1.

Käesolevas eelotsusetaotluses, mille on ELTL artikli 267 alusel esitanud Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus, Saksamaa), palutakse tõlgendada Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikleid 7 ja 8 ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) ( 2 ) (edaspidi „isikuandmete kaitse üldmäärus“) artikli 6 lõike 1 esimese lõigu punkti f, artikli 17 lõike 1 punkti d, artiklit 40, artikli 77 lõiget 1 ja artikli 78 lõiget 1.

2.

Eelotsusetaotlused on esitatud kahe vaidluse raames, mille pooled on ühelt poolt esimeses UF (kohtuasi C‑26/22) ja teises AB (kohtuasi C‑64/22) ning teiselt poolt Land Hessen (Hesseni liidumaa, Saksamaa), keda esindab Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Hesseni liidumaa andmekaitse ja infovabaduse volinik, edaspidi „HBDI“), ning mis puudutavad taotlusi, mille vastavalt UF ja AB esitasid HBDI‑le ning milles nad palusid võtta meetmeid, et SCHUFA Holding AG (edaspidi „SCHUFA“) kustutaks kande täitmata jäänud võlakohustustest vabastamise kohta.

3.

Need kaks kohtuasja tõstatavad terve hulga varem käsitlemata õiguslikke küsimusi, mis puudutavad muu hulgas selle otsuse õiguslikku laadi, mille teeb järelevalveasutus, kellele on esitatud kaebus, ning selle kohtuliku kontrolli ulatust, mida kohus võib teostada niisuguse otsuse peale esitatud kaebuse lahendamisel. Need kohtuasjad puudutavad ka küsimust, kas see, kui majandusteaberegistrid säilitavad avalikest registritest pärit isikuandmeid, on seaduslik.

4.

Euroopa Parlamendi ja nõukogu 20. mai 2015. aasta määruse (EL) 2015/848 maksejõuetusmenetluse kohta ( 3 ) artikli 79 lõigetes 4 ja 5 on nähtud ette:

„4.   Liikmesriigid vastutavad kooskõlas [Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiviga 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355)] andmete kogumise ja säilitamise eest riiklikes andmebaasides ning otsuste eest, millega tehakse sellised andmed kättesaadavaks omavahel ühendatud ja Euroopa e‑õiguskeskkonna portaali kaudu kättesaadavates maksejõuetusregistrites.

5.   Osana teabest, mis tuleks esitada andmesubjektidele, et nad saaksid kasutada oma õigusi, eelkõige õigust andmete kustutamisele, teavitavad liikmesriigid andmesubjekte sellest, millise ajavahemiku jooksul on maksejõuetusregistrites säilitatavad isikuandmed kättesaadavad.“

5.

Isikuandmete kaitse üldmääruse artikli 5 lõikes 1 on sätestatud:

„Isikuandmete töötlemisel tagatakse, et

[…]

[…]“.

6.

Selle määruse artikli 6 lõikes 1 on ette nähtud:

„Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

[…]

[…]“.

7.

Isikuandmete kaitse üldmääruse artikli 17 lõikes 1 on sätestatud:

„Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

[…]

[…]“.

8.

Selle määruse artikli 21 lõikes 1 on ette nähtud:

„Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.“

9.

Selle määruse artiklis 40 on sätestatud:

„1.   Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2.   Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

[…]

5.   Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

[…]“.

10.

Isikuandmete kaitse üldmääruse artikli 77 lõikes 1 on ette nähtud:

„Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.“

11.

Selle määruse artiklis 78 on sätestatud:

„1.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

2.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artiklite 55 ja 56 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 77 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.

[…]“.

12.

Maksejõuetusmenetluse määruse (Insolvenzordnung) § 9 põhikohtuasjade faktiliste asjaolude hetkel kehtinud redaktsiooni lõikes 1 on sätestatud:

„Avalik teatavakstegemine toimub keskse ja liidumaadeülese avaldamisega veebis; teatavakstegemine võib olla osaline. Seejuures tuleb ära tuua võlgniku nimi, esitada tema aadress ja tegevusala. Teatavakstegemine loetakse toimunuks kahe päeva möödumisel avaldamise päevast.“

13.

Määruse, mis reguleerib maksejõuetusmenetlust puudutava teabe avalikku teatavakstegemist veebis (Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet, edaspidi „InsBekV“), § 3 lõigetes 1 ja 2 on ette nähtud:

„(1)   Elektroonilises teabe- ja sidesüsteemis avaldatud teave maksejõuetusmenetluse, sealhulgas menetluse algatamise kohta kustutatakse hiljemalt kuus kuud pärast maksejõuetusmenetluse kehtetuks tunnistamist või selle lõpetamise otsuse jõustumist. Kui menetlust ei algatata, algab tähtaeg avaldatud kaitsemeetmete kehtetuks tunnistamisega.

(2)   Täitmata jäänud võlakohustustest vabastamise menetlust, sealhulgas maksejõuetusmenetluse määruse § 289 kohast kohtumäärust puudutava teabe avaldamise suhtes kehtib lõike 1 esimene lause tingimusega, et tähtaeg hakkab kulgema alates täitmata jäänud võlakohustustest vabastamise määruse jõustumisest.“

14.

UF ja AB vabastati neid puudutavate maksejõuetusmenetluste raames täitmata jäänud võlakohustusest ennetähtaegselt kohtumäärustega, mis anti vastavalt 17. detsembril 2020 ja 23. märtsil 2021. Vastavalt maksejõuetusmenetluse määruse § 9 lõikele 1 ning InsBekV § 3 lõigetele 1 ja 2 tehti see asjaolu internetis ametlikult teatavaks, kuid kanne kustutati kuue kuu pärast.

15.

Eraõiguslik majandusteaberegister SCHUFA säilitab oma andmebaasides teabe täitmata jäänud võlakohustusest ennetähtaegsete vabastamiste kohta, kuid kustutab selle alles kolm aastat pärast kande tegemist.

16.

Kui vastavalt UF ja AB pöördusid SCHUFA poole, paludes neid puudutavad kanded kustutada, teatas SCHUFA neile, et tema tegevus on isikuandmete kaitse üldmäärusega kooskõlas ning et InsBekV § 3 lõikes 1 ette nähtud kuuekuulist tähtaega tema suhtes ei kohaldata. UF ja AB esitasid seejärel kumbki kaebuse HBDI‑le kui pädevale järelevalveasutusele.

17.

HBDI võttis nende kaebuste kohta seisukoha kahe arvamusega vastavalt 1. märtsil 2021 ja 9. juulil 2021. Tema arvates on SCHUFA‑l õigus säilitada andmesubjekti kahjustavaid kandeid täitmata jäänud võlakohustustest vabastamise kohta pikema ajavahemiku vältel kui nõudest vabastamise ajavahemik.

18.

UF ja AB esitasid HBDI arvamuse peale kumbki kaebuse Verwaltungsgericht Wiesbadenile (Wiesbadeni halduskohus), kes on eelotsusetaotluse esitanud kohus. Nad väidavad seejuures, et HBDI on kohustatud oma ülesannete ja volituste raames võtma meetmeid SCHUFA suhtes, et kohustada viimast neid puudutavad kanded kustutama.

19.

Eelotsusetaotluse esitanud kohus peab esiteks vajalikuks selgitada selle otsuse õiguslikku laadi, mille järelevalveasutus teeb isikuandmete kaitse üldmääruse artikli 77 lõike 1 alusel esitatud kaebuse kohta. See kohus märgib, et HBDI arvates on artikli 77 lõikes 1 ette nähtud õigus kujundatud petitsiooniõigusena. Selle suhtes saab kohtulikku kontrolli teostada üksnes piiratult ja see piirdub selle kontrollimisega, kas järelevalveasutus menetles kaebust ning informeeris selle esitajat kaebuse läbivaatamise seisust ja tulemusest. Kohus ei peaks aga kontrollima selle kaebuse kohta tehtud otsuse sisulist õigsust.

20.

Eelotsusetaotluse esitanud kohus kahtleb siiski, kas niisugune analüüs on kooskõlas isikuandmete kaitse üldmäärusega. Tema sõnul on selle määruse artikli 78 lõikes 1 nõutud tõhusat õiguskaitsevahendit. Võttes arvesse selle määruse eesmärki, milleks on harta artiklite 7 ja 8 kohaldamise raames tagada füüsiliste isikute vabaduste ja põhiõiguste tõhus kaitse, ei või kaebeõigust tõlgendada kitsendavalt. Eelotsusetaotluse esitanud kohtu arvates on õige pigem tõlgendus, et järelevalveasutuse sisulist otsust peab kohus kontrollima täies ulatuses, teades siiski, et sellel asutusel on nii hindamispädevus kui ka kaalutlusõigus ning et talle võib tegutsemise kohustuse seada siiski vaid siis, kui õiguspärased alternatiivid puuduvad.

21.

Teiseks on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas avalikest registritest pärinevate andmete säilitamine majandusteaberegistrites on seaduslik. See kohus täpsustab, et need äriühingud saavad riigilt kõik avalikesse registritesse, käesoleval juhul võlaregistrisse ja maksejõuetusregistrisse sisestatud kanded. Nende andmete põhjal hinnatakse HBDI sõnul maksevõimet ja neid võib säilitada nii kaua, kui see on nende säilitamise eesmärgil vajalik. Lisaks, kuna liikmesriigi seadusandja ei ole kehtestanud vastavat regulatsiooni, on järelevalveasutused kooskõlastatult majandusteaberegistrite ühendusega vastu võtnud toimimisjuhendid, milles on ette nähtud kande kustutamine täpselt kolm aastat pärast selle tegemist registris.

22.

Eelotsusetaotluse esitanud kohtu sõnul tekib harta artiklitest 7 ja 8 lähtudes küsimus, kas avalikesse registritesse tehtud kanded võib muutmata kujul üle võtta eraõiguslikesse registritesse, ilma et neid andmeid säilitataks mingi konkreetse põhjusega. Kokkuvõttes on tegemist andmete säilitamisega igaks juhuks, seda eelkõige siis, kui riiklikust registrist on andmed säilitamistähtaja lõppemise tõttu juba kustutatud. Lisaks on SCHUFA ainult üks majandusteaberegister teiste hulgas ning andmeid säilitatakse Saksamaal seega mitmel viisil, mis tähendab harta artiklis 7 sätestatud põhiõiguse massilist rikkumist.

23.

Eelotsusetaotluse esitanud kohus lisab, et andmete töötlemine ja seega säilitamine on lubatud ainult juhul, kui täidetud on üks isikuandmete kaitse üldmääruse artikli 6 lõikes 1 sätestatud tingimustest, kusjuures on vaja täpsustada, et käsitletaval juhul tuleb mängu ainult artikli 6 lõike 1 esimese lõigu punkt f. On aga kaheldav, kas niisugusel vastutaval töötlejal nagu SCHUFA on õigustatud huvi selle sätte tähenduses. Igal juhul on majandusteaberegistril õigustatud huvi korral alati võimalik andmetega tutvuda avalikes registrites nii kaua, kuni neid seal säilitatakse.

24.

Lisaks on Saksamaa seadusandja InsBekV §‑s 3 ette näinud, et maksejõuetusregistris säilitatakse täitmata jäänud võlakohustustest vabastamist puudutavat teavet suhteliselt lühikese ajavahemiku vältel, nimelt kuus kuud. Selle sätte alus on omakorda määruse 2015/848 artikli 79 lõige 5, mille kohaselt teatavad liikmesriigid andmesubjektidele, millise ajavahemiku jooksul on maksejõuetusregistrites säilitatavad isikuandmed kättesaadavad, et andmesubjektid saaksid kasutada oma õigusi, eelkõige õigust andmete kustutamisele. See õigus kaob, kui andmeid säilitatakse paljudes eraõiguslikes registrites, kus andmete säilitamise ajavahemik on pikem.

25.

Pealegi, isegi nõustudes, et see, kui eraõiguslikes majandusteaberegistrites säilitatakse avalikest registritest pärinevaid andmeid, on seaduslik, võib tekkida küsimus, kas vastavalt isikuandmete kaitse üldmääruse artiklile 40 heaks kiidetud toimimisjuhendeid, mis näevad täitmata jäänud võlakohustustest vabastamist puudutava kande puhul ette kolmeaastase kustutamistähtaja, tuleb arvesse võtta kaalumises, milleks kohustab isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis f ette nähtud hindamine.

26.

Selles olukorras otsustas Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

27.

Eelotsusetaotlus kohtuasjas C‑26/22, mis kannab 23. detsembri 2021. aasta kuupäeva, saabus Euroopa Kohtu kantseleisse 11. jaanuaril 2022. Eelotsusetaotlus kohtuasjas C‑64/22, mis kannab 31. jaanuari 2022. aasta kuupäeva, saabus Euroopa Kohtu kantseleisse 2. veebruaril 2022.

28.

Euroopa Kohtu 11. veebruari 2022. aasta otsusega liideti kohtuasjad kirjalikuks ja suuliseks menetlemiseks ning kohtuotsuse tegemiseks.

29.

Põhikohtuasjade pooled ja SCHUFA ning Saksamaa ja Portugali valitsus ning Euroopa Komisjon esitasid kirjalikud seisukohad Euroopa Liidu Kohtu põhikirja artiklis 23 ette nähtud tähtaja jooksul.

30.

Kohtuistungil, mis toimus 26. jaanuaril 2023, esitasid oma suulised seisukohad põhikohtuasjade poolte ja SCHUFA volitatud esindajad ning komisjoni töötajad.

31.

Kuna turumajanduses on vastastikune usaldus igasuguse lepingulise kohustuse alus, siis ettevõtjate vaatenurgast on põhimõtteliselt mõistetav, et teenuseosutajad ja kaubamüüjad soovivad tunda oma kliente ja teada riske, mis niisuguse lepingulise kohustusega kaasnevad. Majandusteaberegistrid võivad aidata saavutada seda vastastikust usaldust statistiliste meetoditega, mis võimaldavad ettevõtjatel teada saada, kas teatavad asjakohased kriteeriumid, sh nende klientide maksevõime, on konkreetsel juhtumil täidetud. Seda tehes aitavad nad ettevõtjatel järgida mitmesuguseid liidu õigusnorme, millega on neile just niisugune kohustus kehtestatud teatavate lepingukategooriate, eelkõige laenulepingute puhul. ( 4 ) Samas tuleb juhtida tähelepanu sellele, et need äriühingud ei ole ainsad, kes niisuguseid teenuseid pakuvad. Teadlikuna vajadusest tagada teatav läbipaistvus ja ennustatavus rahandustehingutes, nõuab liidu seadusandja liikmesriikidelt, et nad looksid ja peaksid ühte või mitut registrit, milles avaldatakse teave maksejõuetusmenetluste kohta.

32.

Sellest tuleneb, et paralleelselt eksisteerib mitu andmebaasi, st ühelt poolt „ametlikud“ registrid, mida haldavad avalik-õiguslikud asutused, ja teiselt poolt andmebaasid, mida haldavad eraõiguslikud äriühingud. Niisugune samaaegne eksisteerimine võib viia süsteemidevahelise konkurentsini ja isegi esile kutsuda õigusnormide kollisioone, kui nende registrite õiguslikud regulatsioonid erinevad tunduvalt. Erinevused õiguslikes regulatsioonides võivad muutuda eriti problemaatiliseks, kui need kahjustavad andmekaitset, sest ükskõik, kas registrit peab avalik-õiguslik või eraõiguslik üksus, tuleb registris viisiga, kuidas neid andmeid hallatakse ja registreeritakse, järgida andmesubjektide huve. Kuna teavet isiku majandusliku olukorra kohta iseloomustab selle tundlikkus, mis puudutab õiguse isikuandmete kaitsele ja õiguse eraelu puutumatusele järgimist, on tarvis ilmutada erilist valvsust.

33.

Isikuandmete kaitse üldmäärusega, mida kohaldatakse alates 25. maist 2018, loodi õiguslik raamistik, mille eesmärk on võtta eespool mainitud huve arvesse kogu liidus, muu hulgas teatavate tingimuste kehtestamisega isikuandmete töötlemise suhtes. Nii on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis f nõutud, et töötlemine peab olema vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid. Teiste sõnadega peab töötlemise seaduslikkus tulenema kaalul olevate eri huvide hindamisest ja vastutava töötleja või kolmanda isiku õigustatud huvid peavad olema ülekaalus. Seda, kas need tingimused on täidetud, peab kontrollima järelevalveasutus, kes peab isikuandmete kaitse üldmääruse artikli 77 lõike 1 kohaselt menetlema andmesubjekti iga võimalikku kaebust, et tema põhiõigusi on rikutud. Lõpuks tuleb märkida, et kui see isik peaks otsustama esitada järelevalveasutuse otsuste peale isikuandmete kaitse üldmääruse artikli 78 lõike 1 alusel kaebuse, peavad liikmesriigi kohtud tagama tõhusa kohtuliku kontrolli.

34.

Käesoleva ettepaneku eelmistes punktides on lühidalt ja kokkuvõtlikult kirjeldatud mitmesuguseid õiguslikke aspekte, mille eelotsusetaotluse esitanud kohus on oma eelotsusetaotlustes esitanud. Esimene küsimus puudutab selle otsuse õiguslikku laadi, mille teeb järelevalveasutus, kellele on esitatud kaebus, ning selle kohtuliku kontrolli ulatust, mida kohus võib teostada niisuguse otsuse peale esitatud kaebust lahendades. Teine kuni viies küsimus puudutavad sisuliselt avalikest registritest pärinevate isikuandmete majandusteaberegistrites säilitamise seaduslikkust. Eelotsuse küsimusi on allpool analüüsitud järjekorras, milles eelotsusetaotluse esitanud kohus on need esitanud.

35.

Kuna esimene küsimus puudutab haldusliku õiguskaitsevahendi kahte etappi, st kaebust järelevalveasutusele ja kaebust kohtule, mida reguleerivad isikuandmete kaitse üldmääruse artiklid 77 ja 78, pean vajalikuks kirjeldada lühidalt neid kahte etappi ning seda tehes käsitleda õiguslikke aspekte, mille kohta on eelotsusetaotluse esitanud kohus küsimusi esitanud.

36.

Nagu ma oma sissejuhatavates märkustes nentisin, on isikuandmete kaitse üldmääruse eesmärk füüsiliste isikute kaitse isikuandmete töötlemisel, mida on harta artikli 8 lõikega 1 ja ELTL artikli 16 lõikega 1 tunnustatud põhiõigusena. Kuna igasugune isikuandmete töötlemine võib avaldada mõju eraelule, tuleb mainida ka harta artikliga 7 tagatud kaitset. ( 5 ) Lisaks tuleneb isikuandmete kaitse üldmääruse artikli 1 lõikest 2, tõlgendatuna koostoimes selle määruse põhjendustega 10, 11 ja 13, et liidu seadusandja on selle ülesande usaldanud liidu asutustele ja organitele, kuid ka liikmesriikide pädevatele asutustele, kelle hulgas on järelevalveasutused ja liikmesriikide kohtud. ( 6 )

37.

Selle kohta tuleb märkida, et harta artikli 8 lõikes 3 on sätestatud, et isikuandmete kaitset käsitlevate sätete täitmist kontrollib sõltumatu asutus. Isikuandmete kaitse üldmääruse artikli 57 lõike 1 punktiga a on see esmasest õigusest tulenev kohustus ellu viidud, nähes ette, et iga järelevalveasutus jälgib selle määruse kohaldamist ja tagab selle kohaldamise. Andmesubjekti kaebuste menetlemine kuulub nende ülesannete hulka, nagu ilmneb sõnaselgelt isikuandmete kaitse üldmääruse artikli 57 lõike 1 punktist f.

38.

Euroopa Kohus on otsustanud, et selle sätte kohaselt „peab iga järelevalveasutus […] oma territooriumil käsitlema kaebusi, mida iga andmesubjekt võib [isikuandmete kaitse üldmääruse] artikli 77 lõike 1 alusel esitada, kui ta leiab, et teda puudutavate isikuandmete töötlemine rikub viidatud määrust, ning uurima asjakohasel määral kaebuste sisu“. ( 7 ) Seejuures tuleb tähelepanu juhtida asjaolule, et Euroopa Kohus on rõhutanud järelevalveasutuse kohustust „[vaadata kaebus] nõutava hoolsusega läbi“, tagamaks isikuandmete kaitse üldmääruse sätete järgimine. Tuleb ka märkida, et isikuandmete kaitse üldmääruse põhjenduses 141 on täpsustatud, et „[k]aebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik“ (kohtujuristi kursiiv).

39.

Kõik need asjaolud viivad mind mõttele, et järelevalveasutusel on imperatiive kohustus menetleda andmesubjekti esitatud kaebusi ning seda kogu konkreetsel juhtumil nõutava hoolsusega. ( 8 ) Kuna igasugune isikuandmete kaitse üldmääruse rikkumine võib põhimõtteliselt kujutada endast põhiõiguste rikkumist, tundub mulle, et see, kui järelevalveasutusele antakse kaalutlusõigus selle üle otsustamisel, kas neid kaebusi menetleda või mitte, on määrusega loodud süsteemiga vastuolus. Niisugune lähenemine seaks kahtluse alla põhirolli, mis on talle isikuandmete kaitse üldmäärusega antud ja milleks on tagada isikuandmete kaitset käsitlevate õigusnormide järgimine, ning see oleks niisiis vastuolus eesmärkidega, mida taotleb liidu seadusandja. ( 9 ) Lõpuks ei tohi unustada, et kaebused kujutavad endast järelevalveasutusele väärtuslikku infoallikat, mis võimaldab tal tuvastada rikkumised. ( 10 )

40.

Niisugune tõlgendus on seda veenvam, et isikuandmete kaitse üldmääruse artikli 57 lõike 1 punktiga f on järelevalveasutusele kehtestatud hulk nõudeid sellise kaebuse menetlemisel, st kohustus uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega. Sellele lisandub isikuandmete kaitse üldmääruse artikli 77 lõikes 2 sätestatud kohustus teavitada kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest. Kõik need nõuded, mis kuuluvad mõiste „hea haldus“ alla – kusjuures viimane on leidnud väljenduse harta artiklis 41, mis puudutab täpsemalt liidu institutsioonide ja asutuste tegevust ( 11 ) –, on mõeldud tugevdama kaebemenetlust, et teha sellest tõeline halduslik õiguskaitsevahend.

41.

Kuigi järelevalveasutus kui isikuandmete kaitse üldmääruse sätete järgimise tagaja on kohustatud talle esitatud kaebusi menetlema, kõneleb mitu asjaolu niisuguse tõlgenduse kasuks, mille kohaselt on tal nende kaebuste läbivaatamisel kaalutlusõigus ja teatav kaalutlusruum oma ülesannete täitmiseks sobivate vahendite valimisel. Kohtujurist Saugmandsgaard Øe on tähendanud, et isikuandmete kaitse üldmääruse artikli 58 lõige 1 „annab järelevalveasutusele […] laialdased uurimisvolitused“ ning et tal on selle määruse artikli 58 lõike 2 alusel „[talle] pandud ülesande täitmiseks hulk erinevaid vahendeid“, viidates seejuures erinevatele volitustele selles sättes loetletud parandusmeetmete võtmiseks. ( 12 ) Seejärel täpsustas kohtujurist, et kuigi „pädev järelevalveasutus […] peab […] täielikult täitma talle pandud järelevalveülesannet“, „[valib] kõige tõhusama […] vahendi kaalutlusõiguse alusel ja kõnealuse andmete edastamise kõiki asjaolusid arvesse võttes [tema ise]“. ( 13 ) Saan selle tõlgendusega üksnes nõustuda.

42.

Järelevalveasutuste parandusmeetmete võtmise pädevuse üksikasjalik kirjeldus näitab, et liidu seadusandja eesmärk ei olnud teha kaebemenetlusest menetlus, mis sarnaneb petitsioonimenetlusega. Vastupidi, õigusloome-eesmärk näib olevat olnud luua süsteem, mis suudab tõhusalt kaitsta kaebuste esitajate õigusi ja huve. Samas näib mulle selge, et niisugust kaalutlusruumi ei saa tõlgendada nõnda, et järelevalveasutusel on piiramatu pädevus, mis annab talle õiguse tegutseda meelevaldselt. Otse vastupidi, järelevalveasutus on kohustatud seda kaalutlusruumi kasutama nii, et järgib liidu õigusega talle kehtestatud piire. Ka sel põhjusel ei saa välistada võimalust, et järelevalveasutus kui haldusorgan on kohustatud võtma teatava meetme konkreetse juhtumi konkreetsete asjaolude tõttu, eelkõige juhul, kui valitseb tõsine oht, et rikutakse andmesubjekti põhiõigusi.

43.

Niisugust tõlgendust, mis annab järelevalveasutusele teatava kaalutlusruumi vahendite valikul, kinnitab isikuandmete kaitse üldmääruse artikli 58 lõige 4, milles on ette nähtud, et „[j]ärelevalveasutusele [selle] artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit“ (kohtujuristi kursiiv), vastavalt harta artiklile 47. Isikuandmete kaitse üldmääruse artikli 78 lõigetes 1 ja 2 on ka tunnustatud igaühe õigust kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab, või juhul, kui järelevalveasutus ei käsitle tema kaebust.

44.

Jõuame küsimuse juurde, missugune on järelevalveasutuse otsuste õiguslik laad, mille eelotsusetaotluse esitanud kohus on oma eelotsusetaotlustes esitanud. Sellega seoses tuleb viidata isikuandmete kaitse üldmääruse põhjendusele 141, millest ilmneb, et „[i]gal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele […] ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks“ (kohtujuristi kursiiv). Selles põhjenduses on arvesse võetud asjaolu, et järelevalveasutuse otsus võib andmesubjekti huve kahjustada, eelkõige juhul, kui see asutus järeldab, et kaebus ei ole põhjendatud, asub seisukohale, et isikuandmete kaitse üldmäärust ei ole rikutud, ega võta seega meetmeid, et parandada olukord, mis kaebuseni viis. Liidu seadusandja on nõustunud, et niisugune otsus on õiguslikult siduv ning tagab kaebajale seega õiguskaitsevahendi liikmesriigi kohtus.

45.

Tuleb ka märkida, et järelevalveasutus ei saa jätta reageerimata, sest isikuandmete kaitse üldmääruse artikli 78 lõikest 2 ilmneb, et „igal andmesubjektil [on] õigus kasutada tõhusat õiguskaitsevahendit, kui artiklite 55 ja 56 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 77 kohaselt esitatud kaebuse menetlemise käigust või tulemustest“. See asjaolu ei võimalda samastada kaebemenetlust petitsiooniga.

46.

Käsitletaval juhul tegi järelevalveasutus – nagu eelotsusetaotluse esitanud kohus on oma eelotsusetaotlustes märkinud – põhikohtuasjade kaebajate suhtes õiguslikult siduvad otsused. Ta tuvastas sisuliselt, et see, et SCHUFA töötles kaebajate isikuandmeid, on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktidest b ja f lähtudes seaduslik, ning eitas seega vaikimisi, et on tarvis uurimis‑ või parandusmeedet.

47.

Isikuandmete kaitse üldmääruse artiklis 78 ette nähtud kaebus kohtule kujutab endast selles määruses ette nähtud haldusliku õiguskaitsevahendi teist etappi. Selles kontekstis tuleb märkida, et nii „kaebus“ järelevalveasutusele kui ka „[kohtulik] õiguskaitsevahend“ on kujundatud andmesubjekti „õigustena“, mis on täiesti mõistetav, kui lähtuda ideest, et isikuandmete kaitse üldmääruse artiklite 77–79 eesmärk on viia ellu õigus tõhusale õiguskaitsevahendile, mis on sätestatud harta artiklis 47. Nagu ma eespool märkisin, ( 14 ) võimaldab isikuandmete kaitse üldmääruse artikli 58 lõike 4 tõlgendamine koostoimes selle määruse artikliga 78 ja selle põhjendusest 141 lähtudes selgelt tuvastada niisuguse eesmärgi ( 15 ).

48.

Järelevalveasutuse otsuste üle teostatava kohtuliku kontrolli ulatuse kohta tuleb meenutada, et menetlusautonoomia raames kohaldatakse tavaliselt riigisiseseid haldusmenetlust käsitlevaid õigusnorme, järgides samas võrdväärsuse ja tõhususe põhimõtet. ( 16 ) Arvan siiski, et õiguskaitsevahend saab olla „tõhus“ harta artikli 47 ja isikuandmete kaitse üldmääruse artikli 78 lõike 1 tähenduses ainult siis, kui pädeval liikmesriigi kohtul on õigus ja kohustus teostada järelevalveasutuse sisulise otsuse üle täielikku kohtulikku kontrolli, et teha kindlaks, kas järelevalveasutus on kohaldanud isikuandmete kaitse üldmäärust õigesti.

49.

Nagu Euroopa Kohus on oma kohtupraktikas juba meenutanud, „ei järgi õigusakt, milles ei ole andmesubjektile ette nähtud mingit võimalust kasutada õiguskaitsevahendeid, et tutvuda teda puudutavate isikuandmetega või lasta neisse parandusi teha või neid kustutada, harta artiklis 47 sätestatud põhiõiguse tõhusale kohtulikule kaitsele põhisisu. Harta artikli 47 esimene lõik nõuab nimelt, et igaühel, kelle liidu õigusega tagatud õigusi või vabadusi rikutakse, on selles artiklis kehtestatud tingimuste kohaselt õigus tõhusale õiguskaitsevahendile kohtus. Juba tõhusa kohtuliku kontrolli olemasolu, mille eesmärk on tagada liidu õigusnormide järgimine, on õigusriigi olemuslik tunnus“. ( 17 )

50.

Selleks et teha kindlaks järelevalveasutuse otsuste üle teostatava kohtuliku kontrolli ulatus, näib mulle asjakohane viidata kõigepealt isikuandmete kaitse üldmääruse põhjendusele 141, millest ilmneb, et „[k]aebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida“ (kohtujuristi kursiiv). Seejärel tuleb viidata isikuandmete kaitse üldmääruse põhjendusele 143, milles on märgitud, et „igal füüsilisel või juriidilisel isikul [peaks] olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on selle isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega“. Minu arvates tuleb neid lõike mõista nii, et kohtulik kontroll, mida liikmesriigi kohus peab isikuandmete kaitse üldmääruse artikli 78 alusel teostama, peab olema täielik, st see peab laienema kõikidele asjasse puutuvatele aspektidele, mille osas on järelevalveasutusel kaebuse sisu läbivaatamisel kaalutlusõigus ning uurimis‑ ja parandusmeetmete valikul kaalutlusruum.

51.

Liidu seadusandja eesmärk tagada täielik kohtulik kontroll järelevalveasutuse ükskõik missuguse otsuse üle, millel on õiguslikke tagajärgi andmesubjektile, kes sellele asutusele kaebuse esitas, on eriti ilmne, kui võtta arvesse isikuandmete kaitse üldmääruse põhjenduse 143 ühte teist lõiku, milles on märgitud, et „[j]ärelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi menetlusõigusega. Nendel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud“ (kohtujuristi kursiiv). ( 18 ) Leian, et ainult niisuguse ulatusega kohtulik kontroll vastab harta artiklis 47 sätestatud nõuetele. ( 19 )

52.

Seevastu SCHUFA ja HBDI argumendid, mille kohaselt peaks järelevalveasutuse otsuste kohtulik kontroll olema piiratud, ei tundu mulle veenvad. Esiteks on harta artikli 8 lõikes 3 sätestatud nõuet konkreetsemaks muutva isikuandmete kaitse üldmääruse artikliga 52 järelevalveasutusele jäetud „sõltumatuse“ eesmärk kaitsta seda asutust igasuguse põhjendamatu sekkumise eest, kuid teda ei ole vabastatud kohustusest täita oma ülesandeid ja kasutada oma volitusi liidu õigust täielikult järgides ning aktsepteerida oma otsuste tõhusat kohtulikku kontrolli nagu iga teine riigisisene asutus. Teiseks ei välista isikuandmete kaitse üldmääruse artiklis 79 ette nähtud õigus kohtulikule õiguskaitsevahendile vastutava töötleja vastu õigust esitada isikuandmete kaitse üldmääruse artikli 78 alusel kaebus järelevalveasutuse otsuse peale. Need õiguskaitsevahendid eksisteerivad sõltumatult koos, ilma et üks oleks teist täiendav, mistõttu saab neid kasutada paralleelselt. ( 20 ) Kaebajatele ei saa seega ette heita mitte mingit rikkumist nende isikuandmete kaitse üldmäärusega tagatud õiguste kaitses sel põhjusel, et nad eelistasid teatavat õiguskaitsevahendit. Need argumendid tuleb järelikult tagasi lükata.

53.

Eeltoodud kaalutluste põhjal tuleb esimesele eelotsuse küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 78 lõiget 1 tuleb tõlgendada nii, et sellest sättest tuleneb, et järelevalveasutuse õiguslikult siduva otsuse üle teostatakse täielikku sisulist kohtulikku kontrolli.

54.

Teine kuni viies eelotsuse küsimus on sisuliselt küsimused, kas see, kui majandusteaberegistrites säilitatakse avalikest registritest pärinevaid isikuandmeid, on seaduslik. Eelotsusetaotluse esitanud kohtu küsimustes on tõstatatud terve hulk seda praktikat käsitlevaid õiguslikke probleeme, mida tuleb analüüsida struktureeritult. Selguse huvides pean vajalikuks rühmitada need küsimused teemade järgi ja käsitleda neid selles järjekorras.

55.

Selleks et anda eelotsusetaotluse esitanud kohtule tarvilik vastus, mis võimaldab tal lahendada tema menetluses oleva vaidluse, on Euroopa Kohtul vaja tõlgendada mitut isikuandmete kaitse üldmääruse sätet, millele ei ole küll küsimustes sõnaselgelt viidatud, aga mis tunduvad siiski asjakohased. Niisugune lähenemine on võimalik, sest väljakujunenud kohtupraktika kohaselt võib Euroopa Kohus tuletada eelotsusetaotluse esitanud kohtu esitatud teabest ja eelkõige eelotsusetaotluse põhjendustest need liidu õigusnormid ja põhimõtted, mida on põhikohtuasjade vaidluse eset silmas pidades vaja tõlgendada. ( 21 )

56.

Niisugune põhjalik analüüs näib mulle seda vajalikum, et eelotsusetaotluse esitanud kohus viitab oma küsimustes mõnikord ainult harta artiklitele 7 ja 8, ehkki neid sätteid ei tule kohaldada eraldi, nagu Euroopa Kohus on selgitanud, vaid neid tuleb võtta arvesse isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis f ette nähtud kaalumisel. ( 22 ) Lisaks tuleb selles kontekstis meenutada, et kuna isikuandmete kaitse üldmäärusega viiakse ellu neid põhiõigusi, kujutab teisese õiguse tõlgendus endast loogiliselt igasuguse eksegeesi lähtepunkti, sest teisese õiguse tõlgendamisel tuleb lähtuda esmasest õigusest, mille lahutamatu osa on harta. ( 23 ) Kaasan allpool esitatud analüüsi seega kõik sätted, mis tunduvad mulle asjakohased.

57.

Isikuandmete kaitse üldmääruse II peatükis „Põhimõtted“ on sätestatud isikuandmete töötlemise põhimõtted. Allpool analüüsin, kas majandusteaberegistrite praktika, mis seisneb avalikest registritest pärinevate isikuandmete säilitamises kolme aasta jooksul, on kooskõlas põhimõtetega, mis tunduvad mulle siinses kontekstis asjakohaseimad ning milleks on seaduslikkuse, eesmärgi piirangu ja võimalikult väheste andmete kogumise põhimõte.

58.

Tuginen analüüsis teabele, mille on andnud eelotsusetaotluse esitanud kohus ja SCHUFA, rõhutades siiski, et SCHUFA kui vastutava töötleja kohus on tõendada, et eespool mainitud põhimõtteid on järgitud, vastavalt isikuandmete kaitse üldmääruse artikli 5 lõikes 2 sätestatud vastutuse põhimõttele.

59.

Isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis a on nõutud, et isikuandmete töötlemisel tagatakse, et töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 kohaselt on isikuandmete töötlemine seaduslik ainult juhul, kui on täidetud tingimus, et esineb vähemalt üks selles loetletud põhjus. Nagu Euroopa Kohus on juba otsustanud, on tegemist nende juhtumite ammendava ja piiratud loeteluga, mil töötlemist võib pidada seaduslikuks. ( 24 ) Eelotsusetaotluse esitanud kohus soovib sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkt f lubab eraõiguslikul majandusteaberegistril säilitada avalikest registritest pärinevaid isikuandmeid selleks, et anda need andmed päringu korral kliendi käsutusse.

60.

Euroopa Kohtu praktika kohaselt ( 25 ) on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis f ette nähtud kolm kumulatiivset tingimust, mis peavad olema täidetud selleks, et isikuandmete töötlemine oleks seaduslik, st esiteks vastutava töötleja või selle kolmanda isiku või nende kolmandate isikute õigustatud huvi, kellele andmed edastatakse; teiseks tingimus, et isikuandmete töötlemine on vajalik selle õigustatud huvi tõttu, ning kolmandaks tingimus, et seda huvi ei kaalu üles selle andmesubjekti põhiõigused ja ‑vabadused, keda andmekaitse puudutab. Kuigi selle hindamine, kas need tingimused on täidetud, on eelotsusetaotluse esitanud kohtu ülesanne, peab Euroopa Kohus teda siiski selles hindamises juhendama, selgitades esitatud õiguslikke küsimusi.

61.

Kõigepealt pean „õigustatud huvi“ järgimise kohta vajalikuks meenutada, et isikuandmete kaitse üldmääruses ja kohtupraktikas on leitud, et õigustatud huve on terve hulk, ( 26 ) täpsustades samas, et vastavalt isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktile d peab vastutav töötleja ära näitama õigustatud huvid, mida isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f raames järgitakse.

62.

SCHUFA väidab, et kõnesoleva isikuandmete töötlemisega järgitakse õigustatud huve, mis on väga olulised. Täpsemalt töötlevad majandusteaberegistrid andmeid, mis on vajalikud isikute või ettevõtjate maksevõime hindamiseks, et nad saaksid anda selle teabe oma lepingupartnerite käsutusse. Sellega kaitstakse ka nende ettevõtjate majandushuve, kes soovivad sõlmida laenu puudutavaid lepinguid. Lisaks kujutab maksevõime kindlakstegemine ja teabe andmine maksevõime kohta endast laenu ja majanduse toimimise võime alust. Niisuguste äriühingute tegevus aitab ka konkretiseerida nende isikute ärisoove, kes on laenu puudutavatest tehingutest huvitatud, sest teave teeb võimalikuks kiire ja mittebürokraatliku läbivaatamise.

63.

Olen seisukohal, et põhimõtteliselt ei ole mingit objektiivset põhjust kahelda, kas SCHUFA huvi osutada oma klientidele eespool kirjeldatud äriteenust ja SCHUFA klientide huvi kasutada tema teenuseid potentsiaalsete äripartnerite maksevõime kontrollimisel on õigustatud huvid eespool seletatud tähenduses. Kuigi seda liiki teenuste osutamise eesmärk on saada tasu ja see kujutab endast seega eraõigusliku äriühingu majandusmudelit, ei piisa sellest asjaolust üksi ikkagi, et seada kahtluse alla, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktis f nimetatud esimene tingimus on käsitletaval juhul täidetud.

64.

Veelgi enam, kõnesoleva teenuse eesmärk on sisuliselt sama, mida taotles liidu seadusandja, kui võttis vastu määruse 2015/848 artikli 24, mis kohustab liikmesriike looma ja pidama oma territooriumil ühte või mitut registrit, milles avaldatakse teave maksejõuetusmenetluste kohta. Nagu ilmneb selle määruse põhjendusest 76, on avalike registrite eesmärk „[v]õlausaldajate ja kohtute teavitamise parandami[ne] ning paralleelsete maksejõuetusmenetluste algatamise vältimi[ne]“. Mulle näib, et SCHUFA pakutaval teenusel ei ole muud eesmärki. Küsimust, kas süsteemide paralleelsus võib viia õigusnormide kollisioonideni, on analüüsitud allpool. Analüüsi selles etapis piisab, kui pidada meeles, et võttes arvesse seda eesmärkide kokkulangevust, tuleb SCHUFA andmetöötlust pidada millekski, mis teenib õigustatud huvi isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f tähenduses.

65.

Mis puudutab tingimust, et isikuandmete töötlemine on vajalik järgitava õigustatud huvi tõttu, siis Euroopa Kohtu praktika kohaselt tuleb isikuandmete kaitse põhimõtte erandite ja piirangute puhul piirduda tingimata vajalikuga. ( 27 ) Töötlemise ja järgitava huvi vahel peab seega valitsema tihe seos, kui puuduvad alternatiivsed lahendused, mille puhul austataks isikuandmete kaitset rohkem, sest ei piisa sellest, et töötlemine on vastutavale töötlejale lihtsalt kasulik.

66.

Käsitletaval juhul tuleb tõendada, et maksejõuetust puudutavate isikuandmete võtmine avalikest registritest ja nende eraõiguslik säilitamine kujutavad endast SCHUFA‑le ainsat võimalust pakkuda seda täpset teavet oma klientidele ärilistel eesmärkidel. Ei saa välistada, et SCHUFA‑l on võimalik pakkuda äriteenust ja anda teavet isikute maksevõime kohta muude kättesaadavate andmete abil. Eelotsusetaotluse esitanud kohus peab kontrollima, kas see võimalus võimaldaks SCHUFA‑l veel pakkuda seda teenust oma klientidele tulemuslikult.

67.

SCHUFA leiab, et andmetöötlus on vajalik. Ta märgib, et kui majandusteaberegister ootaks enne andmete kogumisega alustamist konkreetset päringut, oleks teabe õigeaegne andmine võimatu. SCHUFA arvab, et asjaolu, et andmed on teatava aja jooksul kättesaadavad (ka) üldsusele, ei mõjuta kuidagi ei majandusteaberegistrite õigustatud huve ega töötlemise vajadust.

68.

Kui avalikest registritest pärinevate isikuandmete säilitamine ei oleks vajalik, et SCHUFA saaks pakkuda oma klientidele oma äriteenust, ei saaks see töötlemine olla isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel seaduslik. Seevastu juhul, kui selles õigusnormis sätestatud teine tingimus on täidetud, peaks eelotsusetaotluse esitanud kohus veel analüüsima selles sätestatud kolmandat kumulatiivset tingimust.

69.

Lõpuks selle kohta, kummad on tähtsamad, kas vastutava töötleja huvid ühelt poolt või andmesubjekti huvid või põhiõigused ja ‑vabadused teiselt poolt, tuleb märkida, et Euroopa Kohtu praktika kohaselt peab kaalul olevaid huve hindama eelotsusetaotluse esitanud kohus. ( 28 ) Endise artikli 29 töörühma, nüüdse Euroopa Andmekaitsenõukogu – kelle ülesanded on kindlaks määratud isikuandmete kaitse üldmääruse artiklis 70 – suunistes on loetletud kriteeriume, mida selle kaalumise käigus arvesse tuleb võtta: i) vastutava töötleja õigustatud huvi hindamine; ii) mõju andmesubjektidele; iii) esialgne kokkuvõte ning iv) täiendavad kaitsemeetmed, mille vastutav töötleja on võtnud, et hoida ära igasugune põhjendamatu mõju andmesubjektidele. ( 29 ) Üksikasjaliku ja loogilise analüüsi huvides teen ettepaneku kohaldada põhikohtuasjade suhtes neid kriteeriume. Niisugune lähenemine aitab pealegi kaasa isikuandmete kaitse üldmääruse ühetaolisemale kohaldamisele vastavalt liidu seadusandja eesmärkidele.

70.

Esimese kriteeriumi kohta tuleb tõdeda, et nii SCHUFA kui ka tema klientide huvi on puhtalt majanduslikku laadi. Eraõiguslikud äriühingud säilitavad avalikest registritest imporditud isikuandmeid, et pakkuda oma klientidele teenust, mis seisneb teabe pakkumises andmesubjekti maksevõime kohta täpselt nende andmete abil. Nagu ma eespool selgitasin, ( 30 ) tundub niisugune huvi olevat käesoleva analüüsi seisukohast õigustatud.

71.

Mis puudutab teist kriteeriumi, st töötlemise mõju andmesubjektidele, siis asjasse puutuv tegur näib olevat kustutamise tähtaeg. Mida pikem on andmete eraõiguslike majandusteaberegistrite andmebaasides säilitamise aeg, seda tõsisemad on tagajärjed andmesubjektile. Käsitletaval juhul töödeldi põhikohtuasjade kaebajate isikuandmeid avalikus registris „[v]õlausaldajate ja kohtute teavitamise parandamiseks ning paralleelsete maksejõuetusmenetluste algatamise vältimiseks“, nagu on nõutud määruse 2015/848 põhjenduses 76. Saksamaa seadusandja leidis mitmesuguste huvide kaalumise tulemusena, et maksejõuetusmenetluse andmed peavad olema selle eesmärgi saavutamiseks niisugustes avalikes registrites teatavaks tehtud kuue kuu jooksul. Isikuandmete säilitamine kauem kui kuus kuud näib seega esmapilgul avaldavat märkimisväärset negatiivset mõju andmesubjektile.

72.

Euroopa Kohtu praktikast ilmneb, et on veel teisigi tegureid, mida tuleb analüüsi raames arvesse võtta ning milleks on andmebaasidega tutvumise viis ja isikuandmete levitamise vahendid. ( 31 ) Lihtsamalt öeldes, mida kergemini on teave üldsusele kättesaadav, seda tõsisem on andmesubjekti põhiõiguste riive. See on nii eelkõige juhul, kui nende kasutajate arv, kes võivad andmesubjekti andmetega tutvuda, on suur. ( 32 ) Mulle tundub seega ilmne, et isegi kui andmed on selle kuue kuu jooksul juba avalikes registrites kättesaadavad, avaldab asjaolu, et neid säilitatakse ja need on paralleelselt kättesaadavad eraõiguslike majandusteaberegistrite andmebaasides, täiendavat mõju isiku eraelule – mõju, mis lisandub nende andmete avalikes registrites kättesaadavuse negatiivsetele tagajärgedele.

73.

Lisategur, mida analüüsis arvesse tuleb võtta, on asjaomaste andmete võimalik tundlikkus. ( 33 ) Võib üldiselt kinnitada, et mõju andmesubjektile suureneb olenevalt isikuandmete tundlikkusest. Selle kohta tuleb märkida, et Euroopa Kohtu praktikast ilmneb, et isikuandmed võlgade sissenõudmise kohta on tõesti andmesubjekti eraelu seisukohast tundlikud andmed. ( 34 ) Seda liiki andmete põhimõtteliselt piiramatu hulga kasutajate käsutusse andmist tuleb seega pidada selle isiku põhiõiguste märkimisväärseks riiveks. ( 35 )

74.

Lõpuks tundub mulle hädavajalik võtta arvesse ka ajategurit. Võib juhtuda, et isegi andmete seaduslik töötlemine ei ole aja möödudes enam isikuandmete kaitse üldmäärusega kooskõlas, kui need andmed ei ole või ei ole enam asjakohased või on ülemäärased, võttes arvesse eesmärki, milleks need alguses koguti. Sellest aspektist tekib mul tõsine küsimus, kuidas saab isikuandmete talletamist õigustada kolme aasta jooksul, kui riigisisene seadusandja on leidnud, et kuuekuuline säilitamisperiood – st selgelt palju lühem – on täiesti piisav, et võtta arvesse ettevõtjate ärihuve. Pean vajalikuks märkida, et SCHUFA ei ole suutnud anda sellele küsimusele selget ja veenvat vastust, ( 36 ) ehkki ta peab isikuandmete kaitse üldmääruse artikli 5 lõike 2 kohaselt tõendama, et isikuandmete töötlemise põhimõtteid on järgitud ( 37 ).

75.

Kõikide eelmistes punktides mainitud asjaolude hindamine viib mind järeldusele, et märkimisväärsed negatiivsed tagajärjed, mida andmete säilitamine avaldab andmesubjektile pärast seda kuuekuulist ajavahemikku, näivad kaaluvat üles eraõigusliku äriühingu ja tema klientide ärihuvi üle säilitada neid andmeid pärast seda perioodi. Sellega seoses on oluline rõhutada, et täitmata jäänud võlakohustusest vabastamist loetakse millekski, mis võimaldab isikul, kes sellest vabastatakse, taas majanduselus osaleda. ( 38 ) Põhikohtuasjade kaebajad ja komisjon juhtisid samuti sellele aspektile kohtuistungil tähelepanu. Seda eesmärki ei saaks aga saavutada, kui eraõiguslikel majandusteaberegistritel oleks lubatud säilitada oma andmebaasides isikuandmeid pärast seda, kui need andmed on avalikust registrist kustutatud.

76.

Mis puudutab lõpuks täiendavaid kaitsemeetmeid, mille vastutav töötleja võib olla võtnud, et hoida ära igasugune andmesubjektide põhjendamatu riive, siis miski eelotsusetaotluses ega SCHUFA seisukohtades ei võimalda niisuguseid kaitsemeetmeid tuvastada.

77.

Eeltoodud kaalutluste põhjal olen seisukohal, et see, kui eraõiguslik majandusteaberegister säilitab andmeid, ei saa olla isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel seaduslik alates hetkest, mil maksejõuetust käsitlevad isikuandmed on avalikest registritest kustutatud.

78.

Mis puudutab kuuekuulist ajavahemikku, mille jooksul on isikuandmed kättesaadavad ka avalikes registrites, siis eelotsusetaotluse esitanud kohtu ülesanne on kaaluda eespool nimetatud huve ja mõjusid andmesubjektile, et teha kindlaks, kas see, kui neid andmeid säilitavad paralleelselt eraõiguslikud majandusteaberegistrid, on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel seaduslik.

79.

Vastavalt isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis b sätestatud eesmärgi piirangu põhimõttele tuleb tagada, et teataval eesmärgil kogutud isikuandmeid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus. Käsitletaval juhul töötlesid ametiasutused maksejõuetust ja täitmata jäänud võlakohustusest vabastamist käsitlevaid andmeid seadusjärgsete kohustuste täitmise raames.

80.

Mis puudutab nende andmete hilisemat kasutamist eraõigusliku äriühingu poolt, siis tuleb analüüsida isikuandmete kaitse üldmäärusest lähtudes ja selle määruse artikli 6 lõikes 4 sätestatud kriteeriumeid kohaldades, kas taotletav eesmärk on kooskõlas esialgse eesmärgiga. Käsitletaval juhul on eriti asjakohased selle lõike punktid a, b ja d. Nendega on kehtestatud järgmised kriteeriumid: i) seos esialgse eesmärgi ja hilisema eesmärgi vahel; ii) isikuandmete kogumise kontekst, eelkõige andmesubjektide ja vastutava töötleja vaheline seos, ning iii) kavandatava edasise töötlemise võimalikud tagajärjed andmesubjektide jaoks.

81.

Esiteks tundub, et seos eesmärkide vahel on õhkõrn kas või ainult seepärast, et esialgne eesmärk on ette nähtud seaduses, nimelt liidu õiguses, mis paneb liikmesriikidele kohustuse luua ja pidada registreid, ( 39 ) ning vastutav töötleja on ametiasutus, kes tegutseb talle seadusega usaldatud ülesannete raames, samas kui hilisemat eesmärki taotleb eraõiguslik üksus äritegevuse raames, mis seisneb isikute kohta majandusteabe pakkumises.

82.

Teiseks tuleb andmete kogumise konteksti kohta märkida, et vastutava töötleja ja andmesubjekti vahel ei ole mingit seost, sest andmeid kogutakse kaudselt registrite kaudu ning andmesubjekt ei ole seega teadlik sellest, et tema andmeid võidakse hiljem kasutada, ega sellest, kes seda teeb või millisel eesmärgil. See aspekt tundub mulle isikuandmete kaitse seisukohast eriti tõsine, sest reeglina ei oska keegi mõistlikult oodata oma isikuandmete hilisemat töötlemist. ( 40 ) Asjaolu, et seadus näeb ette teatava ajavahemiku, mille jooksul andmeid avalikes registrites säilitatakse, võib viia mõistlikult mõttele, et selle aja möödudes asjaomased andmed kustutatakse.

83.

Kolmandaks tuleb võimalike tagajärgede kohta, mida andmete hilisem töötlemine võib andmesubjektidele kaasa tuua, rõhutada, et teavet maksejõuetusmenetluste kohta kasutatakse asjaomase füüsilise isiku maksevõime ja maksmise suutlikkuse hilisemal hindamisel alati negatiivse tegurina, mis avaldab märkimisväärset mõju isiku õigustele. Väär pilt tema majanduslikust olukorrast võib avaldada andmesubjektile ebasoodsat mõju, muutes tema vabaduste kasutamise tunduvalt keerukamaks või isegi häbimärgistades teda ühiskonnas. Kuna andmesubjektile võidakse keelata kaupu ja teenuseid, võib talle osaks saada põhjendamatu diskrimineerimine.

84.

Nende kolme kriteeriumi põhjal, mis peavad olema täidetud, et isikuandmete kasutamine oleks kooskõlas esialgse eesmärgiga, nagu on nõutud isikuandmete kaitse üldmääruse artikli 6 lõikes 4, tundub mulle kaheldav, kas nende andmete hilisem kasutamine võib olla selle eesmärgiga kooskõlas.

85.

Tuleb ka märkida, et kehtestades kuuekuulise maksimaalse tähtaja, mille jooksul on maksejõuetusolukord ja täitmata jäänud võlakohustusest vabastamise kohtuotsus avaldatud, kui on täidetud seaduses sätestatud tingimused, on riigisisene seadusandja juba võtnud arvesse avaliku huvi järgimist ning kaalunud võlausaldajate huvi ühelt poolt ning maksejõuetute isikute huve ja õigusi teiselt poolt. ( 41 ) See, kui eraõiguslikud majandusteaberegistrid töötlevad isikuandmeid kuus korda pikema aja vältel, kui on seaduses ette nähtud avalike registrite puhul, näib ülemäärane ja sellega karistatakse de facto andmesubjekti, ehkki seaduses ei ole selgelt midagi niisugust ette nähtud. Nagu ma juba märkisin, peab täitmata jäänud võlakohustusest vabastamine võimaldama isikul, kes vabastatakse, osaleda taas majanduselus. Seda eesmärki ei saaks saavutada, kui eraõiguslikel majandusteaberegistritel oleks lubatud säilitada isikuandmeid oma andmebaasides pärast seda, kui need on kustutatud avalikust registrist. ( 42 ) Kuna vastupidised tõendid puuduvad, tuleb karta, et andmebaasiga tutvumise tingimused võivad olla välja töötatud kavatsusega hiilida mööda riigisisestest õigusaktidest, mille liikmesriik on vastu võtnud eesmärgiga täita kohustusi, mis on talle kehtestatud liidu õigusega. ( 43 )

86.

Ka näib ebaproportsionaalne „kasutada uuesti“ niisugust mineviku olukorda nagu täitmata jäänud võlakohustusest vabastamine, mis on õiguslikult juba lahendatud, tulevastes hinnangutes – selle asemel, et kasutada riskianalüüsi hetkel ajakohastatud tegureid, et tagada andmesubjekti majandusliku olukorra täpsem ja objektiivsem hindamine. Võib tekkida küsimus, missugune väärtus on mitu aastat vanal teabel isiku majandusliku olukorra kohta. Isikuandmed, mis on seotud teatavast ajast pärineva asjaoluga, annavad vaevalt usaldusväärset teavet andmesubjekti praeguse majandusliku olukorra kohta. Saksamaa seadusandja näib olevat seda probleemi teadvustanud ja teinud sellest asjakohased järeldused, valides tunduvalt lühema andmete säilitamise aja.

87.

Lõpuks tuleb märkida, et majandusteaberegistrite toimimisviis tundub mulle olevat vastuolus isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis c sätestatud võimalikult väheste andmete kogumise põhimõttega, mille kohaselt peavad isikuandmed olema asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt. Sellega seoses tekib tõesti küsimus, mis mõte on teha kättesaadavaks isikuandmeid, mis on juba üldsusele kättesaadavad liikmesriigi loodud registrites. Mulle näib, et niisugune tegevus võib pigem viia tundliku teabe levitamiseni, mis ei ole tingimata vajalik, et rahuldada ettevõtjate ärihuve. ( 44 )

88.

Eespool esitatud põhjustel leian, et see, kui eraõiguslik majandusteaberegister säilitab neid andmeid, ei ole praktika, mis oleks kooskõlas isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktides b ja c sätestatud eesmärgi piirangu põhimõtte ja võimalikult väheste andmete kogumise põhimõttega.

89.

Eeltoodud analüüs viib mind järeldusele, et majandusteaberegistrite praktika, mis seisneb avalikest registritest pärinevate isikuandmete säilitamises kolme aasta vältel, ei ole kooskõlas isikuandmete kaitse üldmääruses sätestatud põhimõtetega, mis reguleerivad isikuandmete töötlemist. Samas tuleb täpsustada, et niisugune järeldus põhineb hinnangul faktilistele asjaoludele, mille peab kokkuvõttes andma eelotsusetaotluse esitanud kohus, kelle ülesanne on vaidlus lahendada.

90.

Eelotsusetaotluse esitanud kohus soovib ka teada, kas isikuandmete kaitse üldmääruse artiklis 17 ette nähtud „õigus olla unustatud“ eeldab, et isikuandmed kustutatakse eraõigusliku majandusteaberegistri andmebaasidest, mis eksisteerivad paralleelselt avalike registritega ja sisaldavad samu andmeid. Eelotsusetaotluse esitanud kohus eristab ajavahemikku, mil isikuandmed on kättesaadavad ka avalikus registris, ja ajavahemikku, mil need andmed enam ei ole seal kättesaadavad.

91.

Isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktis d on ette nähtud andmesubjekti absoluutne õigus sellele, et tema isikuandmed kustutatakse, kui neid on töödeldud ebaseaduslikult. ( 45 ) Järelikult juhul, kui võttes arvesse järeldust, millele ma oma analüüsi raames olen jõudnud, ( 46 ) peaks eelotsusetaotluse esitanud kohus leidma, et SCHUFA ei saanud töödelda kaebajate isikuandmeid isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel seaduslikult, on see töötlemine ebaseaduslik, kui ükski teine isikuandmete kaitse üldmääruse artikli 6 lõikes 1 nimetatud põhjus ei olnud kohaldatav. Niisugusel juhul on SCHUFA kohustatud kaebajate isikuandmed kustutama ja kaebajatel on vastav õigus ning seda olenemata sellest, kas nad taotlesid andmete kustutamist enne või pärast nende andmete kustutamist avalikust registrist. Selline tulemus tundub olevat kooskõlas ka nõuetega, mis on sätestatud isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis e, milles on ette nähtud, et isikuandmeid „säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse“ (kohtujuristi kursiiv).

92.

Pean vajalikuks juhtida tähelepanu määruse 2015/848 artikli 79 lõikele 5, milles on rõhutatud tähtsust, mille liidu seadusandja on omistanud õigusele andmete kustutamisele, eelkõige juhul, kui ametiasutused töötlevad eriti tundlikke isikuandmeid, näiteks andmesubjektide maksevõimet puudutavaid andmeid. Selles õigusnormis on ette nähtud, et „[o]sana teabest, mis tuleks esitada andmesubjektidele, et nad saaksid kasutada oma õigusi, eelkõige õigust andmete kustutamisele, teavitavad liikmesriigid andmesubjekte sellest, millise ajavahemiku jooksul on maksejõuetusregistrites säilitatavad isikuandmed kättesaadavad“ (kohtujuristi kursiiv). Liidu seadusandja on ilmselgelt tunnustanud vajadust kustutada seda liiki andmed, kui nende talletamine ei ole enam õigustatud.

93.

Ehkki eelotsusetaotlused puudutavad ainult isikuandmete kaitse üldmääruse artikli 17 lõike 1 punkti d tõlgendamist, olen arvamusel, et ka lõike 1 punkt c võib osutuda käesolevates kohtuasjades tehtava kohtuotsusega seoses asjakohaseks, nimelt juhul, kui eelotsusetaotluse esitanud kohus peaks leidma – vastupidi järeldusele, millele ma jõudsin olemasoleva teabe põhjal –, et SCHUFA võis töödelda kaebajate isikuandmeid isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel seaduslikult. Selles sättes on ette nähtud õigus isikuandmete kustutamisele, kui andmesubjekt esitab isikuandmete kaitse üldmääruse artikli 21 lõike 1 alusel töötlemise suhtes vastuväiteid ning töötlemiseks ei ole mõjuvat õiguspärast põhjust. See sõnastus eeldab, et igasugune „töötlemine mõjuval õiguspärasel põhjusel“ kujutab endast erandit andmesubjekti õigusest esitada töötlemise suhtes vastuväiteid ja saavutada isikuandmete kustutamine. Järelikult eeldatakse, et andmesubjektil on õigus esitada töötlemise suhtes vastuväiteid ja õigus andmete kustutamisele, kui ei ole mõjuvat õiguspärast põhjust. ( 47 )

94.

Leian, et isikuandmete tegeliku kaitse huvides ei tohiks siis, kui küsimuse all on õiguse andmete kustutamisele kasutamine, teha märkimisväärseid takistusi, eelkõige olukorras, kus turul on mitu majandusteaberegistrit, kes säilitavad andmeid paralleelselt avaliku registriga. Kui selle õiguse kasutamine muuta liiga raskeks isikuandmete kaitse üldmääruse artikli 17 lõike 1 liiga kitsa tõlgendusega, võivad konkurendid mööda hiilida kaitsest, mille pakkumine on isikuandmete kaitse üldmääruse eesmärk. Tuleb aga meenutada, et liidu seadusandja eesmärk oli „[tagada i]sikuandmete töötlemisel […] füüsiliste isikute põhiõiguste ja ‑vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus“ (kohtujuristi kursiiv), nagu ilmneb isikuandmete kaitse üldmääruse põhjendusest 10. Andmesubjekt peab seega saama kaitsta oma õigusi kõikide äriühingute suhtes, kes neid õigusnorme rikuvad. Kuna SCHUFA on ainult üks paljudest majandusteaberegistritest Saksamaal, on vaja teha kindlaks, kas isikuandmete paralleelne säilitamine avalikus registris kujutab endast nende äriühingute hulgas levinud praktikat.

95.

Analüüsi selles etapis tuleb seega asuda seisukohale, et kaebajad võivad põhimõtteliselt tugineda isikuandmete kaitse üldmääruse artikli 17 lõike 1 alusel õigusele andmete kustutamisele. Tulemus oleks teistsugune ainult juhtudel, mil eraõiguslik majandusteaberegister on suutnud „tõenda[da], et [andmeid] töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused“, isikuandmete kaitse üldmääruse artikli 21 lõike 1 tähenduses. Kuna olemasolev teave ei võimalda täheldada põhikohtuasjades mõjuvaid põhjuseid, peab eelotsusetaotluse esitanud kohus tegema kindlaks faktilised asjaolud ja vajaduse korral hindama kaalul olevaid huve.

96.

Eeltoodud kaalutluste põhjal tuleb isikuandmete kaitse üldmääruse artikli 17 lõike 1 punkti d tõlgendada nii, et andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, kui neid andmeid on vastavalt selle määruse artikli 6 lõikele 1 töödeldud ebaseaduslikult. Isikuandmete kaitse üldmääruse artikli 17 lõike 1 punkti c tuleb tõlgendada nii, et andmesubjektil on põhimõtteliselt õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, kui ta esitab vastavalt selle määruse artikli 21 lõikele 1 töötlemise suhtes vastuväiteid. Eelotsusetaotluse esitanud kohtu ülesanne on analüüsida, kas erandkorras on olemas mõjuvad õiguspärased põhjused töötlemiseks.

97.

Eelotsusetaotluse esitanud kohus soovib ka teada, kas liidu õigusega on kooskõlas näha ette toimimisjuhendis isikuandmete kaitse üldmääruse artikli 40 tähenduses järelevalve ja kustutamistähtajad, mis ületavad avalike registrite puhul ette nähtud säilitamistähtaegu, ilma et oleks tarvis läbi viia selle määruse artikli 6 lõike 1 esimese lõigu punktis f ette nähtud kaalumist.

98.

Selle kohta tuleb kohe märkida, et eelotsusetaotluse esitanud kohtu sõnul ei ole praegu ühtegi riigisisest õigusnormi, millega oleksid kindlaks määratud kustutamistähtajad andmebaaside puhul, mida peavad majandusteaberegistrid. Tundub siiski, et asjaomased isikud tajuvad toimimisjuhendit, mille on vastu võtnud ühiselt järelevalveasutused ja majandusteaberegistrite ühendus, teatava „õigusliku alusena“, mis võib muuta eespool kirjeldatud praktika õiguspäraseks. Niisugune kontseptsioon näib mulle õiguslikult kaheldav järgmistel põhjustel.

99.

Õiguslikult on niisugune toimimisjuhend ainult vabatahtlik kohustus, mille on võtnud need, kes selle välja töötasid ja vastu võtsid, st eespool nimetatud ühendus ja selle liikmed. Ka asjaolu, et selle toimimisjuhendi on heaks kiitnud järelevalveasutus, tähendab üksnes seda, et tema kui haldusasutus peab seda toimimisjuhendit endale siduvaks. Mulle tundub siiski ilmne, et põhimõtte pacta tertiis nec nocent nec prosunt kohaselt ei ole see siduv kolmandatele isikutele. Vastasel korral puudutab see mitte ainult füüsilisi isikuid, kelle andmeid töödeldakse, vaid ka äriühinguid, kes selle toimimisjuhendi väljatöötamises ei osalenud.

100.

Oma definitsiooni poolest ei ole toimimisjuhendil õiguskorras normatiivset väärtust, vaid selle eesmärk on pigem täpsustada normatiivakti sätteid, et hõlbustada selle kohaldamist. Seda tõlgendust kinnitavad isikuandmete kaitse üldmääruse artikli 40 lõiked 1 ja 2, millest ilmneb, et toimimisjuhendid, mida vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada, on mõeldud esiteks selleks, et „aidata kaasa [selle määruse] nõuetekohasele kohaldamisele“, ning teiseks selleks, et „täpsustada [selle määruse] kohaldamist“ (kohtujuristi kursiiv). Seega, kuna asjaomase toimimisjuhendi otstarve on piiratud isikuandmete kaitse üldmääruse nõuetekohase kohaldamisega teatavas sektoris, ei saa see üksi olla õiguslik alus, mis õigustab isikuandmete töötlemist. ( 48 )

101.

Õiguslikuks aluseks, mis võib töötlemist õigustada, võib olla ainult isikuandmete kaitse üldmääruse artikkel 6, kui riigisiseses õiguses on olemas kohaldatav kaitseklausel. Märkisin käesolevas ettepanekus juba, et isikuandmete kaitse üldmääruse artiklis 6 on esitatud nende juhtumite ammendav ja piiratud loetelu, mil töötlemist võib pidada seaduslikuks. ( 49 ) Järelikult ei tohi toimimisjuhendi sätted tuua kaasa seda, et laiendavad nimetatud loetelu, ilma et samal ajal rikutaks liidu õigust.

102.

Mulle tundub, et niisugusel juhul nagu käsitletav on see just nõnda, sest need sätted kohustavad majandusteaberegistreid säilitama andmesubjektide andmeid kolme aasta jooksul, st pikema aja jooksul, kui võib olla põhjendatud, lähtudes isikuandmete kaitse üldmääruses sätestatud põhimõtetest, mis isikuandmete töötlemist reguleerivad. Täpsemalt – nagu ma oma analüüsi raames näitasin – ei saa nende andmete säilitamist pidada seaduslikuks isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel ajavahemikul, mis järgneb maksejõuetust puudutavate isikuandmete kustutamisele avalikes registrites. ( 50 )

103.

Analüüsi selles etapis tuleb seega asuda seisukohale, et toimimisjuhendeid, mis viivad teistsuguse tulemuseni kui tulemus, mis oleks saavutatud isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel, ei saa selle sätte alusel läbiviidavas kaalumises arvesse võtta. Majandusteaberegistrid ei saa „vastutavate töötlejatena“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses peituda enda välja töötatud toimimisjuhendi sätete taha, et vabastada end oma kohustustest, mis tulenevad sellest määrusest.

104.

Eeltoodud kaalutluste põhjal leian, et isikuandmete kaitse üldmääruse artikli 40 lõikeid 2 ja 5 tuleb tõlgendada nii, et toimimisjuhenditega, mis on välja töötatud nende sätete alusel ja mille võib olla heaks kiitnud järelevalveasutus, ei saa kehtestada siduvalt isikuandmete seadusliku töötlemise tingimusi, mis erinevad isikuandmete kaitse üldmääruse artikli 6 lõikes 1 kindlaks määratud tingimustest.

105.

Eeltoodud kaalutluste põhjal teen Euroopa Kohtule ettepaneku vastata Verwaltungsgericht Wiesbadeni (Wiesbadeni halduskohus, Saksamaa) eelotsuse küsimustele järgmiselt: