–

UZ, esindaja: Rechtsanwalt J. Leuschner,

–

Saksamaa valitsus, esindajad: J. Möller ja P.‑L. Krüger,

–

Tšehhi valitsus, esindajad: O. Serdula, M. Smolek ja J. Vláčil,

–

Prantsuse valitsus, esindajad: A.‑L. Desjonquères ja J. Illouz,

–

Austria valitsus, esindajad: A. Posch, M.‑T. Rappersberger ja J. Schmoll,

–

Poola valitsus, esindaja: B. Majczyna,

–

Euroopa Komisjon, esindajad: A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

1

Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, ja parandus ELT 2018, L 127, lk 3; edaspidi „isikuandmete kaitse üldmäärus“) artiklit 5, artikli 17 lõike 1 punkti d, artikli 18 lõike 1 punkti b ning artikleid 26 ja 30.

2

Taotlus on esitatud kolmanda riigi kodaniku UZi ja Bundesrepublik Deutschlandi (Saksamaa Liitvabariik), keda esindab Bundesamt für Migration und Flüchtlinge (föderaalne rände- ja pagulasamet, Saksamaa) (edaspidi „rände- ja pagulasamet“), vahelises kohtuvaidluses selle kodaniku esitatud rahvusvahelise kaitse taotluse töötlemise üle.

3

Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta direktiivi 2013/32/EL rahvusvahelise kaitse seisundi andmise ja äravõtmise menetluse ühiste nõuete kohta (uuesti sõnastatud) (ELT 2013, L 180, lk 60) põhjenduses 52 on märgitud:

„Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiviga 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) [(EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355)] reguleeritakse käesoleva direktiivi kohast isikuandmete töötlemist liikmesriikides.“

4

Isikuandmete kaitse üldmääruse põhjendused 1, 10, 40, 74, 79 ja 82 on sõnastatud järgmiselt:

[…]

[…]

[…]

[…]

[…]

5

Isikuandmete kaitse üldmääruse I peatükk „Üldsätted“ sisaldab artikleid 1–4.

6

Määruse artiklis 1 „Reguleerimisese ja eesmärgid“ on sätestatud:

„1.   Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.

2.   Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

[…]“.

7

Selle määruse artikli 4 „Mõisted“ punktides 2, 7 ja 21 on ette nähtud:

[…]

[…]

[…]“.

8

Isikuandmete kaitse üldmääruse II peatükk „Põhimõtted“ sisaldab artikleid 5–11.

9

Määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud:

„1.   Isikuandmete töötlemisel tagatakse, et

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

10

Selle määruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõikes 1 on ette nähtud:

„Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.“

11

Isikuandmete kaitse üldmääruse artikkel 7 käsitleb nõusoleku andmise tingimusi, samas kui selle määruse artiklis 8 on kindlaks määratud tingimused, mida kohaldatakse lapse nõusolekule seoses infoühiskonna teenustega.

12

Selle määruse artikkel 9 „Isikuandmete eriliikide töötlemine“ keelab töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

13

Määruse artikkel 10 „Süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine“ käsitleb süüteoasjades süüdimõistvate kohtuotsuste ja süütegude või nendega seotud turvameetmetega seotud isikuandmete töötlemist kõnealuse määruse artikli 6 lõike 1 alusel.

14

Isikuandmete kaitse üldmääruse III peatükk „Andmesubjekti õigused“ sisaldab artikleid 12–23.

15

Selle määruse artikkel 17 „Õigus andmete kustutamisele („õigus olla unustatud“)“ on sõnastatud järgmiselt:

„1.   Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

[…]

[…]

3.   Lõikeid 1 ja 2 ei kohaldata sel määral, mil isikuandmete töötlemine on vajalik

[…]

[…]

16

Määruse artiklis 18 „Õigus isikuandmete töötlemise piiramisele“ on sätestatud:

„1.   Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:

[…]

[…]

2.   Kui isikuandmete töötlemist on lõike 1 kohaselt piiratud, võib selliseid isikuandmeid töödelda (välja arvatud säilitamine) ainult andmesubjekti nõusolekul või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või teise füüsilise või juriidilise isiku õiguste kaitsmiseks või seoses liidu või liikmesriigi olulise avaliku huviga.

[…]“.

17

Isikuandmete kaitse üldmääruse IV peatükk „Vastutav töötleja ja volitatud töötleja“ sisaldab artikleid 24–43.

