EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62007CJ0518
Judgment of the Court (Grand Chamber) of 9 March 2010.#European Commission v Federal Republic of Germany.#Failure of a Member State to fulfil obligations - Directive 95/46/EC - Protection of individuals with regard to the processing of personal data and the free movement of such data - Article 28(1) - National supervisory authorities - Independence - Administrative scrutiny of those authorities.#Case C-518/07.
Euroopa Kohtu otsus (suurkoda), 9. märts 2010.
Euroopa Komisjon versus Saksamaa Liitvabariik.
Liikmesriigi kohustuste rikkumine - Direktiiv 95/46/EÜ - Üksikisikute kaitse isikuandmete töötlemisel ja selliste andmete vaba liikumine - Artikli 28 lõige 1 - Liikmesriikide järelevalveasutused - Sõltumatus - Nende asutuste üle teostatav haldusjärelevalve.
Kohtuasi C-518/07.
Euroopa Kohtu otsus (suurkoda), 9. märts 2010.
Euroopa Komisjon versus Saksamaa Liitvabariik.
Liikmesriigi kohustuste rikkumine - Direktiiv 95/46/EÜ - Üksikisikute kaitse isikuandmete töötlemisel ja selliste andmete vaba liikumine - Artikli 28 lõige 1 - Liikmesriikide järelevalveasutused - Sõltumatus - Nende asutuste üle teostatav haldusjärelevalve.
Kohtuasi C-518/07.
ECLI identifier: ECLI:EU:C:2010:125
Kohtuasi C‑518/07
Euroopa Komisjon
versus
Saksamaa Liitvabariik
Liikmesriigi kohustuste rikkumine – Direktiiv 95/46/EÜ – Üksikisikute kaitse isikuandmete töötlemisel ja selliste andmete vaba liikumine – Artikli 28 lõige 1 – Liikmesriikide järelevalveasutused – Sõltumatus – Nende asutuste üle teostatav haldusjärelevalve
Kohtuotsuse kokkuvõte
1. Õigusaktide ühtlustamine – Üksikisikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Liikmesriikide järelevalveasutused
(Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 28 lõige 1)
2. Õigusaktide ühtlustamine – Üksikisikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Liikmesriikide järelevalveasutused
(Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 28 lõige 1)
1. Liikmesriikide järelevalveasutuste sõltumatuse tagatise – mis on ette nähtud direktiivi 95/46 (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) artikli 28 lõike 1 teise lõiguga – eesmärk on tagada isikuandmete töötlemisel üksikisikute kaitset käsitlevate sätete järgimise üle teostatava kontrolli tõhusus ja usaldusväärsus ning seda tuleb tõlgendada nimetatud eesmärki arvestades. Sõltumatuse tagatist ei kehtestatud mitte selleks, et anda nendele asutustele endile ning nende töötajatele eriline seisund, vaid eesmärgiga tugevdada nende isikute ja asutuste kaitset, keda järelevalveasutuste otsused puudutavad. Sellest järeldub, et oma ülesannete täitmisel peavad järelevalveasutused tegutsema objektiivselt ja erapooletult. Selleks peavad nad olema kaitstud mitte ainult nende kontrollile allutatud asutuste mõju eest, vaid igasuguse välise mõju eest, kaasa arvatud riigi või liidumaade otsene või kaudne mõju.
Seetõttu peavad järelevalveasutused, kes on pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris, olema sõltumatud, mis võimaldab neil täita oma ülesandeid välise mõjuta. See sõltumatus välistab mitte ainult kontrollile allutatud asutuste mõju, vaid ka igasugused ettekirjutused ja muu otsese või kaudse välise mõju, mis võib seada kahtluse alla nimetatud järelevalveasutuste poolt oma kohustuse täitmise, milleks on eraelu puutumatuse kaitse ning isikuandmete vaba liikumise vahel õiglase tasakaalu kehtestamine.
(vt punktid 25, 30)
2. Pelk oht, et riiklikku järelevalvet teostavad asutused võiksid poliitiliselt mõjutada direktiivi 95/46 (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) artikli 28 lõike 1 teise lõiguga ette nähtud järelevalveasutuste – kes on pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris – otsuseid, on piisav selleks, et takistada viimati nimetatute poolt nende ülesannete täitmisel sõltumatult tegutsemist. Esiteks võib seoses riiklikku järelevalvet teostava asutuse otsustuspraktikaga kujuneda välja järelevalveasutuste „ennetav kuulekus”. Teiseks nõuab nendele järelevalveasutustele pandud eraelu puutumatuse kaitsja roll, et nende otsused – ning seega ka nemad ise – oleksid väljaspool igasugust erapoolikuse kahtlust. Riiklik järelevalve nende järelevalveasutuste üle, kes on pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris, ei ole seega sõltumatuse nõudega kooskõlas.
