62021CJ0683

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 62021CJ0683 - EN

Document 62021CJ0683

Help

Euroopa Kohtu otsus (suurkoda), 5.12.2023.
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos versus Valstybinė duomenų apsaugos inspekcija.
Eelotsusetaotlus, mille on esitanud Vilniaus apygardos administracinis teismas.
Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Artikli 4 punktid 2 ja 7 – Mõisted „töötlemine“ ja „vastutav töötleja“ – Mobiilirakenduse arendamine – Artikkel 26 – Kaasvastutus töötlemise eest – Artikkel 83 – Trahvide määramine – Tingimused – Nõue, et rikkumine peab olema toime pandud tahtlikult või hooletusest – Vastutava töötleja vastutus volitatud töötleja poolse isikuandmete töötlemise eest.
Kohtuasi C-683/21.

Court reports – general

ECLI identifier: ECLI:EU:C:2023:949

Language of the case

HTML

PDF

Document published in the digital reports of cases. They have official status.

EUROOPA KOHTU OTSUS (suurkoda)

5. detsember 2023 ( *1 )

Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Artikli 4 punktid 2 ja 7 – Mõisted „töötlemine“ ja „vastutav töötleja“ – Mobiilirakenduse arendamine – Artikkel 26 – Kaasvastutus töötlemise eest – Artikkel 83 – Trahvide määramine – Tingimused – Nõue, et rikkumine peab olema toime pandud tahtlikult või hooletusest – Vastutava töötleja vastutus volitatud töötleja poolse isikuandmete töötlemise eest

Kohtuasjas C‑683/21,

mille ese on ELTL artikli 267 alusel Vilniaus apygardos administracinis teismase (Vilniuse regionaalne halduskohus, Leedu) 22. oktoobri 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 12. novembril 2021, menetluses

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

versus

Valstybinė duomenų apsaugos inspekcija,

menetluses osalesid:

UAB „IT sprendimai sėkmei“,

Lietuvos Respublikos sveikatos apsaugos ministerija,

EUROOPA KOHUS (suurkoda),

koosseisus: president K. Lenaerts, asepresident L. Bay Larsen, kodade presidendid A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi ja O. Spineanu-Matei, kohtunikud M. Ilešič, J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (ettekandja), N. Wahl ja M. Gavalec,

kohtujurist: N. Emiliou,

kohtusekretär: ametnik C. Strömholm,

arvestades kirjalikku menetlust ja 17. jaanuari 2023. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

–	Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, esindaja: G. Aleksienė,

–	Valstybinė duomenų apsaugos inspekcija, esindaja: R. Andrijauskas,

–	Leedu valitsus, esindaja: V. Kazlauskaitė-Švenčionienė,

–	Madalmaade valitsus, esindaja: C. S. Schillemans,

–	Euroopa Liidu Nõukogu, esindajad: R. Liudvinavičiūtė ja K. Pleśniak,

–	Euroopa Komisjon, esindajad: A. Bouchagiar, H. Kranenborg ja A. Steiblytė,

olles 4. mai 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

Eelotsusetaotlus käsitleb Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 4 punktide 2 ja 7, artikli 26 lõike 1 ning artikli 83 lõike 1 tõlgendamist.

Taotlus on esitatud Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijose (tervishoiuministeeriumi haldusalas olev terviseamet, Leedu; edaspidi „terviseamet“) ja Valstybinė duomenų apsaugos inspekcija (andmekaitseinspektsioon, Leedu; edaspidi „inspektsioon“) vahelises kohtuvaidluses otsuse üle, millega inspektsioon määras terviseametile isikuandmete kaitse üldmääruse artikli 83 alusel trahvi selle määruse artiklite 5, 13, 24, 32 ja 35 rikkumise eest.

Õiguslik raamistik

Liidu õigus

Isikuandmete kaitse üldmääruse põhjendustes 9, 10, 11, 13, 26, 74, 79, 129 ja 148 on märgitud:

„(9)

[…] Liikmesriikide poolt tagatavate füüsiliste isikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete [Euroopa Liidu] sisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende liidu õigusest tulenevaid kohustusi. […]

(10)

Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]

(11)

Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.

[…]

(13)

Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste[le] isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. […]

[…]

(26)

Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. […] Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

[…]

(74)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

[…]

(79)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava kontrolli ja nende võetavate meetmetega eeldab käesolevas määruses sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

[…]

(129)

Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja tõhusad volitused, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused […]. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriikide õiguses sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid; austama isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi menetlusõiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Järelevalveasutuse õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitanud järelevalveasutus ja meetme esitamise kuupäev ning järelevalveasutuse juhi või tema poolt volitatud liikme allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile. See ei tohiks välistada liikmesriigi menetlusnormidest tulenevaid täiendavaid nõudeid. Selliste õiguslikult siduvate otsuste vastuvõtmine viitab võimalusele, et see võib otsuse vastu võtnud järelevalveasutuse liikmesriigis tuua kaasa kohtuliku kontrolli.

[…]

(148)

Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve lisaks käesoleva määruse kohaselt järelevalveasutuse poolt kehtestatud asjakohastele meetmetele või nende asemel. Väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, võib trahvi asemel teha noomituse. Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele. Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja [Euroopa Liidu põhiõiguste] hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetlust.“

Selle määruse artikli 4 kohaselt:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav „[mis tahes] automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]

„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

[…]

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)	„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

[…]“.

Nimetatud määruse artikli 26 „Kaasvastutavad töötlejad“ lõikes 1 on sätestatud:

„Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.“

Sama määruse artikli 28 „Volitatud töötleja“ lõikes 10 on ette nähtud:

„Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.“

Isikuandmete kaitse üldmääruse artikli 58 „Volitused“ lõikes 2 on sätestatud:

„Järelevalveasutusel on järgmised parandusvolitused:

a)	hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)	teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

[…]

d)	anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

[…]

f)	kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

[…]

i)	määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

[…]“.

