ATHANASIOS RANTOS
esitatud 20. septembril 2022 ( 1 )
Kohtuasi C‑252/21
Meta Platforms Inc., varem Facebook Inc.,
Meta Platforms Ireland Limited, varem Facebook Ireland Ltd.,
Facebook Deutschland GmbH
versus
Bundeskartellamt,
menetluses osales:
Verbraucherzentrale Bundesverband e.V.
(eelotsusetaotlus, mille on esitanud Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa))
Eelotsusetaotlus – Määrus (EL) 2016/679 – Füüsiliste isikute kaitse isikuandmete töötlemisel – Suhtlusvõrgustikud – Artikli 4 punkt 11 – Andmesubjekti nõusoleku mõiste – Nõusolek, mis on antud ettevõtjale, kes on vastutav töötleja ja turgu valitsevas seisundis – Artikli 6 lõike 1 punktid b–f – Töötlemise seaduslikkus – Töötlemine, mis on vajalik niisuguse lepingu täitmiseks, mille pool andmesubjekt on, või vastutava töötleja või kolmanda isiku õigustatud huvides – Töötlemine, mis on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks, andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks – Artikli 9 lõige 1 ja lõike 2 punkt e – Isikuandmete eriliigid – Isikuandmed, mille andmesubjekt on ilmselgelt avalikustanud – Artiklid 51–66 – Liikmesriigi konkurentsiasutuse volitused – Suhe isikuandmete kaitse järelevalveasutuste volitustega – Meetmete võtmine konkurentsiõiguse alusel asutuse poolt, kes asub teises liikmesriigis kui juhtiv andmekaitse järelevalveasutus
Sissejuhatus
|
1. |
Käesoleva eelotsusetaotluse on esitanud Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa) vaidluse raames, mille pooled on kontserni Meta Platforms ( 2 ) kuuluvad äriühingud ja Bundeskartellamt (föderaalne konkurentsiamet, Saksamaa) ning mis puudutab otsust, millega viimane keelas põhikohtuasja kaebajal tema suhtlusvõrgustiku Facebook kasutustingimustes ette nähtud isikuandmete töötlemise ja nende kasutustingimuste rakendamise ning tegi ettekirjutuse võtta meetmed niisuguse tegevuse lõpetamiseks. ( 3 ) |
|
2. |
Eelotsuse küsimused puudutavad peamiselt esiteks niisuguse riigisisese konkurentsiasutuse nagu föderaalne konkurentsiamet pädevust analüüsida peamise küsimusena või täiendavalt ettevõtja tegevust, lähtudes määruse (EL) 2016/679 ( 4 ) teatavatest sätetest, ning teiseks nende sätete tõlgendamist, mis puudutab eelkõige delikaatsete isikuandmete töötlemist, isikuandmete töötlemise seaduslikkuse küsimuses asjakohaseid tingimusi ja vabatahtliku nõusoleku andmist turgu valitsevas seisundis ettevõtjale. |
Õiguslik raamistik
Liidu õigus
|
3. |
Isikuandmete kaitse üldmääruse artiklis 4 on ette nähtud: „Käesolevas määruses kasutatakse järgmisi mõisteid: […]
[…]“. |
|
4. |
Selle määruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõikes 1 on sätestatud: „Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.“ |
|
5. |
Selle määruse artikli 9 „Isikuandmete eriliikide töötlemine“ lõigetes 1 ja 2 on ette nähtud: „1. Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta. 2. Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:
[…]
[…]“. |
|
6. |
Selle määruse VI peatükis „Sõltumatud järelevalveasutused“ paiknevas artiklis 51 „Järelevalveasutus“ on sätestatud: „1. Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus […]. 2. Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga. […]“. |
Saksa õigus
|
7. |
Konkurentsipiirangute vastase seaduse (Gesetz gegen Wettbewerbsbeschränkungen, edaspidi „GWB“) § 19 lõikes 1 on sätestatud: „Turgu valitseva seisundi kuritarvitamine ühe või enama ettevõtja poolt on keelatud.“ ( 5 ) |
|
8. |
GWB §‑s 50f on ette nähtud: „(1) Konkurentsiasutused, reguleerivad asutused, föderaalne andmekaitse ja teabevabaduse inspektor, piirkondlikud andmekaitseinspektorid ja pädevad asutused Euroopa Liidu tarbijakaitseõiguse rakendamise seaduse (EU-Verbraucherschutzdurchführungsgesetz) § 2 tähenduses võivad olenemata valitud menetlusest vahetada omavahel teavet, sh isikuandmeid ning kaubandus‑ ja ärisaladusi, kui see on vajalik nende vastavate ülesannete täitmiseks, ning seda teavet oma menetlustes kasutada. […]“. |
Põhikohtuasi, eelotsuse küsimused ja menetlus Euroopa Kohtus
|
9. |
Meta Platforms opereerib veebipõhist suhtlusvõrgustikku Facebook Euroopa Liidus (aadressil www.facebook.com) ning pakub muid digiteenuseid, sh Instagram ja WhatsApp. Meta Platformsi opereeritavate suhtlusvõrgustike majandusmudel seisneb peamiselt esiteks tasuta suhtlusvõrgustikuteenuste pakkumises erakasutajatele ja teiseks veebireklaami müümises – reklaam, mis on suunatud suhtlusvõrgustiku individuaalsele kasutajale ning mille eesmärgiks on näidata kasutajale sellist reklaami, mis võiks talle tema isikliku tarbimiskäitumise, tema huvide, ostujõu ja eluolu alusel huvi pakkuda. Seda liiki reklaami tehniline alus on võrgu ja kontserni tasandil pakutavate digiteenuste kasutajate väga üksikasjalike profiilide automatiseeritud koostamine. ( 6 ) |
|
10. |
Kasutajate andmete kogumisel ja töötlemisel tugineb Meta Platforms kasutuslepingutele, mille ta on sõlminud oma kasutajatega nii, et nad vajutavad nuppu „registreeri“, millega need kasutajad nõustuvad seega Facebooki kasutustingimustega. Nende kasutustingimustega nõustumine on Facebooki suhtlusvõrgustiku kasutamise oluline eeltingimus. ( 7 ) Element, mis on käesoleva kohtuasja keskmes, puudutab praktikat, mis seisneb esiteks nende andmete kogumises, mis saadakse eraldi pakutavate kontserni enda teenuste ning kolmandate isikute veebisaitide külastamisest ja rakenduste kasutamisest nendesse viimastesse integreeritud kasutajaliideste või kasutaja arvutis või mobiilses lõppseadmes registreeritud küpsiste kaudu; teiseks nende andmete sidumises asjaomase kasutaja Facebooki kontoga ning kolmandaks nende andemete kasutamises (edaspidi „vaidlusalune praktika“). |
|
11. |
Föderaalne konkurentsiamet algatas Meta Platformsi vastu menetluse, mille tulemusena keelas ta vaidlusaluse otsusega Meta Platformsil Facebooki kasutustingimustes ette nähtud andmetöötluse ja nende tingimuste rakendamise ning tegi talle ettekirjutuse võtta meetmed niisuguse tegevuse lõpetamiseks. Föderaalne konkurentsiamet põhjendas oma otsust eelkõige asjaoluga, et kõnesolev töötlemine kujutas endast selle äriühingu turgu valitseva seisundi kuritarvitamist Saksamaal erakasutajatele mõeldud suhtlusvõrgustike turul GWB § 19 tähenduses. ( 8 ) |
|
12. |
Meta Platforms esitas 11. veebruaril 2019 vaidlusaluse otsuse peale kaebuse Oberlandesgericht Düsseldorfile (liidumaa kõrgeim üldkohus Düsseldorfis), ( 9 ) kes on eelotsusetaotluse esitanud kohus ning kellel on sisuliselt kahtlus, kas esiteks on riigisisestel konkurentsiasutustel võimalik kontrollida andmetöötluse vastavust isikuandmete kaitse üldmääruses sätestatud nõuetele ning tuvastada selle määruse sätete rikkumine ja karistada selle eest, ning kuidas tuleb teiseks selle määruse teatavaid sätteid tõlgendada ja kohaldada. |
|
13. |
Selles olukorras otsustas Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
Kui vastus seitsmendale küsimusele on jaatav, palutakse vastata kolmandale kuni viiendale küsimusele seoses kontserni enda Instagrami teenuse kasutamisest saadud andmetega.“ |
|
14. |
Kirjalikke seisukohti esitasid Meta Platforms, Saksamaa, Tšehhi, Itaalia ja Austria valitsus, föderaalne konkurentsiamet, Verbraucherzentrale Bundesverband e.V. (tarbijakaitseühing, Saksamaa) ning Euroopa Komisjon. Need menetlusosalised esitasid ka suulisi seisukohti kohtuistungil, mis toimus 10. mail 2022. |
Õiguslik analüüs
|
15. |
Käesolevas kohtuasjas esitatud eelotsuse küsimused, milles palutakse tõlgendada isikuandmete kaitse üldmääruse mitut sätet, puudutavad peamiselt esiteks konkurentsiasutuse pädevust tuvastada isikuandmete töötlemist käsitlevate õigusnormide rikkumine ja karistada selle eest ning juhtiva järelevalveasutusega isikuandmete kaitse üldmääruse tähenduses mõistetud koostöö tegemise kohustusi (esimene ja seitsmes küsimus), teiseks delikaatsete isikuandmete töötlemise keeldu ja nende kasutamiseks antava nõusoleku suhtes kohaldatavaid tingimusi (teine küsimus), kolmandaks isikuandmete töötlemise seaduslikkust, lähtudes teatavatest õigustustest (kolmas kuni viies küsimus), ning neljandaks turgu valitsevas seisundis ettevõtjale isikuandmete töötlemiseks antava nõusoleku kehtivust (kuues küsimus). |
|
16. |
Järgnevates punktides käsitlen kõigepealt esimest ja seitsmendat eelotsuse küsimust ning seejärel ülejäänud küsimusi järjekorras, milles need esitati, rühmitades kolmanda kuni viienda küsimuse. |
Esimene eelotsuse küsimus
|
17. |
Esimese eelotsuse küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas konkurentsiasutus võib siis, kui ta menetleb konkurentsieeskirjade rikkumist, esiteks teha peamiselt otsuse ( 10 ) isikuandmete kaitse üldmääruses sätestatud andmete töötlemist käsitlevate õigusnormide rikkumise kohta ettevõtja poolt, kelle põhitegevuskoht, mis on ainuvastutav isikuandmete töötlemise eest kogu liidu territooriumil, asub teises liikmesriigis, ning teiseks teha ettekirjutuse see rikkumine lõpetada (esimese küsimuse punkt a), ning kas jaatava vastuse korral võib juhtiv järelevalveasutus, kes on isikuandmete kaitse üldmääruse artikli 56 lõike 1 järgi pädev, veel analüüsida selle ettevõtja andmetöötlustingimusi (esimese küsimuse punkt b). |
|
18. |
Tingimusel, et seda kontrollib eelotsusetaotluse esitanud kohus, tundub mulle siiski, et föderaalne konkurentsiamet ei ole vaidlusaluses otsuses karistanud Meta Platformsi poolset isikuandmete kaitse üldmääruse rikkumist, vaid on üksnes konkurentsieeskirjade kohaldamise eesmärgil uurinud tema väidetavat turgu valitseva seisundi kuritarvitamist, võttes muu hulgas arvesse selle ettevõtja käitumise vastuolu selle määruse sätetega. |
|
19. |
Seega ei saa minu arvates esimese küsimuse punkt a osas, milles see puudutab konkurentsiasutuse võimalust teha peamiselt otsus isikuandmete kaitse üldmääruse sätete rikkumise kohta ning teha ettekirjutus see rikkumine lõpetada selle määruse tähenduses, anda tulemusi. ( 11 ) |
|
20. |
Sellest järeldub, et esimese küsimuse punkt b, mis sõltub jaatavast vastusest esimese küsimuse punktile a, ei saa samuti anda tulemusi. ( 12 ) |
Seitsmes eelotsuse küsimus
|
21. |
Seitsmenda eelotsuse küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas konkurentsiasutus võib siis, kui menetleb konkurentsieeskirjade rikkumist, lisaks välja selgitada, ( 13 ) kas andmetöötlustingimused ja nende rakendamine on kooskõlas isikuandmete kaitse üldmäärusega (seitsmenda küsimuse punkt a), ning kas jaatava vastuse korral on konkurentsiasutuse uurimine võimalik ka siis, kui nende tingimuste suhtes viib samal ajal uurimismenetlust läbi pädev juhtiv järelevalveasutus (seitsmenda küsimuse punkt b). |
|
22. |
