–

UF ja AB, esindajad: Rechtsanwälte R. Rohrmoser ja S. Tintemann,

–

Land Hessen, esindajad: Rechtsanwälte M. Kottmann ja G. Ziegenhorn,

–

SCHUFA Holding AG, Rechtsanwälte G. Thüsing ja U. Wuermeling,

–

Saksamaa valitsus, esindajad: J. Möller ja P.‑L. Krüger,

–

Portugali valitsus, esindajad: P. Barros da Costa, J. Ramos ja C. Vieira Guerra,

–

Euroopa Komisjon, esindajad: A. Bouchagiar, F. Erlbacher, H. Kranenborg ja W. Wils,

1

Eelotsusetaotlused käsitlevad küsimust, kuidas tõlgendada Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikleid 7 ja 8 ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, ja parandus ELT 2018, L 127, lk 2) artikli 6 lõike 1 esimese lõigu punkti f, artikli 17 lõike 1 punkti d, artikli 40, artikli 77 lõiget 1 ja artikli 78 lõiget 1.

2

Taotlused on esitatud kahes kohtuvaidluses ühelt poolt UF‑i (kohtuasi C‑26/22) ja AB (kohtuasi C‑64/22) ning teiselt poolt Land Hesseni (Hesseni liidumaa, Saksamaa) vahel seoses Hessischer Beauftragter für Datenschutz und Informationsfreiheiti (Hesseni liidumaa andmekaitse ja teabevabaduse volinik, Saksamaa; edaspidi „andmekaitse volinik“) keeldumisega kohustada SCHUFA Holding AG‑d (edaspidi „SCHUFA“) kustutama tema säilitatavad andmed UF‑i ja AB täitmata jäänud võlakohustustest vabastamise kohta.

3

Euroopa Parlamendi ja nõukogu 23. aprilli 2008. aasta direktiivi 2008/48/EÜ, mis käsitleb tarbijakrediidilepinguid ja millega tunnistatakse kehtetuks nõukogu direktiiv 87/102/EMÜ (ELT 2008, L 133, lk 66; parandus ELT 2011, L 234, lk 46), põhjendustes 26 ja 28 on märgitud:

[…]

4

Direktiivi artikli 8 „Kohustus hinnata tarbija krediidivõimelisust“ lõikes 1 on ette nähtud:

„Liikmesriigid tagavad, et enne krediidilepingu sõlmimist hindab krediidiandja tarbija krediidivõimelisust vajaduse korral tarbijalt saadud piisava teabe alusel ja kasutades vajadusel asjakohaseid andmebaase. Liikmesriigid, kelle õigusaktid sätestavad krediidiandjale kohustuse hinnata tarbija krediidivõimelisust asjakohaseid andmebaase kasutades, võivad selle nõude säilitada.“

5

Euroopa Parlamendi ja nõukogu 4. veebruari 2014. aasta direktiivi 2014/17/EL elamukinnisvaraga seotud tarbijakrediidilepingute kohta ning millega muudetakse direktiive 2008/48/EÜ ja 2013/36/EL ja määrust (EL) nr 1093/2010 (ELT 2014, L 60, lk 34; parandus ELT 2015, L 246, lk 11) põhjendustes 55 ja 59 on märgitud:

[…]

6

Direktiivi artikli 18 „Kohustus hinnata tarbija krediidivõimelisust“ lõikes 1 on ette nähtud:

„Liikmesriigid tagavad, et krediidiandja hindab enne krediidilepingu sõlmimist põhjalikult tarbija krediidivõimelisust. Hindamisel võetakse asjakohaselt arvesse tegureid, mis on olulised kontrollimaks väljavaadet, et tarbija täidab oma krediidilepingust tulenevad kohustused.“

7

Direktiivi artikli 21 „Juurdepääs andmebaasidele“ lõigetes 1 ja 2 on sätestatud:

„1.   Iga liikmesriik tagab kõigi liikmesriikide kõigile krediidiandjatele juurdepääsu andmebaasidele, mida kõnealuses liikmesriigis kasutatakse selleks, et hinnata tarbijate krediidivõimelisust ning ainuüksi selleks, et jälgida tarbija krediidikohustuste täitmist krediidilepingu kehtivuse ajal. Sellise juurdepääsu tingimused ei tohi olla diskrimineerivad.

2.   Lõiget 1 kohaldatakse nii eraõiguslike krediidiinfobüroode või -agentuuride hallatavate andmebaaside kui ka riiklike registrite suhtes.“

8

Euroopa Parlamendi ja nõukogu 20. mai 2015. aasta määruse (EL) 2015/848 maksejõuetusmenetluse kohta (ELT 2015, L 141, lk 19; parandus ELT 2022, L 89, lk 10) põhjenduses 76 on märgitud:

„Võlausaldajate ja kohtute teavitamise parandamiseks ning paralleelsete maksejõuetusmenetluste algatamise vältimiseks tuleks nõuda, et liikmesriigid avaldaksid piiriüleseid maksejõuetusmenetlusi käsitleva teabe üldsusele kättesaadavas elektroonilises registris. Selleks et hõlbustada teistes liikmesriikides asuvate võlausaldajate ja kohtute juurdepääsu kõnealusele teabele, tuleks käesoleva määrusega ette näha maksejõuetusregistrite omavaheline ühendamine Euroopa e‑õiguskeskkonna portaali kaudu. […]“.

9

Määruse artikli 79 „Liikmesriikide vastutus seoses isikuandmete töötlemisega riiklikes maksejõuetusregistrites“ lõigetes 4 ja 5 on ette nähtud:

„4.   Liikmesriigid vastutavad kooskõlas [Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta] direktiiviga 95/46/EÜ [üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355)] andmete kogumise ja säilitamise eest riiklikes andmebaasides ning otsuste eest, millega tehakse sellised andmed kättesaadavaks omavahel ühendatud ja Euroopa e‑õiguskeskkonna portaali kaudu kättesaadavates maksejõuetusregistrites.

5.   Osana teabest, mis tuleks esitada andmesubjektidele, et nad saaksid kasutada oma õigusi, eelkõige õigust andmete kustutamisele, teavitavad liikmesriigid andmesubjekte sellest, millise ajavahemiku jooksul on maksejõuetusregistrites säilitatavad isikuandmed kättesaadavad.“

10

Isikuandmete kaitse üldmääruse põhjendustes 10, 11, 47, 50, 98, 141 ja 143 on märgitud:

[…]

[…]

[…]

[…]

[…]

11

Määruse artikkel 5 „Isikuandmete töötlemise põhimõtted“ on sõnastatud järgmiselt:

„1.   Isikuandmete töötlemisel tagatakse, et

[…]

[…]

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

12

Määruse artiklis 6 „Isikuandmete töötlemise seaduslikkus“ on ette nähtud:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

[…]

[…]

4.   Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

13

Määruse artikli 17 „Õigus andmete kustutamisele („õigus olla unustatud“)“ lõikes 1 on sätestatud:

„Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

[…]

[…]“.

14

Määruse artikli 21 „Õigus esitada vastuväiteid“ lõigetes 1 ja 2 on sätestatud:

„1.   Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

2.   Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sealhulgas profiilianalüüsi suhtes sel määral mil see on seotud kõnealuse otseturundusega.“

15

Määruse artikli 40 „Toimimisjuhendid“ lõigetes 1, 2 ja 5 on sätestatud:

„1.   Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja [Euroopa K]omisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2.   Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

[…]

5.   Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.“

16

Määruse artikli 51 „Järelevalveasutus“ lõikes 1 on ette nähtud:

„Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).“

17

Määruse artikli 52 „Sõltumatus“ lõigetes 1, 2 ja 4 on sätestatud:

„1.   Järelevalveasutus tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2.   Järelevalveasutuse liige või liikmed on oma käesoleva määrusega kooskõlas olevate ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning ei küsi ega võta vastu juhiseid mitte kelleltki.

[…]

4.   Liikmesriik tagab, et järelevalveasutusel oleks inim-, tehnilised ja rahalised ressursid ning ruumid ja infrastruktuur oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.“

18

Määruse artikkel 57 „Ülesanded“ lõikes 1 on sätestatud:

„Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

[…]

[…]“.

19

Määruse artikli 58 „Volitused“ lõikes 1 on loetletud iga järelevalveasutuse uurimisvolitused ja lõikes 2 parandusvolitused.

20

Määruse artiklis 77 „Õigus esitada järelevalveasutusele kaebus“ on ette nähtud:

„1.   Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.

2.   Järelevalveasutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest.“

21

Määruse artikli 78 „Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu“ lõigetes 1 ja 2 on ette nähtud:

„1.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

2.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artiklite 55 ja 56 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 77 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.“

22

Määruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on sätestatud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

23

5. oktoobri 1994. aasta maksejõuetusmenetluse määruse (Insolvenzordnung; BGBl. 1994 I, lk 2866) – põhikohtuasja asjaoludele kohaldatavas versioonis – § 9 lõikes 1 on sätestatud:

„Avalik teatavakstegemine toimub keskse ja liidumaadeülese avaldamisega veebis; teatavaks tegemine võib olla osaline. Seejuures tuleb välja tuua võlgniku nimi, esitada tema aadress ja tegevusala. Teatavakstegemine loetakse toimunuks kahe päeva möödumisel avaldamise päevast.“

24

12. veebruari 2002. aasta määruse, mis reguleerib maksejõuetusmenetlust puudutava teabe avalikku teatavakstegemist veebis (Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet; BGBl. I, lk 677; edaspidi „InsoBekV“), § 3 lõigetes 1 ja 2 on ette nähtud:

„(1)   Elektroonilises teabe- ja sidesüsteemis avaldatud teave maksejõuetusmenetluse, sealhulgas menetluse algatamise kohta kustutatakse hiljemalt kuus kuud pärast maksejõuetusmenetluse kehtetuks tunnistamist või selle lõpetamise otsuse jõustumist. Kui menetlust ei algatata, algab tähtaeg avaldatud kaitsemeetmete kehtetuks tunnistamisega.

(2)   Täitmata jäänud võlakohustustest vabastamise menetlust, sealhulgas maksejõuetusmenetluse määruse § 289 kohast kohtumäärust puudutava teabe avaldamise suhtes kehtib lõike 1 esimene lause tingimusega, et tähtaeg hakkab kulgema alates täitmata jäänud võlakohustustest vabastamise määruse jõustumisest.“

25

Maksejõuetusmenetluste raames UF‑i ja AB suhtes vastavalt 17. detsembril 2020 ja 23. märtsil 2021 tehtud kohtumäärusega vabastati nad ennetähtaegselt täitmata jäänud võlakohustustest. Vastavalt InsoBekV § 9 lõikele 1 ning InsoBekV § 3 lõigetele 1 ja 2 kustutati nende otsuste avalik teatavakstegemine internetis kuue kuu möödumisel nimetatud määruste tegemisest.

26

SCHUFA on eraõiguslik majandusteaberegister, kes salvestab ja säilitab oma andmebaasides avalikest registritest pärinevat teavet eelkõige täitmata jäänud võlakohustusest vabastamise kohta. Ta kustutab viimati nimetatud teabe kolme aasta möödumisel registreerimisest vastavalt toimimisjuhendile, mille on välja töötanud majandusteaberegistrite ühendus Saksamaal ja mille on heaks kiitnud pädev järelevalveasutus.

27

UF ja AB pöördusid SCHUFA poole, et viimane kustutaks kanded nende suhtes tehtud võlakohustusest vabastamise määruste kohta. Kõnealune äriühing keeldus nende taotlusi rahuldamast, olles selgitanud, et tema tegevus on kooskõlas isikuandmete kaitse üldmäärusega ning tema suhtes ei kuulu InsoBekV § 3 lõikes 1 ette nähtud kuuekuuline kustutamistähtaeg kohaldamisele.

28

UF ja AB esitasid kumbki kaebuse andmekaitse volinikule kui pädevale järelevalveasutusele.

29

Andmekaitse volinik leidis vastavalt 1. märtsi 2021. aasta otsuses ja 9. juuli 2021. aasta otsuses, et andmete töötlemine SCHUFA poolt on seaduslik.

30

UF ja AB esitasid kumbki andmekaitse voliniku otsuse peale kaebuse Verwaltungsgericht Wiesbadenile (Wiesbadeni halduskohus, Saksamaa), kes on eelotsusetaotluse esitanud kohus. Nad põhjendasid oma kaebusi sellega, et andmekaitse volinik on oma ülesannete ja volituste raames kohustatud võtma SCHUFA suhtes meetmeid, et kohustada teda neid puudutavad kanded kustutama.

31

Andmekaitse volinik palub oma vastuses jätta kaebused rahuldamata.

32

Esiteks väitis andmekaitse volinik, et isikuandmete kaitse üldmääruse artikli 77 lõikes 1 ette nähtud kaebeõigus on kujundatud üksnes petitsiooniõigusena. Nii piirdub kohtulik kontroll selle kontrollimisega, kas järelevalveasutus käsitles kaebust ning kas ta teavitas selle esitajat kaebuse menetlemise käigust ja tulemusest. Seevastu ei ole asja lahendava kohtu ülesanne kontrollida kaebuse kohta tehtud otsuse sisulist õigsust.

33

Teiseks märgib andmekaitse volinik, et andmeid, millele majandusteaberegistril on juurdepääs, võib säilitada seni, kuni see on vajalik nende eesmärkide saavutamiseks, milleks neid säilitati. Kuna liikmesriigi seadusandja ei ole õigusnorme ette näinud, on järelevalveasutus vastu võtnud toimimisjuhendi, ning majandusteaberegistrite ühenduse koostatud juhendis on nähtud ette, et need andmed kustutatakse täpselt kolm aastat pärast registrisse kande tegemist.

34

Sellega seoses peab eelotsusetaotluse esitanud kohus esiteks vajalikuks teha selgeks selle otsuse õiguslik laad, mille järelevalveasutus teeb talle isikuandmete kaitse üldmääruse artikli 77 lõike 1 alusel esitatud kaebuse kohta.

35

Eelkõige on eelotsusetaotluse esitanud kohtul kahtlusi seoses andmekaitse voliniku väitega, kuna see kahjustaks isikuandmete kaitse üldmääruse artikli 78 lõikes 1 ette nähtud kohtusse pöördumise tõhusust. Lisaks, võttes arvesse selle määruse eesmärki, milleks on harta artiklite 7 ja 8 kohaldamise raames tagada füüsiliste isikute põhivabaduste ja -õiguste tõhus kaitse, ei või kõnealuse üldmääruse artikleid 77 ja 78 tõlgendada kitsendavalt.

36

Nimetatud kohus pooldab tõlgendust, mille kohaselt peab kohus kontrollima järelevalveasutuse sisulist otsust täies ulatuses. Järelevalveasutusel on siiski nii hindamispädevus kui ka kaalutlusõigus ning talle võib tegutsemise kohustuse seada vaid siis, kui seaduslikud alternatiivid puuduvad.

37

Teiseks on eelotsusetaotluse esitanud kohtul tekkinud kahel põhjusel küsimus selle kohta, kas avalikest registritest nagu maksejõuetusregistrist pärinevate isiku maksevõimet puudutavate andmete säilitamine majandusteaberegistrites on seaduslik.

38

Esimesena on kaheldav, kas on seaduslik, et selline eraõiguslik äriühing nagu SCHUFA säilitab avalikest registritest edastatud andmeid oma andmebaasis.

39

Nimelt ei säilitata andmeid kõigepealt mitte konkreetse juhtumi puhul, vaid juhul, kui vastava äriühingu lepingupartnerid küsivad temalt sellist teavet, mis lõppkokkuvõttes toob kaasa andmete säilitamise, eriti juhul, kui need on säilitamistähtaja möödumise tõttu avalikust registrist juba kustutatud.

40

Lisaks on andmete töötlemine ja seega säilitamine lubatud ainult siis, kui üks isikuandmete kaitse üldmääruse artikli 6 lõikes 1 sätestatud tingimustest on täidetud. Käesoleval juhul on asjakohane üksnes selle määruse artikli 6 lõike 1 esimese lõigu punktis f sätestatud tingimus. On aga kaheldav, kas sellisel majandusteaberegistril nagu SCHUFA on osutatud sätte tähenduses õigustatud huvi.

41

Lõpetuseks tuleb märkida, et SCHUFA on ainult üks majandusteaberegister teiste hulgas ning andmeid säilitatakse Saksamaal seega mitmel viisil, mis tähendab harta artiklis 7 sätestatud põhiõiguse massilist rikkumist.

42

Teisena, isegi kui eeldada, et iseenesest on seaduslik, kui eraõiguslikud äriühingud säilitavad avalikest registritest pärinevaid andmeid, tekib küsimus sellise säilitamise võimaliku kestuse kohta.

43

Sellega seoses on eelotsusetaotluse esitanud kohus seisukohal, et neilt eraõiguslikelt äriühingutelt tuleb nõuda kuuekuulise tähtaja järgimist, mis on ette nähtud InsoBekV §-s 3, mis käsitleb võlakohustusest vabastamise otsuste maksejõuetusregistris säilitamist. Sel juhul tuleb avalikus registris kustutamisele kuuluvad andmed samal ajal kustutada ka kõikidest eraõiguslikest majandusteaberegistritest, kus neid andmeid säilitatakse.

44

Pealegi tekib küsimus, kas isikuandmete kaitse üldmääruse artikli 40 kohaselt heaks kiidetud toimimisjuhendit, mis näeb täitmata jäänud võlakohustustest vabastamist puudutava kande puhul ette kolmeaastase kustutamistähtaja, tuleb arvesse võtta isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohase hindamise raames läbi viidaval kaalumisel.

45

Selles olukorras otsustas Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

46

Euroopa Kohtu presidendi 11. veebruari 2022. aasta otsusega liideti kohtuasjad C‑26/22 ja C‑64/22 menetluse kirjaliku ja suulise osa ning kohtuotsuse huvides.

47

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 78 lõiget 1 tuleb tõlgendada nii, et kaebuse kohta tehtud järelevalveasutuse otsuse kohtulik kontroll piirdub küsimusega, kas järelevalveasutus on kaebust käsitlenud, kaebuse eset nõuetekohaselt uurinud ja kaebuse esitajat uurimise tulemustest teavitanud, või tuleb selle otsuse üle teostada täielikku kohtulikku kontrolli, mis hõlmab ka asja lahendava kohtu pädevust nõuda järelevalveasutuselt konkreetse meetme võtmist.

48

Nimetatud küsimusele vastamiseks tuleb kõigepealt meelde tuletada, et liidu õigusnormi tõlgendamisel ei tule arvesse võtta mitte ainult normi sõnastust, vaid ka selle konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa norm on (22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punkt 38 ja seal viidatud kohtupraktika).

49

Isikuandmete kaitse üldmääruse artikli 78 lõike 1 sõnastuse kohta on selles sättes ette nähtud – ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist –, et igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

50

Sellega seoses tuleb kõigepealt märkida, et käesoleval juhul on andmekaitse voliniku vastu võetud otsus õiguslikult siduv otsus isikuandmete kaitse üldmääruse artikli 78 lõike 1 tähenduses. Nimelt asus järelevalveasutus pärast talle esitatud kaebuste põhjendatuse analüüsimist seisukohale, et isikuandmete töötlemine, mille põhikohtuasjade kaebajad olid vaidlustanud, oli isikuandmete kaitse üldmääruse kohaselt seaduslik. Nende otsuste õiguslikku siduvust kinnitab ka selle määruse põhjendus 143, mille kohaselt on kaebuse rahuldamata jätmine või tagasilükkamine järelevalveasutuse otsus, millel on selle isiku suhtes õiguslikud tagajärjed.

51

Samuti tuleb märkida, et sellest sättest koostoimes kõnealuse määruse põhjendusega 141 nähtub otsesõnu, et igal andmesubjektil on vastavalt harta artiklile 47 õigus „tõhusale“ õiguskaitsevahendile.

52

Nii on Euroopa Kohus juba otsustanud, et isikuandmete kaitse üldmääruse artikli 78 lõikest 1 koostoimes selle määruse põhjendusega 143 tuleneb, et kohtutel, kellele on esitatud järelevalveasutuse otsuse peale kaebus, peaks olema täielik pädevus, ning eelkõige pädevus vaadata läbi kõik menetluses oleva kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud (12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 41).

53

Seega ei saa isikuandmete kaitse üldmääruse artikli 78 lõiget 1 tõlgendada nii, et järelevalveasutuse poolt kaebuse kohta tehtud otsuse üle teostatav kohtulik kontroll piirdub küsimusega, kas järelevalveasutus on kaebust käsitlenud, kaebuse eset nõuetekohaselt uurinud ja kaebuse esitajat uurimise tulemustest teavitanud. Vastupidi, selleks, et õiguskaitsevahend oleks „tõhus“, nagu on nõutud osutatud sättes, peab sellist otsust kohus kontrollima täies ulatuses.

54

Nimetatud tõlgendust kinnitab isikuandmete kaitse üldmääruse artikli 78 lõike 1 kontekst ning selle määrusega taotletavad eesmärgid.

55

Mis puudutab asjaomase sätte konteksti, siis tuleb märkida, et vastavalt harta artikli 8 lõikele 3 ning isikuandmete kaitse üldmääruse artikli 51 lõikele 1 ja artikli 57 lõike 1 punktile a on liikmesriikide järelevalveasutuste ülesanne kontrollida nende liidu õigusnormide järgimist, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel (16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 107).

56

Peale selle peab iga järelevalveasutus vastavalt isikuandmete kaitse üldmääruse artikli 57 lõike 1 punktile f oma territooriumil käsitlema kaebusi, mida iga andmesubjekt võib selle määruse artikli 77 lõike 1 alusel esitada, kui ta leiab, et teda puudutavate isikuandmete töötlemine rikub viidatud määrust, ning uurima asjakohasel määral kaebuste sisu. Järelevalveasutus peab sellist kaebust nõutava hoolsusega käsitlema (16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 109).

57

Esitatud kaebuste käsitlemiseks on isikuandmete kaitse üldmääruse artikli 58 lõikega 1 antud järelevalveasutustele ulatuslikud uurimisvolitused. Kui järelevalveasutus tuvastab uurimise tulemusel asjaomase määruse sätete rikkumise, peab ta tuvastatud puuduse kõrvaldamiseks asjakohaselt reageerima. Sel otstarbel on määruse artikli 58 lõikes 2 loetletud parandusmeetmed, mida järelevalveasutus võib võtta (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 111).

58

Sellest järeldub, nagu kohtujurist oma ettepaneku punktis 42 märkis, et kaebemenetlus – erinevalt petitsiooni esitamise menetlusest – on kavandatud mehhanismina, mis suudab tõhusalt kaitsta andmesubjektide õigusi ja huve.

59

Arvestades aga järelevalveasutusele isikuandmete kaitse üldmäärusega antud ulatuslikke volitusi, ei oleks tõhusa kohtuliku kaitse nõue täidetud, kui otsuste puhul, mis puudutavad sellise järelevalveasutuse teostatavaid uurimisvolitusi või võetavaid parandusmeetmeid, tuleb teostada vaid piiratud kohtulikku kontrolli.

60

Sama kehtib otsuste kohta, millega kaebus rahuldamata jäetakse, kuna isikuandmete kaitse üldmääruse artikli 78 lõikes 1 ei tehta vahet järelevalveasutuse tehtud otsuse laadi alusel.

61

Isikuandmete kaitse üldmääruses ette nähtud eesmärkide kohta nähtub määruse põhjendusest 10 eelkõige, et selle eesmärk on tagada liidus isikuandmete töötlemisel füüsiliste isikute kõrgetasemeline kaitse. Kõnealuse määruse põhjenduses 11 on lisaks märgitud, et nende andmete tõhusaks kaitsmiseks tuleb tugevdada andmesubjektide õigusi.

62

Kui aga nimetatud määruse artikli 78 lõiget 1 tuleb tõlgendada nii, et kohtulik kontroll, mida selles sättes on käsitletud, piirdub selle kontrollimisega, kas järelevalveasutus on kaebust käsitlenud, kaebuse eset nõuetekohaselt uurinud ja kaebuse esitajat uurimise tulemustest teavitanud, kahjustaks see tingimata määruse eesmärkide saavutamist.

63

Lisaks ei sea selle sätte tõlgendus, mille kohaselt peab kohus teatava kaebuse kohta tehtud järelevalveasutuse otsust kontrollima täies ulatuses, kahtluse alla järelevalveasutuste sõltumatuse tagatisi ega õigust tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja suhtes.

64

Esiteks vastab tõele, et vastavalt harta artikli 8 lõikele 3 kontrollib isikuandmete kaitset käsitlevate õigusnormide järgimist sõltumatu asutus. Sellega seoses on isikuandmete kaitse üldmääruse artiklis 52 muu hulgas täpsustatud, et järelevalveasutus tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult (lõige 1), järelevalveasutuse liige või liikmed on oma ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest (lõige 2) ning liikmesriik tagab, et järelevalveasutusel oleks ressursid oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks (lõige 4).

65

Neid sõltumatuse tagatisi ei mõjuta siiski kuidagi asjaolu, et järelevalveasutuse õiguslikult siduvaid otsuseid kontrollib kohus täies ulatuses.

66

Teiseks, mis puudutab isikuandmete kaitse üldmääruse artikli 79 lõikes 1 ette nähtud õigust tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja suhtes, siis tuleb märkida, et Euroopa Kohtu praktika kohaselt võib selle määruse artikli 78 lõikes 1 ja artikli 79 lõikes 1 ette nähtud õiguskaitsevahendeid kasutada konkureerivalt ja sõltumatult (12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 35 ja resolutsioon). Selles kontekstis on Euroopa Kohus muu hulgas leidnud, et mitme õiguskaitsevahendi kättesaadavaks tegemine tugevdab määruse põhjenduses 141 nimetatud eesmärki tagada igale andmesubjektile, kes leiab, et selle määrusega talle antud õigusi on rikutud, õigus tõhusale õiguskaitsevahendile vastavalt harta artiklile 47 (12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 44).

67

Seega, kuigi vastavalt menetlusautonoomia põhimõttele on liikmesriikide ülesanne näha ette nende õiguskaitsevahendite vahelise seose üksikasjad (12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 45 ja resolutsioon), ei mõjuta isikuandmete kaitse üldmääruse artikli 79 lõikes 1 ette nähtud õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu kohtuliku kontrolli ulatust järelevalveasutuse tehtud otsuse üle selle määruse artikli 78 lõike 1 alusel esitatud kaebuse raames.

68

Tuleb siiski lisada, et kuigi – nagu on meelde tuletatud käesoleva kohtuotsuse punktis 56 – järelevalveasutus peab kaebust käsitlema nõutava hoolsusega, on sellel asutusel isikuandmete kaitse üldmääruse artikli 58 lõikes 2 loetletud parandusvolituste puhul kaalutlusruum sobivate ja vajalike meetmete valikul (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 112).

69

Kuigi liikmesriigi kohtul, kellele on esitatud hagi isikuandmete kaitse üldmääruse artikli 78 lõike 1 alusel, peab – nagu on käesoleva kohtuotsuse punktis 52 tõdetud – olema täielik pädevus kontrollida kõiki asjaomase vaidlusega seotud faktilisi ja õiguslikke küsimusi, ei tähenda tõhusa kohtuliku kaitse tagamine seda, et tal oleks õigus asendada järelevalveasutuse hinnang sobivate ja vajalike parandusmeetmete valiku kohta oma hinnanguga, vaid selles on nõutud, et kohus kontrolliks, kas järelevalveasutus on järginud oma kaalutlusõiguse piire.

70

Kõiki eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 78 lõiget 1 tuleb tõlgendada nii, et kaebuse kohta tehtud järelevalveasutuse otsust kontrollib kohus täies ulatuses.

71

Teise kuni viienda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada,

72

Isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti a kohaselt peab isikuandmete töötlemine olema seaduslik, õiglane ja andmesubjektile läbipaistev.

73

Sellega seoses on üldmääruse artikli 6 lõike 1 esimeses lõigus ette nähtud ammendav ja piiratud loetelu juhtudest, mil isikuandmete töötlemist saab pidada seaduslikuks. Selleks et isikuandmete töötlemist saaks pidada seaduslikuks, peab töötlemine seega kuuluma mõne selles sättes ette nähtud juhtumi alla (4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 90 ja seal viidatud kohtupraktika).

74

Käesoleval juhul on selge, et põhikohtuasjades kõne all oleva isikuandmete töötlemise seaduslikkust tuleb hinnata üksnes isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f alusel. Kõnealuses sättes on ette nähtud, et isikuandmete töötlemine on seaduslik ainult juhul, kui isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja ‑vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul, kui andmesubjekt on laps.

75

Nii on selles sättes ette nähtud kolm kumulatiivset tingimust, mis peavad olema täidetud, et selles nimetatud isikuandmete töötlemine oleks seaduslik: esiteks peab vastutaval töötlejal või kolmandal isikul olema õigustatud huvi, teiseks peab isikuandmete töötlemine olema õigustatud huvi elluviimiseks vajalik ja kolmandaks ei tohi andmekaitse subjekti huvid või põhiõigused ja ‑vabadused kaaluda üles vastutava töötleja või kolmanda isiku õigustatud huvi (4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 106 ja seal viidatud kohtupraktika).

76

Mis puudutab esiteks „õigustatud huvi“ olemasolu tingimust olukorras, kus isikuandmete kaitse üldmääruses ei ole seda mõistet määratletud, siis tuleb tõdeda, nagu märkis kohtujurist oma ettepaneku punktis 61, et suurt hulka huve võib põhimõtteliselt pidada õiguspärasteks.

77

Mis teiseks puudutab tingimust, et isikuandmete töötlemine peab olema vajalik taotletava õigustatud huvi tõttu, siis kohustab see eelotsusetaotluse esitanud kohut kontrollima, kas andmetöötlusega taotletavat õigustatud huvi ei ole mõistlikult võimalik sama tõhusalt saavutada muude vahenditega, mis riivavad vähem andmesubjektide põhiõigusi ja ‑vabadusi, eelkõige harta artiklitega 7 ja 8 tagatud õigust eraelu puutumatusele ja isikuandmete kaitsele (4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 108 ja seal viidatud kohtupraktika).

78

Selles kontekstis tuleb samuti meelde tuletada, et töötlemise vajalikkuse tingimust tuleb analüüsida koostoimes isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis c sätestatud „võimalikult väheste andmete kogumise“ põhimõttega, mille kohaselt peavad isikuandmed olema „asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt“ (4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 109 ja seal viidatud kohtupraktika).

79

Mis kolmandaks puudutab tingimust, et andmesubjekti huvide või põhiõiguste ja ‑vabadustega ei ole üles kaalutud vastutava töötleja või kolmanda isiku õigustatud huvi, siis on Euroopa Kohus juba otsustanud, et see eeldab esinevate vastanduvate õiguste ja huvide kaalumist, mis sõltub põhimõtteliselt vastava juhtumi konkreetsetest asjaoludest, ja järelikult on see kaalumine eelotsusetaotluse esitanud kohtu ülesanne, kel tuleb seejuures neid konkreetseid asjaolusid arvesse võtta (4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 110 ja seal viidatud kohtupraktika).

80

Lisaks, nagu nähtub isikuandmete kaitse üldmääruse põhjendusest 47, võivad andmesubjekti huvid ja põhiõigused kaaluda üles vastutava töötleja huvid eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada sellist töötlemist (4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 112 ja seal viidatud kohtupraktika).

81

Kuigi lõppkokkuvõttes on seega eelotsusetaotluse esitanud kohtu ülesanne hinnata, kas põhikohtuasjades kõne all oleva isikuandmete töötlemise puhul on käesoleva kohtuotsuse punktis 75 osutatud kolm tingimust täidetud, võib Euroopa Kohus eelotsusetaotlusele vastates esitada täpsustusi, mis annavad liikmesriigi kohtule juhised otsuse tegemisel (vt selle kohta 20. oktoobri 2022. aasta kohtuotsus Digi, C‑77/21, EU:C:2022:805, punkt 39 ja seal viidatud kohtupraktika).

82

Mis puudutab käesoleval juhul õigustatud huvi olemasolu, siis väidab SCHUFA, et majandusteaberegistrid töötlevad andmeid – mis on vajalikud isikute või ettevõtjate maksevõime hindamiseks – selleks, et teha see teave oma lepingupartneritele kättesaadavaks. Lisaks sellele, et see tegevus kaitseb nende ettevõtjate majandushuve, kes soovivad sõlmida krediidiga seotud lepinguid, on krediidivõimelisuse kindlaksmääramine ja krediidivõimelisuse kohta teabe esitamine krediidi ja majanduse tegutsemisvõime aluseks. Niisuguste äriühingute tegevus aitab ka konkretiseerida nende isikute ärisoove, kes on krediidiga seotud tehingutest huvitatud, sest vastav teave teeb võimalikuks kiire ja mittebürokraatliku läbivaatamise.

83

Sellega seoses tuleb märkida, et kuigi selline isikuandmete töötlemine, nagu on kõne all põhikohtuasjades, teenib SCHUFA majandushuve, on selle töötlemise eesmärk ka kaitsta nende SCHUFA lepingupartnerite õigustatud huvi, kes kavatsevad sõlmida vastavate isikutega krediidiga seotud lepinguid, et hinnata nende isikute krediidivõimelisust, ja seega teenib see krediidisektori sotsiaal-majanduslikku huvi.

84

Mis puudutab tarbijakrediidilepinguid, siis tuleneb direktiivi 2008/48 artiklist 8 koostoimes direktiivi põhjendusega 28, et enne krediidilepingu sõlmimist on krediidiandja kohustatud hindama tarbija krediidivõimelisust piisava hulga teabe alusel, sealhulgas vajaduse korral avalik- ja eraõiguslikest andmebaasidest pärineva teabe alusel.

85

Elamukinnisvaraga seotud tarbijakrediidilepingute kohta tuleneb ka direktiivi 2014/17 artikli 18 lõikest 1 ja artikli 21 lõikest 1 koostoimes direktiivi põhjendustega 55 ja 59, et krediidiandja peab põhjalikult hindama tarbija krediidivõimelisust ja et tal on juurdepääs krediidiandmebaasidele, kusjuures selliste andmebaasidega tutvumine on selle hindamise jaoks oluline element.

86

Tuleb lisada, et direktiivides 2008/48 ja 2014/17 ette nähtud tarbijate krediidivõimelisuse hindamise kohustuse eesmärk ei ole üksnes kaitsta krediiditaotlejat, vaid ka tagada krediidisüsteemi kui terviku nõuetekohane toimimine, nagu on rõhutatud direktiivi 2008/48 põhjenduses 26.

87

Samas on seejuures veel nõutav, et andmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, ning sellist huvi ei kaalu üles andmesubjekti huvid või põhiõigused ja ‑vabadused. Asjas esinevate vastandlike õiguste ja huvide, st ühelt poolt vastutava töötleja ning teiselt poolt andmesubjekti õiguste ja huvide kaalumisel tuleb eelkõige arvesse võtta – nagu on märgitud ka käesoleva kohtuotsuse punktis 80 – andmesubjekti mõistlikke ootusi ja töötlemise ulatust ning selle mõju nimetatud isikule (vt 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 116).

88

Isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punkti f kohta on Euroopa Kohus otsustanud, et seda sätet tuleb tõlgendada nii, et sellist töötlemist saab pidada vajalikuks vastutava töötleja või kolmanda isiku õigustatud huvide järgimiseks selle sätte tähenduses üksnes siis, kui andmeid töödeldakse õigustatud huvi elluviimiseks rangelt vajaliku piires ning vastanduvate huvide kaalumisel kõiki asjakohaseid asjaolusid arvesse võttes on selgunud, et nende andmesubjektide huvid või põhiõigused ja ‑vabadused ei kaalu üles asjaomast vastutava töötleja või kolmanda isiku õigustatud huvi (vt selle kohta 4. mai 2017. aasta kohtuotsus Rīgas satiksme, C‑13/16, EU:C:2017:336, punkt 30, ning 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 126).

89

Selles kontekstis viitab eelotsusetaotluse esitanud kohus põhikohtuasjades kõne all oleva isikuandmete töötlemise kahele aspektile. Esiteks tähendab see töötlemine andmete säilitamist mitmel viisil, st nii avalikus registris kui ka majandusteaberegistri andmebaasis, kusjuures tuleb täpsustada, et need äriühingud ei säilita kõnealuseid andmeid mitte konkreetse juhtumiga seoses, vaid juhul, kui nende lepingupartnerid sellist teavet taotlevad. Teiseks säilitavad need äriühingud vastavaid andmeid kolm aastat ja seda toimimisjuhendi alusel isikuandmete kaitse üldmääruse artikli 40 tähenduses, samas kui riigisisestes õigusaktides on avaliku registri puhul ette nähtud ainult kuuekuuline säilitamisaeg.

90

Esimese aspekti kohta väidab SCHUFA, et teabe õigeaegne esitamine oleks võimatu, kui majandusteaberegister oleks kohustatud enne andmete kogumise alustamist ootama konkreetset taotlust.

91

Sellega seoses tuleb eelotsusetaotluse esitanud kohtul kontrollida, kas see, et SCHUFA säilitab kõnealuseid andmeid oma andmebaasides, piirdub sellega, mis on taotletava õiguspärase huvi järgimiseks tingimata vajalik, samas kui kõnealuste andmetega saab tutvuda avalikus registris ja ilma, et teatav äriühing oleks konkreetse juhtumi korral teavet küsinud. Kui see nii ei ole, ei saa nende andmete säilitamist SCHUFA poolt pidada vajalikuks ajal, mil need andmed on tehtud üldsusele kättesaadavaks.

92

Mis puudutab andmete säilitamise kestust, siis tuleb asuda seisukohale, et käesoleva kohtuotsuse punktis 75 meelde tuletatud teise ja kolmanda tingimuse analüüs on üks ja seesama, kuna selle hindamine, kas käesoleval juhul saab põhikohtuasjades kõne all oleva isikuandmete töötlemisega taotletavaid õigustatud huve mõistlikult saavutada andmete lühema säilitamisajaga, nõuab vastanduvate õiguste ja huvide kaalumist.

93

Mis puudutab taotletavate õigustatud huvide kaalumist, siis tuleb märkida, et kuna majandusteaberegistri pakutav analüüs võimaldab objektiivselt ja usaldusväärselt hinnata majandusteaberegistri lepinguliste partnerite võimalike klientide krediidivõimelisust, võimaldab see kompenseerida ebavõrdset teavitatust ja seega vähendada pettuse ja muude ebakindlate asjaolude ohtu.

94

Mis aga puudutab andmesubjekti õigusi ja huve, siis kujutab täitmata jäänud võlakohustusest vabastamisega seotud andmete töötlemine majandusteaberegistri poolt, nagu ka nende andmete säilitamine, analüüs ja edastamine kolmandale isikule, endast harta artiklites 7 ja 8 käsitletud andmesubjekti põhiõiguste rasket riivet. Nimelt on need andmed andmesubjekti maksevõime hindamisel negatiivseks teguriks ja kujutavad seega endast tundlikku teavet tema eraelu kohta (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 98). Andmete töötlemine võib oluliselt kahjustada andmesubjekti huve, kuna see võib oluliselt raskendada tema vabaduste teostamist, eriti kui tegemist on põhivajaduste rahuldamisega.

95

Lisaks, nagu märkis komisjon, mida kauem säilitavad majandusteaberegistrid kõnealuseid andmeid, seda suurem on mõju andmesubjekti huvidele ja eraelule ning seda rangemad on selle teabe säilitamise seaduslikkuse nõuded.

96

Lisaks tuleb märkida, et nagu nähtub määruse 2015/848 põhjendusest 76, on avaliku maksejõuetusregistri eesmärk parandada võlausaldajatele ja asjaomastele kohtutele teabe edastamist. Selles kontekstis näeb kõnealuse määruse artikli 79 lõige 5 üksnes ette, et liikmesriigid teavitavad andmesubjekte sellest, kui kaua on maksejõuetusregistrites säilitatavad isikuandmed kättesaadavad, ilma et nad määraksid nende andmete säilitamise tähtaja. Seevastu nähtub sama määruse artikli 79 lõikest 4, et liikmesriigid vastutavad isikuandmete kogumise ja säilitamise eest riiklikes andmebaasides. Nende andmete säilitamise tähtaeg tuleb seega kindlaks määrata kooskõlas osutatud määrusega.

97

Käesoleval juhul on Saksa seadusandja näinud ette, et teavet täitmata jäänud võlakohustusest vabastamise kohta säilitatakse maksejõuetusregistris ainult kuus kuud. Ta leiab seega, et pärast kuuekuulise tähtaja möödumist on andmesubjekti õigused ja huvid kaalukamad kui üldsuse õigused ja huvid saada seda teavet.

98

Lisaks, nagu kohtujurist oma ettepaneku punktis 75 märkis, on täitmata jäänud võlakohustusest vabastamine mõeldud selleks, et anda isikule, kellele seda võimaldatakse, võimalus taas osaleda majanduselus ja seega on see nimetatud isiku jaoks üldjuhul eksistentsiaalne. Selle eesmärgi saavutamine oleks aga ohus, kui majandusteaberegistrid saaksid sellise isiku majandusliku olukorra hindamiseks säilitada andmeid, mis on seotud täitmata jäänud võlakohustusest vabastamisega, ja kasutada andmeid pärast nende kustutamist avalikust maksejõuetusregistrist, kuivõrd neid andmeid kasutatakse endiselt negatiivse tegurina sellise isiku maksevõime hindamisel.

99

Neil asjaoludel ei saa krediidisektori huviga saada teavet täitmata jäänud võlakohustusest vabastamise kohta põhjendada selliste isikuandmete, nagu on kõne all põhikohtuasjades, töötlemist pärast andmete säilitamise tähtaega avalikus maksejõuetusregistris, mistõttu nende andmete säilitamine majandusteaberegistris sellel ajal, mis järgneb nende andmete kustutamisele avalikust maksejõuetusregistrist, ei saa põhineda isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktil f.

100

Kuuekuulise ajavahemiku kohta, mille jooksul on kõnealused andmed ka vastavas avalikus registris kättesaadavad, tuleb märkida, et kuigi mõju, mis kaasneb nende andmete paralleelse säilitamisega vastavate äriühingute andmebaasis, võib pidada vähem raskeks kui pärast kuue kuu möödumist, kujutab see säilitamine siiski endast harta artiklites 7 ja 8 tunnustatud õiguste riivet. Sellega seoses on Euroopa Kohus juba otsustanud, et samade isikuandmete olemasolu mitmes allikas tugevdab sekkumist isiku eraelu puutumatuse õigusesse (vt 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punktid 86 ja 87). Eelotsusetaotluse esitanud kohtu ülesanne on kaaluda asjaomaseid huve ja mõju eespool nimetatud andmesubjektile, et teha kindlaks, kas nende andmete paralleelset säilitamist majandusteaberegistrites võib pidada rangelt vajalikuks, nagu on nõutud käesoleva kohtuotsuse punktis 88 viidatud Euroopa Kohtu praktikas.

101

Lõpuks, mis puudutab sellise toimimisjuhendi olemasolu, nagu käesoleval juhul, milles on ette nähtud, et majandusteaberegister peab kustutama andmed täitmata jäänud võlakohustusest vabastamise kohta pärast kolme aasta möödumist, siis tuleb meelde tuletada, et isikuandmete kaitse üldmääruse artikli 40 lõigete 1 ja 2 kohaselt on toimimisjuhendi eesmärk aidata kaasa vastava määruse nõuetekohasele kohaldamisele, võttes arvesse eri töötlussektorite eripära ning mikro‑, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi. Nii võivad vastutavate töötlejate või volitatud töötlejate kategooriaid esindavad ühendused ja muud organid koostada toimimisjuhendeid, neid muuta või laiendada selleks, et täpsustada selle määruse kohaldamise korda, nagu eelkõige õiglane ja läbipaistev töötlemine, vastutavate töötlejate õigustatud huvid konkreetses kontekstis ja isikuandmete kogumine.

102

Lisaks esitatakse isikuandmete kaitse üldmääruse artikli 40 lõike 5 kohaselt toimimisjuhendi kavand kompetentsele järelevalveasutusele, kes kiidab selle heaks, kui ta leiab, et see tagab piisavad kaitsemeetmed.

103

Käesoleval juhul töötas põhikohtuasjades kõne all oleva toimimisjuhendi välja Saksa majandusteaberegistrite ühendus ja pädev järelevalveasutus kiitis selle heaks.

104

Kuigi isikuandmete kaitse üldmääruse artikli 40 lõigete 1 ja 2 kohaselt on toimimisjuhendi eesmärk aidata kaasa selle määruse nõuetekohasele kohaldamisele ja täpsustada üldmääruse kohaldamist, ei saa isikuandmete töötlemise seaduslikkuse tingimused, mis on sellises juhendis kindlaks määratud, siiski erineda isikuandmete kaitse üldmääruse artikli 6 lõikes 1 ette nähtud tingimustest, nagu märkis kohtujurist oma ettepaneku punktides 103 ja 104.

105

Seega ei saa nimetatud sätte alusel toimuval kaalumisel arvesse võtta toimimisjuhendit, mille tulemuseks on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktile f tuginevast hinnangust erinev hinnang.

106

Lõpuks soovib eelotsusetaotluse esitanud kohus sisuliselt teada, millised kohustused on majandusteaberegistritel isikuandmete kaitse üldmääruse artikli 17 alusel.

107

Sellega seoses tuleb märkida, et vastavalt isikuandmete kaitse üldmääruse artikli 17 lõike 1 punktile d, millele eelotsusetaotluse esitanud kohus viitab, on andmesubjektil õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, ning vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui isikuandmeid on töödeldud ebaseaduslikult.

108

Seega tuleneb selle sätte selgest sõnastusest, et juhul, kui eelotsusetaotluse esitanud kohus jõuab põhikohtuasjas kõne all oleva isikuandmete töötlemise seaduslikkuse hindamise tulemusel järeldusele, et töötlemine ei ole seaduslik, peab vastutav töötleja, käesoleval juhul SCHUFA, asjaomased andmed põhjendamatu viivituseta kustutama. Nagu on tõdetud käesoleva kohtuotsuse punktis 99, on see nii juhul, kui kõnealuseid isikuandmeid töödeldakse pärast andmete avalikus maksejõuetusregistris säilitamise kuuekuulist tähtaega.

109

Mis puudutab andmete töötlemist kuue kuu jooksul, mille kestel on andmed avalikus maksejõuetusregistris kättesaadavad, siis juhul, kui eelotsusetaotluse esitanud kohus jõuab järeldusele, et töötlemine on isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktiga f kooskõlas, tuleb kohaldada selle määruse artikli 17 lõike 1 punkti c.

110

Selles sättes on ette nähtud õigus isikuandmete kustutamisele, kui andmesubjekt esitab isikuandmete kaitse üldmääruse artikli 21 lõike 1 alusel töötlemise suhtes vastuväite ning töötlemiseks ei ole „ülekaalukat õiguspärast põhjust“. Viimati nimetatud sätte kohaselt on andmesubjektil isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimese lõigu punktide e või f alusel oma konkreetsest olukorrast lähtudes õigus esitada teda puudutavate isikuandmete töötlemise suhtes igal ajal vastuväiteid. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et andmeid töödeldakse ülekaalukal õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

111

Nagu kohtujurist oma ettepaneku punktis 93 märkis, nähtub kõnealustest sätetest nende koosmõjus, et andmesubjektil on õigus esitada töötlemisele vastuväiteid ja õigus andmete kustutamisele, välja arvatud juhul, kui on olemas ülekaalukad õiguspärased põhjused, mis kaaluvad üles andmesubjekti huvid, õigused ja vabadused isikuandmete kaitse üldmääruse artikli 21 lõike 1 tähenduses, mille tõendamine on vastutava töötleja ülesanne.

112

Seega, kui vastutav töötleja ei esita tõendeid ülekaalukate õiguspäraste põhjuste olemasolu kohta, on andmesubjektil õigus taotleda nende andmete kustutamist isikuandmete kaitse üldmääruse artikli 17 lõike 1 punkti c alusel, kui ta esitab kõnealuse üldmääruse artikli 21 lõike 1 kohaselt töötlemise suhtes vastuväite. Eelotsusetaotluse esitanud kohtu ülesanne on analüüsida, kas töötlemist põhjendavad ülekaalukad õiguspärased põhjused on erandkorras olemas.

113

Kõiki eeltoodud kaalutlusi arvesse võttes tuleb teisele kuni viiendale küsimusele vastata, et:

114

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab: