1.

Määruse (EL) 2016/679, ( 2 ) mis sisaldab isikuandmete kaitse üldnorme, ja direktiivi (EL) 2016/680 ( 3 ) (sama valdkonna lex specialis kriminaalmenetluses) üks aluspõhimõte on piirata nende andmete kogumist ja töötlemist nii, et seda saab teha vaid seaduses ette nähtud erieesmärkidel.

2.

Selles kohtuasjas palutakse Euroopa Kohtul vastata Bulgaaria kohtu küsimustele isikuandmete kaitse üldmääruse ja direktiivi 2016/680 tõlgendamise kohta, et teha kindlaks, kas tegemist on liikmesriigi prokuratuuri valduses olevate isikuandmete ebaseadusliku töötlemisega, kui:

3.

Artiklis 2 („Sisuline kohaldamisala“) on ette nähtud:

„1.   Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2.   Käesolevat määrust ei kohaldata, kui

[…]

[…]“.

4.

Artiklis 4 („Mõisted“) on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

[…]

[…]“.

5.

Artiklis 5 („Isikuandmete töötlemise põhimõtted“) on sätestatud:

„1.   Isikuandmete töötlemisel tagatakse, et

[…]“.

6.

Artiklis 6 („Isikuandmete töötlemise seaduslikkus“) on sätestatud:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

[…]

[…]

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

[…]

3.   Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist […]. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.

4.   Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

7.

Artiklis 1 („Reguleerimisese ja eesmärgid“) on ette nähtud:

„1.   Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.

2.   Kooskõlas käesoleva direktiiviga liikmesriigid:

[…]“.

8.

Artiklis 2 („Kohaldamisala“) on sätestatud:

„1.   Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele pädevate asutuste poolt artikli 1 lõikes 1 sätestatud eesmärkidel.

[…]

3.   Käesolevat direktiivi ei kohaldata, kui

[…]“.

9.

Artikli 3 lõigetesse 1, 2 ja 8 on üle võetud isikuandmete kaitse üldmääruse artikli 4 punktide 1, 2 ja 7 mõisted.

10.

Artiklis 4 („Isikuandmete töötlemise põhimõtted“) on ette nähtud:

„[…]

2.   Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd:

[…]“.

11.

Artikkel 6 („Andmesubjektide eri kategooriate eristamine“) näeb ette:

„Liikmesriigid näevad ette, et asjakohasel juhul võimaluste piires eristab vastutav töötleja isikuandmeid selgelt andmesubjektide eri kategooriate kaupa, nimelt:

12.

Artiklis 8 („Isikuandmete töötlemise seaduslikkus“) on öeldud:

„1.   Liikmesriigid näevad ette, et isikuandmete töötlemine on seaduslik ainult sel juhul ja niivõrd, kui see on vajalik pädeva asutuse poolt artikli 1 lõikes 1 sätestatud eesmärkide kohase ülesande täitmiseks ning see põhineb liidu või liikmesriigi õigusel.

2.   Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses täpsustatakse vähemalt isikuandmete töötlemise üldised eesmärgid, töödeldavad isikuandmed ja nende töötlemise konkreetsed eesmärgid.“

13.

Artiklis 9 („Isikuandmete töötlemise eritingimused“) on ette nähtud:

„1.   Artikli 1 lõikes 1 sätestatud eesmärkidel pädevate asutuste poolt kogutavaid isikuandmeid ei tohi töödelda muudel kui artikli 1 lõikes 1 sätestatud eesmärkidel, välja arvatud juhul, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Kui isikuandmeid töödeldakse sellistel muudel eesmärkidel, kohaldatakse [isikuandmete kaitse üldmäärust], välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.

2.   Kui liikmesriigi õigusega on pädevatele asutustele antud muud ülesanded kui need, mida täidetakse artikli 1 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellistel eesmärkidel isikuandmete töötlemisele (sealhulgas avalikes huvides arhiveerimise, teadusliku või ajaloolise uurimistöö või statistika tarvis) [isikuandmete kaitse üldmäärust], välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.

[…]“.

14.

Artikkel 127 sätestab prokuratuuri ainupädevuse kohtueelse uurimise juhtimisel, süüdistuse esitamisel ja kohtus riikliku süüdistuse esindamisel.

15.