18

Selle peatüki 1. jaos „Üldkohustused“ sisalduv artikkel 26 „Kaasvastutavad töötlejad“ on sõnastatud järgmiselt:

„1.   Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2.   Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi vastutava töötleja suhtes ja vastu.“

19

Määruse artiklis 30 „Isikuandmete töötlemise toimingute registreerimine“ on ette nähtud:

„1.   Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:

[…]

4.   Taotluse korral teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja registri kättesaadavaks järelevalveasutusele.

[…]“.

20

Isikuandmete kaitse üldmääruse VI peatüki „Sõltumatud järelevalveasutused“ artikli 58 „Volitused“ lõikes 2 on sätestatud:

„Järelevalveasutusel on järgmised parandusvolitused:

21

Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab artikleid 77–84.

22

Nimetatud määruse artikli 77 „Õigus esitada järelevalveasutusele kaebus“ lõikes 1 on ette nähtud:

„Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.“

23

Isikuandmete kaitse üldmääruse artikli 82 „Õigus hüvitisele ja vastutus“ lõigetes 1 ja 2 on sätestatud:

„1.   Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2.   Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.“

24

Määruse artikli 83 „Trahvide määramise üldtingimused“ lõigetes 4, 5 ja 7 on ette nähtud:

„4.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10000000 eurot või ettevõtja puhul kuni 2% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

[…]

5.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20000000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

[…]

7.   Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.“

25

Määruse XI peatüki „Lõppsätted“ artiklis 94 „Direktiivi 95/46/EÜ kehtetuks tunnistamine“ on sätestatud:

„1.   Direktiiv 95/46/EÜ tunnistatakse kehtetuks alates 25. maist 2018.

2.   Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi 95/46/EÜ artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.“

26

20. detsembri 1990. aasta föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz; BGBl. 1990 I, lk 2954) põhikohtuasjas kohaldatava redaktsiooni (edaspidi „BDSG“) § 43 „Haldustrahve käsitlevad sätted“ sätestab lõikes 3:

„Trahvi ei saa määrata avaliku sektori asutustele ja organitele [BDSG] § 2 lõike 1 tähenduses.“

27

Põhikohtuasja kaebaja esitas 7. mail 2019 rände- ja pagulasametile rahvusvahelise kaitse taotluse, mis jäeti rahuldamata.

28

Taotluse rahuldamata jätmise otsuse (edaspidi „vaidlusalune otsus“) tegemisel tugines rände- ja pagulasamet enda koostatud elektroonilisele toimikule „MARIS“, mis sisaldab põhikohtuasja kaebaja isikuandmeid.

29

Viimane esitas vaidlusaluse otsuse peale kaebuse Verwaltungsgericht Wiesbadenile (Wiesbadeni halduskohus, Saksamaa), kes on käesolevas kohtuasjas eelotsusetaotluse esitanud kohus. Elektrooniline toimik „MARIS“ edastati seejärel sellele kohtule isikuandmete kaitse üldmääruse artikli 26 kohases ühises menetluses kohtu- ja haldusasutuste elektroonilise postkasti (Elektronisches Gerichts- und Verwaltungspostfach) kaudu, mida haldab avalik-õiguslik täitevvõimu asutus.

30

Eelotsusetaotluse esitanud kohus märgib, et direktiivi 2013/32 põhjendusest 52 nähtub, et isikuandmete töötlemist liikmesriikides rahvusvahelise kaitse andmise menetlustes reguleerib isikuandmete kaitse üldmäärus.

31

Eelotsusetaotluse esitanud kohus kahtleb siiski, kas rände- ja pagulasameti koostatud elektroonilise toimiku pidamine ning selle toimiku talle edastamine kohtu- ja haldusasutuste elektroonilise postkasti kaudu on selle määrusega kooskõlas.

32

Mis puudutab esiteks elektroonilise toimiku pidamist, siis ei ole tõendatud, et rände- ja pagulasamet järgiks isikuandmete kaitse üldmääruse artikli 5 lõiget 1 koostoimes artikliga 30. Hoolimata eelotsusetaotluse esitanud kohtu sellekohasest taotlusest ei esitanud rände- ja pagulasamet nimelt täielikku registrit selle juhtumiga seotud töötlemistoimingute kohta. Selline register oleks aga tulnud koostada põhikohtuasja kaebaja isikuandmete töötlemise hetkel, see tähendab siis, kui tema rahvusvahelise kaitse taotlus esitati. Rände- ja pagulasamet tuleks isikuandmete kaitse üldmääruse artikli 5 lõike 2 kohase vastutuse küsimuses ära kuulata pärast seda, kui Euroopa Kohus on teinud otsuse käesoleva eelotsusetaotluse kohta.

33

Mis puudutab teiseks elektroonilise toimiku edastamist kohtu- ja haldusasutuste elektroonilise postkasti kaudu, siis kujutab selline edastamine endast andmete „töötlemist“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses, mis peab olema kooskõlas selle määruse artiklis 5 sätestatud põhimõtetega. Ent nimetatud määruse artiklit 26 rikkudes ei ole kehtestatud ühtegi riigisisest õigusnormi, mis reguleeriks seda haldusasutuste ja kohtute vahelist andmete edastamise menetlust, määrates kindlaks kaasvastutavate töötlejate vastavad kohustused, ning rände- ja pagulasamet ei ole esitanud sellekohast kokkulepet vaatamata eelotsusetaotluse esitanud kohtu sellekohasele nõudele. Eelotsusetaotluse esitanud kohtul on seega tekkinud küsimus, kas niisugune andmete edastamine kohtu- ja haldusasutuste elektroonilise postkasti kaudu on seaduslik.

34

Eelkõige tuleb eelotsusetaotluse esitanud kohtu sõnul kindlaks teha, kas isikuandmete kaitse üldmääruse artiklites 5, 26 ja 30 ette nähtud kohustuste rikkumisele, mis muudab isikuandmete töötlemise ebaseaduslikuks, peab sanktsioonina järgnema nende andmete kustutamine vastavalt selle määruse artikli 17 lõike 1 punktile d või isikuandmete töötlemise piiramine vastavalt selle määruse artikli 18 lõike 1 punktile b. Selliseid sanktsioone tuleks kohaldada vähemalt juhul, kui asjaomane isik seda taotleb. Vastasel juhul oleks see kohus sunnitud osalema nende andmete ebaseaduslikus töötlemises kohtumenetluse käigus. Sellisel juhul saaks sekkuda üksnes järelevalveasutus isikuandmete kaitse üldmääruse artikli 58 alusel, määrates asjasse puutuvatele ametiasutustele selle määruse artikli 83 lõike 5 punkti a alusel trahvi. Vastavalt BDSG § 43 lõikele 3, millega võetakse üle nimetatud määruse artikli 83 lõige 7, ei saa aga riigi tasandil avaliku sektori asutustele ja organitele haldustrahve määrata. Sellest järeldub, et ei direktiivi 2013/32 ega isikuandmete kaitse üldmäärust ei ole järgitud.

35

Lisaks leiab eelotsusetaotluse esitanud kohus, et põhikohtuasjas kõne all olev töötlemine ei kuulu isikuandmete kaitse üldmääruse artikli 17 lõike 3 punkti e kohaldamisalasse, mis võimaldab kasutada isikuandmeid selleks, et kostja saaks õigusnõudeid koostada, esitada või kaitsta. On tõsi, et käesoleval juhul kasutab rände- ja pagulasamet andmeid selleks, et selle määruse artikli 17 lõike 3 punkti b kohaselt täita liidu või liikmesriigi õigusega sellele vastutavale töötlejale ette nähtud juriidilist kohustust, mis näeb ette isikuandmete töötlemise, täita avalikes huvides olevat ülesannet või teostada vastutavale töötlejale antud avalikku võimu. Selle sätte kohaldamine tähendaks aga andmekaitsealaste õigusaktidega vastuolus oleva praktika alalist legaliseerimist.

36

Eelotsusetaotluse esitanud kohtul on seetõttu tekkinud küsimus, mil määral võib ta oma õigusemõistmise alase tegevuse raames arvesse võtta sellises täitevvõimu pädevusse kuuluvas menetluses esitatud isikuandmeid. Nimelt, kui elektroonilise toimiku pidamine või selle edastamine kohtu- ja haldusasutuste elektroonilise postkasti kaudu tuleks kvalifitseerida isikuandmete kaitse üldmääruse seisukohast ebaseaduslikuks töötlemiseks, osaleks see kohus sellise arvesse võtmisega vaidlusaluses ebaseaduslikus töötlemises, mis läheks vastuollu selle määrusega taotletava eesmärgiga, milleks on kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust isikuandmete kaitsele.

37

Sellega seoses soovib eelotsusetaotluse esitanud kohus veel teada, kas asjaolu, et andmesubjekt on andnud oma sõnaselge nõusoleku või on vastu oma isikuandmete kasutamisele kohtumenetluses, võib mõjutada võimalust need andmed arvesse võtta. Juhul kui see kohus ei saa elektroonilises toimikus „MARIS“ sisalduvaid andmeid arvesse võtta, kuna selle toimiku pidamine ja edastamine oli ebaseaduslik, ei oleks kuni nende õigusrikkumiste võimaliku kõrvaldamiseni mingit õiguslikku alust otsuse tegemiseks põhikohtuasja kaebaja poolt esitatud pagulasseisundi andmise taotluse kohta. Seetõttu peaks nimetatud kohus vaidlusaluse otsuse tühistama.

38

Neil asjaoludel otsustas Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

39

Kuigi Saksamaa valitsus ei esita formaalselt vastuvõetamatuse vastuväidet, väljendab ta kahtlust, kas eelotsuse küsimused on põhikohtuasja lahendamisel asjakohased. Kõigepealt nähtub tema hinnangul eelotsusetaotlusest, et isikuandmete kaitse üldmääruse artikli 5 lõike 2 rikkumine rände- ja pagulasameti poolt ei ole lõplikult tuvastatud, kuna eelotsusetaotluse esitanud kohus üksnes eeldab seda. Järgmiseks, see kohus ei ole märkinud, et rände- ja pagulasameti toimikud – juhul, kui sel kohtul ei ole lubatud neid kasutada – oleksid selle vaidluse lahendamise seisukohalt ainsana määravad. Tegelikult on tal ka muid teabeallikaid, mida tuleb omal algatusel uurimise põhimõtte kohaselt täielikult kasutada, kui ametiasutus toimikuid ei esita või kui need on ebatäielikud. Lõpuks on kolmas küsimus ilmselgelt hüpoteetiline, kuna eelotsusetaotlusest ei nähtu, et kaebaja on nõustunud või nõustuks oma isikuandmete töötlemisega eelotsusetaotluse esitanud kohtu poolt.

40

Seoses sellega olgu märgitud, et vastavalt Euroopa Kohtu väljakujunenud praktikale eeldatakse, et liidu õiguse tõlgendamise küsimused on asjakohased. Euroopa Kohus võib keelduda liikmesriigi kohtu esitatud eelotsuse küsimusele vastamast vaid siis, kui on ilmne, et taotletaval liidu õiguse tõlgendusel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, kui Euroopa Kohtule ei ole teada vajalikke õiguslikke või faktilisi asjaolusid, et anda tarvilik vastus talle esitatud küsimustele, või kui probleem on hüpoteetiline. Lisaks on ELTL artikli 267 kohases menetluses, mis põhineb liikmesriikide kohtute ja Euroopa Kohtu ülesannete selgel eristamisel, põhikohtuasja faktiliste asjaolude tuvastamine ja hindamine vaid liikmesriigi kohtu pädevuses (vt eelkõige 24. märtsi 2022. aasta kohtuotsus Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punktid 20 ja 21 ning seal viidatud kohtupraktika).

41

Nagu nähtub selgelt ELTL artikli 267 teisest lõigust, on riigisiseste kohtute ja Euroopa Kohtu ülesannete jaotusel põhineva tiheda koostöö raames üksnes eelotsust taotleva kohtu otsustada, millises menetlusstaadiumis on tal vaja esitada Euroopa Kohtule eelotsuse küsimus (17. juuli 2008. aasta kohtuotsus Coleman, C‑303/06, EU:C:2008:415, punkt 29 ja seal viidatud kohtupraktika).

42

Eelkõige on Euroopa Kohus sellega seoses juba otsustanud, et asjaolu, et faktilisi küsimusi ei ole veel võistlevas tõendite kogumise menetluses käsitletud, ei muuda eelotsuse küsimust iseenesest vastuvõetamatuks (vt selle kohta 11. septembri 2014. aasta kohtuotsus Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, punkt 19 ja seal viidatud kohtupraktika).

43

Ent kuigi käesoleval juhul nähtub eelotsusetaotlusest, et eelotsusetaotluse esitanud kohus ei ole teinud lõplikku otsust selle kohta, kas rände- ja pagulasamet on rikkunud isikuandmete kaitse üldmääruse artikli 5 lõikest 2 koostoimes selle määruse artiklitega 26 ja 30 tulenevaid kohustusi, kuna eelotsusetaotluses esitatu kohaselt tuleb seda põhikohtuasja aspekti veel võistlevas menetluses arutada, on eelotsusetaotluse esitanud kohus siiski tuvastanud, et rände- ja pagulasamet kui vastutav töötleja ei ole esitanud ei andmete ühise töötlemise kokkulepet ega töötlemistoimingute registrit, mida on mainitud kahes viimati nimetatud sättes, hoolimata talle esitatud sellekohasest taotlusest.

44

Veel nähtub eelotsusetaotlusest, et eelotsusetaotluse esitanud kohus, kellel ainsana lasub faktiliste asjaolude tuvastamise ja hindamise ülesanne, on seisukohal, et vaidlusalune otsus võeti vastu üksnes rände- ja pagulasameti koostatud elektroonilise toimiku põhjal, mille pidamine ja edastamine võivad rikkuda nimetatud määruses sätestatud reegleid, mistõttu võib juhtuda, et see otsus tuleb sel põhjusel tühistada.

45

Lõpuks, mis puudutab põhikohtuasja kaebaja nõusolekut oma isikuandmete kasutamiseks kohtumenetluses, siis piisab, kui märkida, et kolmanda eelotsuse küsimuse eesmärk on just nimelt kindlaks teha, kas käesoleval juhul on selleks, et eelotsusetaotluse esitanud kohtul oleks võimalik neid andmeid arvesse võtta, vaja, et selline nõusolek oleks antud.

46

Kuna neil asjaoludel on Euroopa Kohtule seega esitatud liidu õiguse tõlgendamise taotlus, mis ei ole selgelt asjasse puutumatu põhikohtuasja faktiliste asjaolude või eseme suhtes, ning Euroopa Kohtul on olemas vajalikud andmed, et anda tarvilik vastus talle esitatud küsimustele, mis puudutavad isikuandmete kaitse üldmääruse mõju põhikohtuasjale, tuleb Euroopa Kohtul sellele küsimusele vastata, ilma et ta peaks ise uurima eeldatavaid faktilisi asjaolusid, millele eelotsusetaotluse esitanud kohus tugines ja mida eelotsusetaotluse esitanud kohus peab hiljem vajaduse korral kontrollima (vt analoogia alusel 17. juuli 2008. aasta kohtuotsus Coleman, C‑303/06, EU:C:2008:415, punkt 31 ja seal viidatud kohtupraktika).

47

Järelikult tuleb asuda seisukohale, et käesolev eelotsusetaotlus on vastuvõetav ja eelotsusetaotluse esitanud kohtu küsimustele tuleb vastata, kuigi eelotsusetaotluse esitanud kohus peab kontrollima, kas rände- ja pagulasamet on rikkunud isikuandmete kaitse üldmääruse artiklites 26 ja 30 ette nähtud kohustusi.

48

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 17 lõike 1 punkti d ja artikli 18 lõike 1 punkti b tuleb tõlgendada nii, et kui vastutav töötleja ei täida selle määruse artiklites 26 ja 30 ette nähtud kohustusi, mis puudutavad vastavalt sellise kokkuleppe sõlmimist, milles määratakse kindlaks kaasvastutus andmete töötlemise eest, ja töötlemistoimingute registri pidamist, kujutab see endast ebaseaduslikku töötlemist, mis annab andmesubjektile õiguse andmete kustutamisele või töötlemise piiramisele, kuna selline täitmata jätmine tähendab, et vastutav töötleja rikub nimetatud määruse artikli 5 lõikes 2 sätestatud „vastutuse“ põhimõtet.

49

Euroopa Kohtu väljakujunenud praktika kohaselt ei tule liidu õigusnormi tõlgendamisel võtta arvesse mitte ainult selle sõnastust, vaid ka konteksti ja selle õigusaktiga taotletavaid eesmärke, mille osa säte on (vt selle kohta eelkõige 12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 32 ja seal viidatud kohtupraktika).

50

Mis esiteks puudutab asjasse puutuvate liidu õigusnormide sõnastust, siis tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 17 lõike 1 punkti d kohaselt on andmesubjektil õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, ning vastutav töötleja on kohustatud kustutama need andmed põhjendamatu viivituseta, kui andmeid on „töödeldud ebaseaduslikult“.

51

Samuti on andmesubjektil isikuandmete kaitse üldmääruse artikli 18 lõike 1 punkti b kohaselt juhul, kui ta on vastu selliste andmete kustutamisele ja nõuab selle asemel nende kasutamise piiramist, õigus nõuda vastutavalt töötlejalt töötlemise piiramist, kui „töötlemine on ebaseaduslik“.

52

Kahes eelmises punktis nimetatud sätteid tuleb tõlgendada koostoimes selle määruse artikli 5 lõikega 1, mille kohaselt peab isikuandmete töötlemine vastama teatud hulgale selles sättes ette nähtud põhimõtetele, sealhulgas artikli 5 lõike 1 punktis a sätestatud põhimõttele, et see töötlemine peab olema „seaduslik, õiglane ja andmesubjektile läbipaistev“.

53

Isikuandmete kaitse üldmääruse artikli 5 lõike 2 kohaselt vastutab vastutav töötleja selles sättes ette nähtud vastutuse põhimõtte kohaselt nimetatud artikli lõike 1 järgimise eest ja ta peab suutma tõendada kõigi selles lõikes 1 sätestatud põhimõtete järgimist, mistõttu see tõendamiskoormis lasub seega temal (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punktid 77, 78 ja 81).

54

Sellest järeldub, et vastavalt nimetatud määruse artikli 5 lõikele 2 koostoimes artikli lõike 1 punktiga a peab vastutav töötleja veenduma, et andmete töötlemine, mida ta teeb, on seaduslik.

55

Tuleb aga tõdeda, et seaduslik töötlemine, mis nähtuvalt isikuandmete kaitse üldmääruse artikli 6 pealkirjast ongi selle artikli ese, saab toimuda ainult siis, kui on täidetud vähemalt üks selle artikli lõike 1 esimese lõigu punktides a–f sätestatud tingimustest, see tähendab – nagu on märgitud ka selle määruse põhjenduses 40 –, et kas andmesubjekt peab olema andnud nõusoleku oma isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, või et töötlemine peab olema vajalik ühel nimetatud eesmärkidest, ehk see peab kas olema vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele, või seda peab olema vaja vastutava töötleja seadusjärgse kohustuse täitmiseks, andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või kui vastutaval töötlejal või kolmandal isikul on selleks õigustatud huvi, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

56

See loetelu juhtudest, mil isikuandmete töötlemist võib pidada seaduslikuks, on ammendav ja piiratud, mistõttu peab isikuandmete töötlemine selleks, et seda saaks pidada seaduslikuks, kuuluma mõne isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimeses lõigus ette nähtud juhtumi alla (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 99 ja seal viidatud kohtupraktika, ning 8. detsembri 2022. aasta kohtuotsus Inspektor v Inspektorata kam Visshia sadeben savet (isikuandmete töötlemise eesmärgid – kriminaalmenetlus), C‑180/21, EU:C:2022:967, punkt 83).

57

Seega peab igasugune isikuandmete töötlemine Euroopa Kohtu praktika kohaselt olema kooskõlas selle määruse artikli 5 lõikes 1 sätestatud andmetöötluse põhimõtetega ja vastama määruse artiklis 6 loetletud töötlemise seaduslikkuse tingimustele (vt eelkõige 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 208; 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 96, ning 20. oktoobri 2022. aasta kohtuotsus Digi, C‑77/21, EU:C:2022:805, punktid 49 ja 56).

58

Lisaks, kuna isikuandmete kaitse üldmääruse artiklite 7–11, mis – nagu selle määruse artiklid 5 ja 6 – asuvad määruse põhimõtteid käsitlevas II peatükis, eesmärk on täpsustada artikli 5 lõike 1 punktist a ja artikli 6 lõikest 1 tulenevate vastutava töötleja kohustuste ulatust, peab isikuandmete töötlemine selleks, et see oleks seaduslik, nähtuvalt Euroopa Kohtu praktikast järgima ka selle peatüki teisi sätteid, mis sisuliselt käsitlevad nõusolekut, delikaatsete isikuandmete eriliikide töötlemist ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist (vt selle kohta 24. septembri 2019. aasta kohtuotsus GC jt (delikaatsetele andmetele viitavate linkide eemaldamine), C‑136/17, EU:C:2019:773, punktid 72–75, ning 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punktid 100, 102 ja 106).

59

Sama moodi nagu kõik kirjalikke seisukohti esitanud valitsused ja Euroopa Komisjon tuleb aga tõdeda, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 esimeses lõigus sätestatud töötlemise seaduslikkuse aluste hulgas ei ole asjaolu, kas vastutav töötleja on järginud selle määruse artiklis 26 sätestatud kohustust sõlmida töötlemistoimingute eest kaasvastutuse kindlaksmääramise kokkulepe või täitnud artiklis 30 sätestatud kohustust pidada töötlemistoimingute registrit.

60

Lisaks ei ole erinevalt isikuandmete kaitse üldmääruse artiklitest 7–11 selle määruse artiklite 26 ja 30 eesmärk täpsustada selle määruse artikli 5 lõike 1 punktis a ja artikli 6 lõikes 1 sätestatud nõuete ulatust.

61

Seega tuleneb juba isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti a ja artikli 6 lõike 1 esimese lõigu sõnastusest, et selle määruse artiklites 26 ja 30 sätestatud kohustuste rikkumine vastutava töötleja poolt ei kujuta endast ebaseaduslikku töötlemist nimetatud määruse artikli 17 lõike 1 punkti d ja artikli 18 lõike 1 punkti b tähenduses tulenevalt sellest, et vastutav töötleja on rikkunud sama määruse artikli 5 lõikes 2 sätestatud vastutuse põhimõtet.

62

Teiseks kinnitab seda tõlgendust nende erinevate sätete kontekst. Nimelt nähtub juba isikuandmete kaitse üldmääruse struktuurist ja seega selle ülesehitusest selgelt, et selles tehakse vahet ühelt poolt põhimõtetel, mida käsitleb selle määruse II peatükk, mis sisaldab muu hulgas selle määruse artikleid 5 ja 6, ning teiselt poolt üldkohustustel, mis kuuluvad määruse IV peatüki 1. jakku, mis käsitleb vastutavaid töötlejaid ja mille hulka kuuluvad ka määruse artiklites 26 ja 30 sätestatud kohustused.

63

See vahetegu kajastub ka isikuandmete kaitse üldmääruse VIII peatükis, mis käsitleb karistusi, kuna ühelt poolt selle määruse artiklite 26 ja 30 ning teiselt poolt selle määruse artiklite 5 ja 6 rikkumise eest määratakse selle määruse artikli 83 vastavate lõigete 4 ja 5 alusel trahv, mis võib ulatuda teatud summani, mis kummagi lõike kohaselt erineb olenevalt rikkumise raskusastmest, mille on piiritlenud liidu seadusandja.

64

Kolmandaks ja viimaseks kinnitab käesoleva kohtuotsuse punktis 61 esitatud isikuandmete kaitse üldmääruse grammatilist tõlgendust selle määruse eesmärk, mis tuleneb selle artiklist 1 ning põhjendustest 1 ja 10 ning milleks on eelkõige tagada füüsiliste isikute põhiõiguste ja -vabaduste ning eelkõige nende õiguse eraelu puutumatusele kõrgetasemeline kaitse, kui töödeldakse neid puudutavaid isikuandmeid, mida kaitsevad Euroopa Liidu põhiõiguste harta artikli 8 lõige 1 ja ELTL artikli 16 lõige 1 (vt selle kohta 1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 125 ja seal viidatud kohtupraktika).

65

Isikuandmete kaitse üldmääruse artikli 26 kohase kaasvastutuse kindlaksmääramise kokkuleppe või sama määruse artikli 30 kohase töötlemistoimingute registri puudumine ei ole nimelt iseenesest piisav, et tõendada põhiõiguse isikuandmete kaitsele rikkumist. Täpsemalt, kuigi on tõsi, et – nagu nähtub määruse põhjendustest 79 ja 82 – vastutuse selge jaotamine kaasvastutavate töötlejate vahel ja töötlemistoimingute register on vahendid tagamaks, et need vastutavad töötlejad järgivad selles määruses andmesubjektide õiguste ja vabaduste kaitseks ette nähtud kaitsemeetmeid, ei tõenda sellise registri või kokkuleppe puudumine siiski iseenesest, et neid õigusi ja vabadusi on rikutud.

66

Sellest tuleneb, et isikuandmete kaitse üldmääruse artiklite 26 ja 30 rikkumine vastutava töötleja poolt ei kujuta endast ebaseaduslikku töötlemist selle määruse artikli 17 lõike 1 punkti d või artikli 18 lõike 1 punkti b tähenduses koostoimes sama määruse artikli 5 lõike 1 punktiga a ja artikli 6 lõike 1 esimese lõiguga, mis annavad andmesubjektile õiguse isikuandmete kustutamisele või töötlemise piiramisele.

67

Nagu kõik kirjalikke seisukohti esitanud valitsused ja komisjon väitsid, tuleb selline rikkumine seega heastada muude isikuandmete kaitse üldmääruses ette nähtud meetmetega, nagu järelevalveasutuse poolt parandusmeetmete võtmine selle määruse artikli 58 lõike 2 tähenduses, eelkõige töötlemistoimingute vastavusse viimine määruse sätetega vastavalt selle lõike punktile d, järelevalveasutusele kaebuse esitamine vastavalt selle määruse artikli 77 lõikele 1 või vastutava töötleja tekitatud kahju hüvitamine vastavalt kõnealuse määruse artiklile 82.

68

Lõpuks, võttes arvesse eelotsusetaotluse esitanud kohtu väljendatud muret, tuleb veel täpsustada, et asjasse puutuva määruse tõhusat kohaldamist ei takista asjaolu, et käesoleval juhul on trahvi määramine isikuandmete kaitse üldmääruse artikli 58 lõike 2 punkti i ja artikli 83 alusel välistatud, kuna liikmesriigi õigus keelab niisuguse sanktsiooni kohaldamise rände- ja pagulasametile. Sellega seoses piisab, kui märkida, et nimetatud määruse artikli 83 lõige 7 annab liikmesriikidele sõnaselgelt õiguse näha ette, kas ja millisel määral võib selles liikmesriigis asutatud avaliku sektori asutustele ja organitele niisuguseid trahve määrata. Pealegi võimaldavad isikuandmete kaitse üldmääruses ette nähtud erinevad alternatiivsed meetmed, mida on meenutatud käesoleva kohtuotsuse eelmises punktis, tagada sellise tõhusa kohaldamise.

69

Seetõttu tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 17 lõike 1 punkti d ja artikli 18 lõike 1 punkti b tuleb tõlgendada nii, et kui vastutav töötleja ei täida selle määruse artiklites 26 ja 30 ette nähtud kohustusi, mis puudutavad vastavalt sellise kokkuleppe sõlmimist, milles määratakse kindlaks kaasvastutus andmete töötlemise eest, ja töötlemistoimingute registri pidamist, ei kujuta see endast ebaseaduslikku töötlemist, mis annab andmesubjektile õiguse andmete kustutamisele või töötlemise piiramisele, kuna selline täitmata jätmine ei tähenda iseenesest, et vastutav töötleja rikub nimetatud määruse artikli 5 lõikes 2 koostoimes artikli 5 lõike 1 punktiga a ja artikli 6 lõike 1 esimese lõiguga sätestatud vastutuse põhimõtet.

70

Esimesele küsimusele antud vastust arvestades ei ole teisele küsimusele vaja vastata.

71

Kolmanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas liidu õigust tuleb tõlgendada nii, et kui isikuandmete vastutav töötleja on rikkunud isikuandmete kaitse üldmääruse artiklist 26 või 30 tulenevaid kohustusi, on selleks, et liikmesriigi kohus saaks niisugused andmed seaduslikult arvesse võtta, vaja andmesubjekti nõusolekut.

72

Sellega seoses tuleb tõdeda, et selle määruse artikli 6 lõike 1 esimese lõigu sõnastusest endast nähtub selgelt, et selle lõigu punktis a nimetatud andmesubjekti nõusolek on vaid üks töötlemise seaduslikkuse alustest ning sellist nõusolekut ei nõua muud selle lõigu punktides b–f nimetatud seaduslikkuse alused, mis sisuliselt puudutavad töötlemise vajalikkust kindlaksmääratud eesmärkide saavutamiseks (vt analoogia alusel 11. detsembri 2019. aasta kohtuotsus Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punkt 41).

73

Ent kui kohus kasutab talle riigisisese õigusega antud õigusemõistmispädevust, tuleb isikuandmete töötlemist, mida see kohus peab tegema, pidada vajalikuks, et saavutada kõnealuse määruse artikli 6 lõike 1 esimese lõigu punktis e sätestatud eesmärk, mis on seotud avalikes huvides oleva ülesande täitmise või vastutava töötleja avaliku võimu teostamisega.

74

Kuna ühelt poolt piisab isikuandmete töötlemise seaduslikuks lugemiseks sellest, et täidetud on üks isikuandmete kaitse üldmääruse artikli 6 lõikes 1 sätestatud tingimustest, ja kuna teiselt poolt – nagu on järeldatud käesoleva kohtuotsuse punktis 61 – ei kujuta selle määruse artiklite 26 ja 30 rikkumine endast ebaseaduslikku töötlemist, siis ei ole selleks, et eelotsusetaotluse esitanud kohus saaks võtta arvesse isikuandmeid, mida rände- ja pagulasamet on viimati nimetatud artiklites ette nähtud kohustusi rikkudes töödelnud, vaja andmesubjekti nõusolekut.

75

Seetõttu tuleb kolmandale küsimusele vasta, et liidu õigust tuleb tõlgendada nii, et kui isikuandmete vastutav töötleja on rikkunud isikuandmete kaitse üldmääruse artiklist 26 või 30 tulenevaid kohustusi, ei ole selleks, et liikmesriigi kohus saaks niisuguseid andmeid seaduslikult arvesse võtta, vaja andmesubjekti nõusolekut.

76

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule märkuste esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (viies koda) otsustab: