This document is an excerpt from the EUR-Lex website
Document 62021CJ0300
Judgment of the Court (Third Chamber) of 4 May 2023.#UI v Österreichische Post AG.#Request for a preliminary ruling from the Oberster Gerichtshof.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 82(1) – Right to compensation for damage caused by data processing that infringes that regulation – Conditions governing the right to compensation – Mere infringement of that regulation not sufficient – Need for damage caused by that infringement – Compensation for non-material damage resulting from such processing – Incompatibility of a national rule making compensation for such damage subject to the exceeding of a threshold of seriousness – Rules for the determination of damages by national courts.#Case C-300/21.
Unionin tuomioistuimen tuomio (kolmas jaosto) 4.5.2023.
UI vastaan Österreichische Post AG.
Oberster Gerichtshofin esittämä ennakkoratkaisupyyntö.
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 82 artiklan 1 kohta – Oikeus korvauksen saamiseen vahingosta, joka aiheutuu kyseisen asetuksen vastaisesta tietojenkäsittelystä – Korvauksen saamista koskevan oikeuden edellytykset – Pelkkä mainitun asetuksen vastaisuus ei riitä – Mainitusta rikkomisesta on aiheuduttava vahinkoa – Tällaisesta käsittelystä aiheutuvan aineettoman vahingon korvaaminen – Kansallisen säännöksen, jossa tällaisen vahingon korvaamisen edellytykseksi asetetaan tietyn vakavuuskynnyksen ylittyminen, yhteensopimattomuus unionin oikeuden kanssa – Säännöt, joiden perusteella kansalliset tuomioistuimet määrittävät vahingonkorvaukset.
Asia C-300/21.
Unionin tuomioistuimen tuomio (kolmas jaosto) 4.5.2023.
UI vastaan Österreichische Post AG.
Oberster Gerichtshofin esittämä ennakkoratkaisupyyntö.
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 82 artiklan 1 kohta – Oikeus korvauksen saamiseen vahingosta, joka aiheutuu kyseisen asetuksen vastaisesta tietojenkäsittelystä – Korvauksen saamista koskevan oikeuden edellytykset – Pelkkä mainitun asetuksen vastaisuus ei riitä – Mainitusta rikkomisesta on aiheuduttava vahinkoa – Tällaisesta käsittelystä aiheutuvan aineettoman vahingon korvaaminen – Kansallisen säännöksen, jossa tällaisen vahingon korvaamisen edellytykseksi asetetaan tietyn vakavuuskynnyksen ylittyminen, yhteensopimattomuus unionin oikeuden kanssa – Säännöt, joiden perusteella kansalliset tuomioistuimet määrittävät vahingonkorvaukset.
Asia C-300/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:370
UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)
4 päivänä toukokuuta 2023 ( *1 )
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 82 artiklan 1 kohta – Oikeus korvauksen saamiseen vahingosta, joka aiheutuu kyseisen asetuksen vastaisesta tietojenkäsittelystä – Korvauksen saamista koskevan oikeuden edellytykset – Pelkkä mainitun asetuksen vastaisuus ei riitä – Mainitusta rikkomisesta on aiheuduttava vahinkoa – Tällaisesta käsittelystä aiheutuvan aineettoman vahingon korvaaminen – Kansallisen säännöksen, jossa tällaisen vahingon korvaamisen edellytykseksi asetetaan tietyn vakavuuskynnyksen ylittyminen, yhteensopimattomuus unionin oikeuden kanssa – Säännöt, joiden perusteella kansalliset tuomioistuimet määrittävät vahingonkorvaukset
Asiassa C‑300/21,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Oberster Gerichtshof (ylin tuomioistuin, Itävalta) on esittänyt 15.4.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 12.5.2021, saadakseen ennakkoratkaisun asiassa
UI
vastaan
Österreichische Post AG,
UNIONIN TUOMIOISTUIN (kolmas jaosto),
toimien kokoonpanossa: jaoston puheenjohtaja K. Jürimäe sekä tuomarit M. Safjan, N. Piçarra, N. Jääskinen (esittelevä tuomari) ja M. Gavalec,
julkisasiamies: M. Campos Sánchez-Bordona,
kirjaaja: A. Calot Escobar,
ottaen huomioon kirjallisessa käsittelyssä esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– |
UI itse, Rechtsanwaltin ominaisuudessa, |
– |
Österreichische Post AG, edustajanaan R. Marko, Rechtsanwalt, |
– |
Itävallan hallitus, asiamiehinään A. Posch, J. Schmoll ja G. Kunnert, |
