EUROOPA KOHTU OTSUS (neljas koda)

11. juuli 2024 ( *1 )

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 12 lõike 1 esimene lause – Teabe läbipaistvus – Artikli 13 lõike 1 punktid c ja e – Vastutava töötleja teabe esitamise kohustus – Artikli 80 lõige 2 – Andmesubjektide esindamine tarbijate huve kaitsva ühenduse poolt – Esindushagi, mis esitatakse volituseta ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – Hagi, mille aluseks on vastutava töötleja teabe esitamise kohustuse rikkumine – Mõiste „andmesubjekti õiguste rikkumine isikuandmete töötlemise tulemusel“

Kohtuasjas C‑757/22,

mille ese on ELTL artikli 267 alusel Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) 10. novembri 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 15. detsembril 2022, menetluses

Meta Platforms Ireland Ltd, varem Facebook Ireland Ltd,

versus

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV,

EUROOPA KOHUS (neljas koda),

koosseisus: koja president C. Lycourgos, kohtunikud O. Spineanu-Matei, J.‑C. Bonichot, S. Rodin ja L. S. Rossi (ettekandja),

kohtujurist: J. Richard de la Tour,

kohtusekretär: osakonnajuhataja D. Dittert,

arvestades kirjalikku menetlust ja 23. novembri 2023. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

–	Meta Platforms Ireland Ltd, esindajad: Rechtsanwälte M. Braun, H.‑G. Kamann ja V. Wettner,

–	Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, esindaja: Rechtsanwalt P. Wassermann,

–	Saksamaa valitsus, esindajad: J. Möller ja P.‑L. Krüger,

–	Portugali valitsus, esindajad: P. Barros da Costa, J. Ramos ja C. Vieira Guerra,

–	Euroopa Komisjon, esindajad: A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

olles 25. jaanuari 2024. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

kohtuotsuse

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 80 lõiget 2 koostoimes selle määruse artikli 12 lõike 1 esimese lause ja artikli 13 lõike 1 punktidega c ja e.

Taotlus on esitatud kohtuvaidluses, mille pooled on Meta Platforms Ireland Ltd, varem Facebook Ireland Ltd, kelle registrijärgne asukoht on Iirimaal, ja Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderaalne liit) (edaspidi „tarbijakaitseorganisatsioonide liit“) ning mille ese on Meta Platforms Irelandi poolt isikuandmete kaitset käsitlevate Saksa õigusnormide rikkumine, mis kujutab endast samal ajal ebaausat kaubandustava, tarbijakaitseseaduse rikkumist ja tühiste tüüptingimuste kasutamise keelu rikkumist.

Õiguslik raamistik

Isikuandmete kaitse üldmäärus

Isikuandmete kaitse üldmääruse põhjendused 10, 13, 39, 58, 60 ja 142 on järgmised:

„(10)

Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]

[…]

(13)

Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste[le] isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. […]

[…]

(39)

Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Kõnealune põhimõte puudutab eelkõige andmesubjektide teavitamist vastutava töötleja identiteedist ning töötlemise eesmärgist ja täiendavast teabest, et tagada asjaomaste füüsiliste isikute suhtes õiglane ja läbipaistev töötlemine ning nende õigus saada neid puudutavate isikuandmete töötlemise kohta kinnitust ja sõnumeid. […]

[…]

(58)

Läbipaistvuse põhimõte eeldab, et üldsusele või andmesubjektile suunatud teave on kokkuvõtlik, lihtsalt kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud ning samuti tuleks vajaduse korral täiendavalt kasutada visualiseerimist. Sellise teabe võib esitada elektrooniliselt, näiteks avalikkusele suunatud teabe puhul veebisaidi kaudu. Eriti asjakohane on see muudes olukordades, mille puhul osapoolte arvukuse ja kasutatava tehnoloogia keerukuse tõttu on andmesubjektil raske teada saada ja mõista, kas kogutakse tema isikuandmeid, kes neid kogub ja millisel eesmärgil, nagu näiteks veebireklaami puhul. […]

[…]

(60)

Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. […]

[…]

(142)

Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel järelevalveasutusele kaebust või kasutama andmesubjektide nimel õigust õiguskaitsevahendile või kasutama andmesubjektide nimel õigust saada hüvitist, kui hüvitis on asjaomase liikmesriigi õiguses ette nähtud. Liikmesriigid võivad sätestada, et sellisel asutusel, organisatsioonil või ühingul oleks õigus esitada andmesubjekti poolsest volitamisest sõltumata sellises liikmesriigis kaebus ja tal peaks olema õigus tõhusale õiguskaitsevahendile, kui tal on põhjust arvata, et andmesubjekti õigusi on rikutud isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Sellisele asutusele, organisatsioonile või ühingule ei või anda õigust nõuda andmesubjekti nimel hüvitist, kui andmesubjekt ei ole selleks volitust andnud.“

4	Määruse artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 1 on sätestatud: „Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.“

Nimetatud määruse artikli 4 punktides 1, 2, 9 ja 11 on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)	„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; […]

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]

9)	„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. […]

[…]

11)	andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega“.

Määruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud:

„1. Isikuandmete töötlemisel tagatakse, et

a)	töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)	isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; […]

[…]

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“

Isikuandmete kaitse üldmääruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõike 1 punktis a on ette nähtud:

„Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)	andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil“.

8	Isikuandmete kaitse üldmääruse III peatükk, mis sisaldab artikleid 12–23, kannab pealkirja „Andmesubjekti õigused“.

Määruse artikli 12 „Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord“ lõikes 1 on sätestatud:

„Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.“

Isikuandmete kaitse üldmääruse artikli 13 „Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt“ lõike 1 punktides c ja e on ette nähtud:

„Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

[…]

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

[…]

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta […]“.

11	Määruse VIII peatükk, mis sisaldab artikleid 77–84, kannab pealkirja „Õiguskaitsevahendid, vastutus ja karistused“.

Isikuandmete kaitse üldmääruse artikli 77 „Õigus esitada järelevalveasutusele kaebus“ lõikes 1 on ette nähtud:

„Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.“

Määruse artikli 78 „Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu“ lõikes 1 on sätestatud:

„Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.“

Määruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on ette nähtud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud […] tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

Määruse artikkel 80 „Andmesubjektide esindamine“ on sõnastatud järgmiselt:

„1. Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

2. Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.“

Isikuandmete kaitse üldmääruse artikli 82 „Õigus hüvitisele ja vastutus“ lõikes 1 on sätestatud:

„Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“

Isikuandmete kaitse üldmääruse artikli 84 „Karistused“ lõikes 1 on sätestatud:

„Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“

Saksa õigus

Rikkumisest hoidumiseks hagi esitamise seadus

26. novembri 2001. aasta tarbijakaitsealaste või muude õigusnormide rikkumise lõpetamiseks või rikkumisest hoidumiseks hagi esitamise seaduse (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG)) (BGBl. 2001 I, lk 3138) põhikohtuasjas kohaldatavas redaktsioonis (edaspidi „rikkumisest hoidumiseks hagi esitamise seadus“) § 2 näeb ette:

„(1) Isiku suhtes, kes rikub tarbijate kaitseks kehtestatud õigusnorme (tarbijakaitsenormid) muul viisil kui tüüptingimuste kohaldamise või soovitamise kaudu, võib tarbijakaitse huvides esitada nõude tegevusest hoidumiseks ja tegevuse viivitamata lõpetamiseks. […]

(2) Tarbijakaitsenormid käesoleva sätte tähenduses on eelkõige:

[…]

11. õigusnormid, mis reguleerivad

a)	ettevõtja poolt tarbija isikuandmete kogumise või

ettevõtja poolt tarbija kohta kogutud isikuandmete töötlemise või kasutamise

lubatavust, kui andmeid kogutakse, töödeldakse või kasutatakse reklaami, turu- või arvamusuuringute, taustakontrolli, isiku- või kasutajaprofiilide loomise, aadresside või muude andmete müügiks pakkumise eesmärgil või võrreldaval ärilisel eesmärgil.“

Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) märgib, et rikkumisest hoidumiseks hagi esitamise seaduse § 3 lõike 1 esimese lause punkti 1 kohaselt võivad organisatsioonid, kellel on õigus esitada hagi selle seaduse § 4 tähenduses, ühelt poolt nõuda selle seaduse § 1 alusel tsiviilseadustiku (Bürgerliches Gesetzbuch) § 307 kohaselt tühiste tüüptingimuste kasutamise lõpetamist ja teiselt poolt nõuda rikkumisest hoidumiseks hagi esitamise seaduse § 2 lõike 2 tähenduses tarbijakaitsenormide rikkumisest hoidumist.

Ebaausa konkurentsi vastane seadus

20	3. juuli 2004. aasta ebaausa konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb) (BGBl. 2004 I, lk 1414) põhikohtuasjas kohaldatavas redaktsioonis (edaspidi „ebaausa konkurentsi vastane seadus“) § 3 lõikes 1 on sätestatud: „Ebaausad kauplemistavad on õigusvastased.“

Ebaausa konkurentsi vastase seaduse § 3a on sõnastatud järgmiselt:

„Ebaausat kauplemistava kasutab igaüks, kes rikub õigusnormi, mis on muu hulgas ette nähtud selleks, et turuosaliste huvides reguleerida tegevust turul, ning kui see rikkumine võib oluliselt kahjustada tarbijate, teiste turuosaliste või konkurentide huve.“

Seaduse §‑s 8 on sätestatud:

„(1) Isiku suhtes, kes kasutab õigusvastast kauplemistava § 3 või § 7 tähenduses, võib esitada nõude selle tegevuse lõpetamiseks ning tegevuse kordumise ennetamiseks võib nõuda sellest tegevusest hoidumist. […]

[…]

(3) Lõike 1 alusel võivad nõudeid esitada:

[…]

3.	pädevad üksused, kes tõendavad, et nad on kantud [rikkumisest hoidumiseks hagi esitamise seaduse] § 4 alusel koostatud pädevate üksuste loetellu […]“.

Elektroonilise teabe ja side teenuste seadus

Bundesgerichtshof (liitvabariigi kõrgeim üldkohus) märgib, et 26. veebruari 2007. aasta elektroonilise teabe ja side teenuste seaduse (Telemediengesetz) (BGBl. 2007 I, lk 179) § 13 lõige 1 oli kohaldatav kuni isikuandmete kaitse üldmääruse jõustumiseni. Alates sellest kuupäevast asendati see säte isikuandmete kaitse üldmääruse artiklitega 12–14.

Elektroonilise teabe ja side teenuste seaduse § 13 lõike 1 esimeses lauses oli sätestatud:

„Teenuseosutaja peab side toimumise alguses teavitama kasutajat üldiselt arusaadavas vormis tema isikuandmete kogumise ja kasutamise viisist, ulatusest ja eesmärkidest ning tema andmete töötlemisest riikides väljaspool Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) kohaldamisala, kui seda ei ole juba eelnevalt tehtud.“

Põhikohtuasi ja eelotsuse küsimus

Meta Platforms Ireland, kes haldab liidus veebipõhise sotsiaalvõrgustiku Facebook teenuste pakkumist, on selle sotsiaalvõrgustiku kasutajate isikuandmete töötlemise eest vastutav töötleja liidus. Saksamaal asuv Facebook Germany GmbH tegeleb veebiaadressil www.facebook.de reklaamipinna müümisega. Veebiplatvormil Facebook oli muu hulgas veebiaadressil www.facebook.de koht nimega „App-Zentrum“ (rakenduste keskus), kus Meta Platforms Ireland tegi kasutajatele kättesaadavaks kolmandate isikute pakutavad tasuta mängud. Selle koha vaatamisel anti kasutajale teada, et teatavate nende rakenduste kasutamisel lubab ta neil koguda erinevaid isikuandmeid ja avaldada tema nimel mõningaid neist andmetest, näiteks tema punktisumma ja ühe kõnealuse mängu puhul ka tema staatuse ja fotod. Samuti teavitati kasutajat sellest, et asjaomaseid rakendusi kasutades nõustub ta nende rakenduste kasutamise üld- ja andmekaitsetingimustega.

Tarbijakaitseorganisatsioonide liit, kellel on vastavalt rikkumisest hoidumiseks hagi esitamise seaduse §‑le 4 hagi esitamise õigus, leiab, et teave, mis rakenduste keskuses asjaomaste mängude juures esitatakse, kujutab endast ebaausat kauplemistava eelkõige seetõttu, et rikutakse seadusest tulenevat nõuet saada kasutajalt andmekaitset reguleerivates sätetes ette nähtud kehtiv nõusolek. Lisaks leiab ta, et teave, mille kohaselt neil rakendustel on lubatud avaldada kasutajate nimel nende teatavaid isikuandmeid, on kasutajaid ebamõistlikult kahjustav tüüptingimus.

Selles kontekstis esitas tarbijakaitseorganisatsioonide liit Landgericht Berlinile (Berliini esimese astme kohus, Saksamaa) ebaausa konkurentsi vastase seaduse § 3a, rikkumisest hoidumiseks hagi esitamise seaduse § 2 lõike 2 esimese lause punkti 11 ja tsiviilseadustiku alusel hagi, nõudes, et Meta Platforms Irelandil keelataks esitada rakenduste keskuses selliseid mängurakendusi nagu asjaomased rakendused. Kõnealune hagi esitati sõltumata andmesubjekti andmete kaitsmise õiguse konkreetsest rikkumisest ja ilma andmesubjekti volituseta.

Landgericht Berlin (Berliini esimese astme kohus) rahuldas tarbijakaitseorganisatsioonide liidu nõuded. Meta Platforms Irelandi poolt Kammergericht Berlinile (Berliini liidumaa kõrgeim üldkohus, Saksamaa) esitatud apellatsioonkaebus jäeti rahuldamata. Meta Platforms Ireland esitas eelotsusetaotluse esitanud kohtule kassatsioonkaebuse apellatsioonikohtu otsuse peale, millega oli jäetud tema apellatsioonkaebus rahuldamata.

Eelotsusetaotluse esitanud kohus leidis, et tarbijakaitseorganisatsioonide liidu hagi on põhjendatud, kuna Meta Platforms Ireland oli rikkunud ebaausa konkurentsi vastase seaduse § 3a ja rikkumisest hoidumiseks hagi esitamise seaduse § 2 lõike 2 esimese lause punkti 11 ning kasutanud tühist tüüptingimust rikkumisest hoidumiseks hagi esitamise seaduse § 1 tähenduses.

Eelotsusetaotluse esitanud kohtul on tekkinud aga kahtlus, kas tarbijakaitseorganisatsioonide liidu hagi on vastuvõetav. Nimelt leiab ta, et ei ole välistatud, et tarbijakaitseorganisatsioonide liit – kellel oli kindlasti õigus esitada hagi ebaausa konkurentsi vastase seaduse § 8 lõike 3 ja rikkumisest hoidumiseks hagi esitamise seaduse § 3 lõike 1 esimese lause punkti 1 alusel tema hagi esitamise kuupäeval – kaotas selle õiguse menetluse jooksul isikuandmete kaitse üldmääruse ning täpsemalt selle artikli 80 lõigete 1 ja 2 ning artikli 84 lõike 1 jõustumise tõttu. Kui see oleks nii, siis oleks eelotsusetaotluse esitanud kohus pidanud Meta Platforms Irelandi kassatsioonkaebuse rahuldama ja jätma tarbijakaitseorganisatsioonide liidu hagi rikkumisest hoidumiseks kohustamise nõudes rahuldamata, sest Saksa õiguse asjasse puutuvate menetlusnormide kohaselt peab hagi esitamise õigus säilima kuni viimase astme menetluse lõpuni.

31	Nõnda otsustas Bundesgerichtshof (liitvabariigi kõrgeim üldkohus) 28. mai 2020. aasta otsusega menetluse peatada ja esitada Euroopa Kohtule eelotsuse küsimuse isikuandmete kaitse üldmääruse artikli 80 lõigete 1 ja 2 ning artikli 84 lõike 1 tõlgendamise kohta.

Euroopa Kohus vastas oma 28. aprilli 2022. aasta otsuses Meta Platforms Ireland (C‑319/20, EU:C:2022:322) sellele küsimusele, et isikuandmete kaitse üldmääruse artikli 80 lõiget 2 tuleb tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsval ühendusel – kellel puudub selleks antud volitus ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – pöörduda oletatava isikuandmete kaitset kahjustava isiku vastu kohtusse väitega, et on rikutud ebaausate kaubandustavade kasutamise keeldu, tarbijakaitseseadust või tühiste tüüptingimuste kasutamise keeldu, kui asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel.

Seda kohtuotsust arvestades leiab eelotsusetaotluse esitanud kohus, et üksuse kaebeõigus isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses ei sõltu tingimusest, et selline üksus tuvastab esmalt individuaalselt andmesubjekti, kelle andmete töötlemine on väidetavalt vastuolus isikuandmete kaitse üldmääruse sätetega. Mõiste „andmesubjekt“ viidatud määruse artikli 4 punkti 1 tähenduses hõlmab nii „tuvastatud füüsilist isikut“ kui ka „tuvastatavat füüsilist isikut“, st füüsilist isikut, keda „saab otseselt või kaudselt tuvastada“ eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave või võrguidentifikaator. Neil asjaoludel võib sellise esindushagi esitamiseks piisata sellest, kui on kindlaks määratud isikute kategooria või isikute rühm, keda niisugune andmete töötlemine puudutab. Käesoleval juhul määras tarbijakaitseorganisatsioonide liit kindlaks sellise rühma või kategooria.

Eelotsusetaotluse esitanud kohtu sõnul ei analüüsitud eespool viidatud Euroopa Kohtu otsuses aga isikuandmete kaitse üldmääruse artikli 80 lõikes 2 sätestatud tingimust, mille kohaselt peab tarbijate huve kaitsev ühendus selles määruses sätestatud õiguskaitsevahendite kasutamiseks leidma, et andmesubjekti õigusi – mis on selles määruses ette nähtud – on rikutud „töötlemise tulemusel“.

Ühelt poolt leiab see kohus, et sellest kohtuotsusest ei nähtu selgelt, kas isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimesest lausest ja artikli 13 lõike 1 punktidest c ja e tuleneva kohustuse – teavitada andmesubjekti selget ja lihtsat keelt kasutades kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis isikuandmete töötlemise eesmärgist ja nende andmete vastuvõtjatest – rikkumine kujutab endast rikkumist „töötlemise tulemusel“ ning kas mõiste „töötlemine“ selle määruse artikli 4 punkti 2 tähenduses hõlmab olukordi, mis eelnesid selliste andmete kogumisele.

Teiselt poolt leiab see kohus, et üheselt ei ole selge, kas sellisel juhul nagu käesolev on teavitamiskohustuse rikkumine toimunud isikuandmete töötlemise „tulemusel“ isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses. Ta rõhutab sellega seoses, et kuigi sellist sõnastust võiks mõista nii, et esindushagi esitav üksus peab selleks, et hagi oleks vastuvõetav, tuginema andmesubjekti õiguste rikkumisele, mis tuleneb isikuandmete töötlemise toimingust selle määruse artikli 4 punkti 2 tähenduses ja on seega sellisest toimingust hilisem, võib selle määruse eesmärk – tagada muu hulgas isikuandmete kõrgetasemeline kaitse – rääkida selle kasuks, et selle üksuse kaebeõigus laieneb ka teavitamiskohustuse rikkumisele, isegi kui see kohustus peab olema täidetud enne mis tahes isikuandmete töötlemise toimingu tegemist.

Neil asjaoludel otsustas Bundesgerichtshof (liitvabariigi kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:

„Kas juhul, kui tarbijate huve kaitsev ühendus tugineb oma hagis asjaolule, et andmesubjekti õigusi on rikutud seetõttu, et täitmata on isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimeses lauses koostoimes artikli 13 lõike 1 punktidega c ja e sätestatud kohustus esitada teave isikuandmete töötlemise eesmärgi ja isikuandmete vastuvõtja kohta, siis esitab ta väite, et [andmesubjekti] õigusi on rikutud „isikuandmete töötlemise tulemusel“ isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses?“

Eelotsuse küsimuse analüüs

Oma küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 80 lõiget 2 tuleb tõlgendada nii, et tingimus – mille kohaselt peab üksus, kellel on õigus esitada selle sätte alusel esindushagi, tuginema sellele, et ta leiab, et andmesubjekti, kelle isikuandmeid on töödeldud, selles määruses ette nähtud õigusi on rikutud selle sätte tähenduses „töötlemise tulemusel“ – on täidetud, kui sellises hagis tuginetakse sellele, et vastutav töötleja on rikkunud selle määruse artikli 12 lõike 1 esimesest lausest ja artikli 13 lõike 1 punktidest c ja e tulenevat kohustust teavitada andmesubjekti hiljemalt isikuandmete kogumise ajal selget ja lihtsat keelt kasutades kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis selle andmete töötlemise eesmärgist ja nende andmete vastuvõtjatest.

Sellele küsimusele vastamiseks tuleb kõigepealt märkida, et isikuandmete kaitse üldmäärus reguleerib eelkõige õiguskaitsevahendeid, mis võimaldavad kaitsta andmesubjekti õigusi juhul, kui teda puudutavaid isikuandmeid on väidetavalt töödeldud kõnealust määrust rikkudes. Nende õiguste kaitsmist võib seega nõuda otse andmesubjekt, kellel on vastavalt isikuandmete kaitse üldmääruse artiklile 77 õigus esitada ise kaebus liikmesriigi järelevalveasutusele või õigus kasutada selle määruse artiklite 78 ja 79 alusel õiguskaitsevahendit liikmesriigi kohtutes, või selle määruse artikli 80 alusel selleks volitatud üksus – olgu siis volituse alusel või ilma.

Eelkõige annab isikuandmete kaitse üldmääruse artikli 80 lõige 2 liikmesriikidele võimaluse kehtestada juhtudeks, kui andmesubjekti volitust ei ole, esindushagi esitamise süsteem isikuandmete kaitset väidetavalt rikkunud isiku vastu, nähes samal ajal ette teatavad nõuded isikulise ja esemelise kohaldamisala suhtes, mida tuleb selleks järgida (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 63).

Esimesena tuleb niisuguse süsteemi isikulise kohaldamisala kohta märkida, et hagi esitamise õigus on antud asutusele, organisatsioonile või ühendusele, kes vastab isikuandmete kaitse üldmääruse artikli 80 lõikes 1 loetletud kriteeriumidele. Nagu Euroopa Kohus on eelkõige juba leidnud, võib niisugune tarbijate huve kaitsev ühendus nagu tarbijakaitseorganisatsioonide liit kuuluda selle mõiste alla, sest sellega taotletakse avalikku huvi pakkuvat eesmärki, mis seisneb andmesubjektide kui tarbijate õiguste ja vabaduste tagamises, kuivõrd sellise eesmärgi saavutamine võib olla seotud nende andmesubjektide isikuandmete kaitsega (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punktid 64 ja 65).

Teisena tuleb selle süsteemi esemelise kohaldamisala kohta sedastada, et isikuandmete kaitse üldmääruse artikli 80 lõikes 2 ette nähtud esindushagi esitamine, mille esitab üksus, kes vastab sama artikli lõikes 1 nimetatud tingimustele, eeldab, et see üksus, sõltumata talle antud volitusest, „leiab, et [selle] määruse kohase[id] andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud“ (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 67).

Sellega seoses on Euroopa Kohus selgitanud, et esindushagi esitamine ei sõltu eelkõige nende õiguste „konkreetsest rikkumisest“, mis isikule tulenevad isikuandmete kaitset käsitlevatest normidest, mistõttu selleks, et tunnustada niisuguse üksuse õigust esitada hagi, piisab, kui väita, et asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel, ilma et oleks vaja tõendada andmesubjekti õiguste rikkumisega talle konkreetses olukorras tekitatud tegelikku kahju (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punktid 70 ja 72).

Ent nagu Euroopa Kohus on juba otsustanud, on esindushagi esitamise eelduseks see, et asjaomane üksus „leiab“, et isikuandmete kaitse üldmääruses ette nähtud andmesubjekti õigusi on tema isikuandmete töötlemise tulemusel rikutud, ning seega väidab ta, et „isikuandmeid on töödeldud viisil“, mis on vastuolus selle määruse sätetega (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 71), kuna selline töötlemine ei tohi olla puhtalt hüpoteetiline, nagu märkis kohtujurist oma ettepaneku punktis 48.

45	Nagu tuleneb isikuandmete kaitse üldmääruse artikli 80 lõike 2 sõnastusest, tähendab selle sätte alusel esindushagi esitamine konkreetselt seda, et andmesubjektile sellest määrusest tulenevate õiguste rikkumine leiab aset isikuandmete töötlemisel.

Seda tõlgendust toetab isikuandmete kaitse üldmääruse artikli 80 lõike 2 erinevate keeleversioonide võrdlus ja põhjendus 142, milles on märgitud, et selle määruse artikli 80 lõikes 1 nimetatud tingimustele vastavatel üksustel peab olema põhjust arvata, et selles määruses ette nähtud andmesubjekti õigusi on rikutud „isikuandmete sellise töötlemise tulemusel, millega rikutakse [sama] määrust“.

Olles seda selgitanud, tuleb eelotsuse küsimusele vastamiseks veel kontrollida, kas siis, kui vastutav töötleja on rikkunud kohustust, mis tuleneb selle määruse artikli 12 lõike 1 esimesest lausest ja artikli 13 lõike 1 punktidest c ja e ning mille kohaselt peab ta andmesubjekti hiljemalt isikuandmete kogumise ajal teavitama selget ja lihtsat keelt kasutades kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis selle andmete töötlemise eesmärgist ja nende andmete vastuvõtjatest, kujutab see rikkumine endast andmesubjekti õiguste rikkumist „töötlemise tulemusel“ isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses.

Kõigepealt tuleb meelde tuletada, et isikuandmete kaitse üldmääruse eesmärk, mis tuleneb selle määruse artiklist 1 ning põhjendusest 10, on eelkõige tagada füüsiliste isikute põhiõiguste ja -vabaduste ning ennekõike nende õiguse eraelu puutumatusele kõrgetasemeline kaitse, kui töödeldakse neid puudutavaid isikuandmeid (vt selle kohta 7. märtsi 2024. aasta kohtuotsus IAB Europe, C‑604/22, EU:C:2024:214, punkt 53).

Selleks on selle määruse II peatükis ette nähtud isikuandmete töötlemise põhimõtted ja III peatükis andmesubjekti õigused, mida tuleb igasugusel isikuandmete töötlemisel järgida. Kui kõnealuse määruse artiklis 23 ette nähtud eranditest ei tulene teisiti, peab igasugune isikuandmete töötlemine ühelt poolt olema kooskõlas määruse artikli 5 kohaste selliste andmete töötlemise põhimõtetega ja vastama sama määruse artiklis 6 loetletud seaduslikkuse tingimustele ning teiselt poolt austama andmesubjekti õigusi, mis on sätestatud isikuandmete kaitse üldmääruse artiklites 12–22 (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 208, ning 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punktid 50 ja 61 ning seal viidatud kohtupraktika).

Sellega seoses tuleb rõhutada, et isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti a kohaselt tuleb isikuandmeid töödelda seaduslikult, õiglaselt ja andmesubjektile läbipaistvalt. Lisaks tuleb artikli 5 lõike 1 punkti b kohaselt neid andmeid koguda täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus.

Isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti b tõlgendamise kohta on Euroopa Kohus otsustanud, et see säte nõuab eelkõige, et töötlemise eesmärgid peavad olema selgelt välja toodud ja need peavad olema paika pandud hiljemalt isikuandmete kogumise ajal (24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punktid 64 ja 65).

52	Lisaks on isikuandmete kaitse üldmääruse artikli 5 lõike 2 kohaselt vastutaval töötlejal kohustus tõendada, et neid andmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning et neid töödeldakse seaduslikult, õiglaselt ja andmesubjektile läbipaistvalt.

Isikuandmete kaitse üldmääruse artiklist 5 tuleneb seega, et isikuandmete töötlemine peab muu hulgas vastama konkreetsetele läbipaistvuse nõuetele selle andmesubjekti suhtes, keda selline töötlemine puudutab. Selleks on isikuandmete kaitse üldmääruse III peatükis ühelt poolt ette nähtud vastutavale töötlejale täpsed kohustused ja teiselt poolt on selles isikuandmete töötlemisest puudutatud andmesubjektile ette nähtud terve hulk õigusi, mille hulgas on muu hulgas õigus saada vastutavalt töötlejalt teavet töötlemise eesmärkide kohta ja konkreetsete vastuvõtjate kohta, kellele tema isikuandmed on avalikustatud või avalikustatakse (22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punkt 48).

Eelkõige on isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktides c ja e ette nähtud vastutava töötleja kohustus teavitada juhul, kui isikuandmeid kogutakse andmesubjektilt, andmesubjekti vastavalt nende andmete töötlemise eesmärgist ja töötlemise õiguslikust alusest ning nende andmete vastuvõtjatest või vastuvõtjate kategooriatest.

55	Lisaks on selle määruse artikli 12 lõikes 1 nõutud, et vastutav töötleja võtaks asjakohased meetmed eelkõige selleks, et eelmises punktis mainitud ja andmesubjektile esitatav teave oleks kokkuvõtlik, selge, arusaadav, lihtsasti kättesaadavas vormis ning esitatud selges ja lihtsas sõnastuses.

Nagu Euroopa Kohus on otsustanud, on isikuandmete kaitse üldmääruse artikli 12 lõike 1 – mis väljendab läbipaistvuse põhimõtet – eesmärk tagada, et andmesubjekt mõistaks täielikult talle suunatud teabe sisu (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 38).

Sellise teavitamiskohustuse täitmise olulisust kinnitab ka isikuandmete kaitse üldmääruse põhjendus 60, milles on märgitud, et õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest ning vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 36).

Eeltoodust tuleneb esimesena, et vastutava töötleja kohustus teavitada isikuid, keda isikuandmete töötlemine puudutab, kujutab endast kohustust, mis kaasneb õigusega saada teavet, mis isikuandmete kaitse üldmääruse artiklitega 12 ja 13 on neile isikutele antud ja mis kuulub seega nende õiguste hulka, mida selle määruse artikli 80 lõikes 2 ette nähtud esindushagiga soovitakse kaitsta. Lisaks, nagu nähtub käesoleva kohtuotsuse punktidest 56 ja 57, tagab selle kohustuse täitmine üldisemalt läbipaistva ja õiglase töötlemise põhimõtete järgimise, mis on ette nähtud isikuandmete kaitse üldmääruse artikli 5 lõikes 1.

Teisena, nagu märkis kohtujurist oma ettepaneku punktis 47, võib väidetav rikkumine, mis puudutab andmesubjekti õigust saada piisavalt teavet isikuandmete töötlemisega seotud kõigi asjaolude ning eelkõige isikuandmete töötlemise eesmärgi ja nende andmete vastuvõtja kohta, takistada isikuandmete kaitse üldmääruse artikli 4 punktis 11 osutatud „teadliku“ nõusoleku andmist, mis võib muuta isikuandmete töötlemise õigusvastaseks selle määruse artikli 5 lõike 1 tähenduses.

Nimelt sõltub andmesubjekti antud nõusoleku kehtivus muu hulgas sellest, kas see isik sai eelnevalt nende andmete töötlemisega seotud kõikide asjaolude kohta teabe, millele tal on õigus isikuandmete kaitse üldmääruse artiklite 12 ja 13 alusel ning mis võimaldab tal anda nõusoleku kõiki asjaolusid teades.

Kuna isikuandmete töötlemine, millega rikutakse andmesubjektile isikuandmete kaitse üldmääruse artiklitest 12 ja 13 tulenevat õigust saada teavet, ei vasta selle määruse artiklis 5 sätestatud nõuetele, tuleb selle teabe saamise õiguse rikkumist käsitada andmesubjekti õiguste rikkumisena „töötlemise tulemusel“ isikuandmete kaitse üldmääruse artikli 80 lõike 2 tähenduses.

Sellest järeldub, et andmesubjektile – kelle isikuandmeid on töödeldud – isikuandmete kaitse üldmääruse artikli 12 lõike 1 esimesest lausest ning artikli 13 lõike 1 punktidest c ja e tulenev õigus saada vastutavalt töötlejalt selget ja lihtsat keelt kasutades kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis teavet selle andmete töötlemise eesmärgi ja nende andmete vastuvõtjate kohta kujutab endast õigust, mille rikkumise korral võib kasutada selle määruse artikli 80 lõikes 2 ette nähtud esindushagi süsteemi.

Seda tõlgendust kinnitab ühelt poolt käesoleva kohtuotsuse punktis 48 meelde tuletatud isikuandmete kaitse üldmääruse eesmärk tagada füüsiliste isikute põhiõiguste ja -vabaduste tõhus kaitse ning eelkõige igaühe õiguse eraelu puutumatusele kõrgetasemeline kaitse, kui töödeldakse teda puudutavaid isikuandmeid.

Teiselt poolt on selline tõlgendus kooskõlas ka ennetava funktsiooniga, mis on isikuandmete kaitse üldmääruse artikli 80 lõikes 2 ette nähtud esindushagil, mida esitavad sellised tarbijate huve kaitsvad ühendused nagu käesoleval juhul tarbijakaitseorganisatsioonide liit (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 76).

Eeltoodut arvestades tuleb eelotsuse küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 80 lõiget 2 tuleb tõlgendada nii, et tingimus – mille kohaselt peab üksus, kellel on õigus esitada selle sätte alusel esindushagi, tuginema sellele, et ta leiab, et andmesubjekti selles määruses ette nähtud õigusi on rikutud selle sätte tähenduses „töötlemise tulemusel“ – on täidetud, kui see üksus tugineb sellele, et andmesubjekti õigusi on rikutud isikuandmete töötlemisega, ja see tuleneb sellest, et vastutav töötleja on rikkunud selle määruse artikli 12 lõike 1 esimesest lausest ja artikli 13 lõike 1 punktidest c ja e tulenevat kohustust teavitada andmesubjekti, keda see töötlemine puudutab, hiljemalt isikuandmete kogumise ajal selget ja lihtsat keelt kasutades kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis selle andmete töötlemise eesmärgist ja nende andmete vastuvõtjatest.

Kohtukulud

66	Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (neljas koda) otsustab:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 80 lõiget 2

tuleb tõlgendada nii, et

tingimus – mille kohaselt peab üksus, kellel on õigus esitada selle sätte alusel esindushagi, tuginema sellele, et ta leiab, et andmesubjekti selles määruses ette nähtud õigusi on rikutud selle sätte tähenduses „töötlemise tulemusel“ – on täidetud, kui see üksus tugineb sellele, et andmesubjekti õigusi on rikutud isikuandmete töötlemisega, ja see tuleneb sellest, et vastutav töötleja on rikkunud selle määruse artikli 12 lõike 1 esimesest lausest ja artikli 13 lõike 1 punktidest c ja e tulenevat kohustust teavitada andmesubjekti, keda see töötlemine puudutab, hiljemalt isikuandmete kogumise ajal selget ja lihtsat keelt kasutades kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis selle andmete töötlemise eesmärgist ja nende andmete vastuvõtjatest.

Allkirjad

( *1 ) Kohtumenetluse keel: saksa.