Seetõttu on direktiivi 95/46 artikli 28 lõike 1 teisest lõigust tulenevaid kohustusi rikkunud liikmesriik, kes allutas riiklikule järelevalvele asutused, kes on erinevates liidumaades pädevad teostama järelevalvet isikuandmete töötlemise üle eraõiguslike asutuste ja turul konkureerivate avalik-õiguslike äriühingute poolt, ning võttis seetõttu ebaõigelt üle nõude, et need asutused tegutsevad oma ülesannete täitmisel täiesti sõltumatult.
(vt punktid 36, 37, 56 ja resolutsioon)
EUROOPA KOHTU OTSUS (suurkoda)
9. märts 2010(*)
Liikmesriigi kohustuste rikkumine – Direktiiv 95/46/EÜ – Üksikisikute kaitse isikuandmete töötlemisel ja selliste andmete vaba liikumine – Artikli 28 lõige 1 – Liikmesriikide järelevalveasutused – Sõltumatus – Nende asutuste üle teostatav haldusjärelevalve
Kohtuasjas C‑518/07,
mille ese on EÜ artikli 226 alusel 22. novembril 2007 esitatud liikmesriigi kohustuste rikkumise hagi,
Euroopa Komisjon, esindajad: C. Docksey, C. Ladenburger ja H. Krämer, kohtudokumentide kättetoimetamise aadress Luxembourgis,
hageja,
keda toetab:
Euroopa andmekaitseinspektor, esindajad: H. Hijmans ja A. Scirocco, kohtudokumentide kättetoimetamise aadress Luxembourgis,
menetlusse astuja,
versus
Saksamaa Liitvabariik, esindajad: M. Lumma ja J. Möller, kohtudokumentide kättetoimetamise aadress Luxembourgis,
kostja,
EUROOPA KOHUS (suurkoda),
koosseisus: president V. Skouris, kodade esimehed A. Tizzano, J. N. Cunha Rodrigues, K. Lenaerts, J.‑C. Bonichot ja E. Levits, kohtunikud A. Rosas, K. Schiemann (ettekandja), J.‑J. Kasel, M. Safjan ja D. Šváby,
kohtujurist: J. Mazák,
kohtusekretär: R. Grass,
arvestades kirjalikku menetlust,
olles 12. novembri 2009. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Euroopa Ühenduste Komisjon palub esitatud hagiavalduses Euroopa Kohtul tuvastada, et kuna Saksamaa Liitvabariik allutas riiklikule järelevalvele asutused, kes on erinevates liidumaades pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris, ning võttis nii ebaõigelt üle andmekaitse tagamise eest vastutavate asutuste „täieliku sõltumatuse” nõude, siis on ta rikkunud Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 28 lõike 1 teisest lõigust tulenevaid kohustusi.
Õiguslik raamistik
Ühenduse õigusnormid
2 Direktiiv 95/46 võeti vastu EÜ asutamislepingu artikli 100a (muudetuna EÜ artikkel 95) alusel selleks, et ühtlustada liikmesriikide õigusnorme isikuandmete töötlemise kohta.
3 Direktiivi 95/46 põhjendused 3, 7, 8, 10 ja 62 on järgmised:
„(3) sellise siseturu rajamine ja toimimine, kus on vastavalt [EÜ] asutamislepingu artiklile 7a [muudetuna EÜ artikkel 14] tagatud kaupade, isikute, teenuste ja kapitali vaba liikumine, ei eelda mitte ainult isikuandmete vaba liikumist ühest liikmesriigist teise, vaid ka üksikisikute põhiõiguste kaitset;
[…]
(7) üksikisikute õiguste ja vabaduste, eelkõige eraelu puutumatuse õiguse kaitse tase seoses isikuandmete töötlemisega on liikmesriigiti erinev ja see võib takistada selliste andmete edastamist ühest liikmesriigist teise; seega võivad nimetatud erinevused saada takistuseks paljudele ühenduse tasandi majandustegevustele, moonutada konkurentsi ja takistada ametiasutusi nende ühenduse õigusest tulenevate kohustuste täitmisel; kõnealused erinevused kaitse tasemes tulenevad kehtivate siseriiklike õigusnormide mitmekesisusest;
(8) takistuste kõrvaldamiseks isikuandmete liikumisel peab selliste andmete töötlemisega seotud üksikisikute õiguste ja vabaduste kaitse olema kõigis liikmesriikides samal tasemel; nimetatud eesmärk on siseturu seisukohast äärmiselt oluline, kuid liikmesriigid ei saa seda saavutada üksi, silmas pidades liikmesriikide asjaomaste õigusaktide praegusi ulatuslikke erinevusi ja vajadust kooskõlastada liikmesriikide õigusakte tagamaks, et isikuandmete piiriülest liikumist reguleeritaks järjepidevalt ja viisil, mis on kooskõlas asutamislepingu artiklis 7a sätestatud siseturu eesmärgiga; seetõttu on kõnealuste õigusaktide ühtlustamiseks vaja ühenduse meetmeid;
[…]
(10) isikuandmete töötlemist käsitlevate õigusaktide eesmärk on kaitsta [4. novembril 1950 Roomas allkirjastatud] Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 ja ühenduse õiguse üldistes põhimõtetes tunnustatud põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele; nimetatud põhjusel ei tohi kõnealuste õigusaktide ühtlustamise tagajärjel nendega pakutav kaitse väheneda, vaid vastupidi – ühenduses tagatava kaitstuse tase peab olema kõrgem;
[…]
(62) liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline tegur üksikisikute kaitsmisel seoses isikuandmete töötlemisega.”