Artiklis 1 on sätestatud:

„(1)   Käesolev seadus reguleerib avalikke suhteid seoses füüsiliste isikute õiguste kaitsega nende isikuandmete töötlemisel niivõrd, kuivõrd need ei ole [isikuandmete kaitse üldmäärusega] reguleeritud.

(2)   Käesolev seadus kehtestab ka eeskirjad füüsiliste isikute kaitse kohta isikuandmete töötlemisel pädevate asutuste poolt kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas kaitseks julgeolekut ja avalikku korda ähvardavate ohtude eest ning selliste ohtude ennetamiseks.

[…]“.

16.

Artiklis 17 on sätestatud:

„(1)   Inspektorata kam Visshia sadeben savet [(kohtuvõimu ülemnõukogu inspektsioon; edaspidi „IVSS“)] tagab [isikuandmete kaitse üldmääruse], käesoleva seaduse ja isikuandmete kaitset käsitlevate õigusaktide järelevalve ning järgimise isikuandmete töötlemisel:

1. kohtute poolt kohtuvõimu teostamisel, ja

2. prokuratuuri ja uurimisasutuste poolt õiguskaitse ülesannete täitmisel kuritegude ennetamiseks, avastamiseks, uurimiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks.

[…]“.

17.

Artiklis 42 on sätestatud:

„(1)   Käesoleva peatüki sätted on kohaldatavad isikuandmete töötlemisel pädevate asutuste poolt kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas kaitseks julgeolekut ja avalikku korda ähvardavate ohtude eest ning selliste ohtude ennetamiseks.

(2)   Lõikes 1 osutatud eesmärkidel kogutud isikuandmeid ei töödelda muudel eesmärkidel, kui liidu või Bulgaaria Vabariigi õigusaktides ei ole sätestatud teisiti.

(3)   Kui lõike 1 alusel pädevad asutused töötlevad isikuandmeid muudel kui lõikes 1 nimetatud eesmärkidel ja lõikes 2 osutatud juhtudel, kohaldatakse [isikuandmete kaitse üldmäärust] ja käesoleva seaduse asjakohaseid sätteid, millega kehtestatakse selle määruse rakendusmeetmed.

(4)   „Pädev asutus“ lõike 1 tähenduses on mis tahes riigiasutus, kes on pädev kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas kaitseks julgeolekut ja avalikku korda ähvardavate ohtude eest ning selliste ohtude ennetamiseks.

(5)   Kui õigusnormides ei ole sätestatud teisiti, on käesoleva peatüki tähenduses vastutav isikuandmete töötleja lõikes 1 osutatud eesmärkidel pädev asutus lõike 4 tähenduses või haldusasutus, millesse see asutus kuulub, ning kes määrab üksi või koos teiste asutustega kindlaks isikuandmete töötlemise eesmärgid ja vahendid.“

18.

Artikkel 45 näeb ette:

„[…]

(2)   Isikuandmete töötlemine vastutava töötleja poolt, kes on need algul kogunud, või muu vastutava töötleja poolt mõnel artikli 42 lõikes 1 osutatud eesmärkidest, mis on muu kui eesmärk, mille jaoks isikuandmeid koguti, on lubatud tingimusel, et:

1. vastutav töötleja on liidu või Bulgaaria Vabariigi õiguse kohaselt volitatud töötlema isikuandmeid sellel eesmärgil, ja

2. isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgi saavutamiseks vastavalt liidu või Bulgaaria Vabariigi õigusele.

[…]“.

19.

Artiklis 47 on korratud direktiivi 2016/680 artiklit 6.

20.

Artikkel 49 sätestab:

„Isikuandmete töötlemine on seaduslik, kui see on vajalik artikli 42 lõikes 1 osutatud eesmärkidel pädeva asutuse poolt tema volituste teostamiseks ning kui see on ette nähtud liidu õiguses või seadusega, milles sätestatakse isikuandmete töötlemise eesmärgid ja töödeldavate isikuandmete kategooriad.“

21.

Rayonna prokuratura – Petrichi (Petrichi rajooni prokuratuur, Bulgaaria) juhtimisel toimus uurimine (nr 252/2013 Petrichi politseis) ( 6 )18. aprillil 2013 aset leidnud tegude osas, mis kvalifitseeruvad kuriteoks ( 7 ).

22.

Selle uurimise käigus koguti kõigepealt VSi kui ohvri isikuandmeid.

