This document is an excerpt from the EUR-Lex website
Document 62020CC0175
Opinion of Advocate General Bobek delivered on 2 September 2021.#SIA 'SS' v Valsts ieņēmumu dienests.#Request for a preliminary ruling from the Administratīvā apgabaltiesa.#Case C-175/20.
Kohtujurist Bobeki ettepanek, 2.9.2021.
„SS” SIA versus Valsts ieņēmumu dienests.
Eelotsusetaotlus, mille on esitanud Administratīvā apgabaltiesa.
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikkel 2 – Kohaldamisala – Artikkel 4 – Mõiste „töötlemine“ – Artikkel 5 – Töötlemise põhimõtted – Eesmärgi piirang – Võimalikult väheste andmete kogumine – Artikkel 6 – Töötlemise seaduslikkus – Töötlemine, mis on vajalik vastutaval töötlejal lasuva avalikes huvides oleva ülesande täitmiseks – Töötlemine, mis on vajalik vastutava töötleja juriidilise kohustuse täitmiseks – Artikkel 23 – Piirangud – Andmete töötlemine maksustamise eesmärgil – Nõue edastada andmeid veebis avaldatud sõidukite müügikuulutuste kohta – Proportsionaalsus.
Kohtuasi C-175/20.
Kohtujurist Bobeki ettepanek, 2.9.2021.
„SS” SIA versus Valsts ieņēmumu dienests.
Eelotsusetaotlus, mille on esitanud Administratīvā apgabaltiesa.
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikkel 2 – Kohaldamisala – Artikkel 4 – Mõiste „töötlemine“ – Artikkel 5 – Töötlemise põhimõtted – Eesmärgi piirang – Võimalikult väheste andmete kogumine – Artikkel 6 – Töötlemise seaduslikkus – Töötlemine, mis on vajalik vastutaval töötlejal lasuva avalikes huvides oleva ülesande täitmiseks – Töötlemine, mis on vajalik vastutava töötleja juriidilise kohustuse täitmiseks – Artikkel 23 – Piirangud – Andmete töötlemine maksustamise eesmärgil – Nõue edastada andmeid veebis avaldatud sõidukite müügikuulutuste kohta – Proportsionaalsus.
Kohtuasi C-175/20.
Court reports – general – 'Information on unpublished decisions' section ; Court reports – general
ECLI identifier: ECLI:EU:C:2021:690
MICHAL BOBEK
esitatud 2. septembril 2021 ( 1 )
Kohtuasi C‑175/20
SIA SS
versus
Valsts ieņēmumu dienests
(eelotsusetaotlus, mille on esitanud Administratīvā apgabaltiesa (regionaalne halduskohus, Läti)
Eelotsusetaotlus – Füüsiliste isikute kaitse seoses isikuandmete töötlemise ja selliste andmete vaba liikumisega – Töötlemise õiguslik alus – Liikmesriigi õigusest tulenev internetireklaami teenuste osutajate kohustus anda maksuhalduri nõudmisel mis tahes teavet, mis neil võib olla kõnealuseid teenuseid kasutanud maksukohustuslaste kohta – Maksuhalduri poolt teenuseosutajale esitatud teabenõuded – Ulatus – Isikuandmete kaitse üldmäärusest tulenevad sisulised ja ajalised piirangud
I. Sissejuhatus
1. |
Määrus (EL) 2016/679 (edaspidi „isikuandmete kaitse üldmäärus“) ( 2 ) ei ole kitsas õigusakt. Selle määruse üldiselt määratletud kohaldamisala, sellest tehtavate erandite tõhus kohtulik kaotamine ( 3 ) ning samuti mõistetel põhinev, abstraktne ja seetõttu vägagi lai lähenemisviis selle tõlgendamisele ( 4 ) on kõik aidanud muuta isikuandmete kaitse üldmääruse kohaldamisala praktiliselt piiramatuks. Taolise lähenemise tõttu on tänapäeval üsna raske leida olukorda, kus keegi ei töötleks mingil hetkel mingeid isikuandmeid. |
2. |
See lähenemisviis koos isikuandmete kaitse staatuse tõstmisega Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 8 alusel üleüldiseks (super)õiguseks on toonud siiski kaasa selge külgetõmbejõu, mida isikuandmete kaitse on hakanud avaldama teistele õigusvaldkondadele ja nendest tulenevatele vaidlustele. Mitmeid juhtumeid on hakatud äkitselt esitama isikuandmete kaitse probleemidena ja toodud Euroopa Kohtu (ja ka teiste kohtute) ette isikuandmete kaitse üldmääruse tõlgendamise küsimustena. Nendes vaidlustes tõstatatud konkreetsed küsimused ei ole alati siiski need, mida peaks reguleerima taoline õigusakt nagu isikuandmete kaitse üldmäärus, ehkki selle kohaldamisala on tõepoolest üsna lai. |
3. |
On tõenäoline, et varem oleksid vaid vähesed mõelnud, et isikuandmete kaitse üldmäärust või selle eelkäijat ehk direktiivi 95/46/EÜ ( 5 ) võiks käsitada nii, et see reguleerib raamatupidamispraktikantide juurdepääsu eksamitööle, millega võib kaasneda õigus neid isikuandmeid pärast eksami toimumist parandada, ( 6 ) või takistab politseil liiklusõnnetuses osaleva isiku tuvastamist, nii et kannatanu ei saa esitada tsiviilkohtusse nõuet oma sõidukile tekitatud kahju hüvitamiseks, ( 7 ) või piirab pankrotistunud äriühingu poolt varem tasutud maksu kohta teabe avaldamist selle äriühingu pankrotihaldurile, et taastada eraõiguslike ja avalik-õiguslike võlausaldajate võrdsus maksejõuetusest tulenevate tagasivõitmise nõuete puhul, ( 8 ) kui nimetada vaid mõned intrigeerivamad näited. |
4. |
Käesolev kohtuasi on veel üks näide isikuandmete kaitse üldmääruse sellisest tsentripetaalsest mõjust. SIA „SS“ osutab internetis reklaamiteenuseid. Selle äritegevuse raames saab ta nende isikute isikuandmed, kes avaldavad reklaami tema veebisaidil. Pädev riigisisene maksuhaldur nõudis, et nimetatud ettevõtja edastaks talle teatava hulga andmeid kõnealusel veebisaidil avaldatud kasutatud autode reklaamide kohta, et tagada autode müügilt maksude nõuetekohane kogumine. Maksuhaldur on üksikasjalikult kirjeldanud, millises vormis ta soovib neid andmeid saada. Samuti on ta selgitanud, et selline andmete edastamine peaks olema püsiv ja nähtavasti selle eest rahalist hüvitist ei maksta. |
5. |
Sellises kontekstis küsib eelotsusetaotluse esitanud kohus selliste andmeedastusnõuete lubatud ulatuse kohta. Nagu varasemate juhtumite puhul, näib ka käesoleval juhul olevat kohaldatav isikuandmete kaitse üldmäärus. Keegi kusagil töötleb või hakkab töötlema isikuandmeid, seda kindlasti hiljem, pärast edastamist. Seoses sellise andmetöötlusega tuleks kaitsta andmesubjektide õigusi ning ka asjaomaseid isikuandmeid. See ei tähenda siiski, et isikuandmete kaitse üldmäärusega reguleeritakse konkreetselt tulevase vastutava töötleja (avaliku sektori asutus) ja praeguse vastutava töötleja (eraõiguslik ettevõtja) vahelisi suhteid. Isikuandmete kaitse üldmääruses peetakse silmas ja kaitstakse andmeid kõikjal, kuhu need liiguvad, reguleerides iga järjestikuse vastutava töötleja kohustusi seoses asjaomaste andmetega ja andmesubjektide ees. Seevastu ei reguleerita nimetatud määrusega, välja arvatud mõned sõnaselged erandid, nende andmete kahe järjestikuse vastutava töötleja vahelise vastastikuse suhte konkreetseid üksikasju. Eelkõige ei ole isikuandmete kaitse üldmääruses sätestatud nende vastutavate töötlejate vahelise suhte, olgu see siis lepinguline või avalik-õiguslik, täpseid tingimusi, mille kohaselt võib üks neist teiselt andmeid nõuda ja saada. |
II. Õiguslik raamistik
A. Liidu õigus
6. |
Isikuandmete kaitse üldmääruse põhjendus 31 on sõnastatud järgmiselt: „Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei peaks pidama vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Kõnealused avaliku sektori asutused peaksid selliseid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele.“ |
7. |
Isikuandmete kaitse üldmääruse põhjendus 45 on sõnastatud järgmiselt: „Kui töödeldakse vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemise alus olema sätestatud liidu või liikmesriigi õigusaktis. Käesolevas määruses ei nõuta iga üksiku isikuandmete töötlemise toimingu reguleerimiseks eraldi õigusakti. Piisata võib õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks. Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis. Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks. See, kas avaliku huvi või avaliku võimu teostamisega seotud ülesannet täitev vastutav töötleja peaks olema avaliku sektori asutus või muu avalik-õiguslik või eraõiguslik füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata liidu õiguses või kui see on avalikust huvist lähtuvalt põhjendatud, sealhulgas tervishoiuga seotud eesmärkidel, nagu rahvatervis ja sotsiaalkaitse ning tervishoiuteenuste juhtimine, siis liikmesriigi õiguses.“ |
8. |
Artiklis 2 on sätestatud isikuandmete kaitse üldmääruse sisuline kohaldamisala: „1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda. 2. Käesolevat määrust ei kohaldata, kui:
[…]
[…]“. |
9. |