4 Direktiivi 95/46 artikkel 1 „Direktiivi eesmärk” on sõnastatud järgmiselt:
„1. Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.
2. Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.”
5 Direktiivi 95/46 artikkel 28 „Järelevalveasutus” sätestab:
„1. Iga liikmesriik näeb ette ühe või mitu riigiasutust, et teostada järelevalvet tema territooriumil käesoleva direktiivi kohaselt vastuvõetud sätete kohaldamise üle.
Kõnealused asutused tegutsevad neile usaldatud ülesannete täitmisel täiesti sõltumatult.
2. Iga liikmesriik näeb ette, et selliste haldusmeetmete võtmisel või õigusaktide koostamise käigus, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset isikuandmete töötlemisel, konsulteeritakse järelevalveasutustega.
3. Igal sellisel ametiasutusel on eelkõige:
– uurimisvolitused, näiteks volitused tutvuda töödeldavate andmetega ja koguda oma järelevalvekohustuse täitmiseks vajalikku teavet,
– tõhusad sekkumisvolitused, näiteks avaldada artikli 20 kohaselt arvamust enne töötlemise alustamist ja tagada sellise arvamuse asjakohane avalikustamine, anda korraldus andmete sulgemiseks, kustutamiseks või hävitamiseks, keelata töötlemine ajutiselt või alaliselt, hoiatada vastutavat töötlejat või teha talle märkus või suunata küsimus liikmesriigi parlamenti või teistesse poliitilistesse institutsioonidesse,
– volitused osaleda kohtumenetlustes, kui käesoleva direktiivi kohaselt vastuvõetud siseriiklikke sätteid on rikutud, või juhtida kõnealustele rikkumistele õigusasutuste tähelepanu.
Kui järelevalveasutuse otsustega ei olda rahul, võib need edasi kaevata kohtusse.
4. Iga järelevalveasutus vaatab läbi kõigi isikute või kõnealuseid isikuid esindava ühenduse esitatud avaldused nende õiguste ja vabaduste kaitse kohta seoses isikuandmete töötlemisega. Andmesubjektile teatatakse avalduse tagajärgedest.
Iga järelevalveasutus vaatab läbi eelkõige kõigi isikute avaldused kontrollida andmete töötlemise seaduslikkust, kui kohaldatakse käesoleva direktiivi artikli 13 kohaselt vastuvõetud siseriiklikke sätteid. Igal juhul teatatakse isikule kontrollimisest.
5. Iga järelevalveasutus koostab korrapäraste ajavahemike järel aruanded oma tegevuse kohta. Aruanded avalikustatakse.
6. Olenemata sellest, milliseid siseriiklikke õigusi kõnealuse töötlemise suhtes kohaldatakse, on iga järelevalveasutus pädev kasutama oma liikmesriigi territooriumil talle lõikega 3 antud volitusi. Teise liikmesriigi asutused võivad igalt järelevalveasutuselt taotleda, et see kasutaks oma volitusi.
Järelevalveasutused teevad üksteisega koostööd, kuivõrd see on vajalik nende ülesannete täitmiseks, eelkõige vahetades kasulikku teavet.
7. Liikmesriigid näevad ette, et järelevalveasutuste liikmed ja töötajad peavad ka pärast töösuhte lõppemist järgima ametisaladuse hoidmise kohustust konfidentsiaalse teabe suhtes, millele neil on juurdepääs.”
6 Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT 2001, L 8, lk 1; ELT eriväljaanne 13/26, lk 102) võeti vastu EÜ artikli 286 alusel. Nimetatud määruse artikli 44 lõiked 1 ja 2 näevad ette:
„1. Euroopa andmekaitseinspektor on oma ülesannete täitmisel täielikult sõltumatu.
2. Oma kohustuste täitmisel ei taotle ega võta Euroopa andmekaitseinspektor vastu juhendeid teistelt isikutelt.”
Siseriiklikud õigusnormid
7 Saksa õiguses eristatakse üksikisikute kaitset seoses isikuandmete töötlemisega vastavalt sellele, kas andmeid töötleb avaliku halduse kandja või mitte.
8 Seega erinevad ühelt poolt avaliku halduse kandjate ning teiselt poolt eraõiguslike asutuste ja turul konkureerivate avalik-õiguslike äriühingute (öffentlich-rechtliche Wettbewerbsunternehmen) (edaspidi koos „erasektor”) puhul tegelikult need asutused, kes teostavad järelevalvet selles vallas sätete järgimise üle.
