Wyrok Trybunału (trzecia izba) z dnia 21 grudnia 2023 r. ZQ przeciwko Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts., sygn. C-667/21

Artykuł 9 ust. 2 lit. h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)należy interpretować w ten sposób, że:wyjątek przewidziany w tym przepisie ma zastosowanie do sytuacji, w których organ kontroli medycznej przetwarza dane dotyczące zdrowia jednego ze swoich pracowników nie jako pracodawca, lecz jako służba medyczna, w celu oceny zdolności tego pracownika do pracy, pod warunkiem że odnośne przetwarzanie spełnia warunki i gwarancje wyraźnie określone w tym art. 9 ust. 2 lit. h) i w art. 9 ust. 3.Artykuł 9 ust. 3 rozporządzenia 2016/679należy interpretować w ten sposób, że:administrator przetwarzający dane dotyczące zdrowia, na podstawie art. 9 ust. 2 lit. h) tego rozporządzenia, nie jest zobowiązany, na mocy tych przepisów, do zagwarantowania, że żaden współpracownik osoby, której dane dotyczą, nie będzie mógł uzyskać dostępu do danych dotyczących stanu zdrowia tej osoby. Jednakże taki obowiązek może ciążyć na administratorze przetwarzającym takie dane albo na podstawie uregulowania przyjętego przez państwo członkowskie na podstawie art. 9 ust. 4 wspomnianego rozporządzenia, albo na podstawie zasad integralności i poufności określonych w art. 5 ust. 1 lit. f) tego rozporządzenia i skonkretyzowanych w jego art. 32 ust. 1 lit. a) i b).Artykuł 9 ust. 2 lit. h) i art. 6 ust. 1 rozporządzenia 2016/679należy interpretować w ten sposób, że:przetwarzanie danych dotyczących zdrowia oparte na tym pierwszym przepisie musi, aby było zgodne z prawem, nie tylko spełniać wymogi wynikające z tego przepisu, lecz także spełniać co najmniej jeden z warunków zgodności z prawem wymienionych w tym art. 6 ust. 1.Artykuł 82 ust. 1 rozporządzenia 2016/679należy interpretować w ten sposób, że:prawo do odszkodowania przewidziane w tym przepisie pełni funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, a nie pełnić funkcję odstraszającą lub represyjną.Artykuł 82 rozporządzenia 2016/679należy interpretować w ten sposób, że:po pierwsze, powstanie odpowiedzialności administratora danych jest uzależnione od istnienia jego winy, której istnienie domniemywa się, chyba że wykaże on, iż w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody, i, po drugie, ten art. 82 nie wymaga wzięcia pod uwagę stopnia tej winy przy określaniu kwoty odszkodowania przyznawanego za szkodę niemajątkową na podstawie tego przepisu.