Mis puudutab esiteks seitsmenda küsimuse punkti a, siis mulle näib, et kuigi konkurentsiasutus ei ole pädev tuvastama isikuandmete kaitse üldmääruse rikkumist, ( 14 ) ei ole selle määrusega põhimõtteliselt vastuolus see, kui muud asutused peale järelevalveasutuste võivad omaenese pädevuse ja volituste kasutamisel täiendavalt arvesse võtta tegevuse vastavust isikuandmete kaitse üldmäärusele. Nii on see minu arvates eelkõige juhul, kui konkurentsiasutus kasutab volitusi, mis on talle antud ELTL artikliga 102 ja määruse (EÜ) nr 1/2003 ( 15 ) artikli 5 esimese lõiguga või ükskõik missuguse teise vastava riigisisese õigusnormiga. ( 16 ) |
|
23. |
Nende volituste kasutamisel peab konkurentsiasutus hindama muu hulgas, kas uuritav tegevus kujutab endast teistsuguste vahendite kasutamist kui need, mida kasutatakse toodete või teenuste omadustel põhinevas konkurentsis, võttes arvesse õiguslikku ja majanduslikku konteksti, millesse see tegevus asetub. ( 17 ) Selle tegevuse vastavus või mittevastavus isikuandmete kaitse üldmäärusele mitte iseenesest, vaid arvestades käsitletava juhtumi kõiki asjaolusid, võib olla oluline kaudne tõend selle väljaselgitamisel, kas tegevus kujutab endast niisuguste vahendite kasutamist, mida kasutatakse tavapärases konkurentsis, kusjuures tuleb täpsustada, et see, kas tegevus kujutab endast kuritarvitust või mitte ELTL artiklist 102 lähtudes, ei ilmne selle vastavusest või mittevastavusest isikuandmete kaitse üldmäärusele või teistele õigusnormidele. ( 18 ) |
|
24. |
Leian seega, et turgu valitseva seisundi kuritarvitamise analüüs võib õigustada seda, et konkurentsiasutus tõlgendab niisuguseid õigusnorme, mis ei kuulu konkurentsiõiguse valdkonda, nagu isikuandmete kaitse üldmääruse sätted, ( 19 ) täpsustades samal ajal, et selline analüüs viiakse läbi möödaminnes ( 20 ) ega piira selle määruse kohaldamist pädevate järelevalveasutuste poolt. ( 21 ) |
|
25. |
Mis puudutab teiseks seitsmenda küsimuse punkti b, siis eelotsusetaotluse esitanud kohus tõstatab küsimuse, missugused on konkurentsiasutuse kohustused ELL artikli 4 lõikes 3 sätestatud lojaalse koostöö põhimõtte kohaldamise raames, kui ta tõlgendab isikuandmete kaitse üldmääruse sätteid, juhtiva pädeva järelevalveasutuse ees selle määruse tähenduses ning täpsemalt juhul, kui sama tegevust, mida analüüsib konkurentsiasutus, uurib juhtiv pädev järelevalveasutus. |
|
26. |
Käsitletaval juhul kätkeb see, kui konkurentsiasutus analüüsib – ehkki täiendavalt – ettevõtja tegevust isikuandmete kaitse üldmääruse sätetest lähtudes endast ohtu, et tema ja järelevalveasutuse selle määruse tõlgendus lahknevad, see võib aga põhimõtteliselt kahjustada isikuandmete kaitse üldmääruse ühetaolist tõlgendamist. ( 22 ) |
|
27. |
Liidu õiguses ei ole üksikasjalikke sätteid, mis käsitleksid konkurentsiasutuse ja isikuandmete kaitse üldmääruse tähenduses mõistetud järelevalveasutuste koostööd niisuguses olukorras. Konkreetsemalt ei ole käsitletaval juhul kohaldatavad ei isikuandmete kaitse üldmääruse tähenduses mõistetud pädevate asutuste vahelise koostöö süsteem selle määruse kohaldamisel ( 23 ) ega muud täpsed õigusnormid, mis käsitlevad koostööd haldusasutuste vahel, näiteks sätted, mis käsitlevad koostööd konkurentsiasutuste vahel ning nende ja komisjoni vahel konkurentsieeskirjade kohaldamisel. ( 24 ) |
|
28. |
See märgitud, tuleb juhtida tähelepanu, et kui konkurentsiasutus tõlgendab isikuandmete kaitse üldmäärust, kehtib tema suhtes siiski ELL artikli 4 lõikes 3 sätestatud lojaalse koostöö põhimõte, mille kohaselt austavad liit ja liikmesriigid, sh nende haldusasutused ( 25 ) üksteist vastastikku ning abistavad üksteist vastastikku aluslepingutest tulenevate ülesannete täitmisel. Konkreetselt on selle lõike kolmandas lõigus ette nähtud, et liikmesriigid aitavad kaasa liidu ülesannete täitmisele ja hoiduvad kõigist meetmetest, mis võiksid ohustada liidu eesmärkide saavutamist. ( 26 ) Lisaks kehtib konkurentsiasutuse suhtes – nagu iga haldusasutuse suhtes, kelle ülesandeks on liidu õiguse kohaldamine – hea halduse põhimõte kui liidu õiguse üldpõhimõte, mis hõlmab eelkõige liikmesriigi asutuste ulatuslikku hoolsus‑ ja hoolitsemiskohustust. ( 27 ) |
|
29. |
Seega, olukorras, kus puuduvad täpsed õigusnormid, mis käsitleksid koostöösüsteeme ja mille peab vajaduse korral vastu võtma liidu seadusandja, kehtivad konkurentsiasutuse suhtes siis, kui ta tõlgendab isikuandmete kaitse üldmääruse sätteid, vähemalt teabe vahetamise ja nõudmise ning koostöökohustus pädevate asutuste suhtes selle määruse tähenduses riigisiseste õigusnormide järgi, mis tema volitusi reguleerivad (liikmesriikide menetlusautonoomia põhimõte), ning võrdväärsuse ja tõhususe põhimõtet järgides. ( 28 ) |
|
30. |
Sellest järeldub minu arvates, et kui juhtiv pädev järelevalveasutus on teinud otsuse isikuandmete kaitse üldmääruse teatavate sätete kohaldamise kohta samasuguse või samalaadse praktika suhtes, ei saa konkurentsiasutus põhimõtteliselt eirata selle asutuse tõlgendust – asutus, kes on ainsana pädev seda määrust kohaldama ( 29 ) – ning peab võimaluste piires ja andmesubjektide kaitseõigusi austades järgima võimalikke otsuseid, mille see asutus on teinud sama tegevuse kohta, ( 30 ) konsulteerides temaga – või juhul, kui see asutus paikneb teises liikmesriigis – oma riigi järelevalveasutusega, kui ta kahtleb tõlgenduses, mille on konkreetsel juhul esitanud pädev asutus. ( 31 ) |
|
31. |
Lisaks peab olukorras, kus pädev järelevalveasutus ei ole otsust teinud, konkurentsiasutus siiski talle ( 32 ) teavet andma ja tegema temaga koostööd, kui see asutus on algatanud sama tegevuse uurimise või väljendanud kavatsust seda teha, ning vajaduse korral ootama viimase uurimise tulemust enne oma hindamise alustamist, kui see on asjakohane, ega tee ennatlikku otsust, mis puudutab seda, et konkurentsiasutus järgib mõistliku uurimisaega ja asjaomaste isikute kaitseõigusi. ( 33 ) |
|
32. |
Käsitletaval juhul tundub mulle, et sellest, et föderaalne konkurentsiamet algatas koostöömenetluse riigisiseste vastutavate järelevalveasutustega ( 34 ) ning et ta võttis mitteametlikult ühendust ka Iirimaa juhtiva järelevalveasutusega – asjaolud, mida föderaalne konkurentsiamet nimetab ja mida eelotsusetaotluse esitanud kohus peab kontrollima – võib piisata järelduse tegemiseks, et see asutus täitis oma hoolsus‑ ja lojaalse koostöö kohustused. ( 35 ) |
|
33. |
Kokkuvõtteks teen ettepaneku vastata seitsmendale eelotsuse küsimusele, et isikuandmete kaitse üldmääruse artikleid 51–66 tuleb tõlgendada nii, et konkurentsiasutus võib oma konkurentsiõiguse tähenduses mõistetud volituste raames täiendavalt analüüsida, kas uuritav tegevus on kooskõlas isikuandmete kaitse üldmääruses sätestatuga, võttes samal ajal arvesse isikuandmete kaitse üldmääruse tähenduses mõistetud pädeva järelevalveasutuse iga otsust või uurimist ning andes liikmesriigi järelevalveasutusele teavet ja vajaduse korral temaga konsulteerides. |
Teine eelotsuse küsimus
|
34. |
Teise eelotsuse küsimusega küsib eelotsusetaotluse esitanud kohus sisuliselt, kas isikuandmete kaitse üldmääruse artikli 9 lõiget 1 tuleb tõlgendada nii, et kui vaidlusalune praktika puudutab kolmandate isikute veebilehtede külastamist ja rakenduste kasutamist, ( 36 ) kuulub see loetletud delikaatsete isikuandmete töötlemise hulka, ( 37 ) mis on keelatud ( 38 ) (teise küsimuse punkt a), ning kui jah, siis kas selle määruse artikli 9 lõike 2 punkti e tuleb tõlgendada nii, et kasutaja avalikustab ilmselgelt selle sätte tähenduses esiteks andmed, mille ta on veebilehtede külastamise ja rakenduste kasutamisega paljastanud, või teiseks andmed, mille ta on sisestanud või mis tulenevad nendesse veebilehtedesse või rakendustesse integreeritud valikunuppude aktiveerimisest ( 39 ) (teise küsimuse punkt b). |
|
35. |
Esiteks meenutan teise küsimuse punkti a kohta, et isikuandmete kaitse üldmääruse artikli 9 lõike 1 kohaselt on delikaatsete isikuandmete töötlemine keelatud. Nende andmete erilist kaitset õigustab nähtuvalt selle määruse põhjendusest 51 asjaolu, et need on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti delikaatsed ning nende töötlemine võib põhiõigusi ja -vabadusi olulisel määral ohustada. Lisaks, hoolimata sellest, et selle sätte sõnastus on veidi segane, ( 40 ) ei tundu mulle, et see loob – nagu eelotsusetaotluse esitanud kohus oletab – sisulise erinevuse delikaatsete isikuandmete vahel, mis on delikaatsed seetõttu, et nendest „ilmneb“ teatav olukord, ja juba iseenesest delikaatsete isikuandmete vahel. ( 41 ) |
|
36. |
Käsitletaval juhul on minu arvates ilmne, et vaidlusalune praktika kujutab endast isikuandmete töötlemist, mis võib põhimõtteliselt kuuluda selle sätte kohaldamisalasse ja olla keelatud, kui töödeldavatest andmetest „ilmneb“ üks selles nimetatud delikaatsetest olukordadest. Seega tuleb teha kindlaks, kas ja mil määral võib veebisaitide külastamisest ja rakenduste kasutamisest või andmete lisamisest nendesse „ilmneda“ üks selles sättes nimetatud delikaatsetest olukordadest. |
|
37. |
Kahtlen, kas on asjakohane (ja alati võimalik) eristada ühelt poolt andmesubjekti lihtsat huvi teatava teabe vastu ja teiselt poolt tema kuuluvust ühte selles sättes nimetatud kategooriatest. ( 42 ) Kuigi põhimenetluse poolte seisukohad selles küsimuses on vastandlikud, ( 43 ) olen arvamusel, et vastust sellele küsimusele saab otsida ainult igal üksikjuhul eraldi ja võttes arvesse kõiki vaidlusaluse praktika hulka kuuluvaid tegevusi. |
|
38. |
Kuigi lihtsalt delikaatsete isikuandmete kogumine seoses veebisaidi külastamise või rakenduse kasutamisega ei ole – nagu Saksamaa valitsus märgib – iseenesest tingimata delikaatsete isikuandmete töötlemine selle sätte tähenduses, ( 44 ) kujutavad nende andmete sidumine asjaomase kasutaja Facebooki kontoga või nende kasutamine endast tegevust, mis, vastupidi, võib küll olla niisugune töötlemine. Määrava tähtsusega asjaolu isikuandmete kaitse üldmääruse artikli 9 lõike 1 kohaldamisel on minu arvates võimalus, et need töödeldavad andmed võimaldavad koostada kasutaja profiili andmeliikide põhjal, mis ilmnevad delikaatsete isikuandmete loetelust selles õigusnormis. ( 45 ) |
|
39. |
Niisuguses kontekstis võib selleks, et teha kindlaks, kas andmetöötlus kuulub selle sätte kohaldamisalasse, olla juhul, kui see on asjakohane, kasulik eristada ühelt poolt niisuguste andmete töötlemist, mille võib esmapilgul liigitada nende delikaatsete isikuandmete kategooriasse, mis võimaldavad juba iseenesest koostada asjaomase isiku profiili, ning teiselt poolt nende andmete töötlemist, mis ei ole iseenesest delikaatsed, kuid mis nõuavad hilisemat rühmitamistegevust, et teha usutavaid järeldusi asjaomase isiku profiilianalüüsiks. |
|
40. |
Selles olukorras tuleb täpsustada, et kategoriseerimise olemasolu selle sätte tähenduses ei sõltu sellest, kas see kategoriseerimine on õige või korrektne. ( 46 ) Loeb võimalus, et niisugune kategoriseerimine toob kaasa märkimisväärse ohu andmesubjekti põhivabadustele ja ‑õigustele, nagu on meenutatud isikuandmete kaitse üldmääruse põhjenduses 51, ilma et see võimalus sõltuks kategoriseerimise õigsusest. |
|
41. |
Mis puudutab lõpuks eelotsusetaotluse esitanud kohtu probleemi, kas kasutamise eesmärk on küsimuse hindamisel asjakohane, ( 47 ) siis arvan – vastupidi põhikohtuasja kaebaja väitele –, et põhimõtteliselt ei ole nõutav, et vastutav töötleja töötleks neid andmeid, „teades ja kavatsusega tuletada sellest otseselt teabe eriliigid“. Selle sätte eesmärk on sisuliselt hoida objektiivselt ära suur oht andmesubjektide põhivabadustele ja ‑õigustele, mida tekitab delikaatsete isikuandmete töötlemine, olenemata ükskõik missugusest sellisest subjektiivsest asjaolust nagu vastutava töötleja kavatsus. |
|
42. |
Teiseks meenutan teise küsimuse punkti b kohta, et isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e järgi ei kohaldata delikaatsete isikuandmete töötlemise keeldu siis, kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. Lisaks kohustavad määrsõna „ilmselgelt“ kasutamine selle sätte sõnastuses ja asjaolu, et see säte kujutab endast erandit delikaatsete isikuandmete töötlemise keelu põhimõttest, ( 48 ) seda erandit kohaldama eriti kitsalt märkimisväärsete ohtude tõttu andmesubjektide põhiõigustele ja ‑vabadustele. ( 49 ) Selleks et seda erandit võiks kohaldada, peab kasutaja minu arvates olema täiesti teadlik sellest, et sõnaselge teoga ( 50 ) avalikustab ta isikuandmeid. ( 51 ) |
|
43. |
Käsitletaval juhul tundub mulle, et tegevust, mis seisneb veebisaitide külastamises ja rakenduste kasutamises, andmete sisestamises nendele saitidele ja nendesse rakendustesse ning nendesse integreeritud valikunuppude aktiveerimises, ei saa põhimõtteliselt samastada tegevusega, millega ilmselgelt avalikustatakse kasutaja delikaatsed isikuandmed isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tähenduses. |
|
44. |
Konkreetsemalt märgin, et põhimõtteliselt muudab veebisaitide külastamine ja rakenduste kasutamine kasutusandmed kättesaadavaks ainult kõnesoleva veebilehe või rakenduse haldajale ja kolmandatele isikutele, kellele viimane need andmed edastab, näiteks põhikohtuasja kaebajale. ( 52 ) Ka juhtumi kohta, mil andmete sisestamisega veebisaitidel või rakendustes võib andmesubjekt anda otseselt ja vabatahtlikult teavet teatavate delikaatsete isikuandmete kohta, märgin samuti, et see teave on kättesaadav ainult asjaomase saidi või rakenduse haldajale ja kolmandatele isikutele, kellele viimane selle teabe edastab. Välistan seega, et niisugune tegevus võiks anda tunnistust soovist muuta need andmed üldsusele kättesaadavaks. ( 53 ) Lisaks, kuigi on ilmne, et veebisaitidesse või rakendustesse integreeritud valikunuppude aktiveerimisega ( 54 ) väljendab andmesubjekt selgelt oma tahet jagada teatavat teavet üldsusega väljaspool asjaomast veebisaiti või rakendust, olen arvamusel, et selle tegevuse puhul on andmesubjekt – nagu föderaalne konkurentsiamet rõhutab – teadlik, et jagab teavet teatava isikute ringiga, mille sageli määrab kindlaks kasutaja ise, ( 55 ) mitte üldsusega. ( 56 ) |
|
45. |
Mis puudutab lõpuks eelotsusetaotluse esitanud kohtu mainitud direktiivi 2002/58 artikli 5 lõike 3 tähenduses mõistetud võimaliku kasutaja nõusoleku asjakohasust selleks, et sessiooniidentifikaatorite (küpsiste) või samalaadse tehnoloogia abil võiks koguda isikuandmeid, siis arvan, et see nõusolek ei saa selle konkreetset eesmärki arvestades üksi õigustada niisuguste vahendite abil kogutud delikaatsete isikuandmete töötlemist. ( 57 ) See nõusolek, mis on vajalik, et paigaldada tehniline vahend, mis registreerib kasutaja teatavad tegevused, ( 58 ) ei puuduta delikaatsete isikuandmete töötlemist ja seda ei saa samastada tahtega need andmed ilmselgelt avalikustada isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tähenduses. ( 59 ) |
|
46. |
Kokkuvõttes teen ettepaneku vastata teisele eelotsuse küsimusele, et esiteks tuleb isikuandmete kaitse üldmääruse artikli 9 lõiget 1 tõlgendada nii, et delikaatsete isikuandmete töötlemise keeld võib hõlmata andmetöötlust, mida teeb veebipõhise suhtlusvõrgustiku operaator, mis seisneb kasutaja andmete kogumises siis, kui kasutaja külastab teisi veebisaite või kasutab rakendusi või sisestab sinna oma andmeid, nende andmete sidumises suhtlusvõrgustiku kasutaja kontoga ja nende kasutamises tingimusel, et töödeldav teave võimaldab eraldi või rühmitatuna teha kasutaja profiilianalüüsi liikide põhjal, mis tulenevad selles sättes esitatud delikaatsete isikuandmete loetelust, ning teiseks tuleb isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti e tõlgendada nii, et kasutaja ei avalikusta ilmselgelt andmeid asjaolu tõttu, et ta on need paljastanud veebilehti külastades ja rakendusi kasutades või neile veebilehtedele või nendesse rakendustesse sisestades või et need tulenevad nendesse integreeritud valikunuppude aktiveerimisest. |
Kolmas kuni viies küsimus
|
47. |
Kolmanda kuni viienda eelotsuse küsimusega küsib eelotsusetaotluse esitanud kohus sisuliselt, kas isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkte b, c, d, e ja f tuleb tõlgendada nii, et vaidlusalune praktika ( 60 ) kuulub mõne nendes sätetes ette nähtud õigustuse kohaldamisalasse, kusjuures need õigustused on konkreetsemalt järgmised:
|
|
48. |
Kõigepealt teen hoolimata teatavatest kahtlustest, kas neljas ja viies eelotsuse küsimus on vastuvõetavad, ( 68 ) ettepaneku vastata kolmandale kuni viiendale küsimusele koos, sest juhised, mille ma tagapool peamiselt kolmanda eelotsuse küsimuse kohta annan, võivad eelotsusetaotluse esitanud kohtule ära kuluda nende õigusnormide kohaldamisel, mille kohta on esitatud neljas ja viies eelotsuse küsimus. |
|
49. |
Peamiselt märgin, et vastavalt Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklile 8 tuleb isikuandmeid töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ette nähtud õiguslikul alusel. Selle kohta on isikuandmete kaitse üldmääruse artikli 6 lõikes 1 täpsustatud, et nende andmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks kuuest selles sättes nimetatud tingimusest. ( 69 ) |
|
50. |
Käsitletaval juhul leian kõigepealt, et kolmas kuni viies küsimus eeldavad, et analüüsitaks üksikasjalikult ükshaaval Facebooki kasutustingimuste eri sätteid vaidlusaluse praktika kontekstis, sest ei ole võimalik teha kindlaks, kas seda praktikat arvestades võib „niisugune ettevõtja nagu [Meta Platforms]“ tugineda tervikuna kõikidele (või teatavatele) isikuandmete kaitse üldmääruse artikli 6 lõikes 1 nimetatud õigustustele, kuigi ei saa välistada, et see praktika või teatavad sellesse kuuluvad tegevused võivad teatavatel juhtudel kuuluda selle artikli kohaldamisalasse. ( 70 ) |
|
51. |
Seejärel tuleb märkida, et viidatud sätetes kirjeldatud töötlemine toimub käsitletaval juhul lepingus sisalduvate tüüptingimuste alusel, mille on peale sundinud vastutav töötleja ilma, et andmesubjekt oleks nõusolekut andnud, ( 71 ) või isegi vastu tema tahtmist, mille tõttu tuleb kõnesolevaid õigustusi minu meelest tõlgendada kitsalt, eelkõige selleks, et vältida möödahiilimist nõusolekutingimusest. ( 72 ) |
|
52. |
Lõpuks meenutan, et isikuandmete kaitse üldmääruse artikli 5 lõike 2 järgi lasub tõendamiskoormis selle tõendamisel, et isikuandmeid töödeldakse vastavalt sellele õigusnormile, vastutaval töötlejal, ning selle määruse artikli 13 lõike 1 punkti c kohaselt on isikuandmete töötlemise eest vastutava töötleja ülesandeks täpsustada töötlemise eesmärke, mida andmed ja töötlemise õiguslik alus teenivad. |
Kolmas eelotsuse küsimus
|
53. |
Kõigepealt tuleb märkida, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti b kohaselt on isikuandmete töötlemine seaduslik, kui see on vajalik niisuguse lepingu täitmiseks, mille osaline andmesubjekt on. ( 73 ) |
|
54. |
Meenutan, et mõistet „vajadus“ liidu õigusaktides määratletud ei ole, kuid see kujutab kohtupraktika kohaselt endast siiski liidu õiguse autonoomset mõistet. ( 74 ) Selleks et töötlemine oleks lepingu täitmiseks vajalik, ei piisa sellest, et seda tehakse seoses lepingu täitmisega, ega sellest, et seda on lepingus mainitud, ( 75 ) ega isegi sellest, et see on lihtsalt lepingu täitmise huvides kasulik. ( 76 ) Euroopa Kohtu praktika kohaselt peab töötlemine olema lepingu täitmiseks objektiivselt vajalik selles mõttes, et ei tohi olla realistlikke ja vähem häirivaid alternatiive, ( 77 ) võttes arvesse ka andmesubjekti mõistlikke ootusi. ( 78 ) See hõlmab ka asjaolu, et kui leping näeb ette mitu teenust või ühe ja sama teenuse mitu elementi, mida saab osutada üksteisest sõltumatult, tuleks isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti b kohaldatavust hinnata nendest teenustest igaühe kontekstis eraldi. ( 79 ) |
|
55. |
Selle õigustuse raames mainib eelotsusetaotluse esitanud kohus sisu isikupärastamist ning kontserni oma toodete (või pigem teenuste) läbivat ja sujuvat kasutamist. |
|
56. |
Mis puudutab sisu isikupärastamist, siis mulle näib, et kuigi niisugune tegevus võib olla teataval määral kasutaja huvides, sest see võimaldab esitada – eelkõige „uudisvoos“ – sisu, mis automatiseeritud hinnangu kohaselt vastab kasutaja huvidele, ei ole ilmne, et see on vajalik ka kõne all oleva suhtlusvõrgustiku teenuse osutamiseks, mistõttu ei ole isikuandmete töötlemiseks nendel eesmärkidel vaja selle kasutaja nõusolekut. ( 80 ) Selles analüüsis tuleb arvesse võtta ka seda, et vaidlusalune praktika ei puuduta mitte kasutaja käitumisega seotud andmete töötlemist Facebooki lehe või rakenduse siseselt, vaid välistest allikatest saadud ja seega potentsiaalselt piiramatu hulga andmete töötlemist. Mul tekib seega küsimus, mil määral võib see töötlemine vastata keskmise kasutaja ootustele, ja üldisemalt küsimus, missugune on „isikupärastamise aste“, mida ta võib oodata teenuselt, millega ta liitub. ( 81 ) |
|
57. |
Kontserni oma teenuste läbiva ja sujuva kasutamise kohta märgin, et seos põhikohtuasja kaebaja pakutavate eri teenuste, näiteks Facebooki ja Instagrami vahel võib muidugi olla kasutajale kasulik või vahel võib kasutaja seda isegi soovida. Kahtlen siiski, kas kontserni teistest teenustest (eelkõige Instagramist) pärinevate isikuandmete töötlemine on Facebooki teenuste osutamiseks vajalik. ( 82 ) |
|
58. |
Teiseks on isikuandmete töötlemine isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f kohaselt seaduslik siis, kui see on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul, kui andmesubjekt on laps. |
|
59. |
Euroopa Kohtu praktika kohaselt on kõnesolevas õigusnormis nähtud ette kolm kumulatiivset tingimust, mille täitmisel on isikuandmete töötlemine seaduslik: esiteks siis, kui töötlemine on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, teiseks on vajalik, et isikuandmete töötlemine toimuks õigustatud huvi elluviimiseks, ning kolmandaks võib seda teha tingimusel, et sellist huvi ei kaalu üles andmesubjekti kaitstavate põhiõiguste ja -vabadustega seotud huvid. ( 83 ) |
|
60. |
Kõigepealt meenutan õigustatud huvi järgimise kohta, et isikuandmete kaitse üldmääruses ja kohtupraktikas on leitud suur hulk huve olevat õigustatud, ( 84 ) täpsustades, et vastavalt isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktile d peab vastutav töötleja näitama ära õigustatud huvi, mida isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f raames taotletakse. ( 85 ) |
|
61. |
Mis puudutab seejärel tingimust, et isikuandmete töötlemine peab olema vajalik taotletava õigustatud huvi elluviimiseks, siis Euroopa Kohtu praktika kohaselt tuleb isikuandmete kaitse põhimõtte erandite ja piirangute puhul piirduda rangelt vajalikuga. ( 86 ) Seega peab valitsema tihe seos töötlemise ja taotletava huvi vahel, kui puuduvad alternatiivid, mille puhul kaitstakse isikuandmeid paremini; ei piisa sellest, et töötlemine on lihtsalt vastutavale töötlejale kasulik. |
|
62. |
Mis puudutab lõpuks kaalumist, kummad on olulisemad, kas vastutava töötleja huvid või andmesubjekti huvid või põhiõigused ja ‑vabadused, siis Euroopa Kohtu praktika kohaselt on mängusolevate huvide kaalumine eelotsusetaotluse esitanud kohtu ülesanne. ( 87 ) Lisaks, nagu on märgitud isikuandmete kaitse üldmääruse põhjenduses 47, on selle kaalumise raames kindlasti vaja arvesse võtta andmesubjektide mõistlikke ootusi, mis põhinevad nende suhtel vastutava töötlejaga, ning teha kindlaks, kas andmesubjekt võib isikuandmete kogumise hetkel ja raames mõistlikult oodata, et neid andmeid töödeldakse teataval eesmärgil. |
|
63. |
Seoses selle õigustusega mainib eelotsusetaotluse esitanud kohus reklaami isikupärastamist, võrgustiku turvalisust ja toote parendamist. |
|
64. |
Mis puudutab kõigepealt reklaami isikupärastamist, siis isikuandmete kaitse üldmääruse põhjendusest 47 ilmneb, et isikuandmete töötlemist otseturunduse eesmärgil (direct marketing) võib lugeda töötlemiseks seoses vastutava töötleja õigustatud huviga. Töötlemise vajaduse kohta tuleb siiski märkida, et kõnesolevad andmed pärinevad Facebooki välistest allikatest ning seega tekib küsimus, missugune reklaami „isikupärastamise aste“ on seejuures objektiivselt vajalik. Mis puudutab mängusolevate huvide kaalumist, siis minu meelest tuleb arvesse võtta kõnesoleva õigustatud huvi laadi (käsitletaval juhul puhtalt majanduslik huvi) ning töötlemise mõju kasutajale, sh tema mõistlikud ootused ja võimalikud kaitsemeetmed, mille vastutav töötleja on võtnud. ( 88 ) |
|
65. |
Samasugused kaalutlused võib järgmiseks esitada võrguturbe kohta. Kuigi niisugune õigustus võib kujutada endast vastutava töötleja õigustatud huvi, ( 89 ) siis kaugeltki sama ilmselt ei saa teha järeldust, et töötlemine on käsitletaval juhul vajalik, võttes arvesse ka asjaolu, et kõnesolevad andmed pärinevad Facebooki välistest allikatest. ( 90 ) Igal juhul meenutan, et vastutava töötleja kohus on täpsustada turvalisuse eesmärke, millel iga töötlemine võib põhineda. |
|
66. |
Mis puudutab viimaks toote parendamist, siis kui välja jätta turvalisusega seotud parendused – mis kuuluvad eespool analüüsitud vastava õigustuse alla –, tundub mulle, et niisugune õigustus peaks olema pigem kasutaja kui vastutava töötleja huvides. Sellest vaatevinklist on raske mõista, mil määral võib see kujutada endast vastutava töötleja õigustatud huvi ja mitte nõuda kasutaja nõusolekut. Vajaduse tingimuse ning mängusolevate õiguste ja huvide kaalumise küsimuses viitan eelnevatele kaalutlustele. |
Neljas ja viies eelotsuse küsimus
|
67. |
Neljanda eelotsuse küsimusega, mis sisuliselt laiendab on kolmanda eelotsuse küsimuse teist osa, soovib eelotsusetaotluse esitanud kohus teada saada, kas teatavate loetletud olukordade kordumine kätkeb endas õigustatud huvi olemasolu isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses, samas kui viienda eelotsuse küsimusega püüab see kohus välja selgitada, kas vajadus vastata seadusjärgsele taotlusele esitada teatavad andmed, vajadus võidelda kahjuliku tegevusega ja toetada turvalisust või viia ühiskonna hüvanguks läbi uurimistegevus ning vajadus edendada turvalisust, usaldusväärsust ja ohutust kujutavad endast vaidlusaluse praktika suhtes kohaldatavaid õigustusi. ( 91 ) |
|
68. |
Olenemata nende küsimuste vastuvõetavusest, ( 92 ) arvan üldiselt, et neljanda eelotsuse küsimuse osas ei saa välistada, et teatavaid tingimusi, mis vaidlusalust praktikat iseloomustavad, võivad eelotsusetaotluse esitanud kohtu kirjeldatud asjaoludel õigustada õigustatud huvid, ( 93 ) ning viienda eelotsuse küsimuse osas, et teatavates olukordades võib vaidlusalune praktika olla õigustatud viidatud sätete alusel. |
|
69. |
Eelotsusetaotlusest ei ilmne siiski, kas ja mil määral on Meta Platforms Ireland töödeldavate andmete iga töötlemise eesmärgi ja liigi puhul ära näidanud õigustatud huvid, mida konkreetselt taotletakse, või muud õigustused, mis võivad olla käsitletaval juhtumil asjakohased. ( 94 ) Eelotsusetaotluse esitanud kohus peab eelnevatest juhistest lähtudes seega analüüsima, mil määral õigustavad vaidlusalust praktikat selle kohtu kirjeldatud asjaoludel õigustatud huvid Meta Platforms Irelandi poolt andmete töötlemise vastu isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses või mõni teine selle määruse artikli 6 lõike 1 punktides c, d ja e nimetatud tingimustest. |
Vastus kolmandale kuni viiendale eelotsuse küsimusele
|
70. |
Kokkuvõtteks teen ettepaneku vastata kolmandale kuni viiendale eelotsuse küsimusele, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkte b, c, d, e ja f tuleb tõlgendada nii, et vaidlusalune praktika või teatavad tegevused, mis selle moodustavad, võivad kujutada endast nendes sätetes ette nähtud erandeid tingimusel, et andmete töötlemise iga käsitletav viis vastab vastutava töötleja konkreetselt viidatud õigustuses ette nähtud tingimusele ning seega:
|
Kuues eelotsuse küsimus
|
71. |
Kuuenda eelotsuse küsimusega küsib eelotsusetaotluse esitanud kohus sisuliselt, kas isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a ja artikli 9 lõike 2 punkti a tuleb tõlgendada nii, et kehtiva ja vabatahtliku nõusoleku selle määruse artikli 4 punkti 11 tähenduses võib anda ettevõtjale, kes on erakasutajate veebipõhiste suhtlusvõrgustike riigisisesel turul valitsevas seisundis. |
|
72. |
Kõigepealt meenutan, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis a ja artikli 9 lõike 2 punktis a on nähtud ette andmesubjekti nõusoleku saamise kohustus vastavalt sellele, mis puudutab isikuandmete töötlemist üldiselt ja delikaatsete isikuandmete töötlemist. Isikuandmete kaitse üldmääruse artikli 4 punkti 11 kohaselt on andmesubjekti „nõusolek“ vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega. ( 95 ) |
|
73. |
Mis puudutab konkreetsemalt tingimust, et nõusolek peab olema „vabatahtlik“ – ainus tingimus, mis on käsitletaval juhul kahtluse alla seatud –, siis märgin, et vastavalt isikuandmete kaitse üldmääruse põhjendusele 42 ei tohiks nõusolekut lugeda vabatahtlikult antuks, kui andmesubjektil pole tõelist või vaba valikuvõimalust ( 96 ) või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta. ( 97 ) Lisaks, nagu on nähtud ette isikuandmete kaitse üldmääruse artikli 7 lõikes 1 (ja meenutatud selle põhjenduses 42), siis kui töötlemine põhineb andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõendada, et andmesubjekt andis oma nõusoleku teda puudutavate isikuandmete töötlemiseks. |
|
74. |
Käsitletaval juhul asjakohases osas meenutan kõigepealt, et nagu on rõhutatud isikuandmete kaitse üldmääruse põhjenduse 43 esimeses lauses, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on „selgelt ebavõrdses“ olukorras; ( 98 ) seejärel, et isikuandmete kaitse üldmääruse artikli 7 lõike 4 kohaselt tuleb selle hindamisel, kas nõusolek anti vabatahtlikult, võimalikult suurel määral arvesse võtta seda, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku isikuandmine andmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks, ( 99 ) ning lõpuks, et vastavalt isikuandmete kaitse üldmääruse põhjenduse 43 teisele lausele ei loeta nõusolekut vabatahtlikuks ka siis, kui ei ole võimalik anda erinevatele isikuandmete töötlemise toimingutele eraldi nõusolekut, ehkki see on üksikutel juhtudel asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on pandud sõltuma sellisest nõusolekust, ehkki see on käsitletaval juhtumil sobiv. ( 100 ) |
|
75. |
Käsitletaval juhul leian, et niisuguse isikuandmete vastutava töötleja võimalik turgu valitsev seisund, kes opereerib suhtlusvõrgustikku, etendab rolli selle hindamisel, kas kasutaja andis nõusoleku vabatahtlikult. Isikuandmete vastutava töötleja jõupositsioon turul võib tekitada jõusuhete selge ebavõrdsuse käesoleva ettepaneku punktis 74 näidatud tähenduses. ( 101 ) Tuleb siiski täpsustada esiteks, et selleks, et niisugune turujõud oleks isikuandmete kaitse üldmääruse kohaldamise seisukohast asjakohane, ei tohi seda tingimata samastada valitseva seisundi lävega ELTL artikli 102 tähenduses, ( 102 ) ning teiseks ei saa ainuüksi see asjaolu muuta nõusolekut põhimõtteliselt täiesti kehtetuks. ( 103 ) |
|
76. |
Seega tuleks nõusoleku kehtivust analüüsida igal üksikjuhul eraldi, lähtudes muudest käesoleva ettepaneku punktides 73 ja 74 nimetatud teguritest ning võttes arvesse käsitletava juhtumi kõiki asjaolusid ja ka asjaolu, et tõendamiskoormis selle tõendamisel, et andmesubjekt andis oma nõusoleku teda puudutavate isikuandmete töötlemiseks, lasub vastutaval töötlejal. |
|
77. |
Kokkuvõttes teen ettepaneku vastata kuuendale eelotsuse küsimusele, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a ja artikli 9 lõike 2 punkti a tuleb tõlgendada nii, et ainuüksi asjaolu, et suhtlusvõrgustikku opereeriv ettevõtja on riigisisesel erakasutajatele mõeldud veebipõhiste suhtlusvõrgustike turul valitsevas seisundis, ei saa iseenesest muuta selle võrgu kasutaja nõusolekut tema isikuandmete töötlemiseks kehtetuks isikuandmete kaitse üldmääruse artikli 4 punkti 11 tähenduses. Niisugune asjaolu etendab siiski rolli selle hindamisel, kas nõusolek anti vabatahtlikult selle sätte tähenduses – mida peab tõendama vastutav töötleja, võttes juhul, kui see on asjakohane, arvesse jõusuhete selget ebavõrdsust andmesubjekti ja vastutava töötleja vahel, võimalikku kohustust nõustuda muude isikuandmete töötlemisega peale nende, mida on tingimata vaja töödelda asjaomaste teenuste osutamiseks; vajadust, et nõusolek antaks eraldi igaks töötlemiseesmärgiks, ning vajadust vältida seda, et nõusoleku tagasivõtmine toob nõusoleku tagasi võtnud kasutajale kaasa kahju. |
Ettepanek
|
78. |
Eelnevate kaalutluste põhjal teen Euroopa Kohtule ettepaneku vastata Oberlandesgericht Düsseldorfi (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa) eelotsuse küsimustele järgmiselt:
|
( 1 ) Algkeel: prantsuse.
