EUROOPA KOHTU OTSUS (kolmas koda)

11. jaanuar 2024 ( *1 )

Eelotsusetaotlus – Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel ja selliste andmete vaba liikumine (isikuandmete kaitse üldmäärus) – Määrus (EL) 2016/679 – Artikli 4 punkt 7 – Mõiste „vastutav töötleja“ – Liikmesriigi ametlik väljaanne – Kohustus avaldada äriühingute või nende seaduslike esindajate ettevalmistatud dokumendid muutmata kujul – Artikli 5 lõige 2 – Sellistes dokumentides sisalduvate isikuandmete järjestikune töötlemine mitme eraldiseisva isiku või üksuse poolt – Vastutuse kindlaksmääramine

Kohtuasjas C‑231/22,

mille ese on ELTL artikli 267 alusel cour d’appel de Bruxelles’i (Brüsseli apellatsioonikohus, Belgia) 23. veebruari 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 1. aprillil 2022, menetluses

État belge

versus

Autorité de protection des données,

menetluses osales:

LM,

EUROOPA KOHUS (kolmas koda),

koosseisus: koja president K. Jürimäe, kohtunikud N. Piçarra, M. Safjan (ettekandja), N. Jääskinen ja M. Gavalec,

kohtujurist: L. Medina,

kohtusekretär: ametnik C. Strömholm,

arvestades kirjalikku menetlust ja 23. märtsi 2023. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

Autorité de protection des données, esindajad: avocates F. Biebuyck, P. Van Muylder ja advocaat E. Kairis,

Belgia valitsus, esindajad: P. Cottin, J.‑C. Halleux ja C. Pochet, keda abistasid avocats S. Kaisergruber ja P. Schaffner,

Ungari valitsus, esindajad: Zs. Biró-Tóth ja M. Z. Fehér,

Euroopa Komisjon, esindajad: A. Bouchagiar, H. Kranenborg ja A.‑C. Simon,

olles 8. juuni 2023. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1

Eelotsusetaotlus käsitleb Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 4 punkti 7 ja artikli 5 lõike 2 tõlgendamist.

2

Taotlus on esitatud État belge’i (Belgia riik) ja isikuandmete kaitse üldmääruse artikli 51 alusel Belgias asutatud järelevalveasutuse Autorité de protection des données (Belgia; edaspidi „andmekaitseamet“) vahelises kohtuvaidluses otsuse üle, millega see asutus kohustas ametlikku väljaannet Moniteur belge’i haldavat ametiasutust, kes selles liikmesriigis toodab ja levitab suurt hulka ametlikke ja avalikke väljaandeid paberil ja elektroonilisel teel, tagama füüsilisele isikule võimaluse kasutada oma õigust andmete kustutamisele seoses selles ametlikus väljaandes avaldatud aktis sisalduvate mitmete isikuandmetega.

Õiguslik raamistik

Liidu õigus

3

Isikuandmete kaitse üldmääruse artikli 4 punktides 2 ja 7 on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

2)

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]

7)

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

[…]“.

4

Isikuandmete kaitse üldmääruse artiklis 5 on sätestatud:

„1.   Isikuandmete töötlemisel tagatakse, et

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)

isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

5

Isikuandmete kaitse üldmääruse artikkel 17 on sõnastatud järgmiselt:

„1.   Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

a)

isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)

andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 6 lõike 1 punktile a või artikli 9 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;

c)

andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid või andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 2 kohaselt;

[…]

3.   Lõikeid 1 ja 2 ei kohaldata sel määral mil isikuandmete töötlemine on vajalik

[…]

b)

selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust, mis näeb ette isikuandmete töötlemise, või täita avalikes huvides olevat ülesannet või teostada vastutava töötleja avalikku võimu;

[…]

d)

avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil kooskõlas artikli 89 lõikega 1 sel määral mil lõikes 1 osutatud õigus tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral, […]

[…]“.

6

Isikuandmete kaitse üldmääruse artiklis 26 on ette nähtud:

„1.   Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2.   Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi vastutava töötleja suhtes ja vastu.“

7

Isikuandmete kaitse üldmääruse artiklis 51 on muu hulgas sätestatud, et liikmesriigid peavad ette nägema ühe või mitu sõltumatut riigiasutust, kes vastutavad üldmääruse kohaldamise järelevalve eest.

Belgia õigus

8

24. detsembri 2002. aasta programmseaduse (loi-programme du 24 décembre 2002; Moniteur belge, 31.12.2002, lk 58686) artiklis 472 on sätestatud:

Moniteur belge on ametlik väljaanne, mida annab välja Moniteur belge’i direktoraat ja mis sisaldab kõiki tekste, mis on ette nähtud avaldamiseks Moniteur belge’is.“

9

Programmseaduse artiklis 474 on sätestatud:

Moniteur belge’i direktoraat avaldab väljaandes Moniteur belge avaldatavad tekstid paberkandjale trükitud kujul neljas eksemplaris.

[…]

Üks eksemplar säilitatakse elektrooniliselt. Kuningas määrab kindlaks elektroonilise säilitamise korra […]“.

10

Programmseaduse artikkel 475 on sõnastatud järgmiselt:

„Muul viisil üldsusele kättesaadavaks tegemine toimub Moniteur belge’i direktoraadi veebisaidi kaudu.

Sellel veebisaidil kättesaadavaks tehtud väljaanded on artiklis 474 ette nähtud pabereksemplaride täpsed elektroonilises vormis reproduktsioonid.“

11

Programmseaduse artiklis 475 bis on sätestatud:

„Iga kodanik võib saada Moniteur belge’is avaldatud akti ja dokumendi koopia omahinnaga Moniteur belge’ilt tasuta telefonitoe teenuse abil. See teenistus pakub ühtlasi kodanikele dokumendiotsingu abiteenust.“

12

24. detsembri 2002. aasta programmseaduse artiklis 475 ter on ette nähtud:

„Ministrite nõukogus arutatava kuningliku dekreediga kehtestatakse täiendavad meetmed, et tagada Moniteur belge’is sisalduva teabe võimalikult laialdane levik ja kättesaadavus.“

Põhikohtuasi ja eelotsuse küsimused

13

Belgias kuulus ühele füüsilisele isikule enamus osaühingu osadest. Kuna selle äriühingu osanikud otsustasid äriühingu kapitali vähendada, muudeti äriühingu põhikirja selle erakorralise üldkoosoleku 23. jaanuari 2019. aasta otsusega.

14

Vastavalt äriseadustikule selle 7. mai 1999. aasta seadusest tulenevas redaktsioonis (Moniteur belge, 6.8.1999, lk 29440) valmistas selle füüsilise isiku notar ette otsuse väljavõtte ning edastas selle pädeva kohtu ehk tribunal de l’entreprise’i (kaubanduskohus) kantseleile, mille tööpiirkonnas on selle äriühingu asukoht. Asjakohaste õigusnormide alusel edastas kohus selle väljavõtte avaldamiseks Moniteur belge’i direktoraadile.

15

Väljavõte avaldati muutmata kujul, st ilma selle sisu kontrollimata, 12. veebruaril 2019Moniteur belge’i lisades vastavalt kohaldatavatele õigusnormidele.

16

Väljavõte sisaldab otsust vähendada nimetatud äriühingu kapitali, selle kapitali algsummat, asjaomase vähenduse suurust ning uut osakapitali summat ja sama äriühingu põhikirja uut teksti. See sisaldab ka lõiku, milles on ära toodud äriühingu kahe osaniku nimed, sealhulgas käesoleva kohtuotsuse punktis 13 nimetatud füüsilise isiku nimi, neile tagasi makstud summad ja nende pangakonto numbrid (edaspidi „põhikohtuasjas kõne all olev lõik“).

