1.

Kõnealune eelotsusetaotlus pakub Euroopa Kohtule võimaluse võtta seisukoht tingimuste suhtes, mille kohaselt saab juriidilisele isikule määrata trahvi määruse (EL) 2016/679 ( 2 ) rikkumiste eest.

2.

Eelkõige tuleb kindlaks teha:

3.

Põhjenduses 74 on öeldud:

„Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele“.

4.

Põhjenduses 150 on märgitud:

„Selleks et tugevdada ja ühtlustada väärteokaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused määrata trahve. Käesolevas määruses tuleks loetleda rikkumised, sätestada asjaomaste trahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev järelevalveasutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. Kui trahv on määratud ettevõtjale, tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 toodud määratlusest. […] Trahvide ühesuguse kohaldamise parandamiseks võib kasutada ka järjepidevuse mehhanismi […]“.

5.

Artiklis 4 („Mõisted“) on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

[…]

[…]“.

6.

Artikli 58 („Volitused“) lõikes 2 on ette nähtud:

„Järelevalveasutusel on järgmised parandusvolitused:

[…]

[…]“.

7.

Artikkel 83 („Trahvide määramise üldtingimused“) sätestab:

„1.   Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2.   Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

3.   Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10000000 eurot või ettevõtja puhul kuni 2% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem […].

5.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20000000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

[…]

6.   Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20000000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

[…]

8.   Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

[…]“.

8.

Paragrahvi 9 lõikes 1 on sätestatud, et kui isik tegutseb a) organina (või nimetatud organi liikmena), kellel on juriidilise isiku esindamise õigus, b) osanikuna, kellel on õigusvõimega isikuühingu esindamise õigus, või c) kolmanda isiku seadusjärgse esindajana, kohaldatakse tema suhtes seadust, mille alusel konkreetsed isiklikud funktsioonid, suhted või asjaolud võivad õigustada sanktsiooni määramist, kui need asjaolud ei puuduta teda ennast, vaid esindatavat.

9.

Paragrahvi 9 lõike 2 kohaselt kehtib eeltoodu ka ettevõtte (äriühingu) omaniku puhul, kes usaldab teisele isikule täielikult või osaliselt selle juhtimise või omaniku vastutusalas olevate ülesannete täitmise omal vastutusel.

10.

Paragrahvi 30 lõige 1 lubab määrata trahvi juriidilisele isikule, kui füüsiline isik, kes teda esindab, juhib või kelle juhtimise eest ta vastutab, on toime pannud kuriteo või jätnud juriidilisele isikule pandud kohustused täitmata.

11.

Vastavalt § 30 lõikele 4 nõuab juriidilisele isikule eraldiseisva trahvi määramine, et juriidilise isiku juhtorgani liikme või esindaja suhtes ei ole algatatud mingit menetlust või kui selline menetlus on algatatud, siis on see lõpetatud.

12.

Paragrahvi 130 lõikes 1 on sätestatud, et kui isik ettevõtte või äriühingu omanikuna jätab tahtlikult või hooletusest võtmata vajalikud järelevalvemeetmed, et vältida ettevõttes või äriühingus nende kohustuste täitmata jätmist, mis on pandud selle omanikule ja mille rikkumise eest määratakse karistus või trahv, paneb toime haldusõigusrikkumise, kui kõnealust kohustuste täitmata jätmist oleks saanud vältida või raskendada kohaste järelevalvemeetmetega, näiteks kontrollide eest vastutavate isikute määramine, hoolikas valimine ja kontrollimine.

13.

Deutsche Wohnen SE (edaspidi „Deutsche Wohnen“) on börsil noteeritud kinnisvaraettevõtja, mille asukoht on Berliin (Saksamaa). Tema kaudses omandis on osaluste kaudu ligikaudu 163000 eluruumi ja 3000 äripinda.

14.

Nende kinnisasjade omanikud on Deutsche Wohneniga seotud tütarettevõtjad (nn valdusettevõtjad), kes tegelevad igapäevase äritegevusega, sellal kui Deutsche Wohnen tegeleb kontserni keskse juhtimisega. Valdusettevõtjad annavad üürile eluruume ja äripindasid, mida haldavad teised kontserni kuuluvad äriühingud, nn haldusettevõtjad.

15.

Deutsche Wohnen ja kontserni kuuluvad ettevõtjad töötlevad äritegevuse raames kinnisasjade üürnike isikuandmeid. Kõnealused andmed hõlmavad muu hulgas isikusamasust tõendavaid andmeid, maksuandmeid, sotsiaal- ja tervisekindlustust puudutavaid andmeid ning eelnevaid üürisuhteid käsitlevaid andmeid.

16.

Berliini andmekaitseametnik (Berliner Beauftragte für den Datenschutz, edaspidi „andmekaitseasutus“) juhtis 23. juunil 2017 toimunud kohapealse kontrolli käigus Deutsche Wohneni tähelepanu sellele, et tema kontserni kuuluvad ettevõtjad säilitavad üürnike isikuandmeid elektroonilises arhiivisüsteemis, mille puhul ei ole võimalik kindlaks teha, kas andmete säilitamine on vajalik ja kas on tagatud mittevajalikeks muutunud andmete kustutamine.

17.

Andmekaitseasutus esitas Deutsche Wohnenile nõude teatud dokumendid elektroonilisest arhiivisüsteemist edaspidi ja hiljemalt 2017. aasta lõpuks kustutada.

18.

Deutsche Wohnen keeldus sellest põhjendusega, et kustutamine ei ole võimalik tehnilistel ja õiguslikel põhjustel. Seda vastuväidet arutasid Deutsche Wohnen ja andmekaitseasutus kohtumisel, mille käigus viimane märkis, et tehnilised lahendused andmete kustutamiseks on olemas. Arutelu jätkus ja Deutsche Wohnen teatas, et tal on kavas võtta kasutusele uus süsteem selle asemele, mille andmekaitseasutus maha oli laitnud.

19.

Andmekaitseasutus korraldas 5. märtsil 2020 kontrolli kontserni emaettevõtja juures ja võttis andmekogumist ühtekokku 16 juhuslikku proovi. Deutsche Wohnen teatas samal ajal andmekaitseasutusele, et vaidlusalune arhiivisüsteem on kasutuselt kõrvaldatud ja andmed viiakse peatselt üle uude süsteemi.

20.

30. oktoobril 2020 määras andmekaitseasutus Deutsche Wohnenile sanktsiooni seetõttu, et:

21.

Isikuandmete kaitse üldmääruse artikli 25 lõike 1, artikli 5 lõike 1 punktide a, c ja e tahtliku rikkumise eest määrati trahv summas 14385000 eurot ning isikuandmete kaitse üldmääruse artikli 6 lõike 1 rikkumiste eest veel 15 trahvi, mille summa jäi vahemikku 3000 ja 17000 eurot.

22.

Deutsche Wohnen vaidlustas sanktsioonid Landgericht Berlinis (Berliini esimese astme kohus, Saksamaa), kes kaebuse ka rahuldas.

23.

Staatsanwaltschaft Berlin (Berliini prokuratuur, Saksamaa) esitas esimese astme kohtu otsuse peale kaebuse Kammergericht Berlinile (liidumaa kõrgeim üldkohus Berliinis, Saksamaa), kes esitab Euroopa Kohtule järgmised eelotsuse küsimused:

24.

Eelotsusetaotlus registreeriti Euroopa Kohtus 23. detsembril 2021.

25.

Kirjalikud seisukohad esitasid Deutsche Wohnen, Saksamaa, Eesti ja Norra valitsus ning Euroopa Komisjon.

26.

Euroopa Kohus palus 9. novembril 2022 kodukorra artikli 101 lõike 1 alusel eelotsusetaotluse esitanud kohtul selgitada:

27.

Nõutud selgitused registreeriti Euroopa Kohtus 11. jaanuaril 2023.

28.

17. jaanuaril 2023 toimunud kohtuistungil osalesid lisaks neile, kes esitasid kirjalikud seisukohad, Madalmaade valitsus, Euroopa Parlament ja Euroopa Liidu Nõukogu.

29.

Eelotsusetaotluse esitanud kohtu esimene küsimus seisneb kokkuvõttes selles, kas liidu õiguse kohaselt saab juriidilisele isikule määrata isikuandmete kaitse üldmääruse rikkumise eest sanktsiooni ilma, et oleks vaja enne omistada see rikkumine füüsilisele isikule.

30.

Eelotsusetaotluse esitanud kohus tõi oma küsimuses siiski välja mitu keerukat aspekti:

31.

Eelotsusetaotluse esitanud kohus kinnitab, et riigisisene õigus võimaldab äriühingule trahvi määrata üksnes siis, kui sellele saab omistada teatud rikkumised, mille on toime pannud (ainult) selle juhid, kellel on esindusõigus. ( 5 )

32.

Deutsche Wohnen ja Saksamaa valitsus sellega ei nõustu. Nende hinnangul tuleb OWiG § 30 tõlgendada koostoimes OWiG §-dega 9 ja 130, millega koos moodustub ühtne sanktsioonisüsteem. Selle süsteemi kohaselt saab äriühingule haldussanktsiooni määrata ilma, et oleks vaja alustada menetlust füüsilise isiku suhtes, kes tema nimel tegutses. ( 6 )

33.

Vastates Euroopa Kohtu nõudele võtta seisukoht OWiG § 130 võimaliku mõju suhtes, leidis eelotsusetaotluse esitanud kohus, et see ei ole esimese eelotsuse küsimuse puhul asjakohane. Ta väidab oma seisukoha põhjendamiseks, et:

34.

Nendest selgitustest ilmneb, et eelotsusetaotluse esitanud kohtu esimene küsimus vastab riigisisese õiguse arusaamale, mis vastupidi Saksamaa valitsuse seisukohale hõlmab juriidiliste isikute vastutuse korda, mille tunnused võivad olla liidu õigusega vastuolus.

35.

Euroopa Kohus peab arvestama riigisisest õiguslikku raamistikku, nagu seda on kirjeldanud eelotsuse esitanud kohus, ( 7 ) kellel on pädevus oma riigisisest õigust tõlgendada. Riigisisese kohtu esitatud küsimused liidu õiguse tõlgendamise kohta tuleb lahendada seda faktilist ja õiguslikku raamistikku arvestades, mille see kohus on määratlenud omal vastutusel ja mille õigsuse kontrollimine ei ole Euroopa Kohtu ülesanne. ( 8 )

36.

Neist eeldustest lähtuvalt käsitlengi seega esimest eelotsuse küsimust.

37.

Liidu õiguse kohaselt ei ole ühtegi vastuväidet sellele, et Deutsche Wohnen on rikkumise toimepanija ja määratud sanktsiooni passiivne subjekt. See võimalus sisaldub abstraktselt isikuandmete kaitse üldmääruses ja konkreetselt on seda praegusel juhul kasutatud:

38.

Mis puudutab abstraktset aspekti, siis ei ole vaja palju, et kinnitada väidet, et juriidilisele isikule saab määrata sanktsiooni otse isikuandmete kaitse üldmääruse rikkumiste eest. See seisukoht tuleneb suuremate raskusteta isikuandmete kaitse üldmääruse artiklitest 4, 58 ja 83:

39.

Nende sätete kogumist tuleneb täiesti loomupäraselt, et isikuandmete kaitse üldmääruses on soovitud, et selle määruse rikkumise eest määratavate trahvide üks võimalik otsene adressaat oleks juriidiline isik. ( 12 ) Sellest samast loomupärasusest on lähtunud selles valdkonnas pädevad riigisisesed ametiasutused, kes ei ole kõhelnud karistada trahvidega, mis on vahel olnud suured, juriidilisi isikuid, kes on rikkunud isikuandmete kaitse üldmäärust. ( 13 )

40.

Mis puudutab konkreetset aspekti, siis kordan, et andmekaitseasutus pöördus Deutsche Wohneni kui vastutava andmetöötleja poole, kohustades teda kustutama oma arhiividest üürnike teatud isikuandmed; ettevõtja seda nõuet kindla aja jooksul ei täitnud, kuni hetkeni, mil ta muutis oma andmete säilitamise süsteemi.

41.

Eelotsusetaotluse esitanud kohtu sõnul nõuab riigisisene õigus, et selleks, et isikuandmete kaitse üldmääruse rikkumise eest saaks sanktsiooni määrata otse äriühingule, tuleb enne tuvastada füüsilise isiku vastutus. See nähtub OWiG §‑st 30: äriühingule on võimalik trahvi määrata vaid siis, kui talle saab omistada teatud rikkumised, mille on toime pannud tema esindamise ülesannetega juhtivtöötajad ja milleks esindaja peab olema rikkunud vastavat normi, tehes seda õigusvastaselt ja süüliselt. ( 14 )

42.

Arvestades Saksamaa valitsuse OWiG §‑le 130 tuginevat vastuväidet, millega ta vaidlustab eelotsusetaotluse esitanud kohtu tõlgenduse, väljendab eelotsusetaotluse esitanud kohus end viisil, mille ma juba välja tõin, kui tsiteerisin tema vastust Euroopa Kohtule. ( 15 ) Kokkuvõttes väidab ta, et õiguste kaitse, mida too säte pakub, on väga piiratud, võrreldes vastutuse korraga, mis tuleneb ELTL artiklitest 101 ja 102.

43.

Füüsilise isiku vastutuse eelneva tuvastamise tingimus, mida eelotsusetaotluse esitanud kohus rõhutab, ei reguleeri siiski seda, kas isikuandmete kaitse üldmääruse artikli 83 lõiked 4–6 hõlmavad ELTL artiklitele 101 ja 102 omast „funktsionaalset ettevõtja mõistet“, võttes selle riigisisesesse õigusesse üle.

44.

Isikuandmete kaitse üldmääruse artikli 83 lõigete 4–6 eesmärk on arvutada nende sätetes nimetatud isikuandmete kaitse üldmääruse rikkumiste eest määratavate sanktsioonide summad. Täpsemalt näevad need kolm lõiget ette võimaluse, et sanktsioon määratakse „ettevõtjale“.

45.

Selles kontekstis tuleb käsitleda ka isikuandmete kaitse üldmääruse põhjenduses 150 sisalduvat viidet ettevõtjale ELTL artiklite 101 ja 102 tähenduses. Meenutan, et Euroopa Kohtu praktika kohaselt on „liidu konkurentsiõigus […] suunatud ettevõtjate tegevusele ja ettevõtja mõiste hõlmab mis tahes majandustegevusega tegelevat üksust, sõltumata selle üksuse õiguslikust vormist ja rahastamisviisist“. ( 16 )

46.

Kuna isikuandmete kaitse üldmääruse rikkumiste eest määratavate sanktsioonide maksimaalne summa määratakse andmete töötlemise eest vastutavate või selleks volitatud ettevõtjate puhul kindlaks protsendina „eelneva majandusaasta ülemaailmsest aastasest kogukäibest“, ei saa selle summa määramise alus olla äriühingu õiguslik vorm, vaid „majandusüksuse“ staatus eespool välja toodud tähenduses.

47.

Selle põhjuseks on asjaolu, et isikuandmete kaitse üldmääruse artikli 83 lõike 1 kohaselt peavad lõigetes 4–6 sätestatud trahvid olema „tõhusad, proportsionaalsed ja heidutavad“. Nendele kolmele tunnusele vastab üksnes trahv, mille summa määratakse kindlaks selle adressaadi tegeliku või materiaalse majandusliku võimekuse alusel. Sellest tuleneb vajadus trahvi arvutamisel lähtuda materiaalsest või majanduslikust ettevõtja mõistest, mitte kasutada rangelt vormilist mõistet.

48.

Seetõttu lähtub Euroopa seadusandja isikuandmete kaitse üldmääruse rikkumise eest määratavate trahvide suuruse määramisel konkurentsiõigusele omasest „ettevõtja“ tegelikust või materiaalsest määratlusest ( 17 ). Rõhutan samas, et isikuandmete kaitse üldmäärus viitab sellele mõistele ainult neil eesmärkidel.

49.

Praeguses asjas võib ELTL artiklites 101 ja 102 sisalduv ettevõtja mõiste seega olla Deutsche Wohnenile määratava trahvi summa kindlaksmääramisel asjakohane. See, kas viimati nimetatule omistatakse trahvitud ettevõtja staatus (rectius, rikkumise toimepanija) või mitte, on midagi, mis ei sõltu rangelt võttes nende kahe ELTL artikli kohaldamisest.

50.

Eeltoodu ei piira seda, et analoogia alusel mutatis mutandis kohaldada üldpõhimõtteid, mis reguleerivad konkurentsiõiguses sanktsioonide määramise korda (mida Euroopa Kohus on rohkesti tõlgendanud), juriidiliste isikute vastutuse valdkonnas isikuandmete kaitset puudutavate rikkumiste puhul. ( 18 )

51.

Kas isikuandmete kaitse üldmäärusega on kooskõlas riigisisesed õigusnormid, mis seavad juriidilistele isikutele sanktsioonide määramise tingimuseks asjaolu, et enne on toimunud menetlus füüsilise isiku suhtes?

52.

Lisaks sellele, et isikuandmete kaitse üldmäärus on üldkohaldatav, on see oma laadilt kohustuslik ja vahetult kohaldatav igas liikmesriigis vastavalt ELTL artiklile 288. Need tunnused kaotaksid oma sisu, kui liikmesriigid saaksid liidu seadusandja kehtestatud sätetest nende lõplikul kujul kõrvale kalduda.

53.

On tõsi, et just oma eesmärgi ainulaadsuse ja tunnuste tõttu annavad isikuandmete kaitse üldmääruse teatud sätted liikmesriikidele mõningase otsustusruumi, et säilitada või kehtestada riigisisesed eeskirjad, mille eesmärk on teatud sätteid rohkem täpsustada. Nii on see näiteks:

54.

See riigi kaalutlusruum, mille üle kohtuistungil vaieldi, ei saa minu hinnangul minna nii kaugele, et see vähendab võimalust rikkumist juriidilisele isikule süüks panna, nii nagu eelotsusetaotluse kohaselt tuleneb OWiG §‑st 30.

55.

Niisugune juriidiliste isikute vastutuse korra ülesehitus võimaldaks jätta isikuandmete kaitse üldmääruse sanktsioonisüsteemi kohaldamisalast välja rikkumised, mis selle määruse kohaselt tuleb omistada juriidilisele isikule, kellel on vastutava või volitatud töötleja staatus. Nii oleks see siis, kui nimetatud rikkumistes ei oleks osalenud füüsilised isikud, kes juriidilist isikut esindavad, juhivad või selle juhtimise eest vastutavad.

56.

Kordan, et osas, milles juriidiline isik võib olla andmete vastutav töötleja ja selles staatuses isikuandmete kaitse üldmääruse talle omistatavate rikkumiste toimepanija, võib OWiG § 30 kohaldamine tuua kaasa selliste tegude ringi, mille eest võidakse sanktsioone määrata, põhjendamatu piiramise või vähendamise, mis ei vastaks isikuandmete kaitse üldmääruse enda üldisele eesmärgile.

57.

Juriidiline isik, keda saab pidada isikuandmete vastutavaks või volitatud töötlejaks, peab taluma sanktsioonides seisnevaid tagajärgi, mis tekivad isikuandmete kaitse üldmääruse rikkumise tõttu, mida ei ole toime pannud mitte üksnes tema esindajad, juhid või haldajad, vaid ka füüsilised isikud (laias tähenduses töötajad), kes tegutsevad tema äritegevuse raames ja alluvad nende järelevalvele.

58.

Need füüsilised isikud tegelikult järgivad ja määratlevad juriidilise isiku tahet, materialiseerides selle konkreetsete ja kindlate tegude kaudu. Tegemist on tegudega, mis selle tahte konkreetse väljendusena saab omistada lõpuks samale juriidilisele isikule.

59.