23.

Prokuratuuri 4. ja 5. aprilli 2018. aasta otsustega süüdistati nendes tegudes nelja isikut (sealhulgas VSi).

24.

Rayonen sad Petrich (Petrichi rajoonikohus, Bulgaaria) lõpetas 10. novembril 2020 kriminaalmenetluse kuriteo aegumise tõttu.

25.

2016. ja 2017. aastal algatas Petrichi ringkonna prokuratuur VSi vastu esitatud kaebuste alusel mitu uurimist ( 8 ), milles tõendite puudumise tõttu süüteo kohta kohtule süüdistust ei esitatud.

26.

VS esitas 2018. aastal Okrazhen sad – Blagoevgradile (Blagoevgradi regionaalne kohus, Bulgaaria) Bulgaaria Vabariigi prokuratuuri vastu tsiviilhagi ( 9 ), nõudes kriminaalmenetluse nr 252/2013 ülemäärase kestusega tekitatud kahju hüvitamist.

27.

Enda kaitsmiseks selle tsiviilhagi vastu taotles prokuratuur kohtult, et viimane lisaks Petrichi rajooni prokuratuuri enda toimikud nr 517/2016 ja nr 1872/2016 kohtutoimikusse.

28.

Okrazhen sad – Blagoevgradi (Blagoevgradi regionaalne kohus) 15. oktoobri 2018. aasta kohtumäärusega anti Petrichi rajooni prokuratuurile korraldus esitada toimikutes nr 517/2016 ja nr 1872/2016 sisalduvate dokumentide koopiad.

29.

VS esitas 12. märtsil 2020 IVSSile kaebuse tema isikuandmete ebaseadusliku töötlemise kohta kahel korral prokuratuuri poolt, kes kasutas tema sõnul lubamatult:

30.

IVSS jättis 22. juunil 2020 VSi topeltnõude rahuldamata.

31.

VS vaidlustas selle IVSSi otsuse Administrativen sad Blagoevgradis (Blagoevgradi halduskohus, Bulgaaria), kes esitas Euroopa Kohtule järgmised eelotsuse küsimused:

32.

Eelotsusetaotlus registreeriti Euroopa Kohtus 23. märtsil 2021.

33.

Kohtusse ilmusid ja kirjalikud seisukohad esitasid VS, IVSS, Bulgaaria, Tšehhi ja Madalmaade valitsus ning Euroopa Komisjon.

34.

Euroopa Kohus ei pidanud vajalikuks korraldada avalikku kohtuistungit, mida ükski pool ei taotlenud.

35.

Isikuandmete kaitse üldmääruse ja direktiiviga 2016/680 on loodud ühtne süsteem, milles:

36.

Nendest kahest õigusaktist koosneva korraga tagatud kaitse põhineb seaduslikkuse, lojaalsuse ja läbipaistvuse põhimõtetel ning – mis on siin oluline – põhimõttel, et andmete kogumine ja töötlemine on võimalik ainult rangelt seaduses sätestatud eesmärkidel. ( 10 )

37.

Konkreetselt on isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis b ette nähtud, et andmeid „kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus“ ( 11 ). Selles sõnastuses on kehtestatud erinormina ka direktiivi 2016/680 artikli 4 lõike 1 punkt b.

38.

Seega ei tohi isikuandmeid koguda ega töödelda üldiselt, vaid üksnes kindlaksmääratud eesmärkidel ( 12 ) ja liidu seadusandja kehtestatud seaduslikkuse tingimustes.

39.

Range seose põhimõte ühelt poolt andmete kogumise ja töötlemise ning teiselt poolt nende mõlema toiminguga taotletavate eesmärkide vahel ei ole absoluutne, kuna nii isikuandmete kaitse üldmääruse kui ka direktiiviga 2016/680 on lubatud teatav paindlikkus, nagu ma allpool selgitan.

40.

Põhikohtuasjas peab halduskohus lahendama küsimuse, kas järelevalveasutus (IVSS) ( 13 ) toimis õiguspäraselt, kui ta jättis rahuldamata VSi kaebuse, milles see heitis Bulgaaria prokuratuurile ette tema isikuandmete ebaseaduslikku töötlemist.

41.

Nagu ma juba märkisin, koguti neid andmeid kahes erinevas kontekstis:

42.

Eelotsusetaotluse esitanud kohtu küsimused laienevad vastavalt küsimustele, kas:

43.

Nõustun eelotsusetaotluse esitanud kohtu ja kõigi selles eelotsusemenetluses osalenud pooltega, et esimeses eelotsuse küsimuses käsitletud isikuandmete töötlemine kuulub direktiivi 2016/680 kohaldamisalasse.

44.

Vastavalt direktiivi 2016/680 artikli 1 lõikele 1 ja artikli 2 lõikele 1 kohaldatakse seda direktiivi isikuandmete töötlemise suhtes pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks. Käesoleval juhul koguti ja töödeldi VSi andmeid just nimelt kriminaaluurimise käigus.

45.

Seevastu isikuandmete edastamist prokuratuuri vastu algatatud tsiviilkohtumenetluse jaoks (teine küsimus) reguleerib isikuandmete kaitse üldmäärus, kui see edastamine kujutab endast andmete töötlemist muudel kui direktiivi 2016/680 artikli 1 lõikes 1 ette nähtud eesmärkidel, kuid seondub siiski tegevusega, mis kuulub liidu õiguse kohaldamisalasse.

46.

Vastavalt direktiivi 2016/680 artikli 4 lõikele 2 on isikuandmete töötlemine sama või muu vastutava töötleja poolt muul artikli 1 lõikes 1 ( 15 ) sätestatud eesmärgil kui see, milleks isikuandmeid kogutakse, lubatud niivõrd, kuivõrd:

47.

Direktiiviga 2016/680 on seega lubatud kasutada selle alusel kogutud isikuandmeid uuesti ad intra. Andmeid, mis on kogutud mõnel artikli 1 lõikes 1 loetletud eesmärgil, võib teatud tingimustel kasutada ka mõne(de)l teis(t)el selles loetelus nimetatud eesmärgil (eesmärkidel).

48.

Esimeses eelotsuse küsimuses tõstatatud probleem seisneb selles, kas VSi isikuandmeid, mis saadi siis, kui teda käsitati uuritava süüteo eeldatava ohvrina, võib seejärel töödelda kasutamiseks samas kriminaalmenetluses tema kui kahtlustatava või süüdistatava vastu.

49.

Teisisõnu tuleb uurida, kas VSi isikuandmeid töödeldi samal eesmärgil kui see, mis õigustas nende algset kogumist, või pigem kahel eri eesmärgil, mis kuuluvad siiski mõlemad direktiivi 2016/680 kohaldamisalasse. Viimati nimetatud juhul tuleks töötlemise suhtes kohaldada selle direktiivi artikli 4 lõikes 2 sätestatud eritingimusi.

50.

Eelotsusetaotluse esitanud kohus sõnastas oma esimese küsimuse vaidluse eseme osas veidi mitmeti mõistetavalt. Ta soovib sõna otseses mõttes teada, kas direktiivi 2016/680 artikli 1 lõiget 1 tuleb tõlgendada „nii, et direktiivi eesmärkide nimetamisel on mõisted „süütegude tõkestami[ne], uurimi[ne], avastami[ne], nende eest vastutusele võtmi[ne]“ loetletud üldise eesmärgi aspektidena“.

51.

Eelotsusetaotluse esitanud kohtu arutluskäiku arvestades on võib-olla otstarbekas tema esimene küsimus ümber sõnastada, nagu pakkusid välja pooled ja menetlusse astujad selles eelotsusemenetluses. Selle asemel, et keskenduda üldise eesmärgi ja erieesmärgi abstraktsele suhtele, on tegelikult oluline (ja mida VSi kaebus tegelikult puudutas), kas direktiiviga 2016/680 reguleeritud kriminaalmenetluses jääb eesmärk, mille jaoks koguti andmeid isiku kui eeldatava süüteo ohvri kohta, samaks olukorras, kus nende andmete põhjal esitatakse hiljem samas menetluses talle süüdistus.

52.

Direktiivi 2016/680 artikli 1 lõike 1 grammatiline tõlgendamine näitab, et selle raames on võimalik eristada kolme liiki eesmärke, mis vastavad eri ajahetkedele ja tegevustele:

53.

Süstemaatilisest seisukohast või kontekstist lähtudes räägib direktiivi 2016/680 artikli 4 lõige 2 kõigi nende eesmärkide eraldi võetavuse kasuks. Vastasel korral muutuks see säte sisutühjaks, nagu märkis Madalmaade valitsus, kuna see puudutab just nimelt andmete kasutamist „muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse […]“.

54.

Sellest eeldusest lähtudes püüan selgitada, miks käesolevas kohtuasjas vaidlusalused andmed saadi ja neid töödeldi ühel direktiivi 2016/680 artikli 1 lõikes 1 nimetatud eesmärgil („uurimine“), millest tulenevalt kuulub see direktiiv kohaldamisele ja töötlemine on seega seaduslik.

55.

Teise võimalusena, kui andmed saadi ja neid töödeldi direktiivi 2016/680 artikli 4 lõikes 2 nimetatud eesmärkidest kahel eesmärgil, ei saa töötlemise seaduslikkust samuti vaidlustada.

56.

Kriminaaluurimise raames ei saa asjaga seotud isikute staatust menetluses alati algusest peale kindlaks määrata. Selle uurimisega püütaksegi paljudel juhtudel tuvastada ja seega „liigitada“ subjektid, kes tunduvad esmapilgul tegude toimepanija, ohvri või tunnistajana.

57.

Selles ettevalmistavas etapis on loogiline, et liigitamine on teatud määral muutuv. Uurimine peab asjaolude hindamise järel vastavalt järk-järgult ilmnevatele tulemustele viima asjaomaste isikute menetlusliku staatuse täpse kindlaksmääramiseni.

58.

Nii on see eelkõige niisugustel juhtudel nagu käesolev. Eelotsusetaotluse esitanud kohtu sõnul toimus ristirünnakuid mitme isiku vahel. Üks neist, kes näis algul ohvrina, osutus lõpuks nende rünnakute toimepanemises süüdistatavaks.

59.

Selles kontekstis vastab kogu tegevus mõistele „uurimine“ direktiivi 2016/680 artikli 1 lõike 1 tähenduses. Selle tegevuse eesmärk oli seega üks ja see vastab ühele „eesmärkidest“, mille jaoks võib isikuandmeid töödelda.

60.

Eelotsusetaotluse esitanud kohus kahtleb siiski, kas direktiivi 2016/680 artikli 1 lõike 1 selline tõlgendus on kooskõlas selle direktiivi põhjendusega 31. ( 16 )

61.

Olen nõus enamiku menetlusosalistega, et see põhjendus ei ole samamoodi nagu direktiivi 2016/680 artikkel 6, mis on selle üle võtnud, asjakohane selleks, et kindlaks teha, kas on tegemist selle direktiivi artikli 4 lõikes 2 nimetatud eesmärgi muutmisega.

62.

Vastavalt direktiivi 2016/680 artiklile 6 eristatakse vaid „asjakohasel juhul võimaluste piires“ isikuandmeid selgelt andmesubjektide eri kategooriate kaupa. Eespool esitatud põhjustel ei ole niisuguste tegude, nagu on käesoleval juhul kõne all, algses uurimises „andmesubjektide eri kategooria[id]“ võimalik tingimata selgelt ja algusest peale kindlaks teha. Lisaks võib nendes tegudes osaleja korraga olla nii rünnakute ohver kui ka toimepanija.

63.

Isegi kui kriminaaluurimise käigus saadud andmete vastutav töötleja peaks suutma uurimise alguses ja ajal ohvreid, kahtlustatavaid ning tunnistajaid selgelt eristada, ei muudaks see nende andmete kogumise ja töötlemise eesmärki (uurimine).

64.

Teisisõnu ei tähenda kriminaaluurimisega seotud isikutele järjest ühe või teise staatuse (ohver, tunnistaja, kolmas isik) andmine tingimata eesmärkide muutumist direktiivi 2016/680 artikli 4 lõike 2 tähenduses.

65.

Teise võimalusena, juhul kui oleks tegemist direktiivi 2016/680 artikli 4 lõikes 2 ette nähtud olukorraga, oleks kõnealuste isikuandmete töötlemine olnud kooskõlas selle direktiiviga kehtestatud seaduslikkuse tingimustega. Seda märkisid Bulgaaria ja Tšehhi valitsus, kellega ma olen nõus.

66.

Kuigi eelotsusetaotluse esitanud kohtu ülesanne on seda kontrollida, näib, et ei ole kahtlust, et Bulgaaria prokuratuur on riigisisese õiguse kohaselt asutus, kes on vastutav VSi isikuandmete töötlemise eest „muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse“. Direktiivi 2016/680 artikli 4 lõike 2 punkti a esimene tingimus on seega täidetud.

67.

Sama artikli 4 lõike 2 punktis b sätestatud teise tingimuse („isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgiga“) kohta leian, et:

68.

Sellele kohtuasjale kohaldatuna ei ole direktiivi 2016/680 artikli 4 lõike 2 tingimused eriti olulised ja leiab kinnitust, et vaidlusaluste isikuandmete kogumise eesmärk on üks ja sama: andmete algne töötlemine ja töötlemine, mille tulemusel kõnealusele isikule esitati hiljem süüdistus, on omavahel loogiliselt seotud.

69.

Seega ei ole vaja kinnitada uue andmetöötluse eest vastutava isiku (kes on ikka sama) pädevust ning samuti ei ole raske tõendada teise töötlemise (mis toimub sama menetluse raames) vajalikkust, kuna proportsionaalsuse kriteerium kehtib mis tahes töötlemise puhul, nagu nähtub direktiivi 2016/680 artikli 4 lõikes 1 sätestatud põhimõtetest.

70.

Direktiivi 2016/680 artikli 9 lõikes 1 on ette nähtud võimalus kasutada selle alusel kogutud isikuandmed uuesti ad extra.

71.

Direktiivi 2016/680 artikli 9 lõikes 1 on reeglist, et neid andmeid „ei tohi töödelda muudel kui [selle direktiivi] artikli 1 lõikes 1 sätestatud eesmärkidel“, lähtudes ette nähtud erand juhul, kui liidu või liikmesriigi õigusega on lubatud neid andmeid töödelda muudel kui artikli 1 lõikes 1 osutatud eesmärkidel. Sel juhul kohaldatakse isikuandmete kaitse üldmäärust (tingimusel et tegevus kuulub liidu õiguse kohaldamisalasse).

72.

Teise eelotsuse küsimusega soovib eelotsusetaotluse esitanud kohus teada:

73.

IVSS väidab, et kuna VSi kaebus jäeti rahuldamata, sest see oli esitatud hilinenult, on teine eelotsuse küsimus vastuvõetamatu.

74.

Ma ei nõustu selle vastuväitega.

75.

Euroopa Kohus võib liikmesriigi kohtu esitatud eelotsusetaotluse jätta läbi vaatamata üksnes juhul, kui on ilmne, et taotletaval liidu õiguse tõlgendamisel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikke faktilisi või õiguslikke asjaolusid, et anda talle esitatud küsimustele tarvilik vastus. ( 17 )

76.

IVSSi vastuväide puudutab küsimust, mis kuulub eelotsusetaotluse esitanud kohtu ainupädevusse. Üksnes see kohus on pädev omal vastutusel määratlema Euroopa Kohtule esitatud küsimuse faktilise ja õigusliku raamistiku. ( 18 )

77.

Nii IVSSi väidetud hilinenult esitamise üle otsustamine kui ka selle asjakohasuse hindamine vaidluse seisukohast on küsimused, mille kohta saab otsuse teha ainult eelotsusetaotluse esitanud kohus. Selles kohtuasjas rõhutas eelotsusetaotluse esitanud kohus, et küsimus on põhikohtuasja lahendamiseks asjakohane, vaatamata IVSSi väidetud hilinenult esitamisele. ( 19 )

78.

Seda hinnangut ei saa kahtluse alla seada Euroopa Kohus, kes peab põhimõtteliselt lähtuma riigisisese menetlus- ja materiaalõiguse tõlgendusest ning kohaldamisest kohtute poolt, kui nad määratlevad eelotsusetaotluse raamistiku.

79.

Võttes arvesse teise eelotsuse küsimuse esitamise põhjenduseks eelotsusetaotluse esitanud kohtu toodud põhjuseid, palutakse Euroopa Kohtul tegelikult kindlaks teha, kas vaidlusaluste andmete edastamine on „andmete töötlemine“ isikuandmete kaitse üldmääruse artikli 4 punktide 1 ja 2 tähenduses ( 20 ) ja kas see töötlemine oli vastavalt selle määruse artiklile 6 seaduslik.

80.