17

Olles tuvastanud, et tema notar eksis, kui lisas käesoleva kohtuotsuse punktis 14 nimetatud väljavõttesse põhikohtuasjas kõne all oleva lõigu, kuigi see ei olnud seaduse kohaselt nõutav, tegi füüsiline isik notari ja viimase andmekaitseametniku kaudu toiminguid selleks, et kõnealune lõik kustutataks kooskõlas tema õigusega andmete kustutamisele, mis on ette nähtud isikuandmete kaitse üldmääruse artiklis 17.

18

Justiitsministeerium, mille juurde Moniteur belge’i direktoraat kuulub, keeldus 10. aprilli 2019. aasta otsusega seda kustutamistaotlust rahuldamast.

19

Füüsiline isik esitas 21. jaanuaril 2020 andmekaitseametile justiitsministeeriumi vastu kaebuse, milles palus tuvastada, et kustutamistaotlus on põhjendatud ja tingimused isikuandmete kaitse üldmääruse artikli 17 lõikes 1 ette nähtud õiguse andmete kustutamisele kasutamiseks on täidetud.

20

Andmekaitseamet saatis 23. märtsi 2021. aasta otsusega justiitsministeeriumile „hoiatuse“ ja kohustas viimast rahuldama kustutamistaotluse võimalikult kiiresti: hiljemalt 30 päeva jooksul alates selle otsuse teatavakstegemisest.

21

Belgia riik pöördus 22. aprillil 2021 cour d’appel de Bruxelles’i (Brüsseli apellatsioonikohus, Belgia) poole, kes on eelotsusetaotluse esitanud kohus, selle otsuse tühistamise nõudes.

22

Eelotsusetaotluse esitanud kohus märgib, et poolte vahel on vaidlus küsimuses, kuidas tuleb põhikohtuasjas tõlgendada isikuandmete kaitse üldmääruse artikli 4 punktis 7 sisalduvat mõistet „vastutav töötleja“, kuivõrd põhikohtuasjas kõne all olevas lõigus sisalduvaid isikuandmeid, mille avaldamine ei olnud seaduse kohaselt nõutav, on töödelnud mitu võimalikku „järjestikust“ vastutavat töötlejat. Need on esiteks notar, kes koostas põhikohtuasjas kõne all olevat lõiku sisaldava väljavõtte, lisades sinna ekslikult need andmed, teiseks selle kohtu kantselei, kuhu väljavõte hiljem saadeti, enne kui see edastati Moniteur belge’ile avaldamiseks, ning kolmandaks Moniteur belge, kes pärast selle saamist kohtult avaldas selle muutmata kujul vastavalt tema staatust ja ülesandeid reguleerivatele õigusnormidele, st ilma kontrolli- ja muutmispädevuseta.

23

Sellega seoses on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas Moniteur belge’i võib kvalifitseerida „vastutavaks töötlejaks“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses. Jaatava vastuse korral ja märkides, et põhikohtuasja pooled ei tugine isikuandmete kaitse üldmääruse artiklis 26 ette nähtud kaasvastutusele, soovib eelotsusetaotluse esitanud kohus samuti teada, kas Moniteur belge’i võib üldmääruse artikli 5 lõike 2 alusel pidada ainuvastutavaks määruse artikli 5 lõikes 1 sätestatud põhimõtete järgimise eest või kas see vastutus lasub kumulatiivselt ka ametivõimudel, kes on põhikohtuasjas kõne all olevas lõigus sisalduvaid andmeid enne töödelnud, st notaril, kes koostas seda lõiku sisaldava väljavõtte, ja tribunal de l’entreprise’il (kaubanduskohus), kelle tööpiirkonnas on asjaomase osaühingu registrijärgne asukoht.