Artikkel 4 sisaldab isikuandmete kaitse üldmääruses kasutatavaid mõisteid: „1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […] 2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine; […] 7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses; 8) „volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel; 9) „vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele; […]“. |
10. |
Isikuandmete kaitse üldmääruse artiklis 5 on sätestatud isikuandmete töötlemise põhimõtted: „1. Isikuandmete töötlemisel tagatakse, et:
2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“ |
11. |
Isikuandmete kaitse üldmääruse artiklis 6 on sätestatud: „1. Töötlemine on seaduslik ainult sel juhul ja sellises ulatuses, kui on täidetud vähemalt üks järgmistest tingimustest: […]
[…]
[…] 2. Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis. 3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:
Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.“ |
12. |
Määruse III peatükis „Andmesubjekti õigused“ on artiklites 12–22 sätestatud vastutavate töötlejate õigused ja vastavad kohustused. Nimetatud peatüki lõpetab artikkel 23. Selle pealkiri on „Piirangud“ ja selles on sätestatud: „1. Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada: […]
[…]. 2. Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:
|
B. Läti õigus
13. |
Vastavalt maksude ja lõivude seaduse (Likums „Par nodokļiem un nodevām“; edaspidi „üldine maksuseadus“) artikli 15 lõikele 6 käesoleva kohtuasja asjaolude asetleidmise ajal kehtinud redaktsioonis on internetireklaami teenuste osutajatel kohustus esitada riigi maksuameti nõudmisel mis tahes teave maksukohustuslaste kohta, kes on kasutanud neid teenuseid reklaamide avaldamiseks, ja nende avaldatud reklaamide kohta. |
III. Faktilised asjaolud, menetlus liikmesriigis ja eelotsuse küsimused
14. |
Valsts ieņēmumu dienestsi (Läti maksuamet) koosseisu kuuluva Nodokļu kontroles pārvalde (maksuinspektsioon; edaspidi „vastustaja“) direktor saatis 28. augustil 2018 SIA-le „SS“ (edaspidi „kaebaja“) üldise maksuseaduse artikli 15 lõike 6 alusel teabenõude. |
15. |
Selles teabenõudes nõudis vastustaja, et kaebaja uuendaks tema juurdepääsu teabele kaebaja hallataval veebisaidil (www.ss.com) avaldatud kuulutustes esitatud sõidukite reklaamijate telefoninumbrite ja sõidukite kerenumbrite kohta. Lisaks palus vastustaja kaebajal esitada 3. septembriks 2018 teabe veebisaidi rubriigis „Sõiduautod“ ajavahemikul 14. juulist kuni 31. augustini 2018 avaldatud kuulutuste kohta. Kaebajal paluti edastada andmed elektroonselt vormis, mis võimaldaks andmeid filtreerida ja valida. Samuti paluti kaebajal failis ära tuua järgmised andmed: kuulutuse link, kuulutuse tekst, sõiduki mark, mudel, kerenumber, hind, müüja telefoninumbrid. |
16. |
Juhul kui juurdepääsu ei ole võimalik uuendada, paluti kaebajal teatada selle põhjus(ed) ning tal paluti esitada korrapäraselt teave eelneval kuul avaldatud kuulutuste kohta hiljemalt iga kuu kolmandaks päevaks. |
17. |
Kaebaja esitas selle teabenõude peale vastustaja peadirektorile vaide. Kaebaja sõnul ei olnud isikuandmete kaitse üldmääruse artikli 4 lõike 1 tähenduses isikuandmeid hõlmava teabenõude ulatus seadusega põhjendatud. Nõudes ei olnud täpsustatud konkreetset andmesubjektide rühma ega märgitud kavandatud töötlemise eesmärki ega ulatust ega seda, kui kaua teabe esitamise kohustus kehtib. Seega ei olnud vastustaja tegevus vastutava töötlejana kooskõlas tema suhtes vastavalt isikuandmete kaitse üldmäärusele kehtivate proportsionaalsuse põhimõtte või võimalikult väheste andmete kogumise põhimõttega. |
18. |
Vastustaja jättis 30. oktoobri 2018. aasta otsusega (edaspidi „vaidlustatud otsus“) vaide rahuldamata ja teabenõude kehtima. |
19. |
Vaideotsuse põhjendustes märgib vastustaja sisuliselt, et maksuhaldur täidab kõnealuste andmete töötlemisel talle seadusega antud ülesandeid ja volitusi. Maksuhaldur vastutab maksude, lõivude ja muude tasude sissenõudmise ja kontrolli eest. Tal on seadusest tulenev kohustus jälgida füüsiliste ja juriidiliste isikute majandus- ja finantstegevust, et tagada nende maksete tegemine riigikassasse ja liidu eelarvesse. Nende ülesannete täitmiseks annab seadus vastustajale õiguse hankida dokumente ja teavet, mis on vajalikud maksustatava teokoosseisu kindlaksmääramiseks ja registreerimiseks või maksude ja lõivude kontrollimiseks. Sealhulgas on üldise maksuseaduse artikli 15 lõike 6 kohaselt internetis kuulutuste avaldamise teenuse osutajad kohustatud riigi maksuhalduri nõudel esitama nende käsutuses oleva teabe maksukohustuslaste kohta, kes on avaldanud kuulutusi nimetatud teenuseid kasutades, ning nende avaldatud kuulutuste kohta. Vastustaja käsutuses olev konfidentsiaalne teave on kaitstud seadusega, eelkõige maksuameti töötajatele kehtestatud avalikustamiskeeluga. Sellest tulenevalt on teabenõue seaduslik. |
20. |
Kaebaja esitas Administratīvā rajona tiesale (rajooni halduskohus, Läti) vaidlustatud otsuse peale tühistamiskaebuse, väites, et selle otsuse põhjendustes ei ole märgitud andmetöötluse konkreetset eesmärki ega kriteeriume, mille alusel on valitud teave, mida nõuti seoses teatava tuvastatavate isikute rühmaga. |
21. |
Administratīvā rajona tiesa (rajooni halduskohus, Läti) jättis kaebuse 21. mai 2019. aasta kohtuotsusega rahuldamata. Ta nõustus sisuliselt vastustaja argumentidega, mille kohaselt ei saa seada piiranguid teabehulgale, mida maksuhaldur võib iga isiku kohta saada, välja arvatud juhul, kui leitakse, et kõnealune teave ei ole maksuhalduri maksundusalaste eesmärkidega kooskõlas. Kõnealuse kohtuotsuse kohaselt oli nõutud teave vajalik deklareerimata majandustegevuse tuvastamiseks. Isikuandmete kaitse üldmääruse sätted on kohaldatavad üksnes kaebajale kui teenuseosutajale, mitte aga maksuametile. |
22. |
Kaebaja esitas selle kohtuotsuse peale apellatsioonkaebuse Administratīvā apgabaltiesale (regionaalne halduskohus, Läti). Kaebaja väitel on isikuandmete kaitse üldmäärus käesoleval juhul kohaldatav. Teabenõudega kogutud isikuandmete suhtes tuleb vastustajat käsitada vastutava töötlejana nimetatud määruse tähenduses ja ta peab seega täitma selles sätestatud nõudeid. Siiski on vastustaja teabenõuet esitades rikkunud proportsionaalsuse põhimõtet, nõudes igal kuul märkimisväärse hulga andmete esitamist seoses määratlemata arvu reklaamidega, ilma et oleks märgitud konkreetsed maksukohustuslased, kelle suhtes on algatatud maksukontroll. Kaebaja märgib, et teabenõudes ei ole märgitud, kui kaua on kaebaja kohustatud teabenõudes nimetatud teavet vastustajale esitama. Ta leiab seetõttu, et vastustaja rikkus isikuandmete töötlemist reguleerivaid põhimõtteid, mis on sätestatud isikuandmete kaitse üldmääruse artiklis 5 (seaduslikkus, õiglus ja läbipaistvus). Ta väidab, et ei teabenõudes ega vaidlustatud otsuse põhjenduses ei ole täpsustatud, mille raames konkreetselt vastustaja kavandatud andmete töötlemine toimub (eesmärk), ega vajalikku teabemahtu (võimalikult väheste andmete kogumine). Tema väitel peab haldusorgan teabenõudes ära märkima selgelt määratletud kriteeriumid, mille alusel tuleb selle asutuse nõutud teave konkreetse tuvastatavate isikute rühma kohta valida. |
23. |
Eelotsusetaotluse esitanud kohtu hinnangul ei ole võimalik üheselt järeldada, et sellist teabenõuet võiks pidada „nõuetekohaselt põhjendatuks“ ja „juhtumipõhiseks“ ning et see ei puuduta kogu teavet, mis sisaldub kaebaja rubriigis „Sõiduautod“, kuna maksuhaldur soovib sisuliselt teostada pidevat ja ammendavat kontrolli. Eelotsusetaotluse esitanud kohtul on kahtlusi seoses sellega, kas vastustaja plaanitud isikuandmete töötlemist võib pidada kooskõlas olevaks isikuandmete kaitset käsitlevate õigusnormidega, mida kohaldatakse olenevalt töötlemise eesmärgist andmekaitsemääruse põhjenduse 31 tähenduses. Seega tuleb kindlaks määrata kriteeriumid, mille alusel hinnata, kas vastustaja teabenõue järgib põhiõigusi ja -vabadusi ning kas kõnealust teabenõuet võib pidada demokraatlikus ühiskonnas vajalikuks ja proportsionaalseks, et kaitsta liidu ja Läti olulisi avaliku huvi eesmärke maksu- ja eelarvevaldkonnas. |
24. |
Eelotsusetaotluse esitanud kohtu sõnul ei viita vaidlusalune teabenõue ühelegi „konkreetsele uurimisele“, mida kostja viiks läbi isikuandmete kaitse üldmääruse sätete tähenduses. Teabenõudes ei küsita teavet konkreetsete isikute kohta, vaid kõigi andmesubjektide kohta, kes on avaldanud kuulutusi veebisaidi rubriigis „Sõiduautod“. Maksuhaldur nõuab selle teabe esitamist hiljemalt iga kuu kolmandal päeval (st, et kaebaja peab esitama maksuametile kogu teabe eelneval kuul avaldatud kuulutuste kohta). Eeltoodut arvestades kahtleb eelotsusetaotluse esitanud kohus, kas riigi ametiasutuse sellist toimimisviisi võib pidada isikuandmete kaitse määruse nõuetega kooskõlas olevaks. |
25. |
Selles faktilises ja õiguslikus kontekstis otsustas Administratīvā apgabaltiesa (regionaalne halduskohus, Läti) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
|
26. |
Kirjalikud seisukohad esitasid Belgia, Kreeka, Hispaania ja Läti valitsus ning Euroopa Komisjon. Kaebaja, Belgia, Hispaania ja Läti valitsus ning komisjon vastasid Euroopa Kohtu kodukorra artikli 61 lõike 1 alusel Euroopa Kohtu esitatud kirjalikele küsimustele. |
IV. Hinnang
27. |
Käesolev ettepanek on liigendatud järgmiselt. Kõigepealt käsitlen seda, kas isikuandmete kaitse üldmäärus on kohaldatav nõude suhtes, mille avaliku sektori asutus esitab vastutavale töötlejale teatava hulga isikuandmete edastamiseks. Eelotsusetaotluse esitanud kohtu küsimusi arvestades tuleb kõigepealt teha kaks täpsustust: kes on põhikohtuasjas täpsemalt kes ja millised konkreetsed reeglid on isikuandmete kaitse üldmääruses sellistel juhtudel ette nähtud (A). Järgmisena käsitlen (üsna elementaarset) õigusraamistikku, mis tuleneb isikuandmete kaitse üldmäärusest seoses ametiasutuste poolt eraettevõtjatele esitatud andmete edastamise nõuetega (B). Seejärel esitan mitu märkust selle kohta, mis on vähemalt minu arvates käesoleva kohtuasja tegelik probleem, kuigi eelotsusetaotluse esitanud kohus ei ole seda sõnaselgelt tõstatanud (C). |
A. Isikuandmete kaitse üldmääruse kohaldatavus
28. |
Eelotsusetaotluse esitanud kohus on tõstatanud üheksa küsimust, mis kõik puudutavad ühel või teisel moel seda, kas konkreetne nõue (konkreetsed nõuded) teatavate isikuandmete saamiseks eraettevõtja(te)lt, mille maksuhaldur on esitanud maksude kogumiseks ja maksudest kõrvalehoidmise tuvastamiseks, on õiguspärane. Eraettevõtja on saanud vaidlusalused isikuandmed andmesubjektidelt oma tavapärase äritegevuse raames. |
29. |
Üheksast esitatud küsimusest ei nähtu siiski selgelt, kellel täpselt on missugune kohustus ja millise isikuandmete kaitse üldmääruse sätte alusel. See ebaselgus viitab pigem märkimisväärsele ebakindlusele seoses käesoleva juhtumi piiritlemisega vähemalt kahes aspektis. |
30. |
Esiteks, kui lähtuda isikuandmete kaitse üldmääruses sätestatud kategooriatest, siis kes on kes käesolevas asjas? Siin on tegemist eraettevõtja poolt avaliku sektori asutusele teatavate andmete edastamisega suuremast andmekogumist, mida eraettevõtja kogub ja mille töötlemise eest ta vastutab. See on isikuandmete kaitse üldmääruses artikli 4 punkti 2 tähenduses konkreetne töötlemistoiming, mis on Euroopa Kohtule esitatud küsimuste aluseks. |
31. |
Siiski näib ka, et selle konkreetse andmete edastamise puhul leiab eelotsusetaotluse esitanud kohus, et maksuhaldur (vastustaja) on juba selle konkreetse töötlemistoimingu vastutav töötleja. ( 9 ) See eeldus, millest lähtub kogu eelotsusetaotlus, on selgelt väljendatud kuuendas ja üheksandas küsimuses. See nõuab sissejuhatavat selgitust: kes täpselt peab käesoleval juhul isikuandmete kaitse üldmäärust järgima? Kes on selle konkreetse töötlemistoimingu vastutav töötleja? (2) |
32. |
Teiseks tekib selle ebaselguse tõttu veel üks oluline küsimus: millised konkreetsed isikuandmete kaitse üldmääruse sätted on kohaldatavad juba andmete edastamise nõuetele ja millised neist sätetest puudutavad konkreetselt seda, mis liiki ja kui palju andmeid võib avaliku sektori asutus taolisel eesmärgil eraettevõtjalt nõuda? Sellega seoses on päris kõnekas, et vaid kolmes eelotsusetaotluse esitanud kohtu küsimuses mainitakse isikuandmete kaitse üldmääruse artikli 5 lõiget 1, mis näeb läbiva sättena ette isikuandmete töötlemise põhimõtted mis tahes vastutava töötleja poolt. Seevastu teistes küsimustes viidatakse lihtsalt „isikuandmete kaitse üldmääruses sätestatud nõuetele“, täpsustamata, millised konkreetsed sätted neid nõudeid sisaldavad. |
33. |
Seega on vaja veel ühte sissejuhatavat selgitust isikuandmete kaitse üldmääruse kohalduvate sätete kohta, eelkõige seoses kaebajast ettevõtja ja vastustajast maksuhalduri vahelise suhtega. Kuidas isikuandmete kaitse üldmäärus konkreetselt reguleerib selliseid andmeedastusnõudeid ning eraettevõtja ja avaliku sektori asutuse vastastikuseid õigusi ja kohustusi? (3) |
34. |
Samas tuletan enne nende kahe küsimuse käsitlemist meelde, miks minu arvates ei saa isikuandmete kaitse üldmääruse kohaldamist ja selle järgimist käsitleda abstraktselt, tõlgendades mõisteid, mis ei ole seotud konkreetse töötlemistoiminguga, mida tuleks käsitada lähtepunktina. Alles siis, kui see on selgitatud, on võimalik nõuetekohaselt analüüsida asjaomaseid osapooli ja nende vastavaid kohustusi (1). |
1. Abstraktsed määratlused ja kõikehõlmav isikuandmete kaitse üldmäärus
35. |
Käesoleval juhul on kõik huvitatud isikud, sealhulgas Läti valitsus, ühel meelel selles, et kui lähtuda analüüsis seadusandja poolt isikuandmete kaitse üldmääruse artiklis 4 sätestatud mõistetest „isikuandmed“ ja „töötlemine“, siis on see õigusakt põhikohtuasjas kindlasti kohaldatav. |
36. |
Esiteks on teabenõudega hõlmatud andmed isikuandmed isikuandmete kaitse üldmääruse artikli 4 lõike 1 tähenduses. Nõutud teave, nagu andmesubjektide telefoninumber või auto kerenumber, on „teave tuvastatud või tuvastatava isiku kohta“. Nimelt võimaldab see teave tuvastada automüüjad ja seega potentsiaalsed maksumaksjad. |
37. |
Teiseks on kohtupraktikas välja kujunenud, et isikuandmete edastamine ( 10 ) või nende edastamise teel kättesaadavaks tegemine kujutab endast töötlemist samamoodi nagu andmete säilitamine või mis tahes muul viisil kättesaadavaks tegemine. ( 11 ) On ju „edastamise teel avalikustamine“ üheks töötlemistoiminguks vastavalt isikuandmete kaitse üldmääruse artikli 4 punktis 2 sisalduvale kirjeldavale loetelule. |
38. |
Kolmandaks on selge, et isikuandmete töötlemine toimub automatiseeritult isikuandmete kaitse üldmääruse artikli 2 lõike 1 tähenduses. |
39. |
Lisaks ei ole ükski erand, mida tuleb igal juhul tõlgendada kitsalt, ( 12 ) käesoleval juhul kohaldatav. Võttes arvesse kohtuotsust Österreischischer Rundfunk jt ( 13 ) ja eelkõige hiljutist kohtuotsust Latvijas Republikas Saeima (karistuspunktid) ( 14 ), ei saa väita, et kõnealuseid isikuandmeid on töödeldud „muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus“ isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tähenduses. |
40. |
Samuti näib, et kohaldatav ei ole ka isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis d sätestatud erand. Selle sätte tähenduses „pädevad asutused“ näivad olevat sellised organid nagu politsei või prokuratuur. ( 15 ) Need ei hõlma maksukogumise eesmärgil tegutsevaid maksuhaldureid ning veelgi vähem kuuluvad nende hulka internetireklaami pakkujad. Isegi kui isikuandmete töötlemine pädeva maksuhalduri poolt võib mõnel juhul lõppeda maksupettuse kui süüteo tuvastamisega, on see praeguses etapis vaid hüpoteetiline võimalus. ( 16 ) |
41. |
Seega tuleb sellise lähenemise korral järeldada, et isikuandmete kaitse üldmäärus on kohaldatav: on olemas isikuandmed ja neid töödeldakse automaatselt. Ent nagu on juba märgitud käesoleva ettepaneku sissejuhatuses, tähendab selline lähenemisviis, mis põhineb isikuandmete kaitse üldmääruse artiklis 4 sätestatud vastavatel mõistetel nagu „töötlemine“, ( 17 )„isikuandmed“ ( 18 ) või „vastutav töötleja“ ( 19 ) tõlgendatuna laialt ja väljaspool mis tahes konkreetset töötlemistoimingut, et isikuandmete kaitse üldmäärus reguleerib mis tahes teabe igasugust edastamist. |
42. |
Kõigi asjaosaliste kohustuste korrektseks tõlgendamiseks peaks isikuandmete kaitse üldmääruse kohase analüüsi lähtepunktina selgelt piiritlema konkreetse töötlemistoimingu. Alles siis on võimalik seoses asjaomase konkreetse töötlemistoiminguga kohaselt hinnata töötlemises tegelikult osalejatele isikuandmete kaitse üldmäärusest tulenevaid kohustusi. ( 20 ) Reguleerimise ese on konkreetne töötlemistoiming, st töö asjaomaste andmetega. Isikuandmete kaitse üldmääruse regulatiivne loogika ja fookus on tegevus- ja protsessipõhine ning seega tingimata dünaamiline. |
