EUROOPA KOHTU OTSUS (esimene koda)

27. veebruar 2025 ( *1 )

Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Artikli 15 lõike 1 punkt h – Automatiseeritud otsuste tegemine, sealhulgas profiilianalüüs – Skoor – Füüsilise isiku maksevõime hindamine – Tutvumine sisulise teabega profiilianalüüsi aluseks oleva loogika kohta – Esitatud teabe õigsuse kontrollimine – Direktiiv (EL) 2016/943 – Artikli 2 punkt 1 – Ärisaladus – Kolmandate isikute isikuandmed

Kohtuasjas C‑203/22,

mille ese on ELTL artikli 267 alusel Verwaltungsgericht Wieni (Viini halduskohus, Austria) 11. veebruari 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 16. märtsil 2022, menetluses

versus

Magistrat der Stadt Wien,

menetluses osales:

Dun & Bradstreet Austria GmbH,

EUROOPA KOHUS (esimene koda),

koosseisus: Euroopa Kohtu president K. Lenaerts esimese koja presidendi ülesannetes, Euroopa Kohtu asepresident T. von Danwitz (ettekandja), kohtunikud A. Kumin, N. Jääskinen ja I. Ziemele,

kohtujurist: J. Richard de la Tour,

kohtusekretär: A. Calot Escobar,

arvestades kirjalikku menetlust,

arvestades seisukohti, mille esitasid:

–	CK, esindaja: Rechtsanwalt C. Wirthensohn,

–	Dun & Bradstreet Austria GmbH, esindajad: solicitor D. Cooper, avocate A.‑S. Oberschelp de Meneses, advocaten K. Van Quathem ja B. Van Vooren,

–	Hispaania valitsus, esindaja: A. Ballesteros Panizo,

–	Madalmaade valitsus, esindajad: M. K. Bulterman ja C. S. Schillemans,

–	Poola valitsus, esindaja: B. Majczyna,

–	Euroopa Komisjon, esindajad: A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

olles 12. septembri 2024. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

kohtuotsuse

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada esiteks Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 15 lõike 1 punkti h ja artiklit 22 ning teiseks Euroopa Parlamendi ja nõukogu 8. juuni 2016. aasta direktiivi (EL) 2016/943, milles käsitletakse avalikustamata oskusteabe ja äriteabe (ärisaladuste) ebaseadusliku omandamise, kasutamise ja avalikustamise vastast kaitset (ELT 2016, L 157, lk 1), artikli 2 punkti 1.

Taotlus on esitatud CK ja Magistrat der Stadt Wieni (Viini linnavalitsus, Austria) vahelises kohtuvaidluses sellise kohtuotsuse sundtäitmise üle, millega kohustati Bisnode Austria GmbH‑d, nüüd Dun & Bradstreet Austria GmbH (edaspidi „D & B“), kes on krediidihinnangute andmisele spetsialiseerunud ettevõtja, andma CK‑le sisulist teavet tema isikuandmetel põhineva profiilianalüüsi tegemisel kasutatud loogika kohta.

Õiguslik raamistik

Liidu õigus

Isikuandmete kaitse üldmäärus

Isikuandmete kaitse üldmääruse põhjendustes 4, 11, 58, 63 ja 71 on märgitud:

„(4)

Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja [Euroopa Liidu põhiõiguste] hartas [(edaspidi „harta“)] tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.

[…]

(11)

Tõhusaks isikuandmete kaitseks kogu [Euroopa L]iidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.

[…]

(58)	Läbipaistvuse põhimõte eeldab, et üldsusele või andmesubjektile suunatud teave on kokkuvõtlik, lihtsalt kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud ning samuti tuleks vajaduse korral täiendavalt kasutada visualiseerimist. […]

[…]

(63)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. […] See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. […]

[…]

(71)

Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes andmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat ja meedet sisaldada võivat otsust, millel on teda puudutavad õiguslikud tagajärjed või mis avaldab talle samamoodi märkimisväärset mõju, nagu veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta. Selline töötlemine hõlmab igasuguses isikuandmete automatiseeritud töötlemises seisnevat profiilianalüüsi, mille käigus hinnatakse füüsilise isikuga seotud isiklikke aspekte, mille eesmärk on eelkõige selliste aspektide analüüsimine ja prognoosimine, mis on seotud töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega, kui see toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle samamoodi märkimisväärset mõju. […] Igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid, mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ning õigust seda otsust vaidlustada. […]“.

Määruse artikli 4 „Mõisted“ punktis 4 on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

[…]

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega“.

Määruse artikli 12 „Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord“ lõikes 1 on sätestatud:

„Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. […]“.

Sama määruse artiklis 13, mis käsitleb teavet, mis tuleb esitada juhul, kui isikuandmed on kogutud andmesubjektilt, ja artiklis 14, mis käsitleb teavet, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt, on vastavalt lõike 2 punktis f ja lõike 2 punktis g sätestatud, et teabe hulgas, mille vastutav töötleja on kohustatud andmesubjektile edastama, selleks et tagada andmesubjekti suhtes õiglane ja läbipaistev töötlemine, on muu hulgas „teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks“.

Isikuandmete kaitse üldmääruse artikkel 15 „Andmesubjekti õigus tutvuda andmetega“ on sõnastatud järgmiselt:

„1. Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

[…]

h)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

[…]

3. Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt taotleb lisakoopiaid, võib vastutav töötleja küsida mõistlikku tasu halduskulude katmiseks. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.

4. Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.“

Määruse artiklis 22 „Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs“ on sätestatud:

„1. Andmesubjektil on õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

2. Lõiget 1 ei kohaldata, kui otsus

a)	on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks;

b)	on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks, või

c)	põhineb andmesubjekti selgesõnalisel nõusolekul.

3. Lõike [2] punktides a ja c osutatud juhtudel rakendab vastutav töötleja asjakohaseid meetmeid, et kaitsta andmesubjekti õigusi ja vabadusi ning õigustatud huve, vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada otsus.

4. Lõikes 2 osutatud otsused ei tohi põhineda artikli 9 lõikes 1 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui kohaldatakse artikli 9 lõike 2 punkti a või g ning kehtestatud on asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.“

Määruse artiklis 23 „Piirangud“ on sätestatud:

„1. Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja ‑vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada

[…]

i) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

[…]

2. Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:

a)	töötlemise või selle kategooriate eesmärgid;

b)	isikuandmete liigid;

c)	kehtestatud piirangute ulatus;

d)	kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)	vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)	säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;

g)	andmesubjektide õigusi ja vabadusi ähvardavad ohud ning

h)	andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.“

Sama määruse artikli 54 „Järelevalveasutuse asutamise eeskirjad“ lõikes 2 on sätestatud:

„Järelevalveasutuse liige või liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii ametiaja jooksul kui ka pärast seda hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis on neile teatavaks saanud nende ülesannete täitmisel või volituste kasutamisel. Liikmete ametiaja jooksul kohaldatakse seda ametisaladuse hoidmise kohustust eelkõige juhtudel, kui füüsilised isikud teavitavad käesoleva määruse rikkumistest.“

Isikuandmete kaitse üldmääruse artikli 58 „Volitused“ lõike 1 punktis e on ette nähtud:

„Järelevalveasutusel on järgmised uurimisvolitused:

e)	saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks […]“.

