1.

Kas isikuandmete kaitse üldmäärusega ( 2 ) on liikmesriigi järelevalveasutusel lubatud taotleda selle riigi kohtus menetluse algatamist, mis puudutab isikuandmete kaitse üldmääruse väidetavat rikkumist seoses piiriülese andmetöötlusega, juhul kui selle töötlemistoimingu osas ei ole see asutus juhtiv järelevalveasutus?

2.

Või kas uus ühtse kontaktpunkti („One-Stop-Shop“) mehhanism, mida esitleti kui põhilist isikuandmete kaitse üldmäärusega kehtestatud uuendust, võimaldab sellist olukorda ära hoida? Kui vastutav töötleja peab olema kostja piiriülest andmetöötlust käsitlevas kohtuasjas, mille algatamist järelevalveasutus taotleb kohtus, mis asub väljaspool vastutava töötleja peamist tegevuskohta, siis kas oleks tegemist „liigse kontaktpunktiga“ ning see oleks seega vastuolus uue isikuandmete kaitse üldmäärusega kehtestatud korraga?

3.

Isikuandmete kaitse üldmääruse preambulis on muu hulgas märgitud, et „direktiivi 95/46/EÜ eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud liidus andmekaitse rakendamise killustumist [ega] õiguskindlusetust“ (põhjendus 9); kogu liidus tuleks tagada andmekaitse eeskirjade järjekindel ja ühtne kohaldamine (põhjendus 10); järelevalveasutused peaksid jälgima eeskirjade kohaldamist ning aitama kaasa nende ühtsele kohaldamisele, et kaitsta füüsilisi isikuid ning soodustada isikuandmete vaba liikumist siseturul (põhjendus 123); olukordades, kus on tegemist piiriülese töötlemisega, „peaks juhtiva asutuse rolli täitma vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus või vastutava töötleja või volitatud töötleja ainsa tegevuskoha järelevalveasutus“ ning see asutus peab „tegema koostööd muude asjaomaste asutustega“ (põhjendus 124).

4.

Isikuandmete kaitse üldmääruse artikli 51 lõige 1 näeb ette: „Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).“

5.

Isikuandmete kaitse üldmääruse artikli 55 lõikes 1 on ette nähtud: „Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.“

6.

Isikuandmete kaitse üldmääruse artikkel 56 käsitleb juhtiva järelevalveasutuse pädevust. Selle sätte lõige 1 näeb ette:

„Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.“

7.

Artikli 56 lõiked 2–5 näevad ette, et erandina lõikest 1 „on järelevalveasutus pädev menetlema talle esitatud kaebust või käesoleva määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte“. Nende juhtumitega võivad tegeleda juhtivad järelevalveasutused, kes tegutsevad isikuandmete kaitse üldmääruse artiklis 60 ette nähtud menetluse kohaselt, või „kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda“, siis kohalik järelevalveasutus, kes tegutseb vastavalt isikuandmete kaitse üldmääruse artiklitele 61 ja 62.

8.

Artikli 56 lõige 6 sätestab, et „Piiriülese isikuandmete töötlemise toimingu puhul on vastutava töötleja või volitatud töötleja ainus partner juhtiv järelevalveasutus“.

9.

Isikuandmete kaitse üldmääruse artikli 58, mis käsitleb järelevalveasutuste volitusi, lõige 5 näeb ette:

„Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.“

10.

Isikuandmete kaitse üldmääruse VII peatükk „Koostöö ja järjepidevus“ sisaldab artikleid 60–76. Artikkel 60 „Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö“ näeb ette üksikasjaliku menetluse, mida juhtiv järelevalveasutus peab piiriülest isikuandmete töötlemist käsitledes järgima.

11.

Isikuandmete kaitse üldmääruse vastastikust abi käsitleva artikli 61 lõige 2 omakorda nõuab, et iga järelevalveasutus peab võtma „kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist“. Isikuandmete kaitse üldmääruse artikli 61 lõige 8 sätestab, et kui järelevalveasutus ei esita taotletud teavet, võib taotluse esitanud järelevalveasutus võtta oma liikmesriigi territooriumil vastu ajutise meetme ning loetakse, et tegemist on artikli 66 lõike 1 kohase kiireloomulise tegutsemise vajadusega.

12.

Isikuandmete kaitse üldmääruse artikli 65 „Vaidluste lahendamine andmekaitsenõukogu poolt“ lõike 1 punkt a näeb ette, et selleks et tagada määruse nõuetekohane ja järjepidev kohaldamine üksikjuhtudel, võtab Euroopa andmekaitsenõukogu („andmekaitsenõukogu“) vastu siduva otsuse muu hulgas juhtudel, kus asjaomane järelevalveasutus on tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta või kui juhtiv järelevalveasutus on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud.

13.

Kiirmenetlust käsitleva artikli 66 lõige 1 sätestab, et erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, võib ta erandina ühtsuse ja järjepidevuse mehhanismidest „võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud“.

14.

Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab artikleid 77–84. Artikli 77 lõige 1 annab igale andmesubjektile õiguse esitada järelevalveasutusele kaebus määruse võimaliku rikkumise kohta seoses teda puudutavate isikuandmete töötlemisega, „eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht“. Isikuandmete kaitse üldmääruse artikli 78 lõiked 1 ja 2 annavad igale füüsilisele või juriidilisele isikule õiguse kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis seda isikut puudutab, ning järelevalveasutuse vastu, kes ei käsitle kaebust.

15.

8. detsembri 1992. aasta seaduse, mis reguleerib eraelu puutumatuse kaitset isikuandmete töötlemisel (Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, edaspidi „WVP“), muudetud redaktsioon võttis üle Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ( 3 ). Muu hulgas asutati selle seadusega Belgia eraelu puutumatuse komisjon. Selle seaduse artikli 32 lõige 3 näeb ette: „Ilma et see piiraks tavaliste kohtute pädevust eraelu puutumatuse kaitse üldpõhimõtete kohaldamise suhtes, võib [eraelu puutumatuse komisjoni] esimees esitada esimese astme kohtule arutamiseks selle seaduse kohaldamist ja selle rakendusmeetmeid puudutavad vaidlused.“

16.

3. detsembri 2017. aasta seadus andmekaitseasutuse loomise kohta (Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, edaspidi „GBA‑Wet“), mis jõustus 25. mail 2018, kehtestas artikliga 3 Gegevensbeschermingsautoriteiti (andmekaitseasutus, edaspidi „GBA“) loomise, mis asendas eraelu puutumatuse komisjoni. Vastavalt selle seaduse artiklile 6 on GBA‑l „õigus juhtida õigusasutuste tähelepanu isikuandmete kaitse aluspõhimõtete mis tahes rikkumisele käesoleva seaduse ning isikuandmete töötlemise alast kaitset käsitlevaid sätteid sisaldavate seaduste raames ning vajaduse korral võtta õiguslikke meetmeid nende aluspõhimõtete järgimise saavutamiseks“.

17.

GBA‑Wet ei sisaldanud eraldi sätteid nende WVP artikli 32 lõike 3 alusel algatatud kohtumenetluste kohta, mis olid 25. mail 2018 veel pooleli.

18.

WVP tunnistati kehtetuks 30. juuli 2018. aasta seadusega, mis reguleerib füüsiliste isikute kaitset isikuandmete töötlemisel (Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens). See seadus rakendab isikuandmete kaitse üldmääruse sätteid, mis nõuavad või lubavad liikmesriikidel võtta vastu lisaks üldistele eeskirjadele üksikasjalikumaid eeskirju.

19.

Belgia eraelu puutumatuse komisjoni – mis hiljem muutus GBA‑ks – esimehe taotluse alusel algatati Facebook Inc-i, Facebook Ireland Ltd. ja Facebook BVBA (edaspidi koos „Facebook“) suhtes 11. septembril 2015 menetlus Nederlandstalige rechtbank van eerste aanleg Brusselis (Brüsseli hollandikeelne esimese astme kohus, Belgia). See menetlus puudutas asjaolu, et Facebook oli väidetavalt rikkunud andmekaitseseaduseid, muu hulgas kuna selliste tehnoloogiate nagu „küpsised“, „sotsiaalmeedia pluginad“ ja „pikslid“ abil kogutakse ja kasutatakse ebaseaduslikult Belgia internetikasutajate internetis liikumist puudutavaid eraelulisi andmeid.

20.

GBA väidab sisuliselt, et Facebook kasutab erinevaid tehnoloogiaid isikute „seiramiseks ja jälgimiseks ajal, mil isikud liiguvad ühelt veebisaidilt teisele“, ja kasutab kogutud andmeid selleks, et luua isikute kohta internetis liikumise profiil ning kuvada isikutele selle profiili alusel sihipärast reklaami, ilma et Facebook asjaomaseid isikuid nõuetekohaselt teavitaks ja neilt kehtivas vormis nõusolekut küsiks. GBA väitel kasutab Facebook sellist tava nii sotsiaalvõrgustikuga Facebook liitunud kui ka liitumata isikute suhtes.

21.

GBA palus kohustada Facebooki lõpetama kõikide Belgia territooriumil asuvate internetikasutajate suhtes ilma nende nõusolekuta selliste küpsiste paigaldamine, mis jäävad aktiivseks kahe aasta jooksul seadmes, mida need isikud kasutavad, kui nad liiguvad mõnele veebilehele Facebook.com-i domeenil või kui nad jõuavad välja kolmandale isikule kuuluvale veebisaidile, ning ülemäärane andmete kogumine sotsiaalmeedia pluginate ja pikslite abil kolmandate isikute veebisaitidel. Lisaks nõudis ta kõikide nende isikuandmete kustutamist, mis on küpsiste ja sotsiaalmeedia pluginate abil kogutud iga Belgia territooriumil asuva internetikasutaja kohta.

22.

Nederlandstalige rechtbank van eerste aanleg Brussel (Brüsseli hollandikeelne esimese astme kohus) leidis 9. novembri 2015. aasta ajutisi meetmeid puudutava määrusega, et asi kuulub tema alluvusse ning hagi on vastuvõetav kõigi kolme kostja osas. See kohus määras samuti, et kostjad peavad ajutiselt peatama teatud tegevused Belgia territooriumil asuvate internetikasutajate osas.

23.

Facebook esitas 2. märtsil 2016 selle määruse peale apellatsioonkaebuse Hof van beroep te Brusselile (Brüsseli apellatsioonikohus, Belgia). 29. juuni 2016. aasta kohtuotsusega muutis see kohus esimese astme kohtu määrust. See kohus otsustas eelkõige, et Facebook Inc-i ja Facebook Ireland Ltd vastu esitatud hagid ei kuulu tema alluvusse, samas kui Facebook Belgium BVBA vastu esitatud hagi kuulub tema alluvusse. Põhikohtuasi piirdus seega Facebook Belgium BVBA vastu esitatud hagiavaldustega. See kohus leidis samuti, et asi ei olnud kiireloomuline.

24.

Nagu ma aru saan, puudutab Hof van beroep te Brusseli (Brüsseli apellatsioonikohus) menetluses olev kohtuasi praegu apellatsioonkaebust esimese astme kohtu tehtud järgmise, sisulise otsuse peale. Apellatsioonimenetluses väidab Facebook Belgium BVBA muu hulgas, et isikuandmete kaitse üldmäärusega kehtestatud uue „ühtse kontaktpunkti mehhanismi“ kohaldatavaks muutumisest alates kaotas GBA pädevuse põhikohtuasjas nõudeid jätkata, sest see ei ole juhtiv järelevalveasutus. Asjaomast piiriülest andmetöötlust arvestades peaks juhtiv järelevalveasutus olema Iirimaa Data Protection Commission (andmekaitsekomisjon). Vastutava töötleja peamine tegevuskoht Euroopa Liidus on Iirimaal (Facebook Ireland Ltd).

25.

Neil asjaoludel otsustas Hof van beroep te Brussel (Brüsseli apellatsioonikohus, Belgia) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused.

26.

Facebook, GBA, Belgia, Tšehhi, Itaalia, Poola, Portugali ja Soome valitsus ning Euroopa Komisjon esitasid kirjalikud seisukohad. Facebook, GBA ja komisjon esitasid oma suulised seisukohad 5. oktoobri 2020. aasta kohtuistungil.

27.

Lühidalt on põhikohtuasjas põhiküsimus selles, kas GBA saab jätkata kohtumenetlust Facebook Belgiumi vastu seoses isikuandmete piiriülese töötlemisega, mis leidis aset pärast isikuandmete kaitse üldmääruse kohaldatavaks muutumist, arvestades, et andmete töötleja on Facebook Ireland Ltd.

28.

Selle küsimuse käsitlemiseks on tarvis hinnata selle korra toimimist ja kohaldamisala, mida isikuandmete kaitse üldmääruse põhjenduses 127 on nimetatud „ühtse kontaktpunkti mehhanismiks“. Nimetatud mehhanism kujutab endast eeskirjade kogumit, millest tulenevalt on andmete piiriülese töötlemise puhul juhtiva järelevalveasutuse kaudu olemas keskne täitmise järelevalve punkt, mis kuulub koos asjaomaste järelevalveasutustega koostöö- ja järjepidevuse menetluste süsteemi, mis on välja kujundatud selleks, et tagada kõikide huvitatud järelevalveasutuste kaasamine.

29.

Vastavalt isikuandmete kaitse üldmääruse artikli 56 lõikele 1 tegutseb järelevalveasutus juhtiva järelevalveasutusena nende vastutavate töötlejate ja volitatud töötlejate tehtud piirülese isikuandmete töötlemise toimingu suhtes, kelle peamine või ainus tegevuskoht on selle järelevalveasutuse liikmesriigi territooriumil. Isikuandmete kaitse üldmääruse artikli 4 punkti 22 kohaselt tegutseb järelevalveasutus asjaomase järelevalveasutusena juhul, kui täidetud on üks järgmistest tingimustest: „a) vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil; b) asjaomase järelevalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või c) kõnealusele järelevalveasutusele on esitatud kaebus“.

30.

Enne eelotsuse küsimuste sisulist käsitlemist on A osas esitatud mõned sissejuhatavad märkused. Seejärel analüüsin eelotsusetaotluse esitanud kohtu tõstatatud õiguslikke küsimusi. Keskendun iseäranis esimesele eelotsuse küsimusele, kuna see küsimus on eelotsusetaotluse esitanud kohtus menetluses oleva vaidluse keskmes (B osa). Seejärel käsitlen vaid lühidalt teisi eelotsuse küsimusi, sest kui vastus esimesele küsimusele on see, mille ma käesolevas ettepanekus välja pakun, on nendele teistele küsimustele vastamine kas tarbetu või üsna lihtne (C osa).

31.

Kõigepealt olgu märgitud, et mul on põhikohtuasja teatud asjaoludest raske täielikult aru saada.

32.

Esiteks pean nentima, et minu jaoks ei ole täiesti selge see, kas põhikohtuasja raames esitatud küsimused on asjasse puutuvad, arvestades asjaolu, et nende poolte hulgas, kelle vastu GBA kohtumenetlust alustas, on ainult Facebook Belgium endiselt põhikohtuasjas kostja. ( 4 ) Euroopa Kohtu toimikust nähtub, et see äriühing ei ole ei vastutava töötleja „peamine tegevuskoht“ isikuandmete kaitse üldmääruse artikli 4 punkti 16 tähenduses ega ka võimalik „kaasvastutav töötleja“ üldmääruse artikli 26 tähenduses, kuna see paistab olevat sama äriühingu tegevuskoht. ( 5 )

33.

Siiski kehtib eelotsuse küsimuste puhul eeldus, et need on asjakohased. Nii võib Euroopa Kohus keelduda eelotsuse küsimusele vastamast vaid piiratud juhtudel, eelkõige siis, kui ei ole järgitud Euroopa Kohtu kodukorra artiklis 94 sätestatud nõudeid või kui on ilmne, et asjaomase liidu õigusnormi tõlgendamine ei ole mingil viisil seotud faktiliste asjaoludega või kui küsimused on (täiesti) hüpoteetilised. ( 6 ) Käesoleva asja puhul ei ole minu arvates tegemist eespool kirjeldatud juhtudega. Küsimused „kes on kes“ ja „kelle vastu võib täpselt mille eest nõude esitada“ ei kujuta endast mitte ainult faktilist hinnangut, mille tegemine on lõpuks riigisisese kohtu ülesanne, vaid moodustavad ka teatud viisil ühe Euroopa Kohtule esitatud küsimuste külgedest.

34.

Teiseks pole põhikohtuasja ajalist külge samuti täielikult kerge mõista. Hagi esitati direktiivi 95/46 kehtivuse ajal. Sellega jätkati siis, kui jõustus isikuandmete kaitse üldmäärus. Menetlus paistab aga nüüd puudutavat üksnes tegevust, mis toimus pärast selle uue õigusliku raamistiku kohaldatavaks muutumist. Neljanda küsimusega on küll tõstatatud küsimus, kas asjaolu, et GBA jätkas menetlust, on kooskõlas isikuandmete kaitse üldmäärusega. Need küsimused on aga põhikohtuasjas asjakohased üksnes juhul, kui riigisisene ametiasutus sooviks lõpetada käimasolevat menetlust selles osas, mis puudutab väidetavaid rikkumisi, mis toimusid enne uue õigusliku raamistiku kohaldatavaks muutumist. Kui aga käimasolev menetlus puudutab nüüd ainult pärast isikuandmete kaitse üldmääruse kohaldatavaks muutumist toimunud väidetavat õigusvastasust, võimalik et koos sooviga saavutada niisuguse tegevuse (paratamatult tulevikus toimuv) kohtulik keelamine, siis ei ole kerge mõista, miks GBA, arvestades, et tal on enda hinnangul sekkumispädevus, ei lõpetanud käimasolevat menetlust ega toiminud vastavalt isikuandmete kaitse üldmääruse asjakohastele sätetele.

35.

Kolmandaks, kohtuistungil viitas GBA suhtlusele, mis oli toimunud tema ja Iiri järelevalveasutuse ning andmekaitsenõukogu vahel ning mille teemaks oli üks tehnoloogiatest, mida Facebook andmete kogumiseks kasutab (küpsised). Väidetavalt ei olnud kaks järelevalveasutust üksmeelel selles osas, kas see tehnoloogia kuulus tegelikult isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse.

36.

Sellega seoses võib käesoleva kohtuasja puhul olla tarvilik välja tuua, et teatud andmetöötlustegevused võivad tõepoolest kuuluda rohkem kui ühe Euroopa Liidu õigusakti kohaldamisalasse ning sellisel juhul on kõik need õigusaktid samal ajal kohaldatavad, kui sätestatud ei ole teisiti. ( 7 ) Teistel juhtudel aga, näiteks siis, kui töötlemistoimingud ei hõlma isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses isikuandmeid, on selge, et isikuandmete kaitse üldmäärus ei ole kohaldatav.

37.

Sellest tuleneb, et kui mõnda liiki andmetöötlustoimingu õigusvastasus tuleneb teistest (Euroopa Liidu või liikmesriigi) õigusnormidest, ei ole isikuandmete kaitse üldmääruses kehtestatud menetlused ja mehhanismid asjakohased. Isikuandmete kaitse üldmäärust ei saa kasutada selleks, et kaasata ühtse kontaktpunkti mehhanismi alla tegevusi, mis hõlmavad küll teatud andmevooge või isegi töötlemist, kuid ei ole vastuolus ühegi selles sätestatud kohustusega.

38.

Selleks, et otsustada, kas kohtuasi kuulub tõesti isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse, peab liikmesriigi kohus, sealhulgas iga eelotsust taotlev kohus, uurima, mis on ettevõtjal lasuva õigusliku kohustuse – mida see ettevõtja on väidetavalt rikkunud – täpne allikas. Kui selle kohustuse allikas ei ole isikuandmete kaitse üldmäärus, siis loogiliselt ei ole kohaldatavad ka selles õigusaktis kehtestatud menetlused, mis on seotud selle õigusakti esemelise kohaldamisalaga.

39.

Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse sätted, tõlgendatuna lähtuvalt Euroopa Liidu põhiõiguste harta („harta“) artiklitest 7, 8 ja 47, võimaldavad liikmesriigi järelevalveasutusel pöörduda selle riigi kohtusse seoses isikuandmete kaitse üldmääruse väidetava rikkumisega tulenevalt isikuandmete piiriülesest töötlemisest, isegi kui see asutus ei ole „juhtiv järelevalveasutus“.

40.

Selle kohta panevad GBA ning Belgia, Itaalia, Poola ja Portugali valitsus ette, et Euroopa Kohus vastaks jaatavalt, samas kui Facebook ning Tšehhi ja Soome valitsus ning komisjon on vastupidisel seisukohal.

41.

Järgmises jaos seletan, miks GBA ning Belgia, Itaalia, Poola ja Portugali valitsuse pakutud isikuandmete kaitse üldmääruse tõlgendus ei ole minu arvates veenev: isikuandmete kaitse üldmääruse nii grammatiline ja süstemaatiline (1) kui ka teleoloogiline ja ajalooline (2) tõlgendamine viivad selgelt vastupidise tulemuse suunas. Lisaks ei sea ka määruse hartast lähtuv tõlgendus (3) ega väidetavad riskid seoses isikuandmete kaitse üldmääruse võimaliku ebapiisava rakendamisega (4) – igatahes kindlasti mitte praegusel hetkel – kahtluse alla seda, kuidas minu arvates on õige isikuandmete kaitse üldmäärust tõlgendada.

42.

Siiski ei ole määruse sellise konkreetse tõlgendamise tagajärjed minu arvates nii äärmuslikud, kui väidavad Facebook, Tšehhi ja Soome valitsus ning komisjon. Sellest tulenevalt selgitan, miks peaks vastuses eelotsusetaotluse esitanud kohtule leidma kesktee kahe menetluses esitatud seisukoha vahel: liikmesriigi järelevalveasutusel on õigus pöörduda selle riigi kohtusse seoses isikuandmete kaitse üldmääruse väidetava rikkumisega tulenevalt piiriülesest andmetöötlusest, olgugi et see asutus ei ole juhtiv järelevalveasutus, tingimusel et ta teeb seda isikuandmete kaitse üldmääruses ette nähtud olukordades ja vastavalt selles sätestatud menetlusele (5).

43.

Esiteks tundub mulle, et asjakohaste sätete sõnastus, eriti kontekstis vaadelduna, toetab isikuandmete kaitse üldmääruse sellist tõlgendust, mille kohaselt juhtival järelevalveasutusel on üldine pädevus piiriülese töötlemise suhtes, ning sellest tulenevalt on asjaomastel järelevalveasutustel selles osas piiratud tegutsemisvolitused.

44.

Isikuandmete kaitse üldmääruse artikli 56 lõike 1 kohaselt „on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega“. ( 8 ) Isikuandmete kaitse üldmääruse artikli 56 lõikes 6 on ette nähtud: „Piiriülese isikuandmete töötlemise toimingu puhul on vastutava töötleja või volitatud töötleja ainus partner juhtiv järelevalveasutus.“ ( 9 ) Põhjendus 124 kajastab neid sätteid, märkides sisuliselt, et piiriülese töötlemise puhul „peaks juhtiva asutuse rolli täitma vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus või vastutava töötleja või volitatud töötleja ainsa tegevuskoha järelevalveasutus“. ( 10 )

45.

Juhtiva järelevalveasutuse üldist pädevust piiriülese andmetöötluse suhtes kinnitab asjaolu, et olukordi, mille puhul pädevus piiriülese andmete töötlemise suhtes antakse teistele järelevalveasutustele, kirjeldatakse eranditena üldisest reeglist. Eelkõige on isikuandmete kaitse üldmääruse artikli 55 lõikes 2 juhtiva järelevalveasutuse pädevus välistatud teatud andmetöötlustoimingute suhtes, kus „töötlejad on avaliku sektori […] asutused“. Lisaks on isikuandmete kaitse üldmääruse artikli 56 lõikes 2 ette nähtud, et erandina põhimõttest, et pädevus kuulub juhtivale järelevalveasutusele, „on järelevalveasutus pädev menetlema talle esitatud kaebust või käesoleva määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte“.

46.

Peale selle on isikuandmete kaitse üldmääruse artikliga 66, mis käsitleb „kiirmenetlust“, antud „erandlike asjaolude korral“, kui andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, igale asjaomasele järelevalveasutusele õigus võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud, „erandina“ isikuandmete kaitse üldmääruse artiklites 60, 63, 64 ja 65 osutatud koostöö- ja järjepidevuse mehhanismidest.

47.

Seega tundub mulle, et isikuandmete kaitse üldmääruse sätetest nähtub üsna selgelt, et piiriülese andmetöötluse puhul kujutab juhtiva järelevalveasutuse pädevus endast reeglit ja teiste järelevalveasutuste pädevus erandit. ( 11 )

48.

Siiski ei nõustu GBA ja teatud valitsused isikuandmete kaitse üldmääruse sellise tõlgendusega. Nende arvates annavad asjaomased sätted igale järelevalveasutusele (peaaegu piiramatu) õiguse taotleda kohtumenetluse algatamist seoses võimalike rikkumistega, mis mõjutavad nende territooriume, olenemata sellest, kas töötlemistoiming on piiriülene. Nad tuginevad peamiselt kahele argumendile.

49.

Esimesena väidavad nad, et sõnastus „ilma et see piiraks artikli 55 kohaldamist“, mida on kasutatud artikli 56 lõike 1 alguses, tähendab, et juhtivale järelevalveasutusele viimati nimetatud sättes antud pädevus ei saa riivata või piirata volitusi, mis on esimesena nimetatud sättega antud igale järelevalveasutusele, sealhulgas kohtumenetluse algatamise taotlemise pädevust.

50.

See argument ei ole minu arvates veenev.

51.

