Eelotsusetaotlus, mille on esitanud Verwaltungsgericht Wien (Austria) 16. märtsil 2022 – CK

(Kohtuasi C-203/22)

(2022/C 222/30)

Kohtumenetluse keel: saksa

Eelotsusetaotluse esitanud kohus

Verwaltungsgericht Wien

Põhikohtuasja pooled

Kaebaja: CK

Menetluses osalesid: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien

Eelotsuse küsimused

Millistele sisulistele nõuetele peab kättesaadavaks tehtud teave vastama, et seda saaks pidada piisavalt „sisuliseks“ isikuandmete kaitse üldmääruse (1) artikli 15 lõike 1 punkti h tähenduses?

Kas olukorras, kus vastutav töötleja on koostanud profiilianalüüsi, tuleb seoses „kasutatava loogika“ kohta teabe andmisega – vajaduse korral olemasolevat ärisaladust kaitstes – põhimõtteliselt konkreetsel juhul avalikustada ka automatiseeritud otsuse tulemuse läbipaistvuse tagamise seisukohast oluline teave, eelkõige 1) andmesubjekti töödeldud isikuandmed, 2) profiilianalüüsi aluseks oleva algoritmi need osad, mis on vajalikud läbipaistvuse tagamiseks, ja 3) töödeldud isikuandmete ja tehtud hindamise vahelist seost näitav määrav teave?

Kas profiilianalüüsi koostamise juhtudel tuleb andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses teha ka ärisaladuse vastuväite esitamise korral igal juhul kättesaadavaks järgmine teave konkreetselt teda puudutava töötluse kohta, et võimaldada tal kaitsta oma isikuandmete kaitse üldmääruse artikli 22 lõikest 3 tulenevaid õigusi:

a)	kõik vajaduse korral pseudonümiseeritud andmed, eelkõige andmesubjekti isikuandmete töötlemise viisi puudutavad andmed, mis lubavad kontrollida isikuandmete kaitse üldmääruse järgimist,

b)	profiilianalüüsi koostamiseks kasutatud sisendandmed,

c)	reitingu arvutamisel kasutatud parameetrid ja muutuvsisendid,

d)	parameetrite ja muutuvsisendite mõju välja arvutatud reitingule,

e)	teave parameetrite ja muutuvsisendite kujunemise kohta,

f)	selgitus selle kohta, mille alusel määrati andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses teatud reiting, ja järeldus, mis on selle reitingu põhjal tehtud,

g)	profiilikategooriate loend ja selgitus selle kohta, milline reitingu põhjal tehtud järeldus on seotud iga profiilikategooriaga?

Kas teabega tutvumise õigus, mille annab andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt h, on isikuandmete kaitse üldmääruse artikli 22 lõikes 3 tagatud õigustega väljendada oma seisukohta ja vaidlustada automatiseeritud otsust isikuandmete kaitse üldmääruse artikli 22 tähenduses seotud selles mõttes, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h kohase teabenõude alusel esitada tulev teave on piisavalt „sisuline“ vaid siis, kui teabetaotluse esitanud andmesubjekt isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses on suuteline talle isikuandmete kaitse üldmääruse artikli 22 lõikega 3 tagatud õigusi väljendada oma seisukohta ja vaidlustada teda puudutavat automatiseeritud otsust isikuandmete kaitse üldmääruse artikli 22 tähenduses kasutama tegelikult, põhjalikult ja tulemuslikult?

Kas isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tuleb tõlgendada nii, et „sisulisest teabest“ viidatud sätte tähenduses saab lähtuda vaid juhul, kui kõnealune teave on sedavõrd ulatuslik, et andmesubjektil isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses on võimalik tuvastada, kas antud teave on tõene, seega kas konkreetne automatiseeritud otsus, mille kohta päring esitati, põhineb ka tegelikult nendel andmetel, mis talle kättesaadavaks tehti?

Kui vastus on jaatav: Kuidas tuleb toimida, kui vastutava töötleja antud teabe õigsust on võimalik kontrollida vaid juhul, kui andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses tehakse kättesaadavaks ka kolmandate isikute isikuandmed, mis on kaitstud isikuandmete kaitse üldmäärusega (Black-Box)?

Kas kõnealust konflikti, mis esineb isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tuleneva õiguse teabega tutvuda ja kolmandate isikute õiguse isikuandmete kaitsele vahel, saab lahendada ka nii, et teabe õigsuse kontrollimiseks vajalikud kolmandate isikute isikuandmed, mida sama profiilianalüüsi koostamisel samuti kasutati, tehakse kättesaadavaks üksnes ametiasutusele või kohtule, millest tulenevalt peab ametiasutus või kohus iseseisvalt kontrollima, kas kättesaadavaks tehtud kolmandate isikute isikuandmed on tõesed?

Kui vastus on jaatav: Juhul kui vastavalt isikuandmete kaitse üldmääruse artikli 15 lõikele 4 tuleb kaitsta kolmandate isikute õigusi, siis millised õigused tuleb andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses juhul, kui kasutatakse kolmanda eelotsuse küsimuse punktis b viidatud Black-Boxi, kindlasti anda?

Kas sellisel juhul tuleb andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses pseudonümiseeritud kujul kättesaadavaks teha vähemasti need teiste isikute andmed, mis võimaldavad kontrollida isikuandmete kaitse üldmääruse artikli 15 lõike 1 tähenduses vastutava töötleja otsuse õigsust?

Kuidas tuleb toimida, kui kättesaadavaks tehtav teave isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses vastab ka mõiste „ärisaladus“ kriteeriumidele, mis on sätestatud oskusteabe direktiivi (2) artikli 2 punktis 1?

Kas konflikti, mis esineb isikuandmete kaitse üldmääruse artikli 15 lõikega 1 tagatud õiguse teabega tutvuda ja oskusteabe direktiiviga tagatud õiguse jätta ärisaladus avalikustamata vahel, saab lahendada nii, et teave, mis on liigitatav ärisaladuseks oskusteabe direktiivi artikli 2 punkti 1 tähenduses, tuleb kättesaadavaks teha üksnes ametiasutusele või kohtule, millest tulenevalt peab ametiasutus või kohus iseseisvalt kontrollima, kas tegemist on ärisaladusega oskusteabe direktiivi artikli 2 punkti 1 tähenduses ja kas teave, mille on kättesaadavaks teinud isikuandmete kaitse üldmääruse artikli 15 lõike 1 tähenduses vastutav töötleja, on tõene?

Kui vastus on jaatav: Juhul kui vastavalt isikuandmete kaitse üldmääruse artikli 15 lõikele 4 tuleb kaitsta kolmandate isikute õigusi, siis millised õigused tuleb andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses juhul, kui kasutatakse neljanda eelotsuse küsimuse punktis a viidatud Black-Boxi, kindlasti anda?

Kas (ka) juhul, mil ametiasutusele või kohtule kättesaadavaks tehtav teave ja andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses kättesaadavaks tehtav teave ei lange kokku, tuleb profiilianalüüsi puudutavatel juhtudel teha andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses igal juhul kättesaadavaks järgmine teave konkreetselt teda puudutava töötluse kohta, et võimaldada tal kaitsta oma isikuandmete kaitse üldmääruse artikli 22 lõikest 3 tulenevaid õigusi:

a)	kõik vajaduse korral pseudonümiseeritud andmed, eelkõige andmesubjekti isikuandmete töötlemise viisi puudutavad andmed, mis lubavad kontrollida isikuandmete kaitse üldmääruse järgimist,

b)	profiilianalüüsi koostamiseks kasutatud sisendandmed,

c)	reitingu arvutamisel kasutatud parameetrid ja muutuvsisendid,

d)	parameetrite ja muutuvsisendite mõju välja arvutatud reitingule,

e)	teave parameetrite ja muutuvsisendite kujunemise kohta,

f)	selgitus selle kohta, mille alusel määrati andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses teatud reiting, ja järeldus, mis on selle reitingu põhjal tehtud,

g)	profiilikategooriate loend ja selgitus selle kohta, milline reitingu põhjal tehtud järeldus on seotud iga profiilikategooriaga?

Kas isikuandmete kaitse üldmääruse artikli 15 lõige 4 piirab mingil moel isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h kohaselt kättesaadavaks tehtava teabe ulatust?

Kui vastus on jaatav, siis millisel viisil piirab isikuandmete kaitse üldmääruse artikli 15 lõige 4 kõnealust teabega tutvumise õigust ja kuidas tuleb konkreetsel juhul kindlaks määrata selle piirangu ulatus?

Kas isikuandmete kaitse seaduse (Datenschutzgesetz) § 4 lõige 6, mis sätestab, et „[i]sikuandmete kaitse üldmääruse artiklist 15 tulenevat õigust andmetega tutvuda, ilma et see piiraks muude seadusjärgsete piirangute kohaldamist, ei saa andmesubjekt kasutada üldjuhul siis, kui andmete avalikustamisega seataks ohtu vastutava töötleja või kolmandate isikute ärisaladus“, on kooskõlas nõuetega, mis on sätestatud isikuandmete kaitse üldmääruse artikli 15 lõikes 1 koosmõjus artikli 22 lõikega 3? Kui vastus on jaatav, siis millistel tingimustel on kõnealune kooskõla olemas?

(1) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (ELT 2016, L 119, lk 1).

(2) Euroopa Parlamendi ja nõukogu 8. juuni 2016. aasta direktiiv (EL) 2016/943, milles käsitletakse avalikustamata oskusteabe ja äriteabe (ärisaladuste) ebaseadusliku omandamise, kasutamise ja avalikustamise vastast kaitset (ELT 2016, L 157, lk 1).