2. Kes on kes käesolevas asjas?
43. |
Milline on käesoleval juhul konkreetne töötlemistoiming? Selliste teabenõuete täitmine, nagu on kõne all põhikohtuasjas, eeldab kahtlemata isikuandmete töötlemist, mille suhtes on isikuandmete kaitse üldmäärus põhimõtteliselt kohaldatav. Käesoleval juhul on kaks erinevat üksust, kes mingil etapil andmeid töötlevad. Oma küsimustes keskendub eelotsusetaotluse esitanud kohus andmete töötlemisele vastustaja, see tähendab liikmesriigi maksuhalduri poolt. Kohtuasja asjaoludest ilmneb siiski, et kõigepealt peab andmeid töötlema kaebaja, see tähendab eraettevõtja. |
44. |
Kohtuotsuses Fashion ID ( 21 ) käsitles Euroopa Kohus vaidlusaluse andmete töötlemisega seotud konkreetseid toiminguid, et teha kindlaks asjaomased vastutavad töötlejad. Euroopa Kohus leidis, et mõiste „vastutav töötleja“ ei viita tingimata üheleainsale üksusele ja võib hõlmata mitut töötlemises osalejat, kellest igaühe suhtes on seega kohaldatavad andmekaitse valdkonna õigusnormid. ( 22 ) Füüsilist või juriidilist isikut ei saa samas pidada vastutavaks töötlemisahela eelnevate ega järgnevate etappide eest, mille eesmärke ega vahendeid ta kindlaks ei määra. ( 23 ) |
45. |
Käesoleval juhul on vastustaja tõenäoliselt vastutav töötleja siis, kui ta on saanud kaebajalt nõutud andmed ja alustab nende töötlemist isikuandmete kaitse üldmääruse artikli 4 lõike 2 tähenduses. ( 24 ) Selles etapis ei hakka vastustaja mitte ainult andmeid töötlema, vaid määrab tõenäoliselt kindlaks ka töötlemise vahendid ja eesmärgid isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses. Kui vastustaja teeb edaspidi ise mingeid andmetöötlustoiminguid, peab ta siis – tingimusel, et liikmesriik ei ole sellega seoses kehtestanud isikuandmete kaitse üldmääruse artikli 23 kohaseid piiranguid – järgima määruse artiklis 5 sätestatud andmete kvaliteedi põhimõtteid ning põhjendama oma töötlemistoimingut (töötlemistoiminguid) ühega määruse artikli 6 lõikes 1 sätestatud olukordadest. ( 25 ) |
46. |
Eelotsusetaotlusest nähtub siiski, et käesolev menetlus ei ole veel selles staadiumis. Maksuhalduri valduses ei ole nõutud andmeid. Seetõttu ei ole ta saanud alustada nende andmete töötlemist. Lisaks ei ole Euroopa Kohtule esitatud mingit teavet selle kohta, mida vastustaja kavatseb andmetega teha või millist töötlemise liiki kasutada. |
47. |
Seni on juhtunud üksnes see, et maksuhaldur on palunud eraettevõtjal esitada talle teatav andmete kogum. See iseenesest ei ole isikuandmete töötlemine, kindlasti mitte nende andmete töötlemine, mida ei ole veel saadud. Sellises faktilises olukorras jääb kaebaja, kes on eraettevõtja, andmete vastutavaks töötlejaks, kuivõrd ta on need andmed esimesena saanud oma tegevuse käigus, seega tema enda määratletud vahendite ja eesmärkide tarvis. Kui kaebaja töötleb tema valduses olevaid andmeid, et edastada need vastustajale vastavalt saadud tingimustele, jääb ta ka selle töötlemistoimingu osas vastutavaks töötlejaks. Sellist täiendavat töötlemist teeb kaebaja. ( 26 ) |
48. |
Sellega seoses ja kooskõlas isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktiga c täidab kaebaja seadusjärgset kohustust, mis tal on vastutava töötlejana, nimelt üldise maksuseaduse artikli 15 lõiget 6. Oma rollis vastutava töötlejana peab kaebaja isikuandmete töötlemisel ja nende edastamisel kostjale ühtlasi järgima isikuandmete kaitse üldmäärust. Eelotsusetaotluse esitanud kohus ei tõstata aga küsimust selle kohta, millises ulatuses peab kaebaja kõnealuse vaidlusaluse nõude täitmiseks andmeid töötlema. Tegelikult ei ole ta esitanud ühtegi küsimust kaebaja võimalike isikuandmete kaitse üldmäärusest tulenevate kohustuste kohta kõnealuse andmete töötlemise raames. |
49. |
Kuna eelotsusetaotluse esitanud kohus peab isikuandmete kaitse üldmäärusest tulenevate kohustuste eeldatavaks subjektiks vastustajat, näib talle tegevat muret isikuandmete töötlemise (õiguslik) alus isikuandmete kaitse üldmääruse artikli 6 lõike 3 tähenduses, st üldise maksuseaduse artikli 15 lõige 6, nagu see on konkreetsemalt rakendatud vastustaja esitatud teabenõuetega. |
50. |
Kokkuvõttes näib, et eelotsusetaotluse esitanud kohtu kõigi üheksa küsimuse aluseks olev põhiprobleem on kahe järjestikuse vastutava töötleja vahelise isikuandmete edastamise ulatus ja tingimused. ( 27 ) Millised isikuandmete kaitse üldmääruse sätted, kui neid üldse on, reguleerivad järjestikuste vastutavate töötlejate vahelisi suhteid? Kas isikuandmete kaitse üldmäärus sisaldab (sisulisi või ajalisi) piiranguid isikuandmete edastamise ulatusele ja liigile kahe vastutava töötleja, käesoleval juhul eraettevõtja ja avaliku sektori asutuse vahel? Kõik need küsimused on sisuliselt seotud isikuandmete saamise õigusliku alusega ega puuduta tegelikult töötlemist. |
3. Isikuandmete kaitse üldmäärusest tulenevad konkreetsed kohustused?
51. |
Isikuandmete kaitse üldmäärus käsitleb eelkõige andmesubjektide isikuandmete kaitset ning nimetatud subjektide ja asjaomaseid andmeid töötleva mis tahes üksuse vahelist suhet. Selleks sätestatakse isikuandmete kaitse üldmääruses andmesubjektide õigused ja asjaomaste vastutavate töötlejate kohustused isikuandmete töötlemisel. |
52. |
Selline regulatiivne loogika keskendub andmetele ning neid andmeid saavatele ja neid töötlevatele üksustele. Isikuandmete kaitse üldmääruses on väga vähe sätteid, mis reguleerivad otseselt ja sõnaselgelt andmeid töötlevate üksuste omavahelisi suhteid. ( 28 ) On tõsi, et isikuandmete kaitse üldmäärus puudutab neid suhteid kaudselt. Ta kohustab iga järgnevat andmeid saavat üksust kaitsma neid andmeid ja andmesubjektide õigusi. Sel viisil on isikuandmete kaitse üldmääruses tõepoolest sätestatud teatavad andmete avaldamise ja edastamise tingimused. See ei tähenda siiski, et isikuandmete kaitse üldmäärus reguleeriks otseselt nende üksuste vahelisi suhteid. |
53. |
Kui käsitada andmeid kaubana, siis võib isikuandmete kaitse üldmääruse regulatiivset loogikat pidada analoogiliseks teatud liiki kaupade (väärisesemete, kunstiteoste, ajalooliste esemete) suhtes kohaldatava spetsiifilise avaliku õiguse korraga. Sellise korra raames on kehtestatud teatavad piirangud selle suhtes, kuidas taolisi kaupu võib valmistada, kuidas neid tuleb kasutada, millistel tingimustel neid võib muuta, hoida, edasi müüa või hävitada. Selline erikord kaitseb kaupa ja on nii kaudselt siduv taolise kauba mis tahes järjestikuse omaniku või valdaja suhtes. Kuid iseenesest on see erikord ikkagi seotud kaubaga. Sellega ei reguleerita eraõiguslikke kokkuleppeid, mille kohaselt võidakse selliseid kaupu kahe eraõigusliku isiku vahel müüa, ega tingimusi, mille kohaselt võib või peab eraõiguslik üksus samad kaubad avalikule sektorile üle andma. Kõnealuste kaupade suhtes kehtiv kord seisab eraldi nende kaupade omandiõiguse ja nendega kauplemise regulatsioonist. |
54. |
Isikuandmete kaitse üldmäärust on võimalik mõistlikult tõlgendada üksnes tehes selgeks määruse taolise regulatiivse loogika ning keskendudes määrusest tulenevate võimalike kohustuste lähtepunktina konkreetsele töötlemistoimingule. Vastasel juhul oleks isikuandmete kaitse üldmäärus alati kohaldatav, kuigi samas puuduks ka selle kõige loomingulisemal lugemisel säte, mis reguleeriks esitatud konkreetset küsimust. Selliste juhtumite vältimatuks tulemuseks oleks see, et isikuandmete kaitse üldmäärusega ei oleks vastuolus teatavad riigisisesed õigusaktid või praktikad. Siiski ei tuleneks see „vastuolu puudumine“ tingimata sellest, et asjaomased riigisisesed regulatsioonid on üldiselt seaduslikud, vaid pigem sellest, et isikuandmete kaitse üldmäärus sellist küsimust lihtsalt ei reguleeri, isegi kui see puudutab ühel või teisel viisil isikuandmeid. |
55. |
Euroopa Kohtu praktikas ei ole võõrad sellised valepositiivsed hinnangud, mis puudutavad eri põhjustel riigisisese õigusega ette nähtud kohustusi andmete esitamiseks. Jällegi ei ole enamik selliseid juhtumeid seotud ühegi käimasoleva töötlemistoimingu kui sellisega, vaid pigem eelneva, sellise tulevase toimingu õigusliku aluse küsimusega. Need ulatuvad autoriõiguse maksmapanemiseks tsiviilkohtumenetluse algatamisest ( 29 ) riiklike vahendite nõuetekohase haldamiseni ( 30 ) või riigi julgeoleku kaitsmiseni ( 31 ). Selle teema näideteks võivad olla ka sellised kohtuasjad nagu Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) või J & S Service ( 35 ). |