Isikuandmete kaitse üldmääruse artikli 4 punktides 1 ja 2 ning direktiivi 2016/680 artikli 3 punktides 1 ja 2 on mõisted „isikuandmed“ ja „töötlemine“ määratletud samas sõnastuses.

81.

Nende määratluste alusel järeldan, et prokuratuur kavatses kasutada enda kaitseks tsiviilkohtus „teavet tuvastatud füüsilise isiku kohta“, mis sisaldas VSi „isikuandmeid“.

82.

Nende isikuandmete edastamisel tsiviilkohtumenetluses toimus ilma andmesubjekti nõusolekuta mitu „toimingut“, mis kujutavad endast „andmete töötlemist“. Vähemalt oli vajalik, et prokuratuur ise nendega tutvuks, et hinnata nende võimalikku tarvilikkust tema seisukohtade kaitseks tsiviilkohtumenetluses. Lisaks tuleb eeldada, et samal eesmärgil andmeid korrastati, struktureeriti, kohandati või muudeti ning mõistagi need edastati ja neid levitati kas või minimaalselt, kui neid taheti tsiviilkohtumenetluses toimikusse lisada. ( 21 )

83.

Kokkuvõttes viis prokuratuur kriminaaluurimises saadud teavet dokumenteerides, arhiveerides, säilitades, sellega tutvudes ja taotledes, et tsiviilkohus võtaks selle vastu tõendina, läbi VSi isikuandmete töötlemise.

84.

IVSS ja komisjon väidavad, et prokuratuur saab olla „vastutav töötleja“ üksnes direktiivi 2016/680 kohaldamisalasse kuuluvatel eesmärkidel pädeva asutusena.

85.

See ei tähenda minu arvates, et teisel eelotsuse küsimusel puudub ese, nagu väidab IVSS. Pigem eeldab see, et töötlemise seaduslikkust direktiivi 2016/680 artikli 9 lõike 1 alusel tuleb kontrollida isikuandmete kaitse üldmääruse seisukohast.

86.

Tsiviilvaidlust lahendama pädev kohus on selles menetluses andmetöötluse eest vastutav töötleja, kui andmed lisatakse kohtumenetluses toimikusse. Tema otsused jäävad isikuandmete kaitse üldmääruse artikli 55 lõike 3 alusel järelevalveasutuse kontrolli alt välja, kuna need tehakse kohtuvõimu teostamisel. ( 22 )

87.

Eelotsusetaotluse esitanud kohus on aga piiranud oma küsimuse sellega, kas isikuandmete kaitse üldmäärus on kohaldatav siis, kui prokuratuur soovib kasutada teavet, mille ta on kogunud „vastutava töötleja[na]“ direktiivi 2016/680 tähenduses, enda kaitseks tsiviilkohtumenetluses.

88.

Eespool esitatud põhjustel arvan, et isikuandmete kaitse üldmäärus on kohaldatav, sest prokuratuuri kaitset tsiviilkohtumenetluses direktiivi 2016/680 artikli 1 lõikes 1 nimetatud eesmärkide hulgas ei ole.

89.

Isikuandmete töötlemise seaduslikkuse tingimused on loetletud isikuandmete kaitse üldmääruse artikli 6 lõikes 1: „[i]sikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest“, mida on seejärel kirjeldatud. Nende loetelu on ammendav. ( 23 )

90.

Nendest tingimustest ei ole minu arvates täidetud asjaomase isiku nõusoleku (punkt a), lepingu täitmise (punkt b), seadusjärgse kohustuse täitmise (punkt c) ( 24 ) ega puudutatud isiku või kolmanda isiku eluliste huvide kaitse tingimus (punkt d).

91.

Eelotsusetaotluse esitanud kohtu hinnangul on isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis f nimetatud tingimus täidetud. Nagu väitis komisjon, välistab käesolevas kohtuasjas selle lõike viimane lõik siiski sellele tuginemise, sest seda lõiget „ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel“ ( 25 ).

92.

Vastuseks Euroopa Kohtu küsimusele jäi Bulgaaria valitsus, keda selles küsimuses toetavad Tšehhi ja Madalmaade valitsus, kindlaks sellele, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis f ette nähtud tingimus on kohaldatav. Ta väidab, et on vaja võtta arvesse „prokuratuuri tegevuse laadi“: ehkki tegemist on avalik-õigusliku asutusega, võib ta osaleda tsiviilkohtumenetlustes „võrdse poolena“ ( 26 ).

