Kohtuasi C‑230/14

Weltimmo s.r.o.

versus

Nemzeti Adatvédelmi és Információszabadság Hatóság

(eelotsusetaotlus, mille on esitanud Kúria)

„Eelotsusetaotlus — Füüsiliste isikute kaitse isikuandmete töötlemisel — Direktiiv 95/46/EÜ — Artikli 4 lõige 1 ja artikli 28 lõiked 1, 3 ja 6 — Vastutav töötleja, kes on ametlikult asutatud liikmesriigis — Isikuandmete kaitse õiguse kahjustamine, mis puudutab füüsilisi isikuid teises liikmesriigis — Kohaldatava õiguse ja pädeva järelevalveasutuse kindlaksmääramine — Järelevalveasutuse volituste teostamine — Sanktsioonide määramise pädevus”

Kokkuvõte – Euroopa Kohtu otsus (kolmas koda), 1. oktoober 2015

  1. Õigusaktide ühtlustamine — Füüsiliste isikute kaitse isikuandmete töötlemisel — Direktiiv 95/46 — Andmete töötlemise eest vastutava äriühingu asutus — Mõiste — Paindlik tõlgendamine

    (Euroopa Parlamendi ja nõukogu direktiiv 95/46, põhjendus 19)

  2. Õigusaktide ühtlustamine — Füüsiliste isikute kaitse isikuandmete töötlemisel — Direktiiv 95/46 — Äriühing, kes vastutab andmete töötlemise eest mõnes muus liikmesriigis kui see, kus ta on registreeritud — Selle muu liikmesriigi õigusaktide kohaldamine — Tingimus — Tegelik ja tulemuslik tegutsemine ning stabiilne asukoht — Hindamiskriteeriumid

    (Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 4 lõike 1 punkt a)

  3. Õigusaktide ühtlustamine — Füüsiliste isikute kaitse isikuandmete töötlemisel — Direktiiv 95/46 — Liikmesriigi järelevalveasutusele esitatud kaebus — Järelevalveasutus, kes jõuab järeldusele, et andmete töötlemisele tuleb kohaldada mõne muu liikmesriigi õigusakte — Selle asutuse sekkumisvolitused — Piirid

    (Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 28 lõiked 1, 3, 4 ja 6)

  4. Õigusaktide ühtlustamine — Füüsiliste isikute kaitse isikuandmete töötlemisel — Direktiiv 95/46 — Ungarikeelses versioonis esinev mõiste „adatfeldolgozás“ (andmetöötlus) — Ulatus

    (Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 4 lõike 1 punkt a ja artikli 28 lõige 6)

  1.  Direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta põhjendusest 19 tuleneb mõiste „asutus” paindlik käsitus, eemaldudes formaalsest lähenemisviisist, mille alusel on ettevõtja asutatud ainult selles kohas, kus ta on registreeritud. Seega, määramaks kindlaks, kas andmete töötlemise eest vastutaval äriühingul on direktiivi 95/46 tähenduses asutus mõnes teises liikmesriigis kui see liikmesriik või kolmas riik, kus ta on registreeritud, tuleb hinnata nii asukoha stabiilsuse astet kui ka tegutsemise tegelikkust selles teises liikmesriigis, võttes arvesse kõnealuse majandustegevuse ja kõnealuste teenuste osutamise konkreetset laadi. See kehtib eriti nende ettevõtjate suhtes, kes tegelevad üksnes interneti teel teenuste osutamisega.

    (vt punkt 29)

  2.  Direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 4 lõike 1 punkti a tuleb tõlgendada nii, et on lubatud kohaldada selle liikmesriigi isikuandmekaitse alaseid õigusnorme, mis ei ole liikmesriik, kus nende andmete töötlemise eest vastutav isik on registreeritud, tingimusel et kõnealusel isikul on selle liikmesriigi territooriumil stabiilne asukoht, mille kaudu ta tegutseb tegelikult ja tulemuslikult, kas või minimaalselt ning see töötlemine toimub selle tegevuse raames.

    Selleks et määrata kindlaks, kas see on nii, võib eelotsusetaotluse esitanud kohus eelkõige võtta ühelt poolt arvesse asjaolu, et nimetatud töötlemise eest vastutava isiku tegevus, mille raames töötlemine toimub, seisneb veebilehe haldamises, millel avaldatakse selle liikmesriigi territooriumil asuva kinnisvara kuulutusi, mis on koostatud selle riigi keeles ja on seega peamiselt või isegi tervikuna suunatud nimetatud liikmesriiki, ja teiselt poolt, et sellel vastutaval isikul on nimetatud liikmesriigis esindaja, kes nõuab välja sellest tegevustest tulenevaid nõudeid ja esindab teda kõnealuste andmete töötlemist puudutavates haldus‑ ja kohtumenetlustes.

    See, millise riigi kodanikud on need isikud, keda see andmete töötlemine puudutab, ei oma aga mingit tähtsust.

    (vt punkt 41 ja resolutsiooni punkt 1)

  3.  Juhul kui liikmesriigi järelevalveasutus, kes menetleb kaebust vastavalt direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 28 lõikele 4, jõuab järeldusele, et kõnealuste isikuandmete töötlemisele tuleb kohaldada mitte selle, vaid mõne teise liikmesriigi õigust, siis tuleb direktiivi artikli 28 lõikeid 1, 3 ja 6 tõlgendada nii, et see järelevalveasutus tohib teostada nimetatud direktiivi artikli 28 lõike 3 alusel antud tõhusaid sekkumisvolitusi üksnes oma liikmesriigi territooriumil. Sellest tulenevalt ei saa ta selle liikmesriigi õiguse alusel määrata sanktsioone andmete töötlemise eest vastutavale isikule, kelle asukoht ei ole sellel territooriumil, vaid peab sama direktiivi artikli 28 lõike 6 alusel taotlema sekkumist selle liikmesriigi järelevalveasutuselt, kelle õigus on kohaldatav.

    Nimelt ilmneb asjaomase liikmesriigi territoriaalsest suveräänsusest ning seaduslikkuse põhimõttest ja õigusriigi mõistest tulenevatest nõuetest, et karistamisõiguse teostamine ei tohi põhimõtteliselt toimuda väljaspool seaduslikke piire, mille raames on haldusasutusel lubatud tegutseda oma liikmesriigi õiguse kohaselt.

    (vt punktid 56, 60 ja resolutsiooni punkt 2)

  4.  Direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta tuleb tõlgendada nii, et mõistet „adatfeldolgozás“ (andmetöötlus), mida kasutatakse selle direktiivi ungarikeelses versioonis, täpsemalt selle artikli 4 lõike 1 punktis a ja artikli 28 lõikes 6, tuleb mõista samatähenduslikuna mõistega „adatkezelés“ (andmete töötlemine).

    (vt punkt 65 ja resolutsiooni punkt 3)