56. |
Isikuandmete kaitse üldmäärus oli kõigis neis olukordades kindlasti kohaldatav andmesubjektide õigustele vastutavate töötlejate suhtes seoses konkreetsete töötlemistoimingutega, mis olid just toimunud või toimumas. Kuid ikkagi peab isikuandmete kaitse üldmääruse regulatiivne loogika ja õige kohaldamisala järgnema andmete voole ja tagama isikuandmete kaitse töötlemistoimingute käigus. Selle eesmärk ei ole reguleerida mis tahes eelnevaid suhteid erinevate üksuste vahel, kellel võib olla andmeid, sealhulgas põhjuseid, miks ja kuidas nad võivad neid andmeid saada. Teisisõnu ei taga isikuandmete kaitse üldmäärus ühele vastutavale töötlejale mingeid „õigusi“ teise vastutava töötleja vastu. |
57. |
See ei tähenda, et sellised küsimused ei oleks seadusega reguleeritud. Need on, kuid muude õigusaktide alusel, mis käsitlevad peamiselt õiguskaitset. Just nendes õigusaktides on sätestatud isikuandmete töötlemise õiguslik alus, mida selle määruse artikli 6 lõige 3 kõigepealt nõuab. Mis puudutab isikuandmete kohustuslikku edastamist, siis on selline edastamine pigem loogiliselt ette nähtud „õiguskaitseaktides“, olgu siis tegemist liidu ( 36 ) või riigisisese õiguse aktidega. Isikuandmete vabatahtliku edastamise korral, niivõrd kui see on isikuandmete kaitse üldmääruse kui avaliku õiguse akti kohaselt võimalik ja lubatud, on sellise edastamise aluseks liikmesriigi kaubandusõigus või lepinguõigus sõltuvalt vastavate järjestikuste vastutavate töötlejate vahel sõlmitud kokkulepete liigist. |
58. |
Neid täpsustusi arvesse võttes leian, et käesolevas asjas ei ole (veel) tegemist ühegi töötlemistoiminguga. Küsimus on sellise töötlemise õiguslikus aluses, millele isikuandmete kaitse üldmäärus üksnes viitab, kuid mida ta otseselt ei reguleeri. Seda arvestades ja püüdes eelotsusetaotluse esitanud kohut igakülgselt abistada, on käesoleva ettepaneku järgnevas jaos siiski esitatud ülevaade isikuandmete kaitse üldmäärusest tulenevast põhiraamistikust, mida kohaldatakse isikuandmete tulevasele töötlemisele vastutava töötleja, eraettevõtja poolt (B). Isikuandmete kaitse üldmääruse eesmärk on andmesubjekti kaitse ning mitte eraettevõtja kaitsmine avaliku võimu sekkumise eest tema ettevõtlusvabadusse või omandiõigusesse, mida ta teostab andmete kasutamise vormis. Ma ei väida mitte seda, et taoline küsimus ei võiks tekitada põhjendatud muret, vaid pigem seda, et seda saab vaevalt reguleerida isikuandmete kaitse üldmäärusega (C). |
B. Isikuandmete avaliku sektori asutustele edastamine (selle õiguslik alus)
59. |
Järgnev on üsna üldine arutelu selle üle, milline on õiguslik alus sellele isikuandmete töötlemisele, mille kaebaja peab kostja teabenõude täitmisel läbi viima. Sellega seoses on asjakohane säte tõenäoliselt isikuandmete kaitse üldmääruse artikkel 6, eelkõige selle lõiked 1 ja 3 koostoimes põhjendusega 45. |
60. |
Sissejuhatuseks tuleb mainida asjaolu, et Euroopa Kohtule ei ole esitatud konkreetset teavet võimalike sellistel asjaoludel nagu põhikohtuasjas täiendavalt kohaldatavate riigisiseste andmekaitse-eeskirjade kohta. Lisaks ei ole Euroopa Kohus saanud mingit teavet selle kohta, kas lisaks üldise maksuseaduse artikli 15 lõikele 6 on olemas muid üldkohaldatavaid riigisiseseid akte (näiteks määrusi või rakenduseeskirju), mis reguleeriksid täiendavalt (internetireklaami) teenuseosutajate kohustust edastada maksuhaldurile teatavaid andmeid. Samuti on väga vähe teavet isikuandmete kaitse üldmäärust rakendava riigisisese õigusraamistiku kohta üldiselt. |
61. |
Lisaks ei ole selgitatud, kas isikuandmete kaitse üldmääruse artikli 23 lõike 1 punkt e on liikmesriigi õiguses mõnel viisil rakendatud. See, kas seda liidu õigusnormi on rakendatud või mitte, ei ole teabe edastamise nõude seaduslikkuse suhtes määrav. See oleks siiski asjakohane, et määrata kindlaks nende kohustuste ulatus ja laad, mis järgmisel vastutaval töötlejal (avaliku sektori asutusel) andmesubjektide ees võivad olla, ning samuti algse vastutava töötleja kohustused ja teave, mida vastutav töötleja peab andmesubjektidele esitama. |
62. |
Seetõttu saab järgnev arutelu olla vaid üsna üldine. Käsitlen põhimõtteid, mis tulenevad isikuandmete kaitse üldmääruse artiklist 6 selle kohta, kuidas eraettevõte hakkab tulevikus andmeid töötlema, et täita avaliku sektori asutuse teabenõue, kõigepealt seoses sellise andmeedastuse eesmärgi (1) ning selle ulatuse ja kestusega (2). Seejärel käsitlen taolise edastamise õiguslikku alust, kuna selle alusega seotud nõuded muutuvad selgemaks pärast seda, kui eelmised alateemad on lahendatud (3). |
1. Eesmärk
63. |
Üldiselt on eesmärk, milleks maksuhaldur põhikohtuasjas isikuandmete edastamist nõuab, kahtlemata õiguspärane. Nõuetekohase maksukogumise tagamine ja maksu tasumise kohustuse võimalike rikkumiste avastamine võib kindlasti kuuluda isikuandmete kaitse üldmääruse artikli 6 lõigete 1 ja 3 kohaste andmetöötluse õiguspäraste eesmärkide hulka. ( 37 ) |
64. |
Käesolevas kohtuasjas tõstatatud küsimuste võti on abstraktsiooni tase, millel selline eesmärk tuleb väljendada. Selles osas näib olevat teatud määral segamini aetud kahte liiki konkreetsed eesmärgid: i) teatavat liiki teabe otsimine (õigusrikkumiste avastamiseks), millele vastandub ii) teatavate rikkumiste toimepanemise fakti kontrollimine (ja juba konkreetsete andmete nõudmine, et sellekohast eeldust kinnitada). |
65. |
Kummalgi eesmärgil andmete edastamise laad (ja sellest tulenevalt ka ulatus) on paratamatult erinev. Otsimise ja avastamise loogika toimib ex ante, laialt ja on täpsete andmesubjektide osas suuresti ebamäärane. Kui eesmärk on avastada võimalikke rikkumisi, peab „traal“ olema üsna lai. Seevastu asjakohaste andmete avaldamise kaudu võimalike rikkumiste kontrollimise loogika võib olla palju nüansirikkam ja sihitum. See loogika toimib palju rohkem ex post, keskendudes teatavate kahtluste kontrollimisele, mis on tavaliselt seotud juba tuvastatava andmesubjektiga. |
66. |
Minu arvates lubab isikuandmete kaitse üldmääruse artikkel 6 mõlemat võimalust. Seejuures on määruse artikli 6 lõike 3 kohaselt aga kummagi sellise andmeedastuse jaoks vaja selget õiguslikku alust. |
67. |
Saan siiski aru eelotsusetaotluse esitanud kohtu kõhklustest käesoleva kohtuasja kontekstis, võttes arvesse üldise maksuseaduse artikli 15 lõike 6 sõnastust. Eelotsusetaotluse esitamise ajal ilmselt kehtinud redaktsioonis oli sätestatud, et internetireklaami teenuste osutajaid võib kohustada esitama riigi maksuameti nõudmisel teavet (asjaomaste) maksukohustuslaste kohta. |
68. |
Seetõttu näib, et käesoleval juhul sarnaneb asjaomases õiguslikus aluses ette nähtud isikuandmete avaldamise eesmärk eespool kirjeldatud teisele stsenaariumile: teatava teabe kontrollimine seoses konkreetsete maksukohustuslastega. Kuid liikmesriigi maksuhaldur näib olevat kasutanud seda õiguslikku alust andmete (piiramatu) edastamise või isegi lausa andmete massiliseks nõudmiseks, et läbi viia eespool kirjeldatud esimesse stsenaariumi kuuluv üldine otsimine ja avastamine. Just siin ilmneb loogiline ebaselgus, mis näib olevat käesoleva juhtumi algseks põhjuseks riigisisesel tasandil, tekitades segadust nii seoses sellise meetme proportsionaalsuse (2) kui ka seoses selle õige õigusliku alusega (3). |
2. Ulatus ja kestus
69. |
Proportsionaalsus ja sellega seoses „minimeerimine (võimalikult väheste andmete kogumine)“ nõuab (määratletud) eesmärkide ja (valitud) vahendite vahelise seose uurimist. Käesolevas asjas on probleem see, et olenevalt sellest, milline eesmärk neist kahest äsja käsitletud mudelstsenaariumist ( 38 ) valitakse, on proportsionaalsuse hindamine tõenäoliselt erinev. |
70. |
„Otsimise ja avastamise“ eesmärgi raames heidavad avaliku sektori asutused oma võrgu asjakohase teabe leidmiseks nii kaugele kui võimalik. See võib hõlmata suure hulga andmete töötlemist. Seda liiki üldisele ja lahtisele teabeotsingule ongi omane vajadus hankida ja töödelda suuremaid andmekogumeid. Sellisel juhul saab andmete töötlemise proportsionaalsus ja minimeerimine olla tegelikult seotud üksnes nende nõutavate andmete liigiga, mille hulgast on vajalikku teavet võimalik leida. ( 39 ) |
71. |