9 Avaliku halduse kandjate poolt isikuandmete töötlemise üle teostab liitvabariigi tasemel järelevalvet Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (föderaalne andmekaitse- ja teabevabaduse inspektor) ning liidumaade tasandil Landesdatenschutzbeauftragte (liidumaade andmekaitseinspektorid). Kõik need inspektorid on vastutavad ainult oma vastavate parlamentide ees ning nende inspektorite kontrollile allutatud avaliku halduse kandjad ei teosta tavaliselt nende inspektorite üle järelevalvet, ei anna neile juhendeid ega mõjuta neid muul viisil.
10 Seevastu erineb liidumaati nende asutuste struktuur, kes teostavad järelevalvet nimetatud andmete töötlemise üle erasektori poolt. Liidumaade seaduste ühiseks tunnuseks on siiski see, et need asutused on otse allutatud riiklikule järelevalvele.
Kohtueelne menetlus ja menetlus Euroopa Kohtus
11 Kuna komisjon leidis, et direktiivi 95/46 artikli 28 lõike 1 teise lõiguga on vastuolus allutada riiklikule järelevalvele asutused, kes vastutavad selliste sätete järgimise kontrollimise eest, mis käsitlevad üksikisikute kaitset seoses isikuandmete töötlemisega erasektori poolt, nagu see on kõikide Saksamaa liidumaade puhul, siis saatis komisjon 5. juulil 2005 Saksamaa Liitvabariigile märgukirja. Nimetatud liikmesriik vastas 12. septembri 2005. aasta kirjaga, milles ta kinnitas, et selle valdkonna Saksa süsteem vastab direktiivi nõuetele. Seejärel saatis komisjon 12. detsembril 2006 Saksamaa Liitvabariigile põhjendatud arvamuse, korrates eelnevalt sõnastatud etteheidet. Oma 14. veebruari 2007. aasta otsuses kinnitas Saksamaa Liitvabariik oma esialgset arvamust.
12 Neil tingimustel otsustas komisjon esitada käesoleva hagi.
13 Euroopa Kohtu presidendi 14. oktoobri 2008. aasta määrusega anti Euroopa andmekaitseinspektorile luba komisjoni nõuete toetuseks menetlusse astumiseks käesolevas kohtuasjas.
Hagi
Poolte argumendid
14 Käesolev vaidlus puudutab kahte vastupidist käsitlust, mis komisjonil, keda toetab Euroopa andmekaitseinspektor, ning Saksamaa Liitvabariigil on direktiivi 95/46 artikli 28 lõike 1 teises lõigus toodud väljendi „täiesti sõltumatult” kohta ning järelevalveasutuste ülesannete täitmise kohta üksikisikute kaitse valdkonnas seoses isikuandmete töötlemisega.
15 Komisjoni ja Euroopa andmekaitseinspektori arvates, kes tuginevad väljendi „täiesti sõltumatult” laiale tõlgendusele, tuleb nõuet, et järelevalveasutused tegutsevad oma ülesannete täitmisel „täiesti sõltumatult”, tõlgendada nii, et järelevalveasutust ei tohi teiste asutuste poolt või halduseväliselt kuidagi mõjutada. Riiklik järelevalve, millele Saksamaal on allutatud asutused, kes teostavad järelevalvet õigusnormide järgimise üle üksikisikute kaitse valdkonnas seoses isikuandmete töötlemisega erasektoris, eirab nimetatud nõuet.
16 Saksamaa Liitvabariik toetab ise väljendi „täiesti sõltumatult” kitsamat tõlgendust ning väidab, et direktiivi 95/46 artikli 28 lõike 1 teine lõik nõuab, et järelevalveasutused peavad oma tegevuses olema sõltumatud selles mõttes, et need asutused peavad olema sõltumatud erasektorist, mille üle nad järelevalvet teostavad, ning et nad peavad olema vabad välisest mõjust. Tema arvates on Saksamaa liidumaades teostatava riikliku järelevalve puhul tegemist mitte välise mõjuga, vaid haldusesisese järelevalvega, mida teostavad järelevalveasutustega samasse haldusaparaati kuuluvad asutused, kes peavad samuti nagu järelevalveasutusedki täitma direktiivi 95/46 eesmärke.
Euroopa Kohtu hinnang
Järelevalveasutuste sõltumatuse nõude ulatus
17 Käesoleva hagi põhjendatuse hindamine sõltub direktiivi 95/46 artikli 28 lõike 1 teises lõigus sisalduva sõltumatuse nõude ulatusest ning seega nimetatud sätte tõlgendamisest. Selles kontekstis peab arvestama nimetatud sätte sõnastust ning direktiivi 95/46 eesmärke ja ülesehitust.
18 Esiteks, mis puudutab direktiivi 95/46 artikli 28 lõike 1 teise lõigu sõnastust, siis kuna selles sättes ei määratleta väljendit „täiesti sõltumatult”, tuleb arvesse võtta selle tavapärast tähendust. Avalik-õigusliku organi puhul tähendab mõiste „sõltumatus” harilikult staatust, mis tagab asjaomasele organile võimaluse tegutseda vabalt, juhenditest sõltumata ning surveta.
19 Vastupidi Saksamaa Liitvabariigi esitatud seisukohale ei viita miski sellele, et sõltumatuse nõue puudutab ainult suhet, mis on järelevalveasutuste ning nende kontrollile allutatud asutuste vahel. Vastupidi – mõistet „sõltumatus” tugevdab määrsõna „täiesti”, mis viitab otsustusõigusele, mis on igasugusest järelevalveasutuse välisest otsesest või kaudsest mõjust vaba.
20 Teiseks, mis puudutab direktiivi 95/46 eesmärke, siis nähtub eelkõige selle põhjendustest 3, 7 ja 8, et ühtlustades liikmesriikide õigusnormid üksikisikute kaitse kohta seoses isikuandmete töötlemisega, on selle direktiivi põhiline eesmärk tagada selliste andmete vaba liikumine liikmesriikide vahel (vt selle kohta 20. mai 2003. aasta otsus liidetud kohtuasjades C‑465/00, C‑138/01 ja C‑139/01: Österreichischer Rundfunk jt, EKL 2003, lk I‑4989, punktid 39 ja 70), mis on vajalik siseturu rajamiseks ja toimimiseks EÜ artikli 14 lõike 2 tähenduses.
21 Isikuandmete vaba liikumine võib riivata õigust eraelu puutumatusele, mida on tunnustatud eelkõige Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 (vt selle kohta Euroopa Inimõiguste Kohtu 16. veebruari 2000. aasta otsus kohtuasjas Amann vs. Šveits, Recueil des arrêts et décisions 2000-II, punktid 69 ja 80 ning 4. mai 2000. aasta otsus kohtuasjas Rotaru vs. Rumeenia, Recueil des arrêts et décisions 2000‑V, punktid 43 ja 46) ning ka ühenduse õiguse üldpõhimõtetes.
22 Sel põhjusel ja nagu nähtub eelkõige direktiivi 95/46 põhjendusest 10 ja artiklist 1, ei ole selle direktiivi eesmärk vähendada liikmesriikide kehtivate õigusnormidega tagatud kaitset, vaid tagada vastupidi ühenduses põhiõiguste ja ‑vabaduste kaitse kõrge tase seoses isikuandmete töötlemisega (vt selle kohta eespool viidatud kohtuotsus Österreichischer Rundfunk jt, punkt 70 ning 16. detsembri 2008. aasta otsus kohtuasjas C‑73/07: Satakunnan Markkinapörssi ja Satamedia, EKL 2008, lk I‑9831, punkt 52).
23 Direktiivi 95/46 artiklis 28 ette nähtud järelevalveasutused on seega nimetatud õiguste ja põhivabaduste kaitsjad ning nagu märgitakse direktiivi põhjenduses 62, peetakse nende loomist liikmesriikides oluliseks teguriks üksikisikute kaitsmisel seoses isikuandmete töötlemisega.
24 Sellise kaitse tagamiseks peavad järelevalveasutused tagama õiglase tasakaalu ühelt poolt eraelu puutumatuse põhiõiguse kaitse ning teiselt poolt isikuandmete vaba liikumist nõudvate huvide vahel. Direktiivi 95/46 artikli 28 lõike 6 kohaselt kutsutakse pealegi erinevaid järelevalveasutusi üles tegema üksteisega koostööd ning vajaduse korral kasutama oma volitusi teise liikmesriigi asutuste taotlusel.
25 Liikmesriikide järelevalveasutuste sõltumatuse tagatise eesmärk on tagada isikuandmete töötlemisel üksikisikute kaitset käsitlevate sätete järgimise üle teostatava kontrolli tõhusus ja usaldusväärsus ning seda tuleb tõlgendada nimetatud eesmärki arvestades. Sõltumatuse tagatist ei kehtestatud mitte selleks, et anda nendele asutustele endile ning nende töötajatele eriline seisund, vaid eesmärgiga tugevdada nende isikute ja asutuste kaitset, keda järelevalveasutuste otsused puudutavad. Sellest järeldub, et oma ülesannete täitmisel peavad järelevalveasutused tegutsema objektiivselt ja erapooletult. Selleks peavad nad olema kaitstud mitte ainult nende kontrollile allutatud asutuste mõju eest, vaid igasuguse välise mõju eest, kaasa arvatud riigi või liidumaade otsene või kaudne mõju.
26 Kolmandaks, direktiivi 95/46 ülesehitusega seoses tuleb direktiivi pidada EÜ artikli 286 ja määrusega nr 45/2001 kokkukuuluvaks. Viimati nimetatud käsitlevad isikuandmete töötlemist ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumist. Vaatlusaluse direktiivi eesmärgid on samad, kuid selles osas, mis puudutab isikuandmete töötlemist liikmesriikides.
27 Liikmesriikides olevate järelevalveasutuste sarnaselt on ühenduse tasandil ette nähtud järelevalveasutus, see tähendab Euroopa andmekaitseinspektor, kes teostab järelevalvet õigusnormide kohaldamise üle üksikisikute kaitse valdkonnas seoses isikuandmete töötlemisega. Määruse nr 45/2001 artikli 44 lõike 1 kohaselt on ta oma ülesannete täitmisel täielikult sõltumatu. Sama artikli lõikes 2 lisatakse sõltumatuse mõiste selgitamiseks, et oma kohustuste täitmisel ei taotle ega võta Euroopa andmekaitseinspektor vastu juhendeid teistelt isikutelt.
28 Arvestades asjaolu, et määruse nr 45/2001 artikkel 44 ning direktiivi 95/46 artikkel 28 tuginevad samale üldkontseptsioonile, tuleb neid kahte sätet tõlgendada ühesuguselt, nii et mitte ainult Euroopa andmekaitseinspektori, vaid ka liikmesriikide järelevalveasutuste sõltumatus tähendab igasuguste juhendite puudumist nende ülesannete täitmisel.
29 Tuginedes direktiivi 95/46 artikli 28 lõike 1 teise lõigu sõnastusele ning direktiivi eesmärkidele ja ülesehitusele, on võimalik jõuda artikli 28 lõike 1 teise lõigu selge tõlgenduseni. Seetõttu ei ole vaja arvesse võtta direktiivi tekkelugu või otsustada komisjoni ja Saksamaa Liitvabariigi esitatud ülevaadete üle, mis on selles osas vastuolus.
30 Eeltoodut arvestades tuleb direktiivi 95/46 artikli 28 lõike 1 teist lõiku tõlgendada nii, et järelevalveasutused, kes on pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris, peavad olema sõltumatud, mis võimaldab neil täita oma ülesandeid välise mõjuta. See sõltumatus välistab mitte ainult kontrollile allutatud asutuste mõju, vaid ka igasugused ettekirjutused ja muu otsese või kaudse välise mõju, mis võib seada kahtluse alla nimetatud järelevalveasutuste poolt oma kohustuse täitmise, milleks on eraelu puutumatuse kaitse ning isikuandmete vaba liikumise vahel õiglase tasakaalu kehtestamine.
Riiklik järelevalve
31 Seejärel tuleb analüüsida, kas riiklik järelevalve, millele Saksamaal on allutatud erasektori poolt isikuandmete töötlemise üle järelevalvet teostavad asutused, on kooskõlas käsitletud sõltumatuse nõudega.
32 Sellega seoses tuleb tõdeda, et ükskõik millise olemusega riiklik järelevalve võimaldab asjaomase liidumaa valitsusel või sellele valitsusele alluval haldusorganil põhimõtteliselt otse või kaudselt mõjutada järelevalveasutuste otsuseid või vajaduse korral need otsused tühistada või asendada.
33 Kindlasti tuleb a priori tunnistada, nagu väidab Saksamaa Liitvabariik, et riikliku järelevalve eesmärk on pelgalt selle tagamine, et järelevalveasutuste tegevus oleks kooskõlas kohaldatavate liikmesriigi ja ühenduse õigusnormidega ning et seega ei ole selle eesmärk sundida nimetatud asutusi täitma poliitilisi eesmärke, mis on vastuolus üksikisikute kaitsega isikuandmete töötlemisel ning põhiõigustega.
34 Siiski ei ole välistatud, et järelevalveasutused, kes on osa üldhaldusest ning seega allutatud vastava liidumaa valitsusele, ei saa isikuandmete töötlemist käsitlevate sätete tõlgendamisel ja kohaldamisel tegutseda objektiivselt.
35 Nagu nendib Euroopa andmekaitseinspektor oma märkustes, võib liidumaa valitsusel olla huvi mitte järgida õigusnorme üksikisikute kaitse kohta isikuandmete töötlemisel, kui tegemist on selliste andmete töötlemisega erasektori poolt. Nimetatud valitsus võib andmete töötlemisel olla huvitatud isik, kui ta selles osaleb või saab selles osaleda, näiteks avaliku ja erasektori partnerluse kaudu või erasektori osalemisel toimuva riigihankemenetluse raames. Asjaomasel valitsusel võib samuti olla erihuvi, kui tal on vaja või isegi lihtsalt kasulik pääseda juurde andmebaasidele teatud ülesannete täitmiseks, eelkõige maksustamiseks või karistamiseks. Samal valitsusel võib muu hulgas olla kalduvus eelistada majandushuvisid, kui tegemist on majanduslikus mõttes liidumaale või piirkonnale oluliste äriühingute poolt asjaomaste õigusnormide kohaldamisega.
36 Lisaks tuleb rõhutada, et pelk oht, et riiklikku järelevalvet teostavad asutused võiksid poliitiliselt mõjutada järelevalveasutuste otsuseid, on piisav selleks, et takistada viimati nimetatute poolt nende ülesannete täitmisel sõltumatult tegutsemist. Esiteks, nagu märgib komisjon, võib seoses riiklikku järelevalvet teostava asutuse otsustuspraktikaga kujuneda välja järelevalveasutuste „ennetav kuulekus”. Nendele järelevalveasutustele pandud eraelu puutumatuse kaitsja roll nõuab, et nende otsused ning seega ka nemad ise oleksid väljaspool igasugust erapoolikuse kahtlust.
37 Eeltoodud kaalutlusi arvestades tuleb asuda seisukohale, et riiklik järelevalve nende asutuste üle Saksamaal, kes on pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris, ei ole kooskõlas sõltumatuse nõudega, nagu on kirjeldatud käesoleva kohtuotsuse punktis 30.
Saksamaa Liitvabariigi poolt välja toodud ühenduse õiguse põhimõtted
38 Saksamaa Liitvabariik väidab, et erinevate ühenduse õiguse põhimõtetega oleks vastuolus tõlgendada direktiivi 95/46 artikli 28 lõike 1 teises lõigus kehtestatud sõltumatuse nõuet nii, et see sunniks liikmesriiki loobuma väljakujunenud ja tõhusast riikliku järelevalve süsteemist nende järelevalveasutuste üle seoses isikuandmete töötlemisega erasektoris.
39 Nimetatud liikmesriigi arvates on sõltumatuse nõude lai tõlgendus vastuolus esiteks eelkõige demokraatia põhimõttega.
40 See põhimõte, mis on sätestatud mitte ainult Saksamaa põhiseaduses, vaid ka EL artikli 6 lõikes 1, nõuab, et haldusvõim alluks oma parlamendi ees vastutava valitsuse juhtnööridele. Nii peab kodanike ja ettevõtjate õigusi puudutavate sekkumiste üle õiguspärasuse järelevalvet teostama pädev minister. Kuna järelevalveasutused omavad üksikisikute kaitse valdkonnas seoses isikuandmete töötlemisega direktiivi 95/46 artikli 28 lõike 3 kohaselt kodanike ning erasektori suhtes teatud sekkumisvolitusi, siis on tingimata vaja nende tegevuse õiguspärasust kontrollida selliseid õiguspärasuse ja sisulise kontrolli vahendeid kasutades.
41 Sellega seoses tuleb meenutada, et demokraatia põhimõte kuulub ühenduse õiguskorda ning see on sõnaselgelt sätestatud EL artikli 6 lõikes 1 kui üks Euroopa Liidu alustest. Seda tuleb liikmesriikidele ühise põhimõttena võtta arvesse sellise teisese õiguse akti nagu direktiivi 95/46 artikli 28 tõlgendamisel.
42 Nimetatud põhimõttega ei ole vastuolus see, et väljaspool klassikalist haldushierarhiat on olemas ametiasutused, mis on valitsusest enam-vähem sõltumatud. Selliste asutuste olemasolu ja tegutsemise tingimused on kehtestatud liikmesriikides seaduse või teatud liikmesriikides isegi põhiseadusega ning need asutused peavad järgima seadust, alludes pädevate kohtute kontrollile. Selliste sõltumatute haldusasutuste nagu Saksamaa õigussüsteemis esinevate haldusasutuste ülesanne on tihti reguleeriv või nad täidavad ülesandeid, mida ei tohi poliitiliselt mõjutada, samas peavad nad järgima seadust, alludes pädevate kohtute kontrollile. Just nii on see järelevalveasutuste ülesannete puhul üksikisikute kaitse valdkonnas seoses isikuandmete töötlemisega.
43 Kindlasti ei ole mõeldav, et parlamendil puudub igasuguse mõju nende asutuste üle. Siiski tuleb märkida, et direktiiv 95/46 ei kohusta liikmesriiki kuidagi välistama parlamendi igasugust mõju.
44 Nii võib järelevalveasutuste juhi kohale asuvad isikud nimetada parlament või valitsus. Teiseks võib seadusandja määratleda nimetatud asutuste ülesanded.
45 Lisaks võib seadusandja panna järelevalveasutustele kohustuse anda parlamendi ees aru. Sellega seoses võib paralleele tõmmata direktiivi 95/46 artikli 28 lõikega 5, mis näeb ette, et iga järelevalveasutus koostab korrapäraste ajavahemike järel aruanded oma tegevuse kohta, mis seejärel avalikustatakse.
46 Iseenesest ei võta see, et järelevalveasutustele üksikisikute kaitse valdkonnas seoses isikuandmete töötlemisega erasektoris antakse üldhaldusest sõltumatu staatus, neilt asutustelt eeltoodut arvestades nende demokraatlikku legitiimsust.
47 Teiseks, mis puudutab volituste andmise põhimõtet, mis on sätestatud EÜ artikli 5 esimeses lõigus ja millele Saksamaa Liitvabariik samuti viitab, siis see kohustab ühendust toimima üksnes EÜ asutamislepinguga talle antud volituste ning temale seatud eesmärkide piires.
48 Saksamaa Liitvabariik väidab selles kontekstis, et EÜ asutamislepingu artikli 100a alusel, millel direktiiv 95/46 põhineb, ei saa nõuda järelevalveasutuste sõltumatust kõrgemate haldusasutuste suhtes.
49 See säte annab ühenduse seadusandjale õiguse võtta meetmeid, mille eesmärk on parandada siseturu rajamise või toimimise tingimusi, kusjuures see peab olema nende meetmete tegelik eesmärk ning nad peavad aitama kaasa takistuste kõrvaldamisele asutamislepinguga tagatud majanduslike vabaduste kasutamiselt (vt selle kohta 5. oktoobri 2000. aasta otsus kohtuasjas C‑376/98: Saksamaa vs. parlament ja nõukogu, EKL 2000, lk I-8419, punktid 83, 84 ja 95; 10. detsembri 2002. aasta otsus kohtuasjas C‑491/01: British American Tobacco (Investments) ja Imperial Tobacco, EKL 2002, lk I‑11453, punkt 60, ning 2. mai 2006. aasta otsus kohtuasjas C‑436/03: parlament vs. nõukogu, EKL 2006, lk I‑3733, punkt 38).
50 Nagu juba välja toodi, on direktiivi 95/46 eesmärke arvestades oluline tegur järelevalveasutuste sõltumatus selles osas, et peab puuduma väline mõju, mis võiks neid otsuste tegemisel suunata. Sõltumatus on vajalik, et kehtestada kõikides liikmesriikides kõrge üksikisikute kaitse tase seoses isikuandmete töötlemisega ning nii annab see oma panuse andmete vabasse liikumisse, mis on vajalik siseturu rajamiseks ja toimimiseks.
51 Eeltoodut arvestades ei ületa järelevalveasutuste sõltumatuse nõude lai tõlgendus volituste piire, mis on ühendusele antud EÜ asutamislepingu artikliga 100a, mis on direktiivi 95/46 õiguslik alus.
52 Kolmandaks toob Saksamaa Liitvabariik välja EÜ artikli 5 teises ja kolmandas lõigus sätestatud subsidiaarsuse ja proportsionaalsuse põhimõtte ning EÜ artiklis 10 sätestatud liikmesriikide ja ühenduse institutsioonide vahelise lojaalse koostöö põhimõtte.
53 Eelkõige meenutab ta EL-i lepingule ja EÜ asutamislepingule Amsterdami lepinguga lisatud protokolli subsidiaarsuse ja proportsionaalsuse põhimõtte kohaldamise kohta artiklit 7, mille kohaselt tuleks ühenduse õigust arvestades kanda hoolt, et arvestataks ka riikides kinnistunud korda ning liikmesriikide õigussüsteemide korraldust ja toimimist.
54 Selle nõudega oleks vastuolus see, kui Saksamaa Liitvabariiki kohustataks kehtestama tema õigussüsteemile võõrast süsteemi ning nii loobuma tõhusast järelevalvesüsteemist, mis on ennast õigustanud peaaegu 30 aastat ning mis oli andmekaitse valdkonna õigusaktide vallas eeskujuks ja mille mõju ulatus liikmesriigist väljapoole.
55 Selliste argumentidega ei saa nõustuda. Nagu käesoleva kohtuotsuse punktides 21–25 ja punktis 50 juba välja toodi, ei lähe direktiivi 95/46 artikli 28 lõike 1 teises lõigus sätestatud sõltumatuse nõudele antud tõlgendus, et riiklik järelevalve on sellega vastuolus, kaugemale sellest, mis on vajalik EÜ asutamislepingu eesmärkide saavutamiseks.
56 Eeltoodud kaalutlusi arvestades tuleb asuda seisukohale, et kuna Saksamaa Liitvabariik allutas riiklikule järelevalvele asutused, kes on erinevates liidumaades pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris, ning võttis seetõttu ebaõigelt üle nõude, et need asutused tegutsevad oma ülesannete täitmisel „täiesti sõltumatult”, siis on nimetatud liikmesriik rikkunud direktiivi 95/46 artikli 28 lõike 1 teisest lõigust tulenevaid kohustusi.
Kohtukulud
57 Kodukorra artikli 69 lõike 2 kohaselt on kohtuvaidluse kaotanud pool kohustatud hüvitama kohtukulud, kui vastaspool on seda nõudnud. Kuna komisjon on kohtukulude hüvitamist nõudnud ja Saksamaa Liitvabariik on kohtuvaidluse kaotanud, tuleb kohtukulud temalt välja mõista.
58 Euroopa andmekaitseinspektor kannab ise oma kohtukulud.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
1. Kuna Saksamaa Liitvabariik allutas riiklikule järelevalvele asutused, kes on erinevates liidumaades pädevad teostama järelevalvet isikuandmete töötlemise üle eraõiguslike asutuste ja turul konkureerivate avalik-õiguslike äriühingute (öffentlich-rechtliche Wettbewerbsunternehmen) poolt, ning võttis seetõttu ebaõigelt üle nõude, et need asutused tegutsevad oma ülesannete täitmisel „täiesti sõltumatult”, siis on nimetatud liikmesriik rikkunud Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 28 lõike 1 teisest lõigust tulenevaid kohustusi.
2. Mõista Euroopa Komisjoni kohtukulud välja Saksamaa Liitvabariigilt.
3. Jätta Euroopa andmekaitseinspektori kohtukulud tema enda kanda.
Allkirjad
* Kohtumenetluse keel: saksa.