EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CC0683
Opinion of Advocate General Emiliou delivered on 4 May 2023.###
Kohtujurist Emiliou, 4.5.2023 ettepanek.
Kohtujurist Emiliou, 4.5.2023 ettepanek.
ECLI identifier: ECLI:EU:C:2023:376
Esialgne tõlge
KOHTUJURISTI ETTEPANEK
NICHOLAS EMILIOU
esitatud 4. mail 2023(1)
Kohtuasi C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
versus
Valstybinė duomenų apsaugos inspekcija,
menetluses osalesid:
„IT sprendimai sėkmei“ UAB,
Lietuvos Respublikos sveikatos apsaugos ministerija
(eelotsusetaotlus, mille on esitanud Vilniaus apygardos administracinis teismas (Vilniuse regionaalne halduskohus, Leedu))
Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Artikli 4 punkt 7 – Mõiste „vastutav töötleja“ – Mobiilirakenduse arendamine COVID‑19 pandeemia kontekstis – Mobiilirakenduse omandamise hankemenetluse korraldamise eest vastutava avaliku sektori asutuse vastutus – Artikli 4 punkt 2 – Mõiste „töötlemine“ – Isikuandmete kasutamine mobiilirakenduse testimisjärgus – Artikli 26 lõige 1 – Kaasvastutus – Artikkel 83 – Trahvide määramine – Kriteeriumid – Nõue, et rikkumine peab olema tahtlik või tingitud hooletusest – Vastutava töötleja vastutus isikuandmete töötlemise eest, mille paneb toime volitatud töötleja
I. Sissejuhatus
1. Millistel tingimustel võib määrata vastutavatele ja volitatud töötlejatele trahve määruses (EL) 2016/679(2) sätestatud andmekaitse-eeskirjade rikkumise eest maailmas, kus isikuandmed on muutunud kauplemisvahendiks ja kujutavad endast ettevõtete jaoks äsja avastatud kullakaevandust? Täpsemalt küsides: kas süü on nõutav koosseisu tunnus, et neile saaks sellise trahvi määrata? See on peamine küsimus, mille Vilniaus apygardos administracinis teismas (Vilniuse regionaalne halduskohus, Leedu) praeguses kohtuasjas on esitanud.
2. Selle kohtu menetluses olev vaidlus, mille pooled on Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Leedu Vabariigi tervishoiuministeeriumi alluvuses olev terviseamet; edaspidi „NVSC“) ja Valstybinė duomenų apsaugos inspekcija (Leedu andmekaitseinspektsioon; edaspidi „inspektsioon“), käsitleb sisuliselt seda, millist rolli mängib NVSC sellise mobiilirakenduse arendamisel ja avalikkusele kättesaadavaks tegemisel, mis kogus 2020. aasta aprillis ja mais COVID‑19-ga nakatunud patsientidega kontaktis olnud isikute isikuandmeid.
3. Selles kontekstis annab käesolev kohtuasi Euroopa Kohtule võimaluse selgitada täiendavalt mõisteid „vastutav töötleja“, „kaasvastutavad töötlejad“ ja „töötlemine“, mis on määratletud vastavalt isikuandmete kaitse üldmääruse artikli 4 punktis 7, artikli 26 lõikes 1 ja artikli 4 punktis 2, ning kaaluda esimest korda, kas üldmääruse artikli 83 kohaselt on võimalik määrata trahvi vastutavale töötlejale, kes ei ole rikkunud isikuandmete kaitse üldmääruses sisalduvaid eeskirju tahtlikult ega hooletusest. Sellele küsimusele vastamiseks peab Euroopa Kohus selgitama, kas selle sätte alusel on võimalik määrata trahvi süü puudumisel ja puhtalt vastutusest tulenevalt.
II. Õiguslik raamistik
A. Liidu õigus
4. Isikuandmete kaitse üldmääruse põhjenduses 148 on märgitud:
„Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve […] Väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, võib trahvi asemel teha noomituse. Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele. Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetlust.“
5. Selle määruse põhjenduses 150 on märgitud:
„Selleks et tugevdada ja ühtlustada väärteokaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused määrata trahve. Käesolevas määruses tuleks loetleda rikkumised, sätestada asjaomaste trahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev järelevalveasutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. […] Trahvi määramine või hoiatuse tegemine ei mõjuta järelevalveasutuse muude volituste rakendamist ega muude määruse kohaste karistuste määramist.“
6. Isikuandmete kaitse üldmääruse artikli 4 punktis 7 on mõiste „vastutav töötleja“ määratletud kui „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid […]“.
7. Määruse artikli 26 „Kaasvastutavad töötlejad“ asjasse puutuvas osas on sätestatud:
„1. Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. […]
[…]“.
8. Üldmääruse artiklis 83 „Trahvide määramise üldtingimused“ on sätestatud:
„1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.
2. Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:
a) rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;
b) kas rikkumine pandi toime tahtlikult või hooletusest;
[…]
k) juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.
3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.
[…]“.
B. Leedu õigus
9. Riigihangete seaduse (Viešųjų pirkimų įstatymas) artikli 72 lõikes 2 on sätestatud:
„Hankija viib läbi väljakuulutamiseta läbirääkimistega hankemenetluse järgmistes etappides:
1) kirjalik pakkumuste esitamise ettepanek valituks osutunud ettevõtjatele;
2) kontrollimine, kas mõne ettevõtja puhul esinevad hankedokumentides ette nähtud hankemenetlusest kõrvaldamise alused, ja kindlaks tegemine, kas ettevõtjad vastavad ette nähtud kvalifitseerimise tingimustele ja täidavad vajaduse korral nõutud kvaliteeditagamis- ja/või keskkonnajuhtimisstandardid;
3) pakkujatega läbirääkimiste pidamine käesoleva seaduse artiklis 66 ette nähtud menetluse kohaselt ja neilt lõplike pakkumuste esitamise palumine. Avaliku sektori hankija ei pea paluma lõplike pakkumuste esitamist, kui väljakuulutamata läbirääkimistega hankemenetluses osaleb üks ettevõtja;
4) lõplike pakkumuste hindamine ja eduka taotleja kindlakstegemine.“
III. Faktilised asjaolud, menetlus liikmesriigis ja eelotsuse küsimused
10. Selleks, et tulla tõhusalt toime COVID‑19 levikust tingitud olukorraga, andis Leedu Vabariigi tervishoiuminister (edaspidi „tervishoiuminister“) 24. märtsi 2020. aasta otsusega NVSC direktorile ülesande korraldada mobiilirakenduse nimega KARANTINAS arendamine ja omandamine. See mobiilirakendus töötati välja eesmärgiga koguda ja jälgida COVID‑19-ga nakatunud patsientidega kontaktis olnud isikute isikuandmeid.(3)
11. 27. märtsil 2020 teavitas isik, kes väitis, et ta on NVSC esindaja, äriühingut „IT sprendimai sėkmei“ UAB (edaspidi „ITSS“), et nimetatud äriühing on valitud KARANTINASe arendajaks. Selle mobiilirakenduse arendamise teemal vahetasid e‑kirju nii ITSS ja see isik kui ka ITSS ning mitu NVSC töötajat ja NVSC direktor. Samuti sõlmiti selles etapis konfidentsiaalsuskokkulepe, kus vastutava töötlejana nimetati nii ITSSi kui ka NVSCd.
12. Loodud mobiilirakendus tehti avalikkusele allalaadimiseks kättesaadavaks Google Play Store’i veebipoes alates 4. aprillist 2020 ja Apple App Store’i müügiplatvormil alates 6. aprillist 2020. Avalikkusele allalaadimiseks kättesaadavaks tehtud KARANTINASe versioonis nimetati vastutava töötlejana jälle nii ITSSi kui ka NVSCd. Sel hetkel ei olnud NVSC veel mobiilirakendust ostnud.
13. Tervishoiuminister andis 10. aprilli 2020. aasta otsusega NVSC direktorile ülesande jätkata mobiilirakenduse KARANTINAS omandamist väljakuulutamiseta läbirääkimistega hankemenetluse abil, kohaldades riigihangete seaduse artikli 72 lõiget 2.
14. Hankemenetlus algatati, kuid kuivõrd vajalikku rahastust ei saadud, lõpetas NVSC menetluse. Ostu kohta riigihankelepingut seega ei sõlmitud. KARANTINAS jäi aga avalikkusele allalaadimiseks kättesaadavaks.
15. NVSC palus 15. mail 2020 ITSSil mitte kasutada mobiilirakenduses NVSC andmeid ega viidata NVSC-le. 18. mail 2020 algatas inspektsioon nii ITSSi kui ka NVSC suhtes uurimise seoses isikuandmete kaitse üldmääruses sätestatud reeglite rikkumisega. Inspektsiooni 26. mai 2020. aasta taotluse peale peatati KARANTINASe toimimine. ITSSi kohaselt oli ajavahemikus 4. aprillist kuni 26. maini 2020 rakenduse kaudu oma isikuandmed esitanud 3802 kasutajat.
16. Inspektsioon määras 24. veebruari 2021. aasta otsusega NVSC-le ja ITSSile kui kaasvastutavatele töötlejatele isikuandmete kaitse üldmääruse artiklite 5, 13, 24, 32 ja 35 rikkumise eest trahvid.(4)
17. NVSC vaidlustas selle otsuse Vilniaus apygardos administracinis teismases (Vilniuse regionaalne halduskohus). See kohus küsib sisuliselt, kas mõistet „vastutav töötleja“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses tuleb tõlgendada laialt, nii et see hõlmab mis tahes füüsilisi või juriidilisi isikuid või organeid, näiteks NVSCd, kes ei ole mobiilirakenduse arendaja, kuid kes sellise mobiilirakenduse hankemenetlusega omandamise eesmärgil „määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid“, või tuleks seda mõistet tõlgendada kitsamalt, võttes arvesse riigihankemenetlust ja selle tulemust.
18. Eelkõige küsib see kohus, kas sellega seoses on mingit tähtsust asjaolul, et hankemenetlusest lõpuks loobuti ja NVSC KARANTINASt ei omandanud. Samuti küsib see kohus, kas hinnangut mõjutab asjaolu, et NVSC ei andnud mobiilirakenduse avalikkusele kättesaadavaks tegemiseks ametlikku nõusolekut ega luba.
19. Veel küsib see kohus, milline on suhe NVSC ja ITSSi vahel. Sellega seoses soovib ta teada, millistes olukordades tuleks seda asutust ja seda äriühingut käsitada kaasvastutavate töötlejatena isikuandmete kaitse üldmääruse artikli 4 punkti 7 ning artikli 26 lõike 1 tähenduses. Kui aga NVSC ja ITSS ei oleks isikuandmete kaitse üldmääruse tähenduses käsitatavad kaasvastutavate töötlejatena, vaid (vastavalt) vastutava töötleja ja volitatud töötlejana,(5) soovib see kohus teada, millal toob ITSSi tegevus kaasa NVSC vastutuse. Sellega seoses küsib see kohus, kas isikuandmete kaitse üldmääruse artiklit 83 tuleb tõlgendada nii, et sellisele vastutavale töötlejale nagu NVSC, kes ei ole ise üldmäärust tahtlikult ega hooletusest rikkunud, saab määrata trahvi.
20. Neil kaalutlustel otsustas Vilniaus apygardos administracinis teismas (Vilniuse regionaalne halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas isikuandmete kaitse üldmääruse artikli 4 punktis 7 ette nähtud mõistet „vastutav töötleja“ tuleb tõlgendada nii, et vastutavaks töötlejaks tuleb pidada ka isikut, kes soovib riigihanke kaudu omandada andmekogumisvahendi (mobiilirakenduse), olenemata asjaolust, et riigihankelepingut ei ole sõlmitud ja loodud toodet (mobiilirakendust), mille omandamiseks kasutati riigihankemenetlust, ei ole üle antud?
2. Kas isikuandmete kaitse üldmääruse artikli 4 punktis 7 ette nähtud mõistet „vastutav töötleja“ tuleb tõlgendada nii, et vastutavaks töötlejaks tuleb pidada ka avaliku sektori hankijat, kes ei ole saanud loodud IT-toote omandiõigust ega seda oma valdusesse võtnud, kuid kellele osutavad loodud mobiilirakenduse lõppversiooni lingid või liidesed ja/või kui konfidentsiaalsuspõhimõtetes, mida see avaliku sektori üksus ei ole ametlikult heaks kiitnud, on kindlaks määratud, et see avaliku sektori üksus on vastutav töötleja?
3. Kas isikuandmete kaitse üldmääruse artikli 4 punktis 7 ette nähtud mõistet „vastutav töötleja“ tuleb tõlgendada nii, et vastutavaks töötlejaks tuleb pidada ka isikut, kes ei ole teinud tegelikke andmetöötlustoiminguid isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses ja/või ei ole andnud selget luba/nõusolekut selliste toimingute tegemiseks? Kas mõiste „vastutav töötleja“ tõlgendamist mõjutab asjaolu, et IT-toode, mida kasutatakse isikuandmete töötlemiseks, loodi lähtudes avaliku sektori hankija sõnastatud ülesandest?
4. Kui tegelike andmetöötlustoimingute kindlakstegemine on mõiste „vastutav töötleja“ tõlgendamisel asjakohane, siis kas isikuandmete „töötlemise“ määratlust isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses tuleb tõlgendada nii, et see hõlmab ka olukordi, milles isikuandmete koopiaid on kasutatud IT-süsteemide katsetamiseks mobiilirakenduse omandamise protsessi käigus?
5. Kas andmete töötlemise kaasvastutust isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõike 1 tähenduses tuleb tõlgendada üksnes nii, et see tähendab tahtlikult kooskõlastatud tegevust andmetöötluse eesmärgi ja meetodite kindlaksmääramisel, või saab seda mõistet tõlgendada ka nii, et kaasvastutus hõlmab ka olukordi, milles puudub selge „kokkulepe“ seoses andmetöötluse eesmärgi ja meetoditega ja/või milles tegevusi üksuste vahel ei kooskõlastata? Kas isikuandmete töötlemise vahendi (IT-rakenduse) loomise etapp, milles isikuandmeid töödeldi, ja rakenduse loomise eesmärk on andmete töötlemise kaasvastutuse mõiste tõlgendamisel õiguslikult oluline? Kas kaasvastutavate töötlejate vaheliseks „kokkuleppeks“ tuleb pidada üksnes andmete töötlemise kaasvastutust reguleerivate tingimuste selget ja täpset kindlaksmääramist?
6. Kas isikuandmete kaitse üldmääruse artikli 83 lõike 1 sätet, mille kohaselt „trahvide määramine […] on […] tõhus, proportsionaalne ja heidutav“, tuleb tõlgendada nii, et see hõlmab ka „vastutava töötleja“ vastutusele võtmist, kui IT-toote loomise protsessis teeb ka arendaja isikuandmete töötlemise toiminguid, ja kas see, kui töötleja ei ole isikuandmete töötlemise toiminguid teinud nõuetekohaselt, toob alati automaatselt kaasa vastutava töötleja õigusliku vastutuse? Kas seda sätet tuleb tõlgendada nii, et see hõlmab ka vastutava töötleja mittesüülise vastutuse juhtumeid?“
21. 22. oktoobri 2021. aasta eelotsusetaotlus registreeriti Euroopa Kohtu kantseleis 12. novembril 2021. NVSC, inspektsioon, Leedu valitsus ja Euroopa Komisjon esitasid kirjalikud seisukohad.
22. Kohtuistungil, mis peeti 17. jaanuaril 2023, osalesid Leedu ja Madalmaade valitsus, komisjon ja nõukogu.
IV. Analüüs
23. COVID‑19 pandeemia ajal tegid paljud liikmesriigid avalikkusele allalaadimiseks kättesaadavaks mobiilirakendused, mille eesmärk oli jälgida inimesi, kes on viirusega nakatunud ja/või viirusega nakatunud inimestega kontaktis olnud. Need mobiilirakendused töötati välja kriisiolukorrale reageerimiseks ning sageli kaasati mitu avalik-õiguslikku ja eraõiguslikku osalejat (näiteks ministeeriumid ja muud avaliku sektori asutused, samuti eraettevõtjad). Kasutajad pidid neisse mobiilirakendustesse laadima oma isikuandmed, eeskätt terviseandmed.(6)
24. Põhikohtuasi käsitleb just nimelt sellist mobiilirakendust, nimelt rakendust KARANTINAS, mille ITSS (eraõiguslik äriühing) arendas välja NVSC (avaliku sektori asutus) algatusel pärast terviseministri otsust. Kohtuasja toimikus olevast ega kohtuistungil esitatud teabest ei nähtu selgelt, millised teised Leedu avaliku sektori asutused rakenduse arendamises osalesid, kui üldse.(7) Samuti on mõnevõrra kahtlane, kas NVSC andis nõusoleku KARANTINASe avalikkusele kättesaadavaks tegemiseks ajavahemikus, mil isikuandmete töötlemine aset leidis (2020. aasta aprill ja mai). Euroopa Kohtule esitatud eelotsuse küsimustes pidas Vilniaus apygardos administracinis teismas (Vilniuse regionaalne halduskohus) asjakohaseks järgmisi asjaolusid.
– NVSC oli kavatsenud KARANTINASe omandada riigihangete seaduse artikli 72 lõike 2 alusel, kuid menetlust ei viidud lõpule ja omandamist ei toimunud. Seega ei läinud KARANTINASe omandiõigus ITSSilt NVSC-le üle.
– KARANTINASe avalikkusele teatavaks tehtud konfidentsiaalsuspõhimõtetes nimetati NVSCd vastutavaks töötlejaks. Samuti viidati NVSC-le rakenduse viimases versioonis, mida see asutus siiski ametlikult heaks ei kiitnud.
– NVSC ei töödelnud isikuandmeid ise ega andnud tehtud töötlemistoimingutele formaalset nõusolekut, kuid andis KARANTINASe arendamise kohta juhiseid ja ITSS järgis neid.
– ITSS ja NVSC ei sõlminud formaalset kokkulepet aset leidnud isikuandmete töötlemise eesmärkide ja vahendite kohta.
25. Eeltoodut arvestades käsitlevad Euroopa Kohtule esitatud eelotsuse küsimused isikuandmete kaitse üldmääruse mitme sätte tõlgendamist. Esimese kolme küsimuse ja viienda küsimusega palutakse mõiste „vastutav töötleja“ tõlgendamist üldmääruse artikli 4 punkti 7 tähenduses ning soovitakse täpsustust, millistel asjaoludel võib kahte või enamat asutust käsitada selle sätte ja üldmääruse artikli 26 lõike 1 alusel „kaasvastutavate töötlejatena“. Kõigepealt analüüsin neid küsimusi koos (A) ja siis käsitlen neljandat küsimust, mis puudutab mõistet „töötlemine“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses ja selle kohaldamist mobiilirakenduse testimisjärgu kontekstis (B).(8) Seejärel käsitlen sügavuti praeguse kohtuasja keskmes olevat teemat, nimelt kuuendat küsimust, mis on olemuselt teistega lõikuv, kuna puudutab tingimusi, mille korral võib vastutavatele töötlejatele määrata trahve isikuandmete kaitse üldmääruse artikli 83 kohaselt (C).
A. Mõiste „vastutav töötleja“ ja kaasvastutuse olukorrad (esimene kuni kolmas ja viies küsimus)
26. Esimese kolme küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas punktis 24 kirjeldatud asjaoludel tuleb sellist asutust nagu NVSC käsitada „vastutava töötlejana“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses. Peale selle soovib eelotsusetaotluse esitanud kohus viienda küsimusega saada täpsustust selle kohta, kas sellistel asjaoludel tuleb selliseid asutusi nagu NVSC ja ITSS käsitleda „kaasvastutavate töötlejatena“ kooskõlas selle sätte ja üldmääruse artikli 26 lõikega 1 isegi siis, kui nad ei ole formaalselt sõlminud kokkulepet töötlemise eesmärkide ja vahendite kohta ega näi muul viisil olevat oma tegevust kooskõlastanud.
1. Kes on vastutav töötleja? (esimene kuni kolmas küsimus)
27. Meenutan, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 kohaselt on vastutav töötleja määratletud kui isik või asutus, kes „üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid“. Lihtsamalt öeldes ei pea vastutav töötleja ise isikuandmeid töötlema, kuid peab otsustama, miks ja kuidas asjaomane töötlemine toimub.(9) Euroopa Kohus on asunud seisukohale, et selle kriteeriumi täitmiseks peab isik või asutus reaalselt „mõjuta[ma] isikuandmete töötlemist“.(10) Samas ei pea töötlemise eesmärke ja vahendeid tuletama tingimata vastutavalt töötlejalt saadud kirjalikest suunistest või juhistest.(11) Isikuandmete kaitse üldmääruse artikli 4 punktis 7 nõutakse tõepoolest pigem faktilist kui vormilist analüüsi.
28. Sellega seoses on Euroopa Andmekaitsenõukogu leidnud, et vastutav töötleja on võimalik olla ka olenemata sellest, kas konkreetne andmete kontrollimise pädevus või volitus on saadud seadusega. Töötlemise eesmärkide ja vahendite määramise võime oleneb eeskätt avaldatud mõjust, mida saab tuletada faktilistest asjaoludest. Üksust, millel on tegelik võimekus määrata töötlemise eesmärgid ja vahendid, käsitatakse seega vastutava töötlejana, olenemata sellest, kas ta määrati selleks ametlikult (seaduse või lepinguga või muul viisil).(12)
29. Pärast neid täpsustusi märgin, et mitu asjaolu, mida eelotsusetaotluse esitanud kohus oma esimeses kolmes küsimuses kirjeldas, on puhtvormilised, näiteks asjaolu, et NVSC ei ole juriidiliselt KARANTINASe omanik või et mobiilirakenduse omandamist ei viidud lõpule või et NVSC ei andnud ametlikku heakskiitu mobiilirakenduse laiale avalikkusele kättesaadavaks tegemiseks ega kiitnud heaks rakenduse viimast versiooni. Minu hinnangul ei saa ükski neist asjaoludest iseenesest välistada seisukohta, et NVSC tegutses põhikohtuasja kontekstis vastutava töötlejana isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses. Neist ei piisa nimelt selleks, et ümber lükata järeldust, mille kohaselt oli NVSC-l tegelik võimekus määrata kindlaks aset leidnud isikuandmete töötlemise eesmärgid ja vahendid. Teisest küljest tundub mulle, et asjaolu, et NVSCd nimetati KARANTINASe avalikkusele allalaadimiseks kättesaadavaks tehtud versiooni konfidentsiaalsuspõhimõtetes vastutavaks töötlejaks või et mobiilirakenduse selles versioonis viidati sellele asutusele, on selle asutuse tegelikult avaldatava mõju puhul küll asjakohane, kuid mitte otsustava tähendusega.
30. Vastupidi sellele piisab tuvastamiseks, et töötlemise vahendid määras just NVSC, minu arvates eelotsusetaotluse esitanud kohtu käsutuses olevatest tõenditest, mille kohaselt otsustas see asutus, millist liiki isikuandmeid ja millistelt andmesubjektidelt peaks KARANTINAS koguma ja/või millised on muud töötlemise põhiaspektid. Samuti leian, et asjaolu, et KARANTINAS loodi NVSC määratletud eesmärgi täitmiseks, nimelt COVID‑19 pandeemiale reageerimiseks, ja et ITSS muutis NVSC antud juhiste kohaselt korrapäraselt selle funktsioone, et need vastaksid selle asutuse määratletud vajadustele, on piisav järeldamaks, et töötlemise eesmärgid määras see asutus.
31. Sellegipoolest tundub mulle, et otsustamaks, kas sellist asutust nagu NVSC saab käsitada vastutava töötlejana isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses, peab eelotsusetaotluse esitanud kohus ühtlasi kindlaks tegema, kas otsus mobiilirakenduse avalikkusele kättesaadavaks tegemiseks ja seega isikuandmete töötlemisega tegelemiseks tehti tegelikkuses selle asutuse (otsese või kaudse) nõusolekuga (olenemata asjaolust, et ametlikku või formaalset nõusolekut ei antud), olenemata sellest, milline oli NVSC mõju KARANTINASe arendusjärgus.
32. Nagu nähtub selgelt isikuandmete kaitse üldmääruse artikli 4 punktis 7 oleva mõiste „vastutav töötleja“ määratlusest, peab vastutava töötleja mõju olema seotud isikuandmete töötlemise endaga, mitte lihtsalt mõne varasema etapiga. Seega ei saa füüsilisest ega juriidilisest isikust ega asutusest vastutavat töötlejat pelgalt seetõttu, et ta algatab mobiilirakenduse arendamise või määratleb selle rakenduse (või mõne muu andmekogumisvahendi) parameetrid. Tema tegevus peab olema päriselt seotud isikuandmete töötlemisega ning seetõttu peab ta olema otseselt või kaudselt andnud nõusoleku asjaomase vahendi kasutamiseks selliseks töötlemiseks.
33. Euroopa Kohus rõhutas seda nõuet kohtuotsuses Fashion ID,(13) kus ta sõnaselgelt märkis, et vastutava töötleja vastutus piirdub isikuandmete töötlemise toiminguga või toimingute kogumiga, mille eesmärgid ja vahendid ta reaalselt kindlaks määrab.(14) Sellest tuleneb, et eesmärkide ja vahendite kindlaksmääramine peab olema otseselt seotud isikuandmeid puudutava toimingu või toimingute kogumiga.
34. Minu arvates tuleneb neist järeldustest, et sellist asutust nagu NVSC, kes algatab mobiilirakenduse arendamise, võib käsitada vastutava töötlejana isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses üksnes olukorras, kus on piisavalt faktilisi, mitte tingimata vormilisi elemente, mis võimaldavad liikmesriikide kohtutel järeldada, et selline asutus on päriselt mõjutanud töötlemise „eesmärke ja vahendeid“ ning et ta on tegelikult andnud nõusoleku teha mobiilirakendus avalikkusele kättesaadavaks ning seega töödelda isikuandmeid. Eelotsusetaotluse esitanud kohus peab seda küll kontrollima, kuid usun, et NVSC vastab nendele kriteeriumidele.
2. Millal saab kahte asutust käsitada kaasvastutavate töötlejatena? (viies küsimus)
35. Viies küsimus puudutab tingimusi, mis peavad olema täidetud selleks, et kahte (või enamat) asutust saaks käsitada kaasvastutavate töötlejatena. Saan aru, et eelotsusetaotluse esitanud kohus soovib selgust selle mõiste tõlgendamisel, kuna ta kahtlustab, et põhikohtuasjas käsitletavas olukorras võiks NVSCd ja ITSSi käsitada kaasvastutavate töötlejatena ning sellisena võivad nad vastutada tekitatud kahju eest solidaarselt(15) ja/või saada mõlemad trahvi andmekaitse-eeskirjade rikkumise eest, mis pandi toime siis, kui KARANTINAS tehti avalikkusele allalaadimiseks kättesaadavaks. Sellega seoses märgin, et nagu ütlesin eespool punktis 16, tunnistas inspektsioon nimetatud asutuse ja nimetatud äriühingu tõepoolest toimepandud rikkumiste eest kaasvastutavate töötlejatena vastutavaks ning määras neile isikuandmete kaitse üldmääruse artikli 83 kohaselt trahvi.
36. Isikuandmete kaitse üldmääruse artikli 26 lõikes 1 on sätestatud, et kaasvastutavate töötlejatega on tegemist siis, kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Seega peab iga kaasvastutav töötleja iseseisvalt vastama üldmääruse artikli 4 punktis 7 sätestatud vastutava töötleja määratluses loetletud kriteeriumidele.(16) Samuti peavad kaasvastutavad töötlejad olema üksteisega mingil määral seotud, arvestades, et nad peavad töötlemist mõjutama ühiselt.
37. Euroopa Kohus on märkinud, et kaasvastutuse olemasolu ei tähenda tingimata seda, et asjasse puutuvad isikud või asutused vastutaksid või osaleksid võrdselt. Vastupidi, kaasvastutavad töötlejad võivad olla töötlemisse kaasatud eri etappides, mistõttu tuleb neist igaühe vastutust hinnata konkreetse kohtuasja kõiki tähtsust omavaid asjaolusid arvesse võttes.(17) Pealegi ei eelda mitme üksuse kaasvastutus sama töötlemise eest seda, et igaühel neist oleks juurdepääs asjaomastele isikuandmetele.(18) Tähtis on aga see, et nad osaleksid ühiselt töötlemise „eesmärkide ja vahendite“ määramises.
38. Sellega seoses märgin, et nagu on kirjas suunistes 07/2020, võib selline ühine osalus esineda eri vormides. See võib tuleneda kahe või enama asutuse ühisest otsusest või lihtsalt nende asutuste kokkulangevatest otsustest. Viimasel juhul on tähtis üksnes see, et need otsused üksteist täiendaksid ja oleksid vajalikud selleks, et töötlemine leiaks aset viisil, kus neil otsustel on töötlemise eesmärkide ja vahendite määramisele tuntav mõju – mis sisuliselt tähendab, et töötlemine ei oleks võimalik, kui mõlemad pooled selles ei osaleks.(19)
39. Kõike seda arvestades soovib eelotsusetaotluse esitanud kohus teada saada, kas asjaolu, et kaks vastutavat töötlejat (käesolevas kohtuasjas NVSC ja ITSS) ei ole formaalselt sõlminud kokkulepet töötlemise eesmärkide ja vahendite kohta ega näi muul viisil olevat oma tegevust kooskõlastanud, välistab selle, et neid käsitatakse kaasvastutavate töötlejatena.
40. Minu arusaamist mööda tulenevad eelotsusetaotluse esitanud kohtu sellealased kahtlused asjaolust, et isikuandmete kaitse üldmääruse artikli 26 lõike 1 alusel peavad kaasvastutavad töötlejad läbipaistval viisil omavahelise kokkuleppega kindlaks määrama kummagi kaasvastutava töötleja vastutusvaldkonna üldmäärusekohaste kohustuste täitmisel. Peale selle nähtub üldmääruse põhjendusest 79, et vaja on „vastutusvaldkondade selget jaotamist“, sealhulgas olukorras, kus vastutav töötleja määrab töötlemise eesmärgid ja vahendid koos teistega ühiselt. Minu arvates aga kehtivad need kohustused ja nõuded kaasvastutavatele töötlejatele ainult juhul, kui neid töötlejaid võib käsitada kaasvastutavatena. Need ei kuulu kriteeriumide hulka, mis peavad olema täidetud selleks, et neid saaks kaasvastutavateks töötlejateks liigitada.
41. Nagu märkisin eespool punktis 36, peab kaasvastutuse olemasoluks olema täidetud üksnes kaks objektiivset kriteeriumi. Esiteks peab iga kaasvastutav töötleja vastama isikuandmete kaitse üldmääruse artikli 4 punktis 7 sätestatud vastutava töötleja määratluses loetletud kriteeriumidele. Kohtuasja toimikus ei ole piisavalt teavet otsustamaks, kas põhikohtuasjas käsitletavas olukorras tuleb ITSSi käsitada vastutava töötlejana selle sätte tähenduses. Sellest olenemata tundub mulle, arvestades eelmises jaotises tehtud järeldusi, mida eelotsusetaotluse esitanud kohus peab kontrollima, et vähemalt NVSC täidab – või lausa nii see asutus kui ka ITSS täidavad – tingimused, mis on vajalikud tema/nende käsitamiseks vastutava töötlejana selle sätte tähenduses. Teiseks peavad vastutavad töötlejad mõjutama töötlemist ühiselt (mis tähendab seda, et mõjutamine peab olema kooskõlas õiguslike kriteeriumide ja kohtupraktikaga, mida meenutasin eespool punktides 37 ja 38). Sellega seoses selgitasin eespool, et ühine osalemine töötlemises võib esineda eri vormides ja see ei pea lähtuma isegi asjaosaliste ühisest otsusest. Samasugune sisuline ja funktsionaalne lähenemine, mida on vaja selle tuvastamiseks, kas isikut või asutust tuleb käsitada vastutava töötlejana isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses, kohaldub minu arvates ka kaasvastutuse puhul.(20)
42. Neid elemente arvesse võttes leian, et esiteks ei saa lepingu või kokkuleppe või isegi ühise otsuse puudumine kahe või enama vastutava töötleja, näiteks NVSC ja ITSSi vahel iseenesest välistada järeldust, et nad on kaasvastutavad töötlejad isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses koosmõjus üldmääruse artikli 26 lõikega 1. Sellega seoses lisan, et Euroopa Andmekaitsenõukogu on leidnud, et ehkki lepingulised kokkulepped võivad kaasvastutuse hindamisel kasuks tulla, tuleks neid alati võrrelda pooltevahelise suhte faktiliste asjaoludega.(21)
43. Teiseks tundub mulle ühtlasi, et pelgalt see, et NVSC ja ITSS ei tundu olevat oma tegevusi kooskõlastanud või muul viisil teineteisega koostööd teinud (arvestamata asjaolu, et nad ei ole sõlminud lepingut või kokkulepet ega jõudnud ühisele otsusele), ei tähenda veel, et neid ei saa käsitada kaasvastutavate töötlejatena. Isegi kui selline kooskõlastamine või koostöö on olemas, ei puutu see asjasse küsimuse puhul, kas nende kahe asutuse vaheline suhe on kaasvastutav või mitte. Tõepoolest võib hõlpsasti ette kujutada, et kaks või enam asutust võivad omavahel koostööd teha või toiminguid kooskõlastada, ilma et nad oleksid kaasvastutavad töötlejad. Näiteks võivad kaks eraldiseisvat vastutavat töötlejat oma tegevust koordineerida või teineteisega koostööd teha eesmärgiga edastada ühelt teisele isikuandmeid. See aga ei muudaks neid kaasvastutavateks töötlejateks isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõike 1 tähenduses.(22) Nagu selgitasin eespool punktis 38, on tähtis üksnes see, et töötlemine ei oleks võimalik, kui mõlemad pooled selles ei osaleks, kuna mõlemad pooled mõjutavad töötlemise eesmärkide ja vahendite määramist tuntavalt.
3. Ettepanek mõiste „vastutav töötleja“ ja kaasvastutuse olukordade tõlgendamiseks
44. Eeltoodut arvestades tundub mulle, et ühest küljest (kuigi eelotsusetaotluse esitanud kohus peab seda kontrollima) täidab selline asutus nagu NVSC isikuandmete kaitse üldmääruse artikli 4 punktis 7 loetletud tingimused tema käsitamiseks vastutava töötlejana. Teisest küljest sõltub see, kas NVSCd ja ITSSi saab kooskõlas minu ettepaneku eelmises jaotises välja toodud kriteeriumidega käsitada kaasvastutavate töötlejatena või kvalifitseeruvad nad vastavalt vastutavaks töötlejaks ja volitatud töötlejaks, nende omavahelisest seosest, mida peab kontrollima eelotsusetaotluse esitanud kohus.
45. Sellega seoses lisan, et NVSC ja ITSSi vaheline suhe (nimelt see, kas nad on kaasvastutavad töötlejad või vastavalt vastutav töötleja ja volitatud töötleja) on oluline kuuendale küsimusele vastamisel. Seetõttu naasen kuuenda küsimusega tõstatatud probleemide tegelemisel järelduste juurde, mis tehti seoses viienda küsimusega.
B. Mõiste „töötlemine“ (neljas küsimus)
46. Neljanda eelotsuse küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 4 punktis 2 esitatud „töötlemise“ määratlus hõlmab ka sellist olukorda, kus isikuandmeid kasutatakse mobiilirakenduse testimisjärgus.(23) Loen eelotsusetaotlusest välja, et KARANTINAS läbis enne avalikkusele allalaadimiseks kättesaadavaks tegemist testimisjärgu. Minu arusaamise kohaselt puudutab neljas eelotsuse küsimus olukorda, mis erineb teistest eelotsuse küsimustest, mis on kõik seotud isikuandmete töötlemisega pärast testimisjärku, mil KARANTINAS tehti avalikkusele kättesaadavaks. Täpsemalt soovib eelotsusetaotluse esitanud kohus teada, kas isikuandmete kasutamine testimisjärgus kvalifitseerub töötlemiseks isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses ning võib sellisena kaasa tuua asjasse puutuvate vastutavate ja/või volitatud töötlejate võimaliku vastutuse.
47. Isikuandmete kaitse üldmääruse artikli 4 punktis 2 esitatud määratluse kohaselt on „töötlemine“ mis tahes „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum […]“.(24)
48. Sellest sõnastusest järeldan (eriti sõna „mis tahes“ ja üldiste mõistete nagu „toiming“ või „toimingute kogum“ kasutamisest), et seda sätet tuleb tõlgendada laialt, et see hõlmaks võimalikult paljusid isikuandmete kasutamisega seotud olukordi. Seda tõlgendust kinnitab asjaolu, et selles sättes esitatud olukordade loetelu ei ole ammendav, arvestades selles nimetatud toimingute mitmekesisust.(25)
49. Peale selle tuleb märkida, et ehkki eeltoodud jaotisest tuleneb, et vastutava töötleja määratlus üldmääruse artikli 4 punkti 7 tähenduses on tihedalt seotud isikuandmete töötlemise eesmärkidega (põhjused, miks isikuandmeid kogutakse), ei ole see nii üldmääruse artikli 4 punktis 2 esitatud määratluse puhul. Küsimuse juures, kas toiming või toimingute kogum tuleb liigitada töötlemiseks selle sätte tähenduses, ei puutu toimingu(te kogumi) tegemise põhjused põhimõtteliselt üldse asjasse. Minu arvates võib sellest järeldada, et see, kas isikuandmeid kogutakse eesmärgiga testida mobiilirakenduses olevaid IT-süsteeme või mõnel muul eesmärgil, ei mõjuta üldse vastust küsimusele, kas kõnealune toiming kvalifitseerub töötlemiseks.
50. Sellega seoses märgin veel, et töötlemisena käsitatavate toimingute või toimingute kogumi hulgas on loetletud isikuandmete „kasutamine“ (ilma seejuures eesmärki mainimata ja seega olenemata kasutamise eesmärgist).(26) Peale selle ei ole isikuandmete kaitse üldmääruse artikli 4 punktis 2 ühtegi sõnaselget erandit, kitsendust või välistust, mis puudutaks toiminguid seoses isikuandmete kasutamisega IT-süsteemide testimiseks. Sellest tulenevalt ei takista miski käsitamast isikuandmete kasutamist sellise testimise eesmärgil töötlemisena selle sätte tähenduses, pigem vastupidi.
51. Neid asjaolusid arvestades leian, et isikuandmete kaitse üldmääruse artikli 4 punktis 2 esitatud „töötlemise“ määratlus hõlmab ka sellist olukorda, kus isikuandmeid kasutatakse mobiilirakenduse testimisjärgus.
52. Minu sellekohast järeldust ei mõjuta pelk asjaolu, et isikuandmed, mis on antud mobiilirakenduses olevate IT-süsteemide testimise eesmärgil, võivad olla pseudonüümitud.(27) Ainus olukord, kus isikuandmete kaitse üldmäärus ei ole kohaldatav, tekib siis, kui mobiilirakendusse sisestatud teave koosneb üksnes anonüümsetest andmetest, mis „ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmetest, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada“. Märgin siiski, et põhikohtuasjas ei tundu kohtuasja toimikus oleva teabe põhjal, et testimisjärgus kasutatud andmed oleksid koosnenud sellisest anonüümitud teabest.(28)
53. Eeltoodut arvestades leian, et isikuandmete kaitse üldmääruse artikli 4 punktis 2 esitatud „töötlemise“ määratlus hõlmab ka sellist olukorda, kus isikuandmeid kasutatakse mobiilirakenduse testimisjärgus, välja arvatud juhul, kui sellised andmed on anonüümitud sellisel viisil, et andmesubjekt ei ole (enam) tuvastatav. See, kas isikuandmeid kogutakse eesmärgiga testida mobiilirakenduses olevaid IT-süsteeme või mõnel muul eesmärgil, ei mõjuta iseenesest üldse vastust küsimusele, kas kõnealune toiming kvalifitseerub töötlemiseks.(29)
54. Pärast neid selgitusi võtan nüüd ette praeguse kohtuasja põhiküsimuse, mis käsitleb tingimusi, mille korral võib isikuandmete kaitse üldmääruse artikli 83 kohaselt määrata vastutavale või volitatud töötlejale trahvi.
C. Isikuandmete kaitse üldmääruse artikli 83 kohaselt määratud trahvid (kuues küsimus)
55. Enne isikuandmete kaitse üldmääruse vastuvõtmist jäeti andmekaitse-eeskirjade rikkumise eest määratavad sanktsioonid liikmesriikide menetlus- ja õiguskaitsevahendite autonoomiast tulenevalt suuresti nende endi otsustada.(30) Üldmääruse artikliga 83 kehtestatud trahvid on seega liidu andmekaitseõiguses suhteliselt uus „areng“. Artikli 29 alusel asutatud töörühma kirjelduse kohaselt on need „uue jõustamiskorra keskne element“.(31) Ehkki Euroopa Kohus ei ole seda sätet veel tõlgendanud, on järelevalveasutused seda juba kohaldanud, mõnikord selleks, et vastutavatele või volitatud töötlejatele suuri trahve määrata.(32)
56. Isikuandmete kaitse üldmääruse artiklis 83 on ette nähtud kaheastmeline sanktsioonide süsteem olenevalt sellest, mis liiki sätet on rikutud. Kui esimest, üldmääruse artikli 83 lõikes 4 määratletud astet kohaldatakse olukordades, kus vastutav või volitatud töötleja rikub üldisi kohustusi ja teatavaid konkreetseid kohustusi, siis teine aste on isikuandmete kaitse üldmääruse artikli 83 lõike 5 kohaselt reserveeritud raskematele rikkumistele, mis hõlmavad muu hulgas rikkumisi seoses töötlemise aluspõhimõtete, andmesubjektide õiguste ja isikuandmete edastamisega kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile.
57. Mõlema astme puhul peavad liikmesriikide pädevad asutused pärast isikuandmete kaitse üldmääruse mõne konkreetse sätte rikkumise tuvastamist hindama kahte asja. Esiteks peavad nad otsustama, kas tuleks määrata trahv, ja kui nad on seda otsustanud teha, tuleb neil teiseks määrata trahvi suurus. Need hindamised tuleb teha iga üksiku juhtumi puhul, võttes arvesse isikuandmete kaitse üldmääruse artikli 83 lõikes 2 loetletud tegureid. Nende tegurite hulgas on see, „kas rikkumine pandi toime tahtlikult või hooletusest“ (üldmääruse artikli 83 lõike 2 punkt b).
58. Kuuenda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas vastutavale töötlejale saab määrata trahvi juhul, kui ta ei rikkunud andmekaitse-eeskirju tahtlikult ega hooletusest ning isikuandmete ebaseadusliku töötlemise pani toime volitatud töötleja, mitte vastutav töötleja ise. Viienda küsimuse puhul tehtud järelduste juurde naastes tundub mulle, et kuues küsimus on esitatud juhuks, kui NVSCd ega ITSSi ei saa põhikohtuasjas käsitada kaasvastutavate töötlejatena isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses koostoimes üldmääruse artikli 26 lõikega 1 ning neid tuleb käsitada vastavalt vastutava ja volitatud töötlejana. Selles konkreetses raamistikus soovib eelotsusetaotluse esitanud kohus nende asjaolude täpsustamist, mille korral võib NVSC-le isikuandmete kaitse üldmääruse artikli 83 kohaselt trahvi määrata.
59. Samas märgin, et kuuendas küsimuses on asjakohase sättena nimetatud üksnes isikuandmete kaitse üldmääruse artikli 83 lõiget 1. Minu arvates aga tuleb selle küsimusega tõstatatud probleemide lahendamiseks analüüsida üldmääruse artiklit 83 tervikuna ja võtta arvesse eeskätt üldmääruse artikli 83 lõike 2 punkti b, nagu selgitasin punktis 57, arvestades, et selles sättes viidatakse sellele, „kas rikkumine pandi toime tahtlikult või hooletusest“. Seetõttu käsitlen kuuendat küsimust nii, nagu selles küsitaks terve isikuandmete kaitse üldmääruse artikli 83, mitte üksnes artikli 83 lõike 1 kohta.
60. Minu arvates on see küsimus kaheosaline. Esiteks palutakse Euroopa Kohtul otsustada, kas isikuandmete kaitse üldmääruse artikkel 83 võimaldab vastutavatele või volitatud töötlejatele määrata üleüldse trahve mens rea puudumise korral (subjektiivne koosseisutunnus: süü). Sisuliselt soovib eelotsusetaotluse esitanud kohus teada, kas NVSC-le võib trahvi määrata lihtsalt seetõttu, et ta rikkus kohustusi vastutava töötlejana (mittesüüline vastutus) või peab asjaomas(t)e rikkumis(t)e toimepanekuks esinema süü element. Teiseks soovib ta täpsustust selle kohta, kas asjaolu, et isikuandmete ebaseadusliku töötlemise pani toime volitatud töötleja, mitte vastutav töötleja ise, mõjutab mingilgi moel järelevalveasutuste võimalust määrata vastutavale töötlejale trahvi.
61. Analüüsin mõlemat aspekti järjest.
1. Esimene aspekt: süü tuvastamise vajalikkus
62. Isikuandmete kaitse üldmääruse artikli 83 kohaselt peab iga andmekaitse-eeskirjade rikkumise eest määratav trahv olema „tõhus, proportsionaalne ja heidutav“. Nii nähtub selgelt selle sätte lõikest 1. Samas ei ole selles lõikes märgitud, kas sellist trahvi saab määrata üksnes siis, kui ka süü on kindlaks tehtud, st kas süü on mis tahes trahvi määramise eeltingimus.
63. Sama sätte lõike 2 punkt b on aga nende elementide(33) hulgas, millele järelevalveasutused peavad igal üksikul juhtumil „asjakohast tähelepanu“ pöörama, loetletud see, „kas rikkumine pandi toime tahtlikult või hooletusest“. Üldmääruse artikli 83 lõike 2 punkti k alusel tuleb neid elemente tõlgendada „raskendava[te] või kergendava[te] teguri[tena]“ ja loetelu ei ole ammendav.
64. Selles kontekstis on isikuandmete kaitse üldmääruse artiklit 83 minu arvates võimalik tõlgendada kahel viisil.
65. Ühelt poolt võiks öelda, et ehkki trahvi määramisel ja summa otsustamisel tuleb pöörata asjakohast tähelepanu süü astmele (nii et põhimõtteliselt tuleks juhul, kui rikkumine tulenes tahtlikust tegevusest, määrata suurem trahv, seevastu hooletule käitumisele peaks järgnema väiksem trahv), ei keela miski trahvi määrata ka igasuguse süü puudumise korral, eeldusel et andmete vastutavat või volitatud töötlejat võib pidada rikkumise eest vastutavaks. Seda tõlgendust toetab artikli 83 lõike 2 punktide b ja k sõnastuse tõlgendamine nii, nagu võiks viitamine süü eri astmetele (tahtlus või hooletus) kui „raskendava[tele] või kergendava[tele] teguri[tele]“ nendes sätetes tähendada seda, et süü üldises mõttes ei ole trahvi määramise eeldus.
66. Teiselt poolt aga võiks ühtlasi väita, nagu teeb komisjon käesolevas kohtuasjas, et enne, kui trahvi saab määrata, tuleb minimaalselt tuvastada rikkumise toime pannud isiku või asutuse hooletus. Seda lähenemist toetab isikuandmete kaitse üldmääruse artikli 83 lõike 2 punktide b ja k teistsugune, ettevaatlikum tõlgendus, mille kohaselt peavad järelevalveasutused nende sätete puhul eristama kergendavat tegurit (hooletus) ja raskendavat tegurit (tahtlus), kuid neist ei nähtu, et trahvi võiks määrata süü täieliku puudumise korral.
67. Sellist tõlgendust eelistas komisjon sõnaselgelt oma esialgses ettepanekus, mis viis isikuandmete kaitse üldmääruse vastuvõtmiseni(34) ja kus ta pakkus välja, et trahvisüsteemi võiks korraldada kolmeastmelisena. Komisjon tegi ettepaneku, et trahvi on iga astme puhul võimalik määrata üksnes „igaühele, kes tahtlikult või hooletusest“(35) on toime pannud ühe või mitu väidetavat rikkumist. Seega nägi komisjon sellise trahvi määramise eeldusena selgelt ette süü olemasolu.(36)
68. Ehkki minu arvates võib isikuandmete kaitse üldmääruse artikli 83 lõike 2 grammatilise tõlgendamise alusel põhjendada mõlemat lähenemist, kuna neis mõlemas mõistetakse „rikkumise tahtlikku või tahtmatut iseloomu“ „raskendava“ või „kergendava“ tegurina, olen seisukohal, et liidu seadusandja tahet peegeldab õigesti vaid teine lähenemine. Jõuan sellele järeldusele mitmel põhjusel.
(a) Süü vajalikkuse põhjused
69. Esiteks märgin, et mitu isikuandmete kaitse üldmääruse artikli 83 lõikes 2 loetletud tegurit sisaldab spetsiifilist sõnastust, millest võib järeldada, et need tegurid ei pruugi kohalduda alati, vaid üksnes mõnel juhul. Eeskätt sisaldavad nii artikli 83 lõike 2 punkt c, punkt e kui ka punkt k sõna „mis tahes“ („vastutava töötleja või volitatud töötleja poolt võetud [mis tahes] meetmed […] kahju leevendamiseks […]“; „[mis tahes] eelnevad asjakohased rikkumised […]“; „juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid […]“), millest võib välja lugeda, et ehkki järelevalveasutused peavad alati võtma arvesse seda, kas esineb leevendavaid meetmeid, varasemaid rikkumisi või muid raskendavaid või kergendavaid tegureid, juhul kui teed tegurid esinevad või on tõendatud, võib õigupoolest esineda olukordi, kus need tegurid lihtsalt puuduvad, kuid pädev andmekaitseasutus võib sellest hoolimata otsustada trahvi määrata (või, vastupidi, määramata jätta). Samamoodi märgin, et isikuandmete kaitse üldmääruse artikli 83 lõike 2 punkt i on samuti sõnastatud mittesüstemaatiliselt, kuna selles nõutakse hindamist, kas vastutav või volitatud töötleja on järginud artikli 58 lõikes 2 osutatud meetmeid, kuid ainult siis, „kui […] vastutava töötleja või volitatud töötleja suhtes on […] varem võetud [selliseid] meetmeid“.
70. Artikli 83 lõike 2 punktis b on seevastu mainitud, „kas rikkumine pandi toime tahtlikult või hooletusest“.(37) Minu silmis on see üks neist teguritest, mis peavad esinema kõigil juhtudel ja mille kohta tuleb piltlikult öeldes „linnuke teha“, enne kui trahvi saab määrata, samamoodi nagu „rikkumise laad, raskus ja kestus […]“ (artikli 83 lõike 2 punkt a), „rikkumisest mõjutatud isikuandmete liigid […]“ (artikli 83 lõike 2 punkt g) ja see, „millisel viisil sai järelevalveasutus rikkumisest teada […]“ (artikli 83 lõike 2 punkt h). Minu arvates peavad ka teised nimetatud tegurid „esinema“ kõigil juhtudel, näiteks „rikkumise laad, raskus ja kestus“ võivad olla eri juhtudel väga erinevad (ning nendega võib seega põhjendada trahvi määramist või määramata jätmist). Kuid kõigil juhtudel tuleb arvesse võtta rikkumise konkreetset laadi, mingit raskust ja mingit kestust. Minu hinnangul on tegemist esimeste märkidega sellest, et isikuandmete kaitse üldmääruse artikliga 83 kehtestati trahvid eesmärgiga määrata neid üksnes sellistes olukordades, kus väidetav rikkumine on toime pandud kas tahtlikult või hooletusest.(38)
71. Teiseks märgin, et ehkki isikuandmete kaitse üldmääruse artikli 83 lõikes 2 ei ole sõnaselgelt öeldud, et rikkumine peab olema toime pandud „tahtlikult või hooletusest“, ei saa sama öelda selle artikli lõike 3 kohta, mis sisaldab trahvide kumuleerimise keelu üldreeglit. Selles lõikes nimetatakse ainult olukorda, kus asjaomane rikkumine (asjaomased rikkumised) pandi toime „tahtlikult või hooletusest“.
72. Minu hinnangul tuleneb sellest loogiliselt, et isikuandmete kaitse üldmääruse artikli 83 lõiget 2 tuleb tõlgendada nii, et trahvi saab määrata ainult siis, kui väidetav rikkumine pandi toime tahtlikult või hooletusest. Tõepoolest, kui isikuandmete kaitse üldmääruse artikli 83 lõigete 2 ja 3 kohaldamisala oleks erinev, oleks võimalik määrata kumulatiivseid trahve kergemate rikkumiste eest (teisisõnu selliste eest, mis pandi toime mittesüüliselt), kuna teine nimetatud sätetest (artikli 83 lõige 3) neile ei kohalduks, kuid esimese sätte (artikli 83 lõike 2) alusel võidaks ikkagi trahv määrata. See ei oleks aga võimalik tahtlikult või hooletusest toime pandud rikkumiste korral, kuna nende puhul kehtiks üldmääruse artikli 83 lõikes 3 sätestatud kumuleerimise keeld. Selline tulemus oleks selgelt vastuolus isikuandmete kaitse üldmäärusega kehtestatud karistuste süsteemide aluspõhimõttega, mille kohaselt tuleks raskete rikkumiste eest karistada põhimõtteliselt rangemalt kui kergemate rikkumiste eest, mitte vastupidi.
73. Kolmandaks märgin, et isikuandmete kaitse üldmääruse artikli 83 kohaselt määratud trahvid võivad endast kujutada rasket karistust. Tõepoolest võib esimese astme puhul, mida hõlmab üldmääruse artikli 83 lõige 4, määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Teise astme puhul sätestatud trahvi suurus võib olla kuni 20 000 000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest (taas olenevalt sellest, kumb summa on suurem).
74. Seetõttu näib mulle, et isikuandmete kaitse üldmääruse artikli 83 kohaselt määratud trahvidel on karistuslik eesmärk, vähemalt mõnes olukorras,(39) ning nende rangusaste on nii suur, et neid võib käsitleda olemuselt kriminaalõigusliketena(40) ja seega Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 49 kohaldamisalasse kuuluvatena.(41)
75. Arvestades neid asjaolusid ja iseäranis isikuandmete kaitse üldmääruse artikli 83 alusel määratavate trahvide kriminaalõiguslikku laadi võib tekkida kiusatus väita, et kui selliseid trahve saaks määrata ka süü puudumise korral, oleks see vastuolus selle sätte lõikes 1 sätestatud nõudega, mille kohaselt peavad trahvid alati olema mitte üksnes „tõhusad“ ja „heidutavad“, vaid ka „proportsionaalsed“. Teisisõnu oleks ebaproportsionaalne määrata trahve juhtudel, kus tuvastatud ei ole isegi hooletust. Minu arvates on seda siiski raske väita, arvestades, et Euroopa Kohus on juba leidnud, et mittesüülisel vastutusel põhinev karistuste või sanktsioonide süsteem, isegi kui see on olemuselt kriminaalõiguslik, ei ole taotletavate eesmärkide suhtes iseenesest ebaproportsionaalne, kui see süsteem ajendab asjaomaseid isikuid määruse sätteid järgima ja kui taotletavad eesmärgid vastavad üldisele huvile, mis võib õigustada sellise süsteemi kehtestamist.(42) Peale selle on Euroopa Inimõiguste Kohus (EIK) seoses Euroopa inimõiguste konventsiooni (EIÕK) artikliga 7 (mis vastab harta artiklile 49)(43) leidnud, et ehkki selle sätte alusel karistamine nõuab üldjuhul sellise mentaalse seose olemasolu, mille kaudu võib süüteo füüsiliselt toime pannud isiku käitumises tuvastada vastutuse elemente, ei välista see nõue teatavate objektiivse vastutuse vormide olemasolu.(44)
76. Kummatigi loen kohtupraktikast välja, et üldreeglina on kriminaalkaristuse määramiseks vajalik mens rea ja et seega kujutab mittesüüline vastutus endast teatavat erandit üldreeglist, mistõttu peab seda määruse eesmärke silmas pidades põhjendama.
77. Isikuandmete kaitse üldmäärust tervikuna vaadeldes tundub mulle, et liidu seadusandja kavandas trahvid üksnes ühe selles õigusaktis tõhusa järgimise tagamiseks pakutava vahendina. Trahve tuleb nimelt määrata „lisaks“ teistele üldmääruse artikli 58 lõikes 2 loetletud meetmetele „või nende asemel“; nimetatud sättega antakse järelevalveasutustele mitmesugused parandusvolitused (näiteks volitus anda hoiatusi, teha noomitusi või anda korraldusi).(45) Peale selle on järelevalveasutustel olukordades, kus isikuandmete kaitse üldmääruse artikli 83 kohaselt trahvi ei määrata, võimalik määrata üldmääruse artikli 84 alusel muid karistusi.(46)
78. Minu arvates nähtub neist sätetest selgelt, et üldmääruse vastuvõtmisel ei olnud liidu seadusandjal kavas karistada trahviga igat andmekaitse-eeskirjade rikkumist. Pigem oli tema eesmärk kehtestada paindlik ja diferentseeritud karistuste ja sanktsioonide süsteem. Seda kinnitab isikuandmete kaitse üldmääruse põhjendus 148, mille kohaselt võivad järelevalveasutused loobuda trahvi määramisest ja teha selle asemel noomituse „väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust“. Selles kontekstis on isikuandmete kaitse üldmääruse artikli 83 kohaldamise piiramine olukordadega, kus on tuvastatud vähemalt hooletus, minu arvates kooskõlas nende eesmärkidega ja nende eri sätete üldise loogikaga, mille kohaselt tohiks trahve määrata ainult teatud liiki rikkumiste eest.
79. Samuti tundub mulle, et kui liidu seadusandja on soovinud kehtestada isikuandmete kaitse üldmääruses mittesüülist või eeldatud vastutust, on ta seda teinud spetsiifilise sõnastuse abil, mis üldmääruse artiklist 83 puudub. Näiteks isikuandmete kaitse üldmääruse artiklis 82 nimetatud tsiviilvastutuse puhul (mis tähendab vastutavate ja volitatud töötlejate vastutust andmesubjektide ees) on liidu seadusandja märkinud, et vastutavatel ja volitatud töötlejatel on range kohustus hüvitada andmesubjektidele tekitatud kahju, välja arvatud juhul, kui nad suudavad tõendada, et ei ole mingil viisil vastutavad kahju põhjustanud sündmuse eest.(47) Seevastu isikuandmete kaitse üldmääruse artiklis 83 ei ole samalaadset sõnastust nagu artiklis 84. Minu arvates kinnitab see, et liidu seadusandja ei tahtnud selle sättega kehtestada mittesüülisel või eelduslikul vastutusel põhinevat trahvisüsteemi.
80. Neljandaks ja võib-olla kõige tähtsama aspektina leian, et praktikas on lävi isikuandmete kaitse üldmääruse rikkumiseks hooletusest üldmääruse artikli 83 lõike 2 punkti b tähenduses igal juhul nii madal, et on raske kujutada ette olukordi, kus trahvi määramine on võimatu üksnes põhjusel, et see element puudub. Iseenesest leian, et pelk asjaolu, mille kohaselt peab enne üldmääruse artikli 83 kohaselt trahvi määramist tuvastama tahtluse või hooletuse, ei kahjusta liidu seadusandja eesmärki tagada üldmääruses sisalduvate andmekaitse-eeskirjade tõhus jõustamine, pigem vastupidi.
81. Sellega seoses on väidetud, et kui vastutav või volitatud töötleja lihtsalt kahtleb, kas senine töötlemine on õiguspärane, kuid ei tegutse, kujutab see endast juba tahtlikku nõustumist isikuandmete kaitse üldmääruse võimaliku rikkumisega ning seega rasket hooletust.(48) Peale selle on artikli 29 alusel asutatud töörühm leidnud, et hooletusest tingitud rikkumine võrdub mitmel moel „tahtmatu“ rikkumisega, kuna töörühma arvates tähendab „tahtmatu“ seda, et selline rikkumine saab esineda ka tahtluseta ja et vastutav või volitatud töötleja rikkus lihtsalt hoolsuskohustust.(49) Eelkõige on töörühm märkinud, et isegi lihtne „inimlik eksimus“(50) võib olla märk hooletusest.
82. Mulle tuleb pähe kaks järeldust. Esiteks on piir täiesti tahtmatu mittesüülise rikkumise ja hooletusest rikkumise vahel õigupoolest väga õhuke. Usun, et järelevalveasutustel on väga harva raske tuvastada piisavalt elemente, mis näitaksid, et väidetav rikkumine pandi toime vähemalt hooletusest. Sellega seoses märgin, et õiguskirjanduses on öeldud, et „arvestades nüüdseks arvukaid teadlikkuse suurendamise toiminguid […] eesmärgiga tagada isikuandmete kaitse üldmääruse järgimine […], on raske ette kujutada […] isikuandmete kaitse üldmääruse rikkumisi, kus ei esine vähemalt hooletust“.(51) Nõustun täielikult ja meenutan, et isikuandmete kaitse üldmääruse üks konkreetne eesmärk on tagada, et vastutavad ja volitatud töötlejad oleksid andmekaitse-eeskirjadest teadlikud, mis muudab minu arvates veel keerulisemaks asuda seisukohale, et rikkumine võib leida aset täiesti mittesüüliselt (isegi ilma hooletuseta).(52)
83. Teiseks tundub selline tulemus olevat täielikult kooskõlas isikuandmete kaitse üldmääruse esmase eesmärgiga, mis on tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse Euroopa Liidus(53). Trahvidel on tõepoolest hoiatav mõju.(54) Tänu sellele, et need loovad vastutavatele ja volitatud töötlejatele stiimuli järgida isikuandmete kaitse üldmäärust, annavad need üldise panuse andmesubjektide kaitse tugevdamisele ja on nende õiguste austamise tagamisel seega peamine element.(55) Minu arvates saab sellest tuletada, et ehkki „süü“ elementi ei saa kõrvale jätta, on üldmääruse artikli 83 rakendumiseks vajalik süü aste piisavalt madal, et tagada andmesubjektide asjakohase kaitsetaseme.
84. Peale selle soovin rõhutada, et lähenemine, mida soovitan Euroopa Kohtule, kinnitaks ühtlasi selle sättega kehtestatud trahvisüsteemi kooskõla trahvisüsteemiga, mis on sätestatud määruse (EÜ) nr 1/2003(56) artikli 23 lõikes 1 konkurentsiõiguse valdkonna rikkumiste puhuks ja mida samuti kohaldatakse üksnes tahtluse või hooletuse tuvastamise korral. Asjaolu, et nimetatud trahvisüsteem andis eeskuju isikuandmete kaitse üldmääruse artikli 83 sõnastamisel, nähtub üldmääruse põhjendusest 150, milles on sätestatud, et „kui trahv on määratud ettevõtjale, tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 toodud määratlusest“, ning teistestki sarnasustest nende kahe trahvisüsteemi vahel, näiteks asjaolust, et äriühingute puhul võib trahvi suurus mõlemas süsteemis põhineda käibel. Samuti märgin, et mitu isikuandmete kaitse üldmääruse artikli 83 lõikes 2 loetletud tegurit vastab neile teguritele, mis on asjakohased konkurentsiõiguse rikkumiste eest määratava trahvi suuruse otsustamisel.(57)
85. Olles kirjeldanud põhjusi, miks peab süü olema minu arvates tuvastatud enne, kui vastutavale või volitatud töötlejale saab isikuandmete kaitse üldmääruse artikli 83 lõike 2 kohaselt trahvi määrata, soovin veel öelda mõne sõna nõukogu ja Leedu valitsuse arutluskäigu kohta. Nende sõnul peavad liikmesriigid ise otsustama, kas süü olemasolu on trahvi määramiseks vajalik.
86. Vähemalt mina ei saa seda seisukohta jagada.
(b) Miks puudub liikmesriikidel süü vajalikkuse puhul kaalutlusõigus
87. Mulle on selge, et üks isikuandmete kaitse üldmääruse, iseäranis selle artikli 83 põhieesmärke on jõuda Euroopa Liidus suurema ühtlustatuseni, eriti trahvide määramise teemal.(58) Mina olen seisukohal, et vastupidi nõukogu ja Leedu valitsuse väidetule ei olnud liidu seadusandja eesmärk anda liikmesriikidele õigust ise otsustada, kas süü on vajalik või mitte.
88. Tõepoolest võib liikmesriigi õigusaktides sätestada lisanõudeid järelevalveasutuste trahvi kehtestamise menetlusele (näiteks sellistes küsimustes nagu trahvist teatamine ning märkuste esitamise, vaidlustamise, jõustumise ja tasumise tähtajad).(59) See nähtub selgelt isikuandmete kaitse üldmääruse artikli 83 lõikest 8, kus on sätestatud, et järelevalveasutuse trahvimispädevuse kasutamisele „kohaldatakse […] asjakohaseid menetluslikke kaitsemeetmeid“, mis tuleb sätestada liikmesriigi õiguses, tingimusel et on tagatud kooskõla liidu õigusega (eeskätt õigusega tõhusale õiguskaitsevahendile ja nõuetekohasele menetlusele).
89. Selline kaalutlusõigus ei saa aga laieneda trahvi määramisele kohaldatavatele sisulistele nõuetele, näiteks süü astmele. Minu arvates tuleneb see järeldus otseselt isikuandmete kaitse üldmääruse mitmest põhjendusest,(60) millest nähtub, et liidu seadusandja kehtestas isikuandmete kaitse üldmääruse artikliga 83 trahvisüsteemi selleks, et jõuda kogu Euroopa Liidu territooriumil ühetaoliste tulemusteni.
90. Vastuse täielikkuse huvides lisan, et arvestades asjaolu, et trahvid mõjutavad tugevalt ettevõtjatevahelist konkurentsi ja turgu, on minu arvates väga tähtis kohaldada isikuandmete kaitse üldmääruse artiklit 83 ühetaoliselt, vastasel juhul võib see aidata kaasa ettevõtjatevahelise konkurentsi moonutamisele.(61)
2. Teine aspekt: kas vastutavale töötlejale võib rikkumise eest määrata trahvi olukorras, kus ebaseadusliku töötlemise pani toime volitatud töötleja, mitte tema ise?
91. Kuuenda küsimuse teise osaga soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas vastutavale töötlejale saab isikuandmete kaitse üldmääruse artikli 83 kohaselt määrata trahvi juhul, kui isikuandmete ebaseadusliku töötlemise pani toime volitatud töötleja (praegusel juhul ITSS), mitte vastutav töötleja ise.
92. Leian, et sellele küsimusele tuleb vastata jaatavalt.
93. Sellega seoses meenutan, et nagu märkisin eespool punktis 27, ei pea vastutav töötleja ise isikuandmeid töötlema, peaasi et ta otsustab, miks ja kuidas asjaomased töötlemistoimingud aset leiavad. Samuti märgin, et isikuandmete kaitse üldmääruse artikli 4 punktis 8 on volitatud töötleja määratletud kui „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel“.(62)
94. Minu arvates kinnitavad need määratlused, et isikuandmete kaitse üldmääruse kontekstis saab vastutavat töötlejat pidada vastutavaks ja seega määrata talle isikuandmete kaitse üldmääruse artikli 83 kohaselt trahvi olukorras, kus isikuandmeid töödeldakse ebaseaduslikult ja selle ebaseadusliku töötlemise pani toime volitatud töötleja, mitte vastutav töötleja ise. See võimalus kehtib seni, kuni volitatud töötleja töötleb isikuandmeid vastutava töötleja nimel.
95. Selline on olukord tingimusel, et volitatud töötleja tegutseb vastutavalt töötlejalt saadud volituste ulatuses ja töötleb andmeid kooskõlas vastutavalt töötlejalt saadud õiguspäraste juhistega.(63) Kui aga volitatud töötleja ületab nende volituste piire ja kasutab volitatud töötlejana saadud andmeid enda huvides ning on selge, et pooled ei ole kaasvastutavad töötlejad isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 21 lõike 6 tähenduses, ei saa vastutavale töötlejale aset leidnud ebaseadusliku töötlemise eest minu arvates isikuandmete kaitse üldmääruse artikli 83 kohaselt trahvi määrata.(64)
96. Sellest tulenevalt võib sellisel juhul nagu põhikohtuasjas määrata NVSC-le isikuandmete kaitse üldmääruse artikli 83 kohaselt trahvi, ehkki isikuandmeid töötles ebaseaduslikult ainult ITSS ja NVSC töötlemises ei osalenud. See on võimalik tingimusel, et saab öelda, et see äriühing on isikuandmeid töödelnud NVSC nimel, mis ei kehti juhul, kui ITSS tegutses väljaspool NVSC õiguspäraseid juhiseid või nendega vastuolus ja kasutas isikuandmeid enda huvides ning on selge, et NVSC ja ITSS ei tegutse kaasvastutavate töötlejatena.
V. Ettepanek
97. Eeltoodut arvesse võttes teen Euroopa Kohtule ettepaneku vastata Vilniaus apygardos administracinis teismase (Vilniuse regionaalne halduskohus, Leedu) eelotsuse küsimustele nii:
1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punkti 7
tuleb tõlgendada nii, et sellist asutust, kes algatab mobiilirakenduse arendamise, võib selle sätte tähenduses käsitada vastutava töötlejana üksnes olukorras, kus on piisavalt faktilisi, mitte tingimata vormilisi elemente, mis võimaldavad liikmesriikide kohtutel järeldada, et selline asutus on päriselt mõjutanud nii selle töötlemise „eesmärke“ kui ka „vahendeid“ ning et ta on tegelikult andnud nõusoleku teha mobiilirakendus avalikkusele kättesaadavaks ning seega töödelda isikuandmeid.
2. Seda sätet koostoimes üldmääruse artikli 26 lõikega 1
tuleb tõlgendada nii, et selleks, et käsitada kahte või enamat vastutavat töötlejat kaasvastutavate töötlejatena, peab olema täidetud kaks tingimust: esiteks peab iga kaasvastutav töötleja iseseisvalt vastama üldmääruse artikli 4 punktis 7 sätestatud vastutava töötleja määratluses loetletud kriteeriumidele ja teiseks peavad vastutavad töötlejad avaldama töötlemise „eesmärkidele ja vahenditele“ mõju ühiselt. Peale selle ei saa lepingu või isegi kooskõlastuse puudumine vastutavate töötlejate vahel iseenesest välistada järeldust, et need vastutavad töötlejad on kaasvastutavad töötlejad nimetatud sätete tähenduses.
3. Üldmääruse artikli 4 punkti 2
tuleb tõlgendada nii, et, mõiste „töötlemine“ hõlmab ka sellist olukorda, kus isikuandmeid kasutatakse mobiilirakenduse testimise järgus, välja arvatud juhul, kui sellised andmed on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. See, kas isikuandmeid kogutakse eesmärgiga testida mobiilirakenduses olevaid IT-süsteeme või mõnel muul eesmärgil, ei mõjuta iseenesest vastust küsimusele, kas kõnealune toiming kvalifitseerub töötlemiseks.
4. Määruse 2016/679 artiklit 83
tuleb tõlgendada nii, et trahvi saab määrata üksnes selles määruses sätestatud reeglite „tahtlikult või hooletusest“ toime pandud rikkumise karistamiseks. Peale selle võib vastutavale töötlejale selle sätte alusel trahvi määrata isegi siis, kui ebaseadusliku töötlemise paneb toime volitatud töötleja. See on võimalik tingimusel, et on tuvastatud, et volitatud töötleja tegutseb vastutava töötleja nimel. Kui aga volitatud töötleja töötleb isikuandmeid väljaspool vastutava töötleja õiguspäraseid juhiseid või nendega vastuolus ja kasutab saadud andmeid enda huvides ning on selge, et pooled ei ole kaasvastutavad töötlejad määruse 2016/679 artikli 4 punkti 7 ja artikli 21 lõike 6 tähenduses, ei saa vastutavale töötlejale seoses aset leidnud ebaseadusliku töötlemisega isikuandmete kaitse üldmääruse artikli 83 kohaselt trahvi määrata.
1 Algkeel: inglise.
2 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1) (edaspidi „isikuandmete kaitse üldmäärus“).
3 Mobiilirakendus KARANTINAS kogus oma kasutajatelt muu hulgas järgmisi isikuandmeid: tunnusnumber, laius- ja pikkuskraadid, riik, linn, omavalitsusüksus, elukoht, eesnimi, perekonnanimi, isikukood, telefoninumber, kas isikul oli eneseisolatsiooni kohustus, kas ta oli registreeritud jne. Andmeid ei kogutud mitte üksnes Leedus, vaid ka välismaal.
4 Isikuandmete kaitse üldmääruse artiklis 5 on loetelu üldpõhimõtetest, mille järgimise peavad vastutavad töötlejad isikuandmete töötlemisel tagama. Üldmääruse artiklis 13 on loetletud andmed, mille vastutavad töötlejad peavad andmesubjektidele neilt isikuandmete kogumisel esitama. Üldmääruse artikli 24 alusel peavad vastutavad töötlejad muu hulgas rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada (ja suuta tõendada) isikuandmete töötlemist kooskõlas kohaldatavate andmekaitsealaste õigusaktidega. Isikuandmete kaitse üldmääruse artikkel 32 on seotud töötlemise turvalisusega ning loob sellega seoses kohustusi nii vastutavatele kui ka volitatud töötlejatele, samas kui üldmääruse artiklis 35 käsitletakse vastutavate töötlejate kohustust teha enne teatavat tüüpi töötlemist andmekaitsealane mõjuhinnang.
5 Isikuandmete kaitse üldmääruse artiklis 29 on sätestatud, et „volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab“.
6 Märgin, et tervisealased isikuandmed kujutavad endast isikuandmete eriliiki, mille töötlemine on isikuandmete kaitse üldmääruse artikliga 9 keelatud, välja arvatud juhul, kui kehtib mõni sama artikli lõikes 2 loetletud asjaoludest (näiteks asjaolu, et töötlemine on vajalik rahvatervise valdkonna avalikes huvides (punkt i) või ennetava meditsiini või töömeditsiiniga seotud põhjustel (punkt h)). Sellegipoolest märgin, et käesolevas kohtuasjas Euroopa Kohtule esitatud eelotsuse küsimused ei käsitle sellise töötlemise õiguspärasust, vaid pigem tingimusi, mille korral sellist asutust nagu NVSC on võimalik panna vastutama sellise mobiilirakenduse arendaja (praeguses kohtuasjas ITSSi) toime pandud töötlemise eest.
7 Kohtuasja toimikus oleva ja kohtuistungil esitatud teabe põhjal ei ole selge, kas KARANTINASe arendamises osales ka Vilniuse linn.
8 Nagu selgitan tagapool punktis 46, tundub mulle eelotsusetaotluse põhjal, et KARANTINAS läbis enne avalikkusele allalaadimiseks kättesaadavaks tegemist testimisjärgu. Minu arusaamist mööda käsitleb neljas küsimus seega isikuandmete kasutamist testimisjärgus, mitte hilisemas järgus, mil KARANTINAS oli avalikkusele allalaadimiseks kättesaadavaks tehtud.
9 Vt Rücker, D., ja Kugler, T., New European General Data Protection Regulation: A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, lk 27. Nende autorite väitel on vastutava töötleja kõige tähtsam omadus see, et ta otsustab, milliste tulemusteni plaanitakse jõuda, sest töötlemise vahendid ehk viisi võib vähemalt vähetähtsates aspektides delegeerida volitatud töötlejale ilma vastutava töötleja võimekust kaotamata.
10 Vt 10. juuli 2018. aasta kohtuotsus Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 68). Selles kohtuotsuses käsitleti mõiste „vastutav töötleja“ tõlgendamist nii, nagu see oli määratletud Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 2 punktis d. Ehkki see direktiiv enam ei kehti ja selle on asendanud isikuandmete kaitse üldmäärus, jääb Euroopa Kohtu antud tõlgendus sellele sättele isikuandmete kaitse üldmääruse rakendamise kontekstis asjakohaseks, arvestades, et selle mõiste määratlus on mõlemas õigusaktis ühesugune, kui väikesi vormilisi muudatusi mitte arvestada. Seega viitan emma-kumma õigusaktiga seotud kohtuotsustele ilma neil vahet tegemata.
11 Vt 10. juuli 2018. aasta kohtuotsus Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 67).
12 Vt „Guidelines 07/2020 on the concepts of controller and processor in the GDPR“, Euroopa Andmekaitsenõukogu, versioon 2.1, vastu võetud 7. juulil 2021 (edaspidi „suunised 07/2020“, inglise keeles kättesaadav aadressil https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf), lk 3 ning punktid 21 ja 25–27.
13 29. juuli 2019. aasta kohtuotsus (C‑40/17, EU:C:2019:629, punkt 85).
14 Vt ka suunised 07/2020, punkt 42.
15 Vt isikuandmete kaitse üldmääruse artikli 26 lõige 3, mille alusel „võib andmesubjekt kasutada oma [isikuandmete kaitse üldmääruse] kohaseid õigusi vastutava töötleja suhtes ja vastu“. Vt ka üldmääruse artikli 82 lõiked 4 ja 5.
16 Vt selle kohta 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629, punkt 67 ja seal viidatud kohtupraktika).
17 Vt selle kohta 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkt 43).
18 Vt 10. juuli 2018. aasta kohtuotsus Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 69 ja seal viidatud kohtupraktika).
19 Vt suunised 07/2020, lk 3 ning punktid 54 ja 55.
20 Tõepoolest oleks veidi vastuoluline, kui isiku või asutuse käsitamiseks vastutava töötlejana piisaks vormilistest nõuetest, kuid neist ei piisaks selleks, et käsitada sama asutust ja mõnda teist asutust kaasvastutavate töötlejatena.
21 Vt suunised 07/2020, punkt 52.
22 Vt selle kohta suunised 07/2020, punkt 69.
23 Märgin, et neljandas küsimuses räägib eelotsusetaotluse esitanud kohus „isikuandmete koopiate“, mitte isikuandmete kasutamisest. Tuleb möönda, et ei ole selge, mida peab see kohus silmas termini „isikuandmete koopiad“ all, arvestades, et isikuandmed saavad eksisteerida immateriaalses vormis, ja et nähtuvalt isikuandmete kaitse üldmääruse artikli 4 punktist 1 on selles sättes esitatud määratluse kohaselt isikuandmed „igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta“ (kohtujuristi kursiiv), ilma et oleks nõutud isikuandmete kopeerimine või kandmine mingile seadmele või vahendile. Minu hinnangul ei ole küsimuse puhul, kas konkreetne isikuandmetega seotud toimingute kogum kvalifitseerub töötlemiseks üldmääruse artikli 4 punkti 2 tähenduses, mingit tähtsust füüsilisel objektil (nt paberkandja) või elektroonilisel failil, millel isikuandmed on kättesaadavad. Seega viitan oma vastuses neljandale küsimusele „isikuandmetele“, mitte „isikuandmete koopiatele“.
24 Kohtujuristi kursiiv.
25 Isikuandmete kaitse üldmääruse artikli 4 punkti 2 alusel on „töötlemine“ muu hulgas „kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine“.
26 Vt eelmine joonealune märkus.
27 Tõepoolest, mõiste „isikuandmed“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses koostoimes üldmääruse põhjendusega 26 hõlmab isikuandmeid, mis on pseudonüümitud, kuid mis on seostatud ja mida saaks seostada mõne füüsilise isikuga, kasutades täiendavat teavet.
28 Eelotsusetaotluses mainib eelotsusetaotluse esitanud kohus, et mõned, kuid mitte kõik testimisjärgus kasutatud isikuandmed võisid koosneda väljamõeldud andmetest. Siiski ei täpsusta see kohus, mida ta selle all mõtleb. Sellega seoses soovin märkida vaid seda, et minu hinnangul võib teave kvalifitseeruda isikuandmeteks isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses olenemata sellest, kas see sisaldab tõeseid või vääraid andmeid. Nagu olen öelnud, on tähtis vaid see, et teave on seotud tuvastatud või tuvastatava füüsilise isikuga. Kui andmed on täielikult välja mõeldud, nii et neid ei saa seostada mõne tuvastatud või tuvastatava füüsilise isikuga, siis minu arvates ei ole tegemist isikuandmetega ja selliste andmete töötlemisele isikuandmete kaitse üldmäärust ei kohaldata. Siiski kohaldatakse üldmäärust muudele, testimisjärgus kogutud pärisandmetele.
29 Tahaksin meenutada, et isikuandmete kasutamine mobiilirakenduses olevate IT-süsteemide testimiseks kujutab endast teistsugust töötlemist võrreldes sellega, mis leiab aset siis, kui sama mobiilirakendus tehakse avalikkusele allalaadimiseks kättesaadavaks. Seega tuleb eraldi analüüsida, kes on vastutav töötleja, volitatud töötleja või kaasvastutav töötleja.
30 Vt direktiivi 95/46 artikkel 24.
31 Vt „[Isikuandmete kaitse üldmääruse] alusel trahvide kohaldamise ja määramise suunised“, artikli 29 alusel asutatud andmekaitse töörühm, vastu võetud 3. oktoobril 2017, lk 4. Hiljem asendati see töörühm Euroopa Andmekaitsenõukoguga. Siiski on töörühma kehtestatud „Trahvide kohaldamise ja määramise suunised“ tänini kehtivad.
32 Vt nt mitme miljoni euro suurune trahv, mille Prantsusmaa andmekaitseamet määras 2019. aasta jaanuaris Google’ile (https://edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en).
33 Eeskätt üldmääruse artikli 83 lõike 2 punktis b. Muud artikli 83 lõike 2 punktides a–k loetletud elemendid on seotud kas rikkumise endaga (näiteks selle laadi, raskuse ja kestuse (a) või rikkumisest mõjutatud isikuandmete liikidega (g)) või vastutava või volitatud töötlejaga, kellele trahvi plaanitakse määrata (nimelt vastutuse astme (d), eelneva käitumise, näiteks eelnevate asjakohaste rikkumiste (e) ja varem nende vastu võetud meetmete (i) ja järgneva käitumisega, sealhulgas sellega, kas nad teatasid rikkumisest (h), milliseid meetmeid nad kahju leevendamiseks võtsid (c) ja mil määral nad tegid järelevalveasutusega koostööd rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks (f)). Peale selle tuleb asjakohast tähelepanu pöörata „juhtumi asjaolude suhtes kohaldatava[tele] mis tahes muud[ele] raskendava[tele] või kergendava[tele] teguri[tele], näiteks rikkumisest otseselt või kaudselt saadud finantskasu[le] või välditud kahju[le]“ (k).
34 Ettepanek: Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus), COM(2012) 11 (final) (edaspidi „komisjoni esialgne ettepanek määruse vastuvõtmiseks“).
35 Vt komisjoni esialgse ettepaneku määruse vastuvõtmiseks artikli 79 lõiked 4, 5 ja 6. Märgin, et rikkumise „tahtlik või tahtmatu“ iseloom sisaldus ka selle ettepaneku artikli 79 lõikes 2 nimetatud tegurite loetelus, mida tuli arvesse võtta trahvi suuruse määramisel; kohtujuristi kursiiv.
36 Hiljem seda sõnastust muudeti ning sõnad „tahtlikult või hooletusest“ ei ole enam isikuandmete kaitse üldmäärusega kehtestatud trahvisüsteemi kahte astet määratlevates sätetes ära toodud.
37 Kohtujuristi kursiiv.
38 Sama tähelepaneku saab teha ka isikuandmete kaitse üldmääruse artikli 83 lõike 2 muid, eelkõige tšehhi, kreeka, hispaania, prantsuse ja itaalia keele versioone vaadates. Siiski märgin, et itaalia keele versioonis kasutatakse üldmääruse artikli 83 lõike 2 punktis c, mis puudutab vastutava või volitatud töötleja poolt võetud meetmeid kahju leevendamiseks, määravat artiklit („le“), mitte sõna „mistahes“ („eventuali“).
39 Artikli 29 alusel asutatud töörühma sõnul kujutavad trahvid endast „parandusmeetmeid“, mille eesmärk võib olla „kas eeskirjade järgimise taastamine või õigusvastase käitumise karistamine (või mõlemad)“ (kohtujuristi kursiiv) (vt „[Isikuandmete kaitse üldmääruse] alusel trahvide kohaldamise ja määramise suunised“, artikli 29 alusel asutatud andmekaitse töörühm, vastu võetud 3. oktoobril 2017, lk 6).
40 Vt analoogia alusel 2. veebruari 2021. aasta kohtuotsus Consob (C‑481/19, EU:C:2021:84, punkt 43). Meenutan kolme kriteeriumi, mis on asjakohased selle hindamisel, kas karistused on oma olemuselt kriminaalõiguslikud: esimene kriteerium on rikkumise õiguslik kvalifitseerimine riigisiseses õiguses, teine puudutab rikkumise laadi ning kolmas selle sanktsiooni raskust, mis võidakse isikule määrata (vt selle otsuse punkt 42 ning 5. juuni 2012. aasta kohtuotsus Bonda, C‑489/10, EU:C:2012:319, punkt 37; samuti vt EIK 8. juuni 1976. aasta otsus Engel jt vs. Madalmaad, CE:ECHR:1976:0608JUD000510071, punkt 82). Trahvi käsitamisel kriminaalõiguslikuna ei pruugi olla täidetud kõik kriteeriumid (vt selle kohta kohtujurist Boti ettepanek kohtuasjas ThyssenKrupp Nirosta vs. komisjon (C‑352/09 P, EU:C:2010:635, punkt 50 ja seal viidatud kohtupraktika).
41 Harta artikli 49 „Kuritegude ja karistuste seaduslikkuse ja proportsionaalsuse põhimõte“ lõikes 3 on sätestatud, et „karistuste raskus ei tohi olla kuriteo suhtes ebaproportsionaalne“.
42 Vt 9. veebruari 2012. aasta kohtuotsus Urbán (C‑210/10, EU:C:2012:64, punkt 48); 13. novembri 2014. aasta kohtuotsus Reindl (C‑443/13, EU:C:2014:2370, punkt 42); 20. detsembri 2017. aasta kohtuotsus Global Starnet (C‑322/16, EU:C:2017:985, punkt 63) ja 22. märtsi 2017. aasta kohtuotsus Euro-Team ja Spirál-Gép (C‑497/15 ja C‑498/15, EU:C:2017:229, punktid 53 ja 54). Need kohtuotsused ilmestavad asjaolu, et nimetatud kohtupraktikat on kohaldatud mitmesugustes liidu õiguse valdkondades.
43 Vt „Selgitused põhiõiguste harta kohta“ (ELT 2007, C 303, lk 17). Harta artikli 52 lõike 3 alusel ei saa harta artikliga 49 tagatav kaitsetase olla väiksem kui see, mida võimaldab EIÕK artikkel 7.
44 Vt EIK (suurkoda) 28. juuni 2018. aasta otsus GIEM s.r.l. jt vs. Itaalia (CE:ECHR:2018:0628JUD000182806, punktid 242 ja 243).
45 Vt isikuandmete kaitse üldmääruse artikli 58 lõike 2 punkt i ja artikli 83 lõige 2.
46 Isikuandmete kaitse üldmääruse artikli 84 lõikes 1 on sätestatud, et „liikmesriigid kehtestavad […] rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine“. Üldmääruse põhjenduses 152 on selgitatud, et artiklit 84 kohaldatakse juhul, kui isikuandmete kaitse üldmääruses „ei ühtlustata väärteokaristusi või vajaduse korral muudel juhtudel, näiteks määruse tõsise rikkumise puhul“.
47 Vt selle kohta Chamberlain, J., ja Reichel, J., „The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation“, vol. 89, nr 4, Mississippi Law Journal, 2020, lk 677–679.
48 Vt Nemitz, P., „Fines under the GDPR“, Leenes, R., van Brakel, R., Gutwirth, S., ja De Hert, P., Data Protection and Privacy: The Internet of Bodies, Hart Publishing, Oxford, 2019, lk 241.
49 Sellele vastukaaluks hõlmab mõiste „tahtlus“ töörühma määratluse kohaselt nii teadmisi kui ka tahtmist seoses süüteo tunnustega (vt „[Isikuandmete kaitse üldmääruse] alusel trahvide kohaldamise ja määramise suunised“, artikli 29 alusel asutatud andmekaitse töörühm, vastu võetud 3. oktoobril 2017, lk 11).
50 Ibid., lk 12. Muude mainitud asjaolude seas on kehtivate põhimõtete lugemata ja järgimata jätmine, avaldatavas teabes isikuandmete kontrollimata jätmine, õigel ajal tehniliste uuenduste tegemata jätmine või põhimõtete vastu võtmata jätmine.
51 Vt Nemitz, P., „Fines under the GDPR“, Leenes, R., van Brakel, R., Gutwirth, S. ja De Hert, P., Data Protection and Privacy: The Internet of Bodies, Hart Publishing, Oxford, 2019, lk 240.
52 Vt isikuandmete kaitse üldmääruse põhjendused 122 ja 132.
53 Vt eeskätt isikuandmete kaitse üldmääruse põhjendus 1, milles meenutatakse harta artikli 8 lõikele 1 ja ELTL artikli 16 lõikele 1 viidates, et isikuandmete kaitse on põhiõigus. Vt ka isikuandmete kaitse üldmääruse põhjendused 10, 11 ja 13 ning 24. septembri 2019. aasta kohtuotsus Google (linkide eemaldamise territoriaalne ulatus) (C‑507/17, EU:C:2019:772, punkt 54).
54 Vt isikuandmete kaitse üldmääruse põhjendus 148.
55 Vt Chamberlain, J., ja Reichel, J., „The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation“, vol. 89, nr 4, Mississippi Law Journal, 2020, lk 685.
56 Nõukogu 16. detsembri 2002. aasta määrus [ELTL] artiklites [101] ja [102] sätestatud konkurentsieeskirjade rakendamise kohta (EÜT 2003, L 1, lk 1; ELT eriväljaanne 08/02, lk 205).
57 Vt 8. detsembri 2011. aasta kohtuotsus Chalkor vs. komisjon (C‑386/10 P, EU:C:2011:815, punktid 56 ja 57 ning seal viidatud kohtupraktika). Sellega seoses märgin, et ehkki enne konkurentsiõiguse eeskirjade rikkumise eest trahvi määramist tuleb tuvastada tahtlus või hooletus, on ka see nõue praktikas väga madala lävega. Euroopa Kohus on leidnud, et see tingimus on täidetud, kui ettevõtjale ei saanud olla teadmata, et tema tegevus on konkurentsivastane, olenemata sellest, kas ta oli teadlik sellest, et ta rikub asutamislepingu konkurentsieeskirju (vt 10. juuli 2014. aasta kohtuotsus Telefónica and Telefónica de España vs. komisjon, C‑295/12 P, EU:C:2014:2062, punkt 156 ja seal viidatud kohtupraktika).
58 Vt nt isikuandmete kaitse üldmääruse põhjendus 9, millest nähtub, et liikmesriikide füüsiliste isikute õiguste ja vabaduste kaitstuse taseme erinevused „võivad takistada isikuandmete liidusisest vaba liikumist“ ja „võivad […] takistada liidu tasandi majandustegevust“.
59 Vt isikuandmete kaitse üldmääruse põhjendus 129 („see ei tohiks välistada liikmesriigi menetlusnormidest tulenevaid täiendavaid nõudeid“ (kohtujuristi kursiiv)) ja põhjendus 150. Vt sellega seoses ka „[Isikuandmete kaitse üldmääruse] alusel trahvide kohaldamise ja määramise suunised“, artikli 29 alusel asutatud andmekaitse töörühm, vastu võetud 3. oktoobril 2017, lk 6.
60 Sellega seoses märgin, et isikuandmete kaitse üldmääruse põhjenduse 10 kohaselt „peaks […] kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel“, samas kui üldmääruse põhjendused 11, 13 ja 129 kutsuvad üles andma liikmesriikidele võrdväärsed järelevalve- ja täitmise tagamise pädevused ning kehtestama võrdväärsed karistused rikkumise eest. Üldmääruse põhjendusest 152 nähtub, et liikmesriigid peaksid kehtestama karistuste süsteemi üksnes selles ulatuses, milles väärteokaristused ei ole üldmääruses ühtlustatud (või vajaduse korral muudel juhtudel) (vt ka isikuandmete kaitse üldmääruse põhjendus 150).
61 Vt sellega seoses Voss, W. G., ja Bouthinon-Dumas, H., „EU General Data Protection Regulation Sanctions in Theory and in Practice“, vol. 37, Santa Clara High Tech, 2020, lk 44.
62 Kohtujuristi kursiiv.
63 Isikuandmete kaitse üldmääruse artiklis 29 on sätestatud, et „volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab“.
64 Isikuandmete kaitse üldmääruse artikli 28 lõike 10 kohaselt loetakse volitatud töötleja selliste andmete töötlemise suhtes vastutavaks töötlejaks. Vt sellega seoses ka Rücker, D., ja Kugler, T., New European General Data Protection Regulation, A Practitioner’s Guide, C.H. Beck, Hart and Nomos, Oxford, 2018, lk 30.