„Kontrollimise“ eesmärgi raames, kui avaliku sektori asutusel on vaja koguda tõendeid konkreetse tehingu või tehingute kogumi sisu kohta, võib proportsionaalsuse hindamine olla loomulikult rangem. Sellisel juhul võib maksuhaldur taotleda teavet vaid konkreetsel ajavahemikul tehtud konkreetsete tehingute kohta, et teostada ex post kontrolli, tavaliselt muidugi ka seoses konkreetse(te) maksukohustuslas(t)ega. Seetõttu on tõenäoline, et teabenõuded koostatakse nimelt seda liiki teavet sisaldavate konkreetsete andmete suhtes. |
72. |
Näib, et isikuandmete kaitse üldmääruse põhjenduse 31 loogika, niivõrd kui ma olen võimeline seda välja lugema, puudutab ainult viimast stsenaariumi. Selle põhjenduse teises lauses, millele huvitatud isikud, eelkõige komisjon on tuginenud ja mida nad on rohkelt arutanud, on märgitud, et avaliku sektori asutuste teabenõuded peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. |
73. |
Minu arvates ei ole siiski võimalik määruse põhjendust (või selle osa) oma kontekstist välja võtta ja lugeda seda kui iseseisvat ja siduvat sätet, eriti kui seda ei ole kusagil õigusakti regulatiivosas kajastatud, ( 40 ) ning selle alusel väita, et igasugune isikuandmete edastamine ametiasutustele võib toimuda ainuüksi neil tingimustel. Ma lihtsalt ei saa nõustuda väitega, et põhjenduse 31 üks osa eraldi võetuna keelab igasuguse suuremahulise andmeedastuse avaliku sektori asutustele, isegi sellise, milleks on olemas asjakohane õiguslik alus (riigisiseses ja/või liidu õiguses) ja mille puhul järgitakse isikuandmete kaitse üldmääruse kõiki siduvaid sätteid. |
74. |
Käesolevas asjas väitis Läti valitsus, et nõutud teabe hulka võib pidada mõistlikuks, kuna see hõlmab ainult reklaame, mis on avaldatud rubriigis „Sõiduautod“, mis on üks jaotis kaebaja hallatava veebisaidi 112 jaotisest. Belgia ja Hispaania valitsus lisasid, et nende arvates ei ole küsimus mitte andmete hulgas, vaid taotletud andmete liigis. |
75. |
Ma nõustun nende seisukohtadega. |
76. |
Ex ante otsimise ja avastamise proportsionaalsus tähendab „kvaliteedikontrolli“ nõutavate andmete liigi suhtes. „Mahukontrolli“ saab täielikult kasutusele võtta alles teatavate faktide ex post kontrolli suhtes. Kui see oleks teisiti, oleks enamik andmete seire või järelevalve vahendeid praktikas välistatud. |
77. |
Tingimusel, et liidu või liikmesriigi õiguses on olemas asjakohane õiguslik alus, võib liikmesriigi maksuhaldur põhimõtteliselt nõuda kõiki vajalikke andmeid selle kontrolli liigi jaoks, mis tal on vaja läbi viia, ja seda ilma ajalise piiranguta. Ainus isikuandmete kaitse üldmäärusest tulenev piirang on taotletavate andmete liigi proportsionaalsus. Nagu Kreeka valitsus õigesti märgib, peaks nõutavate andmete liik piirduma maksumaksjate majandustegevust puudutavate andmete, mitte nende eraeluga. |
78. |
Näiteks juhul, kui deklareeritud eesmärk on tuvastada deklareerimata tulu kasutatud autode müügist, ei ole maksuhalduril õigust nõuda ühtlasi teavet selle kohta, kas autot müüv isik on punapea, kas ta järgib teatavat dieeti või on tal ujumisbassein. Seega peab nõutava teabe liik olema selgelt seotud teabekogumise ja uurimise avaldatud eesmärgiga. |
79. |
Kuid ikkagi peab kummagi eespool kirjeldatud stsenaariumi puhul hindama proportsionaalsust liikmesriigi kohus, võttes arvesse konkreetse kohtuasja faktilist ja õiguslikku konteksti. ( 41 ) Käesolevas asjas tuleb lihtsamalt öeldes küsida, kas nõutavate andmete liik on sobiv selleks, et kostja saaks oma taotletud eesmärgi saavutamiseks vajaliku teabe? |
3. Õiguslik alus (tulevaseks töötlemiseks)
80. |
Alles nüüd, eeltehtud täpsustusi silmas pidades saab lõpuks asuda kohaselt hindama põhilist, õigusliku aluse küsimust. Et kaebaja võiks üldse andmeid töödelda, nõuavad mõlemad käesoleva ettepaneku eelmistes jaotistes kirjeldatud stsenaariumid („otsimine ja avastamine“ ning „kontroll“) loomulikult isikuandmete kaitse üldmääruse artikli 6 lõike 3 kohast õiguslikku alust. See säte võimaldab sõnaselgelt isikuandmete kaitse üldmääruse üldnormide kohaldamise konkreetset kohandamist kas liidu õiguse või liikmesriikide õigusega. |
81. |
Igal juhul peab ette nähtud õiguslik alus aga loogiliselt hõlmama sel eesmärgil toimuva töötlemise konkreetset eesmärki ja liiki. Kuidas see täpselt toimub, pannakse paika konkreetsete kohandamissätetega, mille liikmesriik või liit võtab vastu isikuandmete kaitse üldmääruse artikli 6 lõike 3 alusel. Üldiselt on nii, et mida üldisema sisuga, ulatuslikum ja püsivam on andmete edastamine, seda kindlam, üksikasjalikum ja selgem peab see seaduses sätestatud alus olema, kuna selline andmete edastamine kujutab endast suuremat sekkumist tagatud andmekaitsesse. Seevastu, mida väikesemahulisemad ja piiratumad on teabenõuded – tavaliselt ainult ühe või mõne andmesubjekti kohta või isegi piiratud hulga andmete kohta –, seda tõenäolisemalt saab neid teabenõudeid täita individuaalsete haldusnõuete tasandil ning selleks luba andev õigusnorm võib jääda üsna laiaks ja üldiseks. |
82. |
Teisisõnu toimivad need kaks regulatiivset tasandit – seadusandlik ja halduslik tasand – koos, moodustades ühiselt andmetöötluse õigusliku aluse. Vähemalt üks neist peab olema piisavalt täpne ja konkreetselt suunatud teatavale soovitud isikuandmete liigile või hulgale. Mida rohkem on selliseid andmeedastusi reguleeritud seadusandlikul, struktuursel tasandil, seda vähem tuleb neid täpsustada individuaalses haldusnõudes. Seadusandlik tasand võib olla isegi nii üksikasjalik ja ammendav, et on täiesti iseseisev ja vahetult kohaldatav. Seevastu, mida üldisem ja ebamäärasem on seadusandlik tasand, seda üksikasjalikum peab olema individuaalse haldusnõude tasand, kus tuleb muu hulgas märkida andmekogumise ulatust piirav eesmärk. |
83. |
See mõte annab kaudselt vastuse eelotsusetaotluse esitanud kohtu poolt seoses proportsionaalsusega tõstatatud küsimusele, mida olekski tegelikult siin kõige parem käsitleda, määrates kindlaks, kas maksuhaldur võib esitada ajaliselt piiramata nõudeid andmete saamiseks. Minu arvates on tal selleks isikuandmete kaitse üldmääruse kohaselt õigus. Kuid asjakohasem küsimus peaks olema, kas tal on riigisiseses õiguses sobiv õiguslik alus oma nõudele, mis sisuliselt tähendab andmete pidevat ja püsivat edastamist. Niikaua kui selliseks andmete edastamiseks on riigisiseses õiguses ette nähtud selge alus, hõlmates ka kestust, ei ole see isikuandmete kaitse üldmääruse artikli 6 lõikega 3 vastuolus. Ka selles osas muudab isikuandmete kaitse üldmääruse põhjendus 31 vähe. ( 42 ) Minu arvates ei ole erilist praktilist mõtet lugeda seda põhjendust, justkui see nõuaks, et haldusasutused peavad esitama üha uuesti ja uuesti (iga päev, kuu või aasta) identseid eraldiseisvaid teabenõudeid, et saada midagi, mida nad oleksid võinud saada juba riigisiseste õigusaktide alusel. |
84. |
Käesoleval juhul näib andmete töötlemise õiguslik alus olevat nii üldise maksuseaduse artikli 15 lõige 6 kui ka maksuhalduri konkreetsed teabenõuded andmete avaldamiseks. Seega näib olevat olemas kaheosaline õiguslik alus, mis sisaldab üldist seaduses sätestatud luba andvat normi ning selle normi konkreetset ja sihipärast halduslikku kohaldamist. |
85. |
Üldiselt näib selline kahetasandiline õiguslik alus olevat piisav, et põhjendada isikuandmete töötlemist kaebaja poolt eesmärgiga edastada need kooskõlas isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktiga c ja artikli 6 lõikega 3 avaliku sektori asutusele. Kuigi riigisisesed õigusaktid, mis annavad maksuhalduritele õiguse teavet nõuda, on üsna üldised, näivad konkreetsed teabenõuded olevat suuresti suunatud teatavat liiki andmetele, vaatamata nende potentsiaalselt suurele hulgale. |
86. |
Lõpuks peab eelotsusetaotluse esitanud kohus siiski, võttes täielikult arvesse riigisisest õigust, sealhulgas muid riigisiseseid rakendusnorme, mida käesolevas menetluses ei ole ehk mainitud, kontrollima, kas andmete nõutud töötlemine põhikohtuasja kaebaja poolt vastab või ei vasta käesoleva ettepaneku praeguses jaos esitatud nõuetele. |
87. |
Selle hinnangu keskmes olev küsimus, mis nõuab erilist tähelepanu, seisneb selles, kas üldise maksuseaduse artikli 15 lõige 6 ja konkreetsed teabenõuded vastavad õigusliku aluse analüüsimisel ettenähtavuse nõudele. ( 43 ) Andmete edastamist lubavas õigusaktis peavad olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded, millest tulenevalt on isikutel, kelle isikuandmetega on tegu, piisavad tagatised, mis võimaldavad neid andmeid kuritarvitamise ohu eest tõhusalt kaitsta. ( 44 ) |
88. |