Määruse artikkel 83 „Trahvide määramise üldtingimused“ on sõnastatud järgmiselt:

„1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2. Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)	rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)	kas rikkumine pandi toime tahtlikult või hooletusest;

c)	vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)	vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)	vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)	järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)	rikkumisest mõjutatud isikuandmete liigid;

h)	millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)	kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)	artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)	juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10000000 eurot või ettevõtja puhul kuni 2% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a) vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25–39, 42 ja 43 alusel;

[…]

5. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20000000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)	andmesubjektide õigused artiklite 12–22 alusel;

[…]

d)	mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

[…]

6. Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20000000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7. Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8. Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

[…]“.

Nimetatud määruse artikli 84 „Karistused“ lõikes 1 on sätestatud:

„Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“

Leedu õigus

10	Riigihangete seaduse (Viešųjų pirkimų įstatymas) artikli 29 lõikes 3 on nimetatud teatud asjaolud, mille esinemisel on hankijal kas õigus või kohustus tühistada tema algatatud riigihankemenetlus või konkurss igal ajal enne riigihankelepingu (või eellepingu) sõlmimist või konkursi võitja määramist.

11	Riigihangete seaduse artikli 72 lõige 2 näeb ette etapid läbirääkimiste puhul, mida hankija viib läbi väljakuulutamiseta läbirääkimistega hankemenetluses.

Põhikohtuasi ja eelotsuse küsimused

Lietuvos Respublikos sveikatos apsaugos ministras (Leedu Vabariigi tervishoiuminister) tegi COVID-19 põhjustava viiruse pandeemia kontekstis 24. märtsil 2020 esimese otsusega terviseameti direktorile ülesandeks korraldada viivitamata IT-süsteemi omandamine selle viirusega kokku puutunud isikute andmete registreerimiseks ja jälgimiseks epidemioloogilise seire eesmärgil.

Isik, kes tutvustas ennast terviseameti esindajana (edaspidi „A.S.“), teavitas 27. märtsil 2020 äriühingut UAB „IT sprendimai sėkmei“ (edaspidi „äriühing ITSS“), et terviseameti on valinud nimetatud äriühingu sellel eesmärgil loodava mobiilirakenduse arendajaks. A.S. saatis seejärel äriühingule ITSS e‑kirju mobiilirakenduse arendamise eri aspektide kohta ning nende kirjade koopiad saadeti ka terviseameti direktorile.

14	Lisaks A.S-ile saatsid äriühingu ITSS ja terviseameti vaheliste läbirääkimiste käigus ka terviseameti VSC teised töötajad sellele äriühingule e‑kirju, mis puudutasid kõnealuses mobiilirakenduses esitatavate küsimuste koostamist.

15	Mobiilirakenduse loomisel töötati välja eraelu puutumatuse kaitse põhimõtted, milles määrati vastutavateks töötlejateks äriühing ITSS ja terviseamet.

16	Kõnealune mobiilirakendus, milles oli mainitud äriühingut ITSS ja terviseametit, oli allalaaditav alates 4. aprillist 2020 veebipoes Google Play Store ja alates 6. aprillist 2020 veebipoes Apple App Store. Rakendus toimis kuni 26. maini 2020.

Ajavahemikul 4. aprillist 2020 kuni 26. maini 2020 kasutas seda rakendust 3802 inimest ja nad esitasid enda kohta andmed, mida rakenduses nõuti, nagu identifitseerimisnumber, geograafilised koordinaadid (laius- ja pikkuskraad), riik, linn, omavalitsusüksus, sihtnumber, tänavanimi, majanumber, perekonnanimi, eesnimi, isikukood, telefoninumber ja aadress.

Leedu Vabariigi tervishoiuminister otsustas 10. aprillil 2020 teise otsusega anda terviseameti direktorile ülesande korraldada kõnealuse mobiilirakenduse omandamine äriühingult ITSS ning selleks kavatseti kohaldada riigihangete seaduse artikli 72 lõiget 2. Sellegipoolest ei sõlmitud nimetatud äriühinguga riigihankelepingut kõnealuse rakenduse ametlikuks omandamiseks terviseameti poolt.

Nimelt nõudis terviseamet 15. mail 2020, et see äriühing teda kõnealuses mobiilirakenduses mitte mingil viisil ei mainiks. Lisaks andis terviseamet 4. juuni 2020. aasta kirjaga sellele äriühingule teada, et kuna rakenduse omandamiseks rahastust ei saadud, on ta vastavalt riigihangete seaduse artikli 29 lõikele 3 lõpetanud rakenduse omandamise menetluse.

Inspektsioon tegi 18. mail 2020 algatatud uurimises isikuandmete töötlemise kohta kindlaks, et kõnealuse mobiilirakenduse abil oli kogutud isikuandmeid. Lisaks tuvastas ta, et kasutajad, kes olid valinud selle rakenduse COVID-19 pandeemia tõttu kohustuslikuks muudetud isolatsioonis viibimise jälgimise meetodina, vastasid küsimustele, millega kaasnes isikuandmete töötlemine. Need andmed sisestati nimetatud rakenduse abil esitatud küsimustele antud vastustes ning need puudutasid eelkõige andmesubjekti terviseseisundit ja isolatsiooninõuete järgimist tema poolt.

Inspektsioon määras 24. veebruari 2021. aasta otsusega terviseametile isikuandmete kaitse üldmääruse artikli 83 alusel 12000 euro suuruse trahvi, leides, et terviseamet oli rikkunud selle määruse artikleid 5, 13, 24, 32 ja 35. Selle otsusega määrati ka äriühingule ITSS kui kaasvastutavale töötlejale 3000 euro suurune trahv.

Terviseamet vaidlustas selle otsuse Vilniaus apygardos administracinis teismases (Vilniuse regionaalne halduskohus, Leedu), kes on eelotsusetaotluse esitanud kohus, väites, et vastutavaks töötlejaks isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses tuleb pidada ainult äriühingut ITSS. Äriühing ITSS väidab omalt poolt, et ta tegutses volitatud töötlejana isikuandmete kaitse üldmääruse artikli 4 punkti 8 tähenduses terviseameti korraldusel, kes tema sõnul on ainus vastutav töötleja.

Eelotsusetaotluse esitanud kohus märgib, et kõnealuse mobiilirakenduse lõi äriühing ITSS ja terviseamet andis talle nõu selles rakenduses esitatud küsimuste sisu osas. Samas ei olnud terviseameti ja äriühingu ITSS vahel sõlmitud riigihankelepingut. Ühtlasi ei andnud terviseamet nõusolekut ega luba selle rakenduse kättesaadavaks tegemiseks erinevates veebipoodides.

See kohus täpsustab, et kõnealuse mobiilirakenduse loomise eesmärk oli terviseameti seatud eesmärgi ohjata COVID-19 pandeemiat saavutamine IT-vahendi loomise teel ning selleks oli plaanis töödelda isikuandmeid. Mis puudutab äriühingu ITSS rolli, siis ei olnud kavandatud, et see äriühing taotleks muid eesmärke kui loodud IT‑toote eest tasu saamine.

Nimetatud kohus märgib veel, et inspektsiooni uurimise käigus tuvastati, et Leedu äriühing Juvare Lithuania, kes haldab levimisohtlike nakkushaiguste seire ja kontrolli IT‑süsteemi, pidi saama kõnealuse mobiilirakenduse abil kogutud isikuandmete koopiad. Rakenduse testimiseks kasutati fiktiivseid andmeid, välja arvatud nimetatud äriühingu töötajate telefoninumbrid.

Neil asjaoludel otsustas Vilniaus apygardos administracinis teismas (Vilniuse regionaalne halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas isikuandmete kaitse üldmääruse artikli 4 punktis 7 ette nähtud mõistet „vastutav töötleja“ tuleb tõlgendada nii, et vastutavaks töötlejaks tuleb pidada ka isikut, kes soovib riigihanke kaudu omandada andmekogumisvahendi (mobiilirakenduse), olenemata asjaolust, et riigihankelepingut ei ole sõlmitud ja loodud toodet (mobiilirakendust), mille omandamiseks kasutati riigihankemenetlust, ei ole üle antud?

Kas isikuandmete kaitse üldmääruse artikli 4 punktis 7 ette nähtud mõistet „vastutav töötleja“ tuleb tõlgendada nii, et vastutavaks töötlejaks tuleb pidada ka avaliku sektori hankijat, kes ei ole saanud loodud IT‑toote omandiõigust ega seda oma valdusesse võtnud, kuid kellele on osutatud loodud mobiilirakenduse lõppversioonis või selles sisalduvas lingis ja/või kui kõnealuse rakenduse eraelu puutumatuse kaitse põhimõtetes, mida see avaliku sektori üksus ei ole ametlikult heaks kiitnud või tunnustanud, on kindlaks määratud, et see avaliku sektori üksus on vastutav töötleja?

Kas isikuandmete kaitse üldmääruse artikli 4 punktis 7 ette nähtud mõistet „vastutav töötleja“ tuleb tõlgendada nii, et vastutavaks töötlejaks tuleb pidada ka isikut, kes ei ole teinud tegelikke andmetöötlustoiminguid isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses ja/või ei ole andnud selget luba või nõusolekut selliste toimingute tegemiseks? Kas vastutava töötleja mõiste tõlgendamist mõjutab asjaolu, et IT-toode, mida kasutatakse isikuandmete töötlemiseks, loodi, lähtudes avaliku sektori hankija sõnastatud ülesandest?

Kui tegelike andmetöötlustoimingute kindlakstegemine on vastutava töötleja mõiste tõlgendamisel asjakohane, siis kas isikuandmete kaitse üldmääruse artikli 4 punkti 2 („isikuandmete töötlemine“) tuleb tõlgendada nii, et see hõlmab ka olukordi, kus isikuandmete koopiaid on kasutatud IT-süsteemide katsetamiseks mobiilirakenduse omandamise protsessi käigus?

Kas andmete töötlemise kaasvastutust isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõike 1 tähenduses tuleb tõlgendada üksnes nii, et see tähendab tahtlikult kooskõlastatud tegevust andmetöötluse eesmärgi ja meetodite kindlaksmääramisel, või saab seda tõlgendada ka nii, et kaasvastutus hõlmab ka olukordi, kus puudub selge „kokkulepe“ isikuandmete töötlemise eesmärgis ja andmete töötlemise meetodites ja/või kus toimingud ei ole üksuste vahel kooskõlastatud? Kas isikuandmete töötlemise vahendi (IT‑rakenduse) loomise etapp, milles isikuandmeid töödeldi, ja rakenduse loomise eesmärk on andmete töötlemise kaasvastutuse mõiste tõlgendamisel õiguslikult oluline? Kas kaasvastutavate töötlejate vaheliseks „kokkuleppeks“ tuleb pidada üksnes andmete töötlemise kaasvastutust reguleerivate tingimuste selget ja täpset kindlaksmääramist?

Kas isikuandmete kaitse üldmääruse artikli 83 lõike 1 sätet, mille kohaselt „trahvide määramine […] on […] tõhus, proportsionaalne ja heidutav“, tuleb tõlgendada nii, et see hõlmab ka „vastutava töötleja“ vastutuse teket, kui IT‑toote loomise protsessis teeb ka arendaja isikuandmete töötlemise toiminguid, ja kas see, kui volitatud töötleja ei ole isikuandmete töötlemise toiminguid teinud nõuetekohaselt, toob alati automaatselt kaasa vastutava töötleja õigusliku vastutuse? Kas seda sätet tuleb tõlgendada nii, et see hõlmab ka vastutava töötleja mittesüülise vastutuse juhtumeid?“

Eelotsuse küsimuste analüüs

Esimene, teine ja kolmas küsimus

Esimese, teise ja kolmanda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et üksust, kes on teinud ettevõtjale ülesandeks arendada mobiilirakendust, võib pidada vastutavaks töötlejaks selle sätte tähenduses, kui see üksus ise ei ole teinud isikuandmete töötlemise toiminguid, ei ole andnud sõnaselget nõusolekut konkreetsete töötlemistoimingute tegemiseks või selle mobiilirakenduse üldsusele kättesaadavaks tegemiseks ega ole seda mobiilirakendust omandanud.

