sudjelovao u obradi koja predstavlja spomenutu povredu te uredbe. Naime, dok su verzije na njemačkom, francuskom ili finskom jeziku formulirane tako da ostavljaju određeni prostor za tumačenje, određeni broj drugih jezičnih verzija puno je precizniji i upotrebljava determinant kod trećeg spominjanja pojma „obrada” ili kod trećeg upućivanja na taj pojam, tako da je jasno da se to treće spominjanje ili upućivanje odnosi na isti postupak obrade kao i drugo spominjanje tog pojma. To je slučaj sa španjolskom, estonskom, grčkom, talijanskom i rumunjskom jezičnom verzijom.

93      Člankom 82. stavkom 3. OUZP-a pojašnjava se da je, imajući u vidu tu širu sliku, voditelj obrade ili izvršitelj obrade izuzet od odgovornosti na temelju tog članka 82. stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.

94      Stoga iz zajedničke analize tih različitih odredbi članka 82. OUZP-a proizlazi da se tim člankom predviđa sustav subjektivne odgovornosti u kojem je teret dokazivanja na voditelju obrade, a ne na osobi koja je pretrpjela štetu.

95      Takvo tumačenje potkrijepljeno je kontekstom članka 82. kao i ciljevima koje zakonodavac Unije nastoji postići OUZP-om.

96      U tom pogledu, kao prvo, iz teksta članaka 24. i 32. OUZP-a proizlazi da te odredbe voditelju obrade samo nameću obvezu donošenja tehničkih i organizacijskih mjera čiji je cilj izbjegavanje u najvećoj mogućoj mjeri bilo kakve povrede osobnih podataka. To jesu li takve mjere odgovarajuće treba procijeniti konkretno, ispitivanjem toga je li voditelj proveo te mjere, uzimajući u obzir različite kriterije sadržane u tim člancima i potrebe zaštite podataka koje su posebno svojstvene obradi o kojoj je riječ te njome prouzročene rizike (vidjeti u tom smislu presudu od 14. prosinca 2023., Nacionalna agencija za prihodite, C-340/21, EU:C:2023:986, t. 30.).

97      Međutim, takva bi obveza bila dovedena u pitanje ako bi voditelj obrade zatim bio dužan naknaditi svaku štetu prouzročenu obradom provedenom protivno OUZP-u.

98      Kao drugo, što se tiče ciljeva OUZP-a, iz uvodnih izjava 4. do 8. te uredbe proizlazi da se njome nastoji uspostaviti ravnoteža između interesa voditelja obrade osobnih podataka i prava osoba čiji se takvi podaci obrađuju. Zadani cilj je omogućiti razvoj digitalnog gospodarstva uz istodobno jamčenje visoke razine zaštite pojedinaca. Stoga se uredbom nastoji provesti odvagivanje interesa voditelja obrade i osoba čiji se osobni podaci obrađuju. Mehanizmom subjektivne odgovornosti uz prebacivanje tereta dokazivanja, kao što se to predviđa člankom 82. OUZP-a, upravo se omogućuje da se osigura takva ravnoteža.

99      S jedne strane, kao što je to u biti primijetio nezavisni odvjetnik u točki 93. svojeg mišljenja, ne bi bilo u skladu s ciljem takve visoke razine zaštite odlučiti se za tumačenje prema kojem bi, u okviru tužbe za naknadu štete utemeljene na članku 82. OUZP-a, na ispitanicima koji su pretrpjeli štetu zbog povrede te uredbe bio teret dokazivanja ne samo postojanja te povrede i štete koja je zbog te povrede njima nastala, nego i postojanje krivnje voditelja obrade, točnije da je povredu počinio namjerno ili nepažnjom, odnosno stupanj te krivnje, iako navedeni članak 82. ne propisuje takve zahtjeve (vidjeti u tom smislu presudu od 14. prosinca 2023., Nacionalna agencija za prihodite, C-340/21, EU:C:2023:986, t. 56.).

100    S druge strane, sustav objektivne odgovornosti ne bi osigurao ostvarenje cilja pravne sigurnosti koji zakonodavac nastoji postići, kao što to proizlazi iz uvodne izjave 7. OUZP-a.

101    Što se tiče drugog dijela petog pitanja, koji se odnosi na određivanje iznosa naknade štete koja se eventualno duguje na temelju članka 82. OUZP-a, valja podsjetiti na to da, kao što je to istaknuto u točki 83. ove presude, nacionalni sudovi u svrhu ocjene te naknade štete moraju primijeniti nacionalna pravila svake države članice o opsegu novčane naknade, pod uvjetom da se poštuju načela prava Unije o ekvivalentnosti i djelotvornosti, kako su utvrđena ustaljenom sudskom praksom Suda.

102    Važno je pojasniti da se, s obzirom na njegovu kompenzacijsku funkciju, člankom 82. OUZP-a ne zahtijeva da se stupanj težine povrede te uredbe, za koju se pretpostavlja da ju je voditelj obrade počinio, uzme u obzir prilikom određivanja iznosa naknade štete dodijeljene na ime naknade nematerijalne štete na temelju te odredbe, nego se njime zahtijeva da se taj iznos odredi tako da se u cijelosti nadoknadi šteta koja je konkretno pretrpljena zbog povrede navedene uredbe, kao što to proizlazi iz točaka 84. i 87. ove presude.

103    Slijedom toga, na peto pitanje valja odgovoriti tako da članak 82. OUZP-a treba tumačiti na način da je, s jedne strane, utvrđivanje odgovornosti voditelja obrade uvjetovano postojanjem njegove krivnje, koja se presumira, osim ako on dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu, i da se, s druge strane, tim člankom 82. ne zahtijeva da se stupanj te krivnje uzme u obzir prilikom određivanja iznosa naknade nematerijalne štete dodijeljene na temelju te odredbe.

 Troškovi

104    Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.

Slijedom navedenog, Sud (treće vijeće) odlučuje:

1.      Članak 9. stavak 2. točku (h) Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)

treba tumačiti na način da se:

iznimka koja je predviđena tom odredbom primjenjuje na situacije u kojima tijelo za medicinski nadzor obrađuje podatke koji se odnose na zdravlje jednog od svojih zaposlenika, u svojstvu medicinske službe, a ne poslodavca, kako bi se procijenila radna sposobnost tog zaposlenika, pod uvjetom da obrada o kojoj je riječ ispunjava uvjete i jamstva koji su izričito određeni tom točkom (h) i navedenim člankom 9. stavkom 3.

2.      Članak 9. stavak 3. Uredbe 2016/679

treba tumačiti na način da:

voditelj obrade podataka koji se odnose na zdravlje, koja se temelji na članku 9. stavku 2. točke (h) te uredbe, nije dužan osigurati da nijedan ispitanikov kolega ne može pristupiti podacima koji se odnose na njegovo zdravstveno stanje. Međutim, takva se obveza može naložiti voditelju takve obrade bilo na temelju propisa koji je država članica donijela na temelju članka 9. stavka 4. navedene uredbe, bilo na temelju načela cjelovitosti i povjerljivosti navedenih u članku 5. stavku 1. točki (f) iste uredbe i konkretiziranih u njezinu članku 32. stavku 1. točkama (a) i (b).

3.      Članak 9. stavak 2. točku (h) i članak 6. stavak 1. Uredbe 2016/679

treba tumačiti na način da:

obrada podataka koji se odnose na zdravlje utemeljena na toj prvoj odredbi treba, kako bi bila zakonita, ne samo ispuniti zahtjeve koji iz nje proizlaze nego i ispuniti barem jedan od uvjeta zakonitosti navedenih u tom članku 6. stavku 1.

4.      Članak 82. stavak 1. Uredbe 2016/679

treba tumačiti na način da:

pravo na naknadu štete predviđeno tom odredbom ispunjava kompenzacijsku funkciju jer novčana naknada koja se temelji na navedenoj odredbi mora omogućiti da se u potpunosti nadoknadi šteta koja je konkretno pretrpljena zbog povrede te uredbe, a ne odvraćajuću ili kaznenu funkciju.

5.      Članak 82. Uredbe 2016/679

treba tumačiti na način da je:

s jedne strane, utvrđivanje odgovornosti voditelja obrade uvjetovano postojanjem njegove krivnje, koja se presumira, osim ako on dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu, i da se, s druge strane, tim člankom 82. ne zahtijeva da se stupanj te krivnje uzme u obzir prilikom određivanja iznosa naknade nematerijalne štete dodijeljene na temelju te odredbe.

Potpisi

*      Jezik postupka: njemački