Artikli 55 lõige 1 kehtestab põhimõtte, et iga järelevalveasutus „on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud“. Need ülesanded on seejärel üles loetud isikuandmete kaitse üldmääruse artiklis 57. Volitused on üles loetud selle määruse artiklis 58. Nimetatud ülesannete hulka kuulub eelkõige isikuandmete kaitse üldmääruse kohaldamise jälgimine ja selle kohaldamise tagamine (artikli 57 lõike 1 punkt a). Artikliga 58 järelevalveasutustele antud volituste hulka kuuluvad erinevad uurimisvolitused (lõige 1), parandusvolitused (lõige 2), lubavad ja nõuandvad volitused (lõige 3) ning õigus alustada kohtumenetlust (lõige 5).

52.

Sisuliselt hõlmavad need sätted – millele on artiklis 55 kaudselt viidatud – kõiki ülesandeid ja volitusi, mille peab isikuandmete kaitse üldmääruse alusel järelevalveasutustele andma. Kui järgida GBA ja teatud valitsuste pakutud tõlgendust, ei jääks praktiliselt mitte midagi juhtivate järelevalveasutuste üldise pädevuse alla, misläbi kaotaks artikkel 56 tähenduse. Juhtiv järelevalveasutus ei oleks siis ei ainus partner ega juhiks teisi järelevalveasutusi mitte mingil viisil. Võiks öelda, et talle jääks siis pelgalt „infopunkti“ roll, ilma selgelt määratletud ülesanneteta.

53.

Juhtivale järelevalveasutusele antud rolli ja järelikult ühtse kontaktpunkti mehhanismi tähtsus ilmneb veelgi selgemalt siis, kui lugeda kõiki neid sätteid koosmõjus ning nende kontekstis.

54.

Esimene märk sellest on isikuandmete kaitse üldmääruse ülesehituses artiklile 56 antud oluline koht. Artikkel 56 on teine säte, mis sisaldub isikuandmete kaitse üldmääruse asjakohases jaos (VI peatükk „Sõltumatud järelevalveasutused“, 2. jagu „Pädevus, ülesanded ja volitused“), järgnedes vahetult üldsätetele pädevuse kohta ning eelnedes teistele üldsätetele ülesannete ja volituste kohta. Seega otsustas liidu seadusandja rõhutada juhtivate järelevalveasutuste keskset rolli isegi enne, kui ta asus kirjeldama kõikide järelevalveasutuste konkreetseid ülesandeid ja volitusi.

55.

Veelgi põhimõttelisemalt kinnitavad juhtivate järelevalveasutuste tähtsust isikuandmete kaitse üldmääruse VII peatükis („Koostöö ja järjepidevus“) sisalduvad sätted, milles on kehtestatud erinevad menetlused ja mehhanismid, mida järelevalveasutused peavad järgima isikuandmete kaitse üldmääruse järjepideva rakendamise kindlustamiseks. Eelkõige näeb selle peatüki alguses olev artikkel 60, millele on viidatud artikli 56 lõikes 1, ette „juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vahelise koostöö“ menetluse.

56.

On selge, et just see peab olema menetlus, mida tuleb kasutada siis, kui piiriülese töötlemise suhtes on vaja võtta meetmeid määruse rakendamise tagamiseks. See menetlus, niisamuti nagu teised isikuandmete kaitse üldmääruse VII peatükis sätestatud menetlused, ei ole vabatahtlik. Eelkõige on isikuandmete kaitse üldmääruse artikli 51 lõikes 2 ja artiklis 63 sisalduvates imperatiivsetes sätetes üheti mõistetavalt märgitud, et järelevalveasutused peavad tegema koostööd, kasutades sealjuures (kohustuslikus korras) selleks otstarbeks ette nähtud menetlusi ja mehhanisme.

57.

Seega on artikli 56 lõikes 1 kasutatud sõnadel „ilma et see piiraks artikli 55 kohaldamist“ erinev tähendus, kui pakkus välja GBA. Olen seisukohal, et see sõnastus tähendab selle konteksti arvestades lihtsalt seda, et isegi kui konkreetse juhtumi puhul on asjaomase piiriülest töötlemist puudutava juhtumi osas isikuandmete kaitse üldmääruse artikli 56 kohaselt pädev juhtiv järelevalveasutus, säilitavad kõik järelevalveasutused loomulikult üldised volitused, mis on neile antud isikuandmete kaitse üldmääruse artikli 55 (ja artikli 58) alusel.

58.

Vastavalt isikuandmete kaitse üldmääruse artikli 55 lõikele 1 peavad liikmesriigid võimaldama järelevalveasutusel täita ülesandeid ja kasutada volitusi, mis on selle määrusega ette nähtud. See säte annab seega mis tahes järelevalveasutusele üldise volituse (või pädevuse) tegutseda oma riigi territooriumi suhtes ning see jääb kehtima olenemata sellest („ilma et see piiraks“), kas töötlemise toiming on piiriülene või mitte, ning esimesel juhul tegutseb asjaomane asutus juhtiva järelevalveasutusena või asjaomase järelevalveasutusena. ( 12 ) Siiski ei reguleeri isikuandmete kaitse üldmääruse artikkel 55 seda, millistes olukordades ja kuidas seda tegutsemisvolitust konkreetse juhtumi puhul kasutatakse. Need küsimused on reguleeritud isikuandmete kaitse üldmääruse teiste sätetega, eelkõige selle VII peatükis sisalduvate sätetega. Nendes sätetes on ette nähtud, et asjaolu, kas järelevalveasutus saab kasutada üldist tegutsemisvolitust, ning selle kasutamise viis sõltuvad muu hulgas sellest, kas see asutus on asjaomase vastutava töötleja või volitatud töötleja suhtes juhtiv järelevalveasutus või asjaomane järelevalveasutus. ( 13 )

59.

Sellega seoses jagan tulemuse osas seega andmekaitsenõukogu vaatepunkti, kes hiljutises arvamuses nimetas isikuandmete kaitse üldmääruse artikli 56 lõiget 1 „ülimuslikuks eeskirjaks“ ja „lex specialis’eks“: see säte on „prioriteetne [isikuandmete kaitse üldmääruse artiklis 55 kehtestatud üldise eeskirja suhtes], alati, kui tekib mis tahes töötlemisolukord, mis vastab selles sätestatud tingimustele“. ( 14 )

60.

Sellest tulenevalt arvan, et GBA ja teatud valitsused tõlgendavad isikuandmete kaitse üldmääruse artiklit 55 ja artikli 56 lõiget 1 vääralt. Need menetlusosalised rebivad artikli 56 lõike 1 lause esimese osa kontekstist välja, et pöörata eeskirja ja erandi suhe ümber. See nõrgestab isikuandmete kaitse üldmääruse mitme sätte perspektiivset sisu ja kahjustab eesmärki tagada andmekaitse-eeskirjade järjekindlam ja ühtsem kohaldamine, mida on muu hulgas rõhutatud selle määruse põhjenduses 10. Selle tagajärjeks oleks sisuliselt tagasipöördumine eelmise, direktiiviga 95/46 kehtestatud korra alla.

61.

Teisena väidavad GBA ja mõned valitsused, et isikuandmete kaitse üldmääruse artikli 58 lõike 5 sõnastusest endast tuleneb, et kõik järelevalveasutused peaksid saama alustada kohtumenetlust andmekaitse-eeskirjade mis tahes potentsiaalse rikkumise suhtes, mis mõjutab nende territooriumi, olenemata töötlemistoimingu laadist (kohalik või piiriülene). Nende arvates tuleneb sellest, et isegi kui tõlgendada ühtse kontaktpunkti mehhanismi nii, et see piirab teiste järelevalveasutuste volitusi seoses piiriülese töötlemisega, võivad need piirid puudutada üksnes haldusmeetmeid, mitte kohtumenetluse algatamist.

62.

Ka kõnealuse teise argumendiga ei saa minu arvates nõustuda. Selles on tehtud sama viga kui eelmises argumendis: isikuandmete kaitse üldmääruse konkreetset sätet tõlgendades on see täielikult isoleeritud ülejäänud määrusest ning samal ajal on sellele omistatud liiga suur tähendus.

63.

Isikuandmete kaitse üldmääruse artikli 58 lõikes 5 on sätestatud: „Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.“

64.

Selle sätte kohaselt peavad liikmesriigid ühelt poolt võimaldama järelevalveasutustel suhelda õigusasutustega (sealhulgas vajaduse korral kriminaalkohtutega) ning teiselt poolt anda järelevalveasutustele (mitte ainult passiivne, vaid ka aktiivne) õigus pöörduda oma liikmesriigi kohtusse. Teisisõnu peaksid järelevalveasutused põhimõtteliselt saama olla õigusasutustega ühenduses ning vajaduse korral taotleda kohtumenetluse algatamist. Nagu ma aru saan, pidas liidu seadusandja sellist sõnaselget sätet vajalikuks sellepärast, et direktiivi 95/46 artikli 28 lõike 3 sätetele ( 15 ) vaatamata esines selles osas liikmesriikide õigusnormides olulisi erinevusi, mis tekitas omakorda rakendamise ebapiisava tagamise probleeme. ( 16 ) Kõnesolev kohtuasi, mis algatati veel nimetatud direktiivi kehtivusajal, on üks näide selle kohta: kohtuasjas tõstatusid liikmesriigi õiguse raames küsimused, mis käsitlesid eraelu puutumatuse komisjoni õigust algatada kohtumenetlus ning selle esimehe kohtusse pöördumise õigusliku aluse sobivust.

65.

Niisamuti nagu aga juba eespool on märgitud ( 17 ), näeb isikuandmete kaitse üldmääruse artikli 58 lõige 5 ette volitused, mis tuleb võrdselt anda eranditult kõikidele järelevalveasutustele, selles staadiumis arvestamata (või enne) kindlaksmääramist, kas konkreetse juhtumi puhul on see asutus pädev juhtiv järelevalveasutus, asjaomane järelevalveasutus või ei ole see üldse asjaomane. Isikuandmete kaitse üldmääruse artikli 58 lõige 5 ei reguleeri seda, millistes olukordades ja mil viisil seda menetluse alustamise õigust kasutada tuleb. See on arvatavasti ka põhjus, miks selles sättes on kasutatud sõnu „vajaduse korral“. Neid küsimusi reguleerivad isikuandmete kaitse üldmääruse teised sätted.

66.

Lisaks ei viita ei isikuandmete kaitse üldmääruse artikli 58 tekst ega ülesehitus sellele, et eristada saaks – nii, nagu GBA väidab – ametiasutuste haldusalaseid volitusi (mille suhtes kehtiks ühtse kontaktpunkti mehhanismist tulenevad piirangud) ja õigust taotleda kohtumenetluse algatamist (mille suhtes need piirangud ei kehtiks). Selles sättes on lõige lõikelt loetletud erinevad volitused, mis järelevalveasutustele tuleb anda, rühmitades neid eesmärgi alusel (uurimis-, parandus-, nõuandvad volitused jne). Nende lõigete sõnastus on üsna sarnane, nähes eelkõige ette, et igal järelevalveasutusel on selles lõikes sätestatud volitused.

67.

Seega ei näe ma alust tõlgendada artikli 58 lõiget 5 teistmoodi kui sama sätte lõikeid 1–3. Kahest variandist saab ainult üks tõele vastata: kas igal järelevalveasutusel on kõik need volitused, mis ei ole piiratud ühtse kontaktpunkti mehhanismiga, või siis peab kõiki neid volitusi kasutama vastavalt määruses ette nähtud menetlustele ja piirangutele.

68.

Eespool punktides 51 ja 52 selgitatud põhjustel ei saa esimest hüpoteesi toetada. Isikuandmete kaitse üldmääruse artiklit 58 kontekstist lähtuvalt tõlgendades saab nimelt selgeks, et tegelikult vastab pigem tõele vastupidine versioon sellest, mida väidavad GBA ja mõned valitsused.

69.

Nimelt peab iga järelevalveasutus aitama kaasa määruse nõuetekohasele ja järjepidevale kohaldamisele. Sel eesmärgil peab iga järelevalveasutus – olenemata sellest, kas see tegutseb konkreetse juhtumi puhul juhtiva järelevalveasutuse või asjaomase järelevalveasutuse rollis – näiteks uurima talle esitatud kaebusi, tehes seda nõutava hoolsusega. ( 18 ) Tegelikult, isegi kui väidetavad rikkumised puudutavad piiriülest töötlemist ning asutus ei ole juhtiv järelevalveasutus, peab teistel järelevalveasutustel olema võimalik asja uurida, et anda oma sisuka panuse, kui tal palutakse seda teha koostöö ja järjepidevuse mehhanismide raames, ( 19 ) või võtta kiireloomulisi meetmeid. Üldiselt peab siis aga juhtiv järelevalveasutus võtma vastu volitatud töötleja või vastutava töötleja suhtes siduvad otsused isikuandmete kaitse üldmääruse täitmiseks. ( 20 ) Täpsemalt, nagu tuleneb kohtuasjas Facebook Ireland ja Schrems tehtud hiljutisest kohtuotsusest, peab just nimelt „liikmesriigi [pädev järelevalveasutus] […] vajaduse korral pöördu[ma] riigisisesesse kohtusse“. ( 21 ) Seega ei saa isikuandmete kaitse üldmääruse sätetega ja Euroopa Kohtu praktikaga olla kooskõlas väide, et järelevalveasutused saavad vältida järjepidevuse ja koostöö mehhanisme, kui nad soovivad kohtumenetluse alustamist.