24

Neil asjaoludel otsustas cour d’appel de Bruxelles (Brüsseli apellatsioonikohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas isikuandmete kaitse üldmääruse artikli 4 [punkti] 7 tuleb tõlgendada nii, et liikmesriigi ametlikul väljaandel – kellele on usaldatud avaliku teenuse ülesanne avaldada ja arhiveerida ametlikke dokumente ja kes kohaldatava riigisisese õiguse kohaselt vastutab nende ametlike aktide ja dokumentide avaldamise eest, mille avaldamiseks on andnud korralduse kolmandad avalik-õiguslikud asutused, nagu asutused on need edastanud pärast neis sisalduvate isikuandmete töötlemist nende asutuste endi poolt, kusjuures liikmesriigi seadusandja ei ole andnud sellele ametlikule väljaandele õigust hinnata avaldatavate dokumentide sisu ega avaldamise eesmärki ja vahendeid – on vastutava töötleja staatus?

2.

Kui vastus esimesele küsimusele on jaatav, siis kas isikuandmete kaitse üldmääruse artikli 5 [lõiget] 2 tuleb tõlgendada nii, et asjaomane ametlik väljaanne on ainsana kohustatud täitma vastutava töötleja kohustusi, mis tulenevad nimetatud sättest, välistades kolmandad avalik-õiguslikud asutused, kes on enne töödelnud andmeid, mis sisalduvad ametlikes aktides ja dokumentides, mille avaldamist nad taotlevad, või lasuvad need kohustused kumulatiivselt igal järjestikusel vastutaval töötlejal?“

Eelotsuse küsimuste analüüs

Esimene küsimus

25

Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et liikmesriigi ametliku väljaande avaldamise eest vastutavat asutust või organit, kes on selle riigi õigusnormide kohaselt muu hulgas kohustatud avaldama selliseid ametlikke akte ja dokumente muutmata kujul, mille kolmandad isikud on kohaldatavate õigusnormide kohaselt ette valmistanud omal vastutusel ning mis seejärel on esitatud kohtuasutusele, kes saadab need talle avaldamiseks, võib pidada nendes aktides ja dokumentides sisalduvate isikuandmete „vastutavaks töötlejaks“ selle sätte tähenduses.

26

Sissejuhatuseks tuleb täpsustada, et isikuandmete kaitse üldmääruse artikli 4 punktis 7 kasutatud mõiste „vastutav töötleja“ eeldab isikuandmete „töötlemist“ selle määruse artikli 4 punkti 2 tähenduses. Käesoleval juhul nähtub eelotsusetaotlusest, et Moniteur belge on põhikohtuasjas kõne all olevas lõigus sisalduvaid isikuandmeid töödelnud. Kuigi eelotsusetaotluse esitanud kohus ei ole seda töötlemist üksikasjalikult kirjeldanud, nähtub andmekaitseameti ja Belgia valitsuse ühtelangevatest kirjalikest seisukohtadest, et neid andmeid on Moniteur belge vähemalt kogunud, salvestanud, säilitanud, edastamise teel kättesaadavaks teinud ja levitanud; sellised toimingud kujutavad endast „töötlemist“ üldmääruse artikli 4 punkti 2 tähenduses.

27

Sissejuhatavat täpsustust silmas pidades tuleb märkida, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 kohaselt hõlmab mõiste „vastutav töötleja“ füüsilisi või juriidilisi isikuid, avaliku sektori asutusi, ameteid või muid organeid, kes üksi või koos teistega määravad kindlaks töötlemise eesmärgid ja vahendid. Selles sättes on samuti ette nähtud, et kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liikmesriigi õigusega, võib vastutava töötleja määrata või sellise määramise konkreetsed kriteeriumid sätestada liikmesriigi õiguses.

28

Sellega seoses väärib meeldetuletamist, et Euroopa Kohtu praktika kohaselt on selle sätte eesmärk tagada mõiste „vastutav töötleja“ laia määratluse abil andmesubjektide tõhus ja täielik kaitse (vt selle kohta 5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 29, ning 5. detsembri 2023. aasta kohtuotsus Deutsche Wohnen, C‑807/21, EU:C:2023:950, punkt 40 ja seal viidatud kohtupraktika).

29

Võttes arvesse isikuandmete kaitse üldmääruse artikli 4 punkti 7 sõnastust, tõlgendatuna lähtuvalt selle eesmärgist, näib, et selleks, et teha kindlaks, kas isik või üksus tuleb kvalifitseerida „vastutavaks töötlejaks“ selle sätte tähenduses, tuleb analüüsida, kas see isik või üksus määrab üksi või koos teistega kindlaks töötlemise eesmärgid ja vahendid või on need kindlaks määratud riigisisese õigusega. Kui need on kindlaks määratud liikmesriigi õigusega, tuleb kontrollida, kas see õigus määrab vastutava töötleja või näeb ette konkreetsed kriteeriumid, mida kohaldatakse tema määramise suhtes.

30

Sellega seoses on oluline täpsustada, et arvestades mõiste „vastutav töötleja“ laia määratlust isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses, võib töötlemise eesmärkide ja vahendite kindlaksmääramine ning olenevalt olukorrast vastutava töötleja määramine riigisisese õigusega olla nii sõnaselge kui ka kaudne. Viimasel juhul on siiski nõutav, et kindlaksmääramine tuleneks piisavalt kindlalt asjaomasele isikule või üksusele antud rollist, ülesannetest ja volitustest. Nimelt vähendaks see nende isikute kaitset, kui isikuandmete kaitse üldmääruse artikli 4 punkti 7 tõlgendataks kitsendavalt nii, et see hõlmaks üksnes olukordi, kus isiku, ametivõimu, asutuse või organi poolt teostatava andmete töötlemise eesmärgid ja vahendid on riigisiseses õiguses sõnaselgelt kindlaks määratud, isegi kui need eesmärgid ja vahendid nähtuksid sisuliselt asjaomase üksuse tegevust reguleerivatest õigusnormidest.

31

Käesoleval juhul täpsustab eelotsusetaotluse esitanud kohus esiteks, et põhikohtuasjas ei näi Moniteur belge’ile olevat riigisisese õigusega antud pädevust määrata kindlaks tema andmetöötluse eesmärgid ja vahendid; esimene eelotsuse küsimus on esitatud sellest eeldusest lähtudes. Lisaks ilmneb ühtelangevatest selgitustest, mis andmekaitseamet ja Belgia valitsus kohtuistungil esitasid, et Moniteur belge’i haldavale ametiasutusele ehk justiitsministeeriumile ei näi olevat riigisisese õigusega sellist pädevust antud.

32

Teiseks nähtub Euroopa Kohtu käsutuses oleva toimiku materjalidest, et Moniteur belge’ile avaldamiseks edastatud aktides ja dokumentides sisalduvaid isikuandmeid kogutakse, salvestatakse, säilitatakse ja avaldatakse peamiselt muutmata kujul, et üldsust ametlikult nende aktide ja dokumentide olemasolust teavitada ning et neile saaks kolmandate isikute vastu tugineda.

33

Lisaks ilmneb eelotsusetaotluse esitanud kohtu selgitustest, et töötlemine toimub peamiselt automatiseeritud vahendite abil: eelkõige reprodutseeritakse asjaomased andmed paberkandjal trükitud eksemplaridel, millest ühte säilitatakse elektrooniliselt, pabereksemplarid reprodutseeritakse elektrooniliselt Moniteur belge’i veebisaidi jaoks ning koopia võib saada telefonitoe teenuse abil, mille eesmärk on lisaks pakkuda kodanikele dokumentide otsimisel abiteenust.

34

Euroopa Kohtu käsutuses oleva toimiku materjalidest nähtub seega, et Belgia õiguses on vähemalt kaudselt kindlaks määratud Moniteur belge’i poolt isikuandmete töötlemise eesmärgid ja vahendid.

35

Neil asjaoludel tuleb märkida, et Moniteur belge’i võib pidada isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses „vastutavaks töötlejaks“ kui asutust või organit, kelle ülesanne on töödelda tema väljaannetes sisalduvaid isikuandmeid vastavalt Belgia õigusnormides ette nähtud töötlemise eesmärkidele ja vahenditele.

36

Seda järeldust ei sea kahtluse alla asjaolu, et Moniteur belge’il kui justiitsministeeriumi allasutusel ei ole õigusvõimet. Nimelt nähtub selle sätte selgest sõnastusest, et vastutav töötleja ei või olla mitte ainult füüsiline või juriidiline isik, vaid ka ametivõim, asutus või organ, kellel ei ole riigisisese õiguse kohaselt tingimata õigusvõimet.

37

Asjaolu, et riigisisese õiguse kohaselt ei kontrolli Moniteur belge enne nende avaldamist ametlikus väljaandes isikuandmeid, mis sisalduvad aktides ja dokumentides, mille ametlik väljaanne on saanud, ei mõjuta küsimust, kas Moniteur belge’i võib kvalifitseerida vastutavaks töötlejaks.

38

Kuigi on tõsi, et Moniteur belge peab asjaomase dokumendi muutmata kujul avaldama, täidab seda ülesannet ja levitab seejärel asjaomast akti või dokumenti ainult tema üksi. Ühelt poolt on selliste aktide ja dokumentide avaldamine ilma nende sisu kontrollimise või muutmise võimaluseta lahutamatult seotud riigisiseses õiguses kindlaks määratud töötlemise eesmärkide ja vahenditega, kuna sellise ametliku väljaande nagu Moniteur belge roll piirdub üldsuse teavitamisega nende aktide ja dokumentide olemasolust, nagu need on edastatud ametlikule väljaandele koopiana vastavalt kohaldatavale riigisisesele õigusele, selleks et neile saaks kolmandate isikute vastu tugineda. Teiselt poolt oleks isikuandmete kaitse üldmääruse artikli 4 punkti 7 eesmärgiga, millele on viidatud käesoleva kohtuotsuse punktis 28, vastuolus see, kui liikmesriigi ametlik väljaanne jäetaks mõiste „vastutav töötleja“ kohaldamisalast välja põhjusel, et tal puudub kontroll oma väljaannetes sisalduvate isikuandmete üle (vt analoogia alusel 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 34).

39

Eespool toodud põhjendusi silmas pidades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et liikmesriigi ametliku väljaande avaldamise eest vastutavat asutust või organit, kes on selle riigi õigusnormide kohaselt muu hulgas kohustatud avaldama selliseid ametlikke akte ja dokumente muutmata kujul, mille kolmandad isikud on kohaldatavate õigusnormide kohaselt ette valmistanud omal vastutusel ning mis seejärel on esitatud kohtuasutusele, kes saadab need talle avaldamiseks, võib hoolimata sellest, et tal puudub õigusvõime, pidada nendes aktides ja dokumentides sisalduvate isikuandmete „vastutavaks töötlejaks“, kui asjaomases riigisiseses õiguses on kindlaks määratud ametliku väljaande poolt isikuandmete töötlemise eesmärgid ja vahendid.

Teine küsimus

40

Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 5 lõiget 2 tuleb tõlgendada nii, et liikmesriigi ametliku väljaande eest vastutavat asutust või organit, kes on kvalifitseeritud „vastutavaks töötlejaks“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses, tuleb pidada isikuandmete kaitse üldmääruse artikli 5 lõikes 1 sätestatud põhimõtete järgimise eest ainuvastutavaks või peavad neid järgima kumulatiivselt see asutus või organ ja kolmandad avalik-õiguslikud üksused, kes on enne töödelnud isikuandmeid, mis sisalduvad ametlikus väljaandes avaldatud aktides ja dokumentides.

41

Kõigepealt väärib meeldetuletamist, et isikuandmete kaitse üldmääruse artikli 5 lõike 2 kohaselt vastutab vastutav töötleja selle artikli lõikes 1 kohustustena ette nähtud põhimõtete järgimise eest ja ta peab suutma tõendada, et neid põhimõtteid on järgitud.