Lõpuks on tegemist füüsiliste isikutega, kes olemata päriselt juriidilise isiku esindajad, tegutsevad nende isikute juhtimise all, kes seda juriidilist isikut esindades on jätnud esimesena nimetatud isikute suhtes järelevalve või kontrolli tegemata. Viimaseks jõuab süükspandavus ikka juriidilise isikuni, kuna rikkumine, mille pani toime töötaja, kes tegutseb oma juhtorganite juhtimise all, tuleneb kontrolli- ja järelevalvesüsteemi puudulikkusest, mille eest vastutavad otseselt juhtorganid.

60.

Eeltoodu vastab sellele, kuidas eelotsusetaotluse esitanud kohus on tõlgendanud riigisisest õigust. Samas väidab Saksamaa valitsus, et OWiG §‑de 9, 30 ja 130 koostoimes kohaldamine tekitab süsteemi, milles võidakse sanktsioon määrata rikkumiste eest, mis on omistatud juriidilisele isikule ja mille on toime pannud füüsilised isikud, kes ei täida juhtimis- või esindusfunktsioone, ilma et neid oleks vaja tuvastada. ( 21 )

61.

Nagu ma märkisin, on eelotsusetaotluse esitanud kohtu ülesanne oma riigisiseseid õigusnorme tõlgendada. Kui riigisisese kohtupraktika ja õigusteooria kohaselt, millele Saksamaa valitsus viitab, ( 22 ) lubavad need õigusnormid riigisisest õigust tõlgendada kooskõlas liidu õiguse nõuetega, siis on see midagi, mille peavad lahendama riigisisesed kohtud.

62.

Juhul, kui see tõlgendus on aga contra legem ja riigisisese sanktsioonisüsteemi iseäraliku ülesehituse tõttu ei ole võimalik isikuandmete kaitse üldmääruse eeskirju selles valdkonnas täielikult kohaldada, peab eelotsusetaotluse esitanud kohus liidu õigusega vastuolus oleva riigisisese õigusnormi kohaldamise välistama, et tagada isikuandmete kaitse üldmääruse esimus.

63.

Eelotsusetaotluse esitanud kohus soovib teada, kas isikuandmete kaitse üldmääruse artikli 83 lõigete 4–6 kohaselt „selleks et ettevõtjale saaks määrata trahvi, peab ettevõtja olema süüdi töötaja toime pandud rikkumises […] või piisab põhimõtteliselt juba kohustuste objektiivse täitmata jätmise omistamisest ettevõtjale (strict liability)“. ( 23 )

64.

Selliselt esitatud küsimus on oma laadilt hüpoteetiline, mis muudab selle kahel põhjusel vastuvõetamatuks.

65.

Esiteks nähtub eelotsusetaotlusest, et Deutsche Wohnenile määrati sanktsioon tahtliku (teadliku) tegevuse eest, mitte isikuandmete kaitse üldmäärusest tulenevate kohustuste pelga „objektiivse täitmata jätmise“ tõttu. Eespool välja toodud asjaolude kirjeldusest nähtub, et kõnealune ettevõtja ei täitnud andmekaitseasutuse nõuet teadlikult ja tahtlikult ning jätkas keelatud andmete töötlemist. Selle hinnangu andmisel ei ole tähtis, et andmetöötlussüsteemi muutmisel esines rida tehnilisi ja õiguslikke raskusi.

66.

Teiseks, vastates Euroopa Kohtu nõudele oma küsimust selgitada, märkis eelotsusetaotluse esitanud kohus, et sanktsiooni määramise otsuses esitatud järeldused ei ole esimese astme kohtule siduvad ja nimetatud kohus võib tulevikus lahendada sanktsiooni vastu esitatud hagi väiteid. Kui ta peaks jõudma veendumusele, et rikkumine on toime pandud, on vaja selgeks teha, mis liiki rikkumine aset leidis; see aga sõltub vastusest teisele eelotsuse küsimusele.

67.

Sellest selgitusest lähtudes ilmneb taas teise eelotsuse küsimuse hüpoteetiline olemus: otsus tegevuse kvalifitseerimise kohta ei ole oluline vaidluse lahendamiseks eelotsusetaotluse esitanud kohtus, vaid vajaduse korral pärast kohtuasja tagasisaatmist esimese astme kohtus, et see saaks edaspidi otsuse teha.

68.

Igatahes ja juhul, kui Euroopa Kohus otsustab asja sisuliselt arutada, leian, et vastus sellele küsimusele ei sõltu isikuandmete kaitse üldmääruse artikli 83 lõigete 4–6 tõlgendamisest, mille eesmärk on määrata kindlaks trahvide summa.

69.

Eelotsusetaotluse esitanud kohus eristab: a) juriidilise isiku töötaja poolt toime pandud rikkumist ja b) juriidilise isiku tahtluse või hooletuse esinemist selle rikkumise puhul.

70.

Minu arvates on „töötaja toimepandud rikkumine“ tegelikkuses ja esimese küsimuses öeldut arvestades rikkumine, mille on toime pannud juriidiline isik, kelle alluvuses töötaja tegutses.

71.

Õigesti sõnastatuna viitab küsimus seega võimalusele, et juriidilisele isikule määratakse sanktsioon talle kui andmete vastutavale või volitatud töötlejale pandud kohustuste objektiivse (süüta) täitmata jätmise eest.

72.

Sellele küsimusele vastamiseks võib osutuda tarvilikuks viidata Euroopa Inimõiguste Kohtu (EIK) praktikale seoses põhimõttega, et karistamine peab toimuma seaduse alusel, mille tagab Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (EIÕK) artikkel 7.

73.

Kuigi EIÕK ei kujuta endast liidu õiguskorda formaalselt kuuluvat õigusinstrumenti, seni kuni liit ei ole sellega ühinenud, on selles konventsioonis tunnustatud põhiõigused liidu õiguse üldpõhimõtted (ELL artikli 6 lõige 3).

74.

Euroopa Kohtu praktika kohaselt „on harta artikli 52 lõike 3 – milles on sätestatud, et hartas sisalduvate selliste õiguste tähendus ja ulatus, mis vastavad EIÕKga tagatud õigustele, on samad, mis neile nimetatud konventsiooniga on ette nähtud – eesmärk tagada vajalik kooskõla kummastki õigusaktist tulenevate õiguste vahel, ilma et sellega kahjustataks liidu õiguse ja Euroopa Kohtu sõltumatust“. ( 24 )

75.

Samas sisaldab EIK praktika EIÕK artikli 7 tõlgendamisel nüansse, mis ei lange täielikult kokku:

76.

Tegelikkuses tekitab karistusõiguse dogmaatiliste kategooriate (nulla poena sine culpa) ületoomine halduskaristusõiguse kohaldamisse märkimisväärseid hermeneutilisi raskusi. Süü mõiste alla (selle hooletuse vormis) saab paigutada juhtumeid, mis seisnevad õigusnormi pelgas mittejärgimises, kui selle toimepanijal oli kohustus teada, millist käitumist temalt nõutakse.

77.

Sellest vaatenurgast võivad erinevad süü vormid, sealhulgas väiksema raskusastmega süü, aga ka süü erinevad alused (näiteks culpa in vigilando või in eligendo) tuleneda tegudest, mida mõne teise nurga alt vaadates mõni kohus kvalifitseeriks objektiivse vastutuse juhtudeks. Seetõttu ei ole halduskaristusõiguses piirid ühe ja teise kategooria vahel nii selged, nagu näib tulenevat eelotsusetaotlusest.

78.

Mis puudutab liidu õigust, siis on Euroopa Kohus tegelikult teatud juhtudel aktsepteerinud korda, mida käsitatakse objektiivse vastutusena sanktsioonide määramise valdkonnas. Nii tegi ta näiteks 22. märtsi 2017. aasta kohtuotsuses Euro-Team ja Spirál-Gép järgnevas sõnastuses:

79.

See teoreetiline käsitlus on aga kinnistunud muudes sektorites kui andmekaitse, puudutades niisuguste kohustuste täitmata jätmist, millel on eelistatult formaalne konnotatsioon: tegemist oli sanktsioonidega, mis määrati kiirtee kasutamise eest ilma vastavat teemaksu tasumata, ( 29 ) või niisuguste õigusnormide rikkumise eest, mis puudutavad raskeveoki sõidumeerikute salvestuslehtede kasutamist. ( 30 )

80.

Isikuandmete kaitse üldmääruses sätestatud kohustuste puhul – nende hulgas need, mis käsitlevad isikuandmete töötlemise põhimõtteid (isikuandmete kaitse üldmääruse artikkel 5) ja selle seaduslikkust (isikuandmete kaitse üldmääruse artikkel 6) – tuleb nende kohustuste täitmise üle otsustamisel viia läbi terviklik hindamise ja uurimise menetlus, mis on ulatuslikum kui pelk kohustuste formaalse täitmata jätmise tuvastamine.

81.

Igal juhul leian ma, et isikuandmete kaitse üldmääruse artikkel 83 kinnitab, et objektiivse (süüta) vastutuse kord ei kuulu sanktsioonide määramise valdkonda, ehk teisisõnu nõuab see, et karistatav tegu pandi toime tahtlikult või hooletusest. See nähtub minu hinnangul mitmest selle artikli lõikest:

82.

Seisukoht, mille just esitasin, võib osutuda asjatuks, kui – nagu väidab mõni menetlusse astunud valitsus – isikuandmete kaitse üldmääruses selle kohta sõnaselgete sätete puudumine tähendab, et liikmesriikidele on antud võimalus valida subjektiivse vastutuse kord (tahtlus või hooletus) või kord, mis sisaldab ka objektiivset vastutust.

83.

Möönan, et nende valitsuste seisukohal on teatav argumenteeritud alus: kuna isikuandmete kaitse üldmääruse artikli 83 lõige 2 viitab tahtlusele või hooletusele kui trahvisumma kindlaksmääramise teguritele, mitte aga rikkuva tegevuse enese vältimatutele (olulistele) elementidele, jätab säte lahtiseks võimaluse, et liikmesriigid määratlevad need rikkumise olulised elemendid vastavalt enda äranägemisele.

84.

Leian siiski nii nagu komisjon, et isikuandmete kaitse üldmäärusega kehtestatud sanktsioonide määramise süsteemi, mille vahetu kohaldatavus on vaieldamatu, õige käsitlus pooldab ühte ja ühtset lahendust ( 33 ) kõikidele liikmesriikidele, mitte aga seda, et igaüks neist otsustab ise, kas karistatavad rikkumised peavad või mitte laienema neile, mis on toime pandud tahtlikult või hooletusest.

85.

Minu arvates kinnitavad ühe lahenduse olulisust (ja killustatud lahenduse teostamatust) isikuandmete kaitse üldmääruse põhjendused, millele eelotsusetaotluse esitanud kohus oma taotluses viitab ja milles rõhutatakse vajadust karistada rikkumiste eest samaväärsete sanktsioonidega. ( 34 ) Seda samaväärsust ei oleks, kui iga liikmesriik võiks erinevat laadi tegusid rikkumisteks liigitada, aktsepteerides neid, mis seisnevad pelgalt objektiivses kohustuste täitmata jätmises, millel puuduvad mis tahes tahtluse või hooletuse tunnused.

86.

Eeltoodut arvestades teen Euroopa Kohtule ettepaneku vastata Kammergericht Berlinile (liidumaa kõrgeim üldkohus Berliinis, Saksamaa) järgmiselt:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 58 lõike 2 punkti i koostoimes sama määruse artikli 4 punktiga 7 ja artikliga 83

tuleb tõlgendada nii, et

isikuandmete töötlemise eest vastutavale juriidilisele isikule trahvi määramisel ei ole nõutav, et enne oleks tuvastatud rikkumise toimepanemine selle juriidilise isiku alluvuses tegutseva ühe või mitme konkreetse füüsilise isiku poolt.

Trahvid, mida võidakse määruse 2016/679 alusel määrata, nõuavad, et tegevus, milles seisneb karistatav rikkumine, oleks oma laadilt toime pandud tahtlikult või hooletusest.