28	Isikuandmete kaitse üldmääruse artikli 4 punktis 7 on mõiste „vastutav töötleja“ määratletud laialt kui füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega „määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid“.

Selle laia määratluse eesmärk on kooskõlas isikuandmete kaitse üldmääruse eesmärgiga tagada füüsiliste isikute põhiõiguste ja -vabaduste tõhus kaitse, sealhulgas iga isiku õiguse tema isikuandmete kaitsele kõrgetasemeline kaitse (vt selle kohta 29. juuli 2019. aasta kohtuotsus Fashion ID, C‑40/17, EU:C:2019:629, punkt 66, ja 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 73 ning seal viidatud kohtupraktika).

Euroopa Kohus on juba otsustanud, et iga füüsilist või juriidilist isikut, kes enda huvides mõjutab selliste andmete töötlemist ja osaleb seetõttu töötlemise eesmärkide ja vahendite kindlaksmääramisel, võib pidada selle töötlemise eest vastutavaks. Seejuures ei ole nõutav, et vastutav töötleja määraks töötlemise eesmärgid ja vahendid kindlaks kirjalikes juhistes või korraldustes (vt selle kohta 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punktid 67 ja 68) või et ta oleks vormiliselt määratud vastutavaks töötlejaks.

31	Seega tuleb selleks, et teha kindlaks, kas niisugust üksust nagu terviseamet saab pidada vastutavaks töötlejaks isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses, analüüsida, kas see üksus tõepoolest mõjutas enda huvides selle töötlemise eesmärkide ja vahendite kindlaksmääramist.

Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et kõnealuse mobiilirakenduse loomise tellis terviseamet ning sellega sooviti terviseameti seatud eesmärk ohjata COVID-19 pandeemiat saavutada IT‑vahendi abil, registreerides ja jälgides nende isikute andmeid, kes olid kokku puutunud COVID-19 põhjustava viirusega. Terviseamet oli selleks ette näinud kõnealuse mobiilirakenduse kasutajate isikuandmete töötlemise. Lisaks nähtub eelotsusetaotlusest, et selle rakenduse parameetrid, nagu esitatavad küsimused ja nende sõnastus, kohandati terviseameti vajadustele ning et terviseamet mängis nende kindlaksmääramisel aktiivset rolli.

33	Neil asjaoludel tuleb põhimõtteliselt asuda seisukohale, et terviseamet osales tõepoolest isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel.

Seevastu pelka asjaolu, et terviseametit mainiti vastutava töötlejana kõnealuse mobiilirakenduse eraelu puutumatuse kaitse põhimõtetes ja et rakenduses olid lingid sellele üksusele, võib pidada asjakohaseks üksnes juhul, kui on tõendatud, et terviseamet oli andnud sõnaselge või kaudse nõusoleku selle mainimise või linkide kohta.

Lisaks ei välista asjaolud, mida eelotsusetaotluse esitanud kohus oma kolme esimese eelotsuse küsimuse põhjendamiseks esitatud kaalutlustes mainib, nimelt et terviseamet ise ei töödelnud isikuandmeid, et terviseameti ja äriühingu ITSS vahel ei olnud lepingut, et terviseamet ei omandanud kõnealust mobiilirakendust ja et terviseamet ei andnud luba selle rakenduse levitamiseks veebipoodide kaudu, võimalust, et terviseametit võiks pidada „vastutavaks töötlejaks“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses.

36	Sellest sättest koostoimes isikuandmete kaitse üldmääruse põhjendusega 74 ilmneb nimelt, et kui üksus vastab nimetatud artikli 4 punktis 7 sätestatud tingimusele, ei vastuta ta mitte ainult isikuandmete töötlemise eest, mida ta teeb ise, vaid ka töötlemise eest, mis toimub tema nimel.

Sellega seoses tuleb siiski täpsustada, et terviseametit ei tohiks pidada kõnealuse mobiilirakenduse üldsusele kättesaadavaks tegemisest tuleneva isikuandmete töötlemise vastutavaks töötlejaks, kui ta on enne niisugust kättesaadavaks tegemist sellele sõnaselgelt vastu olnud – seda peab kontrollima eelotsusetaotluse esitanud kohus. Sellisel juhul ei saa nimelt asuda seisukohale, et kõnealune töötlemine toimus terviseameti nimel.

Eeltoodud põhjendusi arvestades tuleb esimesele, teisele ja kolmandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et vastutavaks töötlejaks nimetatud sätte tähenduses võib pidada üksust, kes on teinud ettevõtjale ülesandeks arendada mobiilirakendust ja kes on selles kontekstis osalenud selle rakenduse abil toimuva isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel, isegi kui see üksus ise ei ole teinud isikuandmete töötlemise toiminguid, ei ole andnud sõnaselget nõusolekut konkreetsete töötlemistoimingute tegemiseks või selle mobiilirakenduse üldsusele kättesaadavaks tegemiseks ega ole seda mobiilirakendust omandanud, välja arvatud juhul, kui see üksus oli enne nimetatud kättesaadavaks tegemist sõnaselgelt selle kättesaadavaks tegemise ja sellest tulenenud isikuandmete töötlemise vastu.

Viies küsimus

Viienda küsimusega, mida tuleb analüüsida teisena, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõiget 1 tuleb tõlgendada nii, et kahe üksuse kvalifitseerimine kaasvastutavateks töötlejateks eeldab nende üksuste vahelist kokkulepet kõnealuse isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramise kohta või kokkulepet, milles on kindlaks määratud töötlemise kaasvastutuse tingimused.

40	Isikuandmete kaitse üldmääruse artikli 26 lõikes 1 on sätestatud, et „kaasvastutavate töötlejatega“ on tegemist siis, kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid.

Nagu Euroopa Kohus on otsustanud, peab füüsiline või juriidiline isik selleks, et teda saaks pidada kaasvastutavaks töötlejaks, seega iseseisvalt vastama isikuandmete kaitse üldmääruse artikli 4 punktis 7 esitatud „vastutava töötleja“ määratlusele (vt selle kohta 29. juuli 2019. aasta kohtuotsus Fashion ID, C‑40/17, EU:C:2019:629, punkt 74).

Siiski ei tähenda kaasvastutuse olemasolu tingimata erinevate isikuandmete töötlemisega seotud osapoolte võrdset vastutust. Vastupidi, need pooled võivad olla töötlemisse kaasatud eri etappides ja erineval määral, mistõttu tuleb neist igaühe vastutust hinnata juhtumi kõiki tähtsust omavaid asjaolusid arvesse võttes (5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 43). Lisaks ei nõua mitme osaleja kaasvastutus sama töötlemise eest, et igaühel neist oleks juurdepääs asjasse puutuvatele isikuandmetele (10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 69 ja seal viidatud kohtupraktika).

Nagu kohtujurist oma ettepaneku punktis 38 märkis, võib osalemine isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises toimuda eri vormides, kusjuures selline osalemine võib tuleneda nii kahe või enama üksuse ühisest otsusest kui ka selliste üksuste kokkulangevatest otsustest. Viimasel juhul peavad need otsused aga üksteist täiendama nii, et igal otsusel oleks konkreetne mõju töötlemise eesmärkide ja vahendite kindlaksmääramisele.

44	Seevastu saa nõuda, et nende vastutavate töötlejate vahel oleks ametlik kokkulepe töötlemise eesmärkide ja vahendite kohta.

On tõsi, et isikuandmete kaitse üldmääruse artikli 26 lõike 1 kohaselt, arvestades selle määruse põhjendust 79, peavad kaasvastutavad töötlejad läbipaistval viisil omavahelise kokkuleppega kindlaks määrama iga kaasvastutava töötleja vastutusvaldkonna, et tagada selle määruse nõuete täitmine. Sellise kokkuleppe olemasolu ei ole siiski eeltingimus selleks, et kahte või enamat üksust saaks kvalifitseerida kaasvastutavateks töötlejateks, vaid kohustus, mille artikli 26 lõige 1 paneb kaasvastutavatele töötlejatele, kui nad on nõnda kvalifitseeritud, et tagada neile isikuandmete kaitse üldmäärusega pandud nõuete täitmine. Seega tuleneb see kvalifikatsioon ainuüksi asjaolust, et mitu üksust on osalenud isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel.

Eeltoodud põhjendusi arvestades tuleb viiendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõiget 1 tuleb tõlgendada nii, et kahe üksuse kvalifitseerimine kaasvastutavateks töötlejateks ei eelda nende üksuste vahelist kokkulepet kõnealuse isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramise kohta ega kokkulepet, milles on kindlaks määratud töötlemise kaasvastutuse tingimused.

Neljas küsimus

47	Neljanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 2 tuleb tõlgendada nii, et isikuandmete kasutamine mobiilirakenduse infotehnoloogiliseks katsetamiseks on „töötlemine“ selle sätte tähenduses.

Nagu nähtub siinse kohtuotsuse punktist 25, pidi Leedu äriühing, kes haldab levimisohtlike nakkushaiguste seire ja kontrolli IT‑süsteemi, käesoleval juhul saama kõnealuse mobiilirakenduse abil kogutud isikuandmete koopiad. Infotehnoloogiliste katsete jaoks kasutati fiktiivseid andmeid, välja arvatud nimetatud äriühingu töötajate telefoninumbrid.

Selle kohta tuleb esiteks märkida, et isikuandmete kaitse üldmääruse artikli 4 punktis 2 on mõiste „isikuandmete töötlemine“ määratletud kui „isikuandmete või nende kogumitega tehtav „[mis tahes] automatiseeritud või automatiseerimata toiming või toimingute kogum“. Mitteammendavas loetelus, mis algab väljendiga „nagu“, on selles sättes töötlemise näidetena nimetatud isikuandmete kogumist, kättesaadavaks tegemist ja kasutamist.

Selle sätte sõnastusest, eelkõige väljendist „[mis tahes] toiming“, nähtub, et liidu seadusandja on soovinud anda mõistele „töötlemine“ laia ulatuse (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil),C‑175/20, EU:C:2022:124, punkt 35) ning et selle kindlakstegemisel, kas toiming või toimingute kogum kujutab endast „isikuandmete töötlemist“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses, ei saa arvesse võtta toimingu või toimingute kogumi tegemise põhjuseid.

51	Seega ei mõjuta see, kas isikuandmeid kasutatakse infotehnoloogiliseks katsetamiseks või muul eesmärgil, kõnealuse toimingu kvalifitseerimist „isikuandmete töötlemiseks“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses.

52	Teiseks tuleb siiski täpsustada, et „isikuandmete töötlemine“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses on ainult töötlemine, mis puudutab „isikuandmeid“.

Isikuandmete kaitse üldmääruse artikli 4 punktis 1 on selle kohta täpsustatud, et „isikuandmed“ on „igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta“, st et „tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.

Eelotsusetaotluse esitanud kohtu neljandas küsimuses viidatud asjaolu, et tegemist on „isikuandmete koopiatega“, ei saa aga iseenesest välistada nende koopiate kvalifitseerimist isikuandmeteks isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses, tingimusel et need koopiad sisaldavad tõepoolest teavet tuvastatud või tuvastatava füüsilise isiku kohta.

55	Tuleb siiski tõdeda, et fiktiivsed andmed ei kujuta endast isikuandmeid isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses, kuna need ei puuduta tuvastatud või tuvastatavat füüsilist isikut, vaid isikut, keda ei ole tegelikult olemas.

56	Sama kehtib infotehnoloogiliseks katsetamiseks kasutatavate andmete kohta, mis on anonüümsed või anonüümseks muudetud.

Isikuandmete kaitse üldmääruse põhjendusest 26 ja selle määruse artikli 4 punktis 1 esitatud mõiste „isikuandmed“ määratlusest endast tuleneb nimelt, et selle mõistega ei ole hõlmatud „[anonüümne teave], nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga“, ega „[isikuandmed], mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada“.

Seevastu tuleneb isikuandmete kaitse üldmääruse artikli 4 punktist 5 koostoimes selle määruse põhjendusega 26, et isikuandmeid, mis on üksnes pseudonümiseeritud ja mida saab füüsilise isikuga seostada ainult täiendava teabe abil, tuleb käsitada tuvastatava füüsilise isiku kohta käiva teabena, mille suhtes kohaldatakse andmekaitse põhimõtteid.

Eeltoodud põhjendusi arvestades tuleb neljandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 4 punkti 2 tuleb tõlgendada nii, et isikuandmete kasutamine mobiilirakenduse infotehnoloogiliseks katsetamiseks on „töötlemine“ selle sätte tähenduses, välja arvatud juhul, kui need andmed on muudetud anonüümseks selliselt, et isik, keda need andmed puudutavad, ei ole või ei ole enam tuvastatav, või kui tegemist on fiktiivsete andmetega, mis ei ole seotud olemasoleva füüsilise isikuga.

Kuues küsimus

Kuuenda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artiklit 83 tuleb tõlgendada nii, et ühest küljest võib selle sätte alusel trahvi määrata ainult siis, kui on tõendatud, et vastutav töötleja pani tahtlikult või hooletusest toime selle artikli lõigetes 4–6 nimetatud rikkumise, ja et teisest küljest võib sellise trahvi määrata vastutavale töötlejale seoses töötlemistoimingutega, mida volitatud töötleja on teinud tema nimel.

Mis esimesena puudutab küsimust, kas isikuandmete kaitse üldmääruse artikli 83 alusel võib trahvi määrata üksnes siis, kui on tõendatud, et vastutav töötleja või volitatud töötleja pani tahtlikult või hooletusest toime selle artikli lõigetes 4–6 nimetatud rikkumise, siis nähtub selle artikli lõikest 1, et need trahvid peavad olema tõhusad, proportsionaalsed ja heidutavad. Seevastu ei ole isikuandmete kaitse üldmääruse artiklis 83 sõnaselgelt täpsustatud, et niisuguse rikkumise eest võib sellise trahvi määrata üksnes siis, kui see on toime pandud tahtlikult või vähemalt hooletuse tõttu.

Leedu valitsus ja Euroopa Liidu Nõukogu järeldavad sellest, et liidu seadusandja soovis jätta liikmesriikidele isikuandmete kaitse üldmääruse artikli 83 rakendamisel teatava kaalutlusruumi, võimaldades neil vajaduse korral ette näha võimaluse määrata selle sätte alusel trahve, ilma et oleks tõendatud, et isikuandmete kaitse üldmääruse rikkumine, mille eest see trahv määratakse, pandi toime tahtlikult või hooletusest.

63	Isikuandmete kaitse üldmääruse artikli 83 sellise tõlgendusega ei saa nõustuda.

Sellega seoses tuleb meenutada, et ELTL artikli 288 alusel on määruste sätetel liikmesriikide õiguskordades tavaliselt vahetu õigusmõju, ilma et liikmesriikide asutustel oleks vaja võtta rakendusmeetmeid. Sellele vaatamata võib teatavate määruse sätete rakendamiseks olla vajalik rakendusmeetmete võtmine liikmesriikide poolt (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 58 ja seal viidatud kohtupraktika).

Nii on see ka isikuandmete kaitse üldmääruse puhul, mille teatavad sätted annavad liikmesriikidele võimaluse näha ette täiendavaid, rangemaid või erandeid ettenägevaid riigisiseseid eeskirju, mis jätavad liikmesriikidele kaalutlusruumi nende sätete rakendamisel (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 57).

Samuti, kuna isikuandmete kaitse üldmääruses puuduvad konkreetsed menetlusnormid, siis tuleb iga liikmesriigi õiguskorras kehtestada menetlusnormid hagidele, mille eesmärk on tagada õigussubjektidele selle määrusega antud õiguste kaitse, tingimusel et järgitakse võrdväärsuse põhimõtet ja tõhususe põhimõtet (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju), C‑300/21, EU:C:2023:370, punktid 53 ja 54 ning seal viidatud kohtupraktika).

Siiski ei võimalda miski isikuandmete kaitse üldmääruse artikli 83 lõigete 1–6 sõnastuses asuda seisukohale, et liidu seadusandja soovis jätta liikmesriikidele kaalutlusruumi sisuliste tingimuste osas, mida järelevalveasutus peab järgima, kui ta otsustab määrata vastutavale töötlejale trahvi selle artikli lõigetes 4–6 nimetatud rikkumise eest.

On tõsi, et esiteks on isikuandmete kaitse üldmääruse artikli 83 lõikes 7 ette nähtud, et iga liikmesriik võib näha ette eeskirju selle kohta, kas ja millisel määral võib tema territooriumil asutatud avaliku sektori asutustele ja organitele määrata trahve. Teiseks tuleneb selle määruse artikli 83 lõikest 8 määruse põhjendust 129 arvestades, et selle artikliga antud volituste kasutamisel järelevalveasutuse poolt tuleb kooskõlas liidu ja liikmesriikide õigusega kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

Sellegipoolest ei tähenda asjaolu, et nimetatud määrus annab seega liikmesriikidele võimaluse kehtestada erandeid seoses nende territooriumil asuvate avaliku sektori asutuste ja organitega ning nõudeid seoses menetlusega, mida järelevalveasutused peavad järgima trahvi määramisel, mingil juhul seda, et liikmesriikidel oleks õigus lisaks sellistele eranditele ja menetlusnõuetele kehtestada ka sisulisi tingimusi, mis peavad olema täidetud vastutava töötleja vastutusele võtmiseks ning talle nimetatud artikli 83 alusel trahvi määramiseks. Lisaks kinnitab asjaolu, et liidu seadusandja on sõnaselgelt ette näinud niisuguse võimaluse, kuid mitte selliste sisuliste tingimuste sätestamise, et ta ei jätnud liikmesriikidele selles osas kaalutlusruumi.

Seda järeldust kinnitavad ka isikuandmete kaitse üldmääruse artiklid 83 ja 84 koostoimes. Nimelt on selle määruse artikli 84 lõikes 1 märgitud, et liikmesriikidele jääb pädevus kehtestada selle määruse rikkumiste korral „kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve“. Seega tuleneb nende sätete sellisest koostoimes tõlgendamisest, et selle pädevuse alla ei kuulu niisuguste trahvide määramise sisuliste tingimuste kindlaksmääramine. Need tingimused kuuluvad seega üksnes liidu õigusesse.

Kõnealuste tingimuste kohta tuleb märkida, et isikuandmete kaitse üldmääruse artikli 83 lõikes 2 on loetletud asjaolud, mida arvestades järelevalveasutus määrab vastutavale töötlejale trahvi. Nende asjaolude hulgas on selle sätte punktis b nimetatud asjaolu, „kas rikkumine pandi toime tahtlikult või hooletusest“. Ükski selles sättes loetletud asjaolu ei viita aga mis tahes võimalusele, et vastutava töötleja vastutus tekib ilma tema süülise käitumiseta.

Lisaks on oluline tõlgendada isikuandmete kaitse üldmääruse artikli 83 lõiget 2 koostoimes sama artikli lõikega 3, mille eesmärk on näha ette selle määruse rikkumiste kumuleerumise tagajärjed ja milles on sätestatud, et „[k]ui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega“.

73	Seega tuleneb isikuandmete kaitse üldmääruse artikli 83 lõike 2 sõnastusest, et üksnes selle määruse sätete rikkumine, mille vastutav töötleja on toime pannud süüliselt, st tahtlikult või hooletusest, võib kaasa tuua talle trahvi määramise selle artikli alusel.

74	Isikuandmete kaitse üldmääruse üldine ülesehitus ja eesmärk toetavad seda tõlgendust.

75	Esiteks nägi liidu seadusandja ette sanktsioonide süsteemi, mis võimaldab järelevalveasutusel määrata iga juhtumi asjaolusid arvestades kõige sobivama sanktsiooni.

Isikuandmete kaitse üldmääruse artikkel 58, milles on kindlaks määratud järelevalveasutuste volitused, näeb nimelt lõike 2 punktis i ette, et need asutused võivad määrata selle määruse artikli 83 alusel trahve „lisaks“ muudele artikli 58 lõikes 2 loetletud parandusmeetmetele, nagu hoiatused, noomitused või korraldused, „või nende asemel“. Samuti on selle määruse põhjenduses 148 muu hulgas märgitud, et järelevalveasutus võib väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, jätta trahvi määramata ja teha selle asemel noomituse.

Teiseks nähtub eeskätt isikuandmete kaitse üldmääruse põhjendusest 10, et selle määruse sätete eesmärk on eelkõige tagada liidus füüsiliste isikute järjekindel ja kõrgetasemeline kaitse isikuandmete töötlemisel ning selleks tagada nende isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine nende andmete töötlemisel kogu liidus. Isikuandmete kaitse üldmääruse põhjendustes 11 ja 129 on selle määruse ühtlaseks kohaldamiseks lisaks rõhutatud vajadust tagada, et järelevalveasutustel oleks olemas vastavad volitused isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel ning et neil oleks selle määruse rikkumise korral võimalik määrata vastavaid sanktsioone.

Sellise sanktsioonide süsteemi olemasolu, mis võimaldab määrata isikuandmete kaitse üldmääruse artikli 83 alusel trahvi, kui juhtumi konkreetsed asjaolud seda õigustavad, ajendab vastutavaid töötlejaid ja volitatud töötlejaid seda määrust järgima. Trahvid aitavad oma heidutava mõjuga kaasa füüsiliste isikute paremale kaitsele isikuandmete töötlemisel ja neil on seega otsustav tähtsus nende isikute õiguste austamise kindlustamisel vastavalt selle määruse eesmärgile tagada selliste isikute kõrgetasemeline kaitse isikuandmete töötlemisel.

Liidu seadusandja ei ole siiski pidanud kõrgetasemelise kaitse tagamisel vajalikuks näha ette trahvide määramist ka süü puudumise korral. Arvestades asjaolu, et isikuandmete kaitse üldmääruse eesmärk on saavutada samaväärne ja ühtlane kaitsetase ning et selleks tuleb seda määrust kohaldada kogu liidus järjekindlalt, oleks selle eesmärgiga vastuolus, kui liikmesriikidel oleks lubatud ette näha selline kord trahvi määramiseks määruse artikli 83 alusel. Selline valikuvabadus kahjustaks ka liidu ettevõtjate vahelist konkurentsi, see aga läheks vastuollu eesmärkidega, mida liidu seadusandja on väljendanud eelkõige määruse põhjendustes 9 ja 13.

Järelikult tuleb tõdeda, et isikuandmete kaitse üldmääruse artikkel 83 ei võimalda määrata trahvi selle artikli lõigetes 4–6 nimetatud rikkumise eest, ilma et oleks tõendatud, et vastutav töötleja pani rikkumise toime tahtlikult või hooletusest, ning järelikult on süüline rikkumine sellise trahvi määramise tingimus.

Siinkohal tuleb veel täpsustada seoses küsimusega, kas rikkumine pandi toime tahtlikult või hooletusest ja kas selle eest võib seetõttu määrata trahvi isikuandmete kaitse üldmääruse artikli 83 alusel, et vastutavale töötlejale võib määrata sanktsiooni isikuandmete kaitse üldmääruse kohaldamisalasse kuuluva tegevuse eest, kui sellele vastutavale töötlejale ei saanud olla teadmata, et tema tegevus kujutab endast rikkumist, olenemata sellest, kas ta oli teadlik, et ta rikub isikuandmete kaitse üldmääruse sätteid (vt analoogia alusel 18. juuni 2013. aasta kohtuotsus Schenker & Co jt, C‑681/11, EU:C:2013:404, punkt 37 ning seal viidatud kohtupraktika; 25. märtsi 2021. aasta kohtuotsus Lundbeck vs. komisjon, C‑591/16 P, EU:C:2021:243, punkt 156, ning 25. märtsi 2021. aasta kohtuotsus Arrow Group ja Arrow Generics vs. komisjon, C‑601/16 P, EU:C:2021:244, punkt 97).

Kui vastutav töötleja on juriidiline isik, tuleb veel täpsustada, et isikuandmete kaitse üldmääruse artikli 83 kohaldamine ei eelda kõnealuse juriidilise isiku juhtorgani tegevust ega isegi teadmist (vt analoogia alusel 7. juuni 1983. aasta kohtuotsus Musique diffusion française jt vs. komisjon, 100/80–103/80, EU:C:1983:158, punkt 97, ning 16. veebruari 2017. aasta kohtuotsus Tudapetrol Mineralölerzeugnisse Nils Hansen vs. komisjon, C‑94/15 P, EU:C:2017:124, punkt 28 ja seal viidatud kohtupraktika).

Mis teisena puudutab küsimust, kas vastutavale töötlejale võib isikuandmete kaitse üldmääruse artikli 83 alusel määrata trahvi seoses volitatud töötleja tehtud töötlemistoimingutega, siis tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 4 punktis 8 esitatud määratluse kohaselt on volitatud töötleja „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel“.

Kuna – nagu on märgitud käesoleva kohtuotsuse punktis 36 – vastutav töötleja ei vastuta mitte ainult tema enda poolse isikuandmete mis tahes töötlemise eest, vaid ka tema nimel toimuva töötlemise eest, võib vastutavale töötlejale määrata isikuandmete kaitse üldmääruse artikli 83 alusel trahvi olukorras, kus isikuandmeid töödeldakse ebaseaduslikult ja kus isikuandmeid ei ole töödelnud mitte vastutav töötleja, vaid volitatud töötleja tema nimel.

Vastutava töötleja vastutus volitatud töötleja tegevuse eest ei saa siiski laieneda olukordadele, kus volitatud töötleja töötleb isikuandmeid tema enda huvides või kus volitatud töötleja on neid andmeid töödelnud viisil, mis on vastuolus vastutava töötleja poolt kindlaks määratud töötlemise raamistiku või korraga, või viisil, mille puhul ei saa mõistlikult leida, et vastutav töötleja on selleks nõusoleku andnud. Isikuandmete kaitse üldmääruse artikli 28 lõike 10 kohaselt tuleb volitatud töötlejat sellisel juhul pidada sellise töötlemise eest vastutavaks töötlejaks.

Eeltoodud kaalutlusi arvestades tuleb kuuendale küsimusele vastata, et isikuandmete kaitse üldmääruse artiklit 83 tuleb tõlgendada nii, et ühest küljest võib selle sätte alusel trahvi määrata ainult siis, kui on tõendatud, et vastutav töötleja pani tahtlikult või hooletusest toime selle artikli lõigetes 4–6 osutatud rikkumise, ja teisest küljest võib sellise trahvi määrata vastutavale töötlejale seoses isikuandmete töötlemise toimingutega, mida volitatud töötleja on teinud tema nimel, välja arvatud juhul, kui volitatud töötleja on neid toiminguid teinud tema enda huvides või kui volitatud töötleja on neid andmeid töödelnud viisil, mis on vastuolus vastutava töötleja poolt kindlaks määratud töötlemise raamistiku või korraga, või viisil, mille puhul ei saa mõistlikult leida, et vastutav töötleja on selleks nõusoleku andnud.

Kohtukulud

87	Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seiskohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punkti 7

tuleb tõlgendada nii, et

vastutavaks töötlejaks nimetatud sätte tähenduses võib pidada üksust, kes on teinud ettevõtjale ülesandeks arendada mobiilirakendust ja kes on selles kontekstis osalenud selle rakenduse abil toimuva isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramisel, isegi kui see üksus ise ei ole teinud isikuandmete töötlemise toiminguid, ei ole andnud sõnaselget nõusolekut konkreetsete töötlemistoimingute tegemiseks või selle mobiilirakenduse üldsusele kättesaadavaks tegemiseks ega ole seda mobiilirakendust omandanud, välja arvatud juhul, kui see üksus oli enne nimetatud kättesaadavaks tegemist sõnaselgelt selle kättesaadavaks tegemise ja sellest tulenenud isikuandmete töötlemise vastu.

Määruse 2016/679 artikli 4 punkti 7 ja artikli 26 lõiget 1

tuleb tõlgendada nii, et

kahe üksuse kvalifitseerimine kaasvastutavateks töötlejateks ei eelda nende üksuste vahelist kokkulepet kõnealuse isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramise kohta ega kokkulepet, milles on kindlaks määratud töötlemise kaasvastutuse tingimused.

Määruse 2016/679 artikli 4 punkti 2

tuleb tõlgendada nii, et

isikuandmete kasutamine mobiilirakenduse infotehnoloogiliseks katsetamiseks on „töötlemine“ selle sätte tähenduses, välja arvatud juhul, kui need andmed on muudetud anonüümseks selliselt, et isik, keda need andmed puudutavad, ei ole või ei ole enam tuvastatav, või kui tegemist on fiktiivsete andmetega, mis ei ole seotud olemasoleva füüsilise isikuga.

Määruse 2016/679 artiklit 83

tuleb tõlgendada nii, et

ühest küljest võib selle sätte alusel trahvi määrata ainult siis, kui on tõendatud, et vastutav töötleja pani tahtlikult või hooletusest toime selle artikli lõigetes 4–6 osutatud rikkumise, ja

teisest küljest võib sellise trahvi määrata vastutavale töötlejale seoses isikuandmete töötlemise toimingutega, mida volitatud töötleja on teinud tema nimel, välja arvatud juhul, kui volitatud töötleja on neid toiminguid teinud tema enda huvides või kui volitatud töötleja on neid andmeid töödelnud viisil, mis on vastuolus vastutava töötleja poolt kindlaks määratud töötlemise raamistiku või korraga, või viisil, mille puhul ei saa mõistlikult leida, et vastutav töötleja on selleks nõusoleku andnud.

Allkirjad

( *1 ) Kohtumenetluse keel: leedu.

Top