Language of document : ECLI:EU:C:2017:796

KOHTUJURISTI ETTEPANEK

YVES BOT

esitatud 24. oktoobril 2017(1)

Kohtuasi C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

versus

Wirtschaftsakademie Schleswig-Holstein GmbH,

menetluses osalesid:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

(eelotsusetaotlus, mille on esitanud Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus))

Eelotsusetaotlus – Direktiiv 95/46/EÜ – Artiklid 2, 4 ja 28 – Füüsiliste isikute kaitse isikuandmete töötlemisel ja selliste andmete vabal liikumisel – Korraldus inaktiveerida fännileht sotsiaalvõrgustikus Facebook – Mõiste „vastutav töötleja“ – Fännilehe haldaja vastutus – Kaasvastutus – Kohaldatav liikmesriigi õigus – Järelevalveasutuste sekkumisvolituste ulatus






1.        Käesolev eelotsusetaotlus puudutab Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta(2), Euroopa Parlamendi ja nõukogu 29. septembri 2003. aasta määrusega (EÜ) nr 1882/2003 muudetud redaktsioonis,(3) artikli 2 punkti d, artikli 4 lõike 1, artikli 17 lõike 2 ning artikli 28 lõigete 3 ja 6 tõlgendamist.

2.        Taotlus on esitatud kohtuvaidluses, milles haridusvaldkonnale spetsialiseerunud eraõiguslik äriühing Wirtschaftsakademie Schleswig-Holstein GmbH (edaspidi „Wirtschaftsakademie“) vaidleb Schleswig-Holsteini liidumaa piirkondliku andmekaitseasutuse Unabhängiges Landeszentrum für Datenschutz Schleswig-Holsteiniga (edaspidi „ULD“) selle üle, kas viimase poolt Wirtschaftsakademiele tehtud korraldus inaktiveerida äriühingu Facebook Ireland Ltd veebisaidil majutatav „fännileht“ (fanpage), on õiguspärane.

3.        Selle korralduse põhjenduseks tuuakse direktiivi 95/46 üle võtnud Saksa õigusnormide väidetav rikkumine eelkõige sellega, et fännilehe külastajaid ei hoiatata, et sotsiaalvõrgustik Facebook (edaspidi „Facebook“) kogub nende kõvakettale salvestatavate küpsiste abil nende isikuandmeid, mida kogutakse selle lehe haldaja jaoks kasutajastatistika koostamiseks ja Facebooki poolt sihitatud reklaami levitamise võimaldamiseks.

4.        Käesoleva kohtuasja taust on veebijälitamine (webtracking): nähtus, mis seisneb internetikasutajate käitumisharjumuste jälgimises ja analüüsimises turustamise ja turundamise eesmärkidel. Veebijälitaminevõimaldab nimelt veebikasutajate veebikäitumise jälgimise põhjal kindlaks teha nende huvikeskusi. Sellisel juhul on tegu käitumispõhise veebijälitamisega. Seda tehakse üldjuhul küpsiste kasutamise teel.

5.        Need küpsised on tekstifailid, mis salvestatakse veebikasutaja arvutisse kohe, kui ta mõnda veebisaiti vaatab.

6.        Veebijälitamist kasutatakse eelkõige veebisaidi optimeerimiseks ja tõhusamalt konfigureerimiseks. Lisaks võimaldab see reklaamiettevõtjatel reklaami sihipäraselt eri kasutajasegmentidele suunata.

7.        Artikli 29 alusel asutatud andmekaitse töörühma(4) 22. juuni 2010. aasta arvamuses 2/2010 käitumispõhise internetireklaami kohta(5) antud määratluse kohaselt on „[k]äitumispõhine reklaam […] reklaam, mis põhineb üksikisikute veebikäitumise vaatlemisel aja jooksul. Käitumispõhine reklaam püüab uurida kasutaja veebikäitumise tunnusjooni tema toimingute kaudu (veebisaitide korduv külastamine, suhtlus, võtmesõnad, veebisisu loomine jms), et koostada kasutajaprofiil, järeldada sellest tema huvid ning saata andmesubjekti huvidele vastavaid reklaame“(6). Selle tulemuse saamiseks tuleb koguda ja seejärel käidelda veebilehitsejast ja kasutaja lõppseadmest saadavat infot. Peamine jälgimistehnika, mis võimaldab kasutajat veebis jälgida, põhineb „jälgimisküpsistel“(7). Seega „[k]äitumispõhises reklaamis kasutatakse inimese veebikäitumise (näiteks milliseid lehti ta külastab või mis otsinguid teeb) kohta kogutud teavet selleks, et valida välja, milliseid reklaame sellele inimesele kuvada“(8).

8.        Veebikäitumise jälgimine võimaldab ka anda veebisaitide operaatoritele kasutajastatistikat nende saitide külastajate kohta.

9.        Selleks et isikuandmete kogumine ja äriotstarbel kasutamine kasutajastatistika koostamiseks ja sihitatud reklaami levitamiseks oleks direktiivist 95/46 tulenevate isikuandmete kaitse eeskirjadega kooskõlas, peab see vastama teatud tingimustele. Eelkõige ei või niisugust töötlemist teha ilma asjaomaseid isikuid eelnevalt teavitamata ja ilma nende nõusolekuta.

10.      Eeskirjadele vastavuse kontrollimiseks tuleb aga eelnevalt lahendada mitu küsimust seoses vastutava töötleja määratlemisega, kohaldatava õiguse ja sekkumisvolitusi teostava pädeva asutuse kindlaksmääramisega.

11.      Vastutava töötleja kindlakstegemise küsimus muutub eriti teravaks olukorras, kus ettevõtja otsustab kasutajastatistika koostamiseks ja sihitatud reklaami levitamiseks vajalikke vahendeid oma veebisaidile mitte paigaldada, vaid kasutada selleks niisugust sotsiaalvõrgustikku nagu Facebook, avades selleks, et saaks samasuguseid vahendeid kasutada, fännilehe.

12.      Küsimused, millise riigi õigus on kohaldatav ja milline asutus on pädev teostama sekkumisvolitusi, muutuvad keeruliseks ka siis, kui asjaomases isikuandmete töötlemises osaleb mitu üksust, mis asuvad nii Euroopa Liidus kui ka väljaspool.

13.      Ajal, kus paljude liikmesriikide järelevalveasutused on viimastel kuudel otsustanud määrata Facebookile trahve kasutajate andmete kaitset reguleerivate eeskirjade rikkumise eest,(9) võimaldab analüüsitav kohtuasi Euroopa Kohtul täpsustada niisuguse järelevalveasutuse nagu ULD sekkumisvolituste ulatust isikuandmete töötlemisse, millesse on kaasatud mitu osalejat.

14.      Käesolevas kohtuasjas kaalul olevate õigusküsimuste paremaks mõistmiseks tuleks alustuseks kirjeldada põhikohtuasja faktilisi asjaolusid.

I.      Põhikohtuasja faktilised asjaolud ja eelotsuse küsimused

15.      Wirtschaftsakademie pakub sotsiaalvõrgustiku Facebook saidil majutatava fännilehe kaudu koolitusteenuseid.

16.      Fännilehed on kasutajakontod, mida üksikisikud või ettevõtjad saavad Facebooki saidil konfigureerida. Selleks peab fännilehe haldaja Facebookis kasutajaks registreeruma ja saab nii kasutada selle pakutavat platvormi enda tutvustamiseks selle sotsiaalvõrgustiku kasutajatele ja avaldada igat liiki teateid, sealhulgas äritegevuse arendamiseks.

17.      Fännilehtede haldajad saavad hankida kasutajastatistikat töövahendi „Facebook Insights“ abil, mille Facebook annab muutumatute kasutustingimuste raames tasuta nende käsutusse. Seda statistikat koostab Facebook ja personaliseerib fännilehe haldaja eri kriteeriumide abil, mida ta saab valida, näiteks vanus või sugu. Nõnda annab see statistika anonüümset teavet fännilehti külastanud isikute omaduste ja harjumuste kohta, mis võimaldab nende lehtede haldajatel oma kommunikatsiooni sihipärasemalt suunata.

18.      Niisuguse kasutajastatistika koostamiseks salvestab Facebook fännilehte külastanud isiku arvuti kõvakettale vähemalt ühe, kordumatu ID-numbriga küpsise, mis on aktiivne kaks aastat. ID-numbrit, mida saab seostada Facebookis registreeritud kasutajate ühendusandmetega, loetakse ja töödeldakse Facebooki lehtede avamise ajal.

19.      ULD andis 3. novembri 2011. aasta otsusega Saksamaa föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz, edaspidi „BDSG“)(10) § 38 lõike 5 esimese lause alusel Wirtschaftsakademiele korralduse inaktiveerida fännileht, mille see oli Facebookis loonud veebiaadressil: https://www.facebook.com/wirtschaftsakademie, hoiatades korralduse määratud tähtajaks täitmata jätmise korral trahvi määramisega põhjusel, et Wirtschaftsakademie ega Facebook ei teavitanud fännilehe külastajaid, et viimane kogub küpsiste abil nende isikuandmeid ja seejärel töötleb neid. Wirtschaftsakademie esitas selle otsuse peale vaide, milles ta väidab sisuliselt, et tema ei ole andmekaitseõiguse seisukohast vastutav Facebooki poolt andmete töötlemise eest ega viimase paigaldatud küpsiste eest.

20.      ULD jättis 16. detsembri 2011. aasta otsusega vaide rahuldamata, leides, et Wirtschaftsakademie kui teenuseosutaja vastutus on Saksamaa elektroonilise side seaduse (Telemediengesetz)(11) § 3 lõike 3 punkti 4 ja § 12 lõike 1 kohaselt tõendatud. Tema hinnangul aitas Wirtschaftsakademie fännilehe loomisega aktiivselt ja vabatahtlikult kaasa Facebooki poolt isikuandmete kogumisele, millest ta sai väidetavalt kasu kasutajastatistika kaudu, mida see sotsiaalvõrgustik kättesaadavaks tegi.

21.      Wirtschaftsakademie esitas seejärel selle otsuse peale kaebuse Verwaltungsgerichtile (halduskohus, Saksamaa), väites, et teda ei saa Facebooki andmetöötlusoperatsioonide eest vastutavaks pidada ja et ta ei ole ka Facebookile BDSG § 11 tähenduses ülesandeks teinud(12) andmetöötlemist, mis toimuks tema kontrolli all või mida ta saaks mõjutada. Wirtschaftsakademie on seega seisukohal, et ULD eksib, kui pöördub tema, mitte otse Facebooki vastu.

22.      Verwaltungsgericht (halduskohus) tühistas vaidlustatud otsuse 9. oktoobri 2013. aasta kohtuotsusega sisuliselt põhjendusega, et Facebooki fännilehe haldaja ei ole „vastutav töötleja“ BDSG § 3 lõike 7 tähenduses(13) ja et seega ei saa BDSG § 38 lõikes 5 ette nähtud meedet võtta Wirtschaftsakademie vastu.

23.      Seejärel jättis Oberverwaltungsgericht (kõrgem halduskohus, Saksamaa) ULD apellatsioonkaebuse selle kohtuotsuse peale põhjendamatuse tõttu rahuldamata, olles sisuliselt seisukohal, et vaidlustatud otsuses kehtestatud andmetöötluskeeld on ebaseaduslik, kuna BDSG § 38 lõike 5 teises lauses on ette nähtud progressiivne menetlus, mille esimeses etapis on lubatud võtta ainult meetmeid andmetöötluses tuvastatud õigusrikkumiste kõrvaldamiseks. Andmetöötluse kohene keelamine on tema hinnangul mõeldav üksnes juhul, kui andmetöötlusprotsess on tervikuna õigusvastane ja rikkumise saab kõrvaldada üksnes selle protsessi peatamisega. Oberverwaltungsgerichti (kõrgem halduskohus) hinnangul aga ei ole see käesoleval juhul nii, sest Facebookil on igati võimalik ULD väidetavad õigusrikkumised peatada.

24.      Korraldus on kohtu hinnangul ebaseaduslik ka põhjusel, et kaebaja ei ole BDSG § 3 lõike 7 tähenduses vastutav töötleja, kuna andmeid kogub Facebook fännilehe haldamisel, ja BDSG § 38 lõikes 5 ette nähtud korraldust saab anda ainult niisuguse organisatsiooni vastu. Käesoleval juhul otsustab selle kohtu hinnangul funktsiooni „Facebook Insights“ jaoks kasutatavate isikuandmete kogumise ja töötlemise eesmärgi ja vahendite üle ainult Facebook. Kaebaja aga saab ainult statistilist teavet, mis on muudetud anonüümseks.

25.      BDSG § 38 lõikega 5 ei ole selle kohtu sõnul lubatud anda korraldusi kolmandate isikute vastu. Tsiviilkohtute praktikas välja töötatud niinimetatud kaudne vastutus (Störerhaftung) ei ole tema sõnul avaliku võimu kandjate õigustele ülekantav. Isegi kui BDSG § 38 lõikes 5 ei ole keelava korralduse adressaati sõnaselgelt nimetatud, tuleneb selle kohtu hinnangul selle õigusnormi ülesehitusest, eesmärgist ja mõttest, samuti selle kujunemisloost, et adressaat saab olla ainult vastutav töötleja.

26.      ULD esitas Bundesverwaltungsgerichtile (Saksamaa Liitvabariigi kõrgeim halduskohus, Saksamaa) kassatsioonkaebuse, milles ta väidab muu hulgas, et rikutud on BDSG § 38 lõiget 5, ja et apellatsioonikohus on rikkunud mitut menetlusnormi. Ta on seisukohal, et Wirtschaftsakademie õigusrikkumine seisneb selles, et ta tellis veebisaidi loomise, majutamise ja hoolduse teenust ebasobivalt teenuseosutajalt – käesoleval juhul Facebook Irelandilt –, kuna see pakkuja ei järgi kohaldatavat andmekaitseõigust. Inaktiveerimiskorraldus on seega antud Wirtschaftsakademie poolt toime pandud õigusrikkumise kõrvaldamiseks sellega, et see keelab tal jätkata Facebooki infrastruktuuri kasutamist oma veebisaidi tehnilise baasina.

27.      Eelotsusetaotluse esitanud kohus on põhikohtuasjas menetlusse astuja, s.o Facebook Irelandi poolt fännilehte külastavate isikute andmete kogumise ja töötlemise küsimuses seisukohal, et Wirtschaftsakademie ei ole „organ, kes kogub, töötleb või kasutab isikuandmeid enda nimel või volituse alusel teiste vahendusel“ BDSG § 3 lõike 7 tähenduses või „organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid“, direktiivi 95/46 artikli 2 punkti d tähenduses. On tõsi, et oma otsusega luua fännileht platvormil, mida käitab põhikohtuasjas menetlusse astuja või selle emaettevõtja (käesoleval juhul Facebook Inc., USA), annab Wirtschaftsakademie põhikohtuasjas menetlusse astujale objektiivselt võimaluse fännilehe avamisel küpsised paigaldada ja selle abil andmeid koguda. Samas ei võimalda see otsus Wirtschaftsakademiel siiski oma fännilehe kasutajate andmete põhikohtuasjas menetlusse astuja poolt töötlemise laadi ja ulatust mõjutada, suunata, modelleerida ega kontrollida. Fännilehe kasutustingimused ei anna Wirtschaftsakademiele ka sekkumis- või kontrolliõigusi. Põhikohtuasjas menetlusse astuja poolt ühepoolselt kindlaks määratud kasutustingimused ei ole kokku lepitud läbirääkimiste tulemusel ega anna Wirtschaftsakademiele õigust põhikohtuasjas menetlusse astujal fännilehe kasutajate andmete kogumist ja töötlemist keelata.

28.      Eelotsusetaotluse esitanud kohus tunnistab, et direktiivi 95/46 artikli 2 punktis d sätestatud mõiste „vastutav töötleja“ õiguslikku määratlust tuleb õiguse eraelu puutumatuse tõhusale kaitsele huvides põhimõtteliselt tõlgendada laialt. Tema hinnangul ei vasta Wirtschaftsakademie siiski sellele määratlusele, kuna tal ei ole mingit õiguslikku ega faktilist mõjuvõimu selle üle, kuidas isikuandmete töötlemine toimub, sest seda teeb põhikohtuasjas menetlusse astuja omal vastutusel ja täiesti sõltumatult. Sellisel juhul ei piisa selle kohtu hinnangul asjaolust, et Wirtschaftsakademie võib põhikohtuasjas menetlusse astuja poolt käitatavast funktsioonist „Facebook Insights“ objektiivselt kasu saada põhjusel, et talle edastatakse anonüümseks muudetud andmeid tema fännilehe kasutamiseks.

29.      Eelotsusetaotluse esitanud kohtu hinnangul ei saa Wirtschaftsakademied käsitada ka vastutavana andmete töötlemise eest volituse alusel BDSG § 11 ja direktiivi 95/46 artikli 2 punkti e ja artikli 17 lõigete 2 ja 3 tähenduses.

30.      See kohus on seisukohal, et vaja on selgitada küsimust, kas ja millistel tingimustel võib andmekaitse järelevalveasutuste kontrolli- ja sekkumisvolitusi teostada ainult „vastutava töötleja“ suhtes direktiivi 95/46 artikli 2 punkti d tähenduses või kas on võimalik pidada vastutavaks organit, mis ei ole samast sättest tuleneva määratluse järgi vastutav andmetöötleja, kuna see organ on valinud võimaluse kasutada oma teabe pakkumiseks Facebooki.

31.      Esimesel juhul tekib eelotsusetaotluse esitanud kohtul küsimus, kas niisugune vastutus võiks põhineda direktiivi 95/46 artikli 17 lõikest 2 tulenevate valiku- ja kontrollikohustuste analoogia alusel kohaldamisel volituse alusel toimuva andmetöötluse korral.

32.      Eelotsusetaotluse esitanud kohus leiab, et selleks, et saaks otsustada käesoleval juhul antud korralduse seaduslikkuse üle, on samuti vaja selgitada teatavaid punkte seoses järelevalveasutuste pädevusega ja nende sekkumisvolituste ulatusega.

33.      Eelkõige tekitab eelotsusetaotluse esitanud kohtule küsimusi pädevuse jagunemine järelevalveasutuste vahel juhul, kus emaettevõtjal – nagu Facebook Inc. – on liidu territooriumil mitu üksust ja neile on kontsernis määratud eri ülesanded.

34.      Eelotsusetaotluse esitanud kohus tuletab siinkohal meelde, et Euroopa Kohus selgitas 13. mai 2014. aasta kohtuotsuses Google Spain ja Google(14), et „direktiivi 95/46 artikli 4 lõike 1 punkti a tuleb tõlgendada nii, et isikuandmete töötlemine toimub liikmesriigi territooriumil paikneva vastutava töötleja asutuse tegevuse raames selle sätte tähenduses, kui otsingumootori haldaja asutab liikmesriigis filiaali või tütarettevõtja, mille eesmärk on tagada otsingumootori reklaamipinna turustamine ja müük ja mille tegevus on suunatud selle liikmesriigi elanikele“(15). Eelotsusetaotluse esitanud kohtul on küsimus, kas see seos niisuguse üksusega nagu Facebook Germany GmbH, mille ülesanne on eelotsusetaotluse andmete kohaselt reklaamimüügi edendamine ja muu Saksamaa Liitvabariigi elanikele suunatud turundustegevus, on direktiivi 95/46 kohaldamiseks ja pädeva järelevalveasutuse kindlaksmääramiseks ülekantav olukorrale, kus teises liikmesriigis (käesoleval juhul Iirimaal) asutatud tütarettevõtja toimib „vastutava töötlejana“ kogu liidu territooriumil.

35.      Direktiivi 95/46 artikli 28 lõike 3 kohaselt võetava meetme adressaatide kohta märgib eelotsusetaotluse esitanud kohus, et Wirtschaftsakademie vastu korralduse tegemisel võidi teha hindamisviga ja see võib järelikult olla ebaseaduslik, kui ULD väidetava kohaldatava andmekaitseõiguse rikkumise oleks saanud kõrvaldada otse tütarettevõtja Facebook Germany ‐ mis on asutatud Saksamaal ‐ suunatud meetmega.

36.      Eelotsusetaotluse esitanud kohus märgib ühtlasi, et ULD on seisukohal, et Iirimaa andmekaitsevoliniku (Data Protection Commissioner) – kes Wirtschaftsakademie ja põhikohtuasjas menetlusse astuja ütluste kohaselt ei ole põhikohtuasjas kõne all olevale isikuandmete töötlemisele vastu olnud – järeldused ja hinnangud ei ole talle siduvad. See kohus soovib seega teada ühelt poolt, kas ULD niisugune autonoomne hinnang on lubatav, ja teiselt poolt, kas direktiivi 95/46 artikli 28 lõike 6 teine lause kohustab ULD-d taotlema Iirimaa andmekaitsevolinikult (Data Protection Commissioner) – arvestades nende kahe järelevalveasutuse hinnangute lahknevust põhikohtuasjas kõne all oleva andmetöötluse kooskõla suhtes direktiivi 95/46 eeskirjadega –, et see teostaks oma volitusi Facebook Irelandi suhtes.

37.      Nendel asjaoludel otsustas Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas direktiivi 95/46 artikli 2 punkti d tuleb tõlgendada nii, et see reguleerib vastutust andmekaitsealaste õigusnormide rikkumise eest täielikult ja ammendavalt, või vastutab [selle direktiivi] artikli 24 kohaste „sobivate meetmete“ ja [selle] artikli 28 lõike 3 teise taande kohaste „tõhusate sekkumisvolituste“ raames oma teabe haldaja valimise eest teabe andjate mitmeastmeliste suhete puhul organ, kes ei ole [nimetatud direktiivi] artikli 2 punkti d tähenduses vastutav andmete töötleja?

2.      Kas liikmesriikide kohustusest tulenevalt direktiivi 95/46 artikli 17 lõikest 2 nõuda juhul, kui töötlemine toimub volitatud töötleja kaudu, et vastutav töötleja „peab valima volitatud töötleja, kes esitab piisavad tagatised tehniliste turvameetmete ja töötlemist reguleerivate korralduslike meetmete kohta“, tuleneb ümberpöördult, et teistsuguste kasutussuhete puhul, mis ei ole seotud andmete töötlemisega volitatud töötleja poolt [selle direktiivi] artikli 2 punkti e tähenduses, ei kehti valimisel hoolsuskohustus ja seda ei saa ka siseriikliku õiguse alusel kehtestada?

3.      Kas juhtudel, kus väljaspool Euroopa Liitu asuval emaettevõtjal on eri liikmesriikides õiguslikult iseseisvad üksused (tütarettevõtjad), on ühe liikmesriigi (käesoleval juhul Saksamaa) järelevalveasutusel direktiivi 95/46 artikli 4 ja artikli 28 lõike 6 alusel õigus kasutada talle vastavalt [selle direktiivi] artikli 28 lõikele 3 antud volitusi ka tema territooriumil registreeritud üksuse suhtes, kui see üksus vastutab üksnes reklaamipinna edendamise ja müügi ning selle riigi elanikele suunatud muu turundustegevuse eest, samal ajal kui teises liikmesriigis (käesoleval juhul Iirimaa) registreeritud iseseisev üksus (tütarettevõtja) on vastavalt kontsernisisesele ülesannete jaotusele ainuvastutav isikuandmete kogumise ja töötlemise eest kogu liidu territooriumil ja seega ka selles teises liikmesriigis (käesoleval juhul Saksamaa), kui tegelikult otsustab andmete töötlemise üle emaettevõtja?

4.      Kas direktiivi 95/46 artikli 4 lõiget 1 ja artikli 28 lõiget 3 tuleb tõlgendada nii, et kui vastutaval töötlejal on üksus liikmesriigi (käesoleval juhul Iirimaa) territooriumil ja teine õiguslikult iseseisev üksus teise liikmesriigi (käesoleval juhul Saksamaa) territooriumil, kes vastutab muu hulgas ka reklaamimüügi eest ja kelle tegevus on suunatud selle riigi elanikele, võib selle teise liikmesriigi (käesoleval juhul Saksamaa) pädev järelevalveasutus võtta meetmeid ja anda korraldusi kohaldatava andmekaitse õiguse rakendamiseks ka teise (käesoleval juhul Saksamaa) üksuse vastu, kes ei ole kontsernisisese vastutuse jagunemise kohaselt vastutav andmete töötleja, või tuleb sel juhul meetmeid võtta ja korraldusi anda ainult selle liikmesriigi (käesoleval juhul Iirimaa) järelevalveasutusel, kelle territooriumil on kontsernisisese vastutava töötleja registrijärgne asukoht?

5.      Kas direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi (käesoleval juhul Saksamaa) järelevalveasutus annab tema territooriumil tegutsevale isikule või organile [selle direktiivi] artikli 28 lõike 3 kohaselt korralduse seetõttu, et viimane on andmetöötlusesse kaasatud kolmanda isiku (käesoleval juhul Facebooki) valimisel rikkunud hoolsuskohustust, kuna see kolmas isik rikub andmekaitsealaseid õigusnorme, on meetmeid rakendavale järelevalveasutusele (käesoleval juhul Saksamaa järelevalveasutus) siduv niisuguse teise liikmesriigi järelevalveasutuse hinnang kohaldatavale andmekaitseõigusele, kus andmete töötlemise eest vastutav kolmas isik on registreeritud (käesoleval juhul Iirimaa), selles mõttes, et ta ei või anda sellest lahknevat õiguslikku hinnangut, või kas meetmeid rakendav järelevalveasutus (käesoleval juhul Saksamaa) võib teises liikmesriigis (käesoleval juhul Iirimaa) registreeritud kolmanda isiku teostatava andmetöötluse õiguspärasust täiendavalt iseseisvalt kontrollida?

6.      Kas juhul, kui meetmeid rakendav järelevalveasutus (käesoleval juhul Saksamaa) võib teostada iseseisvat kontrolli, tuleb direktiivi 95/46 artikli 28 lõike 6 teist lauset tõlgendada nii, et see järelevalveasutus võib talle [selle] direktiivi artikli 28 lõike 3 alusel antud tõhusaid sekkumisvolitusi tema territooriumil registreeritud isiku või organi suhtes kaasvastutuse tõttu andmekaitsealaste õigusnormide rikkumise eest, mille on toime pannud teises liikmesriigis registreeritud kolmas isik, kasutada ainult ja alles siis, kui ta on nimetatud teise liikmesriigi (käesoleval juhul Iirimaa) järelevalveasutuselt taotlenud eelnevalt luba neid volitusi kasutada?“

II.    Analüüs

38.      Tuleks täpsustada, et eelotsusetaotluse esitanud kohtu eelotsuse küsimused ei ole esitatud selle kohta, kas isikuandmete töötlemine, mille kohta on esitatud ULD etteheited, nimelt fännilehti külastavate isikute andmete kogumine ja äriotstarbel kasutamine ilma neid isikuid sellest eelnevalt teavitamata, on või ei ole direktiivi 95/46 eeskirjadega vastuolus.

39.      Eelotsusetaotluse esitanud kohtu selgituste järgi sõltub talle hindamiseks esitatud korralduse õiguspärasus järgmistest asjaoludest. Tema hinnangul tuleb kõigepealt kindlaks määrata, kas ULD kasutas põhjendatult oma sekkumisvolitusi isiku vastu, kes ei ole direktiivi 95/46 artikli 2 punkti d tähenduses vastutav töötleja. Seejärel on eelotsusetaotluse esitanud kohus seisukohal, et korralduse õiguspärasus sõltub ka sellest, kas ULD oli pädev põhikohtuasjas kõne all oleva isikuandmete töötlemise suhtes meetmeid võtma, kas asjaolu, et ta ei adresseerinud korraldust Wirtschaftsakademie asemel Facebook Germanyle, ei kujuta endast hindamisviga, ja lõpuks, kas ULD ei teinud veel teist hindamisviga, kui ta kohustas Wirtschaftsakademied oma fännilehe sulgema, kuigi ta oleks pidanud eelnevalt taotlema Iirimaa andmekaitsevolinikult, et see kasutaks oma volitusi Facebook Irelandi suhtes.

A.      Esimene ja teine eelotsuse küsimus

40.      Esimese ja teise eelotsuse küsimusega, mida tuleks minu arvates analüüsida koos, palub eelotsusetaotluse esitanud kohus Euroopa Kohtul sisuliselt selgitada, kas direktiivi 95/46 artikli 17 lõiget 2, artiklit 24 ja artikli 28 lõike 3 teist taanet tuleb tõlgendada nii, et need lubavad järelevalveasutustel kasutada oma sekkumisvolitusi niisuguse organi suhtes, keda ei saa käsitada „vastutava töötlejana“ selle sama direktiivi artikli 2 punkti d tähenduses, aga keda võib kõigele vaatamata pidada vastutavaks isikuandmete kaitse eeskirjade rikkumise korral seetõttu, et see organ on valinud oma teabepakkumise levitamiseks niisuguse sotsiaalvõrgustiku nagu Facebook.

41.      Need küsimused põhinevad eeldusel, et Wirtschaftsakademie ei ole „vastutav töötleja“ direktiivi 95/46 artikli 2 punkti d tähenduses. Seepärast soovibki see kohus teada, kas niisugust korraldust, nagu on kõne all põhikohtuasjas, saab võtta isiku vastu, kes ei vasta selles õigusnormis sätestatud kriteeriumidele.

42.      Leian siiski, et see eeldus on ekslik. Minu arvates tuleb nimelt Wirtschaftsakademied käsitada kaasvastutavana andmetöötlusetapis, kus Facebook kogub isikuandmeid.

43.      Direktiivi 95/46 artikli 2 punkti d tähenduses on „vastutav töötleja“ „füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid“(16).

44.      Vastutaval töötlejal on direktiiviga 95/46 kehtestatud süsteemis peatähtis osa ja tema kindlaksmääramine on seega väga oluline. See direktiiv näeb nimelt ette, et vastutav töötleja on kohustatud täitma teatud kohustusi, et tagada isikuandmete kaitse.(17) Seda peatähtsat osa rõhutas Euroopa Kohus oma 13. mai 2014. aasta kohtuotsuses Google Spain ja Google(18). Ta nentis seal nimelt, et vastutav töötleja peab oma ülesannete, pädevuse ja võimaluste piires tagama andmetöötluse vastavuse direktiivi 95/46 nõuetele, et direktiivis ette nähtud tagatised saaksid oma täielikku mõju avaldada ning et andmesubjektid ja eeskätt nende õigus eraelu puutumatusele oleksid tõepoolest tõhusalt ja täielikult kaitstud.(19)

45.      Euroopa Kohtu praktikast tuleneb samuti, et seda mõistet tuleb määratleda laialt, et tagada andmesubjektide tõhus ja täielik kaitse.(20)

46.      Vastutav isikuandmete töötleja on isik, kes otsustab, miks ja kuidas neid andmeid töödeldakse. Nagu märgib artikli 29 töörühm, on „[v]astutava töötleja mõiste […] funktsionaalne mõiste, mille eesmärk on määrata vastutus faktilise mõju järgi, ning see põhineb seega pigem faktiliste kui formaalsete asjaolude analüüsil“(21).

47.      Kõnealuse andmetöötluse ideelise teostuse autoritena on selle eesmärgid ja teostusviisi minu arvates põhiliselt kindlaks määranud just Facebook Inc. ja liidus Facebook Ireland.

48.      Täpsemalt on Facebook Inc. välja töötanud üldise majandusliku mudeli, mille tulemusel võimaldab isikuandmete kogumine fännilehtede külastamisel ja seejärel nende äriotstarbel kasutamine ühelt poolt levitada personaliseeritud reklaami ja teiselt poolt koostada kasutajastatistikat nende lehtede haldajate jaoks.

49.      Peale selle tuleneb toimikumaterjalidest, et Facebook Inc. on määranud Facebook Irelandi vastutavaks isikuandmete töötlemise eest liidus. Facebook Irelandi selgituste kohaselt võidakse sotsiaalvõrgustiku toimimistingimustesse liidus teha teatavaid kohandusi.(22)

50.      Pealegi, kuigi on kindel, et kõik liidu territooriumil elavad isikud, kes soovivad Facebooki kasutada, on kohustatud enda registreerimisel sõlmima lepingu Facebook Irelandiga, tuleb samas märkida, et liidu territooriumil elavate Facebooki kasutajate isikuandmed edastatakse kas täielikult või osaliselt äriühingu Facebook Inc. serveritesse, mis asuvad Ameerika Ühendriikide territooriumil, ja neid töödeldakse seal.(23)

51.      Võttes arvesse, et põhikohtuasjas kõne all oleva isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises osalevad Facebook Inc. ja konkreetsemalt liidus Facebook Ireland, tuleb neid kahte üksust meie käsutuses olevate andmete seisukohast käsitada selle töötlemise eest kaasvastutavana. Siinkohal tuleks märkida, et niisuguse kaasvastutuse võimalus on direktiivi 95/46 artikli 2 punktis d sõnaselgelt ette nähtud. Nagu eelotsusetaotluse esitanud kohus ise märgib, tuleb just viimaselt lõppkokkuvõttes selgitada Facebooki kontsernisiseseid otsuste tegemise ja andmetöötluse struktuure, et kindlaks määrata, kes on direktiivi 95/46 artikli 2 punkti d tähenduses töötlemise eest vastutav asutus või vastutavad asutused.(24)

52.      Äriühingute Facebook Inc. ja Facebook Ireland kaasvastutusele tuleb minu arvates andmetöötlusetapi puhul, kus Facebook isikuandmeid kogub,(25) lisada niisuguse fännilehe haldaja nagu Wirtschaftsakademie vastutus.

53.      Fännilehe haldaja on küll ennekõike Facebooki kasutaja, kes kasutab Facebooki selleks, et ta saaks kasutada selle töövahendeid ja olla sel viisil paremini nähtav. See asjaolu ei välista aga, et teda võiks käsitada ka vastutavana isikuandmete töötlemise etapis, mis on põhikohtuasja ese, nimelt niisuguste andmete Facebooki poolt kogumise etapis.

54.      Mis puutub küsimusse, kas fännilehe haldaja „määrab kindlaks“ andmetöötluse eesmärgid ja vahendid, siis tuleb kontrollida, kas see haldaja mõjutab neid eesmärke ja vahendeid õiguslikult või faktiliselt. Selle määratluselemendi põhjal saab arvestada, et vastutav töötleja ei ole mitte see, kes isikuandmeid töötleb, vaid see, kes määrab kindlaks töötlemise vahendid ja eesmärgid.

55.      Kuna fännilehe haldaja kasutab oma teabepakkumise levitamiseks Facebooki, nõustub ta põhimõttega, et tema lehe külastajate isikuandmeid töödeldakse kasutajastatistika koostamiseks.(26) Kuigi see haldaja ei ole mõistagi töövahendi „Facebook Insights“ ideeline teostaja, võtab ta seda töövahendit kasutades oma lehe külastajate isikuandmete töötlemise eesmärkide ja viiside kindlaksmääramisest osa.

56.      Nimelt, ühelt poolt ei saaks see töötlemine toimuda ilma fännilehe haldaja eelneva otsuseta luua ja käitada seda lehte Facebooki sotsiaalvõrgustikus. Muutes fännilehe kasutajate isikuandmete töötlemise võimalikuks, liitub selle lehe haldaja Facebooki loodud süsteemiga. Ta omandab nii parema nähtavuse oma fännilehe kasutajate profiilis ja võimaldab samas Facebookil levitada selles sotsiaalvõrgustikus reklaami sihipärasemalt. Kuna fännilehe haldaja nõustub isikuandmete töötlemise vahendite ja eesmärkidega, nagu Facebook on need eelnevalt kindlaks määranud, tuleb teda käsitada nende kindlaksmääramises osalejana. Pealegi, kuna fännilehe haldaja avaldab sel viisil määravat mõju selle lehe külastajate isikuandmete töötlemise käivitamisele, on tema võimuses ka see töötlemine oma fännilehe sulgemisega lõpetada.

57.      Teiselt poolt, kuigi töövahendi „Facebook Insights“ eesmärgid ja tingimused iseenesest on Facebook Inc. üldiselt kindlaks määranud koos Facebook Irelandiga, on fännilehe haldajal võimalik selle töövahendi konkreetset kasutamist mõjutada, määrates kindlaks kriteeriumid, millest lähtuvalt kasutajastatistikat koostatakse. Kui Facebook kutsub fännilehe haldajat looma või muutma tema lehe publikut, teatab ta talle, et ta teeb kõik endast oleneva, et näidata seda lehte isikutele, kes on tema jaoks kõige olulisemad. Fännilehe haldaja võib filtrite abil määratleda personaliseeritud kasutajaskonna, mis võimaldab tal mitte ainult täpselt piiritleda isikuterühma, kellele levitatakse teavet tema äripakkumise kohta, vaid eelkõige määrata isikutekategooriad, kelle isikuandmeid Facebook koguma hakkab. Selliselt, määrates kindlaks publiku, kelleni ta soovib jõuda, määrab fännilehe haldaja samal puhul, millise sihtpubliku isikuandmeid võib Facebook koguda ja seejärel äriotstarbel kasutada. Lisaks sellele, et fännilehe haldaja on selle lehe loomisega niisuguste andmete töötlemise algataja, on tal sellest alates ka peamine osa selles töötlemises Facebooki poolt. Ta osaleb sel viisil selle töötlemise vahendite ja eesmärkide kindlaksmääramises, avaldades sellele faktilist mõju.

58.      Järeldan eespool öeldust, et niisugustel asjaoludel nagu põhikohtuasjas tuleb niisuguse sotsiaalvõrgustiku nagu Facebook fännilehe haldajat käsitada vastutavana isikuandmete töötlemise etapi eest, milles see sotsiaalvõrgustik kogub andmeid selle lehe külastajate kohta.

59.      Seda järeldust kinnitab asjaolu, et niisuguse fännilehe haldaja nagu ühelt poolt Wirtschaftsakademie ja teiselt poolt teenuseosutajate nagu Facebook Inc. ja Facebook Ireland eesmärgid on tihedalt seotud. Wirtschaftsakademie tahab saada kasutajastatistikat oma tegevuse müügitoetuse juhtimiseks, ja selle saamiseks on vajalik isikuandmete töötlemine. Seesama töötlemine võimaldab ka Facebookil oma võrgu kaudu reklaami sihipärasemalt levitada.

60.      Seega ei saa nõustuda tõlgendusega, mis põhineb ainult Wirtschaftsakademie ja Facebook Irelandi vahel sõlmitud lepingu klauslitel ja tingimustel. Lepingus kokku lepitud ülesannete jagunemine saab olla ainult üks märk sellest, milline on lepingupoolte tegelik osa isikuandmete töötlemises. Vastasel juhul võiksid need pooled omistada kunstlikult vastutuse töötlemises ühele endi hulgast. See on nii eriti olukorras, kus sotsiaalvõrgustik on tüüptingimused eelnevalt ette valmistanud ja nendes ei peeta eraldi läbirääkimisi. Seega ei saa teha järeldust, et see, kes saab ainult lepinguga liituda või sellest keelduda, ei saa olla vastutav töötleja. Hetkest, kus see lepingupool on sõlminud vabalt lepingu, võib ta ikkagi olla vastutav töötleja, arvestades tema konkreetset mõju selle töötlemise vahenditele ja eesmärkidele.

61.      Seega asjaolu, et lepingu ja selle tüüptingimused on eelnevalt koostanud teenuseosutaja ja selle teenuseosutaja teenuseid kasutaval ettevõtjal ei ole andmetele juurdepääsu, ei välista iseenesest, et viimast võiks käsitada vastutava töötlejana, kuna ta on lepingutingimustega vabatahtlikult nõustunud, võttes sellega nende eest täieliku vastutuse.(27) Artikli 29 töörühma eeskujul tuleb samuti tunnistada, et võimalik ebavõrdne jõuvahekord teenuseosutaja- ja -tellija vahel ei takista, et viimast võiks kvalifitseerida „vastutavaks töötlejaks“(28).

62.      Pealegi ei ole selleks, et isikut võiks käsitada direktiivi 95/46 artikli 2 punkti d tähenduses vastutava töötlejana, vajalik, et sellel isikul oleksid täielikud kontrollivolitused andmetöötluse kõigi aspektide suhtes. Nagu Belgia valitsus kohtuistungil põhjendatult märkis, on niisugust kontrolli praktikas üha vähem. Andmetöötlus on üha keerukam selles mõttes, et tegu on mitme eraldiseisva töötlemisega, millesse on kaasatud mitu poolt, kes ise teostavad eri tasemel kontrolli. Järelikult võib tõlgendus, milles peetakse tähtsamaks täielikke kontrollivolitusi andmetöötluse kõikide aspektide suhtes, tekitada isikuandmete kaitse valdkonnas tõsiseid lünki.

63.      Selle näiteks on asjaolud, mille pinnalt tehti 13. mai 2014. aasta kohtuotsus Google Spain ja Google(29). Selles kohtuasjas oli küsimus olukorras, millesse olid teabepakkujad kaasatud mitmeastmeliselt ja milles kõik eri pooled mõjutasid andmetöötlust erinevalt. Selles kohtuasjas ei olnud Euroopa Kohus nõus mõiste „vastutav töötleja“ kitsa tõlgendusega. Ta oli seisukohal, et otsingumootori haldaja pidi „kui [oma] tegevuse eesmärke ja vahendeid kindlaks määrav isik oma ülesannete, pädevuse ja võimaluste piires tagama tegevuse vastavuse direktiivi 95/46 nõuetele“(30). Euroopa Kohus nimetas muide otsingumootori haldaja ja veebisaitide väljaandjate kaasvastutuse võimalust.(31)

64.      Olen samamoodi nagu Belgia valitsus seisukohal, et mõiste „vastutav töötleja“ direktiivi 95/46 artikli 2 punkti d tähenduses lai tõlgendus, millele tuleb minu arvates käesolevas kohtuasjas tugineda, väldib kuritarvitusi. Muidu piisaks nimelt ettevõtjal selleks, et isikuandmete kaitse kohustustest kõrvale hoida, sellest, et ta kasutab kolmanda isiku teenuseid. Teisisõnu ei ole minu arvates vaja teha vahet ettevõtjal, kes varustab oma veebisaidi Facebooki pakutavate töövahenditega analoogsete vahenditega, ja ettevõtjal, kes liitub Facebooki sotsiaalvõrgustikuga, et kasutada ära viimase pakutavaid töövahendeid. Niisiis tuleks tagada, et ettevõtjad, kes kasutavad oma veebisaidi majutamise teenust, ei saaks oma vastutusest kõrvale hoida, nõustudes teenuseosutaja tüüptingimustega. Peale selle, nagu sama valitsus kohtuistungil märkis, ei ole ebamõistlik oodata ettevõtjatelt, et nad oleksid oma teenuseosutaja valimisel hoolsad.

65.      Olen seega arvamusel, et asjaolu, et fännilehe haldaja kasutab Facebooki pakutavat platvormi ja saab kasutada selle juurde kuuluvaid teenuseid, ei vabasta teda tema kohustustest isikuandmete kaitse alal. Märgin sellega seoses, et kui Wirtschaftsakademie oleks avanud veebisaidi väljaspool Facebooki, kasutades töövahendiga „Facebook Insights“ analoogset vahendit kasutajastatistika koostamiseks, siis loetaks teda vastutavaks töötlemise eest, mis on vajalik sellise statistika koostamiseks. Minu arvates ei peaks niisugune ettevõtja olema vabastatud kohustusest järgida direktiivist 95/46 tulenevaid isikuandmete kaitse eeskirju ainuüksi põhjusel, et ta kasutab oma tegevuse edendamiseks sotsiaalvõrgustiku Facebook platvormi. Nagu eelotsusetaotluse esitanud kohus ise õigesti märgib, ei tohi teabepakkujal olla võimalik teatud kindla taristuettevõtja valimise teel vabaneda talle kohaldatavate andmekaitse õigusnormidega pandud kohustustest tema teabepakkumise kasutajate suhtes, ja mida tal tuleks täita, kui tegu oleks lihtsalt sisupakkujaga.(32) Vastupidine tõlgendus tekitaks isikuandmete kaitse eeskirjadest kõrvalehoidmise riski.

66.      Ka ei tohiks minu arvates tekitada kunstlikku vahetegemist käesolevas kohtuasjas ja kohtuasjas C‑40/17 Fashion ID(33) arutatava olukorra vahel.

67.      Viimati nimetatud kohtuasi puudutab olukorda, kus veebisaidi haldaja lisab oma saidile välise teenuseosutaja (st Facebooki) niinimetatud sotsiaalmooduli (antud juhul „Meeldib“ nupp Facebookis), millega kaasneb isikuandmete ülekandmine veebisaidi kasutaja arvutist välisele teenuseosutajale.

68.      Kohtuvaidluses, milles algatati see kohtuasi, heidab üks tarbijakaitseühendus äriühingule Fashion ID ette, et see on oma veebisaidile sotsiaalvõrgustiku Facebook pakutava mooduli „Meeldib“ lisamisega võimaldanud viimasel saada selle saidi kasutajate isikuandmeid ilma nende nõusolekuta ja isikuandmete kaitse õigusnormidega ette nähtud teavitamiskohustusi rikkudes. Seega tekib probleem, kas – arvestades, et äriühing Fashion ID võimaldab Facebookil saada oma veebisaidi kasutajate isikuandmeid – seda äriühingut võib või mitte kvalifitseerida „vastutavaks töötlejaks“ direktiivi 95/46 artikli 2 punkti d tähenduses.

69.      Ma ei tähelda selles suhtes põhimõttelist erinevust fännilehe haldaja ja niisuguse veebisaidi haldaja olukorras, kes on oma veebisaiti integreerinud veebijälitusteenuste (webtracking) pakkuja koodi ja soodustab nii internetikasutaja teadmata andmete edastamist, küpsiste paigaldamist ja andmete kogumist veebijälitusteenuste osutaja kasuks.

70.      Sotsiaalvõrgustiku pistikprogrammid (plugins) võimaldavad veebisaitide haldajatel kasutada oma veebisaitidel nende nähtavuse suurendamiseks teatavaid sotsiaalvõrguteenuseid, näiteks integreerides oma saiti Facebooki nupu „Meeldib“. Integreeritud sotsiaalvõrgustiku pistikprogrammidega veebisaitide haldajad saavad samamoodi nagu fännilehtede haldajad kasutada teenust „Facebook Insights“, et saada oma saidi kasutajate kohta täpset statistilist teavet.

71.      Nagu fännilehe külastamiselgi käivitab sotsiaalvõrgustiku pistikprogrammi sisaldava veebisaidi külastamine isikuandmete edastuse asjaomasele teenuseosutajale.

72.      Minu arvates tuleks niisuguses kontekstis ja samamoodi nagu fännilehe haldajagi selline sotsiaalvõrgustiku pistikprogrammi sisaldava veebisaidi haldaja seetõttu, et ta mõjutab faktiliselt isikuandmete Facebookile edastamise andmetöötlusetappi, kvalifitseerida direktiivi 95/46 artikli 2 punkti d tähenduses „vastutavaks töötlejaks“(34).

73.      Lisan, et – nagu õigusega märgib Belgia valitsus – järeldus, et Wirtschaftsakademie toimib andmetöötluse eest kaasvastutajana, kui ta otsustab kasutada oma teabepakkumiseks Facebooki teenuseid, ei vähenda kuidagi äriühingute Facebook Inc. ja Facebook Ireland kui vastutavate töötlejate kohustusi. On nimelt selge, et mõlemad üksused avaldavad fännilehe külastamisel toimuva isikuandmete töötlemise eesmärkidele ja vahenditele määravat mõju ja et need kasutavad seda töötlemist ka enda eesmärkidel ja huvides.

74.      Fännilehtede haldajate kaasvastutuse tunnistamine andmetöötlusetapis, milles Facebook kogub isikuandmeid, aitab siiski tagada sedalaadi lehtede külastajate õiguste täielikuma kaitse. Pealegi võib fännilehtede haldajate aktiivne seostamine isikuandmete kaitse eeskirjade järgimisega, nimetades nad vastutavateks töötlejateks, kõrvalmõjuna sundida sotsiaalvõrgustiku platvormi viima oma tegevuse nende eeskirjadega vastavusse.

75.      Tuleks samuti täpsustada, et kaasvastutuse olemasolu ei tähenda vastutust võrdsetel alustel. Vastupidi, mitu isikuandmete töötlemisse kaasatud vastutavat töötlejat võivad vastutust kanda eri etappides ja erinevas ulatuses.(35)

76.      Artikli 29 töörühm on seisukohal, et „[m]itme osaleja vastutuse võimalus hõlmab selliseid üha sagedamini esinevaid juhte, kus vastutavate töötlejatena tegutseb mitu eri isikut. Sellise kaasvastutuse hindamine peaks vastama ainuisikulise vastutuse hindamisele, kasutama sisulist ja funktsionaalset lähenemist ning keskenduma sellele, kas eesmärgid ja vahendite sisulised elemendid määrab kindlaks rohkem kui üks osaline. Eri osaliste osalemine töötlemise eesmärkide ja vahendite kindlaksmääramises võib kaasvastutuse korral toimuda ei vormides ja see ei pea olema võrdne“(36). Nimelt „[m]itme asjaosalise korral võivad osapooled teha väga tihedat koostööd (kui neil on näiteks kõik töötlemise eesmärgid ja vahendid ühised) või tegutseda pigem eraldi (kui ühised on näiteks kas üksnes eesmärgid või vahendid või osa neist). Seetõttu tuleb kaasvastutuse puhul arvesse võtta mitmesuguseid eri tüpoloogiaid ja hinnata nende õiguslikke tagajärgi ning kasutada ka mõningast paindlikkust, et olla vastavuses praeguse keeruka olukorraga andmete töötlemise valdkonnas“(37).

77.      Eespool öeldust tulenevalt tuleb minu arvates sotsiaalvõrgustikus Facebook fännilehe haldajat käsitada koos äriühingutega Facebook Inc. ja Facebook Ireland vastutavana isikuandmete töötlemise eest, mida tehakse selle lehe kasutajastatistika koostamiseks.

B.      Kolmas ja neljas eelotsuse küsimus

78.      Kolmanda ja neljanda eelotsuse küsimusega, mida tuleks minu arvates analüüsida koos, soovib eelotsusetaotluse esitanud kohus saada Euroopa Kohtult täpsustusi direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõigete 1, 3 ja 6 tõlgendamise kohta olukorras, kus selline väljaspool liitu asutatud emaettevõtja nagu Facebook Inc. pakub liidu territooriumil sotsiaalvõrgustiku teenuseid mitme üksuse vahendusel. Ühe nendest üksustest on emaettevõtja nimetanud liidu territooriumil vastutavaks isikuandmete töötlejaks (Facebook Ireland) ja teine vastutab reklaamipindade edendamise ja müügi ning Saksamaa elanikele suunatud turundustegevuse eest (Facebook Germany). Sellises konfiguratsioonis soovib eelotsusetaotluse esitanud kohus teada ühelt poolt, kas Saksamaa järelevalveasutus on volitatud kasutama oma sekkumisvolitusi, et vaidlusalune isikuandmete töötlemine katkestataks, ja teiselt poolt, millise üksuse vastu võib niisuguseid volitusi kasutada.

79.      Vastuseks ULD ja Itaalia valitsuse kahtlustele seoses kolmanda ja neljanda eelotsuse küsimuse vastuvõetavusega märgin, et Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus) selgitab eelotsusetaotluses, et tal on vaja selgitusi nendes punktides selleks, et ta saaks otsustada põhikohtuasjas kõne all oleva korralduse õiguspärasuse üle. See kohus on märgib täpsemalt, et Wirtschaftsakademie vastu korralduse tegemisel võidi teha hindamisviga ja et see võib järelikult olla ebaseaduslik, kui ULD väidetavat kohaldatavate andmekaitsenormide rikkumist oli võimalik kõrvaldada meetmega otse tütarettevõtja Facebook Germany vastu, mis on asutatud Saksamaal.(38) See eelotsusetaotluse esitanud kohtu arutluskäik võimaldab minu arvates hästi mõista, mis põhjustel ta esitab Euroopa Kohtule kolmanda ja neljanda eelotsuse küsimuse. Arvestades eelotsusetaotluste puhul kehtivat asjakohasuse eeldust(39), teen seetõttu Euroopa Kohtule ettepaneku nendele küsimustele vastata.

80.      Direktiivi 95/46 artikkel 4 „Kohaldatav siseriiklik õigus“ on ette nähtud:

„1.      Iga liikmesriik kohaldab isikuandmete töötlemise suhtes käesoleva direktiivi kohaselt vastuvõetud siseriiklikke õigusnorme, kui:

a)      töötlemine toimub liikmesriigi territooriumil paikneva vastutava töötleja asutuse tegevuse raames; kui sama vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, peab ta võtma vajalikke meetmeid tagamaks, et kõik kõnealused asutused järgivad kohaldatavates siseriiklikes õigusnormides sätestatud kohustusi;

[…]“

81.      Artikli 29 töörühm toob oma 16. detsembri 2010. aasta arvamuses 8/2010 kohaldatava õiguse kohta(40) näite direktiivi 95/46 artikli 4 lõike 1 punkti a kohaldamisest järgmises olukorras: „Sotsiaalvõrgustiku platvormi pakub ettevõte, mille peakorter on kolmandas riigis. Sellel ettevõttel on asutus [liidu] liikmesriigis. Asutus kehtestab ja rakendab [liidu] elanike isikuandmete töötlemise korra. Sotsiaalvõrgustik pakub oma teenust aktiivselt kõikides [liidu] liikmesriikides, kus asub suur osa tema klientidest ja kust ta saab märkimisväärse osa tulust. Teenuse osutamise käigus paigaldatakse [liidus] olevate kasutajate arvuteisse küpsised. Sellisel juhul tuleb vastavalt [direktiivi 95/46] artikli 4 lõike 1 punktile a kohaldada selle liikmesriigi isikuandmete kaitse alaseid õigusakte, kus asub ettevõtte asutus [liidus]. Seejuures ei ole oluline asjaolu, et sotsiaalvõrgustik kasutab mõnes teises liikmesriigis paiknevaid seadmeid, kuna isikuandmeid töödeldakse üheainsa asutuse tegevuse raames ja direktiivi kohaselt ei saa korraga kohaldada [selle direktiivi] artikli 4 lõike 1 punkte a ja c“(41). Artikli 29 töörühm täpsustab ühtlasi, et „selle liikmesriigi järelevalveasutus, kus asub sotsiaalvõrgustiku [liidu] asutus, on vastavalt [nimetatud direktiivi] artikli 28 lõikele 6 kohustatud tegema koostööd teiste järelevalveasutustega, et vaadata läbi taotlused ja kaebused, mille esitavad [liidu] teiste liikmesriikide elanikud“(42).

82.      Eelmises punktis toodud stsenaarium ei tekita kohaldatava õiguse kindlaksmääramisel mingeid raskusi. Kuna sellisel juhul on emaettevõtjal ainult liidus üks ettevõte, on asjaomasele isikuandmete töötlemisele kohaldatav selle liikmesriigi õigus, kus see ettevõte asub.

83.      Olukord muutub keerulisemaks siis, kui nagu käesolevas kohtuasjas käsitletava juhtumi puhul kolmandas riigis asutatud äriühing tegutseb nagu Facebook Inc. liidus ühelt poolt üksuse vahendusel, mille on see äriühing määranud Facebooki kontsernis ainuvastutavaks isikuandmete kogumise ja töötlemise eest kogu Euroopa Liidu territooriumil (Facebook Ireland), ja teiselt poolt teiste üksuste vahendusel, millest üks asub Saksamaal (Facebook Germany) ja mis vastutab eelotsusetaotluses esitatud andmete järgi reklaamipinna edendamise ja müügi ning muu selle liikmesriigi elanikele suunatud turundustegevuse eest.(43)

84.      Kas niisuguses olukorras on Saksamaa järelevalveasutus pädev kasutama sekkumisvolitusi, et nõuda sellise isikuandmete töötlemise lõpetamist, mille eest on Facebook Inc. ja Facebook Ireland kaasvastutavad?

85.      Sellele küsimusele vastamiseks tuleks kindlaks määrata, kas Saksamaa järelevalveasutusel on õigus kohaldada niisugusele töötlemisele oma riigi õigust.

86.      Selle kohta tuleneb direktiivi 95/46 artikli 4 lõike 1 punktist a, et andmetöötlust asutuse tegevuse raames reguleerib selle liikmesriigi õigus, kelle territooriumil see asutus asub.

87.      Euroopa Kohus on juba nentinud, et kui võtta arvesse selle direktiivi eesmärki, mis on tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste ning eelkõige nende eraelu puutumatuse tõhus ja täielik kaitse, ei või nimetatud direktiivi artikli 4 lõike 1 punkti a väljendit „asutuse tegevuse raames“ tõlgendada kitsalt.(44)

88.      Et isikuandmete töötlemisele saaks kohaldada ühe liikmesriigi ülevõtmisseadust, peab olema täidetud kaks tingimust. Esiteks peab selle töötlemise eest vastutaval isikul olema selles liikmesriigis „asutus“. Teiseks peab see töötlemine toimuma selle asutuse „tegevuse raames“.

89.      Esiteks mõiste „asutus“ kohta direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses on Euroopa Kohus seda mõistet laialt ja paindlikult tõlgendades juba täpsustanud, et see mõiste laieneb tegelikule ja tulemuslikule, kas või minimaalsele tegevusele, mida teostatakse stabiilse asukoha kaudu,(45) välistades igasuguse formaalse lähenemisviisi.(46)

90.      Seda silmas pidades tuleks hinnata nii asukoha stabiilsuse astet kui ka tegutsemise tegelikkust kõnealuses liikmesriigis,(47) võttes arvessee kõnealuse majandustegevuse ja kõnealuste teenuste osutamise konkreetset laadi.(48) Selles suhtes ei ole vaidlust selles, et Facebook Germany, kelle registrijärgne asukoht on Hamburgis (Saksamaa), tegutseb tulemuslikult ja tegelikult Saksamaal asuva stabiilse asukoha kaudu. Ta on seega „asutus“ direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses.

91.      Teiseks, küsimuse kohta, kas asjaomane isikuandmete töötlemine toimub selle asutuse „tegevuse raames“ direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses, on Euroopa Kohus juba meelde tuletanud, et see õigusnorm nõuab, et kõnealust isikuandmete töötlemist ei pea tegema asjaomane asutus „ise“, vaid ainult seda, et see peab toimuma tema „tegevuse raames“(49).

92.      Nagu nähtub arvamusest 8/2010, on „[k]ohaldatava õiguse rakendusala kindlaksmääramisel […] otsustavaks teguriks mõiste tegevuse raames, mitte andmete asukoht. Mõistest tegevuse raames järeldub, et kohaldatav õigus ei ole mitte selle liikmesriigi õigus, kus asub vastutava töötleja asutus, vaid selle liikmesriigi õigus, kus asub vastutava töötleja asutus, kes osaleb [isikuandmete töötlemises või seda töötlemist eeldavas] tegevuses, mille raames toimub isikuandmete töötlemine. Seda silmas pidades on kõige olulisem see, mil määral osaleb asutus sellises tegevuses, mille raames töödeldakse isikuandmeid. Lisaks tuleb tähele panna ka asutuste tegevuse laadi ja vajadust tagada isikute õigustest kinnipidamine. Kriteeriume tuleks analüüsida funktsioonidest lähtuvalt. Oluline ei ole mitte asjaosaliste teoreetiline hinnang kohaldatava õiguse kohta, vaid nende praktiline tegevus ja koosmõju.“(50)

93.      13. mai 2014. aasta kohtuotsuses Google Spain ja Google(51) tuli Euroopa Kohtul kontrollida, kas see tingimus oli täidetud. Ta lähtus laiast tõlgendusest, asudes seisukohale, et isikuandmete töötlemine, mida tehakse sellise otsingumootori teenuse tarbeks nagu Google Search, mida haldab ettevõtja, kellel on registrijärgne asukoht kolmandas riigis, kuid asutus liikmesriigis, toimub selle asutuse „tegevuse raames“, kui selle eesmärk on tagada selles liikmesriigis otsingumootori reklaamipinna turustamine ja müük, et muuta otsingumootori teenus kulutõhusaks.(52) Euroopa Kohus märkis nimelt, et „[n]iisuguses olukorras on otsingumootori haldaja tegevus lahutamatult seotud tema liikmesriigis asuva asutuse tegevusega, kuna reklaamipinnaga seotud tegevus on vahend, et muuta otsingumootori tegevus majanduslikult kulutõhusaks, ning otsingumootor on samal ajal vahend, mis võimaldab seda tegevust sooritada“(53). Euroopa Kohus lisas oma lahenduse põhjenduseks, et kuna koos isikuandmete kuvamisega otsingutulemuste leheküljel „kuvatakse aga samal leheküljel ka otsingusõnadega seotud reklaam, siis peab tõdema, et kõnesolev isikuandmete töötlemine toimub vastutava töötleja sellise asutuse reklaami- ja äritegevuse raames, mis paikneb liikmesriigi territooriumil, antud juhul Hispaania territooriumil“(54).

94.      Eelotsusetaotluses esitatud andmete kohaselt on Facebook Germany vastutav just reklaamipinna edendamise ja müügi ning muu Saksamaa elanikele suunatud turundustegevuse eest. Kuna põhikohtuasjas kõne all olev isikuandmete töötlemine, mis seisneb nende andmete kogumises fännilehtede külastajate arvutitesse paigaldatud küpsiste abil, toimub nimelt eesmärgiga võimaldada Facebookil levitada oma reklaami sihipärasemalt, tuleb niisugust töötlemist pidada andmete töötlemiseks Facebook Germany tegevuse raames Saksamaal. Seepärast, kuna suur hulk sellise suhtlusvõrgu nagu Facebook tulust teenitakse reklaamiga, mis paigutatakse kasutajate loodud ja nende külastatavatele veebisaitidele(55), tuleb arvestada, et andmetöötluse eest kaasvastutavate äriühingute Facebook Inc. ja Facebook Ireland tegevus on niisuguse asutuse nagu Facebook Germany tegevusega lahutamatult seotud. Pealegi kuvatakse pärast isikuandmete töötlemist, mida võimaldab küpsise paigaldamine domeeni Facebook.com kuuluva lehe külastaja arvutisse, Facebooki lehtede külastamisel samal veebilehel selle külastaja huvide teemalist reklaami. Sellest tuleb järeldada, et kõnealune isikuandmete töötlemine toimub vastutava töötleja asutuse reklaami- ja äritegevuse raames liikmesriigi territooriumil, käesoleval juhul Saksamaa territooriumil.

95.      Asjaolu, et erinevalt selle kohtuasja asjaoludest, milles tehti 13. mai 2014. aasta kohtuotsus Google Spain ja Google(56), on kontsernil Facebook registrijärgne asukoht Euroopas, käesoleval juhul Iirimaal, ei takista direktiivi 95/46 artikli 4 lõike 1 punkti a tõlgendust, millest Euroopa Kohus lähtus selles kohtuotsuses, üle kanda käesolevale kohtuasjale. Nimetatud kohtuotsuses väljendas Euroopa Kohus soovi vältida, et isikuandmete töötlemisel hoitakse selle direktiiviga tagatud kohustustest ja tagatistest kõrvale. Käesolevas menetluses avaldati seisukohta, et siin niisuguse kõrvalehoidmise probleemi ei ole, sest vastutav töötleja on asutatud liikmesriigis, käesoleval juhul Iirimaal. Selle loogika järgi tuleks seega nimetatud direktiivi artikli 4 lõike 1 punkti a tõlgendada nii, et see kohustab vastutavat töötlejat lähtuma ainult ühe riigi õigusest ja sõltuma ainult ühest järelevalveasutusest, nimelt Iirimaa õigusest ja järelevalveasutusest.

96.      Niisugune tõlgendus on aga vastuolus direktiivi 95/46 artikli 4 lõike 1 punkti a sõnastuse ja selle õigusnormi kujunemislooga. Nimelt, nagu Belgia valitsus kohtuistungil õigesti märkis, ei kehtesta see direktiiv ainukontrolli mehhanismi ega päritolumaa põhimõtet.(57) Siinkohal ei tohi segi ajada Euroopa Komisjoni poliitilist eesmärki direktiivi ettepanekus ja lahendust, mille Euroopa Liidu Nõukogu lõpuks kinnitas. Seadusandja tegi nimetatud direktiivis valiku mitte pidada prioriteetseks selle liikmesriigi õiguse kohaldamist, kus asub vastutava töötleja peamine üksus. Tulemus ehk direktiiv 95/46 väljendab liikmesriikide soovi säilitada oma siseriiklikud rakendusvolitused. Kuna liidu seadusandja ei lähtunud päritoluriigi põhimõttest, võimaldas ta igal liikmesriigil kohaldada oma siseriiklikku õigust ja tegi nii võimalikuks kohaldatavaid riikide õigusi kumuleerida.(58)

97.      Direktiivi artikli 4 lõike 1 punktiga a valis liidu seadusandja tahtlikult lubada juhul, kui vastutaval töötlejal on liidus mitu üksust, et asjaomaste liikmesriikide elanike isikuandmete töötlemisele saaks kohaldada mitme riigi isikuandmete kaitse õigusakte, et tagada nendes liikmesriikides nende elanike õiguste tõhus kaitse.

98.      Seda kinnitab direktiivi 95/46 põhjendus 19, milles on täpsustatud, et „kui üks vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, eelkõige tütarettevõtjate kaudu, peab ta tagama, et kõik ettevõtjad täidavad oma tegevuse suhtes kohaldatavast siseriiklikust õigusest tulenevaid kohustusi, et vältida võimalikku siseriiklikest eeskirjadest kõrvalehoidmist“.

99.      Järeldan seega direktiivi 95/46 artikli 4 lõike 1 punktist a, mille teises lauses on kooskõlas selle direktiivi põhjendusega 19 täpsustatud, et kui sama vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, peab ta võtma vajalikke meetmeid tagamaks, et kõik kõnealused asutused järgiks kohaldatavates siseriiklikes õigusnormides sätestatud kohustusi, selleks et kontserni struktuuriga, millele on iseloomulik, et vastutaval töötlejal on üksused mitmes liikmesriigis, ei kaasneks tagajärge, et kontsernil on võimalik kõrvale hoida selle liikmesriigi õigusest, mille kohaldamisalas on igaüks nendest üksustest registreeritud.

100. Lisan, et tõlgendust, mis soosib ainult selle liikmesriigi õiguse kohaldamist, kus on rahvusvahelise kontserni Euroopas registreeritud asukoht, ei saa minu arvates enam pooldada alates 28. juuli 2016. aasta kohtuasjast Verein für Konsumenteninformation(59). Selles kohtuotsuses asus Euroopa Kohus seisukohale, et isikuandmete töötlemise suhtes, mida teostab elektroonilise kaubanduse ettevõtja, tuleb kohaldada selle liikmesriigi õigust, millesse selle ettevõtja tegevus on suunatud, kui selgub, et see ettevõtja töötleb asjaomaseid andmeid selles liikmesriigis asuva asutuse tegevuse raames. Euroopa Kohus tegi sellise otsuse vaatamata sellele, et Amazon on samamoodi nagu Facebookki ettevõtja, kellel on Euroopa liikmesriigis mitte ainult Euroopa peakontor, vaid ta on ka füüsiliselt kohal mitmes liikmesriigis. Niisugusel juhul tuleks kontrollida ka, kas andmete töötlemine toimub niisuguse üksuse tegevuse raames, mis asub mõnes muus liikmesriigis kui see, kus on vastutava töötleja Euroopa peakontor.

101. Nagu märgib Belgia valitsus, on seega täiesti võimalik, et direktiivi 95/46 artikli 4 lõike 1 punkti a kohaldamiseks on asjassepuutuv mõni muu üksus kui see, mis on ettevõtja Euroopa peakontor.

102. Selle direktiiviga kehtestatud süsteemis ei ole seega juhul, kui vastutaval töötlejal on liidus mitu üksust, andmete töötlemisele kohaldatava õiguse kindlakstegemiseks ja järelevalveasutusele sekkumisvolituste kasutamiseks pädevuse andmiseks määrav koht, kus andmetöötlus toimub, ega ka koht, kus on vastutava töötleja peakontor liidus.

103. Siinkohal leian, et Euroopa Kohus ei tohiks etteruttavalt kohaldada süsteemi, mis kehtestati andmekaitse üldmäärusega(60) ja mis on kohaldatav alates 25. maist 2018. Selle süsteemi raames on kehtestatud ühtse kontaktpunkti mehhanism. See tähendab, et sellisel piiriülest andmetöötlust teostaval vastutaval töötlejal nagu Facebook on edaspidi kontaktasutuseks ainult üks järelevalveasutus, s.o juhtiv järelevalveasutus, mis on vastutava töötleja peamise tegevuskoha asukohajärgne järelevalveasutus. See süsteem ega sellega kehtestatud keerukas koostöömehhanism ei ole veel kohaldatavad.

104. Kuna Facebook on valinud asutada oma peamise asukoha liidus Iirimaale, on selle liikmesriigi järelevalveasutusel mõistagi tähtis osa kontrollimisel, kas Facebook järgib direktiivi 95/46 eeskirju. Sellegipoolest – nagu see järelevalveasutus ka ise tunnistab – ei tähenda see, et tal on sellel direktiivil põhinevas praeguses süsteemis ainupädevus Facebooki tegevuse suhtes liidus.(61)

105. Kõikide nende asjaolude põhjal jõuan ma samamoodi nagu Belgia valitsus, Madalmaade valitsus ja ULD seisukohale, et direktiivi 95/46 artikli 4 lõike 1 punkti a tõlgendus, millest Euroopa Kohtus lähtus oma 13. mai 2014. aasta kohtuotsuses Google Spain ja Google(62), on kohaldatav ka niisuguses olukorras nagu põhikohtuasjas, kus vastutav töötleja on asutatud liidu liikmesriigis ja tal on liidus mitu üksust.

106. Seepärast tuleb eelotsusetaotluse esitanud kohtu antud andmete põhjal Facebook Germany tegevuse laadi kohta asuda seisukohale, et vaidlusalune isikuandmete töötlemine toimub selle üksuse tegevuse raames ja et direktiivi 95/46 artikli 4 lõike 1 punktiga a on niisuguses olukorras nagu põhikohtuasjas lubatud kohaldada isikuandmete kaitse alaseid Saksa õigusnorme.(63)

107. Saksamaa järelevalveasutus on seega pädev kohaldama põhikohtuasjas kõne all olevale isikuandmete töötlemisele oma riigi õigust.

108. Selle direktiivi artikli 28 lõikest 1 tuleneb, et liikmesriikides asutatud järelevalveasutused teostavad oma riigi territooriumil järelevalvet nimetatud direktiivi kohaldamisel liikmesriikides vastu võetud õigusnormide järgimise üle.

109. Direktiivi 95/46 artikli 28 lõike 3 alusel on nendel järelevalveasutustel eelkõige uurimisvolitused, näiteks volitused koguda oma järelevalvekohustuste täitmiseks vajalikku teavet, ja tõhusad sekkumisvolitused, näiteks volitused anda korraldus andmete sulgemiseks, kustutamiseks või hävitamiseks, või keelata töötlemine ajutiselt või lõplikult, või teha vastutavale töötlejale hoiatus või märkus. Need sekkumisvolitused võivad hõlmata volitust vastutavat andmetöötlejat talle trahvi määramisega karistada.(64)

110. Direktiivi 95/46 artikli 28 lõige 6 on omakorda sõnastatud järgmiselt:

„Olenemata sellest, milliseid siseriiklikke õigusi kõnealuse töötlemise suhtes kohaldatakse, on iga järelevalveasutus pädev kasutama oma liikmesriigi territooriumil talle lõikega 3 antud volitusi. Teise liikmesriigi asutused võivad igalt järelevalveasutuselt taotleda, et see kasutaks oma volitusi.

Järelevalveasutused teevad üksteisega koostööd, kuivõrd see on vajalik nende ülesannete täitmiseks, eelkõige vahetades kasulikku teavet.“

111. Arvestades, et põhikohtuasjas kõne all oleva isikuandmete töötlemise suhtes on kohaldatav tema liikmesriigi õigus, võib Saksa järelevalveasutus kasutada kõiki oma sekkumisvolitusi, et tagada, et Facebook kohaldaks ja järgiks Saksamaa territooriumil Saksa õigust. Niisugune järeldus tuleneb 1. oktoobri 2015. aasta kohtuotsusest Weltimmo(65), mis võimaldas täpsustada direktiivi 95/46 artikli 28 lõigete 1, 3 ja 6 ulatust.

112. Peamine selles kohtuasjas kaalul olnud küsimus oli teha kindlaks, kas Ungari järelevalveasutusel oli pädevus määrata teises liikmesriigis, nimelt Slovakkias asutatud teenuseosutajale trahvi. Selle pädevuse kindlaksmääramiseks tuli eelnevalt kontrollida, kas direktiivi 95/46 artikli 4 lõike 1 punktis a sätestatud kriteeriumi kohaldamisel oli Ungari õigus kohaldatav või mitte.

113. Euroopa Kohus andis oma vastuse esimeses osas eelotsusetaotluse esitanud kohtule teatud hulga juhiseid, mille põhjal see sai kindlaks teha, kas vastutaval töötlejal oli Ungaris üksus. Lisaks asus ta seisukohale, et see töötlemine toimus selle üksuse tegevuse raames ja et direktiivi 95/46 artikli 4 lõike 1 punktiga a oli niisuguses olukorras nagu selles kohtuasjas lubatud kohaldada isikuandmete kaitset käsitlevaid Ungari õigusnorme.

114. See Euroopa Kohtu vastuse esimene osa kinnitas seega Ungari järelevalveasutuse pädevust määrata teise liikmesriigis asutatud teenuseosutajale, kõnealusel juhul Weltimmole Ungari õiguse kohaselt trahvi.

115. Teisisõnu, hetkest, mil direktiivi 95/46 artikli 4 lõike 1 punktis a sätestatud kriteeriumide kohaselt võis tunnistada, et Ungari õigus oli kohaldatav riigi õigus, oli Ungari järelevalveasutus pädev tagama selle õiguse järgimise selle rikkumise korral vastutava töötleja poolt, kuigi viimane oli registreeritud Slovakkias. Selle direktiivi 95/46 sätte toimimise kaudu võis asuda seisukohale, et kuigi Weltimmo oli registreeritud Slovakkias, oli tal asukoht ka Ungaris. Nii oli asjaolu, et vastutaval töötlejal oli Ungaris üksus, kes teostas tegevust, mille raames toimus andmete töötlemine, vajalikuks tugipunktiks selleks, et tunnistada Ungari õiguse kohaldatavust ja sellest johtuvalt Ungari järelevalveasutuse pädevust tagada selle õiguse järgimine Ungari territooriumil.

116. Euroopa Kohtu vastuse teine pool, milles ta tõi esile iga järelevalveasutuse volituste territoriaalse kohaldamise põhimõtte, oli antud ainult teise võimalusena, nimelt „juhuks, kui Ungari järelevalveasutus leiab, et Weltimmo asutus direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses ei ole mitte Ungaris, vaid mõnes teises liikmesriigis, ja ta teostab tegevust, mille raames töödeldakse […] isikuandmeid“(66). Tegu oli seega vastusega küsimusele, kas „juhul, kui Ungari järelevalveasutus peaks jõudma järeldusele, et isikuandmete töötlemisele kohaldatav õigus ei ole mitte Ungari õigus, vaid mõne teise liikmesriigi õigus, tuleb direktiivi 95/46 artikli 28 lõikeid 1, 3 ja 6 tõlgendada nii, et see järelevalveasutus võib kasutada ainult selle direktiivi artikli 28 lõikes 3 antud volitusi asukohajärgse liikmesriigi õiguse kohaselt, ega või trahvi määrata“(67).

117. Euroopa Kohus täpsustas oma vastuse teises osas järelikult nende volituste nii materiaalõiguslikku kui ka territoriaalset ulatust, mida järelevalveasutus võib kasutada konkreetses olukorras ehk juhul, kui järelevalveasutuse asukohajärgse liikmesriigi õigus ei ole kohaldatav.

118. Euroopa Kohus oli seisukohal, et niisugusel juhul „ei hõlma [nimetatud] järelevalveasutuse volitused siiski tingimata kõiki neid volitusi, mis talle oma liikmesriigi õiguse kohaselt on antud“(68). Nii „võib ta oma uurimisvolitusi täita, olenemata kohaldatavast õigusest ja isegi enne selle teadmist, millise liikmesriigi õigust tuleb kõnealuse töötlemise suhtes kohaldada. Siiski, kui ta jõuab järeldusele, et kohaldada tuleb teise liikmesriigi õigust, ei saa ta määrata sanktsioone väljaspool oma liikmesriigi territooriumi. Niisugusel juhul peab ta [direktiivi 95/46] artikli 28 lõikes 6 sätestatud lojaalse koostöö kohustust täites taotlema selle teise liikmesriigi järelevalveasutuselt, et see tuvastaks selle õiguse võimaliku rikkumise ja määraks sanktsiooni, kui kõnealune õigus seda võimaldab, tuginedes vajaduse korral teabele, mille esimese liikmesriigi järelevalveasutus talle edastas“(69).

119. Järeldan 1. oktoobri 2015. aasta kohtuotsusest Weltimmo(70) käesoleva kohtuasja jaoks järgmised juhised.

120. Erinevalt hüpoteesist, millele Euroopa Kohus ehitas üles oma arutluskäigu järelevalveasutuste volituste kohta selles 1. oktoobri 2015. aasta kohtuotsuse Weltimmo(71) teises osas, on meil arutamisel olev kohtuasi algatatud olukorras, mis on analoogne viidatud kohtuotsuse esimesele osale, milles – nagu ma eelnevalt märkisin – on kohaldatav riigi õigus oma sekkumisvolitusi kasutava järelevalveasutuse asukohajärgse liikmesriigi õigus, ja seda seetõttu, et selle liikmesriigi territooriumil on olemas vastutava töötleja üksus, mille tegevus on selle andmetöötlusega lahutamatult seotud. Asjaolu, et Saksamaal on see üksus olemas, on seega vaidlusalusele isikuandmete töötlemisele Saksa õiguse kohaldamiseks vajalik tugipunkt.

121. Kui see eeltingimus on täidetud, tuleb Saksa järelevalveasutus tunnistada pädevaks tagama isikuandmete kaitse eeskirjade järgimist Saksamaa territooriumil kõigi nende volituste kasutamise teel, mis tal on direktiivi 95/46 artikli 28 lõike 3 üle võtnud Saksa õigusnormide alusel. Niisugused volitused võivad hõlmata korraldust, millega keelatakse andmete töötlemine ajutiselt või lõplikult.

122. Küsimusele, millisele üksusele peaks niisugune meede olema adresseeritud, näivad mõeldavad kaks lahendust.

123. Esimene lahendus on arvestada järelevalveasutuste sekkumisvolituste territoriaalse kohaldamisala kitsal tõlgendamisel, et need asutused võivad kasutada oma volitusi ainult vastutava töötleja selle üksuse vastu, mis asub nende oma liikmesriigi territooriumil. Kui – nagu see on käesolevas kohtuasjas – see üksus, käesoleval juhul Facebook Germany, ei ole vastutav töötleja ega saa seega võtta üksi meetmeid selleks, et täita järelevalveasutuse nõuet andmete töötlemine lõpetada, peab ta edastama selle nõude vastutavale töötlejale, et viimane saaks selle täita.

124. Teine lahendus on seevastu asuda seisukohale, et kuna vastutav töötleja ainsana avaldab asjaomasele andmete töötlemisele määravat mõju, siis tuleb korraldus niisugune töötlemine lõpetada adresseerida otse talle.

125. Minu arvates peaks see teine lahendus peale jääma, kuna see on kooskõlas peatähtsa osaga, mis on vastutaval töötlejal direktiiviga 95/46 kehtestatud süsteemis(72). Kuna niisugune lahendus väldib kohustuslikku tegutsemist vahendaja kaudu, kelleks on üksus, kelle tegevuse raames andmete töötlemine toimub, saab sellega tagada isikuandmete kaitset käsitlevate liikmesriigi eeskirjade vahetu ja tulemusliku kohaldamise. Pealegi peab järelevalveasutus, kes adresseerib korralduse andmete töötlemine lõpetada otse vastutavale töötlejale, kes ei ole asutatud selle järelevalveasutuse asukohajärgse liikmesriigi territooriumil, nagu Facebook Inc. ja Facebook Ireland, toimima oma pädevuse piires, mis on tagada, et töötlemine selle riigi territooriumil toimuks vastavuses tema õigusega. Selles suhtes ei ole oluline, kas vastutav(ad) töötleja(d) on asutatud teises liikmesriigis või kolmandas riigis.

126. Täpsustan ühtlasi seoses oma vastuse ettepanekuga esimesele ja teisele eelotsuse küsimusele, et arvestades eesmärki tagada fännilehtede külastajate õiguste võimalikult täielikum kaitse, ei välista ULD võimalus kasutada oma sekkumisvolitusi äriühingute Facebook Inc. ja Facebook Ireland suhtes minu arvates mingil moel võimalust Wirtschaftsakademie suhtes meetmeid võtta ega mõjuta seega iseenesest nende meetmete õiguspärasust.(73)

127. Eespool esitatud mõttearendusest järeldub, et direktiivi 95/46 artikli 4 lõike 1 punkti a tuleb tõlgendada nii, et selline isikuandmete töötlemine, nagu on kõne all põhikohtuasjas, toimub selle õigusnormi tähenduses vastutava töötleja asutuse tegevuse raames liikmesriigi territooriumil, kui sotsiaalvõrgustikku haldav ettevõtja asutab selles liikmesriigis tütarettevõtja, kes vastutab selle ettevõtja pakutava reklaamipinna edendamise ja müügi eest ning kelle tegevus on suunatud selle liikmesriigi elanikele.

128. Peale selle tuleb niisuguses olukorras nagu põhikohtuasjas, kus asjaomasele isikuandmete töötlemisele on kohaldatav järelevalveasutuse asukohajärgse liikmesriigi õigus, direktiivi 95/46 artikli 28 lõikeid 1, 3 ja 6 tõlgendada nii, et see järelevalveasutus võib kasutada vastutava töötleja suhtes kõiki talle selle direktiivi artikli 28 lõikega 3 antud tõhusaid sekkumisvolitusi, kaasa arvatud juhul, kui see vastutav töötleja on asutatud teises liikmesriigis või kolmandas riigis.

C.      Viies ja kuues eelotsuse küsimus

129. Viienda ja kuuenda eelotsuse küsimusega, mida tuleks minu arvates analüüsida koos, palub eelotsusetaotluse esitanud kohus Euroopa Kohtul sisuliselt otsustada, kas direktiivi 95/46 artikli 28 lõikeid 1, 3 ja 6 tuleb tõlgendada nii, et niisugustel asjaoludel nagu põhikohtuasjas on selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja üksus (Facebook Germany), volitatud kasutama oma sekkumisvolitusi iseseisvalt ja olemata kohustatud enne oma volituste kasutamist eelnevalt pöörduma selle liikmesriigi järelevalveasutuse poole, kus asub vastutav töötleja (Facebook Ireland).

130. Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus) selgitab eelotsusetaotluses nende kahe eelotsuse küsimuse seost korralduse õiguspärasuse kontrollimisega, mida tal tuleb põhikohtuasjas teha. See kohus märgib selle kohta sisuliselt, et Wirtschaftsakademie vastu korralduse andmist võiks pidada ULD hindamisveaks, kui direktiivi 95/46 artikli 28 lõiget 6 tuleks tõlgendada nii, et see näeb niisugustel asjaoludel nagu põhikohtuasjas ette, et selline järelevalveasutus nagu ULD on kohustatud taotlema teise liikmesriigi järelevalveasutuselt, käesoleval juhul Iirimaa andmekaitsevolinikult, et see kasutaks oma volitusi juhul, kui nende kahe ametiasutuse hinnang sellele, kas andmete töötlemine, mida teeb Facebook Ireland, on direktiivi 95/46 eeskirjadega kooskõlas, on lahknev.

131. Nagu Euroopa Kohus selgitas oma 1. oktoobri 2015. aasta kohtuotsuses Weltimmo(74), tuleb juhul, kui asjaomasele isikuandmete töötlemisele kohaldatav õigus ei ole mitte sekkumisvolitusi kasutada sooviva järelevalveasutuse asukohajärgse liikmesriigi õigus, vaid teise liikmesriigi õigus, direktiivi 95/46 artikli 28 lõikeid 1, 3 ja 6 tõlgendada nii, et see järelevalveasutus ei või määrata oma liikmesriigi õiguse alusel sanktsioone andmete töötlemise eest vastutavale isikule, kelle asukoht ei ole sellel territooriumil, vaid peab sama direktiivi artikli 28 lõike 6 alusel taotlema sekkumist selle liikmesriigi järelevalveasutuselt, kelle õigus on kohaldatav.(75)

132. Niisuguses olukorras kaotab esimese liikmesriigi järelevalveasutus oma pädevuse kasutada oma sanktsioonide määramise pädevust vastutava töötleja suhtes, kes on asutatud teises liikmesriigis. Niisugusel juhul peab ta selle direktiivi artikli 28 lõikes 6 sätestatud lojaalse koostöö kohustust täites taotlema selle teise liikmesriigi järelevalveasutuselt, et see tuvastaks selle õiguse võimaliku rikkumise ja määraks sanktsiooni, kui kõnealune õigus seda võimaldab, tuginedes vajaduse korral teabele, mille esimese liikmesriigi järelevalveasutus talle edastas.(76)

133. Nagu ma eespool märkisin, on käesolevas kohtuasjas kõne all olev olukord hoopis teine, sest kohaldatav õigus on selle järelevalveasutuse asukohajärgse liikmesriigi õigus, kes soovib oma sekkumisvolitusi kasutada. Selles olukorras tuleb direktiivi 95/46 artikli 28 lõiget 6 tõlgendada nii, et see ei kohusta seda järelevalveasutust taotlema selle liikmesriigi järelevalveasutuselt, kus on vastutav töötleja asutatud, et see järelevalveasutus teostaks viimase vastu sekkumisvolitusi.

134. Lisan, et vastavalt direktiivi 95/46 artikli 28 lõike 1 teisele lausele võib järelevalveasutus, kes on pädev kasutama oma sekkumisvolitusi muus kui tema enda liikmesriigis asutatud vastutava töötleja suhtes, tegutseda talle usaldatud ülesannete täitmisel täiesti sõltumatult.

135. Nagu esitatud mõttearendusest tuleneb, ei näe direktiiv 95/46 ette päritoluriigi põhimõtet ega niisugust ühtse kontaktpunkti mehhanismi, nagu on sätestatud määruses 2016/679. Vastutav töötleja, kellel on üksused mitmes liikmesriigis, allub järelikult täielikult mitme järelevalveasutuse kontrollile, kui nende asutuste asukohajärgse liikmesriigi õigused on kohaldatavad. Kuigi kooskõlastamine ja koostöö nende järelevalveasutuste vahel on mõistagi soovitav, ei kohusta siiski miski järelevalveasutust, kes on pädevaks tunnistatud, joondama oma seisukohta mõne teise järelevalveasutuse omaga.

136. Järeldan eespool öeldust, et direktiivi 95/46 artikli 28 lõikeid 1, 3 ja 6 tuleb tõlgendada nii, et niisugustel asjaoludel nagu põhikohtuasjas on selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja üksus, volitatud kasutama oma sekkumisvolitusi selle vastutava töötleja suhtes iseseisvalt ja ilma, et ta oleks kohustatud pöörduma enne oma volituste kasutamist eelnevalt selle liikmesriigi järelevalveasutuse poole, kus asub nimetatud vastutav töötleja.

III. Ettepanek

137. Esitatud põhjendusi arvestades teen ettepaneku vastata Bundesverwaltungsgerichti (Saksamaa Liitvabariigi kõrgeim halduskohus) eelotsuse küsimustele järgmiselt:

1.      Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (Euroopa Parlamendi ja nõukogu 29. septembri 2003. aasta määrusega (EÜ) nr 1882/2003 muudetud redaktsioonis) artikli 2 punkti d tuleb tõlgendada nii, et niisuguse sotsiaalvõrgustiku nagu Facebook fännilehe haldaja on isikuandmete töötlemise etapis, milles see sotsiaalvõrgustik kogub fännilehe kasutajastatistika koostamiseks andmeid selle lehe külastajate kohta, selle sätte tähenduses vastutav töötleja.

2.      Direktiivi 95/46 (määrusega nr 1882/2003 muudetud redaktsioonis) artikli 4 lõike 1 punkti a tuleb tõlgendada nii, et selline isikuandmete töötlemine, nagu on kõne all põhikohtuasjas, toimub selle õigusnormi tähenduses vastutava töötleja asutuse tegevuse raames liikmesriigi territooriumil, kui sotsiaalvõrgustikku haldav ettevõtja asutab selles liikmesriigis tütarettevõtja, kes vastutab selle ettevõtja pakutava reklaamipinna edendamise ja müügi eest ja kelle tegevus on suunatud selle liikmesriigi elanikele.

3.      Niisuguses olukorras nagu põhikohtuasjas, kus asjaomasele isikuandmete töötlemisele on kohaldatav järelevalveasutuse asukohajärgse liikmesriigi õigus, tuleb direktiivi 95/46 (määrusega nr 1882/2003 muudetud redaktsioonis) artikli 28 lõikeid 1, 3 ja 6 tõlgendada nii, et see järelevalveasutus võib kasutada vastutava töötleja suhtes kõiki talle selle direktiivi artikli 28 lõikega 3 antud tõhusaid sekkumisvolitusi, kaasa arvatud juhul, kui see vastutav töötleja on asutatud teises liikmesriigis või kolmandas riigis.

4.      Direktiivi 95/46 (määrusega nr 1882/2003 muudetud redaktsioonis) artikli 28 lõikeid 1, 3 ja 6 tuleb tõlgendada nii, et niisugustel asjaoludel nagu põhikohtuasjas on selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja asutus, volitatud kasutama oma sekkumisvolitusi selle vastutava töötleja suhtes iseseisvalt ja ilma, et ta oleks kohustatud pöörduma enne oma volituste kasutamist eelnevalt selle liikmesriigi järelevalveasutuse poole, kus asub nimetatud vastutav töötleja.


1      Algkeel: prantsuse.


2      EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355.


3      ELT 2003, L 284, lk 1; ELT eriväljaanne 01/04, lk 447, edaspidi „direktiiv 95/46“.


4      Edaspidi „artikli 29 töörühm“.


5      Edaspidi „arvamus 2/2010“.


6      Arvamus 2/2010, lk 5.


7      Arvamus 2/2010, lk 7. Vastavalt selles arvamuses artikli 29 töörühma antud selgitustele toimub see „[t]avaliselt […] nii: reklaamivõrgu pakkuja paigaldab andmesubjekti lõppseadmesse küpsise siis, kui andmesubjekt esimest korda külastab reklaamivõrgu partnersaiti (-saite). Küpsis on lühike tähtnumbriline tekstijada, mille reklaamivõrgu pakkuja salvestab andmesubjekti lõppseadmesse (ja hiljem sealt loeb). Käitumispõhise reklaamiga seoses võimaldab küpsis reklaamivõrgu pakkujal ära tunda varasema külastaja, kes naaseb samale veebisaidile või külastab mõnda muud veebisaiti, mis on reklaamivõrgu partner. Korduvad külastused võimaldavad reklaamivõrgu pakkujal luua külastaja profiili, mida kasutatakse konkreetselt sellele sihitatud reklaami edastamiseks“.


8      Artikli 29 töörühma 16. veebruari 2010. aasta arvamus 1/2010 mõistete „vastutav töötleja“ „volitatud töötleja“ kohta, edaspidi „arvamus 1/2010“, lk 25.


9      Nii teatas Hispaania andmekaitseasutus (Agencia española de protección de datos) 11. septembril 2017, et ta määras äriühingule Facebook Inc. trahvi summas 1,2 miljonit eurot. Enne seda oli Prantsusmaa infotehnoloogia ja teabevahetuse komisjon (Commission nationale de l’informatique et des libertés, CNIL) määranud 27. aprilli 2017. aasta otsusega äriühingutele Facebook Inc. ja Facebook Ireland solidaarselt rahalise karistuse summas 150 000 eurot.


10      BDSG § 38 lõikes 5 on sätestatud:


      „Järelevalveasutus võib käesoleva seaduse ja muude andmekaitse õigusnormide järgimise tagamiseks määrata meetmed isikuandmete kogumises, töötlemises ja kasutamises tuvastatud rikkumiste või tehniliste või korralduslike nõuete rikkumise kõrvaldamiseks. Raske õigusrikkumise või oluliste puuduste korral, eelkõige, kui need kujutavad endast konkreetset ohtu rikkuda õigust eraelu puutumatusele, võib ta keelata [andmete] kogumise, töötlemise või kasutamise või teatavate menetluste kasutamise, kui rikkumisi või puudusi esimeses lauses osutatud korraldust eirates ja trahvi kohaldamisele vaatamata õigeaegselt ei kõrvaldata. Järelevalveasutus võib nõuda andmekaitsetöötaja vallandamist, kui see ei ole oma ülesannete täitmiseks vajalikul määral asjatundlik ja usaldusväärne.“


11      Elektroonilise side seaduse § 12 on sõnastatud järgmiselt:


„(1)      Teenuseosutaja võib elektrooniliste teabe‑ ja sideteenuste kättesaadavaks tegemisel koguda ja kasutada isikuandmeid üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe‑ ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul.


[…]


(3)      Kui ei ole sätestatud teisiti, kohaldatakse vastavalt isikuandmete kaitse kohta kehtivaid sätteid ka juhul, kui andmed ei kuulu automaatselt töötlemisele.


12      See õigusnorm käsitleb isikuandmete töötlemist volitatud töötleja poolt.


13      Selle õigusnormi alusel on „vastutav töötleja isik või organ, kes kogub, töötleb või kasutab isikuandmeid enda nimel või volituse alusel teiste vahendusel“.


14      C‑131/12, EU:C:2014:317.


15      Selle kohtuotsuse punkt 60.


16      Arvamuses 1/2010 märgitud määratluste kohaselt on sõna „eesmärk“ tähendus „eeldatud tulemus, mida soovitakse saavutada või millest juhindutakse kavandatud tegevusel“, ja sõna „vahend“ tähendus on „viis, kuidas tulemus saavutatakse või tulemuseni jõutakse“ (lk 13).


17      Nii on näiteks vastavalt selle direktiivi artikli 6 lõikele 2 vastutav töötleja kohustatud tagama, et järgitaks andmete kvaliteeti käsitlevaid põhimõtteid, mis on loetletud direktiivi artikli 6 lõikes 1. Direktiivi 95/46 artiklite 10 ja 11 alusel on vastutav töötleja kohustatud täitma teavitamiskohustust isikuandmete töötlemise andmesubjektide suhtes. Sama direktiivi artikli 12 kohaselt kasutavad andmesubjektid oma õigust andmetega tutvuda vastutava töötleja juures. Sama kehtib nimetatud direktiivi artiklis 14 ette nähtud õiguse kohta esitada vastuväiteid. Direktiivi 95/46 artikli 23 lõike 1 alusel peavad liikmesriigid ette nägema, et „kõigil isikutel, kes on kandnud kahju ebaseadusliku töötlemise või [selle] direktiivi rakendamiseks võetud siseriiklike sätetega vastuolus oleva teo tagajärjel, on õigus saada vastutavalt töötlejalt kompensatsiooni kantud kahju eest“. Lõpuks kasutatakse järelevalveasutuste tõhusaid sekkumisvolitusi, nagu need on ette nähtud selle direktiivi artikli 28 lõikes 3, vastutavate töötlejate suhtes.


18      C‑131/12, EU:C:2014:317.


19      Vt selle kohta kohtuotsus, 13.5.2014, Google Spain ja Google (C‑131/12, EU:C:2014:317, punktid 38 ja 83).


20      Vt eelkõige kohtuotsus, 13.5.2014, Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 34).


21      Arvamus 1/2010, lk 10.


22      Facebook Ireland selgitab, et ta lisab regulaarselt funktsioone, mis tehakse asjaomastele isikutele kättesaadavaks ainult liidus ja mis on nende isikute jaoks kohandatud. Teistel juhtudel otsustab Facebook Ireland tooteid, mida Facebook Inc. pakub Ameerika Ühendriikides, liidus mitte pakkuda.


23      Vt kohtuotsus, 6.10.2015, Schrems (C‑362/14, EU:C:2015:650, punkt 27).


24      Vt eelotsusetaotlus, punkt 39.


25      Käesolevas kohtuasjas ei ole oluline mitte selle töötlemise eesmärkide ja vahendite kindlaksmääramine, mis toimub pärast fännilehe külastajate andmete edastamist Facebookile. Keskenduda tuleb töötlemisetapile, milles on siin küsimus, s.o fännilehe külastajate andmete kogumisele, ilma et neid külastajaid oleks selles teavitatud ja ilma nõuetekohaselt nende nõusoleku saamiseta.


26      Facebooki kasutustingimustest nähtub, et kasutajastatistika võimaldab fännilehe haldajal tutvuda teabega oma sihtrühma kohta, et luua selle rühma jaoks asjakohasemat sisu. Kasutajastatistika annab fännilehe haldajale demograafilisi andmeid oma sihtrühma kohta, eelkõige vanuse, soo, suhtestaatuse ja töö tendentside, oma sihtpubliku elustiili ja huvide kohta ja teavet oma sihtpubliku ostude kohta, eelkõige nende ostukäitumise kohta veebis, neile kõige enam huvi pakkuvate toote- või teenusekategooriate kohta ning geograafilisi andmeid, mille järgi saab fännilehe haldaja teada, kus teha erikampaaniaid ja korraldada üritusi.


27      Vt selle kohta arvamus 1/2010, lk 28.


28      Ibidem, lk 28: „[s]amuti ei tohiks läbirääkimisjõu ebavõrdne jaotumine väikse andmete vastutava töötleja ja suure teenuseosutaja vahel õigustada seda, et vastutav töötleja lepib selliste lepingu klauslite ja tingimustega, mis ei ole kooskõlas andmekaitsealaste õigusaktidega“.


29      C‑131/12, EU:C:2014:317.


30      Kohtuotsus, 13.5.2014, Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 38 ja sama aspekti kohta punkt 83).


31      Kohtuotsus, 13.5.2014, Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 40).


32      Vt eelotsusetaotlus, punkt 35.


33      Kohtuasi, mis on alles Euroopa Kohtu menetluses.


34      Nagu märgib Šveitsi andmekaitseamet: „[k]uigi andmete salvestamine ja analüüsimine otseses mõttes toimub enamikul juhtudel täielikult webtracking’u teenuseosutaja omal äranägemisel, on veebisaidi käitaja samamoodi vastutav. Ta integreerib nimelt oma saiti webtracking’u teenuseosutaja koodi ja soodustab nii internetikasutaja teadmata andmete edastamist, küpsiste installimist ja andmete kogumist webtracking’u teenuseosutaja kasuks“: vt föderatsiooni andmekaitse- ja läbipaistvusvoliniku (PFPDT) selgitused veebijälitamise kohta: „Explications concernant le webtracking“, mida saab vaadata järgmisel internetiaadressil: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr.


35      Vt selle kohta arvamus 1/2010, lk 24.


36      Arvamus 1/2010, lk 35.


37      Arvamus 1/2010, lk 20 ja 21.


38      Vt eelotsusetaotlus, punkt 40.


39      Vt eelkõige kohtuotsus, 31.1.2017, Lounani (C‑573/14, EU:C:2017:71, punkt 56 ja seal viidatud kohtupraktika).


40      Edaspidi „arvamus 8/2010“.


41      Selle arvamuse lk 31.


42      Selle arvamuse lk 32.


43      Struktuuri tõttu, mida kasutavad niisugused kontsernid nagu Google ja Facebook oma tegevuse arendamiseks kogu maailmas, on keeruline kindlaks määrata kohaldatavat õigust ja üksust, kelle vastu üksikisikud, kelle õigusi on rikutud, nagu ka järelevalveasutused saavad pöörduda algatada. Vt nende küsimuste kohta Svantesson, D., „Enforcing Privacy Across Different Jurisdictions“, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, lk 195‑222, eriti lk 216‐218.


44      Vt eelkõige kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 25 ja seal viidatud kohtupraktika).


45      Vt eelkõige kohtuotsus, 28.7.2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punkt 75 ja seal viidatud kohtupraktika).


46      Vt kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 29).


47      Vt eelkõige kohtuotsus, 28.7.2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punkt 77 ja seal viidatud kohtupraktika).


48      Vt kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 29).


49      Vt eelkõige kohtuotsus, 28.7.2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, punkt 78 ja seal viidatud kohtupraktika).


50      Arvamuse 8/2010 lk 33. Vt selle kohta ka selle arvamuse lk 15.


51      C‑131/12, EU:C:2014:317.


52      Selle arvamuse punkt 55.


53      Nimetatud kohtuotsuse punkt 56.


54      Sama kohtuotsuse punkt 57.


55      Vt selle kohta artikli 29 töörühma 12. juuni 2009. aasta arvamus 5/2009 interneti suhtlusvõrkude kohta, lk 5.


56      C‑131/12, EU:C:2014:317.


57      Vt eelkõige artikli 29 töörühma 16. detsembri 2015. aasta „Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain“, lk 6 ja 7.


58      Vt võimaliku mitme riigi õiguse kohaldamise kohta arvamus 8/2010: „asutuse mõiste kasutamisest [tuleneb], et liikmesriigi õigust kohaldatakse, kui vastutava töötleja asutus asub selles liikmesriigis, ning teiste liikmesriikide õigust võidakse kohaldada juhul, kui vastutaval töötlejal on neis liikmesriikides asutus“ (lk 33).


59      C‑191/15, EU:C:2016:612.


60      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1).


61      Vt selle kohta Hawkes, B., „The Irish DPA and Its Approach to Data Protection“, Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, lk 441‐454, eriti lk 450, joonealune märkus 11. Nii märgib autor, et „[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase „the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State“. The DPC, in its audit report, stated that: „it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland“ but that this „should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU“.


62      C‑131/12, EU:C:2014:317.


63      Vt sarnast mõttekäiku Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, milles need ametiasutused teevad järgmise avalduse: „[…] the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that eachDPA has competence. Following case law from the European Court of Justice […], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are „inextricably linked“ to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC“.


64      Vt kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 49).


65      C‑230/14, EU:C:2015:639.


66      Vt kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 42).


67      Vt kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 43).


68      Vt kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 55).


69      Vt kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 57).


70      C‑230/14, EU:C:2015:639.


71      C‑230/14, EU:C:2015:639.


72      Vt selle kohta käesoleva ettepaneku punkt 44.


73      Vt ka käesoleva ettepaneku punktid 73‐77.


74      C‑230/14, EU:C:2015:639.


75      Kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 60).


76      Kohtuotsus, 1.10.2015, Weltimmo (C‑230/14, EU:C:2015:639, punkt 57).