Kohtuasi C‑768/21

TR

versus

Land Hessen

(eelotsusetaotlus, mille on esitanud Verwaltungsgericht Wiesbaden)

Euroopa Kohtu (esimene koda) 26. septembri 2024. aasta otsus

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 57 lõike 1 punktid a ja f – Järelevalveasutuse ülesanded – Artikli 58 lõige 2 – Parandusvolitused – Trahv – Järelevalveasutuse kaalutlusruum – Piirid

  1. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Liikmesriigi järelevalveasutused – Volitused – Parandusmeetmete võtmine, sh trahvide määramine – Kaalutlusruum – Piirid

    (Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendused 129 ja 148, artikli 57 lõike 1 punktid a ja f, artikli 58 lõiked 1 ja 2, artikli 77 lõige 1 ning artikkel 83)

    (vt punktid 33, 37–47 ja 50 ning resolutsioon)

  2. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Õiguskaitsevahendid – Kohtule esitatud kaebus otsuse peale, mille järelevalveasutus on teinud teatava kaebuse kohta – Kohtulik kontroll – Ulatus – Piirid – Puudumine

    (Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 58 lõige 2 ja artikkel 78)

    (vt punkt 49)

Kokkuvõte

Euroopa Kohus, kellele Verwaltungsgericht Wiesbaden (Wiesbadeni halduskohus, Saksamaa) esitas eelotsusetaotluse, tegi otsuse selle kohta, milline kaalutlusruum on järelevalveasutusel isikuandmete kaitset käsitlevate õigusnormide tuvastatud rikkumise korral, kui ta võtab parandusmeetmeid, sh määrab trahvi.

Hoiukassa, kes on avalik-õiguslik munitsipaalasutus ja teeb eeskätt panga- ja laenutehinguid, üks töötajatest oli korduvalt ilma sellekohase volituseta tutvunud ühe hoiukassa kliendi, TRi isikuandmetega. Pärast seda, kui TR sai juhuslikult kõnealusest andmetega tutvumisest teada, esitas ta kaebuse pädevale järelevalveasutusele, täpsemalt Hessischer Beauftragte für Datenschutz und Informationsfreiheitile (Hesseni liidumaa andmekaitse- ja infovabaduse volinik, Saksamaa) (edaspidi „andmekaitsevolinik“). Kaebuses märkis ta, et hoiukassa ei olnud talle tema isikuandmetega seotud rikkumisest teada andnud.

Andmekaitsevolinik teatas 3. septembri 2020. aasta otsuses TRile, et kui hoiukassa jättis talle tema isikuandmetega seotud rikkumisest teatamata, ei rikkunud ta isikuandmete kaitse üldmäärust ( 1 ), sest see rikkumine ei kujuta endast tõenäoliselt suurt ohtu TRi õigustele ja vabadustele. Peale selle asus andmekaitsevolinik seisukohale, et hoiukassa suhtes ei ole vaja võtta parandusmeetmeid.

TR esitas selle otsuse peale kaebuse eelotsusetaotluse esitanud kohtule, paludes tal teha andmekaitsevolinikule ettekirjutus võtta hoiukassa suhtes meetmeid. Ta põhjendas oma kaebust väitega, et andmekaitsevolinik ei vaadanud tema kaebust läbi vastavalt isikuandmete kaitse üldmääruse nõuetele ja et andmekaitsevolinik oleks pidanud hoiukassale määrama trahvi.

Kaheldes, kas järelevalveasutusel on käesoleval juhul kohustus võtta parandusmeetmeid, esitas eelotsusetaotluse esitanud kohus Euroopa Kohtule küsimuse isikuandmete kaitse üldmääruse ( 2 ) tõlgendamise kohta.

Euroopa Kohtu hinnang

Kõigepealt rõhutas Euroopa Kohus, et isikuandmete kaitse üldmäärus jätab järelevalveasutusele kaalutlusruumi küsimuses, kuidas ta peab tuvastatud puuduse kõrvaldama, sest see üldmäärus annab kõnealusele asutusele õiguse võtta erinevaid parandusmeetmeid ( 3 ). Nimelt kuulub sobiva ja vajaliku meetme valimine järelevalveasutuse pädevusse, kes peab arvesse võtma kõiki konkreetse juhtumi asjaolusid ja peab kogu nõutava hoolikusega täitma oma ülesannet jälgida, et isikuandmete kaitse üldmäärust täielikult järgitaks. ( 4 ) Samas piirab seda kaalutlusruumi vajadus tagada isikuandmete järjekindel ja kõrgetasemeline kaitse, kohaldades eeskirju rangelt.

