Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0061

Euroopa Kohtu otsus (teine koda), 11.11.2020.
Orange Romania SA versus Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Eelotsusetaotlus, mille on esitanud Tribunalul Bucureşti.
Eelotsusetaotlus – Direktiiv 95/46/EÜ – Artikli 2 punkt h ja artikli 7 punkt a – Määrus (EL) 2016/679 – Artikli 4 punkt 11 ja artikli 6 lõike 1 punkt a – Isikuandmete töötlemine ja eraelu puutumatuse kaitse – Isikut tõendavate dokumentide koopiate kogumine ja säilitamine mobiilside teenuste pakkuja poolt – Mõiste „andmesubjekti nõusolek“ – Vabatahtlik, konkreetne ja teadlik tahteavaldus – Nõusoleku andmine märkeruudu abil – Lepingu allkirjastamine andmesubjekti poolt – Tõendamiskohustus.
Kohtuasi C-61/19.

ECLI identifier: ECLI:EU:C:2020:901

 EUROOPA KOHTU OTSUS (teine koda)

11. november 2020 ( *1 )

Eelotsusetaotlus – Direktiiv 95/46/EÜ – Artikli 2 punkt h ja artikli 7 punkt a – Määrus (EL) 2016/679 – Artikli 4 punkt 11 ja artikli 6 lõike 1 punkt a – Isikuandmete töötlemine ja eraelu puutumatuse kaitse – Isikut tõendavate dokumentide koopiate kogumine ja säilitamine mobiilside teenuste pakkuja poolt – Mõiste „andmesubjekti nõusolek“ – Vabatahtlik, konkreetne ja teadlik tahteavaldus – Nõusoleku andmine märkeruudu abil – Lepingu allkirjastamine andmesubjekti poolt – Tõendamiskohustus

Kohtuasjas C‑61/19,

mille ese on ELTL artikli 267 alusel Tribunalul Bucureşti (Bukaresti esimese astme kohus, Rumeenia) 14. novembri 2018. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 29. jaanuaril 2019, menetluses

Orange România SA

versus

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP),

EUROOPA KOHUS (teine koda),

koosseisus: koja president A. Arabadjiev, kohtunikud T. von Danwitz (ettekandja) ja P. G. Xuereb,

kohtujurist: M. Szpunar,

kohtusekretär: osakonna juhataja D. Dittert,

arvestades kirjalikku menetlust ja 11. detsembri 2019. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

Orange România SA, esindajad: avocaţi D.‑D. Dascălu, A.‑M. Iordache ja I. Buga,

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), esindajad: A. G. Opre ja I. Ilie,

Rumeenia valitsus, esindajad: E. Gane, O.‑C. Ichim, L. Liţu ja C.‑R. Canţăr, hiljem E. Gane, O.‑C. Ichim ja L. Liţu,

Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato M. Russo,

Austria valitsus, esindajad: J. Schmoll ja G. Hesse, hiljem J. Schmoll,

Portugali valitsus, esindajad: L. Inez Fernandes, P. Barros da Costa, L. Medeiros ja I. Oliveira,

Euroopa Komisjon, esindajad: H. Kranenborg, D. Nardi ja L. Nicolae,

olles 4. märtsi 2020. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1

Eelotsusetaotlus puudutab seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 2 punkti h ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1) artikli 4 punkti 11.

2

Taotlus on esitatud Orange România SA ja Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personali (ANSPDCP) (Rumeenia isikuandmete töötlemise riiklik järelevalveasutus) vahelises kohtuvaidluses, milles Orange România on esitanud tühistamiskaebuse otsuse peale, millega talle määrati trahv põhjusel, et ta kogus ja säilitas ilma oma klientide nõuetekohase nõusolekuta koopiaid nende isikut tõendavatest dokumentidest, ning millega teda kohustati need koopiad hävitama.

Õiguslik raamistik

Liidu õigus

Direktiiv 95/46

3

Direktiivi 95/46 põhjenduses 38 on märgitud, et „andmete töötlemise õigluse huvides peab andmesubjektil olema võimalik saada töötlemisest teada ja juhul, kui andmeid kogutakse tema enda käest, tuleb teda täpselt ja täies ulatuses teavitada andmete kogumise asjaoludest“.

4

Nimetatud direktiivi artikli 2 punktis h on ette nähtud, et selles direktiivis kasutatakse järgmisi mõisteid:

„andmesubjekti nõusolek – iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid.“

5

Sama direktiivi artiklis 6 on ette nähtud:

„1.   Liikmesriigid sätestavad selle, et:

a)

isikuandmeid töödeldakse õiglaselt ja seaduslikult;

[…]

2.   Lõike 1 järgimise tagab vastutav töötleja.“

6

Direktiivi artikli 7 punktis a on sätestatud:

„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:

a)

andmesubjekt on selleks andnud oma ühemõttelise nõusoleku […]“.

7

Selle direktiivi artikkel 10 on sõnastatud järgmiselt:

„Liikmesriigid näevad ette, et vastutav töötleja või tema esindaja peab andmesubjektile, kellelt tema enda kohta andmeid kogutakse, esitama vähemalt järgmise teabe, kui ta seda juba ei tea:

a)

vastutava töötleja ja tema võimaliku esindaja andmed;

b)

andmete töötlemise eesmärk;

c)

täiendav teave, näiteks

andmete vastuvõtjad või vastuvõtjate kategooriad,

kas küsimustele vastamine on kohustuslik või vabatahtlik ja vastamata jätmise võimalikud tagajärjed,

isiku enda kohta käivate andmetega tutvumise ja nende parandamise õiguse olemasolu,

kuivõrd selline täiendav teave on vajalik, et tagada andmesubjektide suhtes õiglane andmete töötlemine, võttes arvesse andmete töötlemise konkreetseid asjaolusid.“

Määrus 2016/679

8

Määruse 2016/679 põhjendused 32 ja 42 on sõnastatud järgmiselt:

„(32)

Nõusolek tuleks anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võiks hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadmete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik ning mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.

[…]

(42)

Kui töödeldakse andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõestada, et andmesubjekt on andnud isikuandmete töötlemise toiminguks oma nõusoleku. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõlas nõukogu [5. aprilli 1993. aasta direktiiviga 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT 1993, L 95, lk 29; ELT eriväljaanne 15/02, lk 288)] peaks vastutava töötleja poolt ette valmistatud nõusolekuavaldus olema arusaadav ja lihtsasti kättesaadav, selles tuleks kasutada selget ja lihtsat keelt ning selles ei tohiks olla ebaõiglaseid tingimusi. Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Nõusolekut ei tohiks lugeda vabatahtlikult antuks, kui andmesubjektil pole tõelist või vaba valikuvõimalust või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta.“

9

Selle määruse artikli 4 punktis 11 on sätestatud:

„andmesubjekti nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega“.

10

Sama määruse artikli 5 kohaselt:

„1.   Isikuandmete töötlemisel tagatakse, et:

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

[…]

2.   Vastutav töötleja vastutab lõike 1 täitmise eest ja peab olema võimeline selle täitmist tõendama („vastutus“).“

11

Määruse 2016/679 artikli 6 lõike 1 punktis a on ette nähtud:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)

andmesubjekt on andnud nõusoleku oma isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil;

[…]“.

12

Määruse 2016/679 artikli 7 lõiked 1, 2 ja 4 on sõnastatud järgmiselt:

„1.   Kui töötlemine põhineb nõusolekul, peab vastutav töötleja olema võimeline tõendama, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

2.   Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist käesoleva määruse rikkumisega, ei ole siduv.

[…]

4.   Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku andmine isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.“

13

Kõnealuse määruse artikli 13 lõigetes 1 ja 2 on sätestatud:

„1.   Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

a)

vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

[…]

c)

isikuandmete töötlemise eesmärk ja õiguslik alus;

[…]

2.   Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

a)

isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)

teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

c)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust“.

14

Määruse 2016/679 artikli 94 lõige 1 on sõnastatud järgmiselt:

„Direktiiv 95/46/EÜ tunnistatakse kehtetuks alates 25. maist 2018.“

15

Vastavalt määruse 2016/679 artikli 99 lõikele 2 kohaldatakse seda määrust alates 25. maist 2018.

Rumeenia õigus

16

Seadusega nr 677/2001 isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (Legea nr 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, Monitorul Oficial al României, I osa, nr 790, 12.12.2001) eesmärk on võtta direktiivi 95/46 sätted üle riigisisesesse õigusesse.

17

Seaduse artikli 5 lõikes 1 on ette nähtud:

„1.   Isikuandmeid võib mis tahes viisil töödelda ainult siis, kui andmesubjekt on selleks andnud otsesõnu ühemõttelise nõusoleku, välja arvatud juhul, kui see puudutab artikli 7 lõikes 1 ning artiklites 8 ja 10 nimetatud kategooriatesse kuuluvaid andmeid.

[…]“.

18

Nimetatud seaduse artiklis 8 on sätestatud:

„1.   Isikukoodi või muude isikuandmete töötlemine, mis üldjuhul on mõeldud isiku tuvastamiseks, on lubatud vaid juhul, kui:

a)

andmesubjekt on selleks andnud otsese nõusoleku; või

b)

töötlemine on õigusnormis otseselt ette nähtud.

2.   Järelevalveasutus võib kindlaks määrata ka muud juhud, mil lõikes 1 nimetatud andmeid on lubatud töödelda, tingimusel et ta näeb andmesubjektide õiguste tagamiseks ette asjakohased kaitsemeetmed.“

19

Seaduse 677/2001 artiklis 32 on kirjas:

„Kui isikuandmete töötlemisel vastutava töötleja või tema volitatud isiku poolt on rikutud artikleid 4–10 või eiratud artiklites 12–15 või artiklis 17 sätestatud õigusi, on tegemist väärteoga, kui toimepandud teol ei ole kuriteo tunnuseid, ja selle eest karistatakse rahatrahviga [1000] leust kuni [25000] leuni“.

Põhikohtuasi ja eelotsuse küsimused

20

Orange România osutab Rumeenia turul mobiilsideteenuseid.

21

ANSPDCP määras 28. märtsil 2018 Orange Româniale trahvi põhjusel, et viimane säilitas oma klientide isikut tõendavatest dokumentidest tehtud koopiaid, tõendamata, et kliendid on andnud selleks nõuetekohase nõusoleku, ning samuti kohustas ta Orange Româniat need koopiad hävitama.

22

ANSPDCP märkis selles otsuses, et ajavahemikul 1.–26. märtsini 2018 sõlmis Orange România füüsiliste isikutega kirjalikud lepingud mobiilsideteenuste osutamiseks ja nendele lepingutele olid lisatud nende isikute isikut tõendavate dokumentide koopiad. ANSPDCP täpsustas, et Orange România ei esitanud tõendeid selle kohta, et tema kliendid, kelle lepingutele olid lisatud nende isikut tõendavate dokumentide koopiad, oleks andnud nõuetekohase nõusoleku nende isikut tõendavate dokumentide koopiate kogumiseks ja säilitamiseks.

23

Kõnealuste lepingute asjakohased tingimused olid sõnastatud järgmiselt:

„Klient kinnitab, et:

i)

teda on enne lepingu sõlmimist teavitatud valitud paketist, kohaldatavatest hinnakirjadest, lepingu minimaalsest kestusest, [lepingu] lõpetamise tingimustest ning teenuste saamise ja kasutamise tingimustest, sealhulgas teenustega hõlmatud piirkonnast […];

ii)

Orange România on andnud kliendile kogu teabe, mis on vajalik moonutamata, otsese, vabatahtliku ja konkreetse nõusoleku andmiseks lepingu sõlmimise ja sellest tulenevate kohustuste kohta, kaasa arvatud kõik lepingu dokumendid – teenuste kasutamise üldtingimused ning hinnakirju ja teenuseid tutvustav dokument;

iii)

teda on teavitatud ja ta on andnud oma nõusoleku selleks, et:

isikuandmeid töödeldakse Orange’i teenuste kasutamise üldtingimuste artiklis 1.15 ette nähtud otstarbel;

isikuandmeid sisaldavate dokumentide koopiaid säilitatakse tema isiku tuvastamise eesmärgil;

isikuandmeid töödeldakse (telefoninumber, e-posti aadress) otseturunduse eesmärgil;

isikuandmeid töödeldakse (telefoninumber, e-posti aadress) turu-uuringute tegemiseks;

ta on läbi lugenud ja annab otsese nõusoleku tervislikku seisundit puudutavaid isikuandmeid sisaldavate dokumentide koopiate säilitamiseks;

teenuste kasutamise üldtingimuste artikli 1.15 lõikes 10 nimetatud andmeid ei ole arvatud abonente ja katalooge puudutavate teabeteenuste koosseisu.“

24

Orange România esitas 28. märtsi 2018. aasta otsuse peale kaebuse Tribunalul Bucureştile (Bukaresti esimese astme kohus, Rumeenia).

25

Eelotsusetaotluse esitanud kohtu tuvastatu kohaselt on nii lepinguid, milles on tehtud rist märkeruutu, mis puudutab isikuandmeid sisaldavate dokumentide koopiate säilitamist isiku tuvastamise eesmärgil, kui ka lepinguid, milles sellist risti ei ole tehtud. Nimetatud kohus täpsustab, et vaatamata Orange România üldtingimustes sisalduvatele selgitustele ei keeldunud Orange România sõlmimast liitumislepingut ka klientidega, kes keeldusid andmast nõusolekut oma isikutunnistuse koopia säilitamiseks. Nimetatud kohus märgib veel, et Orange România „sisemenetluse“ nõuete kohaselt tuli selline keeldumine dokumenteerida eraldi formularil, mille klient pidi enne lepingu sõlmimist allkirjastama.

26

Eelotsusetaotluse esitanud kohus kahtleb, kas sellistel asjaoludel saab niisuguste klientide puhul asuda seisukohale, et nad on nõustunud nende isikut tõendavate dokumentide kogumisega ja nende koopiate lisamisega lepingutele. Peale selle on tal tekkinud küsimus, kas sellise lepingu sõlmimine, milles on tingimus, mis puudutab isikuandmeid sisaldavate dokumentide koopiate säilitamist isiku tuvastamise eesmärgil, võimaldab tõendada sellise nõusoleku olemasolu.

27

Neil asjaoludel otsustas Tribunalul București (Bukaresti esimese astme kohus, Rumeenia) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Millised tingimused peavad direktiivi 95/46 artikli 2 punkti h kohaselt olema täidetud, et saaks järeldada, et tahteavaldus on konkreetne ja teadlik?

2.

Millised tingimused peavad direktiivi 95/46 artikli 2 punkti h kohaselt olema täidetud, et saaks järeldada, et tahteavaldus on vabatahtlik?“

Eelotsuse küsimuste analüüs

28

Sissejuhatuseks tuleb kindlaks teha, kas direktiiv 95/46 ja määrus 2016/679 on põhikohtuasja asjaoludele kohaldatavad.

29

Määruse 2016/679 artikli 94 lõike 1 ja artikli 99 lõike 2 kohaselt tunnistati direktiiv 95/46 alates 25. maist 2018 kehtetuks ja asendati nimetatud määrusega.

30

Kuna põhikohtuasjas kõne all olev ANSPDCP otsus tehti 28. märtsil 2018 ehk enne 25. maid 2018, leiab eelotsusetaotluse esitanud kohus õigesti, et direktiiv 95/46 on põhikohtuasjas ajaliselt kohaldatav.

31

Samas ilmneb Euroopa Kohtule esitatud toimikust veel, et ANSPDCP mitte ainult ei määranud oma otsuses Orange Româniale trahvi, vaid pani talle ka kohustuse hävitada vaidlusalused isikut tõendavate dokumentide koopiad, ja põhikohtuasjas toimuv vaidlus puudutab ka seda korraldust. Kuna toimikus ei ole tõendeid, millest ilmneks, et see korraldus täideti enne 25. maid 2018, ei ole välistatud, et selles osas on käesolevas asjas ajaliselt kohaldatav määrus 2016/679 (vt selle kohta 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punkt 41).

32

Neil asjaoludel tuleb selleks, et Euroopa Kohus saaks anda eelotsusetaotluse esitanud kohtu küsimustele tarvilikud vastused, vastata esitatud küsimustele nii direktiivi 95/46 kui ka määruse 2016/679 alusel (vt analoogia alusel 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punkt 43).

33

Kahe eelotsuse küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikli 2 punkti h ja artikli 7 punkti a ning määruse 2016/679 artikli 4 punkti 11 ja artikli 6 lõike 1 punkti a tuleb tõlgendada nii, et telekommunikatsiooniteenuste osutamise lepinguga, milles on tingimus, mille kohaselt andmesubjekti on teavitatud ja ta on nõustunud, et tema isikut tõendava dokumendi koopia kogutakse ja säilitatakse isiku tuvastamise eesmärgil, saab tõendada, et see isik on selleks kogumiseks ja säilitamiseks andnud nõuetekohase nõusoleku nimetatud sätete tähenduses.

34

Selle kohta tuleb rõhutada, et direktiivi 95/46 artiklis 7 ja määruse 2016/679 artiklis 6 on ette nähtud ammendav loetelu juhtudest, mil isikuandmete töötlemist saab pidada seaduslikuks (vt seoses direktiivi 95/46 artikliga 7 19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 57 ja seal viidatud kohtupraktika, ning 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punkt 53). Täpsemalt on selle direktiivi artikli 7 punktis a ja nimetatud määruse artikli 6 lõike 1 punktis a ette nähtud, et sellise töötlemise muudab seaduslikuks andmesubjekti nõusolek.

35

Seoses nõuetega, millele selline nõusolek peab vastama, on direktiivi 95/46 artikli 7 punktis a ette nähtud, et andmesubjekt peab olema andnud „ühemõttelise nõusoleku“, samas kui nimetatud direktiivi artikli 2 punktis h on nõusolek määratletud kui „iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid“. Kuna nendes sätetes on ette nähtud, et nõusoleku ühemõtteliseks andmiseks peab isik tegema tahteavalduse, saab arvesse minna ainult selle isiku aktiivne tegevus oma nõusoleku väljendamisel (vt selle kohta 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punktid 52 ja 54).

36

Sama nõue kehtib ka määruse 2016/679 raames. Selle määruse artikli 4 punkt 11, mis määratleb andmesubjekti nõusoleku eelkõige selle määruse artikli 6 lõike 1 punkti a kohaldamise tarbeks, tundub sõnastuselt olevat veelgi rangem kui direktiivi 95/46 artikli 2 punkt h, kuna see nõuab, et andmesubjekti tahteavaldus peab olema „vabatahtlik, konkreetne, teadlik ja ühemõtteline“ ning antud avalduse vormis või „selge nõusolekut väljendava tegevusega“, millega andmesubjekt nõustub tema kohta käivate isikuandmete töötlemisega. Seega on määrusega 2016/679 nüüdsest sõnaselgelt ette nähtud aktiivne nõusolek (vt selle kohta 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punktid 6163).

37

Siinkohal tuleb märkida, et kuigi nimetatud määruse põhjenduses 32 on täpsustatud, et nõusolekut saab muu hulgas väljendada lahtri märgistamisega veebisaidil, on selles põhjenduses seevastu sõnaselgelt välistatud võimalus, et „vaikimist, eelnevalt märgistatud lahtreid või tegevusetust“ saaks pidada nõusolekuks. Euroopa Kohus on juba otsustanud, et kui veebisaidi kasutaja on jätnud eeltäidetud märkeruudu tühjendamata, siis on praktiliselt võimatu objektiivselt kindlaks teha, kas ta on tõesti nõustunud oma isikuandmete töötlemisega, ning ammugi mitte, kas see nõusolek on antud teadlikult. Ei saa nimelt välistada, et see kasutaja ei lugenud eeltäidetud märkeruudu juures olevat teavet või isegi ei märganud seda ruutu enne oma tegevuse jätkamist veebisaidil, mida ta külastas (vt selle kohta 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punktid 55 ja 57).

38

Peale selle on direktiivi 95/46 artikli 2 punktis h ja määruse 2016/679 artikli 4 punktis 11 nõutud, et tahteavaldus peab olema „konkreetne“ selles mõttes, et see peab olema suunatud just asjasse puutuvate andmete töötlemisele ja seda ei saa tuletada muul otstarbel väljendatud tahtevaldusest (vt seoses direktiivi 95/46 artikli 2 punktiga h 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punkt 58).

39

Nimetatud määruse artikli 7 lõike 2 esimeses lauses on selle kohta täpsustatud, et kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav. Konkreetsemalt ilmneb viimati nimetatud sättest koostoimes sama määruse põhjendusega 42, et selline kinnitus peab olema esitatud arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt, ja seda eriti juhul, kui tegemist on vastutava isikuandmete töötleja poolt ette valmistatud nõusolekuavaldusega.

40

Direktiivi 95/46 artikli 2 punktist h ja määruse 2016/679 artikli 4 punktist 11 tulenev nõue, et tahteavaldus peab olema „teadlik“, tähendab vastavalt nimetatud direktiivi artiklile 10, tõlgendatuna direktiivi põhjenduse 38 alusel, ning nimetatud määruse artiklile 13, tõlgendatuna määruse põhjenduse 42 alusel, et vastutav töötleja peab andmesubjektile arusaadaval ja lihtsasti kättesaadaval kujul, selges ja lihtsas keeles teatavaks tegema kogu teabe andmete töötlemisega seotud asjaolude kohta, mistõttu sellele isikule oleks teada töödeldavate isikuandmete liik, kes on vastutav töötleja, töötlemise kestus ja töötlemise laad ning selle konkreetsed eesmärgid. Selline teave peab võimaldama kasutajal hõlpsasti kindlaks määrata tema nõusoleku tagajärjed ja tagama, et nõusolek oleks antud kõiki asjaolusid teades (vt analoogia alusel 1. oktoobri 2019. aasta kohtuotsus Planet49, C‑673/17, EU:C:2019:801, punkt 74).

41

Nii nagu märkis ka komisjon Euroopa Kohtule esitatud seisukohtades, ilmneb direktiivi 95/46 artikli 10 punkti c teisest taandest ning määruse 2016/679 artikli 13 lõike 2 punktidest b ja c koostoimes selle määruse põhjendusega 42, et selleks, et tagada andmesubjektile tegelik valikuvabadus, ei tohi lepingutingimused andmesubjekti eksitada selles, kas tal on võimalik sõlmida leping ka juhul, kui ta keeldub nõustumast teda puudutavate andmete töötlemisega. Kui selline teave puudub, et saa selle isiku nõusolekut tema kohta käivate isikuandmete töötlemiseks lugeda vabatahtlikult ega ka mitte teadlikult ja ühemõtteliselt antuks.

42

Tuleb lisada, et direktiivi 95/46 artikli 6 lõike 1 punkti a ning määruse 2016/679 artikli 5 lõike 1 punkti a kohaselt peab isikuandmete vastutav töötleja muu hulgas tagama nende andmete töötlemise seaduslikkuse ja nimetatud artikli 5 lõikes 2 täpsustatu kohaselt peab ta olema võimeline töötlemise seaduslikkust tõendama. Konkreetsemalt on andmesubjekti võimaliku nõusoleku kohta selle direktiivi artikli 7 punktis a ette nähtud, et andmesubjekt peab olema andnud oma „ühemõttelise“ nõusoleku, mis tähendab – nagu märkis ka kohtujurist oma ettepaneku punktis 56 –, et kohustus tõendada nõuetekohase nõusoleku olemasolu lasub vastutaval töötlejal. Nimetatud määruse artikli 7 lõikes 1 on nüüdsest sätestatud, et kui töötlemine põhineb nõusolekul, peab vastutav töötleja olema võimeline tõendama, et andmesubjekt on nõustunud tema kohta käivate isikuandmete töötlemisega.

43

Käesoleval juhul selgitas Orange România Euroopa Kohtule esitatud seisukohtades, et põhikohtuasjas vaidluse all olevate lepingute sõlmimise menetluses teavitasid tema müügiesindajad asjaomaseid kliente enne lepingute sõlmimist muu hulgas isikut tõendavate dokumentide koopiate kogumise ja säilitamise eesmärkidest ning valikutest, mis klientidel seoses selle kogumise ja säilitamisega on, enne kui nad said nendelt klientidelt andmete kogumiseks ja säilitamiseks suulise nõusoleku. Orange România sõnul täideti isikut tõendavate dokumentide koopiate säilitamist puudutav märkeruut ainult juhul, kui asjasse puutuv isik lepingu sõlmimisel selleks vabatahtlikku nõusolekut avaldas.

44

Neil asjaoludel on eelotsusetaotluse eesmärk sisuliselt välja selgitada, kas niisugust nõusolekut selliseks isikuandmete töötlemiseks saab kindlaks teha neis lepingutes sisalduvate lepingutingimuste põhjal.

45

Sellega seoses ilmneb eelotsusetaotluses esitatust, et kuigi lepingutes oli tingimus, et asjaomaseid kliente on teavitatud ja nad on andnud oma nõusoleku nende isikut tõendava dokumendi koopia säilitamiseks isiku tuvastamise eesmärgil, olid Orange România müügiesindajad selle märkeruudu täitnud juba enne, kui kliendid andsid allkirja, millega kinnitasid, et nõustuvad kõigi lepingutingimustega, st nii selle tingimusega kui teiste tingimustega, mis ei puudutanud andmekaitset. Eelotsusetaotluses on veel märgitud, et põhikohtuasjas kõne all olevates lepingutes ei olnud seda küll kirjas, kuid Orange România oli nõus sõlmima neid lepinguid ka klientidega, kes keeldusid andmast nõusolekut nende isikut tõendava dokumendi koopia säilitamiseks, kuid sel juhul nõudis ta, et need kliendid allkirjastaks keeldumise dokumenteerimiseks eraldi formulari.

46

Kuna aga eelotsusetaotluses esitatu kohaselt tundub, et asjaomased kliendid ei täitnud kõnealust tingimust puudutavat märkeruutu ise, ei saa üksnes selle põhjal, et see ruut on täidetud, lugeda tõendatuks, et need kliendid avaldasid tõesti nõusolekut nende ID‑kaardi koopia kogumiseks ja säilitamiseks. Nagu tõdes ka kohtujurist oma ettepaneku punktis 45, ei saa sellist nõusolekut tõendada vaid asjaolu, et nimetatud kliendid on allkirjastanud eeltäidetud märkeruutu sisaldavad lepingud, kui puuduvad andmed, et see tingimus on tõepoolest läbi loetud ja sellest on aru saadud. Eelotsusetaotluse esitanud kohus peab selles küsimuses tegema vajaliku kontrolli.

47

Kuna tundub, et lepingutingimust, mis sisaldas nende andmete töötlemist puudutavat eeltäidetud märkeruutu, ei esitatud ka teistest lepingutingimustest selgelt eristataval viisil, tuleb eelotsusetaotluse esitanud kohtul käesoleva kohtuotsuse punktis 34 esitatud kaalutlusi arvestades veel hinnata, kas sellisele lepingule antud allkirja, mis seondub paljude lepingutingimustega, saab pidada konkreetse nõusoleku avaldamiseks isikuandmete kogumiseks ja säilitamiseks direktiivi 95/46 artikli 2 punkti h ja määruse 2016/679 artikli 4 punkti 11 tähenduses.

48

Arvestades seda, et põhikohtuasjas vaidluse all olevas lepingutingimuses on ilma muude täpsustusteta märgitud üksnes seda, et ID‑kaartide koopiate säilitamise eesmärk on isiku tuvastamine, peab eelotsusetaotluse esitanud kohus veel kontrollima, kas andmesubjektide teavitamisel järgiti direktiivi 95/46 artikli 10 ja määruse 2016/679 artikli 13 nõudeid, mis puudutavad teavet, mille vastutav töötleja peab andma isikule, kellelt ta tema isikuandmeid kogub, et tagada, et nende andmete töötlemine oleks andmesubjekti suhtes õiglane.

49

Ühtlasi peab nimetatud kohus muu hulgas hindama, kas põhikohtuasjas kõne all olevad lepingutingimused võisid andmesubjekti eksitada seoses võimalusega sõlmida leping olenemata keeldumisest nõustuda tema kohta käivate andmete töötlemisega, kuivõrd selle kohta puudusid täpsustused, mistõttu on küsitav, kas allkirjaga väljendatud nõusolek oli antud teadlikult ja asjaolusid teades.

50

Ka nõusoleku vabatahtlikkus satub kahtluse alla, kui pöörata – nii nagu kohtujurist oma ettepaneku punktis 60 – tähelepanu asjaolule, et nõusoleku andmisest keeldumise korral nõudis Orange România erinevalt tavalisest lepingu sõlmimise menetlusest, et asjaomane klient kinnitaks kirjalikult, et ta ei nõustu oma isikut tõendava dokumendi koopia kogumise ega säilitamisega. Nagu komisjon kohtuistungil märkis, võib selline täiendav nõue sobimatult mõjutada valikuvabadust olla sellise kogumise ja säilitamise vastu – ka seda asjaolu peab kontrollima eelotsusetaotluse esitanud kohus.

51

Igal juhul tuleneb käesoleva kohtuotsuse punktidest 35, 36 ja 42, et Orange România kui andmete vastutav töötleja peab tõendama, et tema kliendid on aktiivse tegevusega väljendanud nõusolekut nende kohta käivate isikuandmete töötlemisega, ja see äriühing ei saa nõuda, et nad väljendaks oma keeldumist aktiivselt.

52

Eeltoodud kaalutlusi arvestades tuleb esitatud küsimustele vastata, et direktiivi 95/46 artikli 2 punkti h ja artikli 7 punkti a ning määruse 2016/679 artikli 4 punkti 11 ja artikli 6 lõike 1 punkti a tuleb tõlgendada nii, et vastutav töötleja peab tõendama, et andmesubjekt on aktiivse tegevusega väljendanud nõusolekut tema kohta käivate isikuandmete töötlemiseks ja et andmesubjekti on arusaadaval ja lihtsasti kättesaadaval kujul ning selges ja lihtsas keeles enne teavitatud kõikidest selle töötlemisega seotud asjaoludest, nii et tal oli võimalik hõlpsasti kindlaks määrata nõusoleku tagajärjed, mistõttu on tagatud, et see nõusolek anti kõiki asjaolusid teades. Telekommunikatsiooniteenuste osutamise lepinguga, milles on tingimus, mille kohaselt andmesubjekti on teavitatud ja ta on nõustunud, et tema isikut tõendava dokumendi koopia kogutakse ja säilitatakse isiku tuvastamise eesmärgil, ei saa tõendada, et see isik on andnud selleks kogumiseks ja säilitamiseks nõuetekohase nõusoleku nimetatud sätete tähenduses, kui

vastutav töötleja on sellele tingimusele viitava märkeruudu täitnud enne lepingu allkirjastamist, või kui

lepingu tingimused võivad andmesubjekti eksitada selles, kas tal on võimalik sõlmida leping ka juhul, kui ta keeldub nõustumast teda puudutavate andmete töötlemisega, või kui

vastutav töötleja on sobimatult mõjutanud valikuvabadust olla sellise kogumise ja säilitamise vastu, nõudes, et andmesubjekt, kes keeldub nõusolekut andmast, täidaks keeldumise dokumenteerimiseks täiendava formulari.

Kohtukulud

53

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

 

Esitatud põhjendustest lähtudes Euroopa Kohus (teine koda) otsustab:

 

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 2 punkti h ja artikli 7 punkti a ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punkti 11 ja artikli 6 lõike 1 punkti a tuleb tõlgendada nii, et vastutav töötleja peab tõendama, et andmesubjekt on aktiivse tegevusega väljendanud nõusolekut tema kohta käivate isikuandmete töötlemiseks ja et andmesubjekti on arusaadaval ja lihtsasti kättesaadaval kujul ning selges ja lihtsas keeles enne teavitatud kõikidest selle töötlemisega seotud asjaoludest, nii et tal oli võimalik hõlpsasti kindlaks määrata nõusoleku tagajärjed, mistõttu on tagatud, et see nõusolek anti kõiki asjaolusid teades. Telekommunikatsiooniteenuste osutamise lepinguga, milles on tingimus, mille kohaselt andmesubjekti on teavitatud ja ta on nõustunud, et tema isikut tõendava dokumendi koopia kogutakse ja säilitatakse isiku tuvastamise eesmärgil, ei saa tõendada, et see isik on andnud selleks kogumiseks ja säilitamiseks nõuetekohase nõusoleku nimetatud sätete tähenduses, kui

 

vastutav töötleja on sellele tingimusele viitava märkeruudu täitnud enne lepingu allkirjastamist, või kui

lepingu tingimused võivad andmesubjekti eksitada selles, kas tal on võimalik sõlmida leping ka juhul, kui ta keeldub nõustumast teda puudutavate andmete töötlemisega, või kui

vastutav töötleja on sobimatult mõjutanud valikuvabadust olla sellise kogumise ja säilitamise vastu, nõudes, et andmesubjekt, kes keeldub nõusolekut andmast, täidaks keeldumise dokumenteerimiseks täiendava formulari.

 

Allkirjad


( *1 ) Kohtumenetluse keel: rumeenia.

Top