TAMARA ĆAPETA
esitatud 6. oktoobril 2022 ( 1 )
Kohtuasi C‑268/21
Norra Stockholm Bygg AB
versus
Per Nycander AB,
menetluses osales:
Entral AB
(eelotsusetaotlus, mille on esitanud Högsta domstolen (Rootsi kõrgeim kohus))
Eelotsusetaotlus – Määrus (EL) 2016/679 – Isikuandmete kaitse – Artikli 6 lõiked 3 ja 4 – Isikuandmete töötlemine – Artikli 23 lõike 1 punkt f – Kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse – Tsiviilkohtumenetluses esitatud vastustaja taotlus, et kassaator esitaks teabe oma töötajate töötatud tundide kohta
I. Sissejuhatus
1. |
„Teie privaatsus on meie jaoks oluline. Kasutame küpsiseid, et kasutajakogemus oleks parem. Palun vaadake üle andmekaitseseaded. Nõustu kõigiga/Seaded. Tutvuge meie andmekaitsetingimustega ja küpsisepõhimõtetega.“ ( 2 ) |
2. |
Ühe või teise veebsaidi külastamisel ilmub külastajale sarnane sõnum. |
3. |
Selle põhjus on isikuandmete kaitse üldmäärus (edaspidi „isikuandmete kaitse üldmäärus“), ( 3 ) millest on saanud Euroopa Liidus peamine isikuandmete kaitset käsitlev õigusakt. |
4. |
Kas isikuandmete kaitse üldmäärus kerkib esile ka riigisisestes kohtutes? Täpsemalt, kas see on kohaldatav tõendite esitamise kohustustele liikmesriigi kohtu tsiviilmenetluses? Kui on, siis milliseid kohustusi see nendele kohtutele tekitab? Neid küsimusi palutakse Euroopa Kohtul käesolevas asjas selgitada. |
II. Faktilised asjaolud põhikohtuasjas ja eelotsuse küsimused
5. |
Need küsimused tekkisid eelotsusetaotluse esitanud kohtu Högsta domstoleni (Rootsi kõrgeim kohus) menetluses olevas kohtuasjas. Kohtuasja faktilised asjaolud võib kokku võtta järgmiselt. Põhikohtuasja kassaator Norra Stockholm Bygg AB (edaspidi „Fastec“) ehitas põhikohtuasja vastustaja Per Nycander AB (edaspidi „Nycander“) jaoks büroohoone. Lepingu kohaselt registreerisid töid teinud töötajad elektroonilises töötajate registris maksustamise eesmärgil oma kohaloleku. Töötajate registri teenust osutas Entral AB, kes tegutses Fasteci nimel. |
6. |
Põhikohtuasi algas vaidlusest, mis puudutas tehtud töö eest maksmisele kuuluvat tasu. Nycander on vaidlustanud Fasteci maksenõude (summas veidi üle 2000000 Rootsi krooni (SEK), ligikaudu 190133 eurot), väites, et Fastec kulutas sellele tööle vähem aega kui see, mille eest ta makset nõuab. |
7. |
Selle tõendamiseks palus Nycander, et Entral esitaks töötajate registri, mida ta Fasteci nimel pidas. Fastec on sellele taotlusele vastu, väites, et niisugune tõendite esitamine rikuks isikuandmete kaitse üldmäärust, kuna taotletud andmeid koguti teisel eesmärgil ja neid ei saa kasutada põhikohtuasjas tõendina. |
8. |
Tingsrätt (esimese astme kohus, Rootsi) kohustas Entrali seda registrit esitama ning Svea hovrätt (Svea apellatsioonikohus, Rootsi) jättis apellatsioonimenetluses selle otsuse muutmata. |
9. |
Fastec kaebas Svea hovrätti (Svea apellatsioonikohus, Rootsi) otsuse edasi ja palus Högsta domstolenil (Rootsi kõrgeim kohus) jätta Nycanderi tõendite esitamise taotlus rahuldamata või teise võimalusena anda korraldus esitada töötajate registri anonüümseks muudetud versioon. Selle menetluse kontekstis esitas Högsta domstolen (Rootsi kõrgeim kohus) Euroopa Kohtule eelotsusetaotluse järgmiste küsimustega:
|
10. |
Menetluse käigus esitasid kirjalikud seisukohad Fastec, Tšehhi, Poola ja Rootsi valitsus ning Euroopa Komisjon. Kohtuistungil, mis peeti 27. juunil 2022, esitasid suulised seisukohad Nycander, Poola ja Rootsi valitsus ning komisjon. |
III. Õiguslik raamistik
A. Euroopa Liidu õigus
11. |
Isikuandmete kaitse üldmääruse artiklis 5 on määratud kindlaks põhimõtted, millele peab vastama igasugune isikuandmete töötlemine: „1. Isikuandmete töötlemisel tagatakse, et
2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“ |
12. |
Isikuandmete kaitse üldmääruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõigetes 1, 3 ja 4 on sätestatud: „1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud: […]
[…]
[…] 3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:
Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga. 4. Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse
|
13. |
Isikuandmete kaitse üldmääruse artikli 23 lõige 1 reguleerib isikuandmete kaitse üldmääruses sätestatud õiguste ja kohustuste piiramist: „1. Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada […]
[…]“. |
B. Rootsi õigus
14. |
Kohtumenetluse seadustiku (rättegångsbalken; edaspidi „kohtumenetluse seadustik“) 38. peatüki § 2 esimeses lõigus on sätestatud, et iga isik, kelle valduses on kirjalik dokument, mida võib pidada tõendusjõuga dokumendiks, on kohustatud selle dokumendi esitama. Sama sätte teises lõigus on ette nähtud erandid sellest kohustusest, mis hõlmavad advokaate, arste, psühholooge, preestreid ja teiste ametite esindajaid, kellele on usaldatud teavet nende kutsetegevuse või samaväärse tegevuse käigus. Seejärel on kohtumenetluse seadustiku 38. peatüki §‑s 4 antud kohtule pädevus kohustada esitama kirjalikku dokumenti kui tõendit. |
15. |
Eelotsusetaotluse esitanud kohus märgib, et kaaludes, kas isikut tuleb kohustada dokumenti esitama, peab kohus kaaluma selle tõendi asjakohasust võrreldes vastaspoole huviga selle teabe avaldamata jätmise vastu. Ent nagu eelotsusetaotluse esitanud kohus selgitab, ei hõlma see avaldatava teabe eraelulisuse arvessevõtmist. |
IV. Analüüs
C. Sissejuhatus
16. |
Isikuandmete kaitse üldmäärus on peamine liidu õigusakt, mis reguleerib füüsiliste isikute kaitset seoses nende isikuandmete töötlemisega. Erinevalt sellele määrusele eelnenud õigusaktist, s.o direktiivist 95/46/EÜ, ( 4 ) võeti isikuandmete kaitse üldmäärus vastu ELTL artikli 16 alusel. ( 5 ) See õiguslik alus volitab liidu seadusandjat kaitsma põhiõigust isikuandmete kaitsele, mis on sätestatud Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 8 lõikes 1. ( 6 ) |
17. |
Kui isikuandmeid töödeldakse, vastutab isikuandmete kaitse üldmääruse järgimise eest selle õigusakti kohaselt „vastutav töötleja“. ( 7 ) Seepärast on igal isikuandmete töötlemisel oluline kindlaks määrata, kes on vastutav töötleja. |
18. |
Isikuandmete kaitse üldmääruse artikli 4 punkti 7 kohaselt on vastutav töötleja füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. |
19. |
Käesoleval juhul on isikuandmeid töödeldud kahel eri korral. Esimene kord puudutab elektroonilist töötajate registrit, mida pidas Entral Fasteci nimel, kuna Fastec oli Rootsi õiguse kohaselt kohustatud koguma maksustamise eesmärgil andmeid töötatud tundide kohta. Selles kontekstis on Fastec vastutav töötleja ja Entral volitatud töötleja. ( 8 ) |
20. |
Poolte vahel ei ole vaidlust selle üle, et esimene isikuandmete töötlemine oli isikuandmete kaitse üldmäärusega kooskõlas. Nimelt lubab isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt c isikuandmete töötlemist, mida on vaja vastutava töötleja, kõnealusel juhul Fasteci juriidilise kohustuse täitmiseks. ( 9 ) Kui peaks tuvastatama, et see esimene andmete töötlemine oli isikuandmete kaitse üldmääruse seisukohast õigusvastane, oleks kindlasti õigusvastane ka niisuguste andmete töötlemine muudetud eesmärgil. ( 10 ) |
21. |
Käesolevas asjas on aga huvipakkuv samade, algul maksustamise eesmärgil kogutud andmete teine (muudetud eesmärgil) töötlemine. Uus eesmärk on Entrali poolt töötajate registri esitamine tõendina Fasteci ja Nycanderi vahelises tsiviilkohtumenetluses. Selle registri andmisega tsiviilkohtumenetluses kasutamiseks kaasneks igal juhul isikuandmete töötlemine. |
22. |
Teisel töötlemisel muutuvad isikuandmete kaitse üldmääruse kohased funktsioonid võrreldes esimese töötlemisega. Kõige olulisem on see, et kohustades Entralit esitama töötajate registri (edaspidi „tõendite esitamise korraldus“), on liikmesriigi kohus see asutus, kes määrab kindlaks teise andmetöötluse eesmärgi ja vahendid. ( 11 ) Seega saab sellest kohtust vastutav töötleja. ( 12 ) |
23. |
Teisel töötlemisel võib Fastecit pidada isikuks, kes jääb vastutavaks töötlejaks või kelle funktsioon on muutunud: nüüd on ta koos Nycanderiga andmete vastuvõtja. ( 13 ) Ent isegi kui Fastec jääb koos liikmesriigi kohtuga vastutavaks töötlejaks, ( 14 ) ei mõjutaks see liikmesriigi kohtu kui vastutava töötleja kohustusi. ( 15 ) Lõpuks, Entrali funktsioon ei muutu. Ta jääb volitatud töötlejaks ja jätkab samade isikuandmete töötlemist, kuid nüüd uue vastutava töötleja, s.o liikmesriigi kohtu nimel. |
24. |
Sisuliselt küsib eelotsusetaotluse esitanud kohus oma esimeses küsimuses, kas riigisisesest kohtust võib tõepoolest saada isikuandmete kaitse üldmääruse kohaselt vastutav töötleja ja kas sel juhul on selle määrusega kehtestatud nõudeid riigisisestele menetlusnormidele, mis reguleerivad kohtute pädevust ja kohustusi tsiviilkohtumenetlustes. Kui isikuandmete kaitse üldmäärus on kohaldatav ja liikmesriigi kohus on vastutav töötleja, soovib eelotsusetaotluse esitanud kohus oma teises küsimuses teada, kuidas peaks niisugune kohus otsustama isikuandmete avaldamise üle, kui need lähevad kasutamisele tõenditena tsiviilkohtumenetluses. |
25. |
Vastan eelotsusetaotluse esitanud kohtu küsimustele järgmiselt. Esmalt selgitan, miks pean isikuandmete kaitse üldmäärust kohaldatavaks tsiviilkohtumenetlustele liikmesriikide kohtutes ja kuidas see mõjutab liikmesriikide kehtivaid menetlusnorme (B). Seejärel käsitlen metoodikat, mida riigisisesed kohtud kui vastutavad töötlejad peaksid kohaldama, et isikuandmete kaitse üldmääruse nõuded oleksid täidetud (C). |
D. Isikuandmete kaitse üldmäärus on kohaldatav tsiviilkohtumenetlustele riigisisestes kohtutes ja täiendab liikmesriikide menetlusnorme
26. |
Sisuliselt soovib eelotsusetaotluse esitanud kohus esimeses küsimuses teada, kas isikuandmete kaitse üldmäärus on kohaldatav tsiviilkohtumenetlusele ja millist mõju avaldab see asjakohastele menetlusnormidele. Täpsemalt küsib ta, kas see mõjutab neid riigisiseseid eeskirju, mis reguleerivad kohtute pädevust ja kohustusi dokumentaalsete tõendite esitamise nõudmisel. Vastan sellele küsimusele kolmes etapis. |
1. Riigisiseste kohtute tegevus tsiviilkohtumenetluses ei ole isikuandmete kaitse üldmääruse kohaldamisalast välja jäetud
27. |
Isikuandmete kaitse üldmääruse esemeline kohaldamisala on määratletud selle määruse artikli 2 lõikes 1 ja selles aspektis on kasutatud funktsionaalset, mitte institutsioonilist lähenemisviisi. Isikuandmete kaitse üldmääruse muudab kohaldatavaks mis (isikuandmete töötlemine kui tegevus), mitte kes. ( 16 ) |
28. |
Ka isikuandmete kaitse üldmääruse kohaldamisalast välja jäetud olukorrad, mis on loetletud selle määruse artikli 2 lõikes 2, on oma laadilt funktsionaalsed. Kuna need kujutavad endast erandit isikuandmete kaitse üldmääruse kohaldamisest, asus Euroopa Kohus seisukohale, et neid tuleb tõlgendada kitsalt. ( 17 ) |
29. |
Seega ei ole ametiasutuste tegevus kui selline isikuandmete kaitse üldmääruse kohaldamisalast välja jäetud, vaid välja on jäetud üksnes selle määruse artikli 2 lõikes 2 loetletud tegevused. ( 18 ) Selles aspektis ei välista see säte isikuandmete kaitse üldmääruse esemelisest kohaldamisalast kohtute tegevust tsiviilkohtumenetluses. |
30. |
Järeldust, et isikuandmete kaitse üldmäärus on kohaldatav kohtute tegevusele, kinnitab selle määruse põhjendus 20, ( 19 ) milles on märgitud, et see õigusakt on kohaldatav kohtute ja muude õigusasutuste tegevuse suhtes. ( 20 ) |
31. |
Seda järeldust ei mõjuta järelevalveasutuste pädevuse välistamine kohtute suhtes, kui nad tegutsevad õigustmõistvat funktsiooni täites, nagu on ette nähtud isikuandmete kaitse üldmääruse artikli 55 lõikes 3. Lausa vastupidi: see säte kinnitab minu arvates, et kohtute suhtes, kes tegutsevad oma õigustmõistvat funktsiooni täites, kehtivad isikuandmete kaitse üldmäärusega sisse seatud kohustused. Nimetatud säte kaitseb nende sõltumatust ja erapooletust, keelates nende töötlemistoimingute järelevalve järelevalveasutuse poolt. |
32. |
Käesolevas asjas on tegu isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse kuuluva isikuandmete töötlemisega. Elektroonilise töötajate registri loomine ja hooldamine puudutab isikuandmete töötlemist. ( 21 ) Samamoodi on niisuguste isikuandmete avaldamise nõudmine seoses tsiviilkohtumenetlusega nende andmete töötlemise juhtum. ( 22 ) Seega kuulub põhikohtuasjas käsitletav olukord isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse. |
33. |
Mida tähendab see riigisiseste menetlusnormide, näiteks kohtumenetluse seadustiku toimimise seisukohast? |
2. Riigisisestes kohtutes on isikuandmete töötlemise õiguspärasuse tingimus riigisisene õigus
34. |
Tõendite esitamise korralduse õiguslik alus on käesoleval juhul kohtumenetluse seadustik. |
35. |
Tõepoolest nõuab isikuandmete kaitse üldmäärus, et niisuguses olukorras nagu käesoleval juhul oleks andmetöötluse õiguslik alus liikmesriigi (või liidu) õigus. ( 23 ) |
36. |
Vaidlusaluseid andmeid, mida algul koguti ja töödeldi maksustamise eesmärgil, tuleb nüüd käesolevas asjas tehtud tõendite esitamise korralduse kohaselt töödelda kohtumenetluses tõendamise eesmärgil. |
37. |
Isikuandmete kaitse üldmääruse artikli 6 lõige 4 lubab andmete töötlemise eesmärki muuta, kui see põhineb liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine. Nende eesmärkide hulgas on artikli 23 lõike 1 punktis f loetletud „kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse“. |
38. |
Kõik käesoleva eelotsusemenetluse osalised on nõus, et isikuandmete kaitse üldmääruse artikli 23 lõike 1 punkt f on sobiv säte, millele tugineda, et põhjendada andmete töötlemise eesmärgi muutmist kohtumenetluse seadustiku alusel. ( 24 ) |
39. |
Kohtumenetluse seadustik annab riigisisestele kohtutele õiguse nõuda dokumentide esitamist, kui neil on tsiviilmenetluses tõendusväärtus. Nagu selgitatud, kui esitamisele kuuluv dokument sisaldab isikuandmeid, muutub selle dokumendi esitamiseks korraldust andev kohus isikuandmete kaitse üldmääruse kohaselt vastutavaks töötlejaks. |
40. |
Nagu komisjon kohtuistungil märkis, on liikmesriigi kohus tavaline vastutav töötleja ainult teatavas ulatuses. Nimelt saavad riigisisesed kohtud töödelda andmeid üksnes oma avalikku võimu teostades. |
41. |
Kui andmeid töödeldakse avalikku võimu teostades, ( 25 ) peab see isikuandmete kaitse üldmääruse artikli 6 lõike 3 kohaselt põhinema liidu või liikmesriigi õigusel. |
42. |
Seega eeldavad nii isikuandmete kaitse üldmääruse artikli 6 lõige 4 (mis lubab andmete töötlemise eesmärki muuta) kui ka lõige 3 (mis lubab töödelda andmeid avalikku võimu teostades) seda, et riigisiseses (või liidu) õiguses on olemas õiguslik alus andmete töötlemiseks. ( 26 ) |
43. |
Seega on vaidlusaluse andmete töötlemise õiguspärasuse vajalik tingimus see, et kohtumenetluse seadustik annab kohtule pädevuse tõendite esitamise korralduse andmiseks. |
3. Isikuandmete kaitse üldmäärus täiendab riigisiseseid menetlusnorme
44. |
Kas isikuandmete kaitse üldmääruse nõuded selleks, et isikuandmete töötlemine oleks õiguspärane, on täidetud, kui õiguslik alus, mida isikuandmete kaitse üldmäärus nõuab, on olemas ja kohtu korraldus, millega kaasneb isikuandmete töötlemine, antakse kooskõlas niisuguste liikmesriigi õigusnormidega? |
45. |
Minu arvates ei piisa selleks, et tõendite esitamise korraldus oleks isikuandmete kaitse üldmäärusega kooskõlas, õigusliku aluse olemasolust riigisiseses õiguses, kuigi ka seda on vaja. |
46. |
Eelotsusetaotluse esitanud kohus selgitas, et kohtumenetluse seadustiku kohaselt ei võeta tõendite esitamise kohta otsuseid tehes põhimõtteliselt arvesse teabe eraelulisust. Kohtud on kohustatud võtma arvesse kahe vastaspoole huve, kuid seaduses endas ei ole mainitud, et andmesubjektide huvid oleksid kuidagi olulised. |
47. |
Kas kohtumenetluse seadustik on isikuandmete kaitse üldmäärusega vastuolus põhjusel, et see ei kohusta sõnaselgelt kohtuid, kui neist saavad vastutavad töötlejad, võtma andmesubjektide isikuandmeid mõjutada võivate otsuste tegemisel arvesse nende huve? |
48. |
Minu arvates see nii ei ole. Tuleb arvesse võtta, et eri riigisisesed õigusaktid, mida saab kasutada andmete töötlemise õigusliku alusena, ei ole võetud vastu konkreetselt isikuandmete kaitse üldmääruse rakendamiseks, vaid neil on omad eesmärgid. Pealegi on isikuandmete kaitse üldmäärus liikmesriikide õiguskorras vahetult kohaldatav ega vajagi rakendamist. Seetõttu on oluline hoopis see, et kui riigisisesed menetlusnormid ja isikuandmete kaitse üldmäärus omavahel kokku puutuvad, jätavad esimesena nimetatud ruumi samaaegseks isikuandmete kaitse üldmääruse kohaldamiseks. |
49. |
Kohtuistungil kinnitas Rootsi valitsus, et kohtumenetluse seadustik ei kohusta kohtuid andmesubjektide huve arvesse võtma, kuid ei keela ka neil seda teha. Niisiis ei välista see isikuandmete kaitse üldmääruse vahetut kohaldamist selle seadustikuga reguleeritavale kohtumenetlusele. |
50. |
Seega alluvad riigisisesed kohtud ühtaegu nii riigisisestele menetlusnormidele kui ka isikuandmete kaitse üldmäärusele, mis täiendab riigisiseseid norme, kui kohtute menetlustoimingutega kaasneb isikuandmete töötlemine. |
51. |
Kokkuvõttes ei ole vaja riigisisestes õigusaktides sõnaselgelt isikuandmete kaitse üldmäärusele viidata ega kohustada kohtuid võtma arvesse andmesubjektide huve. Piisab sellest, kui niisugused õigusaktid võimaldavad täiendavalt kohaldada isikuandmete kaitse üldmäärust. Ainult juhul, kui need seda ei võimalda, oleks riigisisene õigusakt isikuandmete kaitse üldmäärusega vastuolus. Rootsi kohtumenetluse seadustik näib siiski lubavat isikuandmete kaitse üldmääruse täiendavat kohaldamist. ( 27 ) |
52. |
Seepärast järeldan eelotsusetaotluse esitanud kohtu esimesele küsimusele vastates, et isikuandmete kaitse üldmääruse artikli 6 lõigetest 3 ja 4 tulenevad nõuded tõendite esitamise kohustust käsitlevate riigisiseste menetlusõigusnormide suhtes, kui sellega kaasneb isikuandmete töötlemine. Riigisisesed menetlusnormid ei saa niisugusel juhul takistada andmesubjektide huvidega arvestamist. Need huvid on kaitstud, kui riigisisesed kohtud järgivad konkreetsel juhul dokumentaalsete tõendite esitamise üle otsustades isikuandmete kaitse üldmääruse norme. |
E. Liikmesriigi kohtu kohustused seoses andmesubjektide huvidega
53. |
Isikuandmete kaitse üldmääruse subjektidena peavad liikmesriikide kohtud kui vastutavad töötlejad arvesse võtma andmesubjektide huve. Kuidas tuleb konkreetse tõendite esitamist puudutava otsuse tegemisel neid huve arvesse võtta? See on eelotsusetaotluse esitanud kohtu teise küsimuse peamine sisu. |
4. Proportsionaalsus
54. |
Andmesubjektide huvid on kaitstud, kui nende isikuandmeid töödeldakse kooskõlas isikuandmete kaitse üldmääruse artiklitega 5 ja 6. ( 28 ) Viidates kohtujurist Pikamäele: isikuandmete kaitse üldmääruse artiklite 5 ja 6 järgimine tagab, et vastavalt harta artiklitega 7 ja 8 tagatud õigused era‑ ja perekonnaelu austamisele ning isikuandmete kaitsele on kaitstud. ( 29 ) |
55. |
Andmete töötlemise õiguspärased eesmärgid on loetletud isikuandmete kaitse üldmääruse artiklis 6. ( 30 ) Nagu on selgitatud käesoleva ettepaneku eelmises jaos, teenib andmete töötlemine käesoleval juhul õiguspärast eesmärki, kuna kohus on tõendite esitamiseks korraldust andes teostanud avalikku võimu riigisiseste õigusnormide alusel, mille eesmärk on tagada korrakohane kohtupidamine. Ent nii isikuandmete kaitse üldmääruse artikkel 6 kui ka artikkel 5 ei nõua mitte ainult õiguspärast eesmärki, vaid ka seda, et konkreetne andmete töötlemine oleks selle eesmärgi saavutamiseks vajalik. |
56. |
Seega nõuab isikuandmete kaitse üldmäärus, et tehes kindlaks, kas konkreetses olukorras on vaja esitada kohtumenetluses tõendamise eesmärgil isikuandmeid, peab kohus analüüsima proportsionaalsust. ( 31 ) |
57. |
Selles aspektis nõuab isikuandmete kaitse üldmääruse artikli 6 lõige 4, et riigisisesed õigusnormid, millel põhineb andmete töötlemine muudetud eesmärgil, oleksid vajalik ja proportsionaalne meede, mis kaitseb üht isikuandmete kaitse üldmääruse artikli 23 lõikes 1 loetletud eesmärkidest, käesoleval juhul kohtusüsteemi sõltumatust ja kohtumenetlust. Peale selle nõuab isikuandmete kaitse üldmääruse artikli 6 lõige 3, et avalikku võimu teostades andmete töötlemine peab olema vajalik vastutavale töötlejale antud niisuguse avaliku võimu teostamiseks. |
58. |
Riigisisesed õigusnormid, millel andmete töötlemine põhineb, võivad in abstracto vastata isikuandmete kaitse üldmääruse artikli 6 lõigete 3 ja 4 nõuetele. Sellegipoolest oleneb iga isikuandmete töötlemise (sealhulgas kohtu tehtud konkreetse tõendite esitamise korralduse) õiguspärasus kõikide asjaga seotud huvide konkreetsest kaalumisest, pidades silmas õiguspärast eesmärki, miks tõendite esitamist üldse nõutakse. ( 32 ) Ainult niiviisi saab liikmesriigi kohus otsustada, kas ja mil määral on tõendite esitamine vajalik. |
59. |
Seega on selge, et isikuandmete kaitse üldmäärus eeldab proportsionaalsuse analüüsi. Kas isikuandmete kaitse üldmäärusest on veel mingisugust abi vastuse andmisel selle kohta, milliseid konkreetseid samme peab kohus niisuguses analüüsis astuma? |
5. Konkreetsed sammud, mis tuleb liikmesriigi kohtul astuda
60. |
Nagu juba selgitatud, tuleb igal korral teha proportsionaalsuse analüüs, võttes arvesse kõiki asjaga seotud huve. Sellistes olukordades nagu käesolev tuleb kaaluda tõendite esitamist toetavaid huve võrreldes sekkumisega õigusesse isikuandmete kaitsele. ( 33 ) |
61. |
Tõendite esitamisega seotud huvid kajastavad õigust tõhusale kohtulikule kaitsele (harta artikkel 47). Andmesubjektide huvid, millega see õigus on vastuolus, kajastavad õigust era‑ ja perekonnaelu austamisele (harta artikkel 7) ja õigust isikuandmete kaitsele (harta artikkel 8). Neid õigusi on vaja kaaluda, et otsustada, kas isikuandmete avaldamine on vajalik. |
62. |
Pakun järgmisena välja mõne võimaluse, mis puudutavad konkreetseid samme, mille astumist võib liikmesriigi kohtult eeldada. |
63. |
Kõigepealt võib alati eeldada, et andmesubjektid, kes ei ole andnud oma nõusolekut andmete töötlemiseks, on huvitatud oma isikuandmete töötlemise piiramisest. Niisiis on see liikmesriigi kohtu jaoks automaatne lähtepositsioon: põhjendada, miks on vajalik selle huvi riive. |
64. |
Minu arvates võib juhised sellekohase hinnangu andmiseks leida isikuandmete kaitse üldmääruse artiklist 5, mis sisaldab põhimõtteid, mida vastutav töötleja peab isikuandmete töötlemisel järgima. |
65. |
Selles aspektis on määrava tähtsusega isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktist c tulenev võimalikult väheste andmete kogumise põhimõte. Nagu on märkinud Euroopa Kohus, ( 34 ) väljendub selles nõudes proportsionaalsuse põhimõte. Selle kohaselt peavad isikuandmed olema asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt. |
66. |
Seega tuleb esiteks küsida, kas andmed Entrali peetavas töötajate registris on asjakohased. Need on kõnealuse tõendite esitamise eesmärgil asjakohased, kui nendest tõepoolest nähtub, millise arvu töötunde on Fasteci töötajad olnud ehitusel. |
67. |
Teine küsimus on see, kas andmed Entrali peetavas töötajate registris on olulised eesmärgil, milleks neid taotletakse. Eesmärk näib olevat Nycanderi huvi tõendada, et Fasteci töötajad töötasid vähem aega, kui on arvel näidatud. Sellises olukorras oleks töötajate register oluline, kui selle abil saaks niisugust väidet tõepoolest tõendada või selle ümber lükata. Liikmesriigi kohus peab selle olulisust hinnates arvesse võtma muidki juhtumi asjaolusid (näiteks Fasteci väidet, et töötajate registrisse on märgitud ainult osa asjasse puutuvast tööajast, ülejäänud osa aga veedeti väljaspool ehitusplatsi). |
68. |
Selleks et täita kolmas võimalikult väheste andmete kogumisega seotud nõue, peab liikmesriigi kohus kindlaks tegema, kas tõendamise eesmärgil piisab kõikidest või ka ainult mõningatest andmetest, mida see register sisaldab. Samuti, kui sama faktilise asjaolu tõendamiseks on muid võimalusi, võib võimalikult väheste andmete kogumine eeldada nende muude võimaluste kasutamist. Näiteks võib liikmesriigi kohtul olla vaja hinnata Fasteci väidet, et tegelikult töötatud tundide arvu võib kontrollida nende dokumentide põhjal, mis juba on eelotsusetaotluse esitanud kohtu toimikus. Kui liikmesriigi kohus tuvastab, et see väide peab paika, ei saa ta anda korraldust töötajate registris olevate isikuandmete esitamiseks. |
69. |
Liikmesriigi kohtul on vaja kindlaks teha, mis liiki isikuandmetest selles töötajate registris piisab asjasse puutuvate faktiliste asjaolude tõendamiseks või ümberlükkamiseks. Selles aspektis nõuab võimalikult väheste andmete kogumise põhimõte seda, et esitatakse vaid konkreetseks otstarbeks rangelt vajalikud andmed. Seepärast võib olla vaja, et Entral kui volitatud töötleja muudaks töötajate registrit nii, et isikuandmed selles piirduvad vajaliku miinimumiga, võimaldades samas teha järelduse tegelikult töötatud tundide arvu kohta. |
70. |
Selles suhtes peab liikmesriigi kohus kindlaks tegema, kas selleks, et tõendite esitamisel oleks tõenduslik jõud, on vaja, et isikud, kelle andmed on registris, oleksid tuvastatavad (näiteks juhul, kui on vaja nimetada töötajaid individuaalselt, et kutsuda neid tunnistajaks). Muidu võib piisata teabest, mis puudutab ehitusel viibitud tundide koguarvu ja/või nendel tundidel töötanud isikute arvu. |
71. |
Olenevalt sellest, millised on vastused eespool nimetatud küsimustele, võib kohus otsustada paluda pseudonümiseeritud või anonüümseks muudetud andmete esitamist. ( 35 ) |
72. |
Isikuandmete kaitse üldmääruse põhjenduse 26 kohaselt jäävad pseudonümiseeritud andmed isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse. Põhjus on selles, et jääb võimalikuks pseudonüümi taga oleva isiku kindlakstegemine. Anonüümseks muudetud andmete puhul on tegu vastupidise olukorraga, mis jääb isikuandmete kaitse üldmääruse kohaldamisalast välja. Seetõttu on ka sellel, millisel kujul tõendite esitamiseks liikmesriigi kohus lõpuks korralduse annab, mõju edaspidisele isikuandmete kaitse üldmääruse kohaldatavusele. ( 36 ) |
