EUROOPA KOHTU OTSUS (suurkoda)
5. juuni 2018 ( *1 )
Eelotsusetaotlus – Direktiiv 95/46/EÜ – Isikuandmed – Füüsiliste isikute kaitse isikuandmete töötlemisel – Korraldus inaktiveerida Facebooki lehekülg (fännileht), mis võimaldab koguda ja töödelda selle lehe külastajatega seotud teatavaid andmeid – Artikli 2 punkt d – Isikuandmete vastutav töötleja – Artikkel 4 – Kohaldatav liikmesriigi õigus – Artikkel 28 – Liikmesriikide järelevalveasutused – Järelevalveasutuste sekkumisvolitused
Kohtuasjas C‑210/16,
mille ese on ELTL artikli 267 alusel Bundesverwaltungsgericht’i (Saksamaa Liitvabariigi kõrgeim halduskohus) 25. veebruari 2016. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 14. aprillil 2016, menetluses
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
versus
Wirtschaftsakademie Schleswig-Holstein GmbH,
menetluses osalesid:
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident A. Tizzano (ettekandja), kodade presidendid M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský ja E. Levits, kohtunikud E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras ja E. Regan,
kohtujurist: Y. Bot,
kohtusekretär: ametnik C. Strömholm,
arvestades kirjalikku menetlust ja 27. juuni 2017. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– |
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, esindajad: Rechtsanwalt U. Karpenstein ja Rechtsanwalt M. Kottmann, |
– |
Wirtschaftsakademie Schleswig-Holstein GmbH, esindaja: Rechtsanwalt C. Wolff, |
– |
Facebook Ireland Ltd, esindajad: Rechtsanwalt C. Eggers, Rechtsanwalt H.‑G. Kamann, Rechtsanwalt M. Braun ja avvocato I. Perego, |
– |
Saksamaa valitsus, esindaja: J. Möller, |
– |
Belgia valitsus, esindajad: L. Van den Broeck, C. Pochet, P. Cottin ja J.‑C. Halleux, |
– |
Tšehhi valitsus, esindajad: M. Smolek, J. Vláčil ja L. Březinová, |
– |
Iirimaa, esindajad: M. Browne, L. Williams, E. Creedon, G. Gilmore ja A. Joyce, |
– |
Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato P. Gentili, |
– |
Madalmaade valitsus, esindajad: C. S. Schillemans ja M. K. Bulterman, |
– |
Soome valitsus, esindaja: J. Heliskoski, |
– |
Euroopa Komisjon, esindajad: H. Krämer ja D. Nardi, |
olles 24. oktoobri 2017. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 |
Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355). |
2 |
Taotlus on esitatud kohtuvaidluses, mille pooled on Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Schleswig-Holsteini liidumaa piirkondlik sõltumatu andmekaitseasutus, Saksamaa) (edaspidi „ULD“) ja haridusvaldkonnale spetsialiseerunud eraõiguslik äriühing Wirtschaftsakademie Schleswig-Holstein GmbH (edaspidi „Wirtschaftsakademie“) ning milles vaieldakse selle üle, kas ULD poolt Wirtschaftsakademiele tehtud korraldus inaktiveerida tema fännileht, mida majutatakse suhtlusvõrgustiku Facebook (edaspidi „Facebook“) veebisaidil, on õiguspärane. |
Õiguslik raamistik
Liidu õigus
3 |
Direktiivi 95/46 põhjendustes 10, 18, 19 ja 26 on märgitud:
[…]
[…]
|
4 |
Direktiivi 95/46 artiklis 1 „Direktiivi eesmärk“ on ette nähtud: „1. Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele. 2. Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.“ |
5 |
Direktiivi artikkel 2 „Mõisted“ on sõnastatud järgmiselt: „Käesolevas direktiivis kasutatakse järgmisi mõisteid: […]
[…]
[…]“ |
6 |
Direktiivi artikli 4 „Kohaldatav siseriiklik õigus“ lõikes 1 on sätestatud: „Iga liikmesriik kohaldab isikuandmete töötlemise suhtes käesoleva direktiivi kohaselt vastuvõetud siseriiklikke õigusnorme, kui:
|
7 |
Direktiivi 95/46 artikli 17 „Töötlemise turvalisus“ lõigetes 1 ja 2 on ette nähtud: „1. Liikmesriigid näevad ette, et vastutav töötleja peab rakendama vajalikke tehnilisi ja organisatsioonilisi meetmeid kaitsmaks isikuandmeid juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, ebaseadusliku avalikustamise või juurdepääsu eest, eelkõige juhul, kui töötlemine hõlmab andmete edastamist võrgu kaudu, ning igasuguse muu võimaliku ebaseadusliku töötlemise eest. Võttes arvesse tehnika taset ja selliste meetmete elluviimise kulusid, peavad kõnealused meetmed tagama töötlemise ja kaitstavate andmete laadiga kaasnevale ohule vastava turvalisuse taseme. 2. Liikmesriigid sätestavad, et kui töötlemine toimub vastutava töötleja nimel, peab vastutav töötleja valima volitatud töötleja, kes esitab piisavad tagatised tehniliste turvameetmete ja töötlemist reguleerivate korralduslike meetmete kohta, ning kindlustama nimetatud meetmete järgimise.“ |
8 |
Direktiivi artiklis 24 „Sanktsioonid“ on ette nähtud: „Liikmesriigid võtavad sobivaid meetmeid, et tagada käesoleva direktiivi sätete täielik rakendamine, ja sätestavad eelkõige sanktsioonid, mida kohaldatakse käesoleva direktiivi kohaselt vastuvõetud sätete rikkumise puhul.“ |
9 |
Direktiivi artikkel 28 „Järelevalveasutus” on sõnastatud järgmiselt: „1. Iga liikmesriik näeb ette ühe või mitu riigiasutust, et teostada järelevalvet tema territooriumil käesoleva direktiivi kohaselt vastuvõetud sätete kohaldamise üle. Kõnealused asutused tegutsevad neile usaldatud ülesannete täitmisel täiesti sõltumatult. 2. Iga liikmesriik näeb ette, et selliste haldusmeetmete võtmisel või õigusaktide koostamise käigus, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset isikuandmete töötlemisel, konsulteeritakse järelevalveasutustega. 3. Igal sellisel ametiasutusel on eelkõige:
Kui järelevalveasutuse otsustega ei olda rahul, võib need edasi kaevata kohtusse. […] 6. Olenemata sellest, milliseid siseriiklikke õigusi kõnealuse töötlemise suhtes kohaldatakse, on iga järelevalveasutus pädev kasutama oma liikmesriigi territooriumil talle lõikega 3 antud volitusi. Teise liikmesriigi asutused võivad igalt järelevalveasutuselt taotleda, et see kasutaks oma volitusi. Järelevalveasutused teevad üksteisega koostööd, kuivõrd see on vajalik nende ülesannete täitmiseks, eelkõige vahetades kasulikku teavet. […]“ |
Saksa õigus
10 |
Saksamaa föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz) põhikohtuasjadele kohaldatava redaktsiooni (edaspidi „BDSG“) § 3 lõige 7 on sõnastatud järgmiselt: „Vastutav töötleja on isik või üksus, kes ise kogub, töötleb või kasutab isikuandmeid või on teise isiku volitanud seda tegema“. |
11 |
BDSG § 11 „Isikuandmete kogumine, töötlemine või kasutamine volituse alusel“ on sõnastatud järgmiselt: „(1) Kui isikuandmeid kogutakse, töödeldakse või kasutatakse teise isiku vahendusel, kes on selleks volitatud, vastutab volituse andnud töötleja käesoleva seaduse sätete ja muude andmekaitse alaste sätete järgimise eest. […] (2) Volitatud töötleja tuleb valida hoolikalt, pöörates erilist tähelepanu tehnilistele ja korralduslikele meetmetele, mida ta on võtnud. Leping, millega antakse volitus töötlemiseks, peab olema kirjalik ja selles tuleb kindlaks määrata järgmised üksikasjad: […] Volituse andnud vastutav töötleja peab enne andmete töötlemise algust veenduma ja hiljem regulaarselt kontrollima, et volitatud töötleja järgib enda võetud tehnilisi ja korralduslikke meetmeid. Kontrollimise tulemus tuleb dokumentaalselt talletada. […]“ |
12 |
BDSG § 38 lõikes 5 on sätestatud: „Järelevalveasutus võib käesoleva seaduse ja muude andmekaitse õigusnormide järgimise tagamiseks anda korralduse isikuandmete kogumisel, töötlemisel või kasutamisel tuvastatud rikkumiste heastamiseks või tehniliste või korralduslike puuduste kõrvaldamiseks. Raske rikkumise või oluliste puuduste korral, eelkõige kui need kujutavad endast konkreetset ohtu rikkuda õigust eraelu puutumatusele, võib ta keelata andmete kogumise, töötlemise või kasutamise või teatavate menetluste kasutamise, kui rikkumisi või puudusi esimeses lauses osutatud korraldust eirates ja trahvi kohaldamisele vaatamata õigeaegselt ei kõrvaldata. Järelevalveasutus võib nõuda andmekaitsetöötaja töölepingu ülesütlemist, kui ta ei ole oma ülesannete täitmiseks vajalikul määral asjatundlik ja usaldusväärne.“ |
13 |
26. veebruari 2007. aasta elektroonilise side seaduse (Telemediengesetz; BGBl. 2007 I, lk 179, edaspidi „TMG“) § 12 on sõnastatud järgmiselt: „(1) Teenuseosutaja võib elektrooniliste teabe- ja sideteenuste kättesaadavaks tegemisel koguda ja kasutada isikuandmeid üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul. […] (3) Kui ei ole sätestatud teisiti, kohaldatakse isikuandmete kaitse kohta kehtivaid sätteid ka juhul, kui andmeid ei töödelda automaatselt.“ |
Põhikohtuasi ja eelotsuse küsimused
14 |
Wirtschaftsakademie pakub Facebookis majutatava fännilehe kaudu koolitusteenuseid. |
15 |
Fännilehed on kasutajakontod, mida üksikisikud või ettevõtjad saavad Facebookis konfigureerida. Selleks peab fännilehe haldaja Facebookis kasutajaks registreeruma ja saab nii kasutada selle pakutavat platvormi enda tutvustamiseks selle suhtlusvõrgustiku kasutajatele ja teistele fännilehe külastajatele ning avaldada meedia- ja arvamusturul mis tahes liiki teateid. Fännilehtede haldajad võivad saada nende lehtede kasutajate kohta anonüümseid statistilisi andmeid töövahendi „Facebook Insights“ abil, mille Facebook annab muutmatute kasutustingimuste alusel tasuta nende käsutusse. Neid andmeid kogutakse tekstikujuliste failide abil (edaspidi „küpsis“), millest igaüks sisaldab kordumatut identifikaatorit, mis on aktiivne kaks aastat ja mille Facebook salvestab fännilehte külastanud isiku arvuti kõvakettale või muule andmekandjale. Identifikaatorit, mida saab seostada Facebookis registreeritud kasutajate ühendusandmetega, loetakse ja töödeldakse fännilehtede avamise ajal. Eelotsusetaotlusest selgub selle kohta, et ei Wirtschaftsakademie ega Facebook Ireland Ltd ei teavitanud kasutajat küpsise salvestamisest ja toimimisest ega sellele järgnenud andmetöötlusest, vähemalt mitte põhikohtuasjas asjasse puutuval ajavahemikul. |
16 |
ULD kui järelevalveasutus direktiivi 95/46 artikli 28 tähenduses, kelle ülesanne on teostada Land Schleswig-Holsteini (Saksamaa) territooriumil järelevalvet selle direktiivi kohaldamiseks Saksamaa Liitvabariigi poolt vastu võetud sätete kohaldamise üle, andis 3. novembri 2011. aasta otsusega (edaspidi „vaidlustatud otsus“) BDSG § 38 lõike 5 esimese lause alusel Wirtschaftsakademie’le korralduse inaktiveerida fännileht, mille viimane oli Facebookis loonud aadressil https://www.facebook.com/wirtschaftsakademie, hoiatades korralduse määratud tähtajaks täitmata jätmise korral trahvi määramisega põhjusel, et Wirtschaftsakademie ega Facebook ei teavitanud fännilehe külastajaid, et viimane kogub küpsiste abil nende isikuandmeid ja seejärel nad töötlevad neid andmeid. Wirtschaftsakademie esitas selle otsuse peale vaide, milles ta väitis sisuliselt, et tema ei ole andmekaitseõiguse seisukohast vastutav ei Facebooki poolt andmete töötlemise ega viimase paigaldatud küpsiste eest. |
17 |
ULD jättis 16. detsembri 2011. aasta otsusega vaide rahuldamata, leides, et Wirtschaftsakademie kui teenuseosutaja vastutus on tõendatud TMG § 3 lõike 3 punkti 4 ja § 12 lõike 1 kohaselt nende sätete koostoimes BDSG § 3 lõikega 7. ULD hinnangul aitas Wirtschaftsakademie fännilehe loomisega aktiivselt ja vabatahtlikult kaasa Facebooki poolt selle fännilehe külastajate isikuandmete kogumisele, millest ta sai väidetavalt kasu kasutajastatistika kaudu, mille see suhtlusvõrgustik talle kättesaadavaks tegi. |
18 |
Wirtschaftsakademie esitas selle otsuse peale kaebuse Verwaltungsgerichtile (halduskohus, Saksamaa), väites, et teda ei saa Facebooki andmetöötlusoperatsioonide eest vastutavaks pidada ja et ta ei ole ka Facebookile BDSG § 11 tähenduses ülesandeks teinud andmetöötlust, mis toimuks tema kontrolli all või mida ta saaks mõjutada. Wirtschaftsakademie järeldas sellest, et ULD ei oleks pidanud tegema vaidlustatud otsust tema suhtes, vaid oleks pidanud pöörduma otse Facebooki vastu. |
19 |
Verwaltungsgericht (halduskohus) tühistas vaidlustatud otsuse 9. oktoobri 2013. aasta kohtuotsusega sisuliselt põhjendusega, et Facebooki fännilehe haldaja ei ole „vastutav töötleja“ BDSG § 3 lõike 7 tähenduses ja et seega ei saa BDSG § 38 lõikes 5 ette nähtud meedet võtta Wirtschaftsakademie suhtes. |
20 |
Oberverwaltungsgericht (liidumaa kõrgem halduskohus, Saksamaa) jättis ULD apellatsioonkaebuse selle kohtuotsuse peale põhjendamatuse tõttu rahuldamata. Nimetatud kohus leidis sisuliselt, et vaidlustatud otsuses kehtestatud andmetöötluskeeld on ebaseaduslik, kuna BDSG § 38 lõike 5 teises lauses on ette nähtud progressiivne menetlus, mille esimeses etapis on lubatud võtta ainult meetmeid andmetöötluses tuvastatud õigusrikkumiste kõrvaldamiseks. Andmetöötluse kohene keelamine on tema hinnangul mõeldav üksnes juhul, kui andmetöötlusprotsess on tervikuna õigusvastane ja rikkumise saab kõrvaldada üksnes selle protsessi peatamisega. Oberverwaltungsgerichti (liidumaa kõrgem halduskohus) hinnangul aga ei olnud see käesoleval juhul nii, sest Facebookil oli igati võimalik peatada õigusrikkumised, mida ULD väidab olevat aset leidnud. |
21 |
Oberverwaltungsgericht (liidumaa kõrgem halduskohus) lisas, et vaidlustatud otsus on ebaseaduslik ka põhjusel, et BDSG § 38 lõikes 5 ette nähtud korraldust saab anda ainult BDSG § 3 lõike 7 tähenduses vastutava töötleja suhtes, kes Facebooki kogutavate andmete puhul ei ole Wirtschaftsakademie. Töövahendi „Facebook Insights“ jaoks kasutatavate isikuandmete kogumise ja töötlemise eesmärgi ja vahendite üle otsustab nimelt ainult Facebook, Wirtschaftsakademie aga saab üksnes statistilist teavet, mis on muudetud anonüümseks. |
22 |
ULD esitas Bundesverwaltungsgerichtile (Saksamaa Liitvabariigi kõrgeim halduskohus) kassatsioonkaebuse, milles ta muude argumentide hulgas väidab, et apellatsiooniastme kohus on oma otsuses rikkunud BDSG § 38 lõiget 5 ja mitut menetlusnormi. Ta on seisukohal, et Wirtschaftsakademie õigusrikkumine seisneb selles, et ta tellis veebisaidi loomise, majutamise ja hoolduse teenust teenusepakkujalt, kes on ebasobiv – käesoleval juhul Facebook Ireland –, kuna see pakkuja ei järgi kohaldatavat andmekaitseõigust. Vaidlustatud otsusega Wirtschaftsakademiele tehtud korraldus inaktiveerida oma fännileht on antud selle rikkumise kõrvaldamiseks, kuna sellega keelatakse tal jätkata Facebooki keskkonna kasutamist oma veebisaidi tehnilise baasina. |
23 |
Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus) on samal seisukohal nagu Oberverwaltungsgericht (liidumaa kõrgeim halduskohus), et Wirtschaftsakademied ennast ei saa pidada vastutavaks andmetöötlejaks BDSG § 3 lõike 7 või direktiivi 95/46 artikli 2 punkti d tähenduses. Samas leiab esimesena nimetatud kohus, et põhimõtteliselt tuleb seda mõistet õiguse eraelu puutumatusele tõhusa kaitse huvides tõlgendada laialt, nagu Euroopa Kohus on selgitanud oma viimase aja kohtupraktikas selles valdkonnas. Teisalt kahtleb ta, kas ULD‑l on käesoleval juhul pädevus Facebook Germany suhtes, võttes arvesse asjaolu, et isikuandmete kogumise ja töötlemise eest on Facebooki kontsernis liidu tasandil vastutav Facebook Ireland. Viimaseks on tal ULD sekkumisvolituste teostamise seiskohalt küsimus, milline tähtsus on selle järelevalveasutuse hinnangutel, kellel on volitused Facebook Irelandi suhtes, kõnealuste isikuandmete töötlemise seaduslikkuse seisukohalt. |
24 |
Neil asjaoludel otsustas Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
|
Eelotsuse küsimuste analüüs
Esimene ja teine küsimus
25 |
Esimese ja teise küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikli 2 punkti d, artikli 17 lõiget 2, artiklit 24 ja artikli 28 lõike 3 teist taanet tuleb tõlgendada nii, et nende alusel võib isikuandmete kaitse eeskirjade rikkumise eest vastutavaks lugeda suhtlusvõrgustikus majutatavat fännilehte haldava üksuse, põhjusel et ta on valinud oma teabe pakkumiseks selle suhtlusvõrgustiku. |
26 |
Neile küsimustele vastamiseks olgu meenutatud, et nähtuvalt direktiivi 95/46 artikli 1 lõikest 1 ja põhjendusest 10 on selle direktiivi eesmärk tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse kõrgetasemeline kaitse (11. detsembri 2014. aasta kohtuotsus Ryneš, C‑212/13, EU:C:2014:2428, punkt 27 ja seal viidatud kohtupraktika). |
27 |
Sellest eesmärgist lähtuvalt on direktiivi artikli 2 alapunktis d mõiste „vastutav töötleja“ määratletud laialt kui füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid. |
28 |
Nagu Euroopa Kohus on juba selgitanud, on selle sätte eesmärk tagada mõiste „vastutav töötleja“ laia määratluse kaudu andmesubjektide tõhus ja täielik kaitse (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 34). |
29 |
Lisaks, kuna direktiivi 95/46 artikli 2 punktis d sõnaselgelt ettenähtu kohaselt on „vastutava töötleja“ all silmas peetud üksust, kes määrab „üksi või koos teistega“ kindlaks isikuandmete töötlemise eesmärgid ja vahendid, ei viita see mõiste tingimata ühele ainsale üksusele ja võib hõlmata mitut töötlemises osalejat, kellest igaühe suhtes on seega kohaldatavad andmekaitse valdkonna õigusnormid. |
30 |
Käesoleval juhul tuleb üksusteks, kes määravad põhiosas kindlaks Facebooki kasutajate ja Facebooki saidil majutatavaid fännilehti külastanute isikuandmete töötlemise eesmärgid ja vahendid, lugeda Facebook Inc. ja liidu puhul Facebook Ireland, ja seega kuuluvad nemad mõiste „vastutav töötleja“ alla direktiivi 95/46 artikli 2 punkti d tähenduses, ning selle üle ei ole käesolevas asjas vaidlust. |
31 |
Samas tuleb esitatud küsimustele vastamiseks analüüsida, kas ja mil määral osaleb Facebooki saidil majutatava fännilehe haldaja, nagu Wirtschaftsakademie, selle fännilehe puhul koos Facebook Irelandi ja Facebook Inc‑iga selle fännilehe külastajate isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises, nii et ka teda saab lugeda „vastutavaks töötlejaks“ direktiivi 95/46 artikli 2 punkti d tähenduses. |
32 |
Selle kohta ilmneb, et igaüks, kes soovib luua Facebookis fännilehe, sõlmib Facebook Irelandiga sellise lehe avamiseks vastava lepingu ja nõustub seejuures selle lehe kasutamise tingimustega, sealhulgas lehega seotud küpsiste poliitikaga – eelotsusetaotluse esitanud kohtul tuleb neid asjaolusid kontrollida. |
33 |
Nagu selgub Euroopa Kohtule esitatud toimikust, seisneb põhikohtuasjas kõne all olev töötlemine põhiosas selles, et Facebook paigutab fännilehte külastanud isikute arvutisse või muusse seadmesse küpsised, mille eesmärk on salvestada veebilehitsejates andmeid ja mis jäävad aktiivseks kaheks aastaks, juhul kui neid ei kustutata. Toimikust ilmneb ka, et praktikas saab, salvestab ja töötleb Facebook küpsistes talletatud teavet eelkõige siis, kui isik kasutab „Facebooki teenuseid, teiste Facebooki kontserni kuuluvate äriühingute pakutavaid teenuseid ja Facebooki teenuseid kasutavate muude ettevõtjate poolt pakutavaid teenuseid“. Lisaks võivad ka muud üksused, näiteks Facebooki koostööpartnerid või isegi kolmandad isikud „kasutada Facebooki teenuste puhul küpsiseid, et [pakkuda teenuseid otse sellele suhtlusvõrgustikule] või Facebookis reklaami avaldavatele ettevõtjatele“. |
34 |
Sellise isikuandmete töötlemise eesmärk on eelkõige võimaldada ühest küljest Facebookil parandada tema poolt oma võrgustikus levitatava reklaami süsteemi ja teisest küljest fännilehe haldajal saada Facebooki poolt selle lehe külastuste põhjal koostatud statistikat, et juhtida selle abil oma tegevuse müügiedendust, sest see statistika võimaldab tal näiteks teada saada, milline on nende külastajate profiil, kellele tema fännileht meeldib või kes kasutavad tema rakendusi, et ta saaks neile asjakohasemat sisu pakkuda ja arendada funktsioone, mis võivad külastajatele veelgi enam huvi pakkuda. |
35 |
Samas, kuigi ainuüksi sellise suhtlusvõrgustiku nagu Facebook kasutamine ei muuda Facebooki kasutajat kaasvastutavaks isikuandmete töötlemise eest selle võrgustiku poolt, tuleb teisalt märkida, et Facebookis majutatava fännilehe haldaja annab sellise lehe loomisega Facebookile võimaluse paigutada küpsiseid tema fännilehte külastanud isiku arvutisse või muusse seadmesse, olenemata sellest, kas sellel isikul on või ei ole Facebooki kontot. |
36 |
Selles raamistikus ilmneb Euroopa Kohtule esitatud teabest, et Facebookis majutatava fännilehe loomisel peab fännilehe haldaja määrama lähtuvalt oma sihtgrupist ja oma tegevuse juhtimise või müügiedenduse eesmärkidest fännilehe seaded, mis mõjutavad isikuandmete töötlemist fännilehe külastuste põhjal koostatava statistika tarbeks. Fännilehe haldaja võib Facebooki poolt tema kasutusse antud filtrite abil määrata kindlaks selle statistika koostamise aluseks olevad kriteeriumid ja isegi piiritleda isikute kategooriad, kelle isikuandmeid Facebook töötlema hakkab. Järelikult aitab Facebookis majutatava fännilehe haldaja kaasa oma lehe külastajate isikuandmete töötlemisele. |
37 |
Täpsemalt võib fännilehe haldaja nõuda, et talle antaks – ja seega töödeldaks – demograafilisi andmeid tema sihtrühma kohta, eelkõige vanuse, soo, suhtestaatuse ja töö tendentside, sihtrühma elustiili ja huvide kohta ning teavet fännilehe külastajate ostude ja ostukäitumise kohta veebis, neile kõige enam huvi pakkuvate toote- või teenusekategooriate kohta ning geograafilisi andmeid, mille järgi saab fännilehe haldaja teada, kus teha erikampaaniaid või korraldada üritusi, ja üldisemalt, kuidas oma teabepakkumist paremini suunata. |
38 |
Kuigi Facebooki koostatud kasutajastatistikat edastatakse fännilehe haldajale ainult anonüümseks muudetud kujul, ei muuda see tõsiasja, et selle statistika koostamine põhineb fännilehe külastajate isikuandmete eelneval kogumisel Facebooki poolt nende külastajate arvutisse või muusse seadmesse paigutatud küpsiste abil ja nende andmete töötlemisel statistika koostamiseks. Igal juhul ei nõua direktiiv 95/46 juhul, kui sama töötlemise eest kaasvastutab mitu töötlejat, et igaühel neist oleks juurdepääs asjasse puutuvatele isikuandmetele. |
39 |
Neil asjaoludel tuleb asuda seisukohale, et selline Facebookis majutatava fännilehe haldaja nagu Wirtschaftsakademie osaleb seeläbi, et ta seadistab fännilehe lähtuvalt oma sihtrühmast ja oma tegevuse juhtimise või müügiedenduse eesmärkidest, oma fännilehe külastajate isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises. Seetõttu tuleb see haldaja käesoleval juhul lugeda koos Facebook Irelandiga selle töötlemise eest liidus vastutavaks direktiivi 95/46 artikli 2 punkti d tähenduses. |
40 |
Asjaolu, et fännilehe haldaja kasutab Facebooki pakutavat platvormi, et saada kasu selle juurde kuuluvatest teenustest, ei vabasta teda nimelt isikuandmete kaitse kohustustest. |
41 |
Siinkohal tuleb rõhutada, et Facebookis majutatavaid fännilehti võivad külastada ka isikud, kes ei ole Facebooki kasutajad ja kellel seega ei ole selles suhtlusvõrgustikus kontot. Sellisel juhul on fännilehe haldaja vastutus seoses nende isikute isikuandmete töötlemisega veelgi olulisem, kuna ainuüksi fännilehega tutvumine külastajate poolt toob automaatselt kaasa nende isikuandmete töötlemise. |
42 |
Neil asjaoludel aitab see, kui tunnistada suhtlusvõrgustiku haldaja ja selles võrgustikus majutatava fännilehe haldaja kaasvastutavaks selle fännilehe külastajate isikuandmete töötlemise eest, tagada fännilehte külastavate isikute õiguste täielikuma kaitse vastavalt direktiivi 95/46 nõuetele. |
43 |
Samas tuleb täpsustada, et nagu märkis kohtujurist oma ettepaneku punktides 75 ja 76, ei tähenda kaasvastutuse olemasolu tingimata, et isikuandmete töötlemisse kaasatud erinevad ettevõtjad vastutavad võrdselt. Vastupidi, need ettevõtjad võivad olla isikuandmete töötlemisse kaasatud eri etappides ja erineval määral, mistõttu tuleb neist igaühe vastutust hinnata juhtumi kõiki tähtsust omavaid asjaolusid arvesse võttes. |
44 |
Eeltoodud kaalutlusi arvestades tuleb esimesele ja teisele küsimusele vastata, et direktiivi 95/46 artikli 2 punkti d tuleb tõlgendada nii, et suhtlusvõrgustikus majutatava fännilehe haldaja kuulub mõiste „vastutav töötleja“ alla selle sätte tähenduses. |
Kolmas ja neljas küsimus
45 |
Kolmanda ja neljanda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikleid 4 ja 28 tuleb tõlgendada nii, et kui väljaspool liitu asutatud ettevõtjal on erinevates liikmesriikides mitu üksust, on ühe liikmesriigi järelevalveasutusel õigus kasutada talle selle direktiivi artikli 28 lõikega 3 antud volitusi ka selle liikmesriigi territooriumil asuva üksuse suhtes, olgugi et ühest küljest vastavalt kontsernisisesele ülesannete jaotusele on see üksus vastutav üksnes reklaamipinna müügi ja muu turundustegevuse eest selle liikmesriigi territooriumil, ning teisest küljest on isikuandmete kogumise ja töötlemise eest kogu liidu territooriumil ainuvastutav teises liikmesriigis asuv üksus, või peab viimati nimetatud üksuse üle järelevalvet teostama viimati nimetatud liikmesriigi järelevalveasutus. |
46 |
ULD ja Itaalia valitsus kahtlevad nende küsimuste vastuvõetavuses, leides et need ei ole põhikohtuasja lahenduse seisukohalt asjakohased. Nad märgivad, et vaidlustatud otsuse adressaat on Wirtschaftsakademie ja see ei ole seega suunatud Facebook Inc‑ile ega tema ühelegi liidu territooriumil asuvale tütarettevõtjale. |
47 |
Selle kohta tuleb meelde tuletada, et ELTL artiklis 267 sätestatud Euroopa Kohtu ja liikmesriikide kohtute koostöö raames on üksnes asja menetleval ja selle lahendamise eest vastutaval liikmesriigi kohtul õigus kohtuasja eripära arvesse võttes hinnata nii eelotsusetaotluse vajalikkust asjas otsuse langetamiseks kui ka Euroopa Kohtule esitatavate küsimuste asjakohasust. Seega, kui küsimused on esitatud liidu õiguse tõlgendamise kohta, on Euroopa Kohus üldjuhul kohustatud otsuse tegema (6. septembri 2016. aasta kohtuotsus Petruhhin, C‑182/15, EU:C:2016:630, punkt 19 ja seal viidatud kohtupraktika). |
48 |
Käesoleval juhul tuleb märkida, et eelotsusetaotluse esitanud kohtu sõnul on tal Euroopa Kohtu vastust kolmandale ja neljandale eelotsuse küsimusele vaja põhikohtuasja vaidluse lahendamiseks. Ta selgitab nimelt, et kui seda vastust arvestades tuvastatakse, et ULD saab kõrvaldada õiguse isikuandmete kaitsele väidetava rikkumise, võttes meetme Facebook Germany vastu, siis võib selline asjaolu tähendada, et vaidlustatud otsuses on tehtud hindamisviga, kuna see on tehtud ebaõigesti Wirtschaftsakademie suhtes. |
49 |
Neil asjaoludel on kolmas ja neljas küsimus vastuvõetavad. |
50 |
Nendele küsimustele vastamiseks tuleb sissejuhatuseks meelde tuletada, et direktiivi 95/46 artikli 28 lõigete 1 ja 3 kohaselt kasutab iga järelevalveasutus oma liikmesriigi territooriumil kõiki talle selle liikmesriigi õigusega antud volitusi, et tagada sellel territooriumil andmekaitsealaste eeskirjade järgimine (vt selle kohta 1. oktoobri 2015. aasta kohtuotsus Weltimmo, C‑230/14, EU:C:2015:639, punkt 51). |
51 |
Küsimust, millise liikmesriigi õigus on isikuandmete töötlemisele kohaldatav, reguleerib direktiivi 95/46 artikkel 4. Vastavalt selle artikli lõike 1 punktile a kohaldab iga liikmesriik isikuandmete töötlemise suhtes selle direktiivi kohaselt vastuvõetud riigisiseseid õigusnorme, kui töötlemine toimub selle liikmesriigi territooriumil paikneva vastutava töötleja üksuse tegevuse raames. Selles sättes on täpsustatud, et kui sama vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, peab ta võtma vajalikke meetmeid tagamaks, et kõik kõnealused üksused järgivad kohaldatavates riigisisestes õigusnormides sätestatud kohustusi. |
52 |
Sellest sättest koostoimes direktiivi 95/46 artikli 28 lõigetega 1 ja 3 tuleneb seega, et kui järelevalveasutuse liikmesriigi sisene õigus on kohaldatav direktiivi artikli 4 lõike 1 punkti a alusel, sest kõnealune töötlemine toimub liikmesriigi territooriumil paikneva vastutava töötleja üksuse tegevuse raames, siis võib see järelevalveasutus kasutada kõiki volitusi, mis talle on selle üksuse suhtes antud, ja seda olenemata küsimusest, kas vastutaval töötlejal on üksusi ka teistes liikmesriikides. |
53 |
Seega tuleb selleks, et kindlaks teha, kas järelevalveasutusel on sellistel asjaoludel nagu põhikohtuasjas õigus kasutada tema asukohajärgses liikmesriigis asuva üksuse suhtes talle liikmesriigi õigusega antud volitusi, kontrollida, kas täidetud on kaks direktiivi 96/46 artikli 4 lõike 1 punktis a ette nähtud tingimust ehk esiteks tingimus, et tegemist on „vastutava töötleja üksusega“ selle sätte tähenduses, ja teiseks, et see töötlemine toimub selle üksuse „tegevuse raames“ sama sätte tähenduses. |
54 |
Mis esiteks puudutab tingimust, et isikuandmete vastutaval töötlejal peab järelevalveasutuse asukoha liikmesriigi territooriumil olema üksus, siis tuleb meelde tuletada, et direktiivi 95/46 põhjenduse 19 kohaselt eeldab üksuse registreerimine liikmesriigi territooriumil tõelist ja tegelikku tegutsemist ning stabiilset asukohta, ning et selles suhtes ei ole määrav asutatud üksuse õiguslik vorm ehk kas tegemist on filiaali või õigusvõimelise tütarettevõtjaga (1. oktoobri 2015. aasta kohtuotsus Weltimmo, C‑230/14, EU:C:2015:639, punkt 28 ja seal viidatud kohtupraktika). |
55 |
Käesoleval juhul ei ole vaidlust selles, et Facebook Inc‑il kui isikuandmete vastutaval töötlejal on koos Facebook Irelandiga Saksamaal Hamburgis asuv püsiv üksus Facebook Germany ja viimati nimetatud äriühing tegutseb selles liikmesriigis tegelikult ja tõeliselt. Ta on seega üksus direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses. |
56 |
Mis teiseks puudutab tingimust, et isikuandmete töötlemine peab toimuma asjaomase üksuse „tegevuse raames“, siis tuleb kõigepealt meelde tuletada, et arvestades direktiiviga 95/46 taotletavat eesmärki tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste ning eelkõige nende eraelu puutumatuse tõhus ja täielik kaitse, ei või väljendit „üksuse tegevuse raames“ tõlgendada kitsalt (1. oktoobri 2015. aasta kohtuotsus Weltimmo, C‑230/14, EU:C:2015:639, punkt 25 ja seal viidatud kohtupraktika). |
57 |
Järgmiseks tuleb rõhutada, et direktiivi 95/46 artikli 4 lõike 1 punkt a ei nõua, et kõnealuseid isikuandmeid töötleks asjaomane üksus ise, vaid üksnes, et see toimuks tema „tegevuse raames“ (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 52). |
58 |
Käesoleval juhul ilmneb nii eelotsusetaotlusest kui ka Facebook Irelandi kirjalikest seisukohtadest, et Facebook Germany on vastutav reklaamipindade müügiedenduse ja müügi eest ning tema tegevus on suunatud Saksamaal elavatele isikutele. |
59 |
Nagu meenutatud käesoleva kohtuotsuse punktides 33 ja 34, on põhikohtuasjas vaidluse all olev isikuandmete töötlemise – mida teostab Facebook Inc. koos Facebook Irelandiga ja mis seisneb selliste andmete kogumises küpsiste abil, mis paigutatakse Facebookis majutatavate fännilehtede külastajate arvutitesse või muudesse seadmetesse – eesmärk eelkõige võimaldada sellel suhtlusvõrgustikul arendada oma reklaamisüsteemi, et oma levitatavaid teateid paremini suunata. |
60 |
Samas tuleb nõustuda kohtujuristiga, kes märkis oma ettepaneku punktis 94, et võttes ühest küljest arvesse, et suur hulk sellise suhtlusvõrgustiku nagu Facebook tulust teenitakse reklaamiga, mis paigutatakse kasutajate loodud ja nende külastatavatele veebisaitidele, ja teisest küljest, et Saksamaal asuv Facebooki üksus on vastutav Facebooki teenuseid kasumlikumaks muutva reklaamipinna edendamise ja müügi eest selles liikmesriigis, siis tuleb selle üksuse tegevus lugeda lahutamatult seotuks põhikohtuasjas vaidluse all oleva isikuandmete töötlemisega, mille eest Facebook Inc. vastutab koos Facebook Irelandiga. Seetõttu tuleb seda töötlemist käsitada töötlemise eest vastutava üksuse tegevuse raames toimuvana direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punktid 55 ja 56). |
61 |
Sellest järeldub, et kuna põhikohtuasjas vaidluse all olevale isikuandmete töötlemisele on vastavalt direktiivi 95/46 artikli 4 lõike 1 punktile a kohaldatav Saksa õigus, siis oli Saksamaa järelevalveasutus selle direktiivi artikli 28 lõike 1 järgi pädev seda õigust nimetatud töötlemisele kohaldama. |
62 |
Seetõttu oli see järelevalveasutus pädev kasutama isikuandmete kaitse eeskirjade järgimise tagamiseks Saksamaa territooriumil Facebook Germany suhtes kõiki volitusi, mis tal on direktiivi 95/46 artikli 28 lõike 3 üle võtnud riigisiseste õigusnormide alusel. |
63 |
Tuleb veel täpsustada, et eelotsusetaotluse esitanud kohtu kolmandas küsimuses esile toodud asjaolu, et strateegilised otsused liidu territooriumil elavate isikute isikuandmete kogumise ja töötlemise kohta teeb kolmandas riigis asuv emaettevõtja, nagu käesoleval juhul Facebook Inc., ei sea kahtluse alla liikmesriigis asuva järelevalveasutuse pädevust samas liikmesriigis asuva üksuse suhtes, kes vastutab nende andmete töötlemise eest. |
64 |
Eelnevat arvestades tuleb kolmandale ja neljandale küsimusele vastata, et direktiivi 95/46 artikleid 4 ja 28 tuleb tõlgendada nii, et kui väljaspool liitu asutatud ettevõtjal on erinevates liikmesriikides mitu üksust, on ühe liikmesriigi järelevalveasutusel õigus kasutada talle selle direktiivi artikli 28 lõikega 3 antud volitusi selle ettevõtja üksuse suhtes, mis asub nimetatud liikmesriigi territooriumil, olgugi et vastavalt kontsernisisesele ülesannete jaotusele on see üksus vastutav üksnes reklaamipinna müügi ja muu turundustegevuse eest selle liikmesriigi territooriumil, samal ajal kui isikuandmete kogumise ja töötlemise eest on kogu liidu territooriumil ainuvastutav teises liikmesriigis asuv üksus. |
Viies ja kuues küsimus
65 |
Viienda ja kuuenda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi järelevalveasutus soovib selle liikmesriigi territooriumil asuva üksuse suhtes kasutada talle selle direktiivi artikli 28 lõikega 3 antud sekkumisvolitusi isikuandmete kaitse eeskirjade rikkumise tõttu, mille on toime pannud nende andmete töötlemise eest vastutav teises liikmesriigis asuv kolmas isik, siis on see järelevalveasutus sõltumata teise liikmesriigi järelevalveasutusest pädev hindama sellise andmetöötluse seaduslikkust ja võib oma tema territooriumil asuva üksuse suhtes kasutada oma sekkumisvolitusi, ilma et ta peaks eelnevalt paluma teise liikmesriigi järelevalveasutusel sekkuda. |
66 |
Neile küsimustele vastamiseks tuleb meelde tuletada, et nagu nähtub esimesele ja teisele eelotsuse küsimusele antud vastusest, tuleb direktiivi 95/46 artikli 2 punkti d tõlgendada nii, et selle sätte alusel saab põhikohtuasjas kõne all olevatel asjaoludel isikuandmete kaitse eeskirjade rikkumise eest vastutavaks lugeda sellise üksuse nagu Wirtschaftsakademie kui Facebookis majutatava fännilehe haldaja. |
67 |
Sellest järeldub, et direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõigete 1 ja 3 kohaselt on selle liikmesriigi järelevalveasutus, kelle territooriumil kõnealune üksus asub, pädev kohaldama oma liikmesriigi õigust ning seega kasutama selle üksuse suhtes kõiki volitusi, mis talle liikmesriigi õigusega on selle direktiivi artikli 28 lõike 3 alusel antud. |
68 |
Nagu on ette nähtud selle direktiivi artikli 28 lõike 1 teises lõigus, tegutsevad järelevalveasutused, kelle ülesanne on teostada liikmesriigi territooriumil kontrolli direktiivi ülevõtmiseks vastuvõetud sätete kohaldamise üle, neile usaldatud ülesannete täitmisel täiesti sõltumatult. See nõue tuleneb ka liidu esmasest õigusest, eelkõige Euroopa Liidu põhiõiguste harta artikli 8 lõikest 3 ja ELTL artikli 16 lõikest 2 (vt selle kohta 6. oktoobri 2015. aasta kohtuotsus Schrems, C‑362/14, EU:C:2015:650, punkt 40). |
69 |
Lisaks, kuigi järelevalveasutused teevad direktiivi 95/46 artikli 28 lõike 6 teise lõigu kohaselt üksteisega koostööd niivõrd, kui see on vajalik nende ülesannete täitmiseks, eelkõige vahetades kasulikku teavet, ei ole selles direktiivis ette nähtud ühtegi kriteeriumi, mis annaks ühele järelevalveasutusele sekkumiseks eelisõiguse teise järelevalveasutuse ees, ja sellega ei panda järelevalveasutusele kohustust nõustuda teise liikmesriigi järelevalveasutuse avaldatud seisukohaga. |
70 |
Seega ei kohusta miski liikmesriigi järelevalveasutust, kellele on pädevus antud tema liikmesriigi õiguse alusel, kasutama sama lahendust kui teine järelevalveasutus sarnases olukorras. |
71 |
Selle kohta tuleb meelde tuletada, et kuna põhiõiguste harta artikli 8 lõike 3 ja direktiivi 95/46 artikli 28 kohaselt on liikmesriigi järelevalveasutuste ülesanne kontrollida füüsiliste isikute kaitset reguleerivate liidu õigusnormide järgimist isikuandmete töötlemisel, on igal sellisel asutusel seega pädevus kindlaks teha, kas isikuandmete töötlemine tema asukoha liikmesriigis toimub direktiiviga 95/46 kehtestatud nõuete kohaselt (vt selle kohta 6. oktoobri 2015. aasta kohtuotsus Schrems, C‑362/14, EU:C:2015:650, punkt 47). |
72 |
Kuna direktiivi 95/46 artikkel 28 on sellist laadi, et see on kohaldatav isikuandmete mis tahes töötlemisele isegi teise liikmesriigi järelevalveasutuse otsuse olemasolu korral, peab liikmesriigi järelevalveasutustel, kellele isik on esitanud avalduse oma õiguste ja vabaduste kaitse kohta seoses tema isikuandmete töötlemisega, olema võimalik täiesti sõltumatult analüüsida, kas nende andmete töötlemine vastab mainitud direktiiviga kehtestatud nõuetele (vt selle kohta 6. oktoobri 2015. aasta kohtuotsus Schrems, C‑362/14, EU:C:2015:650, punkt 57). |
73 |
Sellest järeldub, et käesoleval juhul oli ULD‑l direktiiviga 95/46 loodud süsteemi alusel õigus hinnata põhikohtuasjas vaidluse all oleva andmetöötluse seaduslikkust Iiri järelevalveasutuse hinnangutest sõltumatult. |
74 |
Seetõttu tuleb viiendale ja kuuendale küsimusele vastata, et direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi järelevalveasutus soovib selle liikmesriigi territooriumil asuva üksuse suhtes kasutada talle selle direktiivi artikli 28 lõikega 3 antud sekkumisvolitusi isikuandmete kaitse eeskirjade rikkumise tõttu, mille on toime pannud nende andmete töötlemise eest vastutav teises liikmesriigis asuv kolmas isik, siis on see järelevalveasutus sõltumata teise liikmesriigi järelevalveasutusest pädev hindama sellise andmetöötluse seaduslikkust ja ta võib oma liikmesriigi territooriumil asuva üksuse suhtes kasutada oma sekkumisvolitusi, ilma et ta peaks eelnevalt paluma teise liikmesriigi järelevalveasutusel sekkuda. |
Kohtukulud
75 |
Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulud, välja arvatud poolte kohtukulud, ei ole hüvitatavad. |
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab: |
|
|
|
Allkirjad |
( *1 ) Kohtumenetluse keel: saksa.