42

Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust, et põhikohtuasjas kõne all olev isikuandmete töötlemine, mis usaldati Moniteur belge’ile, on ühtaegu nii notari kui ka pädeva kohtu kantselei tehtud töötlemisest hilisem ning ka tehniliselt erinev, kuivõrd see lisandub nende kahe üksuse poolsele töötlemisele. Nimelt on Moniteur belge’i tehtavad toimingud talle riigisiseste õigusaktidega usaldatud ja need hõlmavad muu hulgas talle esitatud aktides või aktide väljavõtetes sisalduvate andmete digitaliseerimist, avaldamist, üldsusele kättesaadavaks tegemist ja säilitamist.

43

Seega tuleb Moniteur belge’i pidada isikuandmete kaitse üldmääruse artikli 5 lõike 2 kohaselt vastutavaks selle artikli lõikes 1 sätestatud põhimõtete järgimise eest seoses töötlemisega, mida ta peab riigisisese õiguse alusel tegema, ja seega kõikide kohustuste eest, mis on vastutavale töötlejale isikuandmete kaitse üldmäärusega pandud.

44

Seejärel, võttes arvesse eelotsusetaotluse esitanud kohtu küsimusi selle kohta, kas niisugune ametlik väljaanne on töötlemise eest ainuvastutav, tuleb meenutada, et – nagu nähtub isikuandmete kaitse üldmääruse artikli 4 punkti 7 sõnastusest – selles sättes ei ole ette nähtud mitte ainult see, et mitu isikut võivad vastutavate töötlejatena ühiselt kindlaks määrata isikuandmete töötlemise eesmärgid ja vahendid, vaid ka see, et liikmesriigi õigus ise võib need eesmärgid ja vahendid kindlaks määrata ning määrata vastutava töötleja või tema määramise konkreetsed kriteeriumid.

45

Nii võib liikmesriigi õigus erinevate isikute või üksuste poolsete töötlemiste ahelas, mis puudutavad samu isikuandmeid, määrata kindlaks nende erinevate isikute või üksuste poolt järjestikku tehtavate töötlemistoimingute eesmärgid ja vahendid nii, et neid peetakse ühiselt vastutavateks töötlejateks.

46

Lisaks tuleb märkida, et isikuandmete kaitse üldmääruse artikli 26 lõikes 1 on ette nähtud kaasvastutus, kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Selles sättes on ka ette nähtud, et kaasvastutavad töötlejad peavad läbipaistval viisil omavahelise kokkuleppega kindlaks määrama oma vastavad kohustused, et tagada üldmääruse nõuete täitmine, välja arvatud juhul ja niivõrd, kui nende vastavad kohustused on kindlaks määratud liidu või nende suhtes kohaldatava liikmesriigi õigusega.

47

Sellest sättest nähtub seega, et isikuandmete kaasvastutavate töötlejate vastavad kohustused ei sõltu tingimata erinevate vastutajate vahelisest kokkuleppest (vt selle kohta 5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punktid 44 ja 45), vaid võivad tuleneda riigisisesest õigusest.

48

Lisaks on Euroopa Kohus esiteks otsustanud, et selleks, et isikut saaks pidada kaasvastutavaks töötlejaks, piisab sellest, kui ta mõjutab temale omastel eesmärkidel isikuandmete töötlemist ja osaleb seeläbi töötlemise eesmärkide ja vahendite kindlaksmääramisel, ning teiseks, et mitme osalise kaasvastutus sama töötlemise eest ei eelda, et igaühel neist oleks juurdepääs asjaomastele isikuandmetele (vt selle kohta 5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punktid 4043 ja seal viidatud kohtupraktika).

49

Käesoleva kohtuotsuse punktidest 44–48 tuleneb, et isikuandmete kaitse üldmääruse artikli 26 lõikest 1 ja artikli 4 punktist 7 nende koostoimes tuleneb, et samade isikuandmete töötlemise ahela mitme osalise kaasvastutuse võib ette näha riigisiseses õiguses, tingimusel et erinevaid töötlemistoiminguid ühendavad selles õiguses kindlaks määratud eesmärgid ja vahendid ning selles õiguses on määratletud iga kaasvastutava töötleja vastavad kohustused.

