–

Läti valitsus, esindaja: K. Pommere,

–

Euroopa Komisjon, esindajad: A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

1

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1) (edaspidi „isikuandmete kaitse üldmäärus“) artikli 12 lõiget 5, artikli 15 lõiget 3 ja artikli 23 lõike 1 punkti i.

2

Taotlus on esitatud FT ja DW vahelises kohtuvaidluses selle üle, et hambaarst FT keeldus edastamast oma patsiendile tema tervisetoimiku esimest koopiat tasuta.

3

Isikuandmete kaitse üldmääruse põhjenduses 4 on märgitud:

„[…] Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige […] ettevõtlusvabadusest […].“

4

Isikuandmete kaitse üldmääruse põhjendustes 10 ja 11 on märgitud:

5

Isikuandmete kaitse üldmääruse põhjenduses 13 on märgitud:

„[…] Lisaks kutsutakse liidu institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse kohaldamisel arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi. […].“

6

Isikuandmete kaitse üldmääruse põhjenduses 58 on täpsustatud:

„Läbipaistvuse põhimõte eeldab, et üldsusele või andmesubjektile suunatud teave on kokkuvõtlik, lihtsalt kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud ning samuti tuleks vajaduse korral täiendavalt kasutada visualiseerimist. Sellise teabe võib esitada elektrooniliselt, näiteks avalikkusele suunatud teabe puhul veebisaidi kaudu. Eriti asjakohane on see muudes olukordades, mille puhul osapoolte arvukuse ja kasutatava tehnoloogia keerukuse tõttu on andmesubjektil raske teada saada ja mõista, kas kogutakse tema isikuandmeid, kes neid kogub ja millisel eesmärgil, nagu näiteks veebireklaami puhul. Kuna lapsed väärivad erilist kaitset, peaks laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles, mis on lapsele kergesti arusaadav.“

7

Isikuandmete kaitse üldmääruse põhjenduses 59 on märgitud:

„Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid. […].“

8

Isikuandmete kaitse üldmääruse põhjendus 63 on sõnastatud järgmiselt:

„Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised. […].“

9

Isikuandmete kaitse üldmääruse artiklis 4 on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)   „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)   „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]“.

10

Isikuandmete kaitse üldmääruse artiklis 12 on sätestatud:

„1.   Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.

2.   Vastutav töötleja aitab kaasa artiklite 15–22 kohaste andmesubjekti õiguste kasutamisele.

[…]

5.   Artiklite 13 ja 14 kohase teabe esitamine ning artiklite 15–22 ja 34 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja kas:

Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

[…]“.

11

Isikuandmete kaitse üldmääruse artiklis 15 on sätestatud:

„1.   Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

2.   Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, on andmesubjektil õigus olla teavitatud edastamisega seoses artikli 46 kohaselt kehtestatavatest asjakohastest kaitsemeetmetest.

3.   Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt taotleb lisakoopiaid, võib vastutav töötleja küsida mõistlikku tasu halduskulude katmiseks. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.

4.   Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.“

12

Nimetatud määruse artiklid 16 ja 17 käsitlevad vastavalt andmesubjekti õigust ebaõigete isikuandmete parandamisele (õigus andmete parandamisele) ning õigust teatavatel asjaoludel andmete kustutamisele (õigus andmete kustutamisele või „õigus olla unustatud“).

13

Sama määruse artikli 18 „Õigus isikuandmete töötlemise piiramisele“ lõikes 1 on sätestatud:

„Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:

14

Isikuandmete kaitse üldmääruse artikli 21 „Õigus esitada vastuväiteid“ lõikes 1 on ette nähtud:

„Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.“

15

Isikuandmete kaitse üldmääruse artikli 23 lõige 1 on sõnastatud järgmiselt:

„Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada

[…]

[…]“.

16

Saksamaa tsiviilseadustiku (Bürgerliches Gesetzbuch; edaspidi „BGB“) § 630f kohaselt on tervishoiuteenuse osutaja kohustatud koostama ravi dokumenteerimise eesmärgil paberkandjal või elektrooniliselt tervisetoimiku. Tervishoiuteenuse osutaja on kohustatud kandma patsiendi tervisetoimikusse jooksva ja edaspidise tervishoiuteenuse osutamise seisukohast olulised ravimeetmed ja nende tulemused, eelkõige anamneesi, diagnoosid, uuringud, arstliku läbivaatuse tulemused, leiud, ravi ja selle toime, protseduurid ja nende toime, nõustumused ja selgitused. Tervishoiuteenuse osutaja peab säilitama patsiendi toimikut kümme aastat pärast ravi lõpetamist, kui muud sätted ei näe ette muid säilitamistähtaegu.

17

BGB § 630g lõike 1 esimese lause kohaselt tuleb patsiendile taotluse korral anda viivitamata võimalus tutvuda täies mahus tema tervisetoimikuga, kui toimikuga tutvumist ei takista olulised raviga seotud kaalutlused või muud olulised kolmandate isikute õigused. BGB § 630g lõike 2 esimese lause kohaselt võib patsient nõuda ka tervisetoimiku elektroonilist koopiat. Lähtudes seaduse seletuskirjast, tuleb seda mõista nii, et patsient võib enda valikul nõuda füüsiliste või elektrooniliste koopiate esitamist. BGB § 630g lõike 2 teine lause näeb ette, et patsient hüvitab tervishoiuteenuse osutajale tekkinud kulud.

18

DW sai FT juures hambaravi. Kuna DW kahtlustas, et tema ravis on tehtud vigu, taotles ta FT-lt oma tervisetoimiku esimest koopiat tasuta. FT teatas DW-le, et rahuldab taotluse vaid tingimusel, et viimane kannab tervisetoimiku koopia esitamisega seotud kulud, nagu näeb ette riigisisene õigus.

19

DW esitas FT vastu hagi. Nii esimeses kohtuastmes kui ka apellatsiooniastmes rahuldati DW nõue, et ta saaks oma tervisetoimiku esimese koopia tasuta. Otsused põhinesid kohaldatavate riigisiseste õigusnormide tõlgendusel isikuandmete kaitse üldmääruse artikli 12 lõikest 5 ning artikli 15 lõigetest 1 ja 3 lähtudes.

20

FT esitatud kassatsioonkaebust lahendav Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) leiab, et vaidluse lahendus sõltub sellest, kuidas tõlgendada isikuandmete kaitse üldmääruse sätteid.

21

Eelotsusetaotluse esitanud kohus märgib, et riigisisese õiguse kohaselt võib patsient saada oma tervisetoimiku koopia tingimusel, et sellega kaasnevad kulud hüvitatakse tervishoiuteenuse osutajale.

22

Isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimesest lausest koostoimes artikli 12 lõike 5 esimese lausega võib siiski tuleneda, et vastutav töötleja – käesoleval juhul tervishoiuteenuse osutaja – peab andma patsiendile tema tervisetoimiku esimese koopia tasuta.

23

Esimesena märgib eelotsusetaotluse esitanud kohus, et DW nõuab oma tervisetoimiku esimest koopiat selleks, et võtta FT vastutusele. Niisugune eesmärk ei oleks kooskõlas eesmärgiga, millele osutatakse isikuandmete kaitse üldmääruse põhjenduses 63, mis näeb ette õiguse tutvuda isikuandmetega, et olla nende andmete töötlemisest teadlik ja kontrollida töötlemise seaduslikkust. Isikuandmete kaitse üldmääruse artikli 15 sõnastuse kohaselt ei sõltu õiguse olla teavitatud kasutamine siiski niisugustest põhjustest. Lisaks ei nõua see säte, et andmesubjekt põhjendaks oma teavitamise taotlust.

24

Teisena rõhutab eelotsusetaotluse esitanud kohus, et isikuandmete kaitse üldmääruse artikli 23 lõige 1 lubab liikmesriigi õiguses võtta seadusandlikke meetmeid, millega piiratakse selle määruse artiklites 12–22 sätestatud kohustuste ja õiguste ulatust, et tagada mõni selles sättes ette nähtud eesmärk. Käesoleval juhul tugineb FT teiste isikute õiguste ja vabaduste kaitse eesmärgile, mis on sätestatud isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktis i, ning väidab, et BGB § 630g lõike 2 teises lauses ette nähtud tasumise kord on vajalik ja proportsionaalne meede, et kaitsta tervishoiuteenuse osutajate õigustatud huve, ja üldjuhul võimaldab see vältida asjaomaste patsientide alusetuid koopiataotlusi.

25

Ühest küljest võeti BGB § 630g lõike 2 teine lause vastu siiski enne isikuandmete kaitse üldmääruse jõustumist.

26

Teisest küljest on BGB § 630g lõike 2 teises lauses sätestatud tasumise korra esmane eesmärk kaitsta tervishoiuteenuse osutajate majanduslikke huve. Seega tuleb kindlaks teha, kas teiste isikute õiguste ja vabaduste kaitse isikuandmete kaitse üldmääruse artikli 23 lõike 1 punkti i tähenduses hõlmab ka tervishoiuteenuse osutajate huvi vabaneda isikuandmete koopia esitamisega kaasnevatest kuludest ja lõivudest. Lisaks võib patsientidele nende tervisetoimikute koopiatega seotud kulude süstemaatiline ülekandmine näida ülemäärane, kuna see ei võta arvesse tegelikult tekkinud kulusid ega iga taotlusega seotud asjaolusid.

27

Kolmandana, kuivõrd DW nõuab koopiat kõigist teda puudutavatest meditsiinilistest dokumentidest, seega tema tervisetoimikust, siis soovib eelotsusetaotluse esitanud kohus teada, milline ulatus on isikuandmete kaitse üldmääruse artikli 15 lõikes 3 sätestatud õigusel saada töödeldavate isikuandmete koopia. Selle õiguse tagamiseks võiks edastada kokkuvõtte arsti töödeldud andmetest. Näib siiski, et isikuandmete kaitse üldmääruses ette nähtud läbipaistvuse ja seaduslikkuse kontrolli eesmärgid räägivad selle kasuks, et edastada tuleb koopia kõikidest andmetest, mis on vastutava töötleja käsutuses töötlemata kujul, see tähendab kõikidest patsienti puudutavatest meditsiinilistest dokumentidest, kuivõrd need sisaldavad niisuguseid andmeid.

28

Neil asjaoludel otsustas Bundesgerichtshof (liitvabariigi kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

29

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 12 lõiget 5 ning artikli 15 lõikeid 1 ja 3 tuleb tõlgendada nii, et vastutav töötleja on kohustatud väljastama andmesubjektile tasuta tema töödeldavate isikuandmete esimese koopia, isegi kui see taotlus on põhjendatud muul kui selle määruse põhjenduse 63 esimeses lauses nimetatud eesmärgil.

30

Kõigepealt olgu märgitud, et väljakujunenud kohtupraktika kohaselt ei tule liidu õigusnormi tõlgendamisel arvesse võtta mitte ainult normi sõnastust, vaid ka konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osaks õigusnorm on (12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 29).

31

Mis esimesena puudutab asjakohaste sätete sõnastust, siis tuleb ühelt poolt märkida, et isikuandmete kaitse üldmääruse artikli 12 lõikes 5 on kehtestatud põhimõte, et andmesubjektile ei kaasne mingeid kulusid, kui ta kasutab õigust tutvuda oma töödeldavate andmetega ja nendega seotud teabega. Lisaks on selles sättes ette nähtud kaks põhjust, miks vastutav töötleja võib kas nõuda mõistlikku tasu, võttes arvesse halduskulu, või keelduda taotluse täitmisest. Need põhjused on seotud õiguste kuritarvitamise juhtumitega, kus andmesubjekti taotlused on „selgelt põhjendamatud“ või „ülemäärased“, eelkõige oma korduva iseloomu tõttu.

32

Sellega seoses märkis eelotsusetaotluse esitanud kohus sõnaselgelt, et andmesubjekti taotlus ei olnud pahatahtlik.

33

Teiselt poolt on andmesubjekti õigus tutvuda oma töödeldavate isikuandmetega ja nendega seotud teabega, mis on lahutamatu osa õigusest isikuandmete kaitsele, tagatud isikuandmete kaitse üldmääruse artikli 15 lõikega 1. Selle sätte sõnastuse kohaselt on andmesubjektidel õigus tutvuda oma töödeldavate isikuandmetega.

34

Lisaks nähtub isikuandmete kaitse üldmääruse artikli 15 lõikest 3, et vastutav töötleja esitab töödeldavate isikuandmete koopia ja võib küsida mõistlikku tasu andmesubjekti taotletud lisakoopiate eest. Selle kohta on nimetatud artikli lõikes 4 täpsustatud, et sama artikli lõikes 3 antakse andmesubjektile „õigus“. Vastutav töötleja võib seega nõuda sellist tasumist üksnes siis, kui andmesubjekt on juba saanud tasuta oma isikuandmete esimese koopia ja esitab nende kohta uue taotluse.

35

Nagu Euroopa Kohus on juba otsustanud, nähtub isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause grammatilisest analüüsist, et see säte annab andmesubjektile õiguse saada täpne taasesitus oma isikuandmetest, mida mõistetakse laias tähenduses ja mille suhtes tehakse toiminguid, mille vastutav töötleja peab kvalifitseerima töötlemiseks (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 28).

36

Seega tuleneb isikuandmete kaitse üldmääruse artikli 12 lõikest 5 koostoimes artikli 15 lõigetega 1 ja 3 ühelt poolt andmesubjekti õigus saada töödeldavate isikuandmete esimene koopia tasuta ja teiselt poolt vastutavale töötlejale antud võimalus küsida teatavatel tingimustel mõistlikku tasu halduskulude katmiseks või keelduda taotluse täitmisest, kui taotlus on selgelt põhjendamatu või ülemäärane.

37

Käesoleval juhul tuleb märkida, et arsti, kes teeb isikuandmete kaitse üldmääruse artikli 4 punktis 2 nimetatud toiminguid oma patsientide andmetega, tuleb pidada selle määruse artikli 4 punkti 7 tähenduses „vastutavaks töötlejaks“, kellel on sellest staatusest tulenevad kohustused, eelkõige tagada andmesubjektide taotlusel juurdepääsu isikuandmetele.

38

Tuleb tõdeda, et ei isikuandmete kaitse üldmääruse artikli 12 lõike 5 ega selle määruse artikli 15 lõigete 1 ja 3 sõnastus ei sea isikuandmete esimese koopia tasuta esitamise tingimuseks seda, et andmesubjektid peavad oma taotlusi põhjendama. Need sätted ei anna seega vastutavale töötlejale võimalust nõuda andmesubjekti esitatud andmetega tutvumise taotluse põhjendusi.

39

Mis teisena puudutab eespool mainitud sätete konteksti, siis tuleb rõhutada, et isikuandmete kaitse üldmääruse artikkel 12 kuulub selle määruse III peatüki 1. jakku, mis käsitleb eelkõige nimetatud määruse artikli 5 lõike 1 punktis a sätestatud läbipaistvuse põhimõtet.

40

Isikuandmete kaitse üldmääruse artiklis 12 on seega sätestatud vastutava töötleja üldised kohustused seoses selge teabe ja teavitamise ning andmesubjekti õiguste teostamise korraga.

41

Isikuandmete kaitse üldmääruse artikkel 15 – mis kuulub III peatüki 2. jakku, mis käsitleb teavet ja juurdepääsu isikuandmetele – täiendab isikuandmete kaitse üldmääruse läbipaistvusraamistikku, andes andmesubjektile õiguse tutvuda oma isikuandmetega ja õiguse saada teavet nende andmete töötlemise kohta.

42

Lisaks tuleb märkida, et isikuandmete kaitse üldmääruse põhjenduse 59 kohaselt „tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid“.

43

Kuna andmesubjekt ei ole kohustatud andmetega tutvumise taotlust põhjendama – nagu nähtub käesoleva kohtuotsuse punktist 38 –, ei saa põhjenduse 63 esimest lauset tõlgendada nii, et taotlus tuleb jätta rahuldamata, kui sellel on muu eesmärk kui olla isikuandmete töötlemisest teadlik ja kontrollida selle seaduslikkust. See põhjendus ei saa nimelt piirata isikuandmete kaitse üldmääruse artikli 15 lõike 3 ulatust, nagu on selgitatud käesoleva kohtuotsuse punktis 35.

44

Nimelt tuleb sellega seoses märkida, et liidu õigusakti preambulil ei ole õiguslikult siduvat jõudu ja sellele ei saa tugineda selleks, et kalduda kõrvale asjaomase akti sätetest, ega selleks, et tõlgendada neid sätteid ilmselgelt vastupidi nende sõnastusele (13. septembri 2018. aasta kohtuotsus Česká pojišťovna, C‑287/17, EU:C:2018:707, punkt 33).

45

Pealegi on põhjenduse 63 teises lauses märgitud, et andmesubjektide õigus tutvuda isikuandmetega hõlmab nende terviseandmeid puudutavas osas õigust tutvuda „oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised“.

46

Neil asjaoludel ei saa õigus tutvuda andmetega, mis on tagatud isikuandmete kaitse üldmääruse artikli 15 lõikega 1, olla andmetega tutvumise võimaldamisest keeldumise või vastutasu maksmise nõudmise kaudu piiratud mõne põhjenduse 63 esimeses lauses nimetatud põhjusega. Sama kehtib õiguse kohta saada esimene koopia tasuta, nagu on ette nähtud selle määruse artikli 12 lõikes 5 ja artikli 15 lõikes 3.

47

Mis kolmandana puudutab isikuandmete kaitse direktiivi eesmärke, siis olgu märgitud, et põhjenduste 10 ja 11 kohaselt on selle määruse eesmärk tagada liidus füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning tugevdada ja täpsustada andmesubjektide õigusi.

48

Just selle eesmärgi saavutamiseks tagab artikli 15 lõige 1 andmesubjektile õiguse tutvuda oma isikuandmetega (vt selle kohta 22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punkt 57 ja seal viidatud kohtupraktika).

49

Järelikult kuuluvad isikuandmete kaitse üldmääruse artikli 12 lõige 5 ning artikli 15 lõiked 1 ja 3 nende sätete hulka, mille eesmärk on tagada andmetega tutvumise õigus ja isikuandmete töötlemise korra läbipaistvus andmesubjekti suhtes (vt selle kohta 12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 42).

50

Põhimõte, et andmete esimene koopia antakse tasuta, ja asjaolu, et andmetega tutvumise taotlust ei ole vaja põhjendada konkreetse põhjusega, aitavad aga kindlasti kaasa sellele, et andmesubjekt saaks teostada talle isikuandmete kaitse üldmäärusega antud õigusi.

51

Järelikult, võttes arvesse seda, kui suure tähtsuse omistab isikuandmete kaitse üldmäärus õigusele tutvuda töödeldavate isikuandmetega – mis on tagatud selle määruse artikli 15 lõikega 1 – niisuguste eesmärkide saavutamiseks, ei saa selle õiguse kasutamisele seada tingimusi, mida liidu seadusandja ei ole sõnaselgelt ette näinud, näiteks kohustus tugineda mõnele isikuandmete kaitse üldmääruse põhjenduse 63 esimeses lauses nimetatud põhjusele.

52

Kõiki eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 12 lõiget 5 ning artikli 15 lõikeid 1 ja 3 tuleb tõlgendada nii, et vastutav töötleja on kohustatud väljastama andmesubjektile tasuta tema töödeldavate isikuandmete esimese koopia, isegi kui see taotlus on põhjendatud muul kui kõnealuse määruse põhjenduse 63 esimeses lauses nimetatud eesmärgil.

53

Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 23 lõike 1 punkti i tuleb tõlgendada nii, et sellega on lubatud riigisisesed õigusnormid, mis on vastu võetud enne selle määruse jõustumist ja millega vastutava töötleja majanduslike huvide kaitseks jäetakse andmesubjekti kanda tema töödeldavate isikuandmete esimese koopia kulud.

54

Esiteks, küsimuse puhul, kas isikuandmete kaitse üldmääruse artikli 23 lõike 1 kohaldamisalasse võivad kuuluda ainult need riigisisesed meetmed, mis on vastu võetud pärast isikuandmete kaitse üldmääruse jõustumist, tuleb rõhutada, et selle sätte sõnastuses ei ole selle kohta midagi märgitud.

55

Nimelt on isikuandmete kaitse üldmääruse artikli 23 lõikes 1 üksnes märgitud, et liikmesriigi õiguses võib seadusandliku meetmega piirata selle määruse artiklites 12–22 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad nendes artiklites sätestatud õigustele ja kohustustele, kui selline piirang austab põhivabaduste ja -õiguste olemust ning on vajalik ja proportsionaalne meede, et tagada muu hulgas teiste isikute õiguste ja vabaduste kaitse.

56

Järelikult ei jäta isikuandmete kaitse üldmääruse artikli 23 lõige 1 selle kohaldamisalast välja riigisiseseid seadusandlikke meetmeid, mis on vastu võetud enne isikuandmete kaitse üldmääruse jõustumist tingimusel, et need vastavad selles määruses sätestatud tingimustele.

57

Teiseks, küsimuse puhul, kas riigisisesed õigusnormid, mis tervishoiuteenuse osutajate majanduslike huvide kaitseks jätavad patsiendi kanda taotletud tervisetoimiku esimese koopia esitamisega seotud kulu, kuuluvad isikuandmete kaitse üldmääruse artikli 23 lõike 1 punkti i kohaldamisalasse, tuleb esimesena märkida, et nagu nähtub käesoleva kohtuotsuse punktidest 31 ja 33–36, tunnustatakse selle määruse artikli 12 lõike 5 ning artikli 15 lõigete 1 ja 3 alusel andmesubjekti õigust saada oma töödeldavate isikuandmete esimene koopia tasuta.

58

Isikuandmete kaitse üldmääruse artikli 15 lõike 3 teine lause lubab vastutaval töötlejal siiski küsida lisakoopiate eest mõistlikku tasu halduskulude katmiseks. Lisaks võimaldab isikuandmete kaitse üldmääruse artikli 12 lõige 5 koostoimes selle määruse artikli 15 lõigetega 1 ja 3 vastutaval töötlejal kaitsta ennast andmetega tutvumise õiguse kuritarvitamise eest, küsides selgelt põhjendamatu või ülemäärase taotluse korral mõistlikku tasu.

59

Teisena tuleb märkida, et selle määruse põhjenduse 4 kohaselt ei ole õigus isikuandmete kaitsele absoluutne õigus, vaid seda tuleb tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Isikuandmete kaitse üldmääruses austatakse seega kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja põhiõiguste hartas tunnustatud põhimõtetest (24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 53).

60

Isikuandmete kaitse üldmääruse artikli 15 lõikes 4 on nimelt sätestatud, et „koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi“.

61

Samuti on isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktis i märgitud, et muu hulgas isikuandmete kaitse üldmääruse artiklis 15 sätestatud kohustuste ja õiguste ulatust võib piirata, „kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada […] teiste isikute õiguste ja vabaduste kaitse“.

62

Järelikult tuleneb käesoleva kohtuotsuse punktidest 59–61, et andmesubjekti õigus saada oma töödeldavate isikuandmete esimene koopia tasuta ei ole absoluutne.

63

Kolmandana tuleb märkida, et selle õiguse piiramist võivad õigustada üksnes eeskätt teiste isikute õiguste ja vabaduste kaitsega seotud kaalutlused, kui niisugune piirang austab selle õiguse olemust ning on vajalik ja proportsionaalne meede, et tagada see kaitse, nagu on ette nähtud isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktis i.

64

Nagu aga nähtub eelotsusetaotlusest, võimaldab BGB § 630g lõike 2 teises lauses ette nähtud tasumise kord tervishoiuteenuse osutajal jätta patsiendi kanda tema tervisetoimikust esimese koopia tegemise kulud. Eelotsusetaotluse esitanud kohus rõhutab, et selle korra esmane eesmärk on kaitsta tervishoiuteenuse osutajate majanduslikke huve, mis takistaks patsientidel esitada asjatuid taotlusi oma tervisetoimiku koopia saamiseks. Seega, kuivõrd põhikohtuasjas kõne all olevate riigisiseste õigusnormide tegelik eesmärk on kaitsta tervishoiuteenuse osutajate majanduslikke huve – mida peab kontrollima eelotsusetaotluse esitanud kohus –, ei saa need kaalutlused kuuluda isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktis i osutatud „teiste isikute õiguste ja vabaduste“ alla.

65

Esimesena on niisuguste õigusnormide tõttu takistatud lisaks asjatutele taotlustele ka niisuguste taotluste esitamine, mille eesmärk on õiguspärasel põhjusel saada töödeldud isikuandmete esimene koopia tasuta. Järelikult eirab see kindlasti põhimõtet, et esimene koopia on tasuta, ning seab seetõttu kahtluse alla isikuandmete kaitse üldmääruse artikli 15 lõikes 1 ette nähtud andmetega tutvumise õiguse soovitava toime ning seeläbi ka määrusega tagatud kaitse.

66

Teisena ei nähtu eelotsusetaotlusest, et riigisiseste õigusnormidega kaitstavad huvid läheksid kaugemale puhtalt halduslikest või majanduslikest kaalutlustest.

67

Sellega seoses on oluline rõhutada, et liidu seadusandja on võtnud arvesse vastutavate töötlejate majanduslikke huve isikuandmete kaitse üldmääruse artikli 12 lõike 5 ja artikli 15 lõike 3 teise lause kohaselt, milles – nagu on märgitud käesoleva kohtuotsuse punktis 58 – on määratletud asjaolud, mille korral vastutav töötleja võib nõuda töödeldavate isikuandmete koopia esitamisega seotud kulude hüvitamist.

68

Neil asjaoludel ei saa tervishoiuteenuse osutajate majanduslike huvide kaitsega seotud eesmärgi taotlemine õigustada meedet, mille tõttu seatakse kahtluse alla õigus saada esimene koopia tasuta ja seeläbi seatakse kahtluse alla ka soovitav toime, mis on andmesubjekti õigusel tutvuda töödeldavate isikuandmetega.

69

Kõiki eeltoodud kaalutlusi arvestades tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 23 lõike 1 punkti i tuleb tõlgendada nii, et selle sätte kohaldamisalasse võivad kuuluda riigisisesed õigusnormid, mis on vastu võetud enne selle määruse jõustumist. Niisugune õigus ei võimalda siiski vastu võtta riigisiseseid õigusnorme, millega vastutava töötleja majanduslike huvide kaitseks jäetakse andmesubjekti töödeldavate isikuandmete esimese koopia kulud tema kanda.

70

Kolmanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimest lauset tuleb tõlgendada nii, et arsti ja patsiendi suhte raames tähendab õigus saada töödeldavate isikuandmete koopia seda, et andmesubjektile antakse koopia kõikidest tema tervisetoimikus olevatest dokumentidest, mis sisaldavad tema isikuandmeid, või ainult koopia tema isikuandmetest kui sellistest.

71

Kõigepealt olgu märgitud, et Euroopa Kohus on otsustanud, et isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause sõnastuse kohaselt annab see säte andmesubjektile õiguse saada täpne taasesitus oma isikuandmetest, mida mõistetakse laias tähenduses ja mille suhtes tehakse toiminguid, mille vastutav töötleja peab kvalifitseerima töötlemiseks (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 28).

72

Järelikult ei saa isikuandmete kaitse üldmääruse artiklit 15 tõlgendada nii, nagu oleks selle lõike 3 esimeses lauses ette nähtud muu õigus kui selle artikli lõikes 1. Lisaks ei puuduta mõiste „koopia“ mitte dokumenti kui sellist, vaid isikuandmeid, mida see sisaldab ja mida tuleb täiendada. Koopia peab seega sisaldama kõiki töödeldavaid isikuandmeid (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 32).

73

Lõpuks, mis puudutab isikuandmete kaitse üldmääruse artikliga 15 taotletavaid eesmärke, siis tahetakse sellega tugevdada ja täpsustada andmesubjektide õigusi. Selles artiklis ette nähtud õigus andmetega tutvuda peab seega võimaldama andmesubjektil veenduda, et teda puudutavad isikuandmed on õiged ja neid töödeldakse seaduslikult. Lisaks peavad töödeldavate isikuandmete koopial, mille vastutav töötleja peab isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause kohaselt esitama, olema kõik tunnused, mis võimaldavad andmesubjektil tõhusalt teostada oma õigusi, mis tulenevad sellest määrusest, ning selles tuleb järelikult need andmed täielikult ja täpselt taasesitada (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punktid 33, 34 ja 39).

74

Selleks et tagada, et vastutava töötleja esitatud teavet on lihtne mõista, nagu nõuab isikuandmete kaitse üldmääruse artikli 12 lõige 1 koostoimes selle määruse põhjendusega 58, võib dokumentide väljavõtete või isegi tervete dokumentide taasesitamine, mis sisaldavad muu hulgas töödeldavaid isikuandmeid, osutuda hädavajalikuks, kui töödeldavate andmete arusaadavuse tagamiseks on vajalik teada nende konteksti (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 41).

75

Järelikult tähendab õigus saada vastutavalt töötlejalt töödeldavate isikuandmete koopia seda, et andmesubjektile antakse kõigi nende andmete täpne ja arusaadav taasesitus. See õigus eeldab õigust saada koopia dokumentide väljavõtetest või isegi tervetest dokumentidest, mis sisaldavad muu hulgas nimetatud andmeid, kui niisuguse koopia esitamine on hädavajalik, et võimaldada andmesubjektil tõhusalt kasutada talle selle määrusega antud õigusi (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 45).

76

Mis puutub põhikohtuasjas kõne all olevasse teabesse, siis tuleb märkida, et isikuandmete kaitse üldmääruses on kindlaks määratud elemendid, millest põhikohtuasja kaebajal peaks olema võimalik taotleda koopiat. Tervisega seotud isikuandmete kohta on üldmääruse põhjenduses 63 täpsustatud, et andmesubjektide õigus tutvuda andmetega hõlmab õigust tutvuda „tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemused, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised“.

77

Nagu kohtujurist oma ettepaneku punktides 78–80 sisuliselt märkis, on liidu seadusandja just füüsiliste isikute tervist puudutavate isikuandmete tundlikkuse tõttu rõhutanud seda, kui oluline on, et nende isikute õigus tutvuda oma tervisetoimikus olevate andmetega oleks võimalikult täielik ja täpne ning lisaks ka arusaadav.

78

Arstliku läbivaatuse tulemuste, raviarstide hinnangu ja patsiendile osutatud ravi või protseduuride puhul, mis tavaliselt sisaldavad palju tehnilisi andmeid või isegi kujutisi, võib see, kui arstil lubataks need andmed lihtsalt kokku võtta või koondada, et esitada need kokkuvõtlikult, tekitada riski, et teatavad asjakohased andmed jäetakse välja või taasesitatakse ebaõigesti, või võib igal juhul raskendada patsientidel nende täpsuse ja täielikkuse kontrollimist ja nendest arusaamist.

79

Kõiki eeltoodud kaalutlusi arvestades tuleb kolmandale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimest lauset tuleb tõlgendada nii, et arsti ja patsiendi suhte raames tähendab õigus saada töödeldavate isikuandmete koopia seda, et andmesubjektile antakse kõigi nende andmete täpne ja arusaadav taasesitus. See õigus eeldab õigust saada täielik koopia tema tervisetoimikus olevatest dokumentidest, mis sisaldavad muu hulgas neid andmeid, kui sellise koopia esitamine on vajalik selleks, et asjaomane isik saaks kontrollida andmete õigsust ja täielikkust ning tagada nende arusaadavus. Mis puudutab andmesubjekti tervisega seotud isikuandmeid, siis hõlmab see õigus igal juhul õigust saada koopia oma tervisekaardile kantud andmetest, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemused, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised.

80

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab: