lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Manuel Campos Sánchez-Bordona föredraget den 25 maj 2023

CELEX
62021CC0667
Typ
EU-domstolen

Källa

1 Originalspråk: spanska.

2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

3 Och om artikel 8 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31), som var direkt föregångare till artikel 9 i dataskyddsförordningen.

4 Fråga 4 är i allt väsentligt identisk med fråga 1 i mål C‑300/21, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), i vilket jag föredrog mitt förslag till avgörande den 6 oktober 2022 ( EU:C:2022:756) (nedan kallat förslaget till avgörande i mål C‑300/21) och EU-domstolen meddelande dom den 4 maj 2023 ( EU:C:2023:370).

5 Volym 5 i lagen om social trygghet.

6 Medizinischer Dienst der Krankenversicherung (nedan kallad MDK).

7 Krankenversicherung (nedan kallade sjukförsäkringskassorna).

8 PM om skydd av sociala uppgifter rörande [MDK:s] anställda och deras familjemedlemmar, vilken sammanfattas i punkt 6 och följande punkter i beslutet att begära förhandsavgörande.

9 I det databehandlingssystem som MDK använder sig av internt har det upprättats en virtuell organisationsenhet benämnd speciella fall, vilken endast de anställda vid den enheten har åtkomst till.

10 Efter det att rätten till bibehållen lön från MDK vid sjukfrånvaro hade upphört (enligt lag).

11 Han ansåg att om en överträdelse av skyddet för hans personuppgifter inte hade skett skulle han ha kunnat återuppta sitt arbete hos MDK från och med december 2018.

12 ArbG Düsseldorf, Urteil vom 22.02.2019 - 4 Ca 6116/18, respektive LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 - 12 Sa 186/19.

13 Beträffande dess innehåll hänvisar jag till domen av den 4 maj 2023 i mål C‑300/21, Österreichische Post (Ideell skada på grund av behandling av personuppgifter) ( C‑300/21, EU:C:2023:370).

14 Det som följer påverkar inte svaret på den tredje tolkningsfrågan.

15 Jag anser att det är lämpligare att använda den här bestämmelsen än artikel 9.2 b i dataskyddsförordningen. Det förefaller inte som att behandlingen var nödvändig (varken beträffande MDK som arbetsgivare eller beträffande ZQ som anställd) för att fullgöra förpliktelser eller utöva rättigheter inom ramen för anställningsförhållandet.

16 En behandling av känsliga uppgifter i egenskap av arbetsgivare (det vill säga för ändamål som har anknytning till anställningsförhållandet) är bara laglig om den uppfyller de villkor som föreskrivs i dataskyddsförordningen för att uppgifter ska få behandlas för andra ändamål än det som föranledde insamlingen av dem.

17 Punkt 22 i beslutet att begära förhandsavgörande. I dataskyddsförordningen föreskrivs däremot att denne ska ha andra egenskaper, enligt artikel 9.3: beträffande dess räckvidd, se punkt 40 och följande punkter nedan.

18 Artikel 9 i dataskyddsförordningen har sin föregångare i artikel 8 i direktiv 95/46. I kommissionens förslag (Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) COM(2012) 11 final, av den 25 januari 2012) (nedan kallat kommissionens förslag) reglerades behandlingen av personuppgifter om en registrerads hälsotillstånd i artikel 81, i vilken det föreskrevs motiveringar och angavs att behandlingen skulle ske på grundval av unionslagstiftning eller medlemsstaternas nationella lagstiftning. Medlemsstaterna skulle föreskriva åtgärder för att skydda den registrerades berättigade intressen. Innehållet i artikel 81 kom att föras in i artikel 9.2 h och 9.4, vilket framgår av dokument nr 14270/14, rådets ordförandeskap till arbetsgruppen för skydd av uppgifter, av den 16 oktober 2014.

19 Dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) ( C‑136/17, EU:C:2019:773, punkt 44): … de särskilda krav … vad gäller behandling av de särskilda kategorier av uppgifter som avses där … [syftar till att] säkerställa ett utökat skydd mot sådan behandling som, på grund av att dessa uppgifter är särskilt känsliga, kan utgöra ett synnerligen allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skyddet för personuppgifter, vilka garanteras genom artiklarna 7 och 8 i stadgan, såsom även framgår av skäl 33 i [direktiv 95/46] och skäl 51 i förordningen.

20 Den grundläggande rätten till skydd för personuppgifter väger inte automatiskt tyngre än andra rättigheter, inte ens när de särskilda kategorierna i artikel 9.1 i dataskyddsförordningen berörs: dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) ( C‑136/17, EU:C:2019:773, punkterna 66–68).

21 Artikel 9.3 i dataskyddsförordningen.

22 Enligt artikel 88 i dataskyddsförordningen får medlemsstaterna alltså fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden. Beträffande tolkningen av dem hänvisar jag till domen av den 30 mars 2023 i målet Hauptpersonalrat der Lehrerinnen und Lehrer ( C‑34/21, EU:C:2023:270).

23 Så tycks den hänskjutande domstolen uppfatta det. Själv hänvisar jag till fotnot 15 ovan.

24 Jag anser liksom kommissionen att det andra stycket [i artikel 9 i dataskyddsförordningen] inte föreskriver någon särskild hierarki eller något eventuellt beroendeförhållande mellan undantagen, vilka existerar parallellt på lika villkor (punkt 13 i dess skriftliga yttrande).

25 Det krävs inte, som i direktiv 95/46, att uppgifterna behandlas uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som … är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt (min kursivering). Det krävs dock att uppgifterna behandlas av någon som har tystnadsplikt.

26 Vad beträffar uppgifter som är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter, anges i skäl 51 i dataskyddsförordningen att [u]töver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling.

27 Dom av den 16 januari 2019, Deutsche Post ( C‑496/17; EU:C:2019:26, punkt 57 och där angiven rättspraxis). Vad beträffar känsliga uppgifter, dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter) ( C‑136/17, EU:C:2019:773, punkt 64), och dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning för överträdelser av trafikregler) ( C‑439/19, EU:C:2021:504, punkterna 96, 99, 100 och 102).

28 Beslutet att begära förhandsavgörande, punkterna 25–27. Den hänskjutande domstolen nämner inrättandet av två självständiga grupper för särskilda fall och av separata IT-enheter när det rör sig om utlåtanden om anställda vid IT-enheter (som ZQ). Det yttersta målet skulle då vara att ingen av MDK:s anställda faktiskt ska kunna få tillgång till uppgifter om en kollegas hälsa och inte heller om att det gjorts en prövning av dennes arbetsförmåga.

29 Artikel 8.3. Som jag nämnt har den krets av personer som får behandla uppgifterna utökats i dataskyddsförordningen.

30 Punkt 4 fördes in i artikel 9 i dataskyddsförordningen till följd av ett förslag från Tyskland: dokument nr 6834/15, ordförandeskapet till rådet, av den 9 mars 2015.

31 Den hänskjutande domstolen anger att MDK är personuppgiftsansvarig (punkt 16 i beslutet att begära förhandsavgörande). Jag kommer därför inte att nämna personuppgiftsbiträdet nedan, utom om det är lämpligt i något sammanhang. I princip kan övervägandena rörande den personuppgiftsansvarige tillämpas på personuppgiftsbiträdet.

32 Den hänskjutande domstolen befarar särskilt att ZQ:s kollegor ska få kännedom om hans hälsotillstånd om säkerheten åsidosätts, vilket skulle kunna leda till spekulationer om hans prestationsförmåga. Den hänskjutande domstolen anger vidare att information om att det föreligger ett medicinskt utlåtande rörande arbetsoförmåga i sig är känslig, eftersom det kan uppstå en möjlighet att simulera denna oförmåga (punkt 26 i beslutet att begära förhandsavgörande).

33 Se punkt 10 ovan.

34 Punkt 27 i beslutet att begära förhandsavgörande.

35 Se fotnot 27 ovan. Beträffande sambandet mellan artikel 6 och artikel 9 i dataskyddsförordningen se även mål C‑252/21, Meta Platforms m.fl. (Allmänna villkor för användning av ett socialt nätverk). Generaladvokat Rantos förslag till avgörande föredrogs den 20 september 2022 ( C‑252/21, EU:C:2022:704).

36 Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning för överträdelser av trafikregler) ( EU:C:2021:504), punkterna 96, 99, 100 och 102.

37 Innehållet i artikel 10 i dataskyddsförordningen fanns i artikel 8 i direktiv 95/46. Den sistnämnda artikeln innehöll alla särskilda kategorier av uppgifter, även om behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder särskildes och behandlades i punkt 5. Den formella uppdelningen i dataskyddsförordningen beror inte på att lagstiftaren skulle ha ändrat uppfattning om att personuppgifter som rör fällande domar i brottmål eller lagöverträdelser är känsliga.

38 Dokument nr 17072/4/14 Rev 4, rådet till Ständiga representanternas kommitté, av den 4 mars 2015, fotnot 60.

39 Vilken liksom i den slutliga versionen rörde laglig behandling av personuppgifter.

40 Dokument nr 17072/4/14 Rev 4, rådet till Ständiga representanternas kommitté, av den 4 mars 2015, artikel 9.2 (Paragraph 1 shall not apply if one of the following applies and Article 6(1) is complied with …) och fotnot 60.

41 Från och med dokument nr 6834/15, ordförandeskapet till rådet, av den 9 mars 2015.

42 Vilket visserligen inte ledde till att alla delegationernas tvivel skingrades. Se exempelvis dokument nr 7466/15, ordförandeskapet till delegationerna, av den 26 mars 2015, fotnot 38.

43 Riktlinjerna 03/2020 om databehandling som rör hälsa för vetenskaplig forskning i samband med covid-19-utbrottet, april 2020, stycke 15.

44 Advice paper on special categories of data, Ares(2011)444105 - 20/04/2011, s. 5.

45 Detta är även den uppfattning som kommissionen offentligt har gett uttryck för: Minutes of the second meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, vilket hölls den 10 oktober 2016, s. 2, och Minutes of the meeting of the Commission expert group on the Regulation (EU) 2016/679 and Directive (EU) 2016/680, vilket hölls den 20 februari 2018, s. 2.

46 En kumulation eller komplementaritet har till exempel förespråkats av T. Petri, Art. 9, i Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, marg. 26, som emellertid medger att det är en uppfattning som inte delas av alla. En motsatt ståndpunkt intas i Handbok om den europeiska lagstiftningen om skydd av personuppgifter från Europeiska unionens byrå för grundläggande rättigheter, 2018, punkt 4.1.1.

47 Den registrerade har uttryckligen lämnat sitt samtycke, behandlingen är nödvändig för att skydda en persons grundläggande intressen, när denne är fysiskt eller rättsligt förhindrad att ge sitt samtycke, respektive behandlingen är nödvändig av skäl som grundar sig på allmänintresset.

48 Punkterna 30 och 31 i beslutet att begära förhandsavgörande.

49 Till exempel om den registrerades samtycke, som rättslig grund som är förenad med det bemyndigande som föreskrivs i artikel 9.2 h, ska vara uttryckligt så som föreskrivs i den artikeln, eller om det räcker med ett samtycke enligt artikel 6.1 a.

50 En annan, mer begränsad, fråga är huruvida det mot bakgrund av den hänskjutande domstolens resonemang avseende artikel 6.1, är lämpligt att klargöra innebörden av de villkor som anges där, i synnerhet villkoren i led c och e. I det här sammanhanget hänvisar jag till EU-domstolens rättspraxis: beträffande bestämmelserna i direktiv 95/46, dom av den 16 december 2008, Huber ( C‑524/06, EU:C:2008:724, punkt 62), och dom av den 30 maj 2013, Worten ( C‑342/12, EU:C:2013:355, punkt 37); beträffande dataskyddsförordningen, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija ( C‑184/20, EU:C:2022:601, punkt 66 och följande punkter).

51 Den hänskjutande domstolen är benägen att göra bedömningen att det skett en överträdelse av artiklarna 9 och 6 i dataskyddsförordningen, till följd av MDK:s behandling. I punkt 32 i beslutet om hänskjutande anges att överträdelsen i sig ger rätt till ersättning. I punkt 33 betonas att överträdelsen automatiskt innebär en skada (överträdelsen av dataskyddsförordningen ger upphov till en immateriell skada som ger rätt till ersättning). Av de skäl som jag redogjorde för i mitt förslag till avgörande i målet C‑300/21 delar jag inte denna uppfattning.