– |
Tšekin hallitus, asiamiehinään O. Serdula, M. Smolek ja J. Vláčil, |
– |
Irlanti, asiamiehinään M. Browne, A. Joyce, M. Lane ja M. Tierney, avustajanaan D. Fennelly, BL, |
– |
Euroopan komissio, asiamiehinään A. Bouchagiar, M. Heller ja H. Kranenborg, |
kuultuaan julkisasiamiehen 6.10.2022 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 |
Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 82 artiklan, luettuna yhdessä vastaavuus- ja tehokkuusperiaatteiden kanssa, tulkintaa. |
2 |
Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat UI ja Österreichische Post AG ja jossa on kyse UI:n nostamasta kanteesta, jossa vaaditaan korvausta aineettomasta vahingosta, jonka hän väittää kärsineensä siksi, että kyseinen yhtiö oli käsitellyt Itävallassa asuvien henkilöiden ja erityisesti hänen itsensä poliittisia kantoja koskevia tietoja, vaikka hän ei ollut antanut suostumustaan tällaiseen käsittelyyn. |
Asiaa koskevat oikeussäännöt
3 |
Yleisen tietosuoja-asetuksen johdanto-osan 10, 75, 85 ja 146 perustelukappaleessa todetaan seuraavaa:
– –
– –
– –
|
4 |
Yleisen tietosuoja-asetuksen 1 artiklan, jonka otsikko on ”Kohde ja tavoitteet”, 1 ja 2 kohdassa säädetään seuraavaa: ”1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. 2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.” |
5 |
Kyseisen asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, 1 alakohdassa säädetään seuraavaa: ”Tässä asetuksessa tarkoitetaan:
|
6 |
Yleisen tietosuoja-asetuksen VIII luku, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, sisältää kyseisen asetuksen 77–84 artiklan. |
7 |
Mainitun asetuksen 77 artikla koskee ”oikeutta tehdä kantelu valvontaviranomaiselle”, kun taas 78 artikla koskee ”oikeutta tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”. |
8 |
Yleisen tietosuoja-asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamisen”, 1 ja 2 kohdassa säädetään seuraavaa: ”1. Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta. 2. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. – –” |
9 |
Kyseisen asetuksen 83 artiklan, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, 1 kohdassa säädetään seuraavaa: ”Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.” |
10 |
Mainitun asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa: ”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.” |
Pääasia ja ennakkoratkaisukysymykset
11 |
Itävallan oikeuden mukaisesti perustettu yhtiö Österreichische Post, joka myy osoitteita, keräsi vuodesta 2017 lähtien tietoja Itävallan väestön poliittisesta suuntautumisesta. Se määritti algoritmin avulla sosiodemografisiin ominaisuuksiin perustuvat ”kohderyhmäosoitteet”. Näin tuotetut tiedot myytiin eri organisaatioille, jotta nämä voisivat lähettää kohdennettuja mainoksia. |
12 |
Österreichische Post käsitteli toimintansa yhteydessä tietoja, joiden perusteella se päätteli tilastollisen ekstrapoloinnin avulla pääasian kantajan vahvan suuntautumisen erääseen itävaltalaiseen poliittiseen puolueeseen. Kyseisiä tietoja ei toimitettu kolmansille, mutta pääasian kantaja, joka ei ollut antanut suostumustaan henkilötietojensa käsittelyyn, tunsi joutuneensa loukatuksi siksi, että hänen katsottiin olevan suuntautunut kyseiseen puolueeseen. Hänen oletettuja poliittisia mielipiteitään koskevien tietojen säilyttäminen kyseisessä yhtiössä aiheutti hänelle paitsi suurta harmistumista ja luottamuksen menettämisen, myös tunteen nolatuksi tulemisesta. Ennakkoratkaisupyynnöstä ilmenee, että mitään muuta vahinkoa kuin tällaisia tilapäisiä emotionaalisia haittoja ei ole todettu. |
13 |
Tässä tilanteessa pääasian kantaja nosti Landesgericht für Zivilrechtssachen Wienissä (Wienin osavaltion siviiliasioita käsittelevä tuomioistuin, Itävalta) kanteen, jossa hän vaati yhtäältä, että Österreichische Post määrätään lopettamaan kyseessä oleva henkilötietojen käsittely, ja toisaalta, että kyseinen yhtiö velvoitetaan maksamaan hänelle 1000 euroa korvauksena aineettomasta vahingosta, jonka hän väittää kärsineensä. Kyseinen tuomioistuin antoi 14.7.2020 ratkaisun, jossa se hyväksyi lopettamisvaatimuksen mutta hylkäsi korvausvaatimuksen. |
14 |
Oberlandesgericht Wien (Wienin osavaltion ylioikeus, Itävalta), johon asiassa valitettiin, pysytti 9.12.2020 antamallaan tuomiolla ensimmäisessä oikeusasteessa annetun ratkaisun. Kyseinen tuomioistuin viittasi vahingonkorvausvaatimuksen osalta yleisen tietosuoja-asetuksen johdanto-osan 75, 85 ja 146 perustelukappaleeseen ja katsoi, että vahingonkorvausvastuuta koskevilla jäsenvaltioiden kansallisilla säännöksillä täydennetään kyseisen asetuksen säännöksiä siltä osin kuin asetus ei sisällä erityissääntöjä. Oberlandesgericht Wien esitti tältä osin, että Itävallan oikeuden mukaan henkilötietojen suojaa koskevien oikeussääntöjen rikkomisesta ei automaattisesti aiheudu aineetonta vahinkoa ja että se johtaa korvauksen saamista koskevaan oikeuteen vain, jos tällainen vahinko ylittää tietyn ”vakavuuskynnyksen”. Kielteiset tunteet, joihin pääasian kantaja vetoaa, eivät kuitenkaan sen mielestä ylitä tällaista kynnystä. |
15 |
Oberster Gerichtshof (ylin tuomioistuin, Itävalta), jonka käsiteltäväksi pääasian molemmat asianosaiset saattoivat asian, hylkäsi 15.4.2021 antamallaan osatuomiolla Revision-valituksen, jonka Österreichische Post oli tehnyt sille asetetusta lopettamisvelvoitteesta. Ennakkoratkaisua pyytäneen tuomioistuimen käsiteltäväksi jäi siten ainoastaan pääasian kantajan tekemä Revision-valitus hänen vahingonkorvausvaatimuksensa hylkäämisestä. |
16 |
Ennakkoratkaisua pyytänyt tuomioistuin esittää ennakkoratkaisupyyntönsä tueksi, että yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleesta ilmenee, että kyseisen asetuksen 82 artiklalla on otettu käyttöön henkilötietojen suojaa koskeva oma vastuujärjestelmä, jolla on korvattu jäsenvaltioissa voimassa olleet järjestelmät. Niinpä kyseiseen 82 artiklaan sisältyviä käsitteitä ja erityisesti sen 1 kohdassa tarkoitettua vahingon käsitettä on sen mukaan tulkittava itsenäisesti, ja mainitun vastuun syntymisen edellytyksiä ei pidä määrittää kansallisen oikeuden oikeussääntöjen vaan unionin oikeudessa asetettujen vaatimusten perusteella. |
17 |
Tarkemmin sanottuna kyseinen tuomioistuin on ensinnäkin yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleen kuudennen virkkeen valossa taipuvainen katsomaan siltä osin kuin on kyse oikeudesta henkilötietojen suojan loukkaamiseen perustuvaan vahingonkorvaukseen, että kyseisen asetuksen 82 artiklaan perustuva vahingonkorvaus edellyttää, että rekisteröity on tosiasiallisesti kärsinyt aineellisen tai aineettoman vahingon. Tällaisen korvauksen myöntäminen edellyttää sen mielestä näyttöä sellaisesta konkreettisesta vahingosta, joka on erillinen mainittuun rikkomiseen, joka ei sellaisenaan ole osoitus aineettomasta vahingosta, nähden. Kyseisen asetuksen johdanto-osan 75 perustelukappaleessa viitataan pelkkään mahdollisuuteen, että siinä luetelluista rikkomisista aiheutuu aineetonta vahinkoa, ja vaikka on totta, että sen johdanto-osan 85 perustelukappaleessa mainitaan riski asianomaisiin tietoihin kohdistuvan ”hallitsemiskyvyn menettämisestä”, tällainen riski on kuitenkin epävarma nyt käsiteltävässä asiassa, koska tietoja ei ole luovutettu kolmannelle osapuolelle. |
18 |
Toiseksi mainittu tuomioistuin katsoo yleisen tietosuoja-asetuksen 82 artiklan nojalla mahdollisesti myönnettävän vahingonkorvauksen arvioinnin osalta, että unionin oikeuden tehokkuusperiaatteen vaikutuksen on oltava rajallinen, koska kyseisessä asetuksessa säädetään jo ankarista seuraamuksista sen rikkomisen tapauksessa ja koska sen tehokkaan vaikutuksen takaaminen ei siten edellytä, että lisäksi määrätään huomattavista vahingonkorvauksista. Kyseisen tuomioistuimen mukaan tällä perusteella aiheutuneen vahingon korvaamisen on oltava oikeasuhteista, tehokasta ja varoittavaa, jotta myönnettävät vahingonkorvaukset voivat täyttää korvaustehtävän olematta rangaistusluonteisia, mikä olisi vierasta unionin oikeudelle. |
19 |
Kolmanneksi ennakkoratkaisua pyytänyt tuomioistuin kyseenalaistaa Österreichische Postin väitteen, jonka mukaan tällaisen vahingonkorvauksen myöntäminen edellyttää, että henkilötietojen suojan loukkaaminen on aiheuttanut erityisen vakavaa vahinkoa. Se korostaa tältä osin, että yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleessa puolletaan kyseisessä asetuksessa tarkoitetun vahingon käsitteen laajaa tulkintaa. Se katsoo, että konkreettinen aineeton vahinko on korvattava kyseisen asetuksen 82 artiklan nojalla, vaikka se olisi vähäinen. Tällaista vahinkoa ei sitä vastoin pitäisi korvata, jos se vaikuttaa täysin vähäpätöiseltä, kuten silloin, kun kyse on pelkistä tällaiseen rikkomiseen tavallisesti liittyvistä mielipahan tunteista. |
20 |
Tässä tilanteessa Oberster Gerichtshof on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
|
Ennakkoratkaisukysymysten tarkastelu
Ensimmäisen ja toisen kysymyksen tutkittavaksi ottaminen
21 |
Pääasian kantaja väittää lähinnä, että ensimmäinen kysymys on jätettävä tutkimatta, koska se on hypoteettinen. Hän väittää ensinnäkin, että hänen vahingonkorvauskanteensa ei perustu ”pelkkään” jonkin yleisen tietosuoja-asetuksen säännöksen rikkomiseen. Lisäksi hän väittää, että ennakkoratkaisupyynnössä viitataan yksimielisyyteen siitä, että vahingonkorvaus on maksettava vain, jos tällaiseen rikkomiseen liittyy tosiasiallisesti aiheutunut vahinko. Hän katsoo vielä, että pääasian asianosaisten välillä on riitaa ainoastaan siitä, onko vahingon ylitettävä tietty ”vakavuuskynnys”. Jos unionin tuomioistuin vastaisi tätä koskevaan kolmanteen kysymykseen kieltävästi – kuten pääasian kantaja ehdottaa –, ensimmäisellä kysymyksellä ei sen mielestä olisi tällöin merkitystä kyseisen asian ratkaisemisen kannalta. |
22 |
Pääasian kantaja väittää myös, että toinen kysymys on jätettävä tutkimatta siitä syystä, että se on sisällöltään hyvin laaja ja sanamuodoltaan liian epätäsmällinen, sillä ennakkoratkaisua pyytänyt tuomioistuin viittaa ”unionin oikeuden sääntöihin” mainitsematta mitään niistä konkreettisesti. |
23 |
Tässä yhteydessä on muistettava, että unionin tuomioistuimen vakiintuneesta oikeuskäytännöstä ilmenee, että yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta, jolloin olettamana on, että niillä on merkitystä. Jos siis esitetty kysymys koskee unionin oikeussäännön tulkintaa tai pätevyyttä, unionin tuomioistuimella on lähtökohtaisesti velvollisuus vastata siihen, paitsi jos on ilmeistä, että pyydetyllä unionin oikeuden tulkitsemisella ei ole mitään yhteyttä pääasian tosiseikkoihin tai kohteeseen, jos kyseinen ongelma on luonteeltaan hypoteettinen tai jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyyn kysymykseen (ks. vastaavasti tuomio 15.12.1995, Bosman, C‑415/93, EU:C:1995:463, 61 kohta; tuomio 7.9.1999, Beck ja Bergdorf, C‑355/97, EU:C:1999:391, 22 kohta ja tuomio 5.5.2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, 43 kohta oikeuskäytäntöviittauksineen). |
24 |
Nyt käsiteltävässä asiassa ensimmäinen kysymys koskee yleisen tietosuoja-asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden käyttämiselle asetettuja edellytyksiä. Ei myöskään ole ilmeistä, että pyydetyllä tulkinnalla ei olisi yhteyttä pääasiaan tai että esiin tuotu ongelma olisi luonteeltaan hypoteettinen. Yhtäältä kyseinen oikeusriita koskee nimittäin vahingonkorvausvaatimusta, joka kuuluu yleisellä tietosuoja-asetuksella käyttöön otettuun henkilötietojen suojajärjestelmään. Toisaalta kysymyksellä pyritään selvittämään, onko kyseisessä asetuksessa säädettyjen vastuusääntöjen soveltamisen kannalta tarpeen, että rekisteröidylle on aiheutunut kyseisen asetuksen rikkomisesta erillinen vahinko. |
25 |
Toisen kysymyksen osalta on mainittava, että oikeuskäytännössä on jo todettu, että pelkästään se, että unionin tuomioistuinta on pyydetty lausumaan abstraktisti ja yleisesti, ei voi aiheuttaa ennakkoratkaisupyynnön tutkimatta jättämistä (tuomio 15.11.2007, International Mail Spain, C‑162/06, EU:C:2007:681, 24 kohta). Näin esitettyä kysymystä voidaan pitää hypoteettisena ja siten tutkittavaksi ottamisen edellytyksiä täyttämättömänä, jos ennakkoratkaisupyyntöön ei sisälly vähäisintäkään selitystä, jonka perusteella mainitun kysymyksen ja pääasian välillä voitaisiin todeta olevan yhteys (ks. vastaavasti tuomio 8.7.2021, Sanresa, C‑295/20, EU:C:2021:556, 69 ja 70 kohta). |
26 |
Näin ei kuitenkaan ole nyt käsiteltävässä asiassa, koska ennakkoratkaisua pyytänyt tuomioistuin selittää, että sen toinen kysymys perustuu epävarmuuteen siitä, onko vahingonkorvauksen, joka Österreichische Postin on mahdollisesti maksettava yleisen tietosuoja-asetuksen säännösten rikkomisen vuoksi, arvioinnissa tarpeen valvoa paitsi kysymyksessä mainittujen vastaavuus- ja tehokkuusperiaatteiden myös mahdollisten muiden unionin oikeuden sääntöjen noudattamista. Tässä yhteydessä se, ettei käytettävissä ole täsmällisempiä tietoja kuin ne, jotka kyseinen tuomioistuin esittää mainittujen periaatteiden osalta, ei vie unionin tuomioistuimelta kykyä tulkita asian kannalta merkityksellisiä unionin oikeuden oikeussääntöjä hyödyllisellä tavalla. |
27 |
Ensimmäinen ja toinen kysymys voidaan siten ottaa tutkittavaksi. |
Asiakysymys
Ensimmäinen kysymys
28 |
Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että pelkkä kyseisen asetuksen säännösten rikkominen riittää antamaan oikeuden korvauksen saamiseen. |
29 |
Tässä yhteydessä on muistutettava, että vakiintuneen oikeuskäytännön mukaan unionin oikeuden sellaisen säännöksen tai määräyksen sanamuotoa, joka ei sisällä nimenomaista viittausta jäsenvaltioiden oikeuteen säännöksen tai määräyksen merkityksen ja ulottuvuuden määrittämiseksi, on tavallisesti tulkittava kaikkialla unionissa itsenäisesti ja yhtenäisesti (tuomio 22.6.2021, Latvijas Republikas Saeima (Liikennerikkomuspisteet)C‑439/19, EU:C:2021:504,81 kohta ja tuomio 10.2.2022, ShareWood Switzerland, C‑595/20, EU:C:2022:86, 21 kohta), ja tulkitsemisessa on otettava huomioon muun muassa asianomaisen säännöksen tai määräyksen sanamuoto ja asiayhteys, johon kyseinen säännös tai määräys kuuluu (ks. vastaavasti tuomio 15.4.2021, The North of England P & I Association, C‑786/19, EU:C:2021:276, 48 kohta ja tuomio 10.6.2021, KRONE – Verlag, C‑65/20, EU:C:2021:471, 25 kohta). |
30 |
Yleisessä tietosuoja-asetuksessa ei kuitenkaan viitata jäsenvaltioiden oikeuteen kyseisen asetuksen 82 artiklassa olevien ilmaisujen, kuten käsitteet ”aineellinen tai aineeton vahinko” ja ”aiheutuneen vahingon korvaaminen”, merkityksen ja ulottuvuuden osalta. Tästä seuraa, että kyseisiä ilmaisuja on mainittua asetusta sovellettaessa pidettävä unionin oikeuden itsenäisinä käsitteinä, joita on tulkittava yhtenäisesti kaikissa jäsenvaltioissa. |
31 |
Ensinnäkin yleisen tietosuoja-asetuksen 82 artiklan sanamuodosta on muistutettava, että kyseisen artiklan 1 kohdassa säädetään, että ”jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta”. |
32 |
Yhtäältä kyseisen säännöksen sanamuodosta ilmenee selvästi, että ”vahingon” olemassaolo on yksi mainitussa säännöksessä säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin se, että yleistä tietosuoja-asetusta on rikottu ja että vahingon ja kyseisen rikkomisen välillä on syy-yhteys. |
33 |
Niinpä ei voida katsoa, että yleisen tietosuoja-asetuksen säännösten ”rikkominen” yksinään antaisi rekisteröidylle, sellaisena kuin rekisteröity määritellään kyseisen asetuksen 4 artiklan 1 alakohdassa, mainitun oikeuden korvauksen saamiseen. Tällainen tulkinta olisi mainitun asetuksen 82 artiklan 1 kohdan sanamuodon vastainen. |
34 |
Toisaalta on korostettava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa olevat erilliset maininnat ”vahingosta” ja ”rikkomisesta” olisivat tarpeettomia, jos unionin lainsäätäjä olisi katsonut, että kyseisen asetuksen säännösten rikkominen voisi yksinään ja joka tapauksessa riittää korvauksen saamista koskevan oikeuden perustaksi. |
35 |
Toiseksi edellä esitettyä sanamuodon mukaista tulkintaa tukee kyseisen säännöksen asiayhteys. |
36 |
Yleisen tietosuoja-asetuksen 82 artiklan 2 kohdassa, jossa täsmennetään vastuuta, josta säädetään periaatteellisesti kyseisen artiklan 1 kohdassa, koskevaa järjestelmää, nimittäin toistetaan korvauksen saamista koskevan oikeuden syntymisen kolme välttämätöntä edellytystä eli henkilötietojen käsittely yleisen tietosuoja-asetuksen säännösten vastaisesti, rekisteröidylle aiheutunut vahinko sekä syy-yhteys lainvastaisen käsittelyn ja vahingon välillä. |
37 |
Myös yleisen tietosuoja-asetuksen johdanto-osan 75, 85 ja 146 perustelukappaleessa esitetyt täsmennykset tukevat tällaista tulkintaa. Yhtäältä kyseisen johdanto-osan 146 perustelukappaleen, joka koskee erityisesti kyseisen asetuksen 82 artiklan 1 kohdassa säädettyä oikeutta korvauksen saamiseen, ensimmäisessä virkkeessä viitataan vahinkoihin, ”jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu [mainittua] asetusta”. Toisaalta kyseisissä johdanto-osan 75 ja 85 perustelukappaleessa mainitaan, että riskejä voi aiheutua ”henkilötietojen käsittelystä, joka voi aiheuttaa – – vahinkoja” ja että henkilötietojen tietoturvaloukkauksesta ”voi aiheutua – – vahinkoja”. Niistä ilmenee ensinnäkin, että vahingon aiheutuminen tällaisessa käsittelyssä on vain potentiaalista, toiseksi, että yleisen tietosuoja-asetuksen rikkominen ei välttämättä aiheuta vahinkoa, ja kolmanneksi, että kyseessä olevan rikkomisen ja rekisteröidylle aiheutuneen vahingon välillä on oltava syy-yhteys, jotta oikeus korvauksen saamiseen olisi perusteltu. |
38 |
Yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan sanamuodon mukaista tulkintaa tukee myös vertailu muihin säännöksiin, jotka sisältyvät kyseisen asetuksen VIII lukuun, jossa säädetään muun muassa erilaisista oikeussuojakeinoista rekisteröidyn oikeuksien suojaamiseksi siinä tapauksessa, että hänen henkilötietojaan käsitellään väitetysti mainitun asetuksen säännösten vastaisesti. |
39 |
Tältä osin on todettava, että yleisen tietosuoja-asetuksen 77 ja 78 artiklassa, jotka sisältyvät mainittuun lukuun, säädetään oikeussuojakeinoista valvontaviranomaisessa tai valvontaviranomaista vastaan kyseisen asetuksen väitetyn rikkomisen tapauksessa, mutta siinä ei mainita, että rekisteröidylle on pitänyt aiheutua ”vahinkoa”, jotta hän voi käyttää tällaisia oikeussuojakeinoja, toisin kuin mainitun 82 artiklan sanamuodossa vahingonkorvauskanteiden osalta. Tämä sanamuotojen erilaisuus paljastaa ”vahinkoa” koskevan kriteerin merkityksen ja siten sen, että se on yleiseen tietosuoja-asetukseen perustuvien vahingonkorvausvaatimusten yhteydessä erillinen ”rikkomista” koskevaan kriteeriin nähden. |
40 |
Samoin yleisen tietosuoja-asetuksen 83 ja 84 artiklalla, jotka mahdollistavat hallinnollisten seuraamusmaksujen ja muiden seuraamusten määräämisen, on pääasiallisesti rangaistustarkoitus, eikä niissä edellytetä yksittäisen vahingon olemassaoloa. Mainitussa 82 artiklassa vahvistettujen sääntöjen ja mainituissa 83 ja 84 artiklassa vahvistettujen sääntöjen välinen suhde osoittaa, että näiden kahden säännösryhmän välillä on ero ja että ne täydentävät toisiaan siltä osin kuin on kyse kannustimista noudattaa yleistä tietosuoja-asetusta, kun otetaan huomioon, että jokaisen oikeus vaatia korvausta vahingosta vahvistaa kyseisessä asetuksessa säädettyjen suojasääntöjen toimivuutta ja on omiaan tekemään lainvastaisen toiminnan toistamisen vähemmän houkuttelevaksi. |
41 |
Lopuksi on täsmennettävä, että yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleen neljännessä virkkeessä mainitaan, että kyseisessä asetuksessa vahvistetut säännökset eivät vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. |
42 |
Ensimmäiseen kysymykseen on kaiken edellä esitetyn perusteella vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että pelkkä kyseisen asetuksen säännösten rikkominen ei riitä antamaan oikeutta korvauksen saamiseen. |
Kolmas kysymys
43 |
Kolmannella kysymyksellään, joka on tutkittava ennen toista kysymystä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että se on esteenä kansalliselle oikeussäännölle tai käytännölle, jossa asetetaan kyseisessä säännöksessä tarkoitetun aineettoman vahingon korvaamisen edellytykseksi se, että rekisteröidylle aiheutunut vahinko on vakavuudeltaan tietynasteinen. |
44 |
Tältä osin on muistutettava, että – kuten edellä 30 kohdassa korostettiin – vahingon käsite ja nyt käsiteltävässä asiassa erityisesti yleisen tietosuoja-asetuksen 82 artiklassa tarkoitettu aineettoman vahingon käsite on määriteltävä itsenäisesti ja yhtenäisesti unionin oikeudessa, koska siihen ei liity viittausta jäsenvaltioiden kansalliseen oikeuteen. |
45 |
Ensinnäkään yleisessä tietosuoja-asetuksessa ei määritellä vahingon käsitettä kyseisen asetuksen soveltamiseksi. Sen 82 artiklassa ainoastaan ilmaistaan nimenomaisesti, että oikeus korvauksen saamiseen voi perustua paitsi ”aineelliseen vahinkoon” myös ”aineettomaan vahinkoon”, mainitsematta minkäänlaista vakavuuskynnystä. |
46 |
Toiseksi se asiayhteys, johon kyseinen säännös kuuluu, viittaa myös siihen, että oikeus korvauksen saamiseen ei edellytä sitä, että vahinko ylittää tietyn vakavuuskynnyksen. Yleisen tietosuoja-asetuksen 146 perustelukappaleen kolmannen virkkeen mukaan nimittäin ”vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon”. Tämän unionin lainsäätäjän puoltaman vahingon käsitteen laajan tulkinnan kanssa olisi ristiriidassa, jos mainittu käsite rajattaisiin koskemaan ainoastaan vakavuudeltaan tietynasteisia vahinkoja. |
47 |
Kolmanneksi ja viimeiseksi on todettava, että yleisen tietosuoja-asetuksen tavoitteet tukevat tällaista tulkintaa. Tältä osin on muistutettava, että kyseisen asetuksen johdanto-osan 146 perustelukappaleen kolmannessa virkkeessä kehotetaan nimenomaisesti ottamaan kyseisen asetuksen tavoitteet ”kaikilta osin huomioon” siinä käytetyn vahingon käsitteen määrittelemiseksi. |
48 |
Yleisen tietosuoja-asetuksen johdanto-osan kymmenennestä perustelukappaleesta ilmenee erityisesti, että kyseisen asetuksen säännöksillä pyritään muun muassa varmistamaan luonnollisten henkilöiden yhdenmukainen ja korkeatasoinen suojelu henkilötietojen käsittelyssä unionissa ja tätä varten varmistamaan näiden henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen kaikkialla unionissa (ks. vastaavasti tuomio 16.7.2020, Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, 101 kohta ja tuomio 12.1.2023, Österreichische Post (Henkilötietojen vastaanottajiin liittyvät tiedot), C‑154/21, EU:C:2023:3, 44 kohta oikeuskäytäntöviittauksineen). |
49 |
Se, että aineettoman vahingon korvaamisen edellytykseksi asetettaisiin tietty vakavuuskynnys, saattaisi vaarantaa yleisellä tietosuoja-asetuksella käyttöön otetun järjestelmän johdonmukaisuuden, koska tällaisen kynnyksen porrastaminen, josta riippuu, onko mainitun korvauksen saaminen mahdollista vai ei, voisi vaihdella asiaa käsittelevien tuomareiden arvioinnin mukaan. |
50 |
Näin omaksutun tulkinnan ei kuitenkaan voida ymmärtää tarkoittavan, että henkilö, jota yleisen tietosuoja-asetuksen sellainen rikkominen koskee, jolla on ollut hänen kannaltaan kielteisiä seurauksia, vapautettaisiin velvollisuudesta osoittaa, että tällaiset seuraukset muodostavat kyseisen asetuksen 82 artiklassa tarkoitetun aineettoman vahingon. |
51 |
Kolmanteen kysymykseen on edellä esitetyn perusteella vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että se on esteenä kansalliselle oikeussäännölle tai käytännölle, jossa asetetaan kyseisessä säännöksessä tarkoitetun aineettoman vahingon korvaamisen edellytykseksi se, että rekisteröidylle aiheutunut vahinko on vakavuudeltaan tietynasteinen. |
Toinen kysymys
52 |
Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään lähinnä, onko yleisen tietosuoja-asetuksen 82 artiklaa tulkittava siten, että kansallisten tuomioistuinten on kyseisessä artiklassa vahvistettuun korvauksen saamista koskevaan oikeuteen perustuvan vahingonkorvauksen määrän vahvistamiseksi sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, noudattaen muitakin unionin oikeuden sääntöjä kuin vastaavuus- ja tehokkuusperiaatteita. |
53 |
Tältä osin on syytä muistuttaa, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan asiaa koskevien unionin sääntöjen puuttuessa kunkin jäsenvaltion asiana on menettelyllisen itsemääräämisoikeuden periaatteen nojalla vahvistaa sisäisessä oikeusjärjestyksessään menettelysäännöt sellaisia oikeussuojakeinoja varten, joilla pyritään turvaamaan yksityisillä olevien oikeuksien suojaaminen, kuitenkin sillä edellytyksellä, että nämä menettelysäännöt eivät ole unionin oikeuden alaisuuteen kuuluvissa tilanteissa epäedullisempia kuin samankaltaisia kansallisen oikeuden piiriin kuuluvia tilanteita koskevat säännöt (vastaavuusperiaate) eivätkä ne ole sellaisia, että unionin oikeudessa annettujen oikeuksien käyttäminen on käytännössä mahdotonta tai suhteettoman vaikeaa (tehokkuusperiaate) (ks. vastaavasti tuomio 13.12.2017, El Hassani, C‑403/16, EU:C:2017:960, 26 kohta ja tuomio 15.9.2022, Uniqa Versicherungen, C‑18/21, EU:C:2022:682, 36 kohta). |
54 |
Nyt käsiteltävässä asiassa on mainittava, että yleisessä tietosuoja-asetuksessa ei ole säännöstä, jolla määritetäisiin säännöt, jotka koskevat sen vahingonkorvauksen arviointia, jota kyseisen asetuksen 4 artiklan 1 alakohdassa tarkoitettu rekisteröity voi vaatia sen 82 artiklan nojalla, jos mainitun asetuksen rikkomisesta on aiheutunut hänelle vahinkoa. Koska unioni ei ole antanut asiaa koskevia sääntöjä, jokaisen jäsenvaltion sisäisessä oikeusjärjestyksessä on siten vahvistettava kanteita, joilla pyritään turvaamaan yksityisten kyseiseen 82 artiklaan perustuvat oikeudet, koskevat yksityiskohtaiset säännöt ja erityisesti perusteet tässä yhteydessä maksettavan korvauksen suuruuden määrittämiseksi, sillä edellytyksellä, että mainittuja vastaavuus- ja tehokkuusperiaatteita noudatetaan (ks. analogisesti tuomio 13.7.2006, Manfredi ym., C‑295/04–C‑298/04, EU:C:2006:461, 92 ja 98 kohta). |
55 |
Vastaavuusperiaatteen osalta on todettava, että nyt käsiteltävässä asiassa unionin tuomioistuimella ei ole tiedossaan mitään sellaista seikkaa, joka voisi antaa aiheen epäillä pääasiassa sovellettavan kansallisen säännöstön yhdenmukaisuutta kyseisen periaatteen kanssa ja joka siten voisi viitata siihen, että kyseisellä periaatteella voi olla konkreettinen vaikutus nyt käsiteltävässä oikeusriidassa. |
56 |
Tehokkuusperiaatteen osalta ennakkoratkaisua pyytäneen tuomioistuimen on ratkaistava, tehdäänkö Itävallan oikeudessa säädetyillä yleisen tietosuoja-asetuksen 82 artiklassa vahvistettuun korvauksen saamista koskevaan oikeuteen perustuvien vahingonkorvausten tuomioistuimessa tapahtuvaa määrittämistä koskevilla yksityiskohtaisilla säännöillä unionin oikeudessa ja tarkemmin sanottuna kyseisessä asetuksessa annettujen oikeuksien käyttäminen käytännössä mahdottomaksi tai suhteettoman vaikeaksi. |
57 |
Tässä yhteydessä on korostettava, että yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleen kuudennessa virkkeessä mainitaan, että kyseisellä asetuksella pyritään varmistamaan ”täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta”. |
58 |
Tältä osin on todettava, että kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden vahingonkorvaustehtävä – kuten julkisasiamies on pääasiallisesti korostanut ratkaisuehdotuksensa 39, 49 ja 52 kohdassa –, kyseiseen säännökseen perustuvaa rahamääräistä korvausta on pidettävä ”täytenä ja tosiasiallisena”, jos sillä voidaan korvata kyseisen asetuksen rikkomisesta konkreettisesti aiheutunut vahinko täysimittaisesti ilman, että tällainen täysimittainen korvaus edellyttäisi rangaistusluonteisten vahingonkorvausten määräämistä maksettavaksi. |
59 |
Toiseen kysymykseen on kaiken edellä esitetyn perusteella vastattava, että yleisen tietosuoja-asetuksen 82 artiklaa on tulkittava siten, että kansallisten tuomioistuinten on kyseisessä artiklassa vahvistettuun korvauksen saamista koskevaan oikeuteen perustuvan vahingonkorvauksen määrän vahvistamiseksi sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, kunhan unionin oikeuden vastaavuus- ja tehokkuusperiaatteita noudatetaan. |
Oikeudenkäyntikulut
60 |
Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi. |
Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti: |
|
|
|
Allekirjoitukset |
( *1 ) Oikeudenkäyntikieli: saksa.