1. 

Tribunalul Bucureşti (Bukaresti esimese astme kohus, Rumeenia) käesolev eelotsusetaotlus tuleneb telekommunikatsiooniteenuste osutaja ja riikliku andmekaitseasutuse vahelisest vaidlusest, mis puudutab kliendiga peetavates lepingulistes läbirääkimistes teenuseosutaja kohustusi seoses isikutunnistuse koopia kopeerimise ja säilitamisega.

2. 

See annab Euroopa Kohtule võimaluse täpsustada andmesubjekti „nõusoleku“ mõistet, mis on ELi andmekaitseõiguse keskne osa, olles juurdunud põhiõiguses andmekaitsele. Selles kontekstis peaks Euroopa Kohus käsitlema ka tõendamiskohustuse küsimust andmesubjekti nõusoleku andmisel.

3.

Direktiivi 95/46/EÜ ( 2 ) artikli 2 punkti h määratluse kohaselt on „andmesubjekti nõusolek“ kõnealuse direktiivi tähenduses „iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid“.

4.

Selle direktiivi II peatükis käsitletakse üldiseid eeskirju isikuandmete töötlemise seaduslikkuse kohta.

5.

Sama direktiivi artikkel 6 „Põhimõtted andmete kvaliteedi kohta“ ( 3 ) on sõnastatud järgmiselt:

„1.   Liikmesriigid sätestavad selle, et

[…]

2.   Lõike 1 järgimise tagab vastutav töötleja.“

6.

Direktiivi 95/46 artiklis 7 käsitletakse andmetöötluse seaduslikkuse kriteeriume. ( 4 ) Selles sättes on nähtud ette:

„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:

[…]“.

7.

Määruse (EL) 2016/679 ( 5 ) artikli 4 punkti 11 kohaselt tähendab „andmesubjekti nõusolek“ selle määruse tähenduses vabatahtlikku, konkreetset, teadlikku ja ühemõttelist tahteavaldust, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.

8.

Selle määruse artikli 6 lõike 1 punktid a ja b on sõnastatud järgmiselt:

„Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

9.

Sama määruse artikli 7 lõikes 1 on sätestatud, et „kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega“.

10.

Seadusega nr 677/2001 isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (Legea nr 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date; edaspidi „seadus nr 677/2001“) ( 6 ) sätestatakse direktiivi 95/46 sätete ülevõtmine riigisisesesse õigusesse.

11.

Selle seaduse artiklis 32 on sätestatud:

„Kui isikuandmete töötlemisel vastutava töötleja või tema volitatud isiku poolt on rikutud artikleid 4–10 või eiratud artiklites 12–15 või artiklis 17 sätestatud õigusi, on tegemist haldusrikkumisega, kui toimepandud teol ei ole kuriteo tunnuseid, ja selle eest karistatakse rahatrahviga 10000000 vanast leust [1000 Rumeenia leud (RON)] kuni 250000000 vana leuni [25000 Rumeenia leud]“.

12.

Orange România SA on mobiilsideteenuste osutaja Rumeenia turul, osutades teenuseid nii PrePay süsteemi ( 7 ) alusel kui ka vastavalt teenuse osutamiseks sõlmitud lepingule ( 8 ).

13.

28. märtsil 2018 väljastas Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Rumeenia isikuandmete töötlemise riiklik järelevalveasutus, edaspidi „ANSPDCP“) seaduse nr 677/2001 artikli 32 alusel ja koostoimes sama seaduse artikliga 8 aruande, mis sisaldas Orange România suhtes haldustrahvi määramist põhjusel, et tema klientide isikut tõendavatest dokumentidest olid tehtud koopiad ja neid säilitati, ilma et kliendid oleks andnud selleks sõnaselge nõusoleku.

14.

Sellega seoses märkis ANSPDCP, et Orange Romania oli sõlminud äriruumides füüsilisest isikust klientidega paberkandjal mobiilsideteenuste osutamise lepingud ja nendele lepingutele olid lisatud klientide isikut tõendavate dokumentide koopiad. Kõnealuste lepingute sisu hõlmas muu hulgas avaldust selle kohta, et klienti oli koopiate kogumisest ja säilitamisest (Orange România poolt) teavitatud ja nad olid selleks andnud nõusoleku ning et klientide nõusoleku olemasolu jäädvustati lepingut tõendava kirjaliku dokumentatsiooni märkeruutu tehtud ristikese abil.

15.

Kõnealuste lepingute asjakohane lõik on järgmine:

– „Klient avaldab, et:

16.