Direktiiv 2016/943

Direktiivi 2016/943 põhjenduses 35 on märgitud:

„[…] käesolev direktiiv [ei tohiks] mõjutada [Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta] direktiiviga 95/46/EÜ [üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355)] sätestatud õigusi ja kohustusi, eelkõige andmesubjekti õigust tutvuda oma töödeldavate isikuandmetega, nõuda nende parandamist, kustutamist või sulgemist, kui andmed on ebatäielikud või ebaõiged […]“.

Direktiivi artikli 2 punktis 1 on ette nähtud:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

„ärisaladus“ – teave, mis vastab kõikidele järgmistele nõuetele:

a)	see on saladus selles tähenduses, et see ei ole kogumis või üksikosade täpses paigutuses ja kokkupanus üldteada või kergesti kättesaadav nende ringkondade isikutele, kes tavaliselt kõnealust laadi teabega tegelevad;

b)	sellel on kaubanduslik väärtus selle salajasuse tõttu;

c)	selle üle seaduslikku kontrolli omav isik on asjaoludest lähtuvalt võtnud vajalikke meetmeid, et hoida seda salajas“.

Direktiivi artiklis 9 „Ärisaladuste konfidentsiaalsuse säilitamine kohtumenetluse ajal“ on sätestatud:

„1. Liikmesriigid tagavad, et pooltel, nende advokaatidel või muudel esindajatel, kohtuametnikel, tunnistajatel, ekspertidel ja muudel isikutel, kes osalevad ärisaladuse ebaseadusliku omandamise, kasutamise või avalikustamisega seotud kohtumenetluses või kes pääsevad juurde dokumentidele, mis on sellise kohtumenetluse osa, ei ole lubatud kasutada või avalikustada ühtegi ärisaladust ega väidetavat ärisaladust, mille pädevad õigusasutused on huvitatud isiku nõuetekohaselt põhjendatud taotlusel tuvastanud konfidentsiaalse teabena ja millest nad on saanud teada kohtumenetluses osalemise või juurdepääsu tulemusel. Sellega seoses võivad liikmesriigid lubada pädevatel õigusasutustel tegutseda ka omal algatusel.

Esimeses lõigus osutatud kohustus jääb pärast kohtumenetluse lõppu kehtima. Selline kohustus lakkab siiski mis tahes järgmise asjaolu esinemisel:

a)	kui lõplikus otsuses leitakse, et väidetav ärisaladus ei vasta artikli 2 punktis 1 sätestatud nõuetele, või

b)	kui kõnealune teave saab aja jooksul üldteatavaks või kergesti kättesaadavaks isikutele ringkondades, kes tavaliselt sellist laadi teabega tegelevad.

2. Samuti tagavad liikmesriigid, et pädevad õigusasutused võivad poole nõuetekohaselt põhjendatud taotluse alusel võtta konkreetseid meetmeid, mis on vajalikud sellise ärisaladuse või väidetava ärisaladuse konfidentsiaalsuse säilitamiseks, mida kasutati või millele viidati ärisaladuse ebaseadusliku omandamise, kasutamise või avalikustamisega seotud kohtumenetluses. Samuti võivad liikmesriigid lubada pädevatel õigusasutustel võtta selliseid meetmeid omal algatusel.

Esimeses lõigus viidatud meetmed peavad sisaldama vähemalt järgmist võimalust:

a)	piirata kas osaliselt või täielikult juurdepääsu ärisaladusi või väidetavaid ärisaladusi sisaldavatele dokumentidele, mille on esitanud pooled või kolmandad isikud, nii et juurdepääs oleks piiratud arvul isikutel;

b)	piirata juurdepääsu kohtuistungitele, mille käigus võidakse avalikustada ärisaladusi või väidetavaid ärisaladusi, ja kõnealuste kohtuistungitega seotud dokumentidele või ärakirjadele, nii et juurdepääsu omaks piiratud arv isikuid;

c)	teha muudele kui punktides a ja b osutatud piiratud isikute ringi kuuluvatele isikutele kättesaadavaks kohtuotsuse mittekonfidentsiaalne versioon, kust on eemaldatud ärisaladusi sisaldavad lõigud või kus neid lõike on redigeeritud.

Teise lõigu punktides a ja b osutatud isikute arv ei või olla suurem sellest, mis on vajalik, et tagada kohtumenetluse poolte õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele, ning hõlmab iga poole puhul vähemalt üht füüsilist isikut ja kõnealuste kohtumenetluse poolte vastavaid advokaate või muid esindajaid.

3. Lõikes 2 osutatud meetmete üle otsustamisel ja nende proportsionaalsuse hindamisel võtavad pädevad õigusasutused arvesse vajadust tagada õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele, poolte ja asjakohasel juhul kolmandate isikute õigustatud huvisid ning ükskõik kummale poolele ja asjakohasel juhul kolmandatele isikutele tekkida võivat kahju, mis tuleneb selliste meetmete määramisest või tagasilükkamisest.

4. Lõike 1, 2 või 3 kohane isikuandmete töötlemine peab toimuma kooskõlas direktiiviga 95/46[…].“

Austria õigus

17. augusti 1999. aasta andmekaitseseaduse (Datenschutzgesetz; BGBl. I, 165/1999) põhikohtuasjas kohaldatavas redaktsioonis (edaspidi „DSG“) § 4 lõige 6 välistab üldjuhul isikuandmete kaitse üldmääruse artiklis 15 andmesubjektile ette nähtud õiguse tutvuda tema kohta käivate isikuandmetega juhul, kui see tutvumine kahjustab vastutava töötleja või kolmanda isiku äri- või tööstussaladust.

Põhikohtuasi ja eelotsuse küsimused

16	Mobiilsideoperaator ei nõustunud CK‑ga sõlmima või pikendama mobiilside lepingut, millega oleks kaasnenud kümneeurone kuutasu, põhjendusel et CK kohta automatiseeritult antud krediidihinnangu kohaselt, mille tegi D & B, ei olnud ta piisavalt maksevõimeline.

17	CK pöördus Austria andmekaitseasutuse poole, kes kohustas D & B‑d andma CK‑le sisulist teavet CK isikuandmetel põhineva automatiseeritud otsuse tegemisel kasutatud loogika kohta.

18	D & B esitas selle asutuse otsuse peale kaebuse Bundesverwaltungsgerichtile (föderaalne halduskohus, Austria), väites sisuliselt, et kaitstud ärisaladuse tõttu ei pea ta edastama CK‑le täiendavat teavet lisaks talle juba antud teabele.

See kohus tuvastas 23. oktoobri 2019. aasta otsuses (edaspidi „23. oktoobri 2019. aasta otsus“), et D & B on rikkunud isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h, kuna ta ei andnud CK‑le sisulist teavet CK isikuandmetel põhineva automatiseeritud otsuse tegemisel kasutatud loogika kohta või vähemalt ei põhjendanud piisavalt, miks tal oli võimatu seda teavet esitada.

Eelkõige märkis Bundesverwaltungsgericht (föderaalne halduskohus) selles otsuses, et D & B ei esitanud CK‑le piisavaid selgitusi, mis võimaldanuks tal mõista, kuidas tema puhul tema tulevase käitumise tõenäosust prognoositi (skoor), ning et see ettevõtja teatas talle täpsustuses, et selle „skoori“ arvutamiseks olid teatavad CK sotsiaal-demograafilised andmed „samaväärsel viisil koondatud“.

23. oktoobri 2019. aasta otsus on jõustunud ja kuulub Austria õiguse kohaselt täitmisele. Selle otsuse sundtäitmise taotlus, mille CK esitas täitevasutuseks olevale Viini linnavalitsusele, jäeti aga rahuldamata põhjendusel, et D & B oli teabe andmise kohustuse juba piisavalt täitnud, kuigi see äriühing ei esitanud pärast mainitud otsuse tegemist mingit täiendavat teavet.

22	CK esitas 23. oktoobri 2019. aasta otsuse sundtäitmise saavutamiseks Viini linnavalitsuse otsuse peale kaebuse Verwaltungsgericht Wienile (Viini halduskohus, Austria), kes on eelotsusetaotluse esitanud kohus.

23	Eelotsusetaotluse esitanud kohus leiab, et Austria õiguse kohaselt on ta kohustatud viimati nimetatud otsuse täitmisele pöörama, mis tähendab, et tuleb kindlaks teha konkreetsed toimingud, mida D & B peab selle otsuse alusel tegema.

Kuna eelotsusetaotluse esitanud kohtu hinnangul saab need kindlaks määrata üksnes nõutava pädevusega ekspert, määras ta eksperdi, kes leidis, et D & B on kohustatud esitama tal CK vastu olevate kohustuste täitmiseks järgmise miinimumteabe:

–	CK isikuandmed, mida töödeldi „tegurite“ koostamiseks (sünnikuupäev, aadress, sugu jne);

–	selle arvutuse aluseks olev matemaatiline valem, mille tulemusel saadi põhikohtuasjas kõne all olev „skoor“;

–	CK‑le iga asjaomase teguri puhul omistatud konkreetne väärtus ja

–	nende intervallide täpsus, mille piires omistatakse samale tegurile erinevate andmete puhul sama väärtus (intervallhindamine või diskreetne või indeks-/katastrihindamine).

Tagamaks, et pärast miinimumteabe esitamist saaks CK selle õigsust kontrollida, peaks D & B esitama ka loetelu, mis sisaldab isikute „skoori“ ajavahemiku kohta, mis hõlmab kuus kuud enne ja kuus kuud pärast CK „skoori“ kindlaksmääramist, ja need „skoorid“ peavad olema saadud sama arvutusmeetodi järgi.

26	Eelotsusetaotluse esitanud kohtu sõnul võimaldab ainult nimetatud eksperdi loetletud miinimumteabe edastamine kontrollida vastutava töötleja poolt isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h alusel esitatud teabe kooskõla ja õigsust.

Käesoleval juhul näitavad mitu kaudset tõendit selgelt, et D & B esitatud teave on faktiliste asjaoludega vastuolus. Nimelt, kuigi CK‑le edastatud teave, sealhulgas talle omistatud „skoor“, tõendas tema eriti head maksevõimet, viis tegelik profiilianalüüs järelduseni, et ta ei olnud maksevõimeline, sealhulgas kümneeurose kuutasu maksmiseks mobiilside lepingu alusel.

28	Eelotsusetaotluse esitanud kohus leiab, et seega tekib küsimus, kas isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt h tagab andmesubjektile võimaluse kontrollida vastutava töötleja esitatud teabe õigsust.

29	Juhul kui isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt h seda kontrolli ei taga, muutub andmesubjekti õigus tutvuda isikuandmete ja muu selles sättes ette nähtud teabega sisutuks ja kasutuks, seda enam, et iga vastutav töötleja võib sellisel juhul esitada ebaõiget teavet.

30	Samuti tekib küsimus, kas ja kui jah, siis mil määral piirab ärisaladuse olemasolul põhinev erand seda andmetega tutvumise õigust, mis on tagatud isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktiga h koostoimes sama määruse artikliga 22.

Direktiivi 2016/943 artiklis 9 ette nähtud norme arvestades tuleb hinnata, kas on mõeldav edastada teave, mis on kvalifitseeritud „ärisaladuseks“ selle direktiivi artikli 2 punkti 1 tähenduses, üksnes asutusele või kohtule, et see asutus või kohus kontrolliks sõltumatult, kas tuleb asuda seisukohale, et selline ärisaladus on tõepoolest olemas, ja kas vastutava töötleja poolt isikuandmete kaitse üldmääruse artikli 15 lõike 1 kohaselt antud teave vastab tegelikule olukorrale.

Lõpuks tuleb analüüsida, kas sellist sätet nagu DSG § 4 lõige 6, mis üldjuhul välistab isikuandmete kaitse üldmääruse artikliga 15 andmesubjektile antud õiguse andmetega tutvuda, kui see tutvumine ohustaks vastutava töötleja või kolmanda isiku ärisaladust, võib pidada kooskõlas olevaks nõuetega, mis on sätestatud isikuandmete kaitse üldmääruse artikli 15 lõikes 1 koosmõjus sama määruse artikli 22 lõikega 3.

Neil asjaoludel otsustas Verwaltungsgericht Wien (Viini halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Millistele sisulistele nõuetele peab avaldatud teave vastama, et seda saaks pidada piisavalt „sisuliseks“ isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses?

Kas profiilianalüüsi koostamise korral peab vastutav töötleja – tingimusel, et see ei ole vastuolus olemasoleva ärisaladuse kaitse nõudega – põhimõtteliselt andma „kasutatavat loogikat“ puudutava teabega tutvumise võimaldamiseks ka olulise teabe, mille eesmärk on muuta automatiseeritud töötlusel põhinev üksikotsus arusaadavaks, ning avaldama selleks eelkõige 1) andmesubjekti töödeldud isikuandmed, 2) profiilianalüüsi aluseks oleva algoritmi need osad, mis on vajalikud läbipaistvuse tagamiseks, ja 3) töödeldud isikuandmete ja tehtud hindamise vahelist seost näitava määrava teabe?