73. |
Lõpuks määrab töötajate registri eri versioonide tõendusliku jõu kindlaks liikmesriigi kohus, et otsustada, missugust võimalikult väheste andmete kogumist, kui üldse, on vaja tema menetluses oleva juhtumi nõuetekohaseks lahendamiseks. |
74. |
Peale isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis c sätestatud võimalikult väheste andmete kogumise põhimõtte on ka muud artiklis 5 sätestatud põhimõtted liikmesriigile siduvad ja asjakohased seoses sellega, kuidas anda tõendite esitamise korraldus. |
75. |
Näiteks on isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis a peale viite seaduslikkuse põhimõttele (mida on täpsustatud selle määruse artiklis 6) mainitud ka läbipaistvuse põhimõtet. Minu arvates nõuab see põhimõte, et liikmesriigi kohus selgitaks arusaadavalt oma otsust nõuda isikuandmete esitamist, märkides muu hulgas, kuidas ta on kaalunud poolte erinevaid huve ja argumente seoses kõnealuse andmete esitamisega. |
76. |
Korrektsed põhjendused tõendite esitamise korralduses vastavad ka isikuandmete kaitse üldmääruse artikli 5 lõike 2 nõudele, et vastutav töötleja peab olema võimeline tõendama artikli 5 lõikes 1 sätestatud põhimõtete järgimist. |
77. |
Sellest, kuidas järgida isikuandmete kaitse üldmääruse artiklis 5 sätestatud põhimõtteid, saab lugeda ka isikuandmete kaitse üldmääruse põhjendusest 31. Selles on märgitud, et „[a]valiku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist“. |
78. |
Poola valitsus on väljendanud muret seoses riigisisese kohtu antava hinnanguga proportsionaalsuse kohta: kas riigisisene kohus – kui tal tuleb oma menetluses hinnata töötajate registri või muu tõendi tõenduslikku jõudu – ei tegele juba liialt palju sellega, mida peaksid tegema menetlusosalised, nimelt püüdma võita vaidlust, mis just puudutabki selliste tõendite tõenduslikku jõudu? |
79. |
Minu arvates ei põhjusta tõendusliku jõu hindamine, milles võetakse arvesse andmesubjektide huve, suuremat sekkumist juhtumisse kui mis tahes muu tõendi tõendusliku jõu hindamine tsiviilkohtumenetluses. ( 37 ) |
80. |
Liikmesriigi kohtu sekkumise ulatus oleneb sellest, kui ilmne tõenduslik jõud on andmetel, mille esitamist konkreetsel juhul nõutakse. See, mil määral võib tõendite esitamine riivata andmesubjektide huve, on alati konkreetsesse juhtumisse puutuv küsimus. |
81. |
Näiteks võib mõnel juhul olla tegu tundlike andmetega, mida tuleb kaitsta isikuandmete kaitse üldmääruse artiklis 9 sätestatud erikorra alusel, või kriminaalkaristusi käsitlevate andmetega, mille suhtes kehtib isikuandmete kaitse üldmääruse artiklis 10 ette nähtud kord. Sellistes olukordades omandavad andmesubjektide huvid igal juhul rohkem kaalu. ( 38 ) Samuti võib huvi tõendite esitamise vastu olla juhtumiti erinev. Mõnikord on selge, et taotletavad tõendid on väheolulised, teinekord aga on need asja lahendamisel keskse tähtsusega. Selles aspektis on kaalukas komisjoni argument, et liikmesriigi kohtul peaks olema niisuguste hinnangute andmisel ulatuslik kaalutlusõigus. Siiski ei tohi ta olla vabastatud kohustusest võtta arvesse andmesubjektide huve. |
82. |
Veel ühte muret väljendas Tšehhi valitsus: kui liikmesriikide kohtutele kehtestatakse kohustusi võtta arvesse andmesubjektide huve alati, kui nad annavad korraldusi dokumentaalsete tõendite esitamiseks, häiriks see kohtumenetluste korrapärast kulgu. Nimelt on isikuandmete kaitse üldmäärusega pandud kohtutele veel üks kohustus: ( 39 ) viia enne korralduse andmist isikuandmeid sisaldavate dokumentaalsete tõendite esitamiseks läbi proportsionaalsuse kontroll. Siiski ei ole huvide kaalumine kohtute jaoks ebatavaline intellektuaalne tegevus ja liikmesriikide kohtutele pandud kohustused ei erine nendest, mis on isikuandmete kaitse üldmäärusega kehtestatud igale vastutavale töötlejale. |
83. |
Kui liidu kodanikele peab olema võimaldatud kõrgetasemeline isikuandmete kaitse, mis on kooskõlas liidu seadusandja valikuga, nagu seda on väljendatud isikuandmete kaitse üldmääruses, ei saa kohustuses võtta arvesse andmesubjektide huve näha liikmesriikide kohtute jaoks ülemäärast koormat. |
84. |
Seepärast teen Euroopa Kohtule ettepaneku vastata eelotsusetaotluse esitanud kohtu teisele küsimusele nii: otsustades tsiviilkohtumenetluses tõendite esitamise korralduse üle, millega kaasneb isikuandmete töötlemine, peab liikmesriigi kohus viima läbi proportsionaalsuse analüüsi, milles ta võtab arvesse nende andmesubjektide huve, kelle isikuandmeid asutakse töötlema, ja kaaluma neid võrdluses menetlusosaliste huviga saada tõendeid. Selles proportsionaalsuse hindamises juhindutakse isikuandmete kaitse üldmääruse artiklis 5 sätestatud põhimõtetest, sealhulgas võimalikult väheste andmete kogumise põhimõttest. |
V. Ettepanek
85. |
Nendel kaalutlustel teen Euroopa Kohtule ettepaneku vastata Högsta domstoleni (Rootsi kõrgeim kohus) kahele eelotsuse küsimusele järgmiselt:
|
( 1 ) Algkeel: inglise.
( 2 ) See konkreetne sõnum ilmub inglise keeles saidil https://eulawlive.com.
( 3 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1).
( 4 ) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355). Direktiiv 95/46 võeti vastu siseturu õiguslikel alustel. Esialgset analüüsi üldmäärusega tehtud muudatuste kohta pakub Van Alsenoy, B., „Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation“, Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 7. kd, 2016, 271–288.
( 5 ) Direktiivi 95/46 tõlgendav kohtupraktika on isikuandmete kaitse üldmääruse käsitamisel asjakohane, kuigi nende õiguslikud alused on erinevad. Vt sellega seoses 17. juuni 2021. aasta kohtuotsus M.I.C.M. (C‑597/19, EU:C:2021:492, punkt 107). Seepärast viitan vajaduse korral direktiivi 95/46 käsitlevale Euroopa Kohtu praktikale. Samuti viitan Euroopa Kohtu praktikale, mis käsitleb Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514), niivõrd, kui see pakub analoogseid lahendusi seoses piirangutega, mis piiravad õigust andmekaitsele. Euroopa Kohus asus seisukohale, et direktiivist 2002/58 tulenevate õiguste piirangute tõlgendamist tuleb mutatis mutandis kohaldada isikuandmete kaitse üldmääruse tõlgendamisele. Vt sellega seoses 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 209–211).
( 6 ) Isikuandmete kaitse üldmääruse põhjendus 1.
( 7 ) Vt isikuandmete kaitse üldmääruse artikli 5 lõige 2.
( 8 ) Isikuandmete kaitse üldmääruse artikli 4 punktis 8 on volitatud töötleja määratletud kui „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel“.
( 9 ) Isikuandmete kaitse üldmääruse artikli 6 lõikes 3 on ette nähtud, et kui isikuandmeid töödeldakse eesmärgiga täita vastutava töötleja juriidilist kohustust, kehtestatakse niisugune alus Euroopa Liidu või liikmesriigi õigusega, mis vastab avalikku huvi teenivale eesmärgile ja on taotletava õiguspärase eesmärgiga proportsionaalne. Riiklike maksuõigusnormide täitmist on peetud õiguspäraseks eesmärgiks 16. jaanuari 2019. aasta kohtuotsuses Deutsche Post (C‑496/17, EU:C:2019:26, punktid 60–63).
( 10 ) Vt analoogia alusel 2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks) (C‑746/18, EU:C:2021:152, punkt 44).
( 11 ) Isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramine on keskne tegevus, millest lähtuvalt määratakse kindlaks, kes on vastutav töötleja. Vt 10. juuli 2018. aasta kohtuotsus Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 68). Vt samuti Bygrave, L. A. ja Tossoni, L., „Article 4(7). Controller“ – Kuner, C., Bygrave, L. A., Docksey, C. ja Drechsler, L. (toim), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, OUP, 2021, lk 150.
( 12 ) Kohtuistungil olid Poola ja Rootsi valitsus ning komisjon nõus, et see funktsioon puudutab nüüd liikmesriigi kohut. Nycander väitis, et teisel töötlemisel jääb ainsaks vastutavaks töötlejaks Fastec, samal ajal kui liikmesriigi kohus on vahendaja funktsioonis. Tuleb tähele panna, et üldmääruses sõna „vahendaja“ ei esine.
( 13 ) Isikuandmete kaitse üldmääruse artikli 4 punktis 9 on vastuvõtjad määratletud kui füüsilised või juriidilised isikud, avaliku sektori asutused, ametid või muud organid, kellele isikuandmed avaldatakse olenemata sellest, kas nad on kolmandad isikud või mitte. Tsiviilkohtumenetluse pooltena muutuvad nii Fastec kui ka Nycander kohtu tõendite esitamise korralduse alusel töödeldavate andmete vastuvõtjaks. Kohtuistungil väitis komisjon, et Fastec jääb vastutavaks töötlejaks ega ole muutunud vastuvõtjaks.
( 14 ) Isikuandmete kaitse üldmääruse artikli 26 lõikes 1 on sätestatud: „Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.“ Vt samuti 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629, punkt 67).
( 15 ) Euroopa Kohus selgitas, et mõiste „vastutav töötleja“ on lai ja isikuandmete töötlemise eri etappides võivad olla kaasatud eri ettevõtjad. 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629, punkt 70).
( 16 ) Viimati nimetatu puutub asjasse vaid erandjuhtudel. Näiteks isikuandmete kaitse üldmääruse artikli 2 lõike 3 kohaselt ei allu isikuandmete kaitse üldmäärusele Euroopa Liidu institutsioonid, organid ega asutused. Siiski kehtib nende suhtes Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT 2001, L 8, lk 1; ELT eriväljaanne 19/04, lk 65).
( 17 ) 9. juuli 2020. aasta kohtuotsus Land Hessen (C‑272/19, EU:C:2020:535, punkt 68).
( 18 ) Isikuandmete kaitse üldmääruse artikli 2 lõikes 2 on sätestatud: „Käesolevat määrust ei kohaldata, kui a) isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus; b) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse; c) isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus; d) isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.“
( 19 ) Isikuandmete kaitse üldmääruse põhjenduses 20 on märgitud: „Kui käesolevat määrust kohaldatakse muu hulgas kohtute ja muude õigusasutuste tegevuse suhtes, võiks liidu või liikmesriigi õiguses täpsustada isikuandmete töötlemise toimingud ja ‑menetlused, mis on seotud isikuandmete töötlemisega kohtute ja muude õigusasutuste poolt. Kohtusüsteemi sõltumatuse kaitsmiseks kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsusetegemisel, ei peaks järelevalveasutuste pädevus hõlmama isikuandmete töötlemist juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni. Selliste andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi.“
( 20 ) Vt sellega seoses 24. märtsi 2022. aasta kohtuotsus Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, punktid 25 ja 26).
( 21 ) Euroopa Kohus on 30. mai 2013. aasta kohtuotsuses Worten (C‑342/12, EU:C:2013:355, punkt 19) kinnitanud, et konkreetselt tööajaregistrid kujutavad endast isikuandmeid.
( 22 ) Kohtujurist Campos Sánchez-Bordona on oma ettepanekus kohtuasjas Inspektor v Inspektorata kam Visshia sadeben savet (isikuandmete töötlemise eesmärgid – kriminaalmenetlus) (C‑180/21, EU:C:2022:406, punktid 82 ja 83) lugenud dokumentide edastamise kohtule tsiviilmenetluse kontekstis andmete töötlemiseks. Käesoleva ettepaneku avaldamise ajal on see kohtuasi Euroopa Kohtus veel pooleli.
( 23 ) Direktiivi 2002/58 kontekstis asus Euroopa Kohus seisukohale, et see direktiiv ei keela liikmesriikidel kehtestada tsiviilkohtumenetluse kontekstis isikuandmete avaldamise kohustust. Vt selle kohta 29. jaanuari 2008. aasta kohtuotsus Promusicae (C‑275/06, EU:C:2008:54, punkt 53). Minu arvates kehtib sama ka isikuandmete kaitse üldmääruse kohta.
( 24 ) Peale selle pakkus komisjon välja, et veel ühe põhjenduse andmete töötlemise eesmärgi muutmiseks käesoleval juhul võib leida isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktist i („andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse“). Poola valitsus osutas isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktile j („tsiviilõiguslike nõuete täitmise tagamine“).
( 25 ) Avalikku võimu teostades andmete töötlemist võimaldab isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt e.
( 26 ) Andmete töötlemine võib põhineda ka andmesubjekti nõusolekul. Käesoleval juhul seda aga ei ole.
( 27 ) Eelotsusemenetluses Euroopa Kohtu ja liikmesriikide kohtute vahelises pädevuse jaotuses on liikmesriigi kohtu otsustada, kas see ka tegelikult nii on.
( 28 ) 16. jaanuari 2019. aasta kohtuotsus Deutsche Post (C‑496/17, EU:C:2019:26, punkt 57) ja 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 208). Euroopa Kohus jõudis varem samale järeldusele seoses direktiiviga 95/46. Vt nt 20. mai 2003. aasta kohtuotsus Österreichischer Rundfunk jt (C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, punkt 65) ning 13. mai 2014. aasta kohtuotsus Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 71).
( 29 ) Kohtujurist Pikamäe ettepanek kohtuasjas Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2021:991, punkt 36).
( 30 ) Euroopa Kohus leidis, et isikuandmete kaitse üldmääruse artiklis 6 sätestatud loetelu juhtumitest, millal isikuandmete töötlemist saab lugeda õiguspäraseks, on ammendav ja piiratud. Vt 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid) (C‑439/19, EU:C:2021:504, punkt 99). Direktiivi 95/46 kontekstis kasutas Euroopa Kohus andmete töötlemise õiguspärasuse suhtes sama lähenemisviisi 4. mai 2017. aasta kohtuotsuses Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 25) ja 11. detsembri 2019. aasta kohtuotsuses Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, punktid 37 ja 38).
( 31 ) Vt samuti isikuandmete kaitse üldmääruse põhjendus 39, milles on märgitud, et „[i]sikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. […] Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil“.
( 32 ) Euroopa Kohus selgitas, et kaalumine oleneb asjaomase juhtumi konkreetsetest asjaoludest. Vt selle kohta 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 31). Vt samuti 19. detsembri 2020. aasta kohtuotsus Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2020:104, punkt 32).
( 33 ) Vt analoogia alusel 9. novembri 2010. aasta kohtuotsus Volker und Markus Schecke ja Eifert (C‑92/09 ja C‑93/09, EU:C:2010:662, punkt 77).
( 34 ) 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid) (C‑439/19, EU:C:2021:504, punkt 98).
( 35 ) Nimelt palub Fastec eelotsusetaotluse esitanud kohtul kas jätta rahuldamata Nycanderi taotlus esitada töötajate register või teise võimalusena seda, et töötajate register esitataks alles pärast selle anonüümseks muutmist. Tuginedes võimalikult väheste andmete kogumise põhimõttele ja viidates isikuandmete kaitse üldmääruse artikli 25 lõikele 1, pakkus komisjon, et lahenduseks võib olla ka see, kui esitatakse töötajate registri pseudonümiseeritud versioon.
( 36 ) Näiteks vabastab registri anonüümseks muutmine vastutava töötleja kohustusest andmesubjektidele andmete töötlemisest teatada, mis oleks harilikult nõutav vastavalt isikuandmete kaitse üldmääruse artiklile 14.
( 37 ) Nagu eelotsusetaotluse esitanud kohus on selgitanud, on kohtud kohtumenetluse seadustiku kohaselt juba kohustatud kaaluma tõendite asjakohasust võrreldes vastaspoole huviga, et seda teavet ei avaldataks.
( 38 ) Direktiivi 2002/58 kontekstis on Euroopa Kohus järjepidevalt märkinud, et mida rohkem riivatakse õigust isikuandmete kaitsele, seda tähtsam peab olema üldisi huve teeniv eesmärk, mida taotletakse. 21. detsembri 2016. aasta kohtuotsus Tele2 Sverige ning Watson jt (C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 115); 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal (C‑207/16, EU:C:2018:788, punkt 55); 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 131), ja 2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks) (C‑746/18, EU:C:2021:152, punkt 32).
( 39 ) Õigussüsteemides, mille menetlusnormides ei ole varem sellist kontrolli nõutud.