ANSPDCP väitel ei ole Orange România suutnud tõendada, et kliendid tegid teadliku valiku nende isikusamasust tõendavate dokumentide koopiate kogumise ja säilitamise kohta.

17.

Orange România esitas 28. märtsil 2018 eelotsusetaotluse esitanud kohtule trahvi vaidlustamiseks kaebuse.

18.

Eelotsusetaotluse esitanud kohtu järelduste kohaselt on olemas lepingud, kus kliendi poolt isikut tõendava dokumendi koopia säilitamise suhtes vabalt väljendatud valik tuleneb märkeruutu risti lisamisest, ent esineb ka vastupidiseid juhtumeid, kus kliendid on keeldunud sellist nõusolekut väljendamast. Orange România sisemistest müügireeglitest nähtub, et viimastel juhtudel esitas Orange România vajaliku teabe kliendi keeldumise kohta säilitada tema isikut tõendava dokumendi koopia, täites selleks erivormi ja sõlmides seejärel lepingu. Seega, vaatamata Orange România üldtingimustes sisalduvatele märkustele, ei keeldunud Orange România klientidega liitumislepingu sõlmimisest, isegi kui kliendid keeldusid andmast nõusolekut oma isikutunnistuse koopia säilitamiseks.

19.

Eelotsusetaotluse esitanud kohus leiab, et nendel asjaoludel on eriti oluline, et Euroopa Kohus otsustaks kriteeriumide üle, mille alusel määratakse kindlaks, kas nõusolek on „konkreetne“ ja „teadlik“, ning vajaduse korral selliste lepingute, nagu on kõne all põhikohtuasjas, allkirjastamise tõendusjõu üle.

20.

Neil asjaoludel esitas Tribunalul Bucureşti (Bukaresti esimese astme kohus, Rumeenia) 14. novembri 2018. aasta määrusega, mis saabus Euroopa Kohtusse 29. jaanuaril 2019, järgmised eelotsuse küsimused:

21.

Kirjalikud seisukohad esitasid põhikohtuasja pooled, Rumeenia, Itaalia, Austria ja Portugali valitsus ning Euroopa Komisjon. 11. detsembril 2019. aastal toimunud kohtuistungil olid esindatud Orange România, Rumeenia valitsus ja Euroopa Komisjon.

22.

Käesoleval juhul palutakse Euroopa Kohtul täpsustada tingimused, mille korral võib nõusolekut isikuandmete töötlemiseks pidada kehtivaks.

23.

Alates 25. maist 2018 kohaldatava määrusega 2016/679 asendati ( 9 ) alates nimetatud kuupäevast direktiiv 95/46. ( 10 )

24.

Põhikohtuasjas kõne all olev ANSPDCP otsus võeti vastu 28. märtsil 2018, st enne kuupäeva, mil hakati kohaldama määrust 2016/679. Sellegipoolest ei määranud ANSPDCP üksnes Orange Româniale trahvi, vaid nõudis ka vaidlusaluste isikut tõendavate dokumentide koopiate hävitamist. Põhikohtuasja vaidlus on seotud ka nimetatud viimase ettekirjutusega. See ettekirjutus avaldab mõju tulevikus, mistõttu näib asjaomane määrus olevat ratione temporis kohaldatav.

25.

Järelikult tuleb eelotsuse küsimustele vastata, võttes arvesse nii direktiivi 95/46 kui ka määrust 2016/679. ( 11 ) Lisaks tuleb nimetatud määrust võtta arvesse direktiivi 95/46 sätete analüüsimisel. ( 12 )

26.

Eelotsusetaotluse esitanud kohtu kaks küsimust on sõnastatud liiga üldiselt ja abstraktselt ning neid tuleb mõnevõrra kohandada, et viia need vastavusse põhikohtuasja asjaoludega, selleks et suunata eelotsusetaotluse esitanud kohut ja anda küsimustele tarvilikud vastused. Sel eesmärgil pean oluliseks lühidalt rõhutada põhikohtuasja asjaolusid, nagu need nähtuvad eelotsusetaotluse esitanud kohtu määrusest ja menetlusosaliste eelkõige kohtuistungi raames esitatust.

27.

Rumeenia riiklik andmekaitseasutus ANSPDCP trahvis Orange Româniat klientide isikut tõendavate dokumentide koopiate kogumise ja säilitamise eest ilma nende nõusolekuta. Asjaomane ametiasutus leidis, et äriühing oli sõlminud mobiilsideteenuste osutamise lepingud ja nendele lepingutele olid lisatud isikut tõendavate dokumentide koopiad. Väidetavalt nähti asjaomastes lepingutes ette, et kliente on teavitatud ja nad on andnud nõusoleku nimetatud koopiate kogumiseks ja säilitamiseks, mida tõendab lepingutingimustes märkeruutu ristikese lisamine. ANSPDCP järelduste kohaselt ei ole Orange România aga esitanud tõendeid selle kohta, et lepingute sõlmimise ajal olid asjaomased kliendid nimetatud koopiate kogumise ja säilitamise teadlikult valinud.

28.

Kui Orange România esindaja nõustab Orange Româniaga lepingulist suhet sõlmida soovivat isikut konkreetse lepingu sätete osas, siis tegutseb asjaomane töötaja tavaliselt arvutis lepinguvormi alusel, mis sisaldab märkeruutu isikut tõendavate dokumentide säilitamise jaoks nõusoleku andmiseks. Klienti nähtavasti teavitatakse sellest, et märkeruutu ei pea tegema ristikest. Kui klient ei ole nõus tema isikut tõendava dokumendi kopeerimise ja säilitamisega, peab ta selle dokumenteerima lepingus ja käsitsi kirjutatuna. Nimetatud käsitsi kirjutamise nõue näib tulenevat Orange România sisemistest müügireeglitest. Lisaks sellele teavitatakse klienti, et ta võib nõusoleku andmisest keelduda, ent seda tehakse üksnes suuliselt ja mitte kirjalikus vormis.

29.

Seda arvesse võttes mõistan ma neid kaht küsimust, mida tuleb uurida koos, sest eelotsusetaotluse esitanud kohus soovib teada saada, kas andmesubjekt, kes kavatseb astuda ettevõtjaga lepingulisse suhtesse telekommunikatsiooniteenuste osutamiseks, annab oma „konkreetse ja teadliku“ ning „vabatahtliku“ nõusoleku direktiivi 95/46 artikli 2 punkti h ja määruse 2016/679 artikli 4 punkti 11 tähenduses asjaomasele ettevõtjale, kui ta peab käsitsi kirjutades muus suhtes standardses lepingus kinnitama, et ta keeldub andmast nõusolekut tema isikut tõendavate dokumentide kopeerimiseks ja säilitamiseks.

30.

Sellega seoses näib eelotsusetaotluse esitanud kohus vajavat juhiseid asjaomase ettevõtja tõendamiskohustuse ja tõendamisnõuete kohta.

31.

Kõnealune juhtum on seotud isikuandmete töötlemisega telekommunikatsiooniteenuste osutamise lepingu sõlmimisel.

32.

Isikuandmete töötlemine tervikuna peab ( 13 ) esiteks olema kooskõlas direktiivi 95/46 artiklis 6 või määruse 2016/679 artiklis 5 sätestatud andmete kvaliteediga seotud põhimõtetega ja teiseks ühega andmete töötlemise seaduslikkust reguleerivatest kriteeriumidest, mis on loetletud asjaomase direktiivi artiklis 7 või asjaomase määruse artiklis 6. ( 14 ) Nagu märgib komisjon, on direktiivi 95/46 artiklis 7 sätestatud kuus kriteeriumi tegelikkuses asjaomase direktiivi artikli 6 lõike 1 punktis a sätestatud laiema põhimõtte väljendus, millega nähakse ette, et isikuandmeid tuleb töödelda õiglaselt ja seaduslikult.

33.

Direktiivi 95/46 artikkel 7 näeb ette ammendava loetelu juhtudest, millal isikuandmete töötlemist võib pidada seaduslikuks. ( 15 ) Isikuandmete töötlemine võib toimuda üksnes juhul, kui vähemalt üks kuuest andmete töötlemise seaduslikkusega seotud kriteeriumist on täidetud. Andmesubjekti ühemõttelise nõusoleku olemasolu on üks neist kriteeriumidest.

34.

Andmesubjekti nõusolek on direktiivi 95/46 artikli 2 punkti h määratluse kohaselt iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid.

35.

See sõnastus vastab suuresti ( 16 ) määruse 2016/679 artikli 4 punkti 11 sõnastusele, mille kohaselt tähendab andmesubjekti nõusolek vabatahtlikku, konkreetset, teadlikku ja ühemõttelist tahteavaldust, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega. ( 17 )

36.

Andmesubjekti nõusoleku nõue on ELi andmekaitseõiguse keskne osa. ( 18 ) See on hõlmatud Euroopa Liidu põhiõiguste hartaga, mille artiklis 8 on sätestatud, et andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ette nähtud õiguslikul alusel. Laiemas kontekstis võimaldab nõusoleku mõiste asjaomasel andmesubjektil otsustada ise, kas tema isikuandmete kaitse õigusele seatud piirangud on õiguspärased. ( 19 )

37.

ELi andmekaitseõiguse aluspõhimõte hõlmab sellise isiku iseseisvat otsust, kes on võimeline tegema valikud oma andmete kasutamise ja töötlemise kohta. ( 20 ) Just nõusoleku nõue võimaldab tal seda valikut teha ja samas kaitseb teda olukordades, mis on oma olemuselt asümmeetrilised. ( 21 ) Üksnes siis, kui nõusolek antakse vabalt, konkreetselt ja teadlikult, vastab see direktiivi 95/46 ja määruse 2016/679 kriteeriumile.

38.

Nende sätete sõnastuse ilmse erinevuse kohta tuleb praeguses etapis esitada veel kolm lühikest märkust.

39.

Esiteks osutab määruse 2016/679 artikli 4 punkt 11 vastupidi direktiivi 95/46 artikli 2 punktile h „ühemõttelisele“ tahteavaldusele. Ma väidan, et selle põhjus on üsna lihtne: nimetatud direktiivi artikli 7 punktis a, mis käsitleb andmete töötlemise seaduslikkuse kriteeriume, millele on osutatud eespool, nõutakse, et andmesubjekt peab andma „ühemõttelise“ nõusoleku, samas kui määruse 2016/679 vastav säte – artikli 6 lõige 1 punkt a – ei sisalda seda täpsustust. Teisisõnu on see ühemõttelise tahteavalduse kriteerium lihtsalt üle viidud määruse 2016/679 üldisemasse sättesse.

40.

Teiseks täpsustatakse määruse 2016/679 artikli 4 punktis 11, et andmesubjekt väljendab ennast „kas avalduse vormis või selge nõusolekut väljendava tegevusega“. See täpsustus on määruses tõepoolest uus ja sellel puudub direktiivis 95/46 semantiline vaste.

41.

Kolmandaks erineb direktiivi 95/46 prantsuskeelne versioon andmesubjekti nõusoleku „teadliku“ olemuse osas määruse 2016/679 prantsuskeelsest versioonist. Kui direktiivi artikli 2 punktis h on esitatud väljend „manifestation de volonté […] informée“, siis määruse artikli 4 punktis 11 osutatakse väljendile „manifestation de volonté […] eclairée“.

42.

Ma väidan, et asjaomane sõnastuse muudatus tekitab rohkem segadust kui selgitab, sest niivõrd, kui ma seda mõistan, on prantsuskeelne versioon ainus või vähemalt üks vähestest keeleversioonidest, kus esineb selline eristus. Mitmes keeleversioonis, sealhulgas muide teistes romaani keeltes, kasutatakse sellega seoses lihtsalt samu termineid, ( 22 ) samas kui muude keelte versioonides võivad siin esineda väikesed erinevused, mis ei ole siiski nii suured kui prantsuskeelses versioonis. ( 23 )

43.

Tulen tagasi „teadliku“ nõusoleku mõiste juurde allpool.

44.

Andmesubjekti tahte „avaldamise“ nõue viitab selgelt aktiivsele, mitte passiivsele tegevusele ( 24 ) ning eeldab, et andmesubjektil on märkimisväärne vabadus otsustada selle üle, kas ta annab nõusoleku või mitte. ( 25 ) Kui vaatleme konkreetset olukorda, kus oli tegemist veebisaidil toimuva loosimisega, siis leidis Euroopa Kohus, et eeltäidetud märkeruudu kujul antud nõusolek ei saa osutada veebisaidi kasutaja aktiivsele käitumisele. ( 26 )

45.

Minu arvates on selline järeldus võrdselt rakendatav ka analoogses maailmas: eeltäidetud märkeruudu kujul antud nõusolek ei saa tähendada aktiivset nõusolekut isiku poolt, kes on sõlmimas füüsilist dokumenti, mille ta lõpuks allkirjastab. Sellises olukorras ei ole teada, kas asjaomane varem koostatud tekst on läbi loetud ja kas sellest on aru saadud. See olukord ei ole ühemõtteline. Tekst võib, ent ei pruugi olla läbi loetud. Võimalik, et „lugeja“ ei ole seda läbi lugenud üksnes hooletusest, mis ei võimalda lõplikult välja selgitada, kas nõusolek on antud vabatahtlikult. ( 27 )

46.

Ei tohi olla vähimatki kahtlust selles, et andmesubjekti teavitati piisavalt. ( 28 )

47.

Andmesubjekti tuleb teavitada kõikidest andmete töötlemisega seotud asjaoludest ja nende tagajärgedest. Eelkõige peab ta teadma, milliseid andmeid töödeldakse, sellise töötlemise kestust, viisi ja konkreetset eesmärki. Samuti peab ta olema kursis, kes andmeid töötleb ja kas andmeid kavatsetakse edastada kolmandatele isikutele. Teda tuleb tingimata teavitada ka nõusoleku andmisest keeldumise tagajärgedest: kas nõusolek andmete töötlemiseks on lepingu sõlmimise tingimus või mitte? ( 29 )

48.

Meil jääb üle küsida, kelle ülesanne on tõendada, et andmesubjekt oli olukorras, mis võimaldas anda äsja kehtestatud kriteeriumidel põhineva nõusoleku.

49.

Määruse 2016/679 artikli 7 lõige 1 on selge ega jäta kahtlust: kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega ( 30 ). Selle sättega täpsustatakse määruse 2016/679 artikli 5 lõikes 2 kehtestatud vastutuse põhimõtet. Ma väidan, et selle sätte eesmärk eeldab laiaulatuslikku tõlgendamist, sest vastutav töötleja ei pea üksnes tõendama, et andmesubjekt on nõusoleku andnud, vaid ka seda, et kõik tõhususe tingimused on täidetud. ( 31 )

50.

Mõned autorid kahtlevad selles, et määruse 2016/679 artikli 7 lõige 1 käsitleb tõendamiskohustust, osutades asjaomase määruse ettevalmistavatele materjalidele. ( 32 ) Väidetakse, et nii komisjon kui ka Euroopa Parlament pakkusid välja sõnastuse, milles osutati sõnaselgelt „tõendamiskohustusele“, kuid selline sõnastus ei kajastu vastuvõetud tekstis ega seega ka praeguses õiguses.

51.

Seda väidet tasub lähemalt analüüsida.

52.

Komisjoni esialgses ettepanekus ( 33 ) osutatakse tõepoolest vastutaval töötlejal lasuvale „tõendamiskohustusele“. Samuti ei seadnud Euroopa Parlament esimesel lugemisel ( 34 ) seda sõnastust kahtluse alla. Just nõukogu ( 35 ) asendas mõiste „tõendamiskohustus“ väljendiga „peab […] olema võimalik tõendada“, osutades sealjuures vastutavale töötlejale. Seejärel võeti lõplik tekst vastu praegusel kujul.

53.

Ma ei omistaks sellele sõnastuse muudatusele liiga suurt tähtsust. ( 36 ) Ühelgi juhul ei põhjenda nõukogu oma seisukoha põhjendustes sõnastuse kavandatud muudatust. ( 37 ) See näitab, et asjaomane asutus püüdis muuta vaid vaidlusaluse sätte sõnastust, muutmata selle tähendust. Sellest lähtuvalt kirjeldab väljend „peab […] olema võimalik tõendada“ tegelikult paremini, mida tähendab mõiste „tõendamiskohustus“. ( 38 )

54.

Seepärast võime kindlalt eeldada, et määruse 2016/679 artikli 7 lõikega 1 pannakse tõendamiskohustus seoses andmesubjekti antud nõusolekuga tema isikuandmete töötlemiseks vastutavale töötlejale. ( 39 ) Andmesubjekti nõusoleku andmisega seotud kahtluste ümberlükkamiseks tuleb tõendid esitada vastutaval töötlejal. ( 40 ) Tõendamiskohustus, et andmesubjekt on asetatud olukorda, mis võimaldab tal anda vabatahtliku, konkreetse ja teadliku nõusoleku, on üheselt töötlemist teostaval üksusel.

55.

Direktiivi 95/46 kohane õiguslik olukord ei ole selles suhtes erinev.

56.

Isegi kui direktiiv 95/46 ei sisaldanud nõusoleku tingimusi käsitlevat eraldi sätet, mis on võrreldav määruse 2016/679 artikliga 7, on enamik selles artiklis sätestatud tingimusi leitavad ka asjaomases direktiivis. Ehkki tõendamiskohustuse reeglit ei ole selles direktiivis sõnaselgelt sätestatud, tuleneb vähemalt kaudselt selle sättest ( 41 ), et „andmesubjekt on selleks andnud oma ühemõttelise nõusoleku“. ( 42 )

57.

Asun nüüd kohaldama neid põhimõtteid käesolevas asjas.

58.

Sissejuhatava märkusena soovin öelda, et küsimus, kas Orange România võib nõuda oma klientidelt nõusolekut isikut tõendavate dokumentide kopeerimiseks ja säilitamiseks, jääb väljapoole selle juhtumi ulatust, sest asjaomasele ettevõtjale ei ole see lepingu sõlmimise eelduseks. Teisisõnu ei käsitle kõnealune juhtum direktiivi 95/46 artikli 7 punkti b ja määruse 2016/679 artikli 6 lõike 1 punkti b tõlgendamist. Sellegipoolest tundub mulle, et ettevõtja seisukohalt on õiguspärane paluda klientidel esitada mõned isikuandmed ja eelkõige lepingu sõlmimisel tõendada oma isikusamasust. Samas näib, et kliendi nõusoleku nõudmine isikut tõendavate dokumentide kopeerimiseks ja säilitamiseks läheb kaugemale sellest, mis on vajalik lepingu täitmiseks.

59.

Olemasoleva teabe põhjal tundub mulle, et Orange România kliendid ei anna eelotsusetaotluse esitanud kohtu kirjeldatud asjaolude järgi oma vabatahtlikku, konkreetset ja teadlikku nõusolekut.

60.

Esiteks puudub vabatahtlik nõusolek. Kliendi kohustamine kinnitama käsitsi kirjutatuna, et ta ei nõustu oma isikutunnistuse kopeerimise ja säilitamisega, ei võimalda anda vabatahtlikku nõusolekut selles mõttes, et klient on sattunud olukorda, kus ta pealtnäha kaldub kõrvale lepingu sõlmimiseni viivast tavamenetlusest. Kliendid ei tohi sellega seoses tunda, et nende keeldumine isikut tõendavate dokumentide kopeerimise ja säilitamise nõusolekust ei ole kooskõlas tavamenetlusega. Siinkohal soovin meelde tuletada, et Euroopa Kohus on rõhutanud andmesubjekti aktiivset käitumist nõusoleku andmisel. ( 43 ) Seepärast on nõusoleku andmiseks vajalik andmesubjekti positiivne tegevus. Kuid käesolevas asjas näib ilmnevat vastupidine olukord: nõusoleku andmisest keeldumiseks on vaja positiivset tegevust. Vaatleme veel kord kohtuotsust Planet49: ( 44 ) kui eeltäidetud märkeruudust ristikese eemaldamist veebisaidil peetakse kliendi seisukohalt liigseks kohustuseks, siis – a fortiori – ei saa kliendilt mõistikult eeldada, et ta keeldub nõusoleku andmisest käsitsi kirjutatud vormis.

61.

Teiseks puudub teadlik nõusolek. Kliendile ei tehta selgeks, et tema isikutunnistuse kopeerimisest ja säilitamisest keeldumine ei välista lepingu sõlmimist. Klient ei tee teadlikku valikut, kui talle ei ole tagajärjed teada.

62.

Kolmandaks – ja üksnes hüpoteetiliselt – puuduvad viited sellele, et Orange România on suutnud tõendada, et kliendid andsid nõusoleku oma isikuandmete töötlemiseks. Sellega seoses ei aita ettevõtte sisemiste reeglite ilmne ebaselgus kindlasti tõendada, et klient on nõusoleku andnud. Selline ebaselgus ja müügipersonalile antud vastuolulised juhised ei saa ilmselgelt toimuda kliendi ehk käesoleval juhul andmesubjekti kahjuks.

63.

Eeltoodud kaalutlusi arvestades teen ettepaneku vastata Tribunalul Bucureşti (Bukaresti esimese astme kohus, Rumeenia) esitatud eelotsuse küsimustele järgmiselt:

Andmesubjekt, kes kavatseb telekommunikatsiooniteenuste saamise eesmärgil astuda lepingulisse suhtesse ettevõtjaga, ei anna oma „nõusolekut“, st ei avalda ettevõtjale oma „konkreetset ja teadlikku“ ning „vabatahtlikku“ tahet Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) artikli 2 punkti h ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 (füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)) artikli 4 punkti 11 tähenduses, kui ta peab muidu standardiseeritud lepingus käsitsi kirjutades deklareerima, et ta keeldub andmast nõusolekut oma isikut tõendavate dokumentide kopeerimiseks ja säilitamiseks.