Kas profiilianalüüsi koostamise juhtudel on isikul, kellel on õigus tutvuda andmetega isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, isegi ärisaladuste kaitset käsitleva vastuväite korral õigus tutvuda tema andmete töötlemist puudutava järgmise teabega, et ta saaks teostada isikuandmete kaitse üldmääruse artikli 22 lõikest 3 tulenevaid õigusi:

a)	kõik vajaduse korral pseudonümiseeritud andmed, eelkõige andmesubjekti isikuandmete töötlemise viisi puudutavad andmed, mis lubavad kontrollida isikuandmete kaitse üldmääruse järgimist;

b)	profiilianalüüsi koostamiseks kasutatud sisendandmed;

c)	hindamistulemuse kindlaks tegemisel kasutatud parameetrid ja muutuvsisendid;

d)	parameetrite ja muutuvsisendite mõju välja arvutatud hindamistulemusele;

e)	teave parameetrite ja muutuvsisendite kujunemise kohta;

f)	selgitus, miks omistati isikule, kellel on õigus tutvuda andmetega isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, konkreetne hindamistulemus, ja selle hindamistulemuse põhjal tehtud järeldus;

g)	profiilikategooriate loend ja selgitus selle kohta, milline hindamistulemuse põhjal tehtud järeldus on seotud iga profiilikategooriaga?

Kas õigus tutvuda andmetega, mille annab andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt h, ning isikuandmete kaitse üldmääruse artikli 22 lõikes 3 tagatud õigused väljendada oma seisukohta ja vaidlustada automatiseeritud otsust isikuandmete kaitse üldmääruse artikli 22 tähenduses on omavahel seotud selles mõttes, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h kohase andmetega tutvumise taotluse alusel antav teave on piisavalt „sisuline“ vaid siis, kui see annab andmetega tutvumist taotlevale andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses võimaluse tõhusalt, põhjalikult ja tulemuslikult teostada isikuandmete kaitse üldmääruse artikli 22 lõikega 3 tagatud õigusi ehk õigust väljendada oma seisukohta ja vaidlustada teda puudutavat automatiseeritud otsust isikuandmete kaitse üldmääruse artikli 22 tähenduses?

a) Kas isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tuleb tõlgendada nii, et „sisulise teabena“ viidatud sätte tähenduses saab teavet käsitada vaid juhul, kui see on sedavõrd üksikasjalik, et isikul, kellel on õigus tutvuda andmetega isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, on võimalik tuvastada, kas antud teave tõepoolest vastab faktilistele asjaoludele ning seega kas konkreetne taotletud automatiseeritud otsus põhineb ka tegelikult talle avaldatud teabel?

b) Kui vastus on jaatav, siis kuidas tuleb toimida, kui vastutava töötleja antud teabe õigsust saab kontrollida vaid juhul, kui isikule, kellel on õigus andmetega tutvuda isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, avaldatakse ka kolmandate isikute isikuandmed, mis on kaitstud isikuandmete kaitse üldmäärusega (black box)?

Kas konflikti, milles on vastamisi isikuandmete kaitse üldmääruse artikli 15 lõikest 1 tulenev andmetega tutvumise õigus ning kolmandate isikute õigus oma isikuandmete kaitsele, saab lahendada nii, et teabe õigsuse kontrollimiseks vajalikud kolmandate isikute isikuandmed, mida on kasutatud samasuguseks profiilianalüüsiks, avaldatakse üksnes ametiasutusele või kohtule ning ametiasutus või kohus kontrollib iseseisvalt, kas avaldatud kolmandate isikute isikuandmed on tõesed?

c) Kui vastus on jaatav, siis millised õigused tuleb igal juhul tagada isikule, kellel on õigus tutvuda andmetega isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, kui isikuandmete kaitse üldmääruse artikli 15 lõikes 4 nimetatud kolmandate isikute õiguste kaitse vajadus nõuab kolmanda eelotsuse küsimuse punktis b viidatud Black-Boxi kasutamist?

Kas sellisel juhul tuleb andmed, mille isikuandmete kaitse üldmääruse artikli 15 lõikes 1 osutatud vastutav töötleja peab otsuse õigsuse kontrollimise võimaldamiseks avaldama, igal juhul avaldada pseudonümiseeritud kujul isikule, kellel on õigus andmetega tutvuda isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses?

a) Kuidas tuleb toimida, kui teave, mis tuleb isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses anda, vastab ka mõiste „ärisaladus“ kriteeriumidele, mis on sätestatud [direktiivi 2016/943] artikli 2 punktis 1?

Kas normikollisiooni isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktist h tuleneva andmetega tutvumise õiguse ning direktiiviga 2016/943 kaitstud õiguse ärisaladusele vahel saab lahendada nii, et teave, mis on käsitatav ärisaladusena direktiivi 2016/943 artikli 2 punkti 1 tähenduses, tuleb avaldada üksnes ametiasutusele või kohtule ning ametiasutus või kohus kontrollib iseseisvalt, kas tegemist on ärisaladusega direktiivi 2016/943 artikli 2 punkti 1 tähenduses ja kas teave, mille on andnud vastutav töötleja isikuandmete kaitse üldmääruse artikli 15 lõike 1 tähenduses, on tõene?

b) Kui vastus on jaatav, siis millised õigused tuleb igal juhul tagada isikule, kellel on õigus tutvuda andmetega isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, kui isikuandmete kaitse üldmääruse artikli 15 lõikes 4 nimetatud kolmandate isikute õiguste kaitse vajadus nõuab neljanda eelotsuse küsimuse punktis a viidatud Black-Boxi kasutamist?

Kas juhul, kui teave, mis avaldatakse ametiasutusele või kohtule, ning teave, mis avaldatakse isikule, kellel on õigus andmetega tutvuda isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, ei lange kokku, tuleb isikule, kellel on õigus andmetega tutvuda isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, profiilianalüüsi puudutavatel juhtudel – selleks, et tal säiliksid täielikult isikuandmete kaitse üldmääruse artikli 22 lõikest 3 tulenevad õigused – igal juhul avaldada (ka) tema andmete töötlemist puudutav järgmine teave:

–	kõik vajaduse korral pseudonümiseeritud andmed, eelkõige andmesubjekti isikuandmete töötlemise viisi puudutavad andmed, mis lubavad kontrollida isikuandmete kaitse üldmääruse järgimist;

–	profiilianalüüsi koostamiseks kasutatud sisendandmed;

–	hindamistulemuse kindlaks tegemisel kasutatud parameetrid ja muutuvsisendid,

–	parameetrite ja muutuvsisendite mõju välja arvutatud hindamistulemusele;

–	teave parameetrite ja muutuvsisendite kujunemise kohta;

–	selgitus, miks omistati isikule, kellel on õigus tutvuda andmetega isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses, konkreetne hindamistulemus, ja selle hindamistulemuse põhjal tehtud järeldus;

–	profiilikategooriate loend ja selgitus selle kohta, milline hindamistulemuse põhjal tehtud järeldus on seotud iga profiilikategooriaga?

Kas isikuandmete kaitse üldmääruse artikli 15 lõige 4 piirab mingil moel isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h kohaselt antava teabe ulatust?

Kui vastus on jaatav, siis millisel viisil piirab isikuandmete kaitse üldmääruse artikli 15 lõige 4 kõnealust andmetega tutvumise õigust ja kuidas tuleb igal üksikjuhtumil kindlaks määrata selle piirangu ulatus?

Kas [DSG] § 4 lõige 6, mis sätestab, et „[i]sikuandmete kaitse üldmääruse artiklist 15 tulenevat õigust andmetega tutvuda, ilma et see piiraks muude seadusjärgsete piirangute kohaldamist, ei saa andmesubjekt kasutada üldjuhul siis, kui andmete avalikustamisega seataks ohtu vastutava töötleja või kolmandate isikute ärisaladus“, on kooskõlas nõuetega, mis on sätestatud isikuandmete kaitse üldmääruse artikli 15 lõikes 1 koosmõjus artikli 22 lõikega 3? Kui vastus on jaatav, siis millistel tingimustel on kõnealune kooskõla olemas?“

Menetlus Euroopa Kohtus

34	Euroopa Kohtu president peatas 8. detsembri 2022. aasta otsusega käesoleva menetluse kuni menetlust lõpetava otsuse tegemiseni kohtuasjas C‑634/21, SCHUFA Holding jt (Scoring).

Vastavalt Euroopa Kohtu presidendi 13. detsembri 2023. aasta otsusele tegi Euroopa Kohtu kantselei eelotsusetaotluse esitanud kohtule teatavaks 7. detsembri 2023. aasta kohtuotsuse SCHUFA Holding jt (Scoring) (C‑634/21, EU:C:2023:957), paludes tal teatada, kas ta soovib seda kohtuotsust arvestades jääda oma eelotsusetaotluse juurde.

Eelotsusetaotluse esitanud kohus märkis kirjas, mis saabus Euroopa Kohtu kantseleisse 29. jaanuaril 2024, et ta jääb oma eelotsusetaotluse juurde, kuna 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding jt (Scoring) (C‑634/21, EU:C:2023:957) ei võimalda vastata tema poolt käesolevas kohtuasjas esitatud küsimustele.

37	Euroopa Kohtu president andis 14. veebruari 2024. aasta otsusega seetõttu korralduse jätkata käesolevas kohtuasjas menetlust.

Eelotsuse küsimuste analüüs

Esimene ja teine küsimus ning kolmanda küsimuse punkt a

Esimese ja teise küsimusega ning kolmanda küsimuse punktiga a, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tuleb tõlgendada nii, et automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise korral selle määruse artikli 22 lõike 1 tähenduses võib andmesubjekt nõuda vastutavalt töötlejalt „sisulise teabena kasutatava loogika kohta“ ammendavat selgitust, mis puudutab menetlust ja põhimõtteid, mida rakendati konkreetselt selle isiku isikuandmete automatiseeritud töötlemisel teatud tulemuse, näiteks krediidiprofiili saamiseks.

Euroopa Kohtu väljakujunenud praktika kohaselt ei tule liidu õigusnormi tõlgendamisel arvestada mitte üksnes selle sõnastust, vaid ka konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa norm on (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 19 ja seal viidatud kohtupraktika).

Mis puutub kõigepealt isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h sõnastusse, siis tuleb ühelt poolt märkida, et mõistel „sisuline teave“ on selle sätte eri keeleversioonides erinevad vasted, kuna mõnes keeles on sarnaselt prantsuskeelsele versioonile eelistatud esitatava teabe otstarbekust (nuttige hollandi keeles, úteis portugali keeles) või asjakohasust (pertinente rumeenia keeles), samas kui teistes on rõhutatud selle teabe olulisust (significativa hispaania keeles ja istotne poola keeles). Lõpuks võib nii selle sätte saksa- kui ka ingliskeelses versioonis kasutatud sõna (vastavalt aussagekräftig ja meaningful) mõista nii viitena selle teabe heale arusaadavusele kui ka selle teatavale kvaliteedile.

Eri keeleversioonides kasutatud vastete mitmekesisust tuleb aga mõista nii, et eelmises punktis mainitud tähendused täiendavad üksteist ning neid tuleb arvesse võtta mõiste „sisuline teave kasutatava loogika kohta“ isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses tõlgendamisel, nagu sisuliselt märkis ka kohtujurist oma ettepaneku punktis 65.

Teiselt poolt võib selles sättes sisalduv viide automatiseeritud otsuste tegemisele, mis on kõnealuse „sisulise teabe“ ese, selle sätte üldist sõnastust arvestades hõlmata suurt hulka isikuandmete ja muude andmete töötlemise „loogikaid“ selleks, et saada automatiseeritud viisil teatud tulemus. Seda tõlgendust kinnitavad selle sätte mõned keeleversioonid, milles on kasutatud sõnu, mis viitavad täiendavalt mõiste „loogika“ tavatähenduse erinevatele aspektidele. Näiteks tšehhi- ja poolakeelses versioonis on kasutatud vastavalt sõnu postupu ja zasady, mida võib tõlkida kui „menetlus“ ja „põhimõtted“.

43	Seega tuleb asuda seisukohale, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h sõnastus viitab mis tahes asjakohasele teabele, mis puudutab teatud tulemuse saamiseks kasutatavaid isikuandmete automatiseeritud töötlemise menetlust ja põhimõtteid.

Mis järgmiseks puudutab isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis h kasutatud mõiste „sisuline teave kasutatava loogika kohta“ konteksti, siis tuleb esimesena rõhutada, et see teave on vaid osa teabest, mida hõlmab selles artiklis ette nähtud õigus tutvuda andmetega, kuna see puudutab ka teavet kõnealuse töötlemise tähtsuse ja prognoositavate tagajärgede kohta andmesubjekti jaoks.

Kuigi viimati nimetatud teave, millele direktiivi 95/46 artikli 29 alusel asutatud töörühma 3. oktoobril 2017 vastu võetud suuniste (automatiseeritud töötlusel põhinevate üksikotsuste tegemise ja profiilianalüüsi kohta määruse (EL) 2016/679 kohaldamisel) 6. veebruaril 2018 muudetud ja vastu võetud redaktsiooni kohaselt peaks selleks, et see oleks sisuline ja arusaadav, olema lisatud „tõsielulisi ja konkreetseid näiteid“, ei ole eelotsusetaotluse esitanud kohtu küsimuste esemeks, tuleb seda siiski arvesse võtta osana kontekstist, kuhu mõiste „sisuline teave kasutatava loogika kohta“ kuulub.

Teisena, arvestades asjaolu, et mõiste „sisuline teave kasutatava loogika kohta“ esineb ka isikuandmete kaitse üldmääruse artikli 13 lõike 2 punktis f ja artikli 14 lõike 2 punktis g, on Euroopa Kohus juba tuvastanud, et kui tehakse automatiseeritud otsus selle määruse artikli 22 lõike 1 tähenduses, moodustab määruse artikli 15 lõike 1 punktis h sätestatud õigus tutvuda sellise teabega terviku koos täiendavate teavitamiskohustustega, mis lasuvad vastutaval töötlejal isikuandmete kaitse üldmääruse artikli 13 lõike 2 punkti f ja artikli 14 lõike 2 punkti g alusel (vt selle kohta 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding jt (Scoring), C‑634/21, EU:C:2023:957, punkt 56).

Kolmandana, nagu sisuliselt märkis kohtujurist oma ettepaneku punktides 58–60, tuleb automatiseeritud otsuse tegemiseks ette nähtud andmetega tutvumise õiguste kontekstipõhisel tõlgendamisel arvesse võtta Euroopa Kohtu praktikat, mis käsitleb nõudeid, mida vastutav töötleja peab isikuandmete kaitse üldmääruse artikli 15 lõike 3 kohaselt täitma.

48	Seega tuleb eelkõige arvesse võtta asjaolu, et isikuandmete kaitse üldmääruse artikli 12 lõikes 1 ette nähtud edastatava teabe läbipaistvuse nõue on kohaldatav kõigile andmetele ja kogu teabele, millele on osutatud artiklis 15, sealhulgas sellele, mis on seotud automatiseeritud otsuste tegemisega.

Tagamaks, et andmesubjektil oleks võimalik täielikult mõista teavet, mille vastutav töötleja talle esitab, kohustab artikli 12 lõige 1 vastutavat töötlejat võtma asjakohaseid meetmeid muu hulgas selleks, et esitada andmesubjektile sellised andmed ja teave kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 38).

Isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h konteksti analüüs kinnitab seega tõlgendust, mis tuleneb selle sätte sõnastuse analüüsist, mille kohaselt „sisuline teave“ automatiseeritud otsuste tegemisel „kasutatava loogika kohta“ hõlmab kogu asjakohast teavet menetluse ja põhimõtete kohta, mille alusel isikuandmeid automatiseeritult töödeldakse teatud tulemuse saamiseks, kusjuures läbipaistvuskohustus nõuab lisaks, et see teave esitataks kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis.

Isikuandmete kaitse üldmääruse eesmärkidega seoses tuleb lõpuks märkida, et selle määruse eesmärk on eelkõige tagada füüsiliste isikute põhiõiguste ja ‑vabaduste, täpsemalt nende õiguse isikuandmete kaitsele kõrgetasemeline kaitse, mis on sätestatud ELTL artiklis 16 ja tagatud põhiõigusena harta artiklis 8, mis täiendab harta artiklis 7 tagatud õigust eraelu puutumatusele (vt selle kohta 4. oktoobri 2024. aasta kohtuotsus Schrems (andmete edastamine laiale üldsusele), C‑446/21, EU:C:2024:834, punkt 45 ja seal viidatud kohtupraktika).

52	Seega, nagu on märgitud ka isikuandmete kaitse üldmääruse põhjenduses 11, on selle määruse eesmärk tugevdada ja täpsustada andmesubjektide õigusi (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 33 ja seal viidatud kohtupraktika).

Mis puudutab täpsemalt isikuandmete kaitse üldmääruse artiklis 15 ette nähtud õigust andmetega tutvuda, siis nähtub Euroopa Kohtu praktikast, et see õigus peab võimaldama andmesubjektil veenduda, et tema kohta käivad isikuandmed on õiged ja neid töödeldakse seaduslikult (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 34, ning 26. oktoobri 2023. aasta kohtuotsus FT (tervisetoimiku koopiad), C‑307/22, EU:C:2023:811, punkt 73).

Õigust andmetega tutvuda on vaja selleks, et võimaldada andmesubjektil vajaduse korral kasutada oma õigust andmete parandamisele, õigust andmete kustutamisele („õigus olla unustatud“) ja õigust töötlemise piiramisele, mille talle annavad vastavalt isikuandmete kaitse üldmääruse artiklid 16, 17 ja 18, talle isikuandmete kaitse üldmääruse artikliga 21 antud õigust esitada vastuväiteid tema kohta käivate isikuandmete töötlemisele ning selle määruse artiklites 79 ja 82 ette nähtud õigust õiguskaitsevahendile ja õigust hüvitisele (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 35).

Täpsemalt on üksnes automatiseeritud töötlemisel põhineva otsuse tegemise spetsiifilises kontekstis andmesubjekti õiguse saada isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis h ette nähtud teavet peamine eesmärk võimaldada tal tõhusalt kasutada talle selle määruse artikli 22 lõikega 3 antud õigusi, nimelt väljendada oma seisukohta selle otsuse kohta ja see otsus vaidlustada.

Nimelt, kui isikutel, keda automatiseeritud otsus, sealhulgas profiilianalüüs puudutab, ei ole võimalik enne oma seisukoha väljendamist või otsuse vaidlustamist mõista põhjusi, mis viisid selle otsuse tegemiseni, ei saa kõnealused õigused seega täielikult täita oma eesmärki kaitsta neid isikuid nende isikuandmete automatiseeritud töötlemisega nende õigustele ja vabadustele kaasnevate eriomaste ohtude eest (vt selle kohta 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding jt (Scoring), C‑634/21, EU:C:2023:957, punkt 57).

Sellega seoses nähtub isikuandmete kaitse üldmääruse põhjendusest 71, et kui andmesubjekti kohta on tehtud otsus, mis põhineb üksnes automatiseeritud töötlusel ja mis avaldab talle märkimisväärset mõju, peab andmesubjektil olema õigus saada selle otsuse kohta selgitus. Nagu märkis kohtujurist oma ettepaneku punktis 67, tuleb seega asuda seisukohale, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt h annab andmesubjektile tegeliku õiguse saada selgitusi tema suhtes langetatud automatiseeritud otsuse tegemiseks kasutatud mehhanismi toimimise ning selle otsuse tulemuse kohta.

Isikuandmete kaitse üldmääruse eesmärkide ja eelkõige selle artikli 15 lõike 1 punkti h eesmärkide analüüsist nähtub, et õigust saada selle sätte tähenduses „sisulist teavet“ automatiseeritud otsuste tegemisel „kasutatava loogika kohta“ tuleb mõista õigusena selgitusele menetluse ja põhimõtete kohta, mida konkreetselt rakendatakse andmesubjekti isikuandmete automatiseeritud töötlemisel teatud tulemuse, näiteks krediidiprofiili saamiseks. Selleks et andmesubjekt saaks tõhusalt kasutada talle isikuandmete kaitse üldmäärusest ja eelkõige selle artikli 22 lõikest 3 tulenevaid õigusi, tuleb see selgitus esitada asjakohase teabe abil ning kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis.

59	Nendele nõuetele ei saa vastata pelgalt sellise keerulise matemaatilise valemi nagu algoritm edastamine ega automatiseeritud otsuste tegemise kõigi etappide üksikasjalik kirjeldus, kuna kumbki neist ei kujuta endast piisavalt kokkuvõtlikku ja arusaadavat selgitust.

Nimelt, nagu nähtub käesoleva kohtuotsuse punktis 45 nimetatud suunistest automatiseeritud töötlusel põhinevate üksikotsuste tegemise ja profiilianalüüsi kohta määruse (EL) 2016/679 kohaldamisel (lk 26), peaks vastutav töötleja ühelt poolt leidma lihtsad viisid, kuidas teavitada andmesubjekti otsusele jõudmise loogikast ja kriteeriumidest, millele otsustamisel tuginetakse. Teiselt poolt nõuab isikuandmete kaitse üldmäärus, et vastutav töötleja esitaks sisulise teabe selle otsuse tegemiseks kasutatava loogika kohta, kuid „mitte tingimata kasutatud algoritmide keeruka selgituse või täieliku algoritmi“.

Seega peab „sisuline teave“ automatiseeritud otsuste tegemisel „kasutatava loogika kohta“ isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tähenduses kirjeldama konkreetselt kasutatud menetlust ja põhimõtteid nii, et andmesubjekt mõistaks, milliseid tema isikuandmeid on kõnealuse automatiseeritud otsuse tegemise käigus millisel viisil kasutatud, ilma et automatiseeritud otsuste tegemise raames tehtavate toimingute keerukus vabastaks vastutavat töötlejat selgitamiskohustusest.

Mis puudutab konkreetselt sellist profiilianalüüsi, nagu on vaidluse all põhikohtuasjas, siis võib eelotsusetaotluse esitanud kohus muu hulgas pidada piisavalt läbipaistvaks ja arusaadavaks andmesubjekti teavitamist sellest, mil määral oleks arvesse võetud isikuandmete varieerumine viinud teistsuguse tulemuseni.

Eeltoodule lisaks tuleb veel täpsustada seoses küsimusega, kas esitatav teave peab võimaldama andmesubjektil kontrollida nende tema kohta käivate isikuandmete õigsust, millel automatiseeritud otsus põhineb, et nende andmetega tutvumise õigus ei kuulu mitte isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h, vaid sama lõike sissejuhatava lause kohaldamisalasse, mis tagab andmesubjektile võimaluse veenduda niisuguste andmete õigsuses, nagu nähtub käesoleva kohtuotsuse punktis 53 viidatud kohtupraktikast.

Lõpuks, mis puudutab eelotsusetaotluse esitanud kohtu tõdemust, et D & B poolt CK‑le isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h alusel esitatud teave on vastuolus faktiliste asjaoludega, kuna „tegelik“ profiilianalüüs viis järelduseni, et CK ei olnud maksevõimeline, samas kui esitatud teave viitab vastupidisele, siis tuleb märkida, et kui eelotsusetaotluse esitanud kohtu sõnul tuleneb tuvastatud mittevastavus sellest, et D & B ei edastanud CK‑le profiilianalüüsi, mis tehti tema kohta selle mobiilsideettevõtja nimel, kes selle alusel keeldus temaga lepingut sõlmimast või pikendamast, tuleb see heastada, andes võimaluse tutvuda nõnda koostatud krediidiprofiiliga. Sellega seoses nähtub Euroopa Kohtu praktikast, et vastutava töötleja enda loodud isikuandmed kuuluvad isikuandmete kaitse üldmääruse artikli 14 kohaldamisalasse (vt selle kohta 28. novembri 2024. aasta kohtuotsus Másdi, C‑169/23, EU:C:2024:988, punkt 48).

Seevastu selgitus erinevuste kohta sellise „tegeliku“ profiilianalüüsi – eeldusel, et see on tehtud – tulemuse ja selle tulemuse vahel, mille D & B esitas CK‑le ja mis selle äriühingu sõnul saadi CK kohta käivate andmete „samaväärsel viisil koondamise“ abil, on „sisuline teave“ profiilianalüüsi tegemisel „kasutatava loogika kohta“. Vastavalt käesoleva kohtuotsuse punktis 58 märgitule on D & B seega kohustatud kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis selgitama menetlust ja põhimõtteid, mille alusel „tegeliku“ profiilianalüüsi tulemus saadi.

Kõigest eeltoodust tuleneb, et esimesele ja teisele küsimusele ning kolmanda küsimuse punktile a tuleb vastata, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tuleb tõlgendada nii, et automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise korral selle määruse artikli 22 lõike 1 tähenduses võib andmesubjekt nõuda vastutavalt töötlejalt „sisulise teabena kasutatava loogika kohta“, et viimane selgitaks talle asjakohase teabe abil kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis menetlust ja põhimõtteid, mida konkreetselt rakendatakse selle isiku isikuandmete automatiseeritud töötlemisel teatud tulemuse, näiteks krediidiprofiili saamiseks.

Kolmanda küsimuse punktid b ja c, neljanda küsimuse punktid a ja b ning viies ja kuues küsimus

Kolmanda küsimuse punktidega b ja c, neljanda küsimuse punktidega a ja b ning viienda ja kuuenda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tuleb tõlgendada nii, et kui vastutav töötleja leiab, et selle sätte kohaselt andmesubjektile esitatav teave sisaldab kolmandate isikute andmeid, mis on viidatud määrusega kaitstud, või ärisaladusi direktiivi 2016/943 artikli 2 punkti 1 tähenduses, on vastutav töötleja kohustatud edastama selle väidetavalt kaitstud teabe järelevalveasutusele või pädevale kohtule, kelle ülesanne on kaaluda vastanduvaid õigusi ja huve, et määrata kindlaks isikuandmete kaitse üldmääruse artikliga 15 andmesubjektile antud andmetega tutvumise õiguse ulatus.

Sellega seoses tuleb meenutada, et isikuandmete kaitse üldmääruse põhjenduse 4 kohaselt ei ole õigus isikuandmete kaitsele absoluutne õigus, vaid seda tuleb kaaluda teiste põhiõigustega kooskõlas proportsionaalsuse põhimõttega. Nõnda austab isikuandmete kaitse üldmäärus kõiki põhiõigusi ning järgib hartas tunnustatud vabadusi ja põhimõtteid, mis on sätestatud aluslepingutes (26. oktoobri 2023. aasta kohtuotsus FT (tervisetoimiku koopiad), C‑307/22, EU:C:2023:811, punkt 59 ja seal viidatud kohtupraktika).

69	Lisaks on selle määruse põhjenduses 63 märgitud, et andmesubjekti õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust.

Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. Nii on viidatud määruse artikli 23 lõike 1 punktis i sisuliselt ette nähtud, et muu hulgas selle määruse artiklis 15 ette nähtud kohustuste ja õiguste ulatust võib piirata üksnes juhul, kui selline piirang austab põhiõiguste ja ‑vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada teiste isikute õiguste ja vabaduste kaitse.

Arvestades isikuandmete kaitse üldmääruse artikli 15 lõikes 4 sätestatud autoriõigusega kaasnevat õigust saada koopia, on Euroopa Kohus juba märkinud, et selle kohaldamine ei tohiks kahjustada teiste isikute õigusi ja vabadusi, sealhulgas ärisaladusi või intellektuaalomandit, eelkõige tarkvara kaitsvat autoriõigust (vt selle kohta 4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 43).

Euroopa Kohus on selles kontekstis märkinud, et kui esineb vastuolu ühelt poolt isikuandmetega täieliku tutvumise õiguse kasutamise ning teiselt poolt teiste isikute õiguste või vabaduste vahel, siis tuleb kõnealuste õiguste ja vabaduste vahel leida tasakaal. Võimaluse korral tuleb valida isikuandmete edastamise viisid, mis ei riku teiste isikute õigusi ega vabadusi, võttes arvesse, et sellise kaalutlemise „tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine“, nagu nähtub isikuandmete kaitse üldmääruse põhjendusest 63 (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 44).

Mis puudutab küsimust, kuidas saab isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis h sätestatud õigust andmetega tutvuda kasutada nii, et austatakse teiste isikute õigusi ja vabadusi, siis tuleb meenutada, et kohtupraktika kohaselt võib liikmesriigi kohus asuda seisukohale, et talle tuleb edastada poolte või kolmandate isikute isikuandmed, et ta saaks kõiki asjaolusid teades ja proportsionaalsuse põhimõtet järgides kaaluda asjas esinevaid huve. Selle hindamise tulemusel võib ta vajaduse korral anda loa talle edastatud isikuandmete täielikuks või osaliseks avalikustamiseks vastaspoolele, kui ta leiab, et selline avalikustamine ei lähe kaugemale sellest, mis on vajalik isikutele harta artiklist 47 tulenevate õiguste tõhusa kasutamise tagamiseks (2. märtsi 2023. aasta kohtuotsus Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punkt 58).

Nagu kohtujurist oma ettepaneku punktis 94 märkis, on see kohtupraktika täielikult ülekantav olukorrale, kus teave, mis tuleb andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktiga h tagatud õiguse alusel anda, võib kahjustada teiste isikute õigusi ja vabadusi, eelkõige seetõttu, et see sisaldab selle määrusega kaitstud kolmandate isikute isikuandmeid või ärisaladust direktiivi 2016/943 artikli 2 punkti 1 tähenduses. Ka sel juhul tuleb see teave edastada järelevalveasutusele või pädevale kohtule, kelle ülesanne on kaaluda vastanduvaid õigusi ja huve, et määrata kindlaks andmesubjekti õiguse tutvuda tema kohta käivate isikuandmetega ulatus.

Arvestades vajadust sellise juhtumipõhise kindlaksmääramise järele, on isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktiga h muu hulgas vastuolus sellise sätte kohaldamine nagu DSG § 4 lõige 6, mis üldjuhul välistab andmesubjektile isikuandmete kaitse üldmääruse artikliga 15 antud õiguse tutvuda andmetega, kui see tutvumine ohustaks vastutava töötleja või kolmanda isiku ärisaladust. Sellega seoses tuleb meenutada, et kui liidu õiguses on ette nähtud vastanduvate õiguste ja huvide juhtumipõhine kaalumine, ei saa liikmesriik lõplikult ette kirjutada selle kaalumise tulemust (vt selle kohta 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding jt (Scoring), C‑634/21, EU:C:2023:957, punkt 70 ja seal viidatud kohtupraktika).

Kõike eeltoodut arvestades tuleb kolmanda küsimuse punktidele b ja c, neljanda küsimuse punktidele a ja b ning viiendale ja kuuendale küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti h tuleb tõlgendada nii, et kui vastutav töötleja leiab, et selle sätte kohaselt andmesubjektile esitatav teave sisaldab kolmandate isikute andmeid, mis on viidatud määrusega kaitstud, või ärisaladusi direktiivi 2016/943 artikli 2 punkti 1 tähenduses, on vastutav töötleja kohustatud edastama selle väidetavalt kaitstud teabe järelevalveasutusele või pädevale kohtule, kelle ülesanne on kaaluda vastanduvaid õigusi ja huve, et määrata kindlaks isikuandmete kaitse üldmääruse artikliga 15 andmesubjektile antud andmetega tutvumise õiguse ulatus.

Kohtukulud

77	Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 15 lõike 1 punkti h

tuleb tõlgendada nii, et

automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise korral selle määruse artikli 22 lõike 1 tähenduses võib andmesubjekt nõuda vastutavalt töötlejalt „sisulise teabena kasutatava loogika kohta“, et viimane selgitaks talle asjakohase teabe abil kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis menetlust ja põhimõtteid, mida konkreetselt rakendatakse selle isiku isikuandmete automatiseeritud töötlemisel teatud tulemuse, näiteks krediidiprofiili saamiseks.

Määruse 2016/679 artikli 15 lõike 1 punkti h

tuleb tõlgendada nii, et

kui vastutav töötleja leiab, et selle sätte kohaselt andmesubjektile esitatav teave sisaldab kolmandate isikute andmeid, mis on viidatud määrusega kaitstud, või ärisaladusi Euroopa Parlamendi ja nõukogu 8. juuni 2016. aasta direktiivi (EL) 2016/943, milles käsitletakse avalikustamata oskusteabe ja äriteabe (ärisaladuste) ebaseadusliku omandamise, kasutamise ja avalikustamise vastast kaitset, artikli 2 punkti 1 tähenduses, on vastutav töötleja kohustatud edastama selle väidetavalt kaitstud teabe järelevalveasutusele või pädevale kohtule, kelle ülesanne on kaaluda vastanduvaid õigusi ja huve, et määrata kindlaks selle määruse artikliga 15 andmesubjektile antud andmetega tutvumise õiguse ulatus.

Allkirjad

( *1 ) Kohtumenetluse keel: saksa.