70.

Pealegi oleks praktilisemast vaatepunktist vaadatuna ebaloogiline mitte lasta ametiasutusel algatada haldusmenetlust, et arutada eeldatavat andmekaitse-eeskirjade rikkumist asjaomaste ettevõtjatega, kuid lubada sellel ametiasutusel pöörduda samas asjas kohe menetluse algatamiseks kohtusse. Kohtuvaidlus on sageli viimane abinõu, mida ametiasutus võib kasutada siis, kui asja ei saa tõhusalt lahendada haldustasandil (ametliku või mitteametliku) suhtluse ja otsuste tegemise teel.

71.

GBA pakutud eristus, mis ei luba järelevalveasutusel (halduslikult) uurida, ette valmistada, menetleda ega otsustada, kuid lubab tal selle asemel kohe kohtusse pöörduda, tekitaks ohtlikult suure võimaluse, et haldusasutused muutuvad üsna kahtlaste vesternikangelaste sarnaseks, kes kõigepealt tulistavad ja (võib-olla) hiljem räägivad – kui nad seda üldse teevad („kui pead tulistama, siis tulista; ära räägi“ ( 22 )). Ma kahtlen, et see oleks haldusasutuste puhul mõistlik või kohane viis andmekaitse-eeskirjade eeldatavate rikkumistega tegelemiseks.

72.

Peale selle ja veelgi olulisema punktina olgu märgitud, et kui järelevalveasutustel lubada vabalt pöörduda oma liikmesriigi kohtutesse, samas kui nad ei saa kasutada oma haldusvolitusi ilma määruses ette nähtud koostöö- ja järjepidevuse mehhanisme rakendamata, siis see sillutaks teed kergele kõrvalehoidmisele nendest mehhanismidest. Eelkõige juhul, kui on tegemist vaidlusega otsuse eelnõu üle, saaksid nii juhtiv järelevalveasutus kui ka (iga) asjaomane järelevalveasutus „tegeleda olukorraga omal käel“ ning taotleda menetluse algatamist liikmesriigi kohtutes, vältides seega isikuandmete kaitse üldmääruse artikli 60 lõikes 4 ja artiklis 65 sätestatud menetlust.

73.

See omakorda muudaks mõttetuks ühe nendest põhiülesannetest, mida peab täitma isikuandmete kaitse üldmäärusega asutatud andmekaitsenõukogu, mis koosneb iga liikmesriigi ühe järelevalveasutuse juhatajast ja Euroopa Andmekaitseinspektorist. ( 23 ) Üks selle andmekaitsenõukogu ülesannetest on just nimelt jälgida ja tagada, et isikuandmete kaitse üldmäärust kohaldatakse nõuetekohaselt, kui erinevate järelevalveasutuste vahel tekib vaidlusi. ( 24 ) Neil juhtudel toimib andmekaitsenõukogu vaidluste lahendamise kohana ja otsustusorganina. Kui järgitaks GBA ja mõne valitsuse toetatud tõlgendust, siis jääks isikuandmete kaitse üldmääruse artiklis 65 ette nähtud mehhanism täielikult kõrvale: iga järelevalveasutus tegutseks isemoodi, andmekaitsenõukogu vältides.

74.

Nagu ma järgmises jaos selgitan, osutuks sellest tulenev olukord vastupidiseks sellele, mida liidu seadusandja kavatses uue süsteemiga saavutada.

75.

Nagu nähtub isikuandmete kaitse üldmääruse põhjendusest 9, leidis liidu seadusandja, et kuigi „direktiivi 95/46/EÜ eesmärgid ja põhimõtted on endiselt ajakohased“, ei ole see õigusakt „ära hoidnud liidus andmekaitse rakendamise killustumist, õiguskindlusetust ega avalikkuses laialt levinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud füüsiliste isikute kaitsele“.

76.

Järjepidevuse tagamise vajadus muutus seega direktiivi 95/46 asendamiseks ette nähtud õigusnormi „võtmesõnaks“. Seda eesmärki peeti oluliseks kahest eesmärgist lähtuvalt: esiteks selleks, et tagada füüsiliste isikute ühtne ja kõrgetasemeline kaitse, ning teiseks selleks, et kõrvaldada takistused isikuandmete liikumisel liidus, pakkudes ettevõtjatele õiguskindlust ja läbipaistvust. ( 25 )

77.

Teisena nimetatud aspekti peab rõhutama. Direktiivi 95/46 kehtivusajal pidid üle kogu Euroopa Liidu tegutsevad ettevõtjad täitma erinevaid riigisiseseid eeskirju, millega seda direktiivi rakendati, ning olema samal ajal ühenduses kõikide riiklike andmekaitseasutustega. See olukord oli ettevõtjate jaoks mitte ainult kulukas, koormav ja aeganõudev, vaid tekitas nendele ettevõtjatele ja nende klientidele ka vältimatult ebakindlust ja konflikte. ( 26 )

78.

Direktiiviga 95/46 loodud süsteemi piiratus ilmnes ka mitmes Euroopa Kohtu otsuses. Kohtuasjas Weltimmo tehtud otsuses leidis Euroopa Kohus, et andmekaitseasutuse volitused on rangelt piiratud territoriaalsuse põhimõttega: need asutused saavad võtta meetmeid üksnes nende rikkumiste suhtes, mis leiavad aset nende endi territooriumil, ning peavad kõikidel muudel juhtudel paluma teiste liikmesriikide asutuste sekkumist. ( 27 ) Kohtuasjas Wirtschaftsakademie Schleswig-Holstein tehtud otsuses leidis Euroopa Kohus, et piiriülese andmetöötluse puhul saab iga andmekaitseasutus oma volitusi kasutada tema territooriumil asuva üksuse suhtes, sõltumata selle liikmesriigi andmekaitseasutuse arvamusest ja tegevusest, kus on selle töötlemise eest vastutava üksuse asukoht. ( 28 )

79.

Andmetöötluse virtuaalses maailmas aga on erinevate ametiasutuste pädevuse jaotamine territooriumipiire mööda tihti problemaatiline. ( 29 ) Lisaks tekitas ametiasutuste vahel selgete koordineerimismehhanismide puudumine ebakõlasid ja ebakindlust.

80.

Ühtse kontaktpunkti mehhanismi kehtestamine, mille puhul anti oluline roll juhtivale järelevalveasutusele ning teiste järelevalveasutuste hõlmamiseks loodud koostöömehhanismidele, oli seega mõeldud just nende probleemide lahendamiseks. ( 30 ) Kohtuotsuses Google (linkide eemaldamise territoriaalne ulatus) rõhutas Euroopa Kohus koostöö- ja järjepidevuse mehhanismide tähtsust isikuandmete kaitse üldmääruse nõuetekohase ja ühtse kohaldamise jaoks, ning nende kohustuslikkust. ( 31 ) Veel hiljem rõhutas ka kohtujurist Saugmandsgaard Øe kohtuasjas Facebook Ireland ja Schrems, et isikuandmete kaitse üldmääruse VII peatükis sätestatud koostöö- ja järjepidevuse mehhanismid on loodud selleks, et vältida riski, et eri järelevalveasutused kasutavad piiriüleste andmete töötlemisel erinevaid lähenemisviise. ( 32 )

81.

Tõsi küll – nagu GBA välja toob – nii nõukogu kui ka parlament soovisid seadusandliku menetluse jooksul piirata juhtiva järelevalveasutuse pädevust, mida komisjon oli algul ette näinud. Isikuandmete kaitse üldmääruse lõplikku teksti lõpuks tehtud muudatused aga ei tekita kahtlust eespool kirjeldatud tõlgenduse kohta, vaid pigem kinnitavad seda.

82.

Komisjoni algse ettepaneku kohaselt eeldas ühtse kontaktpunkti mehhanism, et piiriülese andmetöötlemise suhtes peaks vastutava töötleja või volitatud töötleja tervet Euroopa Liitu hõlmavat tegevust kontrollima ja võtma vastu seotud otsused üksainus järelevalveasutus (juhtiv järelevalveasutus). ( 33 ) See ettepanek tekitas aga nõukogus ja parlamendis vaidlusi.

83.

Nõukogu nõustus lõpuks tekstiga, mis põhines eesistujariigi esitatud ettepanekul. ( 34 ) See ettepanek ei seadnud mitte mingil viisil küsimuse alla ühtse kontaktpunkti mehhanismi kui niisugust, mille kohta nõukogu märkis, et see on uue õigusliku raamistiku „üks tugisammas“. ( 35 ) Eesistujariigi esitatud ettepanek tõi lõpuks kaasa kaks rühma üsna konkreetseid muudatusi.

84.

Esiteks soovis nõukogu lisada mõned erandid juhtivate järelevalveasutuste üldisest pädevusest: seoses töötlemisega, mida teostavad avaliku sektori asutused, ning seoses kohalike olukordadega. Nõukogu tegi seega ettepaneku lisada kaks sätet, mida ei olnud komisjoni ettepanekus ( 36 ) ning mis moodustavad nüüd isikuandmete kaitse üldmääruse artikli 55 lõike 2 ja artikli 56 lõike 2. ( 37 )

85.

Teiseks tahtis nõukogu muuta juhtivate järelevalveasutuste rolli ja pädevust paindlikumaks, muutes menetlust rohkem kaasavaks. Komisjoni ettepaneku sõnastust peeti selles osas teatud määral mitmeti mõistetavaks ning see võis anda juhtivatele järelevalveasutustele ainupädevuse piiriülese andmete töötlemise suhtes. Seega tehti tekstis rida parandusi, et suurendada andmesubjektide ja järelevalveasutuste vahelist „lähedust“. ( 38 ) Muu hulgas suurendati märkimisväärselt teiste järelevalveasutuste kaasatust otsuste tegemise protsessi.

86.

Ka Euroopa Parlament toetas sellise ühtse kontaktpunkti mehhanismi loomist, milles juhtivatel järelevalveasutustel on suurem roll, kuid tegi ettepaneku tugevdada järelevalveasutuste vahelise koostöö süsteemi. Nii parlamendi raporti projekti seletuskiri ( 39 ) kui ka Euroopa Parlamendi 12. märtsi 2014. aasta seadusandlik resolutsioon ( 40 ) on selles osas üsna selgesõnalised.

87.

Sisuliselt muudeti nõukogu ja parlamendi sekkumisega ühtse kontaktpunkti mehhanism, mis enne andis väga suure kaalu juhtivatele järelevalveasutustele, tasakaalustatumaks kahesambaliseks mehhanismiks: juhtivate järelevalveasutuste juhtroll piiriülese andmetöötluse suhtes säilib, kuid sellega kaasneb nüüd selliste teiste järelevalveasutuste suurem roll, kes osalevad aktiivselt protsessis koostöö- ja järjepidevuse mehhanismi kaudu, ning andmekaitsenõukogu vahendaja ja suunaja roll lahkhelide korral.

88.

Seega kinnitab isikuandmete kaitse üldmääruse teleoloogiline ja ajalooline tõlgendamine ühtse kontaktpunkti mehhanismi olulisust ning sellest tulenevalt juhtivate järelevalveasutuste üldist pädevust piiriülese andmetöötluse suhtes. GBA ja teatud valitsuste pakutav isikuandmete kaitse üldmääruse sätete tõlgendamine ei saa olla kooskõlas liidu seadusandja kavatsusega, nii nagu seda saab järeldada määruse preambulist ja sätetest ning ettevalmistavatest materjalidest.

89.

Seega järeldan, et isikuandmete kaitse üldmääruse asjaomaste sätete grammatiline, kontekstipõhine, teleoloogiline ja ajalooline tõlgendamine kinnitab, et järelevalveasutused peavad järgima määruses sätestatud eeskirju pädevuse ning koostöö- ja järjepidevuse mehhanismide ja menetluste kohta. Piiriülese andmete töötlemise korral peavad need ametiasutused tegutsema isikuandmete kaitse üldmääruses kehtestatud raamistikku järgides.

90.

GBA ja teatud valitsused esitavad aga lisaks veel kaks argumentide kogumit, mis nende arvates räägivad selle kasuks, et kõikide järelevalveasutuste volitusi ühepoolselt tegutseda tuleb suurendada, isegi seoses piiriülese andmetöötlusega. Järgnevates jagudes selgitan, miks need argumendid ei peaks – kindlasti mitte praegusel hetkel – seadma kahtluse alla isikuandmete kaitse üldmääruse sellist tõlgendust, nagu ma eespool välja pakkusin.

91.

