Kohtuasi C‑319/20

Meta Platforms Ireland Limited, varem Facebook Ireland Limited,

versus

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V

(eelotsusetaotlus, mille on esitanud Bundesgerichtshof)

Euroopa Kohtu (kolmas koda) 28. aprilli 2022. aasta otsus

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikkel 80 – Andmesubjektide esindamine mittetulundusühingu poolt – Esindushagi, mille esitas niisugune tarbijate huve kaitsev ühendus, kellel puudus volitus, ja mis esitati sõltumata andmesubjekti konkreetsete õiguste rikkumisest – Hagi, mis põhineb ebaausate kaubandustavade kasutamise keelul, tarbijakaitsenormide rikkumisel või tühiste tüüptingimuste kasutamise keelul

Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Andmesubjektide esindamine – Õigus esitada hagi – Tarbijate huve kaitsev ühendus – Esindushagi, mille esitas niisugune ühendus, kellel puudus volitus, ja mis esitati sõltumata andmesubjekti konkreetsete õiguste rikkumisest – Hagi, mis põhineb tarbijakaitsenormide või ebaausate kaubandustavade vastu võitlemist käsitlevate õigusnormide rikkumisel – Vastuvõetavus – Tingimus

(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 80 lõige 2)

(vt punktid 57–60, 63–79, 83 ja resolutsioon)

Kokkuvõte

Meta Platforms Ireland haldab liidus veebipõhise sotsiaalvõrgustiku Facebook teenuste pakkumist ja on selle sotsiaalvõrgustiku kasutajate isikuandmete töötlemise eest vastutav töötleja liidus. Veebiplatvormil Facebook on aadressil www.facebook.de koht nimega „App‑Zentrum“ (rakenduste keskus), kus Meta Platforms Ireland teeb kasutajatele kättesaadavaks kolmandate isikute pakutavad tasuta mängud. Mõne sellise mängu vaatamisel teatatakse kasutajale, et rakenduse kasutamine võimaldab mänge pakkuval äriühingul saada teatud hulga isikuandmeid ja avaldada kasutaja nimel teavet. Kasutamise tulemusel nõustub kasutaja rakenduse kasutamise tüüptingimustega ja selle andmekaitse põhimõtetega. Lisaks on ühe konkreetse mängu puhul antud kasutajale teada, et rakendusel lubatakse avaldada tema nimel fotosid ja muud teavet.

Saksamaa tarbijakaitsekeskuste ja -ühenduste keskliit ( 1 ) leidis, et rakenduste keskuses asjasse puutuvate mängude juures esitatud teave kujutab endast ebaausat kauplemistava. Asutusena, kellel on õigus esitada hagi tarbijakaitsenormide ( 2 ) rikkumistest hoidumise nõudmiseks, esitas tarbijakaitseorganisatsioonide liit seega Meta Platforms Irelandi vastu hagi rikkumisest hoidumiseks. See hagi esitati sõltumata andmesubjekti andmete kaitsmise õiguse konkreetsest rikkumisest ja ilma andmesubjekti volituseta. Meta Platforms Ireland esitas hagi rahuldamise otsuse peale apellatsioonkaebuse; kuna ka apellatsioonkaebus jäeti rahuldamata, esitas Meta Platforms Ireland kassatsioonkaebuse Bundesgerichtshofile (Saksamaa Liitvabariigi kõrgeim üldkohus). Kuivõrd sel kohtul oli kahtlusi, kas tarbijakaitseorganisatsioonide liidu hagi on vastuvõetav ja eelkõige, kas tal oli õigus esitada hagi Meta Platforms Irelandi vastu, pöördus see kohus Euroopa Kohtu poole.

Euroopa Kohus asus oma otsuses seisukohale, et isikuandmete kaitse üldmääruse ( 3 ) artikli 80 lõikega 2 ei ole vastuolus see, kui tarbijate huve kaitsev ühendus – kellel puudub selleks antud volitus ja sõltumata andmesubjektide konkreetsete õiguste rikkumisest – võib pöörduda oletatava isikuandmete kaitset kahjustava isiku vastu kohtusse väitega, et on rikutud ebaausate kaubandustavade kasutamise keeldu, tarbijakaitseseadust või tühiste tüüptingimuste kasutamise keeldu. Niisuguse hagi esitamine on võimalik, kui asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on isikuandmete kaitse üldmääruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel.

Euroopa Kohtu hinnang

Esmalt tuletas Euroopa Kohus meelde, et kuigi isikuandmete kaitse üldmääruse ( 4 ) eesmärk on tagada isikuandmete kaitset käsitlevate riigisiseste õigusaktide põhimõtteliselt täielik ühtlustamine, jätab selle määruse artikli 80 lõige 2 liikmesriikidele selle rakendamisel kaalutlusruumi ( 5 ). Seega peavad liikmesriigid selleks, et mainitud sättes ette nähtud isikuandmete kaitse valdkonnas esitatud volituseta esindushagi oleks võimalik esitada, kasutama neile selle sättega antud võimalust näha oma riigisiseses õiguses ette, et andmesubjekte saab sel viisil esindada. Seda võimalust kasutades peavad liikmesriigid siiski kasutama oma kaalutlusruumi isikuandmete kaitse üldmääruse sätetes ette nähtud tingimustel ja piirides ning peavad võtma õigusnorme vastu viisil, mis ei kahjusta selle määruse sisu ja eesmärke.

Seejärel rõhutas Euroopa Kohus, et andes liikmesriikidele võimaluse kehtestada esindushagi esitamise süsteem isikuandmete kaitset väidetavalt rikkunud isiku vastu, nägi isikuandmete kaitse üldmääruse artikli 80 lõige 2 ette teatavad nõuded, mida tuleb järgida. Esiteks on hagi esitamise õigus antud asutusele, organisatsioonile või ühendusele, kes vastab isikuandmete kaitse üldmääruses ( 6 ) loetletud kriteeriumidele. Selle mõiste alla võib kuuluda niisugune tarbijate huve kaitsev ühendus nagu tarbijakaitseorganisatsioonide liit, kes taotleb avaliku huvi eesmärki, mis seisneb andmesubjektide kui tarbijate õiguste ja vabaduste tagamises, kuivõrd sellise eesmärgi saavutamine võib olla seotud nende andmesubjektide isikuandmete kaitsega. Teiseks eeldab sellise esindushagi esitamine, et see üksus, sõltumata talle antud volitusest, leiab, et isikuandmete kaitse üldmääruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.

Niisiis ei saa esindushagi esitamisel ( 7 ) ühelt poolt nõuda, et selline üksus tuvastaks enne konkreetse andmesubjekti, keda väidetav isikuandmete kaitse üldmääruse sätetega vastuolus olev töötlemine konkreetselt puudutab. Sel puhul võib olla piisav ka see, kui on kindlaks määratud isikute kategooria või isikute rühm, keda niisugune andmete töötlemine puudutab. ( 8 )

Teiselt poolt ei nõua niisuguse esindushagi esitamine, et oleks konkreetselt rikutud isikuandmete kaitse üldmäärusest isikule tulenevaid õigusi. Selleks, et tunnustada üksuse õigust esitada hagi, piisab, kui väita, et asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on tuvastatud või tuvastatavatel füüsilistel isikutel selle määruse alusel, ilma et oleks vaja tõendada andmesubjekti õiguste rikkumisega talle konkreetses olukorras tekitatud tegelikku kahju. Arvestades seega isikuandmete kaitse üldmääruse eesmärgiga, aitab see, kui niisugustele tarbijate huve kaitsvatele ühendustele nagu tarbijakaitseorganisatsioonide liit on antud õigus esitada esindushagide esitamise süsteemi kaudu hagi, et lõpetada isikuandmete kaitse üldmääruse sätetega vastuolus olev töötlemine – sõltumata sellest, kas sellega on ühe isiku õigusi rikutud isiklikult ja konkreetselt –, kahtlemata tugevdada andmesubjektide õigusi ja tagada neile kõrgetasemeline kaitse.

Lõpetuseks täpsustas Euroopa Kohus, et isikuandmete kaitset käsitleva normi rikkumine võib samal ajal kaasa tuua tarbijakaitset või ebaausaid kaubandustavasid käsitlevate normide rikkumise. Nimelt võimaldab isikuandmete kaitse üldmäärus ( 9 ) liikmesriikidel kasutada neile pakutud võimalust näha ette, et tarbijate huve kaitsvatele ühendustele antakse õigus esitada hagi isikuandmete kaitse üldmääruses ette nähtud õiguste rikkumise peale normide kaudu, mille eesmärk on kaitsta tarbijaid või võidelda ebaausate kaubandustavade vastu.

( 1 ) Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (edaspidi „tarbijakaitseorganisatsioonide liit“).

( 2 ) Saksa õiguse kohaselt sisaldavad tarbijakaitseseadused ka norme, mis reguleerivad tarbija isikuandmete kogumise, töötlemise või kasutamise õiguspärasust ettevõtja poolt.

( 3 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1). Artikli 80 lõikes 2 on ette nähtud, et „[l]iikmesriigid võivad ette näha, et igal [selle] artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et [selle] määruse kohase andmesubjekti õigusi on [tema] isikuandmete töötlemise tulemusel rikutud“.

( 4 ) Nii ilmneb kõnealuse määruse artikli 1 lõikest 1 koostoimes põhjendustega 9, 10 ja 13.

( 5 ) „Kaitseklausleid“ kohaldades.

( 6 ) Täpsemalt isikuandmete kaitse üldmääruse artikli 80 lõikes 1. Kõnealuses sättes on nimetatud „mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega“.

( 7 ) Isikuandmete kaitse üldmääruse artikli 80 lõike 2 alusel.

( 8 ) Eelkõige arvestades isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses mõiste „andmesubjekt“ ulatusega, mille alla kuuluvad nii „tuvastatud füüsiline isik“ kui ka „tuvastatav füüsiline isik“.

( 9 ) Eelkõige isikuandmete kaitse üldmääruse artikli 80 lõige 2.