Seejärel märkis Euroopa Kohus täpsemalt trahvide ( 5 ) kohta, et trahve kohaldatakse üksiku juhtumi eripärast sõltuvalt kas lisaks muudele parandusmeetmetele või nende asemel. Peale selle sedastas ta, et otsustamisel, kas trahv on vaja määrata ja kui suures summas, peab järelevalveasutus igal üksikjuhtumil nõuetekohaselt arvesse võtma erinevaid asjaolusid, nagu rikkumise laad, raskus ja kestus ( 6 ).

Niisiis võimaldab liidu seadusandja ette nähtud sanktsioonide süsteem järelevalveasutustel määrata iga juhtumi asjaolusid arvestades kõige sobivamad ja põhjendatumad sanktsioonid, võttes arvesse vajadust tagada isikuandmete kaitse üldmääruse täielik järgimine ning järjekindel ja kõrgetasemeline isikuandmete kaitse. Seega ei saa isikuandmete kaitse üldmäärusest järeldada, et kui järelevalveasutus tuvastab isikuandmete rikkumise, on tal igal juhul kohustus võtta parandusmeede, eelkõige määrata trahv, sest tema kohustus on sarnastel asjaoludel reageerida asjakohaselt, et kõrvaldada tuvastatud puudus. Neil asjaoludel ei ole kaebuse esitajal, kelle õigusi on rikutud, subjektiivset õigust nõuda, et järelevalveasutus määraks vastutavale töötlejale trahvi.

Lõpuks täpsustas Euroopa Kohus, et järelevalveasutus on siiski kohustatud sekkuma, kui ühe või mitme parandusmeetme võtmine on konkreetse juhtumi kõiki asjaolusid arvesse võttes asjakohane, vajalik ja proportsionaalne, et tuvastatud puudused kõrvaldada ning tagada isikuandmete kaitse üldmääruse täielik järgimine. Ei ole aga välistatud, et erandjuhul ja konkreetse juhtumi eriomaseid asjaolusid arvestades võib järelevalveasutus jätta parandusmeetme võtmata, isegi kui isikuandmete rikkumine on tuvastatud. Nii võib see olla eelkõige juhul, kui tuvastatud rikkumine ei ole jätkunud, näiteks kui vastutav töötleja, kes on põhimõtteliselt rakendanud asjakohaseid tehnilisi ja korralduslikke meetmeid ( 7 ), on sellest rikkumisest teadasaamisel võtnud asjakohased ja vajalikud meetmed, et rikkumine lõpetada ning et see ei korduks, võttes arvesse kohustusi, mis tal on isikuandmete kaitse üldmääruse alusel ( 8 ).

Neid kaalutlusi arvestades asus Euroopa Kohus seisukohale, et isikuandmetega seotud rikkumise tuvastamise korral ei pea järelevalveasutus võtma parandusmeedet, sh määrama trahvi, kui niisugune sekkumine ei ole tuvastatud puuduse kõrvaldamiseks ja selle määruse täieliku järgimise tagamiseks asjakohane, vajalik või proportsionaalne.

( 1 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 34 alusel.

( 2 ) Isikuandmete kaitse üldmääruse artikli 57 lõike 1 punktide a ja f, artikli 58 lõike 2 ja artikli 77 lõike 1 kohta.

( 3 ) Vastavalt isikuandmete kaitse üldmääruse artikli 58 lõikele 2.

( 4 ) Vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559, punkt 112).

( 5 ) Need on loetletud isikuandmete kaitse üldmääruse artikli 58 lõike 2 punktis i ja artiklis 83.

( 6 ) Isikuandmete kaitse üldmääruse artikli 83 lõige 2.

( 7 ) Isikuandmete kaitse üldmääruse artikli 24 tähenduses.

( 8 ) Eeskätt isikuandmete kaitse üldmääruse artikli 5 lõike 2 ja artikli 24 alusel.