50

Tuleb täpsustada, et ahelas mitme osalise erinevaid töötlemistoiminguid ühendavate eesmärkide ja vahendite ning nende vastavate kohustuste kindlaksmääramine ei pruugi olla mitte ainult otsene, vaid see võib olla tehtud ka kaudselt riigisisese õigusega, tingimusel et viimati nimetatud juhul saab selle piisavalt selgelt tuletada õigusnormidest, mis reguleerivad asjaomaseid isikuid ja üksusi ning isikuandmete töötlemist, millega nad tegelevad selle õigusega kehtestatud töötlemisahelas.

51

Lõpuks tuleb igaks juhuks täpsustada, et juhul, kui eelotsusetaotluse esitanud kohus jõuab järeldusele, et Moniteur belge’i eest vastutav asutus või organ ei vastuta üksi, vaid koos teiste isikutega isikuandmete kaitse üldmääruse artikli 5 lõikes 1 sätestatud põhimõtete järgimise eest seoses põhikohtuasjas kõne all olevas lõigus sisalduvate andmetega, ei mõjuta selline järeldus kuidagi küsimust, kas muu hulgas isikuandmete kaitse üldmääruse artikli 17 lõike 3 punktides b ja d sätestatud erandeid arvestades tuleb käesoleva kohtuotsuse punktis 13 nimetatud füüsilise isiku esitatud kustutamistaotlus rahuldada.

52

Eespool toodud põhjendusi silmas pidades tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 5 lõiget 2 koostoimes artikli 4 punktiga 7 ja artikli 26 lõikega 1 tuleb tõlgendada nii, et liikmesriigi ametliku väljaande eest vastutav asutus või organ, kes on kvalifitseeritud „vastutavaks töötlejaks“ määruse artikli 4 punkti 7 tähenduses, on selle määruse artikli 5 lõikes 1 sätestatud põhimõtete järgimise eest ainuvastutav seoses isikuandmete töötlemise toimingutega, mida ta peab tegema riigisisese õiguse kohaselt, välja arvatud juhul, kui sellest õigusest tuleneb nende toimingute suhtes kaasvastutus teiste üksustega.

Kohtukulud

53

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

 

Esitatud põhjendustest lähtudes Euroopa Kohus (kolmas koda) otsustab:

 

1.

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punkti 7

tuleb tõlgendada nii, et

liikmesriigi ametliku väljaande avaldamise eest vastutavat asutust või organit, kes on selle riigi õigusnormide kohaselt muu hulgas kohustatud avaldama selliseid ametlikke akte ja dokumente muutmata kujul, mille kolmandad isikud on kohaldatavate õigusnormide kohaselt ette valmistanud omal vastutusel ning mis seejärel on esitatud kohtuasutusele, kes saadab need talle avaldamiseks, võib hoolimata sellest, et tal puudub õigusvõime, pidada nendes aktides ja dokumentides sisalduvate isikuandmete „vastutavaks töötlejaks“, kui asjaomases riigisiseses õiguses on kindlaks määratud ametliku väljaande poolt isikuandmete töötlemise eesmärgid ja vahendid.

 

2.

Määruse 2016/679 artikli 5 lõiget 2 koostoimes artikli 4 punktiga 7 ja artikli 26 lõikega 1

tuleb tõlgendada nii, et

liikmesriigi ametliku väljaande eest vastutav asutus või organ, kes on kvalifitseeritud „vastutavaks töötlejaks“ määruse artikli 4 punkti 7 tähenduses, on selle määruse artikli 5 lõikes 1 sätestatud põhimõtete järgimise eest ainuvastutav seoses isikuandmete töötlemise toimingutega, mida ta peab tegema riigisisese õiguse kohaselt, välja arvatud juhul, kui sellest õigusest tuleneb nende toimingute suhtes kaasvastutus teiste üksustega.

 

Allkirjad


( *1 ) Kohtumenetluse keel: prantsuse.