52 Punkterna 78–80 i MDK:s yttrande. Enligt MDK vållade den registrerade sig själv skadan, eftersom han inte begärde att få tillgång till handlingarna och inte utövade sin rätt att få tillgång till dem i enlighet med artikel 15 i dataskyddsförordningen, utan vände sig till en kollega vid samma enhet och bad henne att söka efter de omtvistade uppgifterna. Se även den dom i andra instans som meddelades av LAG Düsseldorf (12. Kammer), Urteil vom 11.03.2020 - 12 Sa 186/19], punkt 4.3.4.3.

53 Den anställda, som arbetade på samma avdelning som den registrerade, beredde sig tillgång till uppgifterna på ett sätt som låg utanför hennes befogenheter, det vill säga för ändamål som inte ingick i de arbetsuppgifter som hon var anställd för att utföra.

54 Jag kommer i fortsättningen att använda uttrycket den som ansvarar som synonym till den ansvarige.

55 Om man bortser från de som anser att det rör sig om en aspekt som inte har reglerats, skiljer sig uppfattningarna åt mellan de som förespråkar att system med strikt ansvar och de som förespråkar culpaansvar med omvänd bevisbörda. Liksom är fallet med andra system för (skadestånds)ansvar inom olika sektorer, anser jag i själva verket att dataskyddsförordningen inte helt och hållet motsvarar något av de två huvudsakliga teoretiska paradigmen och att gränserna mellan dem inte heller är särskilt tydliga. Så som förordningen är formulerad kan den innefattas i båda, med vissa nyanseringar som i slutändan gör att modellerna blandas ihop: i det förstnämnda paradigmet, på grund av den höga grad av omsorg som måste styrkas för att undgå ansvar; i det sistnämnda, på grund av att det förs in bedömningar av omsorg/oaktsamhet i skälen för undantag, eller när överträdelsen slås fast, beroende på vilken typ av bestämmelse det rör sig om.

56 I punkt 2, som kan uppfattas som spegelbilden av punkt 1 eftersom den behandlar ansvar från de ansvarigas sida, nämns inte heller något krav på vållande.

57 I den spanska versionen finns däremot ordet imputable i artikel 47.2 f i dataskyddsförordningen, vilken handlar om den information som krävs för att bindande företagsbestämmelser ska godkännas och om undantagande från skyldighet i koncerner som är etablerade inom och utanför unionen. I den tyska versionen har man använt sig av en omskrivning (dem betreffenden Mitglied nicht zur Last gelegt werden kann).

58 Till exempel i artiklarna 82.3, 68.4 och 75.6.

59 Artikel 83.2 b och artikel 83.3. Om tolkningen av den uttalade jag mig i mitt förslag till avgörande i mål C‑807/21, Deutsche Wohnen ( EU:C:2023:360).

60 Bland annat dokument nr 17831/13, rådets ordförandeskap till arbetsgruppen för skydd av uppgifter, av den 16 december 2013, fotnot 542.

61 Ändringsförslag nr 2819, förslag från S. Ilchev, Draft Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), dokument PE501.927v04-00, Amendments (9): Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence. Min kursivering.

62 Se den text som utgör bilaga till lagstiftningsresolution av den 12 mars 2014 om kommissionens förslag (EUT C 378, 2017, s. 399).

63 Dokument nr 9083/15, ordförandeskapet till RIF-medlemmar i arbetsgruppen för skydd av uppgifter, av den 27 maj 2015. Skillnaden mellan de två alternativen handlar om artikel 77.3–77.6. Punkt 1, där principen om den personuppgiftsansvariges och personuppgiftsbiträdets ansvar slås fast, och punkt 2, där det materiella tillämpningsområdet för deras ansvar fastställs, och personuppgiftsbiträdets ansvar avgränsas, sammanföll med varandra.

64 A.a., punkt 5.

65 … each non-compliant controller and/or processor involved in the processing are held liable for the entire amount of the damage.

66 Eller, när det gäller personuppgiftsbiträden, har agerat i strid med den personuppgiftsansvariges anvisningar som är förenliga med dataskyddsförordningen.

67 Med senare regressrätt: artikel 77.6, i det första alternativet.

68 Dokument nr 9083/15, ordförandeskapet till RIF-medlemmar i arbetsgruppen för skydd av uppgifter, av den 27 maj 2015, punkt 7. Ett culpaansvar hade öppet formulerats av Förenade kungarikets delegation. Mot bakgrund av dess argument ställdes en fråga med den innebörden till de övriga (dokument nr 7722/15, ordförandeskapet till arbetsgruppen för skydd av uppgifter, av den 13 april 2015, punkterna 10 och 11). Det alternativ som slutligen föreslogs tycks följa den kompromiss som den tyska delegationen hade pekat på (dokument nr 8150/1/15 Rev 1, av den 6 maj 2015), där skillnad gjordes mellan det område som rörde förhållandet mellan den personuppgiftsansvarige/personuppgiftsbiträdet och den registrerade, och det som rörde förhållandet mellan de två förstnämnda, och det slogs fast att den sistnämndes ansvar skulle bygga på uppsåt eller oaktsamhet: liability follows fault, meaning that a party is only liable if he/she has intentionally or negligently acted contrary to his duties laid down in this Regulation. Vad beträffar den registrerade skulle denne inte hållas ansvarig om det inte förelåg någon oaktsamhet.

69 A.a., punkt 6, som slutar på följande sätt: In other words, the mere fact that an entity was involved in a non-compliant processing operation which caused damage suffices for it to be held liable for the full amount of damages.

70 Artikel 77.4a, i det här alternativet. If a data subject is not able to bring a claim for compensation against the controller …

71 Dokument nr 9565/15, ordförandeskapet till rådet, av den 11 juni 2015.

72 Min kursivering. Parallellt med detta tillägg tas exemplen på grunder för undantag från ansvar i skäl 118 bort: se nedan, punkt 104 och följande punkter.

73 Skäl 10 i dataskyddsförordningen.

74 Jag hänvisar till mitt förslag till avgörande i mål C‑300/21. Som jag påpekade där vill lagstiftaren främja en privat tillämpning av reglerna om skydd av personuppgifter. I detta syfte har instrument ställts till förfogande för den registrerade i kapitel VIII i dataskyddsförordningen. Skadestånd är ett sådant instrument, men det har inte någon bestraffande funktion.

75 Detta var ett av argumenten i kommissionens förslag för att gå längre än direktiv 95/46.

76 Skäl 77 och följande skäl i dataskyddsförordningen.

77 De bör emellertid klargöras att ansvaret får en preventiv funktion om det påverkar personens beslut om vilken verksamhetsnivå som han eller hon ska välja. Den tolkning som jag föreslår gör det möjligt att knyta artikel 82 i dataskyddsförordningen till principer för behandlingen av personuppgifter som ändamålsbegränsning, uppgiftsminimering och korrekthet (artikel 5.1 b, c och d i förordningen).

78 Vilket skulle innebära att oaktsamheten blir kriteriet för tillskrivning av ansvar.

79 Se fotnot 52 ovan.

80 Detta är den hänskjutande domstolens ståndpunkt (se fotnot 51 ovan). Enligt den hänskjutande domstolen bör den registrerades medverkan i form av en begäran om sökning på hans uppgifter inte ha någon betydelse för tillskrivandet av ansvar. Den skulle däremot kunna ha det när det gäller fastställandet av ersättningens storlek.

81 Detta är MDK:s och appellationsdomstolens ståndpunkt (se fotnot 52 ovan). I själva verket skulle det kunna hävdas att inslaget av skada saknas i det här scenariet: volenti non fit iniuria.

82 Punkt 40 i beslutet att begära förhandsavgörande.

83 Till skillnad från vad som är fallet inom andra områden (till exempel när det gäller ansvar för felaktiga produkter), har preciseringen av grunderna för ansvarsbefrielse inte formen av en uttömmande uppräkning i dataskyddsförordningen.

84 Den registeransvarige kan helt eller delvis undgå [detta] ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.

85 Den registeransvarige kan befrias från skadeståndsansvar om han kan visa att han inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure. Min kursivering.

86 Skäl 118 i kommissionens förslag.

87 Skäl 118 i den text som åtföljer parlamentets lagstiftningsresolution av den 12 mars 2014 om kommissionens förslag.

88 Se ovan, punkt 84 och följande punkter. Exemplen finns med i handlingarna rörande förhandlingarna i rådet, men inte i kompromisstexten, dokument nr 9565/15 av den 11 juni 2015.

89 Jag hänvisar i första hand till dokument nr 9083/15, ordförandeskapet till RIF-medlemmar i arbetsgruppen för skydd av uppgifter, av den 27 maj 2015.

90 Med hänsyn till sammanhanget (den särskilda uppmärksamheten på flera personuppgiftsansvariga och personuppgiftsbiträden), kan slutsatsen dras att en sådan möjlighet skulle kunna vara att den personuppgiftsansvarige styrker att skadan enbart uppkom på grund av personuppgiftsbiträdets agerande och vice versa.

91 Inte heller force majeure, som var den andra grunden som uttryckligen angavs i skäl 55 i direktiv 95/46 (se punkt 105 ovan).

92 Jag föregriper naturligtvis inte medverkan av tredje parter. I detta avseende, se förslag till avgörande av generaladvokaten Pitruzzella föredraget den 27 april 2023 i målet Natsionalna agentsia za prihodite ( C‑340/21, EU:C:2023:353).

93 För att undanröja de oklarheter som förekom i direktiv 95/46, klargörs i dataskyddsförordningen att den omfattar immateriella skador. I skäl 146 nämns all skada och där betonas att begreppet skada bör tolkas brett, mot bakgrund av domstolens rättspraxis. Den exakta omfattningen av påpekandet är fortfarande inte helt klar.

94 Där anges inte huruvida man ska använda sig av tariffer eller totalbelopp eller andra beräkningssystem vid preciseringen av skadan i det enskilda fallet.

95 Dessa faktorer skulle eventuellt kunna innefatta: a) den som den hänskjutande domstolen har föreslagit, b) förekomsten av oaktsamhet från den registrerades sida, vilken MDK har pekat på i punkt 80 i sitt skriftliga yttrande, c) andra faktorer, som införandet av beloppsgränser för ersättningen, för att inte på ett omotiverat sätt avskräcka från behandling av uppgifter eller ekonomisk verksamhet som bygger på den.

96 Se ovan, punkt 87 och följande punkter.

97 I direktiv 95/46 föreskrevs inget rörande detta. Jag har i förarbetena till dataskyddsförordningen inte hittat något som tyder på att det fördes någon diskussion kring detta.

98 Rådets förordning (EG) nr 2100/94 av den 27 juli 1994 om gemenskapens växtförädlarrätt (EGT L 227, 1994, s. 1), artikel 94.2, eller Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (EUT L 157, 2004, s. 45), artikel 13 och skäl 26.

99 Artikel 83.2 b och skäl 148 i dataskyddsförordningen. Där beaktas proportionalitetskriteriet, inte bara med avseende på händelsen, utan även med beaktande av huruvida sanktionsavgiften innebär en oproportionell börda för en fysisk person. Den irländska regeringen föreslår i punkt 54 i sitt skriftliga yttrande att det kriteriet ska tillämpas på skadeståndet. Det saknas även här stöd i lydelsen av artikel 82 för att det ska anses utgöra en del av den artikeln. Det finns inte heller stöd i förarbetena eller bestämmelsens ändamål eller dess funktion i förordningen som helhet.

100 En effektiv ersättning ska vara ägnad att säkerställa rätten till uppgiftsskydd.

101 De är alla skadeståndsskyldiga enligt punkterna 2 och 3 i artikel 82 i dataskyddsförordningen. De är fullt ansvariga oberoende av i vilken grad de har bidragit till skadan.

102 Jag utesluter inte att det kan finnas andra omständigheter som kan motivera en sänkning av beloppet: jag tänker till exempel på avvägningen, i konkreta fall, mellan rätten till ersättning (och därigenom skyddet av uppgifter) och andra tillgångar eller rättigheter som har samma ställning. I dataskyddsförordningen syftar adjektivet full även till att säkerställa täckning för en viss kategori av skador (immateriella), förhindra att ersättningen begränsas till indirekta skador (den bör omfatta andra skador, vilket domstolen har slagit fast inom andra områden) och säkerställa att tillgången till ersättning inte försvåras om flera personer medverkar i behandlingen, utan tvärtom förenklas.