GBA jääb seisukohale, et järelevalveasutuste täievoliline õigus esitada hagi volitatud töötlejate ja vastutavate töötajate vastu, sealhulgas piiriülese töötlemise puhul, on vajalik selleks, et tagada kooskõla harta artiklitega 7, 8 ja 47. GBA argumentide aluseks paistab olevat kaks põhilist murekohta, kuigi kumbagi pole tema seisukohtades täielikult välja öeldud. ( 41 )

92.

GBA esimene murekoht tundub olevat seotud sellega, et nende ametiasutuste hulk, kes teatud tegevuse suhtes saavad meetmeid võtta, väheneb. See väide paistab kätkevat endas vaikivat eeldust, et kõrgetasemeline kaitse nõuab suurt hulka ametiasutusi, kes saavad nõuda isikuandmete kaitse üldmääruse järgimist, isegi paralleelselt tegutsedes. Lihtsustades öeldes: mida rohkem on järelevalvega tegelevaid ametiasutusi, seda kõrgetasemelisem on kaitse.

93.

Ma ei arva, et see peab tingimata nii olema, vähemalt selles osas, mis puudutab kaitsetaset.

94.

Tõsi küll, nagu Euroopa Kohus on nentinud, on liidu andmekaitsealaste õigusnormide eesmärk, koostoimes harta artiklitega 7 ja 8, tagada muu hulgas põhiõiguse eraelu puutumatusele kõrgetasemeline kaitse isikuandmete töötlemisel. ( 42 )

95.

Liidu seadusandja on siiski asunud seisukohale, et selleks et tagada „füüsiliste isikute […] kõrgetasemeline kaitse“, on tarvis „tugevat ja ühtsemat andmekaitseraamistikku“. ( 43 ) Sel eesmärgil on isikuandmete kaitse üldmäärusega kehtestatud raamistik ette nähtud selleks, et tagada järjepidevus kõikidel tasanditel: ühtemoodi nii füüsiliste isikute, ettevõtjate, vastutavate töötlejate, volitatud töötlejate kui ka järelevalveasutuste seisukohast. ( 44 ) Viimaste osas on isikuandmete kaitse üldmääruse eesmärk, nagu seda kinnitab põhjendus 116, „tihendada [nende] koostööd“ ( 45 ).

96.

Erinevalt GBA väidetest on andmesubjektide õiguste ja vabaduste kaitse kõrge taseme saavutamise eesmärk järelikult liidu seadusandja silmis täielikult kooskõlas eespool kirjeldatud ühtse kontaktpunkti mehhanismi toimimisega. Võimaldades selles küsimuses ühtsemat, tõhusamat ja läbipaistvamat lähenemisviisi, peaksid isikuandmete kaitse üldmääruses kehtestatud koostöö- ja järjepidevuse mehhanismid aitama saavutada muu hulgas harta artiklites 7 ja 8 sätestatud õiguste paremat edendamist ja kaitset.

97.

Teisisõnu on kindel, et ühtne ja ühetaoline kaitsetase ei välista kaitse kõrget taset. Küsimus on lihtsalt selles, mille suhtes seda ühetaolist mõõdupuud kasutada. Lõppude lõpuks on kahtlane, et asjaolu, et samal ajal on võetud mitu eraldiseisvat ja potentsiaalselt vastuolulist järelevalveasutuste meedet, võimaldab tõepoolest aidata kaasa isikute õiguste kõrgetasemelise kaitse tagamise eesmärgi saavutamisele. Ühtsus ja selgus, mille tagab järelevalveasutuste koostöö, peaks võimaldama seda eesmärki paremini saavutada.

98.

Teine GBA väljendatud murekoht tõstatab küsimusi, mis puudutavad lähedust kaebust esitavate isikute ja nende ametiasutuste vahel, kes lõpuks selle kaebusega seoses meetmeid võtavad. Küsimus on sisuliselt selles, kas isikud saavad tõhusalt alustada kohtumenetlust järelevalveasutuste tegevuse või tegevusetuse suhtes seoses nende kaebustega.

99.

Isikuandmete kaitse üldmääruse artikkel 78 kinnitab küll tõepoolest füüsiliste või juriidiliste isikute õigust tõhusale õiguskaitsevahendile järelevalveasutuse vastu. Peale selle, arvestades kooskõla harta artikliga 47, ei saa isikuandmete kaitse üldmääruse artiklis 78 ette nähtud õiguskaitsevahenditega nõuda andmesubjektidelt, et nad järgiksid üksikasjalikke eeskirju, mis võib nende kui füüsiliste isikute puhul ebaproportsionaalselt mõjutada nende õigust kohtumõistmisele (näiteks kohtukulude suurendamise või menetluse viibimise tõttu). ( 46 )

100.

Ükski iga menetlusosalise poolt selle kohta esitatud (üsna ebaselgetest) argumentidest ei seleta aga täpselt, miks Facebooki, Tšehhi ja Soome valitsuse ning komisjoni pakutud isikuandmete kaitse üldmääruse tõlgendus läheks vastuollu harta artikliga 47.

101.

Alustuseks olgu öeldud, et isikuandmete kaitse üldmäärus näeb selgelt ette andmesubjektide õiguse taotleda menetluse algatamist nii vastutavate töötlejate või volitatud töötlejate kui ka järelevalveasutuste vastu. Seega ei ole struktuurilisest küljest selge, miks isikuandmete kaitse üldmäärus ei ole kooskõlas harta artikliga 47.

102.

Mis puudutab andmesubjektide õigust taotleda menetluse algatamist vastutavate töötlejate ja volitatud töötlejate vastu, siis neile on antud valik taotleda menetluse algatamist selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub, või siis andmesubjekti elukohaliikmesriigi kohtus. ( 47 ) See eeskiri tundub olevat andmesubjektidele üsna soodus või vähemalt ei peaks probleeme tekitama. ( 48 )

103.

Mis puudutab andmesubjektide õigust taotleda menetluse algatamist järelevalveasutuste vastu, siis on olukord keerukam. Esiteks on andmekaitsesubjektidele antud õigus esitada hagi nii järelevalveasutuste tegevuse kui ka tegevusetuse suhtes. Eelkõige võivad nad esitada hagi iga järelevalveasutuse vastu, mis „ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks“. ( 49 )

104.

Siiski, erinevalt vastutavate töötlejate ja volitatud töötlejate vastu algatatavatest menetlustest, peab menetluse algatamist järelevalveasutuste vastu taotlema selle liikmesriigi kohtus, kus järelevalveasutus asub. ( 50 ) Ehkki see eeskiri võib paista isikutele ebasoodsam, peab meeles pidama, et isikuandmete kaitse üldmääruse artikli 60 lõiked 8 ja 9 näevad ette, et kui andmesubjekti esitatud kaebus jäetakse täielikult või osaliselt rahuldamata või lükatakse tagasi, võtab asjaomase otsuse vastu ja teeb andmesubjektile teatavaks järelevalveasutus, kellele see isik kaebuse esitas. See kehtib olenemata sellest, kas see asutus on juhtiv järelevalveasutus või mitte, võimaldades seega (vajaduse korral) andmesubjektil taotleda menetluse algatamist tema enda liikmesriigis.

105.

Need mehhanismid, millega otsuste tegemise pädevus võib vahetuda ning mis võimaldavad vajaduse korral võtta vastu eraldi otsuseid (juhtiv järelevalveasutus vastutava töötleja või volitatud töötleja suhtes ning kohalik ametiasutus kaebuse esitaja suhtes) paistab olevat spetsiaalselt ajendatud eesmärgist vältida seda, et andmesubjektid peaksid „reisima“ mööda Euroopa Liidu kohtusaale, et taotleda menetluste algatamist tegevusetute järelevalveasutuste vastu.

106.

Möönan siiski, et selline lahendus võib tekitada hulga praktilisi küsimusi. Mis on iga sellise otsuse täpne sisu? Kas see sisu on samasugune ( 51 ) või erinev? Kas andmesubjektil on lubatud tõstatada kõiki küsimusi, mis tema arvates puudutavad tema juhtumit, isegi neid, mis moodustavad tegelikult osa juhtiva järelevalveasutuse otsusest? Või on selle järelevalveasutuse otsus, kellele andmesubjekt kaebuse esitas, suures osas tühi kest, mis käsitleb lihtsalt formaalselt üksikut kaebust, ning kogu tegelik sisu on juhtiva järelevalveasutuse otsuses? Kas sellisel juhul peaks andmesubjekt selleks, et saada kasutada tõeliselt „tõhusat õiguskaitsevahendit“ isikuandmete kaitse üldmääruse artikli 78 ja harta artikli 47 tähenduses, pöörduma igal juhul selle liikmesriigi kohtusse, kus asub juhtiv järelevalveasutus? Kuidas toimivad tõhusa õiguskaitsevahendi kasutamise õiguse eeskirjad mis tahes ettevalmistavate otsuste kontrollimise suhtes, olgu siis horisontaalsel tasandil (ühiselt tegutsevate järelevalveasutuste vahel) või vertikaalsel tasandil (selles osas, mis puudutab järjepidevuse mehhanismi raames järelevalveasutuse otsusele eelneva ja tegelikult tõenäoliselt selle lõplikku otsust kindlaks määrava andmekaitsenõukogu arvamuse või otsuse kontrollimist)? ( 52 )

107.

Potentsiaalseid vaidlusküsimusi on külluses. Praktiline kogemus võib kunagi tuua välja tõelised probleemid seoses uuele süsteemile omase õiguskaitse kvaliteedi või isegi tasemega. Hetkel aga jäävad kõik need küsimused oletuste tasandile. Praeguses staadiumis ning kindlasti käesolevas menetluses ei ole Euroopa Kohtule esitatud mingeid asjaolusid, mis viitaksid mõnele sellekohasele tegelikule küsimusele.

108.

GBA väidab sisuliselt, et isikuandmete kaitse üldmääruse kohaldamise tagamist piiriülestes olukordades ei saa jätta peaaegu ainuüksi juhtivale järelevalveasutusele ja andmesubjektidele, keda andmete töötlemine võib mõjutada. Iga järelevalveasutuse tegelik ülesanne on just nimelt tegutseda nende isikute õiguste kaitsmiseks, keda andmete töötlemine võib mõjutada. Eelkõige ei saa järelevalveasutus oma ülesandeid õigesti täita, kui iga kord jääb otsus, kas võtta kahtlustatava rikkumise suhtes meetmeid, ja kuidas seda teha, teise ametiasutuse pädevusse.

109.

Olen seisukohal, et selle argumendiga seatakse sisuliselt otseselt küsimuse alla isikuandmete kaitse üldmääruse uus koostöömehhanism. Minu vastus sellele koosneb kahest tasandist: ühest küljest, mis puudutab kehtiva õiguse tasandit, siis võiks öelda, et isikuandmete kaitse üldmäärus sisaldab mehhanisme, mille eesmärk on selliste olukordade ärahoidmine. Teisest küljest, mis puudutab uute süsteemide tegelikku toimimist ja mõju, siis need kartused on praeguses staadiumis enneaegsed ja hüpoteetilised.

110.

Esiteks peaks kohe selgeks tegema, et asjaolu, et järelevalveasutus ei ole juhtiv järelevalveasutus teatud vastutava või volitatud töötleja suhtes, ei tähenda – erinevalt GBA väidetust – mitte mingil juhul seda, et isikuandmete kaitse üldmääruse rikkumiste eest, mis moodustavad süüteo, ei saa asjakohaselt süüdistust esitada. Artikli 58 lõikes 5 sätestatud õigus „juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele“ hõlmab ilmselgelt õigust suhelda õiguskaitseasutustega, nagu riigiprokuratuuriga. See õigus on kooskõlas järelevalveasutuste ülesandega jälgida isikuandmete kaitse üldmääruse kohaldamist ja tagada selle kohaldamine oma territooriumil ega kahjusta isikuandmete kaitse üldmääruse VII peatükis ette nähtud koostöö- ja järjepidevuse mehhanismide tõhusat toimet. Sellega seoses on vaevalt tarvis märkida, et samas kui need mehhanismid on järelevalveasutustele kohustuslikud, ei ole need kohaldatavad liikmesriikide teiste ametiasutuste suhtes, eelkõige nende suhtes, kelle ülesanne on süütegude eest süüdistuse esitamine.

111.

Teine ja olulisem punkt on see, et kui vaadelda isikuandmete kaitse üldmääruses kehtestatud süsteemi kui tervikut, siis on üsna selge, et juhtiv järelevalveasutus ei ole ainus isikuandmete kaitse üldmääruse rakendamise tagaja piiriülestes olukordades. Juhtiv järelevalveasutus on pigem „esimene võrdsete seas“ (primus inter pares). Üldiselt võib juhtiv järelevalveasutus tegutseda (halduslikult või kohtu kaudu) üksnes asjaomaste järelevalveasutuste nõusolekul. Isikuandmete kaitse üldmääruse artiklis 60 kehtestatud menetluse raames peab juhtiv järelevalveasutus üritama saavutada konsensust. ( 53 ) See asutus ei saa eirata asjaomaste järelevalveasutuste seisukohti. Juhtiv järelevalveasutus on mitte ainult kohustatud võtma neid seisukohti „asjakohaselt arvesse“, vaid iga asjakohaste järelevalveasutuste esitatud ametliku vastuväite tagajärjel peatub ajutiselt ka juhtiva ametiasutuse kavandatud otsuse vastuvõtmine. Lõpuks lahendab jätkuvad lahkarvamused ametiasutuste vahel konkreetne organ (andmekaitsenõukogu), mis koosneb kõikide liidu järelevalveasutuste esindajatest. Järelikult ei ole juhtiva järelevalveasutuse positsioon selles osas kaalukam kui mis tahes muul ametiasutusel. ( 54 )

112.

Nagu on märkinud endine Euroopa Andmekaitseinspektor P. Hustinx, peaks isikuandmete kaitse üldmääruse süsteemis juhtiva järelevalveasutuse rolli „käsitama mitte ainupädevusena, vaid struktureeritud viisina teha koostööd teiste kohaliku pädevusega järelevalveasutustega“. ( 55 ) Isikuandmete kaitse üldmäärus näeb ette jagatud vastutuse isikuandmete kaitse üldmääruse kohaldamise üle järelevalve tegemiseks ning selle järjepideva kohaldamise tagamiseks. Sel eesmärgil on järelevalveasutustele määratud ülesanded ja antud teatud volitused; neil on teatud õigused, kuid ka kohustused. Nende kohustuste hulgas on iseäranis kohustus järgida teatud menetlusi ja mehhanisme, mis on loodud järjepidevuse tagamiseks. Asutuse soov tegutseda isikuandmete kaitse üldmääruse rakendamise (kohtu kaudu) tagamisel „iseseisvalt“, ( 56 ) ilma teiste ametiasutustega koostööd tegemata, ei saa olla kooskõlas ei selle määruse sõnastuse ega mõttega.

113.

Nagu on märgitud eespool punktides 76 ja 77, on isikuandmete kaitse üldmäärus rajatud peenele tasakaalule füüsiliste isikute kõrgetasemelise kaitse tagamise vajaduse ja vajaduse vahel kõrvaldada takistused isikuandmete liikumisel liidus. Need kaks eesmärki on – nagu ilmneb eelkõige isikuandmete kaitse üldmääruse põhjendusest 10 ja artikli 1 lõikest 1 – lahutamatult seotud. Riikide järelevalveasutused peavad seega tagama nende vahel õiglase tasakaalu, nagu Euroopa Kohus on järjekindlalt rõhutanud alates esimestest kohtuotsustest andmekaitse valdkonnas. ( 57 ) Isikuandmete kaitse üldmääruse artikli 51 lõige 1 peegeldab järelevalveasutuste ülesandeid määratledes seda lähenemisviisi. ( 58 )

114.

Kolmandaks ei paku isikuandmete kaitse üldmäärus mitte üksnes mehhanisme selleks, et lahendada erimeelsusi seoses rakendamise tagamise viisiga, st kuidas saavutada kokkuleppeid järelevalveasutuste vahel esitatud erinevatest vaatepunktidest ja arvamustest tingitud vaidluste korral. Selles on samuti kehtestatud mehhanismid, et lahendada haldusasutuste tegevusetuse olukordi. See puudutab eelkõige olukordi, kus juhtiv järelevalveasutus – asjatundlikkuse ja/või töötajate puuduse tõttu või mis tahes muul põhjusel – lihtsalt ei võta ühtegi sisulist meedet isikuandmete kaitse üldmääruse võimalike rikkumiste uurimiseks ning vajaduse korral selle eeskirjade täitmise tagamiseks.

115.

Põhimõtteliselt nõuab isikuandmete kaitse üldmäärus, et piiriülest andmetöötlust puudutavatel juhtudel tuleb juhtivatel järelevalveasutustel tegutseda kohe. Eelkõige on isikuandmete kaitse üldmääruse artikli 60 lõikes 3 ette nähtud, et juhtiv järelevalveasutus peab „edasta[ma] küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele [ning] esita[ma] otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võt[ma] asjakohaselt arvesse nende seisukohti“. ( 59 )

116.

Kui juhtiv järelevalveasutus ei täida seda kohustust või üldisemalt ei tegutse siis, kui vaja, tekib küsimus, kas on õiguskaitsevahendeid, mida saavad kasutada asjaomased järelevalveasutused, kes soovivad läbi viia uurimist ja võib-olla võtta rakendamise tagamise meetmeid? ( 60 ) Minu arvates võivad need järelevalveasutused teha seda vähemalt kahel viisil, kusjuures need viisid ei ole teineteist välistavad.

117.

Esiteks võib järelevalveasutus isikuandmete kaitse üldmääruse artikli 61 lõigete 1 ja 2 kohaselt taotleda teiselt järelevalveasutuselt „teavet ja […] vastastikust abi [isikuandmete kaitse üldmääruse] […] rakendamiseks ja kohaldamiseks“. ( 61 ) See taotlus võib olla taotlus edastada teavet, muu hulgas „uurimise läbiviimise kohta“, või muude abimeetmete taotlus (nagu kontrollide ja uurimiste läbiviimine või tõhusa koostöö meetmete kehtestamine). Igale niisugusele taotlusele peab taotluse saanud asutus vastama „põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist“.

118.

Vastavalt isikuandmete kaitse üldmääruse artikli 61 lõigetele 5 ja 8 võib taotluse esitanud ametiasutus juhul, kui taotlusele ei ole ette nähtud aja jooksul vastatud või kui taotluse rahuldamisest on keeldutud, „võtta oma liikmesriigi territooriumil kooskõlas artikli 55 lõikega 1 vastu ajutise meetme“. Sellistel juhtudel „loetakse, et täidetud on artikli 66 lõike 1 kohane kiireloomulise tegutsemise vajadus ning andmekaitsenõukogu peab kiiresti vastu võtma artikli 66 lõike 2 kohase siduva otsuse“. ( 62 )

119.

Mulle näib, et seda tegutsemisviisi võib samuti kasutada asjaomane järelevalveasutus juhtiva järelevalveasutuse suhtes (ja see on ilmselt mõeldud niiviisi kasutamiseks ( 63 )). Kui juhtiv järelevalveasutus konkreetse piiriülest andmetöötlust puudutava juhtumi puhul ei tegutse, vaatamata asjaomase järelevalveasutuse sellekohasele taotlusele, siis viimati nimetatud ametiasutus võib sellest tulenevalt võtta kiireloomulisi meetmeid, mida peetakse vajalikuks andmesubjektide huvide kaitsmiseks. Nimelt eeldatakse, et on olemas erakorralised asjaolud, mis põhjendavad kiireloomulise tegutsemise vajadust, ning seda ei ole vaja tõendada.

120.

Teiseks võimaldab isikuandmete kaitse üldmääruse artikli 64 lõige 2 pädeval järelevalveasutusel (või andmekaitsenõukogu eesistujal või komisjonil) „taotleda mis tahes üldkohaldatava või rohkem kui ühes liikmesriigis mõju avaldava küsimuse puhul, et seda käsitleks arvamuse esitamiseks andmekaitsenõukogu, eelkõige juhul, kui pädev järelevalveasutus ei täida vastastikuse abi kohustust vastavalt artiklile 61 […]“. ( 64 )

121.

Ei ole täiesti selge, kas andmekaitsenõukogu otsus oleks asjasse puutuva juhtiva järelevalveasutuse jaoks õiguslikult siduv. ( 65 ) Isikuandmete kaitse üldmääruse artikli 65 lõike 1 punktis c on aga ette nähtud, et kui pädev järelevalveasutus ei järgi andmekaitsenõukogu artikli 64 kohaselt esitatud arvamust, võib asjaomane järelevalveasutus (või komisjon) edastada küsimuse andmekaitsenõukogule ning seega algatada selleks ette nähtud vaidluste lahendamise menetluse. Selle menetluse tulemusena tehakse lõpuks siduv otsus. ( 66 )

122.

Samas tuleb siiski möönda, et need eespool kirjeldatud mehhanismid (esiteks isikuandmete kaitse üldmääruse artiklid 61 ja 66 ning teiseks selle määruse artiklid 64 ja 65) on üsna kohmakad. Nende tegelik toime ei ole alati täiesti selge. Seega, kuigi paberil paistavad kõnealused sätted olevat nende probleemide vältimiseks sobivad, näitab üksnes nende sätete tulevane rakendamine, kas need võivad praktikas osutuda „pabertiigriteks“.

123.

See toob mind tagasi rakendamise ebapiisava tagamise raames esitatud argumendi teise tasandi juurde ning selle juurde, et see tasand on praegusel hetkel kindlasti oma laadilt üsna hüpoteetiline ja alusetu. Pean tunnistama, et vähemalt minu arvates on juhul, kui lähevad täide isikuandmete kaitse üldmääruse ebapiisavat rakendamist puudutavad kartused, mida väljendasid või pigem millele vihjasid GBA ja mõned teised menetlusosalised, oleks kogu süsteemi vaja oluliselt muuta.

124.

Struktuurilisest vaatepunktist oleks see tõepoolest nii, kui uus struktuur peaks tooma kaasa õigusliku „pelgupaiga“ teatud ettevõtjatele, kes tegelikult valivad ise endale riikliku reguleeriva asutuse, paigutades vastavalt sellele oma peamise tegevuskoha liidus, ja keda tänu sellele ei kontrollita, vaid keda asjaomane juhtiv järelevalveasutus kaitseb üsna tõhusalt teiste järelevalveasutuste eest. Vähesed vaidleksid vastu sellele, et õigusnormide alane võistlus liikmesriikide vahel nõrgemate eeskirjade suunas oleks just niisama ebaterve ja ohtlik, kui õigusnormide ebaühtsus – selline kooskõlastamise ja järjepidevuse puudumine, mis iseloomustas eelmist süsteemi. Õiguskordade võrgustik võib küll võimaldada hoida ära sidususe puudumist ja vastuolusid, edendades üksmeelt ja koostööd. Üksmeele hinnaks kipub aga olema aktiivsete tegutsejate blokeerimine, eriti süsteemis, kus iga otsuseni jõudmiseks on tarvis suurt kontsentratsiooni. Niisugustes süsteemides võib kollektiivne vastutus tekitada kollektiivset vastutustundetust ning sellest tulenevat tegevusetust.

125.

Niisuguseid ohtusid silmas pidades on isikuandmete kaitse üldmäärusega loodud õiguslik raamistik aga alles lapsekingades. Pole kerge ennustada – eriti kohtul, üheainsa või pigem üsna ainulaadse menetluse kontekstis – seda, kuidas selles määruses ette nähtud mehhanismid praktikas tööle hakkavad ning kui tõhusaks need osutuvad. Selles raamistikus, niisamuti nagu põhiõiguste kaitset ja hartapõhist tõlgendamist puudutavate potentsiaalsete küsimuste puhul, ( 67 ) tasub olla ettevaatlik.

126.

Olen seisukohal, et oleks halb mõte, kui Euroopa Kohus muudaks oluliselt seda raamistikku, mis on pika ja intensiivse seadusandliku protsessi (peen ja hoolikalt välja töötatud) tulemus, tõlgendades kontekstist väljarebitud eraldi lauseid, vähemalt praegusel hetkel oletuste ja spekulatsioonide alusel. See peab veelgi enam paika juhul, kui teatud osapoolte pakutud tõlgendus kujutab endast pelgalt seda, et määrusest võetakse sisuliselt välja mõned olulisemad osad ja seega de facto minnakse tagasi direktiivi 95/46 vana süsteemi juurde, mille institutsioonilise osa on liidu seadusandja üheti mõistetavalt ja selgelt kõrvale heitnud.

127.

See ülimalt selge normisüsteem, millest, nagu nähtub käesoleva ettepaneku eelmistest osadest, annavad tunnistust nii isikuandmete kaitse üldmääruse sätted ja ülesehitus kui ka dokumentidest ilmnev seadusandja tahe, võimaldab vastata ka teistele potentsiaalsetele struktuurilistele küsimustele, nagu see, mis puudutab õiget tasakaalu andmekaitse-eeskirjade ja isikuandmete kaitse üldmääruse rakendamise avaliku õiguse ja eraõiguse kaudu tagamise vahel. Kas on mõttekas piirata rakendamise avalik-õiguslikku tagamist üheainsa ametiasutusega ning seega üheainsa liikmesriigiga, mis toimub alles pärast pikka ja kohmakat haldusmenetlust, samas kui samade eeskirjade täitmise tagamine eraõiguse kaudu võib praktikas toimuda kiiremini ja kõikide liikmesriikide (tsiviil)kohtutes? Kas liikmesriigi järelevalveasutustel peaks olema vähem võimalust kohtusse pöörduda kui mis tahes üksikul eraõiguslikul tarbijal? Kas enamust andmekaitsejuhtumeid ei hakata lõpuks arutama liikmesriigi kohtutes (ning potentsiaalselt eelotsusetaotluse kaudu Euroopa Kohtus), kuhu pöörduvad otse eraõiguslikud isikud, minnes täiesti mööda selleks otstarbeks loodud riigisisestest reguleerivatest asutustest, sest need tegelevad alles koostöö ja oma seisukohtade kooskõlastamisega? Kas niisuguse korra puhul ei ole ohtu, et eraõiguse alusel täitmise nõudmine asendab täielikult täitmise tagamise avalik-õiguslike asutuste nõudel?

128.

Olgu kuidas on, liidu seadusandja tegi selge institutsioonilise ja struktuurilise valiku ning minu arvates ei ole mingit kahtlust, mida ta soovis saavutada. Neil asjaoludel peaks piltlikult öeldes andma sellele aktile vähemalt praegusel momendil võimaluse end tõestada. Kui tulemus osutub siiski kehvaks ning seda tõendavad faktilised asjaolud ja tugevad argumendid, siis ma ei usu, et Euroopa Kohus pigistab silmad kinni mis tahes lünga ees, mis võib sellest tulenevalt esile tõusta seoses hartaga tagatud põhiõiguste kaitsmisega ja sellega, kas pädevad reguleerivad asutused tagavad nende tegelikku järgimist. Küsimust, kas see puudutab siis endiselt teiseste õigusaktide hartapõhist tõlgendamist või siis asjaomaste sätete kehtivust või lausa teisese õigusakti osi, tuleb käsitleda teises kohtuasjas.

129.

Kõik välja toodud tõlgenduselemendid viitavad seega ühele ja samale tulemusele: juhtival järelevalveasutusel on üldine pädevus piiriülese andmete töötlemise suhtes. Kõik järelevalveasutused (olenemata sellest, kas nad täidavad juhtiva järelevalveasutuse või asjaomase järelevalveasutuse rolli) peavad tegutsema, eelkõige piiriülese andmetöötluse puhul, vastavalt isikuandmete kaitse üldmääruses ette nähtud menetlustele ja mehhanismidele.

130.

Kas sellest järeldub seega, et järelevalveasutus, mis ei ole juhtiv järelevalveasutus, ei saa põhimõtteliselt kunagi pöörduda riigisisesesse kohtusse vastutava töötleja või volitatud töötleja vastu, kui töötlemine on piiriülene?

131.

Ei, see ei ole nii.

132.

Esiteks saavad järelevalveasutused loomulikult pöörduda liikmesriigi kohtusse, kui nad tegutsevad väljaspool isikuandmete kaitse üldmääruse esemelist kohaldamisala, tingimusel et see on lubatud liikmesriigi õigusega ega ole vastuolus liidu õigusega, näiteks tulenevalt sellest, et töötlemine ei hõlma isikuandmeid või isikuandmete töötlemine toimub isikuandmete kaitse üldmääruse artikli 2 lõikes 2 viidatud tegevuste raames. ( 68 )

133.

Teiseks, vaatamata asjaolule, et töötlemine on piiriülene, jääb isikuandmete kaitse üldmääruse artikli 55 lõikes 2 sätestatud olukordades (kui töötlejad on avaliku sektori asutused või ka juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks) reguleerimispädevus kohalikule järelevalveasutusele, mis loomulikult kätkeb endas ka õigust pöörduda vajaduse korral kohtusse.

134.

Kolmandaks esineb juhtumeid, kus vaatamata sellele, et isikuandmete töötlemine on piiriülene ja langeb isikuandmete kaitse üldmääruse kohaldamisalasse, ei ole ühtegi järelevalveasutust, kes saaks toimida juhtiva järelevalveasutusena. Kuivõrd isikuandmete kaitse üldmääruses ette nähtud koostöö ja järjepidevuse mehhanism on kohaldatav üksnes nende vastutavate töötlejate suhtes, kellel on üks või mitu tegevuskohta liidus, ei ole olemas juhtivaid järelevalveasutusi selliste andmetöötlustoimingute suhtes, mida teostavad vastutavad töötlejad, kellel pole liidus tegevuskohta. See tähendab, et vastutavad töötlejad, kellel ei ole liidus ühtegi tegevuskohta, peavad tegema tegemist kohalike järelevalveasutustega igas liikmesriigis, kus nad tegutsevad. ( 69 )

135.

Neljandaks võib iga järelevalveasutus võtta kiireloomulisi meetmeid, kui on täidetud vastavad tingimused. Peale selle on olukordi, mille puhul eeldatakse, et meetmed on kiireloomulised. Sellise olukorraga võib olla tegemist näiteks juhul, kui asjaomane järelevalveasutus võib kogeda asjaga tegelema pidava juhtiva järelevalveasutuse jätkuvat tegevusetust. Kuivõrd isikuandmete kaitse üldmääruse artikli 66 lõige 1 näeb ette laialdase erandi järjepidevuse mehhanismist, võib põhjendatult eeldada, et niisuguses erakorralises olukorras saab järelevalveasutus tagasi kõik volitused (mida aga tavapärastel asjaoludel ei saa kasutada, kuna seda takistavad erinormid juhtiva järelevalveasutuse pädevuse kohta piiriülesel andmete töötlemisel) ning neid saab ajutiselt kasutada. See kätkeb endas loomulikult ka õigust taotleda kohtumenetluse algatamist vastavalt isikuandmete kaitse üldmääruse artikli 58 lõikele 5.

136.

Viienda ja viimase punktina võib vaid ammendavuse huvides veel märkida, et on olemas ka võimalus, et järelevalveasutus, kes teavitas juhtivat järelevalveasutust, võib samuti saada (või pigem säilitada) kohtusse pöördumise õiguse juhul, kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda vastavalt isikuandmete kaitse üldmääruse artikli 56 lõikele 5. Esmapilgul võib viimati nimetatud säte väga hästi hõlmata mõlema järelevalveasutuse vahelist tegelikku kokkulepet selle kohta, kumb neist on sobivam juhtumit käsitlema.

137.

Kokkuvõttes ei sisalda isikuandmete kaitse üldmääruse sätted teiste järelevalveasutuste, eriti asjaomaste järelevalveasutuste jaoks ühtegi üldist takistust taotleda menetluse algatamist andmekaitse-eeskirjade potentsiaalsete rikkumiste suhtes. Vastupidi, isikuandmete kaitse üldmääruses on sõnaselgelt ette nähtud või sellest tulenevad kaudselt erinevad olukorrad, kus neil on õigus seda teha. ( 70 )

138.

Üldiselt on siiski ülimalt oluline, et kui isikuandmete kaitse üldmääruses (eelkõige selle VI ja VII peatükis) sätestatud menetlused ja mehhanismid on kohaldatavad, järgiksid neid nõuetekohaselt nii juhtiv järelevalveasutus kui ka asjaomased järelevalveasutused. Isikuandmete kaitse üldmääruses ette nähtud eeskirjadest ilmneb väga selgelt, et ükski nendest ametiasutustest ei tohi tegutseda väljaspool seda õiguslikku raamistikku või seda järgimata.

139.

Seda, kas GBA on käesolevas asjas neid menetlusi ja mehhanisme järginud või mitte – see küsimus tekitas kohtuistungil mõningat vaidlust, kuid jääb käesoleva asja eripärast menetluslikku tausta silmas pidades mõnevõrra segaseks ( 71 ) – tuleb aga siiski kontrollida eelotsusetaotluse esitanud kohtul.

140.

Sellest tulenevalt peaks esimesele küsimusele vastama, et isikuandmete kaitse üldmääruse sätted lubavad liikmesriigi järelevalveasutusel pöörduda selle riigi kohtusse seoses isikuandmete kaitse üldmääruse väidetava rikkumisega tulenevalt piiriülesest andmetöötlusest, hoolimata sellest, et see asutus ei ole juhtiv järelevalveasutus, tingimusel et ta teeb seda isikuandmete kaitse üldmääruses ette nähtud olukordades ja vastavalt selles ette nähtud menetlustele.

141.

Teise küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas vastus esimesele küsimusele oleks erinev, kui selle piiriülese töötlemise raames vastutava töötleja peamine tegevuskoht ei ole asjaomases liikmesriigis, küll aga on selles liikmesriigis tema muu tegevuskoht.

142.

Arvestas seda, kuidas ma panen ette vastata esimesele küsimusele, on vastus teisele küsimusele üsna selge: põhimõtteliselt on see eitav, tingimusel et „peamine tegevuskoht“ isikuandmete kaitse üldmääruse artikli 4 punkti 16 tähenduses asub tõepoolest teises liikmesriigis.

143.

Asjaolu, et vastutaval töötlejal on liikmesriigis teisene tegevuskoht, ei mõjuta põhimõtteliselt kohaliku järelevalveasutuse õigust taotleda seoses asjaomase piiriülese andmete töötlemise toiminguga kohtumenetluse algatamist vastavalt isikuandmete kaitse üldmääruse artikli 58 artiklile 5. Teisisõnu ei sõltu piiriülese andmete töötlemise puhul järelevalveasutusele antud volituste ulatus ja nende volituste kasutamise viis üldiselt sellest, kas vastutaval või volitatud töötlejal, kelle peamine tegevuskoht on teises liikmesriigis, on samuti tegevuskoht selle järelevalveasutuse liikmesriigis.

144.

Nagu ma aga juba eespool märkisin, ( 72 ) on selle järelduse eeltingimuseks see, et liikmesriigi kohus teeb kõigepealt kindlaks, milline tegevuskoht on tegelikult peamine tegevuskoht asjaomase töötlemistoimingu puhul. Selles osas on isikuandmete kaitse üldmääruse artikli 4 punkti 16 alapunktis a kasutatud dünaamilist käsitust ( 73 ) sellest, mida loetakse peamiseks tegevuskohaks, mis ei pea tingimata kokku langema ettevõtte staatilise ülesehitusega.

145.

Asjaolu, et vastutaval või volitatud töötlejal on (teisene) tegevuskoht järelevalveasutuse territooriumil, tähendab pealegi, et see asutus on isikuandmete kaitse üldmääruse artikli 4 punkti 22 tähenduses asjaomane järelevalveasutus. Asjaomastele järelevalveasutustele on antud olulised volitused seoses isikuandmete kaitse üldmääruse VII peatükis kehtestatud menetlustega. ( 74 )

146.

Lisaks näeb isikuandmete kaitse üldmääruse artikli 56 lõige 2 ette erandi juhtivate järelevalveasutuste üldisest pädevusest seoses piiriülese andmete töötlemisega: „järelevalveasutus [on] pädev menetlema talle esitatud kaebust või [isikuandmete kaitse üldmääruse] võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte“. Seda pädevust peab omakorda kasutama sama sätte lõigetes 3–5 ette nähtud menetlust järgides. ( 75 )

147.

Kolmanda küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas vastus esimesele küsimusele oleks erinev, kui liikmesriigi järelevalveasutus alustab kohtumenetlust vastutava töötleja peamise tegevuskoha üksuse vastu või tema enda riigis asuva tegevuskoha üksuse vastu.

148.

Arvestades seda, kuidas minu ettepanekul tuleks vastata esimesele küsimusele, ning niivõrd, kuivõrd kolmas küsimus ei kattu tegelikult teise küsimusega, tuleks ka kolmandale küsimusele vastata eitavalt.

149.

Jällegi, kui juhtumi asjaoludest on tõepoolest selgunud, et vastavalt isikuandmete kaitse üldmääruse artikli 4 punktile 16 asub asjaomase töötlemistoimingu tegija peamine tegevuskoht tegelikult teises liikmesriigis, ei ole vastutava töötleja tegevuskohaks oleva liikmesriigi järelevalveasutus juhtiv järelevalveasutus, kuid võib saada asjaomaseks järelevalveasutuseks. Selle hindamise raames aga ei sõltu järelevalveasutuse tegutsemispädevus sellest, kas kohtumenetlus algatatakse vastutava töötleja peamise tegevuskoha üksuse või tema enda liikmesriigi tegevuskoha üksuse vastu. ( 76 )

150.

Ammendavuse huvides tuleb lisada, et isikuandmete kaitse üldmääruse artikli 58 lõige 5 on sõnastatud üldiselt ega täpsusta, milliste üksuste vastu järelevalveasutused peavad toiminguid tegema või saavad neid teha. See tõi kaasa huvitava arutelu teatud menetlusosaliste seisukohtades teemal, mis ei ole vähetähtis, kuid mida minu arvates ei ole Euroopa Kohtul praegusel juhul vajalik käsitleda. Küsimus on järgmine: kas järelevalveasutused – juhul kui need on isikuandmete kaitse üldmääruse alusel tõepoolest pädevad – saavad esitada nõudeid, mis on suunatud üksnes nende territooriumil asuva(t)e vastutava või volitatud töötleja tegevuskohaga (või tegevuskohtadega) üksuste vastu, või siis saavad nad esitada ka välisriigis asuvate tegevuskohtade vastu suunatud nõudeid?

151.

Ühelt poolt rõhutavad Belgia, Itaalia ja Poola valitsus, et isikuandmete kaitse üldmääruse artikli 55 lõige 1 piirab iga järelevalveasutuse territoriaalse pädevuse tema enda liikmesriigi territooriumiga. Nad järeldavad sellest, et järelevalveasutused saavad esitada nõudeid ainult kohalike tegevuskohtade vastu.

152.

See säte ei ole minu arvates nii selge: selles käsitletakse määrusega antud volituste kasutamist „oma liikmesriigi territooriumil“. Ma ei loe sellest sättest välja, et see takistab tingimata nõude esitamist teises liikmesriigis asuva tegevuskohaga üksuse vastu. Territoriaalsuse element, mis sisaldub isikuandmete kaitse üldmääruse artikli 55 lõikes 1, koostoimes isikuandmete kaitse üldmääruse artikli 1 lõikes 1 ja artiklis 3 sätestatud üldise kohaldamisalaga, ja mis puudutab järelevalveasutuse pädevust teatud juhtumi puhul, on seotud andmete töötlemise mõjuga liikmesriigi territooriumil. See element ei piira nõuete esitamist väljaspool riigipiire asuvate vastutavate või volitatud töötlejate vastu.

153.

Teiselt poolt väidab GBA, et igal ametiasutusel on õigus võtta meetmeid kõikide isikuandmete kaitse üldmääruse rikkumiste vastu, mis toimuvad tema territooriumil, olenemata asjaolust, kas vastutava töötleja või volitatud töötleja tegevuskoht asub tema territooriumil. See tähendab, et ametiasutus peaks saama ka taotleda kohtumenetluse algatamist välisriigis asuvate tegevuskohtade suhtes. Sellega seoses viitab GBA Euroopa Kohtu otsusele kohtuasjas Wirtschaftsakademie Schleswig-Holstein. ( 77 ) Selles kohtuotsuses leidis Euroopa Kohus, et direktiivi 95/46 artiklid 4 ja 28 lubasid liikmesriigi järelevalveasutusel kasutada volitusi osaleda kohtumenetluses konkreetse liikmesriigi territooriumil asuva ettevõtja tegevuskoha suhtes. See kehtis isegi juhul, kui selle tegevuskoha üksus vastutas üksnes reklaamipinna müügi ja muu turundustegevuse eest selle liikmesriigi territooriumil, samal ajal kui isikuandmete kogumise ja töötlemise eest oli kogu liidu territooriumil ainuvastutav teises liikmesriigis asuva tegevuskoha üksus.

154.

GBA väidab õigesti, et kuivõrd isikuandmete kaitse üldmäärus sisaldab selles osas direktiiviga 95/46 sarnaseid sätteid, ( 78 ) peaksid põhimõtted, mis Euroopa Kohus püstitas kohtuotsuses Wirtschaftsakademie Schleswig-Holstein, mutatis mutandis kehtima ka seoses isikuandmete kaitse üldmäärusega. Selles kohtuotsuses on aga üksnes selgitatud seda, millal saab ametiasutus pöörduda kohtusse kohaliku tegevuskoha üksuse vastu, vaatamata sellele, et andmete töötlemine toimub (põhilises osas) mujal liidus paiknevas tegevuskohas. See kohtuotsus ei kinnitanud ega välistanud – vähemasti sõnaselgelt – seda, et järelevalveasutus saab samuti esitada nõudeid viimati nimetatud tegevuskoha üksuse vastu.

155.

Mulle tundub siiski, et ühtse kontrollpunkti mehhanism eeldab keskse rakendamise tagamise punkti loomise kaudu paratamatult seda, et järelevalveasutus saab samuti esitada nõudeid välismaal asuvate tegevuskohtade üksuste vastu. Ma kahtlen, kas see uus süsteem toimiks eesmärgipäraselt, kui selle kohaselt ei oleks ametiasutustel ja eelkõige juhtival järelevalveasutusel võimalik esitada nõudeid mujal asuvate tegevuskohtade üksuste vastu. ( 79 )

156.

Neljanda küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas vastus esimesele küsimusele oleks erinev, kui liikmesriigi järelevalveasutus on alustanud kohtumenetlust juba enne isikuandmete kaitse üldmääruse jõustumise kuupäeva.

157.

Kõigepealt tuleb märkida, et isikuandmete kaitse üldmääruses ei ole üleminekueeskirju ega muid eeskirju, mis reguleeriks uue korra jõustumise ajal pooleliolevate kohtumenetluste staatust.

158.

Seda silmas pidades peaks sellele küsimusele vastama: „See sõltub…“.

159.

Ühelt poolt, mis puudutab andmekaitse-eeskirjade rikkumisi, mis vastutavad või volitatud töötlejad panid toime enne isikuandmete kaitse üldmääruse kohaldatavaks muutumise kuupäeva, siis ma usun, et need menetlused võivad jätkuda. Ma ei näe mingit head põhjust kohustada ametiasutusi lõpetama määruse rakendamise nõudeid, mis on seotud varasema tegevusega, mis oli toimepanemise ajal (väidetavalt) õigusvastane ning mille vastu neil oli (sel ajal) pädevus nõudeid esitada. Erinev lahendus tooks kaasa teatud sorti amnestia teatud andmekaitseseaduste rikkumiste suhtes.

160.

Teiselt poolt tekib erinev olukord seoses kohtuasjadega, mis on algatatud veel teostumata rikkumiste vastu, kuivõrd need leiavad aset pärast isikuandmete kaitse üldmääruse kohaldatavaks muutumise kuupäeva. ( 80 ) Selles osas, nagu kõikidel teistel juhtudel, kus uue õiguskorra raames tekkinud olukordade suhtes on kohaldatavad uued eeskirjad, on uued materiaalõigusnormid kohaldatavad üksnes asjaolude suhtes, mis ilmnevad pärast uue õigusnormi kohaldatavaks muutumist. ( 81 )

161.

Eelotsusetaotluse esitanud kohtu ülesanne on teha kindlaks, kummaga neist stsenaariumidest on tegelikult tegemist põhikohtuasja praeguse staadiumi puhul. ( 82 ) Kui tegemist on esimesega, siis minu arvates võib kindlasti liidu õiguse seisukohalt poolelioleva menetluse lõpule viia, tingimusel et see piirdub möödunud rikkumiste potentsiaalse sedastamisega. Kui on tegemist teise olukorraga, siis peaks liikmesriigi menetluse katkestama. Nimelt kehtestas uus raamistik erineva pädevuse ja volituste süsteemi, mille tagajärjel ei saa asjaomane järelevalveasutus esitada nõudeid andmete piiriülesest töötlemisest tulenevate rikkumiste vastu väljaspool konkreetseid olukordi ning selleks ette nähtud menetlusi ja mehhanisme.

162.

Vastupidine lahendus tooks faktiliselt kaasa direktiiviga 95/46 kehtestatud süsteemi jätkumise, kuigi nii liidu kui ka liikmesriigi õiguses on see sõnaselgelt kehtetuks tunnistatud ja uuega asendatud. Lõppude lõpuks võib vaid ette kujutada, et kui GBA saavutaks tõesti selle, et Facebookil keelatakse tulevikus (ja muide, kui pikaks ajaks?) põhikohtuasjas käsitletav tegevus, siis kas see ei segaks pädevust (sama) tegevuse suhtes, mille isikuandmete kaitse üldmäärus andis alates 25. maist 2018 juhtivatele ja asjaomastele järelevalveasutustele ning millele võivad lisanduda erinevates liikmesriikides tehtud vastuolulised otsused (või kohtumäärused)?

163.

Viienda küsimusega – mis esitati juhuks, kui esimesele küsimusele tuleb vastata jaatavalt – soovib eelotsusetaotluse esitanud kohus teha selgeks, kas isikuandmete kaitse üldmääruse artikli 58 lõikel 5 on vahetu õigusmõju, millest tulenevalt saab liikmesriigi järelevalveasutus sellele tugineda, et taotleda poolte suhtes kohtumenetluse algatamist või seda jätkata, isegi kui seda sätet ei ole riigisisesesse õigusesse konkreetselt üle võetud.

164.

Olgu meenutatud, et artikli 58 lõige 5 on sõnastatud järgmiselt: „Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.“

165.

Facebook ning Tšehhi ja Portugali valitsus märgivad, et selles sättes on selgelt nõutud liikmesriikide tegutsemist: neil tuleb kehtestada õigusnormid, mis võimaldavad ametiasutustel kohtusse pöörduda. Selleks, et kohtusse pöördumise õigus oleks täielikult teostatav, võib see nõuda ka mõningaid riigisiseseid norme, et muu hulgas määrata kindlaks kohtud, millele asi allub, kohtusse pöördumise tingimused ning menetlused, mida tuleb järgida.

166.

Arvestades minu pakutud vastust esimesele küsimusele, ei ole viiendale küsimusele tarvis vastata. Ammendavuse huvides ei ole minu arvates siiski probleemiks nõustuda GBAga selles osas, et selle konkreetse liidu õigusnormi normatiivne sisu on üsna üheti mõistetav ja vahetult kohaldatav. Selles osas peab meeles pidama, et üldiselt on liidu õigusnormil vahetu mõju alati, kui see on sisu poolest piisavalt selge, täpne ja tingimusteta, et sellele tugineda sellega vastuolus oleva siseriikliku meetme vastu, või kui see õigusnorm määratleb õigusi, millele isikud saavad riigi vastu tugineda. ( 83 )

167.

Väljaspool asjaolu, et säte sisaldub määruses (õigusakt, mis ELTL artikli 288 kohaselt on „tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides“ ( 84 )), paistab mulle, et isikuandmete kaitse üldmääruse artikli 58 lõikest 5 saab tõepoolest sedastada konkreetse ja kohe kohaldatava normi. See norm on väga lihtne: järelevalveasutustel peab olema õigus pöörduda liikmesriigi kohtusse, neile antakse liikmesriigi õigusnormidega õigus taotleda kohtumenetluse algatamist. Liikmesriigi kohtule esitatud nõuet ei saa kuulutada vastuvõetamatuks kohtumenetlusõigus- ja teovõime puudumise tõttu.

168.

Kuigi ma nõustun Facebooki ning Tšehhi ja Portugali valitsusega selles osas, et liikmesriigid võivad näha järelevalveasutuste esitatud nõuete suhtes ette konkreetsemaid norme, tingimusi või kohtualluvust, ei ole need eeskirjad mitte mingil juhul vajalikud isikuandmete kaitse üldmääruse artikli 58 lõike 5 kohase vahetu mõjuga normi rakendamiseks. Kui riigi seadusandja ei ole kehtestanud ad hoc norme, on iga järelevalveasutuste esitatud nõude suhtes iseenesest kohaldatavad asjakohastes riigisisestes menetlusseadustikes (kas halduskohtumenetluse seadustikes või isegi vajaduse korral tsiviilmenetluse seadustikes) sisalduvad standardeeskirjad. Seega, näiteks juhul, kui puuduvad konkreetsed rakenduseeskirjad kohtualluvuse kohta, võib julgelt eeldada, et kohaldatav on üldine standardeeskiri, mille võib tõenäoliselt leida igast (tsiviil)menetluse seadustikust ning mille kohaselt – välja arvatud juhul, kui seal on sätestatud teisiti – allub asi vaikimisi kostja tegevuskoha kohtule.

169.

Kuuenda ja viimase küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas juhul, kui liikmesriigi järelevalveasutusel on kohtumenetlusõigus- ja teovõime, võib selliste menetluste tulemus takistada juhtiva järelevalveasutuse vastupidiseid järeldusi, kui kõnealune juhtiv järelevalveasutus uurib andmete piiriülese töötlemise samu või sarnaseid toiminguid, lähtudes isikuandmete kaitse üldmääruse artiklites 56 ja 60 ette nähtud korrast.

170.

Esimesele küsimusele pakutud vastust arvestades ei ole sellele küsimusele vaja vastata.

171.

Selle küsimusega tõstatatud teema näitab aga taas, miks esimesele küsimusele peaks vastama nii, nagu eespool on pakutud. Kui isikuandmete kaitse üldmääruses kehtestatud järjepidevuse ja koostöö mehhanismide kohustuslikkus kaotada, muutes seeläbi ühtse kontrollpunkti mehhanismi „vabatahtlikuks“ või siis tegelikkuses suhteliselt olematuks, kahjustaks see tõsiselt kogu süsteemi sidusust. Praegu isikuandmete kaitse üldmääruses sisalduvad pädevuse eeskirjad asendataks sisuliselt paralleelse kõikide järelevalveasutuste „võidujooksuga esimese kohtuotsuse nimel“. Sellest, kes „saavutab esimesena“ lõpliku kohtuotsuse oma riigi kohtus, saaks lõpptulemusena tegelikult juhtiv järelevalveasutus kogu Euroopa Liidu suhtes, nagu nähtub kuuendast küsimusest.

172.

Teen Euroopa Kohtule ettepaneku vastata Hof van beroep te Brusseli (Brüsseli apellatsioonikohus, Belgia) esitatud eelotsuse küsimustele järgmiselt.