( 2 ) St Meta Platforms Inc., varem Facebook Inc., Meta Platforms Ireland Limited, varem Facebook Ireland Ltd., ja Facebook Deutschland GmbH (edaspidi „Meta Platforms“ või „põhikohtuasja kaebaja“).
( 3 ) 6. veebruari 2019. aasta otsus B6-22/16 (edaspidi „vaidlusalune otsus).
( 4 ) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, ja parandus ELT 2018, L 127, lk 2, edaspidi „isikuandmete kaitse üldmäärus“).
( 5 ) Kuni 18. jaanuarini 2021 kehtinud redaktsioonis.
( 6 ) Selleks kogub Meta Platforms lisaks andmetele, mida kasutajad annavad otse asjaomaste digiteenuste kasutajaks registreerumisel, veel muid andmeid kasutajate ja seadmete kohta suhtlusvõrgustiku ja kontserni pakutavate digiteenuste siseselt ja väljaspool seda ning seob need andmed asjaomaste kasutajate erinevate kontodega. Need andmed tervikuna võimaldavad teha üksikasjalikke järeldusi kasutajate eelistuste ja huvide kohta.
( 7 ) Mis puudutab konkreetsemalt isikuandmete töötlemist, siis kasutustingimustes on viidatud Meta Patformsi andmete ja sessiooniidentifikaatorite (küpsiste) kasutamise poliitikale. Nende viimaste kohaselt kogub Meta Platforms kasutajate ja nende seadmete kohta andmeid, mis puudutavad nende tegevust suhtlusvõrgustiku siseselt ja väljaspool seda, ning seob need nende Facebooki kontodega. Tegevus, mis leiab aset väljaspool suhtlusvõrgustikku, seisneb esiteks kolmandate isikute veebilehtede külastamises ja kolmandate isikute rakenduste kasutamises, kusjuures need on Facebookiga seotud programmeerimisliideste (Outils Facebook Business) abil, ning teiseks muude kontsernile Meta Platforms kuuluvate digiteenuste, sh Instagram ja WhatsApp kasutamises.
( 8 ) Föderaalse konkurentsiameti sõnul rikuti selle töötlemise kui turujõu väljendusega isikuandmete kaitse üldmäärust ning see ei olnud selle määruse artikli 6 lõikest 1 ja artikli 9 lõikest 2 lähtudes õigustatud.
( 9 ) Lisaks võttis Meta Platforms 31. juulil 2019 Euroopa Komisjoni ja liikmesriikide tarbijakaitseühingute algatusel kasutusele uued kasutustingimused, milles on sõnaselgelt märgitud, et kasutaja mitte ei tasu Facebooki toodete kasutamise eest, vaid kinnitab, et nõustub reklaamidega. Pealegi pakub Meta Platforms alates 28. jaanuarist 2020 üle maailma väljaspool Facebooki nn Off-Facebook-Activity’t, mis võimaldab Facebooki kasutajatel saada kokkuvõtte neid puudutavast teabest, mis on saadud seoses nende tegevusega muudel veebilehtedel ja muudes rakendustes, ning lahutada need andmed, kui nad seda soovivad, oma Facebooki kontost nii minevikku kui tulevikku puudutavas osas.
( 10 ) Mulle tundub, et väljendit „tuvastab […], et […] rikuvad isikuandmete kaitse üldmääruse sätteid, ning teeb ettekirjutuse sellise rikkumise lõpetamiseks“ esimeses eelotsuse küsimuses tuleb tõlgendada nii.
( 11 ) Igal juhul, kuna isikuandmete kaitse üldmääruses on nähtud ette andmekaitseõiguse täielik ühtlustamine, kusjuures selle õiguse keskne element on ühtlustatud rakendamissüsteem, mis rajaneb selle määruse artiklites 51–67 ette nähtud „ühtse kontaktpunkti“ põhimõttel, näib mulle ilmne, et muu asutus kui järelevalveasutus selle määruse tähenduses (näiteks konkurentsiasutus) ei ole pädev tuvastama peamiselt selle määruse rikkumist ega kohaldama selles ette nähtud karistusi.
( 12 ) Igal juhul leian ma, arvestades asjaolu, et konkurentsiasutus ei ole pädev tuvastama peamiselt selle määruse rikkumist ega kohaldama ette nähtud karistusi, et konkurentsiasutuse võimalik vastav otsus ei saa rikkuda järelevalveasutuse volitusi isikandmete kaitse üldmääruse tähenduses.
( 13 ) Seega näib mulle, et nii tuleb tõlgendada väljendit „võib näiteks huvide kaalumise raames teha tähelepanekuid selle kohta, kas selle ettevõtja andmetöötlustingimused ja nende rakendamine vastavad isikuandmete kaitse üldmääruse sätetele“ seitsmendas eelotsuse küsimuses.
( 14 ) Vt käesoleva ettepaneku 11. joonealune märkus.
( 15 ) Nõukogu 16. detsembri 2002. aasta määrus [ELTL artiklites 101 ja 102] sätestatud konkurentsieeskirjade rakendamise kohta (EÜT 2003, L 1, lk 1; ELT eriväljaanne 08/02, lk 205).
( 16 ) Näiteks GWB §‑ga 19, millel vaidlusalune otsus põhineb.
( 17 ) Vt näiteks 6. septembri 2017. aasta kohtuotsus Intel vs. komisjon (C‑413/14 P, EU:C:2017:632, punkt 136 ja seal viidatud kohtupraktika). Lisaks on Euroopa Kohus täpsustanud, et ELTL artikkel 102 on üldkohaldatav ning selle kohaldamine ei saa olla piiratud muu hulgas liidu seadusandja poolt vastu võetud õigusliku raamistiku olemasoluga, käsitletaval juhul elektroonilise side valdkonnas vastu võetud regulatsiooniga (vt selle kohta 10. juuli 2014. aasta kohtuotsus Telefónica ja Telefónica de España vs. komisjon, C‑295/12 P, EU:C:2014:2062, punkt 128).
( 18 ) Nimelt kui lähtuda nende kahe õigusnormide kategooria eri eesmärkidest, on ilmne, et andmetöötlust puudutav tegevus võib kujutada endast konkurentsieeskirjade rikkumist isegi siis, kui see on kooskõlas isikuandmete kaitse üldmäärusega, ja vastupidi, selle määruse kohaselt ebaseaduslik käitumine ei vii tingimata järelduseni, et see kätkeb endast konkurentsieeskirjade rikkumist. Euroopa Kohus on selles küsimuses täpsustanud, et tegevuse vastavus konkreetsetele õigusaktidele ei välista seda, et selle tegevuse suhtes kohaldatakse ELTL artikleid 101 ja 102 (vt eelkõige 6. detsembri 2012. aasta kohtuotsus AstraZeneca vs. komisjon (C‑457/10 P, EU:C:2012:770, punkt 132), milles Euroopa Kohus meenutas ka, et valdavas osas seisneb turgu valitseva seisundi kuritarvitamine tegevuses, mis on muuseas muude õigusharude kui konkurentsiõiguse seisukohast seaduslikud). Kui kuritarvitamisteks ELTL artikli 102 tähenduses pidada üksnes praktikat, mis on korraga objektiivselt konkurentsi piirav ja õiguslikult ebaseaduslik, tähendaks see, et käitumise eest, mis võib küll konkurentsi kahjustada, ei saaks ainuüksi sellepärast, et see on seaduslik, ELTL artikli 102 alusel karistada, mis kahjustaks selle sätte eesmärki kehtestada regulatsioon, mis tagab, et konkurentsi siseturul ei kahjustata (vt selle kohta minu ettepanek kohtuasjas Servizio Elettrico Nazionale jt, C‑377/20, EU:C:2021:998) punkt 37). Euroopa Kohtu praktikast tuleneb, et ainult juhul, kui ettevõtjatele on konkurentsivastane tegevus riigisiseste õigusnormide alusel kohustuslik või kui need õigusnormid moodustavad õigusliku raamistiku, mis välistavad igasuguse ettevõtjatevahelise konkureerimise võimaluse, ei ole ELTL artiklid 101 ja 102 kohaldatavad, kuid need artiklid võivad olla kohaldatavad, kui ilmneb, et riigisisesed õigusnormid jätavad võimaluse konkurentsiks, mida ettevõtjate autonoomne tegevus võib takistada, piirata või kahjustada (vt selle kohta 14. oktoobri 2010. aasta kohtuotsus Deutsche Telekom vs. komisjon, C‑280/08 P, EU:C:2010:603, punkt 80 ja seal viidatud kohtupraktika).
( 19 ) Tõlgendus, mille kohaselt on konkurentsiasutustel keelatud oma volituste kasutamisel tõlgendada isikuandmete kaitse üldmääruse sätteid, oleks tõlgendus, mis seab kahtluse alla liidu konkurentsiõiguse tõhusa kohaldamise.
( 20 ) Lisaks ei takista see, et konkurentsiasutus tõlgendab isikuandmete kaitse üldmääruse sätteid täiendavalt, seda tõlgendust kontrollida konkurentsi alal pädevatel liikmesriigi kohtutel, kes võivad olla tõlgendamisraskuste korral sunnitud esitama Euroopa Kohtule eelotsusetaotluse, nagu see on käsitletaval juhul osas, mis puudutab teist kuni kuuendat eelotsuse küsimust.
( 21 ) Nimelt ei saa see, kui konkurentsiasutus tõlgendab isikuandmete kaitse üldmäärust ainult konkurentsiõiguses ette nähtud õigusnormide kohaldamise (ja vajaduse korral karistuste määramise) eesmärgil, võtta järelevalveasutustelt nende pädevust ja volitusi selle määruse raames. Lisaks ei tekita asjaolu, et konkurentsiasutus võib seda määrust tõlgendada täiendavalt, raskusi ka selle kohaldamise seisukohast, mida teevad ainult järelevalveasutused, ega parandus‑ või karistusmeetmete määramise seisukohast, sest meetmed või karistused, mille võib määrata konkurentsiasutus, põhinevad õigusnormidel, eesmärkidel ja õiguspärastel huvidel, mis erinevad nendest, mida kaitstakse selle määrusega (sel põhjusel ei kohaldata muide niisuguses olukorras karistuste määramise suhtes konkurentsi‑ ja isikuandmete kaitse üldmääruse tähenduses mõistetud järelevalveasutuse poolt minu arvates ne bis in idem’i põhimõtet (vt analoogia alusel 22. märtsi 2022. aasta kohtuotsus bpost, C‑117/20, EU:C:2022:202, punktid 42–50)).
( 22 ) Lisaks on lahkneva tõlgendamise oht omane igale valdkonnale, mida reguleerivad valdkondlikud õigusnormid, mida konkurentsiasutus peab võtma või võib võtta arvesse, et hinnata teatava tegevuse seaduslikkust konkurentsiõigusest lähtudes või isegi niisuguste õigusnormide kohaldamisel, mis reguleerivad ettevõtja ärikäitumist ja mida kohaldavad liikmesriigi kohtud.
( 23 ) Isikuandmete kaitse üldmääruse VI ja VII peatükiga on kehtestatud eelkõige „ühtse kontaktpunkti“ süsteem, mille raames vahetavad järelevalveasutused teavet ja abistavad üksteist vastastikku.
( 24 ) Vt nõukogu määrus nr 1/2003 ja Euroopa Parlamendi ja nõukogu direktiiv (EL) 2019/1 ning Euroopa Parlamendi ja nõukogu 11. detsembri 2018. aasta direktiiv, mille eesmärk on anda liikmesriikide konkurentsiasutustele volitused, et tulemuslikumalt tagada konkurentsinormide täitmine ja et tagada siseturu nõuetekohane toimimine (ELT 2019, L 11, lk 3).
( 25 ) Vt selle kohta eelkõige 14. novembri 1989. aasta kohtuotsus Itaalia vs. komisjon (14/88, EU:C:1989:421, punkt 20) ning 11. juuni 1991. aasta kohtuotsus Athanasopoulos jt (C‑251/89, EU:C:1991:242, punkt 57).
( 26 ) Lisaks võib isikuandmete kaitse üldmäärusega järelevalveasutuste vahel loodud koostöösüsteemi ennast lugeda lex specialis’eks, mis täiendab ja täpsustab ELL artikli 4 lõikes 3 sätestatud lojaalse koostöö üldpõhimõtet (vt eelkõige õigusteoorias Hijmans, H., „Article 51 Supervisory authority“, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, lk 869). Samamoodi on muude, enne isikuandmete kaitse üldmääruses ette nähtud koostöösüsteemi eksisteerinud koostöövahenditega, näiteks konkurentsiasutuste vahelise koostöö süsteem (vt eelkõige määruse nr 1/2003 IV peatükk).
( 27 ) Vt selle kohta kohtujurist Trstenjaki ettepanek kohtuasjas Gorostiaga Atxalandabaso vs. parlament (C‑308/07 P, EU:C:2008:498, punkt 89).
( 28 ) Vt eelkõige 2. juuni 2022. aasta kohtuotsus Skeyes (C‑353/20, EU:C:2022:423, punkt 52 ja seal viidatud kohtupraktika). Minu arvates võib juhiseid, kuidas toimida, leida vajaduse korral isikuandmete kaitse üldmäärusega kehtestatud koostöösüsteemist ning konkurentsi valdkonnas loodud koostöösüsteemist, kusjuures tuleb täpsustada, et kui puuduvad ad hoc sätted, ei lähe konkurentsiasutuse hoolsuskohustus nii kaugele, et viimasel oleksid sellised üksikasjalikud kohustused, nagu on eelkõige ette nähtud koostöö‑ ja ühtluse kontrollimise menetluses, mida reguleerib isikuandmete kaitse üldmääruse VII peatükk (näiteks ei saa oodata, et konkurentsiasutus saadab otsuse projekti pädevale järelevalveasutusele selle määruse tähenduses, et saada viimase arvamus).
( 29 ) Vt selle kohta muu hulgas valdkonnas, mida hõlmavad liidu farmaatsiaalased õigusnormid, analoogia alusel 23. jaanuari 2018. aasta kohtuotsus F. Hoffmann-La Roche jt (C 179/16, EU:C:2018:25, punktid 58–64).
( 30 ) Teiste sõnadega on see otsus ise osa õiguslikust ja faktilisest raamistikust, mida konkurentsiasutus peab analüüsima, kuid võib siiski teha sellest vabalt omad järeldused konkurentsiõiguse kohaldamise vaatevinklist (vt käesoleva ettepaneku 18. joonealune märkus).
( 31 ) Võttes arvesse liikmesriigi järelevalveasutuste rolli ja ülesandeid isikuandmete kaitse üldmäärusega loodud koostöösüsteemis, olen arvamusel, et koostegutsemisest liikmesriigi järelevalveasutusega võib juba iseenesest piisata, et täita konkurentsiasutuse hoolsus‑ ja lojaalse koostöö kohustused, eelkõige siis, kui konkurentsiasutusel ei ole võimalust (kohaldatavaid riigisiseses õiguses ette nähtud menetlusi arvestades) ega vahendeid (eelkõige keelelisi) rahuldavaks koostegutsemiseks teise liikmesriigi juhtiva järelevalveasutusega.
( 32 ) Või vastaval juhul, kui see asutus asub teises liikmesriigis, liikmesriigi järelevalveasutusele (vt käesoleva ettepaneku 31. joonealune märkus).
( 33 ) Meenutades, et see, kuidas konkurentsiasutus isikuandmete kaitse üldmääruse teatavaid sätteid oma volituste kasutamisel tõlgendas, ei ütle ette ära, kuidas peavad neid tõlgendama ja kohaldama pädevad järelevalveasutused selle määruse tähenduses (vt käesoleva ettepaneku 21. joonealune märkus).
( 34 ) Föderaalne konkurentsiamet väidab selles küsimuses, et ta tugines Saksa konkurentsiõigusele, mis võimaldab tal suhelda liikmesriigi järelevalveasutustega isikuandmete kaitse üldmääruse tähenduses.
( 35 ) Seda enam siis, kui – nagu väidab föderaalne konkurentsiamet – Saksamaa föderaalne järelevalveasutus ja Iirimaa juhtiv järelevalveasutus on talle kinnitanud, et viimane ei ole algatanud mingit menetlust seoses sama praktikaga, mida konkurentsiamet analüüsib.
( 36 ) Eelotsusetaotluse esitanud kohus viitab eelkõige veebilehtede külastamisele või rakenduste kasutamisele ja nendele lehtedele või nendesse rakendustesse (näiteks homoseksuaalide flirtimis‑ ja kohtingurakendustesse või poliitiliste erakondade või tervisesaitidele) andmete sisestamisele kasutaja poolt, millest ilmneb selle sättega kaitstud andmeid.
( 37 ) Edaspidi „delikaatsete isikuandmed“. Tegemist on niisuguste isikuandmete töötlemisega, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.
( 38 ) Märgin möödaminnes, et föderaalsel konkurentsiametil on kahtlusi, kas see küsimus on vaidluse lahendamisel asjakohane, sest ta võttis oma otsuses arvesse nõusolekut isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a tähenduses, mitte nõusolekut artikli 9 lõike 2 punkti a tähenduses.
( 39 ) Eelotsusetaotluse esitanud kohus viitab selles küsimuses sotsiaalsetele „pluginatele“ nagu nupud „meeldib“ või „jaga“, „login Facebook“ (st võimalusele logida sisse, kasutades Facebooki kontoga seotud sisselogimise identifikaatoreid) ja „account kit“ (st võimalusele logida sisse rakenduses või saidil, mis ei ole tingimata seotud Facebookiga, telefoninumbri või meiliaadressi abil, ilma et oleks tarvis parooli).
( 40 ) Juhin tähelepanu ka märkimisväärsele ebaühtlusele, mis eristab isikuandmete kaitse üldmääruse prantsuskeelset versiooni, milles on selle sätte esimeses lauses nimetatud isikuandmete töötlemist, mis „toob ilmsiks“ (révèle) teatavad tundlikud olukorrad, selle saksakeelsest versioonist (nagu ka muu hulgas kreeka‑ ja itaaliakeelsest versioonist), milles on nimetatud niisuguseid isikuandmeid, millest „ilmnevad“(révèlent) need olukorrad. Kui ma ei eksi, on selle sätte prantsuskeelne versioon vastuolus enamikuga nendest keeleversioonidest. Lisaks näib mulle selle õigusnormi kontekstis loogilisem siduda verb „ilmnema“ andmetega, sest sellele järgnevad andmed, mida analüüsitakse, mitte töötlemine. See ilmneb ka isikuandmete kaitse üldmääruse põhjenduse 51 sõnastuse prantsuskeelsest tekstist, milles on täpsustatud, et delikaatsed isikuandmed „peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu“ (kohtujuristi kursiiv).
( 41 ) Minu meelest ei ole isikuandmete kaitse üldmääruse artikli 9 lõikega 1 (ja selle määruse) mõttega, milleks on kaitsta isiku teatavaid delikaatseid andmeid, kooskõlas eristada näiteks ühelt poolt rassilist või etnilist päritolu – mis toob kaasa keelu töödelda mitte üksnes andmeid, mis näitavad seda otseselt, vaid ka andmeid, millest ilmneb see olukord, ning teiselt poolt geneetilisi andmeid, mille töötlemise keeld ei laiene andmetele, millest ilmneb see olukord; lisan, et alati ei ole ilmne eristada ühelt poolt andmeid, millest ilmnevad teatavad olukorrad (näiteks rassiline või etniline päritolu), ning teiselt poolt andmeid, mis puudutavad teisi olukordi (näiteks tervist). Märgin, et kui isikuandmete kaitse üldmääruse artikli 9 lõikes 1 on viidatud muu hulgas tervisandmetele, siis selle artikli 4 punktis 15 on „terviseandmed“ määratletud nii, et need on „füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta“ (kohtujuristi kursiiv). Nagu vihjab Saksamaa valitsus, on võimalik, et see ebaühtlus nimetatud õigusnormi sõnastuses kujutab endast ainult mitte eriti õnnestunud katset eristada puhtaid andmeid, mille sisu annab otseselt teavet, ja „metaandmeid“, mille puhul tuleb vastav informeeriv sisu välja ainult konkreetses kontekstis, hindamise või seose läbi.
( 42 ) Põhimõtteliselt on need kaks aspekti – nagu väidab põhikohtuasja kaebaja – erinevad. Ainuüksi asjaolust, et kasutaja on käinud veebisaidil või olnud sellega interaktsioonis, ei ilmne tingimata iseenesest teavet tema uskumuste, tervise, poliitiliste vaadete jms kohta, sest huvi veebisaidi vastu ei näita automaatselt nõustumist sellel saidil levitatavate ideedega või kuulumist sellel esindatud kategooriatesse. Nii on see eelkõige poliitilise erakonna saidi või konkreetset poliitilist ideoloogiat tutvustava saidi külastamisega, mis ei tähenda tingimata selle ideoloogia toetamist, vaid mida võidakse teha uudishimust või isegi kriitilisest suhtumisest sellesse ideoloogiasse.
( 43 ) Meta Platformsi sõnul ei ilmne asjaolust, et kasutaja on külastanud veebisaiti või olnud sellega interaktsioonis, iseenesest delikaatset teavet, sest isegi kui täheldatakse või kasutatakse ära huvi veebisaidi vastu, ei kujuta see endast delikaatsete isikuandmete töötlemist. Nii on see ainult juhul, kui kasutajad kategoriseeritakse nende andmete kaudu. Andmed, mis on vaidlusaluse praktika esemeks, kuuluvad isikuandmete kaitse üldmääruse artikli 9 lõikes 1 ette nähtud kaitse alla seega ainult siis, kui need on seotud ühe selles nimetatud andmeliigiga ning neid töödeldakse subjektiivselt, olukorrast teadlikuna ja kavatsusega tuletada nendest need teabeliigid. Föderaalse konkurentsiameti – minu meelest liiga jäiga – tõlgenduse kohaselt seevastu kaasab juba ainuüksi asjaolu, et andmesubjekt külastab teatavat veebilehte või kasutab rakendust, mille peamine ese kuulub isikuandmete kaitse üldmääruse artikli 9 lõikes 1 loetletud valdkondadesse, selle sättega tagatud kaitse alasse. Delikaatsete isikuandmete kaitse ei sõltu vastutava töötleja kavatsusest neid andmeid kasutada, sest andmesubjekti õigusi kahjustab juba asjaolu, et need andmed viiakse välja tema mõjusfäärist.
( 44 ) Nagu on tõdenud Euroopa Andmekaitsenõukogu, ei tähenda ainuüksi asjaolu, et sotsiaalmeedia pakkuja töötleb suuri andmehulki, mida võib potentsiaalselt kasutada selleks, et tuletada andmete eriliigid, automaatselt seda, et töötlemine kuulub isikuandmete kaitse üldmääruse artikli 9 kohaldamisalasse (vt Euroopa Andmekaitsenõukogu 13. aprilli 2021. aasta suunised 8/2020 sotsiaalmeedia kasutajate sihitamise kohta (edaspidi „Euroopa Andmekaitsenõukogu suunised 8/2020“), punkt 124).
( 45 ) Niisugune tõlgendus võimaldab minu arvates vältida olukorda, mille üle põhikohtuasja kaebaja kurdab ja milles vastutav töötleja rikub sisuliselt vaikimisi isikuandmete kaitse üldmäärust, sest ta ei saa takistada niisuguse teabe võimalikku vastuvõtmist (eelkõige automatiseeritud vahenditega), millel on kaudne seos delikaatsete andmeliikidega, ilma et see piiraks vastutava töötleja kohustust võtta ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid vastavalt isikuandmete kaitse üldmääruse artiklile 32.
( 46 ) Vt selle kohta Euroopa Andmekaitsenõukogu suunised 8/2020, punkt 125.
( 47 ) Eelotsusetaotluse esitanud kohus mainib selles küsimuses suhtlusvõrgustiku ja reklaami isikupärastamist, võrgustiku turvalisust, teenuste parendamist, mõõtmis‑ ja analüüsiteenuste pakkumist reklaamiklientidele, ühiskonna hüvanguks uuringute läbiviimist, vastamist seaduslikele päringutele, vastavust seaduses sätestatud kohustustele, kasutajate ja kolmandate isikute eluliste huvide kaitset, üldsuse huvides täidetavaid ülesandeid.
( 48 ) Vt analoogia alusel 21. detsembri 2016. aasta kohtuotsus Tele2 Sverige ja Watson jt (C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 89 ja seal viidatud kohtupraktika), mis puudutab Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11), artikli 15 lõike 1 tõlgendamist.
( 49 ) Vt ka artikli 29 töörühma arvamus 6/2014, lk 10 ja 11; tegemist on sõltumatu nõuandva organiga, mis asutati Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 29 alusel ning on alates isikuandmete kaitse üldmääruse vastuvõtmisest asendatud Euroopa Andmekaitsenõukoguga.
( 50 ) See tingimus on minu arvates väga lähedane andmesubjekti nõusoleku tingimusele.
( 51 ) Meenutan, et vastavalt isikuandmete kaitse üldmääruse artikli 5 lõikele 2 lasub tõendamiskoormis selle tõendamisel, et isikuandmeid töödeldakse vastavalt isikuandmete kaitse üldmääruses kehtestatud standardile, vastutaval töötlejal.
( 52 ) Lisaks, kui tähelepanelik kasutaja on tõenäoliselt teadlik, et sisselogimisteave on kõnesoleva veebisaidi või rakenduse haldajale kättesaadav, ei ole minu arvates sama ilmne, et ta on teadlik ka sellest, et see teave on kättesaadav ka tema Facebooki konto haldajale.
( 53 ) Kasutaja on parimal juhul teadlik oma „suhtest“ saidi või rakenduse haldaja ja kolmandate isikutega, kellele viimane selle teabe edastab, kuid võib juhtuda, et ta ei ole teadlik isegi sellest suhtest, sest olenevalt asjaoludest võib tal olla tunne, et ta avaldab selle teabe – võib-olla anonüümselt – lihtsalt seadmele.
( 54 ) Tegemist on niisuguste nuppudega nagu nupud „meeldib“ või „jaga“ (vt käesoleva ettepaneku 39. joonealune märkus).
( 55 ) Näiteks Facebook pakub kasutajale oma eelistustes mitut võimalust jagada tema Facebooki kontol kättesaadavat teavet.
( 56 ) Mõistagi ei saa välistada, et erijuhtudel soovib kasutaja nende tegudega tõesti edastada teda puudutavat teavet määramata hulgale isikutele. Näiteks on võimalik, et kasutaja on oma Facebooki konto jagamisvalikute kriteeriumid kindlaks määranud nii, et tema profiilis olemasolev sisu on nähtav kõikidele selle suhtlusvõrgustiku kasutajatele, ja ta on sellest teadlik. Isegi niisugustel asjaoludel ei ole siiski enesestmõistetav, et kasutaja soovis sellise käitumisega kahtlemata väljendada kavatsust need isikuandmed ilmselgelt avalikustada, võttes arvesse asjaolu, et kõnesolevat erandit tuleb tõlgendada kitsalt (vt käesoleva ettepaneku punkt 42).
( 57 ) Vt selle kohta 29. juuli 2019. aasta kohtuotsus Fashion ID (C‑40/17, EU:C:2019:629, punktid 87–89).
( 58 ) Eelkõige „seansi identifikaatorid (küpsised)“ (vt direktiivi 2002/58 põhjendus 25).
( 59 ) Lisaks ei saa seda nõusolekut samastada ka sõnaselge nõusolekuga nende andmete töötlemiseks isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti a tähenduses. Nõusolek profiilianalüüsiks isikuandmete kaitse üldmääruse artikli 22 lõike 1 punkti c tähenduses, mille eesmärk on ilmselgelt piiratud profiilianalüüsiga, ei saa samuti asjakohane olla.
( 60 ) Mis puudutab viiendat eelotsuse küsimust, siis eelotsusetaotluse esitanud kohus on arvanud vaidlusalusesse praktikasse – lisaks muudest kontserni oma teenustest ning kolmandate isikute veebisaitidelt ja rakendustest saadud andmete kogumisele, kasutaja Facebooki kontoga sidumisele ja kasutamisele (vt käesoleva ettepaneku punkt 10) – ka „niisuguste andmete kasutamise, mis on juba muul viisil seaduslikult kogutud ja kasutaja Facebooki kontoga seotud“.
( 61 ) Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt b.
( 62 ) Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt f.
( 63 ) Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt f.
( 64 ) St kui kasutajad on alaealised, kui tegemist on mõõtmis‑, analüüsi‑ ja muude äriteenuste pakkumisega, turundusalase suhtluse pakkumisega kasutajatele, ühiskonna hüvanguks uuringute läbiviimisega ning kui vahetatakse teavet õiguskaitseasutustega ja vastatakse seadusjärgsetele päringutele.
( 65 ) Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt c.
( 66 ) Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt d.
( 67 ) Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt e.
( 68 ) Tundub, et neljanda küsimusega palutakse Euroopa Kohtul võtta seisukoht pigem isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f kohaldamise kui tõlgendamise küsimuses ning viies küsimus ei hõlma põhjuseid, miks on eelotsusetaotluse esitanud kohtul kahtlused, kuidas tuleb tõlgendada selle määruse artikli 6 lõike 1 punkte c, d ja e.
( 69 ) Vt Euroopa Andmekaitsenõukogu 8. oktoobri 2019. aasta suunised 2/2019 isikuandmete töötlemise kohta isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti b alusel andmesubjektidele digiteenuste osutamise raames (edaspidi „Euroopa Andmekaitsenõukogu suunised 2/2019“), punkt 1.
( 70 ) Kuigi põhimenetluse pooles on sisuliselt nõus eeldusega, et nende õigustuste kohaldamiseks tuleb läbi viia analüüs igal üksikul juhtumil eraldi, lahknevad nende seisukohad selle eelduse praktiliste tagajärgede küsimuses. Föderaalne konkurentsiamet rõhutab, et vastutava töötleja ülesanne on näidata üksikasjalikult ära, missuguseid andmeid missugusel kasutusjuhtumil konkreetselt töödeldakse, ning väidab muu hulgas, et põhikohtuasja kaebaja on märkinud ainult, et kogu allikatest väljaspool Facebooki saadavate andmete töötlemine on vajalik igaks andmete töötlemise eesmärgiks, mida on kasutustingimustes nimetatud. Meta Platforms Ireland seevastu leiab, et föderaalne konkurentsiamet ei oleks tohtinud ilma iga töötlemise eripära analüüsimata välistada seda, et vaidlusalune praktika võib rajaneda nendel õigustustel, ega oleks seega tohtinud järeldada, et see tegevus on isikuandmete kaitse üldmäärusega vastuolus.
( 71 ) Kasutaja nõusolek on ette nähtud isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis a.
( 72 ) Euroopa Andmekaitsenõukogu suuniste 2/2019 punktis 16 on täpsustatud muu hulgas, et eesmärgi piirangu põhimõte (isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkt b) ja võimalikult väheste andmete kogumise põhimõte (isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkt c) on eriti olulised digiteenuste lepingutes, mille üle ei peeta tavaliselt individuaalsed läbirääkimisi ning mille puhul esineb kõrgendatud oht, et vastutavad töötlejad püüavad lisada tingimusi, mille eesmärk on koguda ja kasutada võimalikult palju andmeid, täpsustamata neid eesmärke sobival viisil ja sätestamata võimalikult väheste andmete kogumise kohustusi.
( 73 ) Euroopa Andmekaitsenõukogu suuniste 2/2019 punkti 2 kohaselt tugevdab see õigusnorm ettevõtlusvabadust, mis on tagatud harta artikliga 16 ning peegeldab asjaolu, et mõnikord ei saa lepingulisi kohustusi andmesubjekti suhtes täita ilma, et andmesubjekt esitaks teatavad isikuandmed. Täpsustan, et selles sättes nimetatud teine juhtum, st juhtum, mil isikuandmete töötlemine on vajalik lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele, ei puutu käsitletaval juhul asjasse. Nii on see ka küsimusega, kas on olemas kehtiv leping, lähtudes nii kohaldatavast lepinguõigusest kui ka muudest seaduses sätestatud nõuetest, sh tarbijalepingutega seotud nõuded (vt eelkõige nõukogu 5. aprilli 1993. aasta direktiiv 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT 1993, L 95, lk 29; ELT eriväljaanne 15/02, lk 288)), mida eelotsusetaotlus ei puuduta.
( 74 ) Vt osas, mis puudutab isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile b vastavat õigusnormi direktiivi 95/46 artikli 7 punktis e, 16. detsembri 2008. aasta kohtuotsus Huber (C‑524/06, EU:C:2008:724, punkt 52).
( 75 ) Muide, kuigi ainuüksi asjaolust, et isikuandmete töötlemist on lepingus lihtsalt mainitud või sellele viidatud, ei piisa, et kõnesolev töötlemine kuuluks isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti b kohaldamisalasse, võib töötlemine olla objektiivselt vajalik isegi juhul, kui seda ei ole lepingus sõnaselgelt mainitud, ilma et see piiraks vastutava töötleja kohutusi läbipaistvuse alal (vt Euroopa Andmekaitsenõukogu suunised 2/2019, punkt 27).
( 76 ) Vt Euroopa Andmekaitsenõukogu suunised 2/2019, punkt 25.
( 77 ) Vt selle kohta 9. novembri 2010. aasta kohtuotsus Volker und Markus Schecke ja Eifert (C‑92/09 ja C‑93/09, EU:C:2010:662, punkt 86) ning Euroopa Andmekaitsenõukogu suunised 2/2019, punkt 25. Selles küsimuses on nende suuniste punktides 27–32 mainitud muu hulgas, et töötlemine peab olema objektiivselt vajalik eesmärgil, mis on selle lepingulise teenuse andmesubjektile osutamise lahutamatu osa, kusjuures vastutav töötleja peab suutma tõendada, miks ei saa andmesubjektiga sõlmitud konkreetse lepingu põhieset täita ilma asjaomaste isikuandmete konkreetse töötlemiseta. Nende suuniste punktis 33 on selleks esitatud suunavad küsimused.
( 78 ) Vt Euroopa Andmekaitsenõukogu suunised 2/2019, punkt 32.
( 79 ) Vt Euroopa Andmekaitsenõukogu suunised 2/2019, punkt 37.
( 80 ) Austria valitsus märgib tabavalt, et varem lubas põhikohtuasja kaebaja Facebooki kasutajatel valida uudisvoo kronoloogilise esituse ja isikupärastatud esituse vahel, mis näitab, et mõeldav on alternatiivne viis.
( 81 ) Ilma et see piiraks eelotsusetaotluse esitanud kohtu antavat hinnangut, olen arvamusel, et isikuandmete kogumine ja kasutamine väljaspool Facebooki võib olla Facebooki profiili raames pakutavate teenuste osutamiseks vajalik, mistõttu võib esialgu seoses juurdepääsuga suhtlusvõrgutikule (st Facebooki profiili avamiseks) antud nõusolek tõesti hõlmata kasutaja isikuandmete töötlemist väljaspool Facebooki. Niisuguses olukorras sõltuks kõnesolevate teenuste kasutamine nõusolekust, mis ei ole vajalik lepingu täitmiseks, ning vastavalt isikuandmete kaitse üldmääruse artikli 7 lõikele 4 peab eelotsusetaotluse esitanud kohus seda asjaolu (mis kujutab vastavalt isikuandmete kaitse üldmääruse põhjendusele 43 endast nõusoleku kehtetuse eeldust, mille peab ümber lükkama vastutav töötleja isikuandmete kaitse üldmääruse artikli 7 lõike 1 tähenduses) täiel määral arvesse võtma. Lisaks ei vastaks niisugune nõusolek minu arvates ka reeglile, mille loob eraldi nõusolek seoses erinevate isikuandmete töötlemise toimingutega (vt käesoleva ettepaneku punkti 74 kolmas osa), sest miski ei seo Facebooki konto avamisel antud kasutaja esialgset nõusolekut ja tema võimalikku nõusolekut isikuandmete töötlemiseks väljaspool Facebooki. Lisaks isegi juhul, kui hiljem antakse nõusolek konkreetselt andmete kasutamiseks väljaspool Facebooki, on oluline analüüsida, kas vastutav töötleja pakub võimalust valida samaväärne teenus, mis ei eelda nõustumist isikuandmete töötlemisega täiendavatel eesmärkidel (vt Euroopa Andmekaitsenõukogu 4. mai 2020. aasta suuniste 5/2020 määruse (EL) 2016/679 kohase nõusoleku kohta (edaspidi „Euroopa Andmekaitsenõukogu suunised 5/2020“) punkt 37, kusjuures nende suuniste punktis 38 on täpsustatud ka, et vastutav töötleja ei saa viidata samaväärsele teenusele, mida osutab teine operaator).
( 82 ) Nagu märgib Austria valitsus, tundub mulle selles küsimuses otsustava tähtsusega tuvastada, et kontserni erinevaid tooteid saab kasutada üksteisest sõltumatult ning et iga teenuse kasutamine põhineb eraldi kasutuslepingul. Lisaks nagu juhib tähelepanu föderaalne konkurentsiamet, tuleks kontserni oma teenuste läbivat ja sujuvat kasutamist pidada pigem kasutaja huviks kui millekski, mis on vajalik nende teenuste toimimiseks, mistõttu tundub põhimõtteliselt sobivam, et selle valiku teeb kasutaja.
( 83 ) Vt analoogia alusel 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 28), mis puudutab isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile f vastavat õigusnormi direktiivi 95/46 artikli 7 punktis e.
( 84 ) Nagu on märgitud kohtujurist Bobeki ettepanekus kohtuasjas Fashion ID (C‑40/17, EU:C:2018:1039, punkt 122), on mõiste „õigustatud huvi“ direktiivi 95/46 raames üsna paindlik ja avatud. Nagu väidab põhikohtuasja kaeabaja, on Euroopa Kohus leidnud mitu huvi olevat õigustatud (vt eelkõige 13. mai 2014. aasta kohtuotsus Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 81); 19. oktoobri 2016. aasta kohtuotsus Breyer (C‑582/14, EU:C:2016:779, punkt 55); 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 29); 24. septembri 2019. aasta kohtuotsus GC jt (tundlikele andmetele viivate linkide eemaldamine) (C‑136/17, EU:C:2019:773, punkt 53); 11. detsembri 2019. aasta kohtuotsus Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, punkt 59), ning 17. juuni 2021. aasta kohtuotsus M.I.C.M. (C‑597/19, EU:C:2021:492, punktid 108 ja 109)). Sama järeldus tuleb minu arvates teha isikuandmete kaitse üldmäärusest, mille põhjenduses 47 on mainitud eelkõige näidetena olukorda, kus andmesubjekt on vastutava töötleja klient või töötab tema teenistuses, ja isikuandmete töötlemist pettuse ennetamiseks või otseturunduse eesmärgil, ning mille põhjenduses 49 on nimetatud võrgu- või infoturvet ning pakutavate teenuste turvalisust.
( 85 ) Millega kaasneb minu arvates nõue täpsustada, milline töötlemistoiming missugusel õigustatud huvil põhineb.
( 86 ) Vt 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 30) ja 17. juuni 2021. aasta kohtuotsus M.I.C.M. (C‑597/19, EU:C:2021:492, punkt 110).
( 87 ) Vt selle kohta 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 31) ja 17. juuni 2021. aasta kohtuotsus M.I.C.M. (C‑597/19, EU:C:2021:492, punkt 111). Euroopa Kohus on meenutanud, et direktiivi 95/46 artikli 7 punktiga f (mis vastab isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktile f) on vastuolus, kui liikmesriik välistab kategooriliselt ja üldiselt teatud liiki isikuandmete töötlemise, ilma et oleks lubatud kaaluda konkreetsel juhtumil vastanduvaid õigusi ja huve, ning täpsustanud, et liikmesriik ei saa seega nende andmeliikide osas lõplikult ette näha vastanduvate õiguste ja huvide kaalumise tulemust, ilma et oleks lubatud konkreetse juhtumi erilistest asjaoludest lähtuv erinev tulemus (19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 62 ja seal viidatud kohtupraktika).
( 88 ) Artikli 29 töörühma arvamuse 6/2014 punktis III.3.4 on esitatud selles küsimuses huvitavaid kaalutlusi.
( 89 ) Isikuandmete kaitse üldmääruse põhjenduse 49 kohaselt kujutab isikuandmete töötlemine sellisel määral, mis on rangelt vajalik ja proportsionaalne võrgu- ja infoturbe tagamiseks, nagu on selles sättes täpsustatud, endast vastutava töötleja õigustatud huvi. See võib näiteks hõlmata elektroonilise side võrkudele loata juurdepääsu ja ründekoodi levitamise takistamist. Märgin ka, et vastavalt selle määruse artiklile 32 on määrusega muu hulgas võetud ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid ning vastavalt selle määruse artikli 5 lõike 1 punktile f tuleb isikuandmeid töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse.
( 90 ) Seega tuleb kontrollida, mil määral võib väljastpoolt Facebooki saiti või rakendust pärinevate isikuandmete töötlemine osutuda vajalikuks Facebooki turvalisuse huvides. Kuigi eelotsusetaotluse esitanud kohus viitab selles küsimuses võimalusele kasutada WhatsAppi andmeid rämpspostivastase funktsioonina (kasutades rämpsposti saatvatelt WhatsAppi kontodelt saadavat teavet, et võtta vastavate Facebooki kontode suhtes meetmeid) ja Instagrami andmeid, et tuvastada kahtlane või ebaseaduslik käitumine, kahtlen, kas põhikohtuasja kaebaja võib võtta endale õiguse töödelda isikuandmeid „politsei“ eesmärkidel laiemas tähenduses, sest Euroopa Kohtu praktika kohaselt ei ole elektroonilist sidet puudutavate andmete (teistsuguses, kuid seotud) valdkonnas direktiiviga 2002/58 kooskõlas isegi seadusandlikud meetmed, mis võimaldavad teha ennetavalt ettekirjutuse säilitada liiklus- ja asukohaandmeid üldiselt ja vahet tegemata (vt 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 168). Lisaks võib vastutav töötleja juhul, kui vajadus tagada võrguturve kujutab endast seaduses sätestatud nõuet, tugineda isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis c ette nähtud konkreetsele õigustusele.
( 91 ) Vastavalt isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktidele c, d ja e.
( 92 ) Vt käesoleva ettepaneku punkt 48.
( 93 ) Võttes arvesse kohtupraktikas tunnustatud suur hulka õigustatud huve (vt käesoleva ettepaneku punkt 60). Näiteks tundub mulle põhimõtteliselt ilmne, et alaealiste kaitse võib õigustada sobivate kaitsemeetmete võtmist eesmärgiga keelata neile juurdepääs sobimatule või ohtlikule sisule.
( 94 ) Vastavalt isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktidele c ja d peab vastutav töötleja muu hulgas iga töötlemiseesmärgi puhul ära näitama õigustatud huvid, mida tema ise või kolmas isik taotleb.
( 95 ) 11. novembri 2020. aasta kohtuotsuses Orange Romania (C‑61/19, EU:C:2020:901, punktid 35 ja 36 ning seal viidatud kohtupraktika) täpsustas Euroopa Kohus, et isikuandmete kaitse üldmääruse artikli 4 punkt 11, mis määratleb andmesubjekti nõusoleku, tundub sõnastuselt olevat veelgi rangem kui direktiivi 95/46 artikli 2 punkt h, kuna see nõuab, et andmesubjekti tahteavaldus peab olema „vabatahtlik, konkreetne, teadlik ja ühemõtteline“ ning antud avalduse vormis või „selge nõusolekut väljendava tegevusega“, millega andmesubjekt nõustub tema kohta käivate isikuandmete töötlemisega.
( 96 ) Nagu rõhutab Euroopa Andmekaitsenõukogu, eeldab omadussõna „vabatahtlik“ andmesubjektide valikut ja tegelikku kontrolli (vt Euroopa Andmekaitsenõukogu suunised 5/2020, punkt 13). Samas punktis on muu hulgas täpsustatud, et nõusolek ei ole antud vabatahtlikult, kui esiteks tunneb andmesubjekt end olevat sunnitud nõustuma või kannatama nõusoleku andmata jätmise korral märkimisväärseid negatiivseid tagajärgi ning teiseks esitletakse nõusolekut kui tüüptingimuste mitte just tähtsusetut osa. Seega ei loeta nõusolekut vabatahtlikuks, kui see isik ei saa keelduda või nõusolekut tagasi võtta kahju kandmata. Niisugusel juhul on ainus puudus, mida andmesubjekt peab aktsepteerima – nagu rõhutab põhikohtuasja kaebaja – asjaolu, et teenusel ei pruugi olla vastaval juhul samu funktsioone või sama kvaliteeti, sest andmete töötlemine, milleks nõusolekut ei antud, on selleks tehniliselt vajalik.
( 97 ) Euroopa Andmekaitsenõukogu suunistes 5/2020 on mainitud pettust, hirmutamist, sundi või ükskõik missugust märkimisväärset negatiivset tagajärge juhul, kui andmesubjekt keeldub nõusoleku andmisest, ning meenutatud vastutava töötleja kohustust tõendada, et andmesubjektil on nõusoleku andmise või selle tagasivõtmise osas tõeline valikuvabadus (punkt 47).
( 98 ) Peale olukordade, mis puudutavad suhteid avaliku sektori asutustega, ja töösuhteid, mida on põhjenduses 43 nimetatud ning mis ei ole käsitletaval juhul asjakohased, on Euroopa Andmekaitsenõukogu suuniste 5/2020 punktis 24 mainitud muu hulgas olukordi, kes andmesubjekt ei saa tegelikult valikuvõimalust kasutada või kus juhul, kui ta oma nõusolekut ei anna, valitseb pettuse, hirmutamise, sunni või märkimisväärsete negatiivsete tagajärgede (näiteks suurte lisakulude) oht.
( 99 ) See küsimus kattub osaliselt küsimusega, milleks on kolmanda eelotsuse küsimuse esimene osa (käesoleva ettepaneku punktid 53–57). Isikuandmete kaitse üldmääruse põhjenduse 43 teises lauses on täpsustatud, et niisuguses olukorras ei loeta nõusolekut vabatahtlikuks (Euroopa Andmekaitsenõukogu suuniste 5/2020 punkti 26 järgi püütakse isikuandmete kaitse üldmäärusega tagada, et isikuandmete töötlemine, milleks nõusolekut küsitakse, ei saa muutuda otseselt või kaudselt lepingu nurjumiseks), kusjuures tegusõna „lugema“ kasutamine näitab selgelt, et juhtumid, mil nõusolek on kehtiv, on äärmiselt erandlikud (vt nende suuniste punkt 35). Lisaks on isikuandmete kaitse üldmääruse artikli 7 lõige 4 sõnastatud mitteammendavalt, sest on kasutatud väljendit „muu hulgas“, mis tähendab, et terve hulk muidki olukordi võib kuuluda selle sätte kohaldamisalasse, sh igasugune surve andmesubjektile või tema kohatu mõjutamine, mis takistab tal kasutamast oma vaba tahet (Euroopa Andmekaitsenõukogu suunised 5/2020, punkt 14).
( 100 ) Isikuandmete kaitse üldmääruse põhjenduses 32 on muu hulgas täpsustatud, et nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid ning kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Selles küsimuses on Euroopa Andmekaitsenõukogu suunistes 5/2020 viidatud nõusoleku „teralisusele“ kui selle vabatahtlikkuse takistusele (punkt 44).
( 101 ) Niisugune olukord soodustab eelkõige selliste tingimuste kehtestamist, mis ei ole lepingu täitmiseks vajalikud (vt käesoleva ettepaneku punktid 53–57).
( 102 ) Teiste sõnadega nagu märgib komisjon, ei saa ettevõtja turujõu astet, mis on isikuandmete kaitse üldmääruse kohaselt nõusoleku kehtivuse seisukohast kriitiline, tingimata samastada turgu valitseva seisundi tasemega ELTL artikli 102 tähenduses.
( 103 ) Mõistagi, kuigi ühelt poolt ei ole turgu valitseva seisundiga iseenesest vastuolus võimalus anda vabatahtlikult nõusolek isikuandmete töötlemiseks, ei ole teisalt niisuguse seisundi puudumine iseenesest piisav, et tagada igas olukorras, et niisugune nõusolek antakse kehtivalt.