Seega peab õiguslik alus tervikuna (seadusandlik ja halduslik koos) olema sõnastatud piisava täpsusega kõigi asjaomaste isikute jaoks: ametiasutuste jaoks seoses sellega, mida nad võivad küsida, ettevõtjate jaoks seoses sellega, mida nad võivad anda, ja ennekõike andmesubjektide jaoks, et nad teaksid, kellel võib olla juurdepääs nende andmetele ja millisel eesmärgil. Võib meenutada, et teave andmetöötluse kohta on isikuandmete kaitse üldmääruse kohaselt tõepoolest peamine nõue. Andmesubjektid peavad olema teadlikud, et nende andmeid töödeldakse, ning see teave on eeltingimus, et oleks võimalik kasutada edasisi õigusi andmetega tutvuda ning nõuda nende kustutamist või parandamist. ( 45 ) |
89. |
Välja arvatud juhul, kui isikuandmete kaitse üldmääruse artikkel 23 on mingil viisil riigisisesesse õigusesse üle võetud selleks, et piirata isikuandmete kaitse üldmääruse III peatükist tulenevaid andmesubjektide õigusi, tuleneb selle üldmääruse artiklitest 13 ja 14, et vastutav töötleja peab andmesubjekti teavitama. Järjestikuste andmeedastuste kontekstis võib olla raske kindlaks teha, kellel lasub teavitamiskohustus. ( 46 ) Lisaks, kui puuduvad isikuandmete kaitse üldmääruse artikli 23 lõike 1 alusel kehtestatud piirangud, mis peavad riigisiseses õiguses vastama määruse artikli 23 lõike 2 nõudele, võib andmed saanud avaliku sektori asutusel olla praktikas kohustus esitada artikli 14 kohane asjakohane teave kõigile asjaomastele andmesubjektidele. Kui puudub selge ja ettenähtav õiguslik alus, mis sellist andmete edastamist lõpuks võimaldab, saab asjaomased andmed kogunud vastutavalt töötlejalt vaevalt oodata, et ta sellest andmesubjekti vastavalt isikuandmete kaitse üldmääruse artiklile 13 juba teavitaks. |
90. |
Kokkuvõttes olen seetõttu seisukohal, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktiga c ja lõikega 3 ei ole vastuolus, kui liikmesriigi õigusnormidega kehtestatakse ilma ajalise piiranguta internetireklaami teenuse osutajatele kohustus edastada maksuhaldurile teatavaid isikuandmeid, tingimusel et liikmesriigi õiguses on olemas selge õiguslik alus sellist liiki andmete edastamiseks ning nõutavad andmed on maksuhaldurile tema ametlike ülesannete täitmiseks sobivad ja vajalikud. |
C. Kooda: küsimus, mida käesolevas asjas ei tõstatatud
91. |
Üldjuhul ei ole minu ülesanne spekuleerida liikmesriigi kohtu menetluse poolte tegelike motiivide üle. Jään seega oma lootuse juurde, et on olemas head samariitlased, kes isetult teiste kaitseks välja astuvad. Miks ei võiks eraettevõtja lihtsalt kaitsta nende andmesubjektide õigusi, kellelt ta tema valduses olevad isikuandmed kogus? |
92. |
Kuigi võib vaid rõõmustada, kui eraettevõtjad pühendavad end andmekaitsele, eeldan ma, et mõnel teisel ettevõtjal võib olla ka muid põhjusi, miks ta võib soovida olla vastu tema kogutud isikuandmete edastamisele avaliku võimu nõudmisel. Üks põhjus võib olla seotud sellise ettevõtmise kuludega. Kas ametiasutustel peaks olema lubatud sisuliselt anda osa avaliku halduse ülesannetest täitmiseks teistele isikutele, kohustades eraettevõtjaid kandma sisuliselt avaliku halduse teostamise kulusid? See küsimus muutub oluliseks püsiva ja suuremahulise andmeedastuse puhul, mida eraettevõtjad peaksid ühistes huvides tegema ilma igasuguse hüvitiseta. ( 47 ) Muud põhjused võivad olla äriga rohkem seotud. Kui oletada üheks lühikeseks hetkeks – loomulikult pelgalt oletuse tasandil, et inimestele üldiselt ei meeldi makse maksta, siis ei ole kuigi otsitud ka eeldus, et mõned neist inimestest võivad valida oma kasutatud autode müügiks teistsugused võimalused kui veebisait, kust see teave hiljem maksuametnikule edastatakse. |
93. |
Sellises olukorras kõigi huvide vahel tasakaalu leidmine ei ole kaugeltki lihtne. Ühelt poolt, kui ametiasutus nõuab eraettevõtjatelt andmeid, mis tuleb ette valmistada ja esitada vastavalt ametiasutuse täpsetele nõuetele, siis sarnaneb see ohtlikult sellega, et isikutele antakse sunniviisiliselt edasi avaliku halduse ülesande täitmine. See võib olla nii eelkõige nende andmete puhul, mis muidu on vabalt kättesaadavad ja mida avalik-õiguslikud asutused oleksid saanud ise koguda vähese tehnilise jõupingutusega. Teisest küljest, nagu Belgia valitsus on asjakohaselt rõhutanud, tuues välja olukorra laiema tähtsuse põhikohtuasjas, oleks võib olla vaja veidi nüansirikkamatki vastust seoses erinevate jagamismajanduse platvormidega või muude juhtudega, kus ametiasutused taotlevad juurdepääsu andmetele, mis on vajalikud avalikul õiguspärasel eesmärgil, kuid mis ei ole vabalt kättesaadavad, mistõttu ametiasutused ei saa neid andmeid ise koguda. Ent isegi sellises olukorras jääb võimaliku hüvitamise küsimus lahtiseks. |
94. |
Ma muidugi näen põhikohtuasja taustal selliseid küsimusi. Kuid mõistliku tasakaalu leidmine sellistel juhtudel peaks toimuma eelkõige riiklikul või liidu tasandil, võttes vastu asjakohased õigusaktid, mis annavad õigusliku aluse sellist liiki andmeedastusteks. See ei peaks olema kohtuliku sekkumise küsimus, seda enam olukorras, kus eelotsusetaotluse esitanud kohus ei ole sõnaselgelt ühtegi sellist küsimust isegi tõstatanud. Lisaks on veel vähemalt kaks täiendavat põhjust, miks käesolev kohtuasi ei sobi seda liiki arutelude alustuseks. |
95. |
Esiteks, nagu paljud muud küsimused, millel on teatav seos isikuandmete liikumisega, kuid mis ei puuduta tegelikult andmesubjektide õiguste kaitset, ei ole sellised küsimused lihtsalt isikuandmete kaitse üldmäärusega konkreetselt reguleeritud. Selle määrusega ei reguleerita eraettevõtjatest vastutavate töötlejate õiguskaitset võimaliku ebaseadusliku või ebaproportsionaalse sekkumise eest nende ettevõtlusvabadusse, võimalikku omandiõigusesse ( 48 ) või isegi nende potentsiaalset õigust õiglasele hüvitisele edastatud andmete eest. |
96. |
Teiseks, kui sellise andmeedastuse õiguslik alus ei ole ette nähtud liidu õiguses, ( 49 ) ei saa ka sellise kohustusliku andmeedastuse võimaliku hüvitamise küsimus samuti ilmselt olla liidu õiguse küsimus. See ei tähenda aga jällegi, et selliseid küsimusi ei tohiks tekkida, seda isegi (asjaomaste vastutavate töötlejate) põhiõiguste kaitse seisukohast. Kuid nende küsimuste õige lahendaja on siiski liikmesriigi kohus, kellel eelkõige on pädevus seoses andmete selliste edastamiste õiguspärasusega. Iga seda liiki asi tuleks seega pigem esitada riigisisesele (põhiseadus)kohtule. |
V. Ettepanek
97. |
Teen Euroopa Kohtule ettepaneku vastata Administratīvā apgabaltiesa (regionaalne halduskohus, Läti) eelotsuse küsimustele järgmiselt:
|
( 1 ) Algkeel: inglise.
( 2 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1).
( 3 ) Alustades juba 20. mai 2003. aasta kohtuotsusest Österreichischer Rundfunk jt (C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, punkt 41) ning 6. novembri 2003. aasta kohtuotsusest Lindqvist (C‑101/01, EU:C:2003:596, punktid 37–48) seoses direktiivis 95/46 sõnastatud eranditega. Isikuandmete kaitse üldmääruse kohta vt hiljuti 22. juuni 2021. aasta kohtuotsus B (karistuspunktid) (C‑439/19, EU:C:2021:504, punktid 61–72).
( 4 ) Vt nt 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punktid 29–39). Vt siiski 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629, punkt 74).
( 5 ) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).
( 6 ) 20. detsembri 2017. aasta kohtuotsus Nowak (C‑434/16, EU:C:2017:994, punktid 18–23).
( 7 ) 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punktid 12–17).
( 8 ) 10. detsembri 2020. aasta kohtuotsus J & S Service (C‑620/19, EU:C:2020:1011, punktid 15–29).
( 9 ) Vastupidi esimese astme kohtu, Administratīvā rajona tiesa (rajooni halduskohus, Läti) seisukohale, milles leiti, et selles andmetöötluse etapis on vastutav töötleja kaebaja (vt käesoleva ettepaneku punkt 21).
( 10 ) Vt nt 29. juuni 2010. aasta kohtuotsus komisjon vs. Bavarian Lager (C‑28/08 P, EU:C:2010:378, punkt 69) ning 19. aprilli 2012. aasta kohtuotsus Bonnier Audio jt (C‑461/10, EU:C:2012:219, punkt 52).
( 11 ) Vt Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514), kontekstis nt 29. jaanuari 2008. aasta kohtuotsus Promusicae (C‑275/06, EU:C:2008:54, punkt 45) ja 6. oktoobri 2020. aasta kohtuotsus Privacy International (C‑623/17, EU:C:2020:790, punkt 41). Vt seoses andmete edastamisega kolmandasse riiki ka 6. oktoobri 2015. aasta kohtuotsus Schrems (C‑362/14, EU:C:2015:650, punkt 45).
( 12 ) Vt nt 9. juuli 2020. aasta kohtuotsus Land Hessen (C‑272/19, EU:C:2020:535, punkt 68).
( 13 ) 20. mai 2003. aasta kohtuotsus Österreichischer Rundfunk jt (C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, punktid 39–47).
( 14 ) 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid) (C‑439/19, EU:C:2021:504, punktid 61–72).
( 15 ) Vt selle kohta Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), artikli 3 lõige 7.
( 16 ) See hüpoteetiline tulevikuvõimalus ei ole kaugeltki otsustav määramaks ex ante kindlaks liidu õigusakti kohaldatavuse normatiivse ulatuse. Vt ka minu ettepanek liidetud kohtuasjades Ministerul Public – Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie – Direcţia Naţională Anticorupţie jt (C‑357/19 ja C‑547/19, EU:C:2021:170, punktid 109–115) seoses sarnase argumendiga ELTL artikli 325 lõike 1 kohaldamisala kohta.
( 17 ) Vt selle kohta nt 11. detsembri 2014. aasta kohtuotsus Ryneš (C‑212/13, EU:C:2014:2428, punkt 30) ja 10. juuli 2018. aasta kohtuotsus Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 51). Viimati nimetatud kohtuasjas leidis Euroopa Kohus, et isikuandmete kogumine usukogukonna liikmete poolt ukselt uksele kuulutamise käigus ja sellele järgnev töötlemine võib kuuluda isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse.
( 18 ) Vt nt 20. detsembri 2017. aasta kohtuotsus Nowak (C‑434/16, EU:C:2017:994, punkt 62), milles Euroopa Kohus leidis, et kutseeksamil kandidaadi esitatud kirjalikud vastused ja eksamineerija võimalikud märkused nende vastuste kohta kujutavad endast isikuandmeid.
( 19 ) Vt nt 13. mai 2014. aasta kohtuotsus Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 34) ning 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punktid 28–44), milles Euroopa Kohus leidis, et mõiste „vastutav töötleja“ hõlmab sotsiaalvõrgustikus majutatava fännilehe haldajat.
( 20 ) Vt 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629, punktid 72 ja 74).
( 21 ) 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629).
( 22 ) Ibid., punkt 67.
( 23 ) Ibid., punkt 74.
( 24 ) Hiljutise näite avaliku sektori asutuste poolsest töötlemisest leiab 9. juuli 2020. aasta kohtuotsusest Land Hessen (C‑272/19, EU:C:2020:535, punktid 64 ja 65).
( 25 ) Vt nt 16. jaanuari 2019. aasta kohtuotsus Deutsche Post (C‑496/17, EU:C:2019:26, punkt 57). Vt selle kohta ka 1. oktoobri 2015. aasta kohtuotsus Bara jt (C‑201/14, EU:C:2015:638, punkt 30) ning 27. septembri 2017. aasta kohtuotsus Puškár (C‑73/16, EU:C:2017:725, punkt 104).
( 26 ) Nagu on eelkõige ette nähtud isikuandmete kaitse üldmääruse artikli 13 lõikes 2, kuigi muus kontekstis, nimelt esitatava teabe kontekstis.
( 27 ) Täielikkuse huvides võiks lisada, et muud isikuandmete kaitse üldmääruses ette nähtud stsenaariumid, nagu maksuhalduri ja eraettevõtja kaasvastutus selle töötlemisetapi eest (artikkel 26) või mõnevõrra konstrueeritud de facto vastutava töötleja ja volitatud töötleja suhe (artikkel 28), näivad olevat välistatud asja faktiliste asjaolude kohaselt, nagu eelotsusetaotluse esitanud kohus on need esitanud.
( 28 ) Koos eelmises joonealuses märkuses nimetatud kahe märkimisväärse erandiga isikuandmete kaitse üldmääruse artiklites 26 ja 28 või näiteks isikuandmete kaitse üldmääruse artiklis 19. Siiski võib ka nende sätete puhul pidada asjaomaste kategooriate regulatsiooni lisamise eesmärgiks andmekaitset, kuna need tagavad sisuliselt, et vastutav töötleja ei saa loobuda kohustustest ega vabaneda vastutusest andmete jagamise või nende töötlemise sisseostmise teel.
( 29 ) Vt nt 24. novembri 2011. aasta kohtuotsus Scarlet Extended (C‑70/10, EU:C:2011:771).
( 30 ) 20. mai 2003. aasta kohtuotsus Österreichischer Rundfunk jt (C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294).
( 31 ) Vt nt 21. detsembri 2016. aasta kohtuotsus Tele2 Sverige ja Watson jt (C‑203/15 ja C‑698/15, EU:C:2016:970) ning 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791).
( 32 ) 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336).
( 33 ) 29. jaanuari 2008. aasta kohtuotsus Promusicae (C‑275/06, EU:C:2008:54).
( 34 ) 19. aprilli 2012. aasta kohtuotsus Bonnier Audio jt (C‑461/10, EU:C:2012:219).
( 35 ) 10. detsembri 2020. aasta kohtuotsus J & S Service (C‑620/19, EU:C:2020:1011).
( 36 ) Vt näiteks liidu õiguses Euroopa Parlamendi ja nõukogu 15. märtsi 2006. aasta direktiivi 2006/24/EÜ, mis käsitleb üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamist ja millega muudetakse direktiivi 2002/58/EÜ (ELT 2006, L 105, lk 54), artikkel 4 või Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/681, mis käsitleb broneeringuinfo kasutamist terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks (ELT 2016, L 119, lk 132), artikkel 8.
( 37 ) Vt selle kohta näiteks 27. septembri 2017. aasta kohtuotsus Puškár (C‑73/16, EU:C:2017:725, punkt 108) seoses ametiasutuse poolt nimekirja koostamisega maksukogumise ja maksupettuste vastase võitluse eesmärgil.
( 38 ) Mudelstsenaariumist selles mõttes, et need kaks eelkirjeldatud stsenaariumi kujutavad endast pigem kaht äärmust kujuteldaval joonel kui hermeetiliselt suletud kaste.
( 39 ) Rõhutades veel kord käesoleva kohtuasja tegelikku olemust, milles on palju rohkem tegemist olukorraga, kus Euroopa Kohtul paluti uurida erinevaid andmete säilitamise või kolmandatesse riikidesse edastamise stsenaariume, kui „tõelise“ isikuandmete kaitse üldmääruse juhtumiga (vt eespool käesoleva ettepaneku punktid 56 ja 57 ning 11., 31. ja 44. joonealuses märkuses viidatud kohtupraktika).
( 40 ) Vt nt 12. juuli 2005. aasta kohtuotsus Alliance for Natural Health jt (C‑154/04 ja C‑155/04, EU:C:2005:449, punktid 91 ja 92), 21. detsembri 2011. aasta kohtuotsus Ziolkowski ja Szeja (C‑424/10 ja C‑425/10, EU:C:2011:866, punktid 42 ja 43) või 25. juuli 2018. aasta kohtuotsus Confédération paysanne jt (C‑528/16, EU:C:2018:583, punktid 44–46 ja 51).
( 41 ) Vt selle kohta ka 27. septembri 2017. aasta kohtuotsus Puškár (C‑73/16, EU:C:2017:725, punkt 113).
( 42 ) Vt käesoleva ettepaneku punktid 72–73.
( 43 ) Vt selle kohta nt 20. mai 2003. aasta kohtuotsus Österreichischer Rundfunk jt (C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, punktid 77 ja 79).
( 44 ) Vt nt hiljutine 6. oktoobri 2020. aasta kohtuotsus Privacy International (C‑623/17, EU:C:2020:790, punkt 68).
( 45 ) Vt selle kohta 1. oktoobri 2015. aasta kohtuotsus Bara jt (C‑201/14, EU:C:2015:638, punkt 33).
( 46 ) Vt selle kohta 1. oktoobri 2015. aasta kohtuotsus Bara jt (C‑201/14, EU:C:2015:638, punktid 34–38) ning 16. jaanuari 2019. aasta kohtuotsus Deutsche Post (C‑496/17, EU:C:2019:26, punkt 69).
( 47 ) Sarnase küsimuse kohta seoses andmete säilitamise kuludega vt 26. novembri 2020. aasta kohtumäärus Colt Technology Services jt (C‑318/20, ei avaldata, EU:C:2020:969).
( 48 ) Üha enam andmepõhises kaasaegses majanduses on ainult aja küsimus, millal andmed tunnistatakse valduse või isegi omandi teatavat liiki esemeks nii nagu mitmed muud majandusliku väärtusega immateriaalsed varad, sealhulgas erinevad intellektuaalomandi liigid. Vt selle kohta Euroopa Inimõiguste Kohtu praktikas juba avatud seisukohta, et eri liiki „esemed“ tuleks lisada esimese lisaprotokolli artikli 1 kohaldamisalasse, nagu nähtub näiteks Euroopa Inimõiguste Kohtu 11. jaanuari 2007. aasta otsusest Anheuser-Busch Inc vs. Portugal (CE:ECHR:2007:0111JUD007304901, punktid 63–65).
( 49 ) Nagu oleks seevastu olukord juhtudel, kui andmete edastamine, säilitamine või töötlemine on ette nähtud liidu õigusaktiga, nagu see on eespool 36. joonealuses märkuses toodud näidete puhul. Lisaks näib, et komisjoni esitatud algse ettepaneku võtta vastu Euroopa Parlamendi ja nõukogu direktiiv andmete säilitamise kohta, mida on töödeldud üldkasutatavate elektrooniliste sideteenuste osutamisel, ja millega muudetakse direktiivi 2002/58/EÜ {SEC(2005) 1131}, KOM/2005/0438 (lõplik) – COD 2005/0182 artiklis 10 ja põhjenduses 13 oli seda ka kaudselt tunnustatud. Neid sätteid aga direktiivi vastuvõetud versioonis ei säilitatud.