93.

„Õigustatud huvid“, mida prokuratuur kaitseb avaliku võimu kandjana menetluses, milles on tema vastu esitatud lepinguvälise vastutuse tuvastamise hagi tema tegevuse eest menetluse raames, ei kuulu siiski isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis f ette nähtud juhtumi alla, kuna nii on selle lõike viimases lõigus sõnaselgelt ette nähtud.

94.

Asutuste jaoks, kes täidavad neile seadusega pandud ülesandeid (käesoleval juhul riikliku süüdistuse esindamine ja riigi esindamine lepinguvälise vastutuse tuvastamise nõuete korral), on asjaomane huvi isikuandmete kaitse üldmääruse artikli 6 lõike 1 tähenduses avalik huvi, mida nad teenivad, selle sätte punkti e tähenduses.

95.

Punktis f ette nähtud tingimus vastab vastutava töötleja või kolmanda isiku õigustatud huvide kaitsele, välja arvatud juhul, kui sellise huvi kaaluvad üles asjaomase isiku huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid.

96.

See klausel ei puuduta seega mitte niivõrd avaliku võimu kaitsevõimalusi – mida võib kasutada punkti e alusel –, kuivõrd seda, kas asjaomase isiku huvid, õigused ja vabadused võivad kaaluda üles vastutava töötleja või kolmanda isiku omad. See on kohaldatav pigem vaidlustele (eraõiguslike) poolte vahel, kelle huvid ei ole avalikud.

97.

Kuna prokuratuur tegutseb loogiliselt riigiasutusena, tuleb analüüsida, kas vaidlusalune isikuandmete töötlemine kuulub isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti e alla.

98.

Nii oleks see juhul, kui töötlemine oleks „vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks“.

99.

Peatun pikemalt nendest kahest eesmärgist esimesel, ilma et teist oleks vaja käsitleda, ( 27 ) selleks et teha kindlaks, kas prokuratuuri osalus tsiviilkohtumenetluses, milles nõutakse hüvitist tema tegude eest, vastab avaliku huvi ülesande täitmisele.

100.

Vastavalt riigisisesele õigusele ( 28 ) on prokuratuuri ülesanne esindada riiki tema viivitusega põhjustatud kahju eest lepinguvälise vastutuse tuvastamise menetlustes. Samamoodi osaleb prokuratuur kohtumenetluses riigi üldiste (finants)huvide kaitseks ja seega avaliku huvi ülesande täitmiseks. ( 29 )

101.

Direktiivi 2016/680 artikli 9 lõige 1 seab toimikutes sisalduvate andmete ad extra uuesti kasutamise tingimuseks, et nende töötlemine on lubatud liidu või liikmesriigi õiguse alusel. Meid huvitavas osas peab eelotsusetaotluse esitanud kohus kontrollima, kas see on lubatud prokuratuurile pandud riigi varalise kaitse avaliku huvi ülesande täitmisel.

102.

Isikuandmete kaitse üldmääruse artikli 6 lõike 3 kohaselt võib lõike 1 punktis e osutatud töötlemise õiguslik alus „sisaldada erisätteid, et kohandada [isikuandmete kaitse üldmääruse] sätete kohaldamist“ ( 30 ). Kui see õiguslik alus on kehtestatud vastutava töötleja suhtes kohaldatava liikmesriigi õigusega, peab selle tuvastama liikmesriigi kohus. ( 31 )

103.

Lõpuks, isegi kui eelotsusetaotluse esitanud kohus ei tee kindlaks asjakohast õiguslikku alust, tuleb vaidlusaluse töötlemise kooskõla eesmärgiga, milleks vaidlusalused andmed koguti, kindlaks määrata vastavalt isikuandmete kaitse üldmääruse artikli 6 lõikele 4. Selleks tuleb muu hulgas arvesse võtta mis tahes seost algsete eesmärkide ja saavutatud eesmärgi vahel, isikuandmete kogumise konteksti ja andmete laadi, uue töötlemise võimalikke tagajärgi asjaomasele isikule ja piisavate tagatiste olemasolu.

104.

Eespool esitatut arvestades teen Euroopa Kohtule ettepaneku vastata Administrativen sad – Blagoevgradile (Blagoevgradi halduskohus, Bulgaaria) järgmiselt: