EUROOPA KOHTU OTSUS (suurkoda)
1. oktoober 2019(*)
Eelotsusetaotlus – Direktiiv 95/46/EÜ – Direktiiv 2002/58/EÜ – Määrus (EL) 2016/679 – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Küpsised – Mõiste „andmesubjekti nõusolek“ – Nõusoleku andmine eeltäidetud märkeruudu abil
Kohtuasjas C‑673/17,
mille ese on ELTL artikli 267 alusel Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) 5. oktoobri 2017. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 30. novembril 2017, menetluses
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV
versus
Planet49 GmbH,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident R. Silva de Lapuerta, kodade presidendid J.‑C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Jürimäe ja C. Lycourgos, kohtunikud A. Rosas (ettekandja), L. Bay Larsen, M. Safjan ja S. Rodin,
kohtujurist: M. Szpunar,
kohtusekretär: osakonnajuhataja D. Dittert,
arvestades kirjalikku menetlust ja 13. novembri 2018. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, esindaja: Rechtsanwalt P. Wassermann,
– Planet49 GmbH, esindajad: Rechtsanwalt M. Jaschinski, Rechtsanwalt J. Viniol ja Rechtsanwalt T. Petersen,
– Saksamaa valitsus, esindaja: J. Möller,
– Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato F. De Luca,
– Portugali valitsus, esindajad: L. Inez Fernandes, M. Figueiredo, L. Medeiros ja C. Guerra,
– Euroopa Komisjon, esindajad: G. Braun, H. Kranenborg ja P. Costa de Oliveira,
olles 21. märtsi 2019. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus puudutab seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11)) (edaspidi „direktiiv 2002/58“), artikli 2 punkti f ja artikli 5 lõiget 3 nende koostoimes Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 2 punktiga h ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; parandus ELT 2016, L 127, lk 3) artikli 6 lõike 1 punktiga a.
2 Taotlus on esitatud Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderatsioon; edaspidi „Bundesverband“) ja internetis hasartmänge pakkuva äriühingu Planet49 GmbH vahelises kohtuvaidluses seoses viimati nimetatud äriühingu korraldatud müügiedenduslikus auhinnamängus osalenute nõusolekuga lubada nende isikuandmete edastamist selle äriühingu sponsoritele ja partneritele ning teabe salvestamist nende kasutajate lõppseadmesse ja juurdepääsu sinna juba salvestatud teabele.
Õiguslik raamistik
Liidu õigus
Direktiiv 95/46
3 Direktiivi 95/46 artiklis 1 on ette nähtud:
„1. Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.
2. Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.“
4 Direktiivi artiklis 2 on sätestatud:
„Käesolevas [direktiivis] kasutatakse järgmisi mõisteid:
a) isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal;
b) isikuandmete töötlemine (edaspidi „töötlemine“) – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;
[…]
h) andmesubjekti nõusolek – iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid.“
5 Direktiivi artiklis 7 on sätestatud:
„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:
a) andmesubjekt on selleks andnud oma ühemõttelise nõusoleku
[…]“.
6 Direktiivi artikli 10 kohaselt:
„Liikmesriigid näevad ette, et vastutav töötleja või tema esindaja peab andmesubjektile, kellelt tema enda kohta andmeid kogutakse, esitama vähemalt järgmise teabe, kui ta seda juba ei tea:
a) vastutava töötleja ja tema võimaliku esindaja andmed;
b) andmete töötlemise eesmärk;
c) täiendav teave, näiteks
– andmete vastuvõtjad või vastuvõtjate kategooriad,
– kas küsimustele vastamine on kohustuslik või vabatahtlik ja vastamata jätmise võimalikud tagajärjed,
– isiku enda kohta käivate andmetega tutvumise ja nende parandamise õiguse olemasolu,
kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete töötlemise konkreetseid asjaolusid.“
Direktiiv 2002/58
7 Direktiivi 2002/58 põhjendustes 17 ja 24 on märgitud:
„(17) Käesoleva direktiivi kohaldamisel peaks kasutaja või abonendi nõusolekul, olenemata sellest, kas abonent on füüsiline või juriidiline isik, olema sama tähendus, nagu on määratletud ja täpsustatud direktiivis [95/46]. Nõusoleku võib anda ükskõik millisel sobival viisil, mis võimaldab kasutajal väljendada vabatahtlikku, konkreetset ja teadlikku tahteavaldust (Interneti-leheküljel näiteks sellega, et vajalik lahter märgistatakse).
[…]
(24) Elektrooniliste sidevõrkude kasutajate lõppseadmed ja sellistes seadmetes säilitatav teave moodustavad osa kasutajate eraelust, mida tuleb kaitsta [Roomas 4. novembril 1950 allkirjastatud] inimõiguste ja põhivabaduste kaitse Euroopa konventsiooni kohaselt. Niinimetatud nuuskurvara, veebilutikad, varjatud identifikaatorid ja muud sellised vahendid võimaldavad kasutaja teadmata siseneda kasutaja lõppseadmesse, et pääseda juurde teabele, salvestada varjatud teavet või jälitada kasutaja tegevust, ning võimaldab tõsiselt sekkuda kõnealuste kasutajate eraellu. Selliste vahendite kasutamine peaks olema lubatud ainult õiguspärastel eesmärkidel ja asjaomaste kasutajate teadmisel.“
8 Direktiivi 2002/58 artiklis 1 on ette nähtud:
„1. Käesoleva direktiiviga nähakse ette nende siseriiklike sätete ühtlustamine, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse võrdväärse taseme tagamiseks isikuandmete töötlemise puhul elektroonilise side sektoris ja selliste andmete ning elektrooniliste sideseadmete ja -teenuste vaba liikumise tagamiseks [Euroopa Liidus].
2. Käesoleva direktiivi sätted täpsustavad ja täiendavad direktiivi [95/46] sätteid lõikes 1 nimetatud eesmärkidel. […]“.
9 Direktiivi artiklis 2 on sätestatud:
„Kui ei ole sätestatud teisiti, kohaldatakse direktiivis [95/46] ning Euroopa Parlamendi ja nõukogu 7. märtsi 2002. aasta direktiivis 2002/21/EÜ elektrooniliste sidevõrkude ja -teenuste ühise reguleeriva raamistiku kohta (raamdirektiiv) [EÜT 2002, L 108, lk 33; ELT eriväljaanne 13/29, lk 349] sätestatud mõisteid.
Kasutatakse ka järgmisi mõisteid:
a) kasutaja – füüsiline isik, kes kasutab üldkasutatavat elektroonilist sideteenust isiklikel või ärilistel eesmärkidel, ilma et ta oleks tingimata kõnealust teenust tellinud;
[…]
f) nõusolek, mille annab kasutaja või abonent, vastab direktiivis [95/46] määratletud andmesubjekti nõusolekule;
[…]“.
10 Direktiivi artikli 5 lõikes 3 on ette nähtud:
„Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi [95/46] kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta. See ei takista andmete tehnilist salvestamist ega juurdepääsu, mille ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik sellise infoühiskonna teenuse osutamiseks, mida abonent või kasutaja on sõnaselgelt taotlenud.“ [Mõiste „arusaadav teave“ asemel on edaspidi kasutatud täpsemat vastet „igakülgne teave“.]
Määrus 2016/679
11 Määruse 2016/679 põhjenduses 32 on märgitud:
„Nõusolek tuleks anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võiks hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadmete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik ning mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.“
12 Määruse artiklis 4 on sätestatud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekt“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;
2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
[…]
11) „andmesubjekti nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;
[…]“.
13 Määruse artiklis 6 on ette nähtud:
„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
a) andmesubjekt on andnud nõusoleku oma isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil;
[…]“.
14 Määruse artikli 7 lõikes 4 on sätestatud:
„Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku andmine isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.“
15 Määruse 2016/679 artikli 13 lõigete 1 ja 2 kohaselt:
„1. Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:
[…]
e) asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta […]
[…]
2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:
a) isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;
[…]“.
16 Määruse artiklis 94 on sätestatud:
„1. Direktiiv [95/46] tunnistatakse kehtetuks alates 25. maist 2018.
2. Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi [95/46] artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.“
Saksa õigus
17 Saksa tsiviilseadustiku (Bürgerliches Gesetzbuch; edaspidi „BGB“) § 307 lõike 1 esimese lause kohaselt „on tühised tüüptingimused, mis on vastuolus hea usu põhimõttega ja seeläbi kahjustavad tingimuste kasutaja lepingupartnerit ebamõistlikult“.
18 BGB § 307 lõike 2 punktis 1 on sätestatud, et kahtluse korral eeldatakse ebamõistlikku kahjustamist juhul, kui tingimus ei ole kooskõlas selle seaduse oluliste põhimõtetega, millest kõrvale kaldutakse.
19 26. veebruari 2007. aasta elektrooniliste teabe- ja sideteenuste seaduse (Telemediengesetz; BGBl. 2007 I, lk 179; edaspidi „TMG“) põhikohtuasja asjaoludele kohaldatava redaktsiooni § 12 sätestab:
„(1) Teenuseosutaja võib elektrooniliste teabe- ja sideteenuste kättesaadavaks tegemisel koguda ja kasutada isikuandmeid üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul.
(2) Teenuseosutaja võib elektrooniliste teabe- ja sideteenuste kättesaadavaks tegemiseks kogutud isikuandmeid kasutada muul eesmärgil üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul.
(3) Kui ei ole sätestatud teisiti, kohaldatakse isikuandmete kaitse kohta kehtivaid sätteid ka juhul, kui andmeid ei töödelda automaatselt.“
20 TMG § 13 lõike 1 kohaselt peab teenuseosutaja teavitama kasutajat üldarusaadavas vormis kasutusprotsessi alguses isikuandmete kogumise ja kasutamise liigist, mahust ja eesmärgist, kui seda ei ole juba tehtud. Automatiseeritud toimingu korral, mis võimaldab kasutajat hiljem identifitseerida ja valmistab ette isikuandmete kogumise või kasutamise, tuleb kasutajat teavitada toimingu alguses.
21 TMG § 15 lõike 3 järgi võib teenuseosutaja reklaami ja turu-uuringute eesmärgil või elektroonilise teabe- ja sidevahendite vajadusepõhiseks kujundamiseks luua kasutajaprofiile, kasutades pseudonüüme, kui kasutaja, keda on eelnevalt teavitatud vastuväite esitamise õigusest, ei ole selle vastu.
22 20. detsembri 1990. aasta föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz, BGBl. 1990 I, lk 2954; edaspidi „BDSG“) põhikohtuasja asjaoludele kohaldatava redaktsiooni § 3 lõikes 1 on „isikuandmed“ määratletud kui „tuvastatud või tuvastatava füüsilise isiku (andmesubjekt) isikliku või faktilise olukorraga seotud andmed“.
23 BDSG § 3 lõike 3 kohasest mõistest tulenevalt on kogumine andmete hankimine andmesubjekti kohta.
24 BDSG § 4a lõike 1 esimene lause, millega võetakse üle direktiivi 95/46 artikli 2 punkt h, sätestab, et nõusolek on antud kehtivalt ainult juhul, kui selle alus on asjaomase isiku vaba otsus.
Põhikohtuasi ja eelotsuse küsimused
25 Planet49 korraldas 24. septembril 2013 internetipõhise müügiedendusliku auhinnamängu veebisaidil www.dein-macbook.de.
26 Selles mängus osaleda sooviv internetikasutaja pidi sisestama oma sihtnumbri, mille järel sattus ta veebilehele, kus tal tuli sisestada oma nimi ja aadress. Aadressilahtri all paiknesid kaks märkeruutudega teavitusteksti. Esimene teavitustekst, mille märkeruut (edaspidi „esimene märkeruut“) ei olnud eeltäidetud, oli sõnastatud järgmiselt:
„Ma nõustun sellega, et mõned sponsorid ja koostööpartnerid teavitavad mind posti, telefoni, e-kirja või SMS‑i teel oma tegevusvaldkonna pakkumistest. Ma saan need siin ise määrata, aga kui ma seda ei tee, siis teeb valiku korraldaja. Nõusoleku saan ma igal ajal tagasi võtta. Täpsem teave on leitav siit.“
27 Teise teavitusteksti, mille märkeruut (edaspidi „teine märkeruut“) oli eeltäidetud, sõnastus oli järgmine:
„Ma nõustun sellega, et minu puhul kasutatakse veebianalüüsi teenust Remintrex. Selle tulemusena paigaldab auhinnamängu korraldaja [Planet49] auhinnamänguks registreerimise järel küpsised, mis võimaldavad Planet49-l analüüsida minu liikumis- ja kasutusharjumusi reklaamipartnerite veebisaitidel ning seeläbi Remintrexil edastada minu huvide põhist reklaami. Võin küpsiseid igal ajal uuesti kustutada. Lugege täpsemalt siit.“
28 Auhinnamängus osalemine oli võimalik vaid juhul, kui märgistati vähemalt esimese teavitusteksti ees asuv lahter.
29 Esimeses teavitustekstis sisalduvate sõnadega „sponsorid ja koostööpartnerid“ ning sõnaga „siin“ seotud hüperlink viis 57 ettevõtjat sisaldava loeteluni, mis hõlmas nende aadresse, reklaamitavat tegevusvaldkonda ja reklaamiks kasutatavat suhtlusviisi (e-kiri, post või telefon). Iga ettevõtja nime järel oli allakriipsutatud sõna „kustuta“. Loetelu ette oli paigutatud järgmine teavitus:
„Lingile „kustuta“ vajutamisega otsustan, et nimetatud partnerile/sponsorile ei tohi anda reklaamimiseks nõusolekut. Kui ma ei kustuta ühtegi või piisavalt mitut partnerit/sponsorit, siis valib Planet49 ise oma äranägemisel minu jaoks partnerid/sponsorid (maksimaalselt 30 partnerit/sponsorit).“
30 Teises teavitustekstis sõnaga „siin“ seotud hüperlingi aktiveerimisel ilmus järgmine teave:
„Paigaldatud küpsiste puhul on tegemist väikeste failidega, mis kannavad nimetusi ceng_cache, ceng_etag, ceng_png ja gcr ning mis salvestatakse Teie kõvakettale Teie kasutatava veebilehitseja abil ja mille kaudu liigub kindlat tüüpi teave, mis võimaldab reklaami teha tõhusamalt ja kasutajasõbralikumalt. Küpsised sisaldavad kindlat juhuslikult genereeritud numbrit (ID), mis on samal ajal seotud Teie registreerimisandmetega. Kui külastate seejärel Remintrexi jaoks registreeritud reklaamipartneri veebilehte (vaadake reklaamipartneri andmekaitsedeklaratsioonist, kas ettevõtja on registreeritud), registreerib Remintrex automaatselt sinna sisseehitatud iFrame’i abiga, et Teie (st salvestatud ID‑ga kasutaja) olete saiti külastanud, milline toode Teid huvitas ja kas sõlmiti leping.
Seejärel saab [Planet49] saata Teile auhinnamänguks registreerimisel antud reklaaminõusoleku alusel reklaamkirju, mis võtavad arvesse Teie huve, mis kajastuvad reklaamipartnerite veebilehtedel. Pärast reklaaminõusoleku tagasivõtmist Te mõistagi reklaami sisaldavaid e‑kirju enam ei saa.
Küpsiste abil edastatavat teavet kasutatakse üksnes reklaamipartnerite tooteid tutvustava reklaami tegemiseks. Iga reklaamipartneri jaoks kogutakse, salvestatakse ja kasutatakse teavet eraldi. Mitte mingil juhul ei looda reklaamipartneriteüleseid kasutajaprofiile. Isikuandmeid ei anta ühelegi reklaamipartnerile.
Kui Teil puudub huvi edaspidi küpsiseid kasutada, siis võite need oma veebilehitseja abil igal ajal kustutada. Juhis selleks on leitav veebilehitseja abifunktsiooni all.
Küpsiste abil ei saa programme aktiveerida ega viirusi üle kanda.
Mõistagi on Teil võimalus nõusolek igal ajal tagasi võtta. Tagasivõtmisavalduse võite saata kirjalikus vormis [Planet49‑le] [aadress]. Piisab aga ka lihtsalt e‑kirjast meie klienditeenindusele [e-kirja aadress].“
31 Eelotsusetaotlusest ilmneb, et küpsised on failid, mille veebisaidi pakkuja salvestab selle saidi kasutaja arvutisse ning millele ta saab uuesti juurdepääsu, kui kasutaja külastab veebisaiti uuesti, ning need võimaldavad lihtsustada internetis navigeerimist või tehingute tegemist või koguda teavet kasutaja käitumise kohta.
32 Bundesverband, kes on tarbijakaitsealaste õigusnormide rikkumise või muude eeskirjade eiramise korral ettekirjutuste taotlemist käsitleva 26. novembri 2001. aasta seaduse (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen – Unterlassungsklagengesetz (BGBl. 2001 I, lk 3138), edaspidi „UKlaG“) § 4 kohaselt kvalifitseeritud organisatsioonide loetellu kantud isik, väitis kohtueelses tulemusetult lõppenud ettekirjutuse menetluses, et Planet49 poolt kasutatavad nõusolekuavaldused, mille puhul tuleb täita esimene ja teine märkeruut, ei vasta BGB § 307, 3. juuli 2004. aasta kõlvatu konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb, BGBl. 2004 I, lk 1414) põhikohtuasja asjaoludele kohaldatava redaktsiooni § 7 lõike 2 punkti 2 ja TMG § 12 jj sätete koostoimest tulenevatele nõuetele.
33 Bundesverband esitas hagi Landgericht Frankfurt am Mainile (Frankfurdi esimese astme kohus, Saksamaa), paludes sisuliselt, et Planet49-t kohustataks lõpetama eelnimetatud nõusolekuavalduste kasutamine, ning temalt mõistetaks välja 214 eurot koos viivitusintressiga alates 15. märtsist 2014.
34 Landgericht Frankfurt am Main (Frankfurdi esimese astme kohus) rahuldas hagi osaliselt.
35 Planet49 poolt Oberlandesgericht Frankfurt am Mainile (liidumaa kõrgeim üldkohus Frankfurdis, Saksamaa) esitatud apellatsioonkaebust menetledes leidis nimetatud kohus, et Bundesverbandi nõue, et Planet49 lõpetaks tarbijatega sõlmitavates auhinnamängulepingutes sellise teksti kasutamise, mis on esitatud käesoleva kohtuotsuse punktis 27 ja mille teine märkeruut on eeltäidetud, ei ole põhjendatud, kuna esiteks on kasutajal teada, et ta võib märgistuse kustutada, ja teiseks on see esitatud piisavalt selges kirjas ning annab teavet selle kohta, kuidas küpsiseid kasutatakse, ilma et oleks vaja avaldada nende kolmandate isikute nimed, kellel võib olla juurdepääs kogutud teabele.
36 Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus), kellele Bundesverband kassatsioonkaebuse esitas, leiab, et põhikohtuasja lahendus sõltub sellest, kuidas tõlgendada direktiivi 2002/58 artikli 5 lõiget 3 ja artikli 2 punkti f koostoimes direktiivi 95/46 artikli 2 punktiga h ning määruse 2016/679 artikli 6 lõike 1 punktiga a.
37 Kuna Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) kahtleb, kas nõusolek, mille Planet49 saab veebisaidi www.dein-macbook.de kasutajatelt teise märkeruudu abil, on eelnimetatud sätteid arvesse võttes kehtiv, ning samuti ei ole ta kindel, millise ulatusega on direktiivi 2002/58 artikli 5 lõikes 3 ette nähtud teavitamiskohustus, siis otsustas ta menetluse peatada ning esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. a) Kas juhul, kui kasutaja peab nõusoleku andmisest keeldumiseks eemaldama märgistuse eeltäidetud märkeruudust, millega antakse luba teabe salvestamiseks kasutaja lõppseadmesse või juurdepääsuks sinna juba salvestatud teabele, on tegemist kehtiva nõusolekuga direktiivi [2002/58] artikli 5 lõike 3 ja artikli 2 punkti f tähenduses koostoimes direktiivi [95/46] artikli 2 punktiga h?
b) Kas direktiivi [2002/58] artikli 5 lõike 3 ja artikli 2 punkti f kohaldamisel koostoimes direktiivi [95/46] artikli 2 punktiga h on mingi erinevus selles, kas salvestatud või juurdepääsetava teabe puhul on tegemist isikuandmetega?
c) Kas [esimese küsimuse] punktis a nimetatud asjaolude puhul on tegemist kehtiva nõusolekuga määruse [2016/679] artikli 6 lõike 1 punkti a tähenduses?
2. Millist teavet peab teenuseosutaja kasutajale andma direktiivi [2002/58] artikli 5 lõike 3 kohaselt esitatava selge ja igakülgse teabe raames? Kas siia hulka kuuluvad ka küpsiste kasutamise kestus ja asjaolu, kas kolmandatele isikutele antakse juurdepääs küpsistele?“
Eelotsuse küsimuste analüüs
Sissejuhatavad märkused
38 Sissejuhatuseks tuleb analüüsida, kas direktiiv 95/46 ja määrus 2016/679 on põhikohtuasja asjaoludele kohaldatavad.
39 Direktiiv 95/46 tunnistati alates 25. maist 2018 kehtetuks ja asendati määrusega 2016/679 vastavalt selle määruse artikli 94 lõikele 1.
40 On tõsi, et see kuupäev on hilisem eelotsusetaotluse esitanud kohtus peetud viimase kohtuistungi kuupäevast ehk 14. juulist 2017 ning samuti selle kohtu esitatud eelotsusetaotluse Euroopa Kohtusse saabumise kuupäevast.
41 Eelotsusetaotluse esitanud kohus märkis siiski, et arvestades seda, et määrus 2016/679, mida esimene küsimus osaliselt puudutab, jõustus 25. mail 2018, on tõenäoline, et seda määrust tuleb põhikohtuasja lahendamise hetkel arvesse võtta. Lisaks – nagu märkis Saksamaa valitsus Euroopa Kohtus toimunud kohtuistungil –, kui võtta arvesse asjaolu, et Bundesverbandi alustatud menetluse eesmärk on kohustada Planet49‑t teatav teguviisist edaspidi hoiduma, ei ole välistatud, et põhikohtuasja vaidlus on määruse 2016/679 ajalises kohaldamisalas tulenevalt rikkumise lõpetamise hagidega seotud õiguslikku olukorda käsitlevast liikmesriigi kohtupraktikast; selle asjaolu kontrollimine on eelotsusetaotluse esitanud kohtu ülesanne (vt seoses tuvastushagiga 16. jaanuari 2019. aasta kohtuotsus Deutsche Post, C‑496/17, EU:C:2019:26, punkt 38).
42 Neil asjaoludel ja võttes arvesse, et määruse 2016/679 artikli 94 lõike 2 kohaselt käsitatakse direktiivis 2002/58 olevaid viiteid direktiivile 95/46 viidetena nimetatud määrusele, ei ole käesoleval juhul välistatud, et sõltuvalt Bundesverbandi nõuetest ja asjasse puutuvast ajavahemikust on direktiiv 2002/58 kohaldatav kas koos direktiiviga 95/46 või koos määrusega 2016/679.
43 Seetõttu tuleb esitatud küsimustele vastata nii direktiivi 95/46 kui ka määruse 2016/679 alusel.
Esimese küsimuse punktid a ja c
44 Esimese küsimuse punktidega a ja c palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2002/58 artikli 2 punkti f ja artikli 5 lõiget 3 koostoimes direktiivi 95/46 artikli 2 punktiga h ning määruse 2016/679 artikli 6 lõike 1 punktiga a tuleb tõlgendada nii, et nendes sätetes mainitud nõusolek on antud kehtivalt, kui luba küpsiste abil teabe salvestamiseks veebisaidi kasutaja lõppseadmesse või juurdepääsuks sinna juba salvestatud teabele on antud eeltäidetud märkeruudu abil, millest kasutaja peab nõusoleku andmisest keeldumiseks märgistuse eemaldama.
45 Sissejuhatuseks tuleb täpsustada, et eelotsusetaotluses oleva teabe kohaselt peab Planet49 korraldatavas auhinnamängus osalev kasutaja selles mängus osalemiseks sisestama registreerimisvormi oma nime ja aadressi ning selle kasutaja lõppseadmesse võidakse paigaldada küpsised, mis sisaldavad kasutaja registreerimisandmetele eraldatud numbrit. Eelotsusetaotluse esitanud kohus lisab, et selle numbri ja nende andmete sidumine personaliseerib küpsistes salvestatud andmed, kui kasutaja viibib internetis, mistõttu nende andmete kogumine küpsiste abil kujutab endast isikuandmete töötlemist. Planet49 kinnitas neid selgitusi, rõhutades oma kirjalikes seisukohtades, et teisele märkeruudule vastava nõusoleku eesmärk on anda luba isikuandmete, mitte anonüümse teabe kogumiseks ja töötlemiseks.
46 Sellele täpsustusele lisaks tuleb märkida, et direktiivi 2002/58 artikli 5 lõike 3 kohaselt peavad liikmesriigid tagama, et teabe salvestamine kasutaja lõppseadmesse või juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane kasutaja on andnud selleks oma nõusoleku pärast seda, kui talle on esitatud direktiivi 95/46 kohaselt selge ja igakülgne teave muu hulgas andmete töötlemise eesmärgi kohta.
47 Selle kohta tuleb märkida, et nii liidu õiguse ühetaolise kohaldamise nõudest kui ka võrdsuse põhimõttest tuleneb, et liidu õigusnorme, mis nende sisu ja ulatuse täpsustamiseks ei viita sõnaselgelt liikmesriikide õigusele, tuleb üldjuhul kogu liidus tõlgendada autonoomselt ja ühetaoliselt (26. märtsi 2019. aasta kohtuotsus SM (Alžeeria kafalah᾽ režiimi all kasuperekonda paigutatud laps), C‑129/18, EU:C:2019:248, punkt 50, ja 11. aprilli 2019. aasta kohtuotsus Tarola, C‑483/17, EU:C:2019:309, punkt 36).
48 Lisaks tuleb Euroopa Kohtu väljakujunenud praktika kohaselt liidu õigusnormi tõlgendamisel arvesse võtta mitte ainult normi sõnastust ja sellega taotletavaid eesmärke, vaid ka selle konteksti ning liidu õigusnorme nende kogumis. Ka liidu õigusnormi kujunemislugu võib anda asjakohast teavet selle normi tõlgendamiseks (10. detsembri 2018. aasta kohtuotsus Wightman jt, C‑621/18, EU:C:2018:999, punkt 47 ning seal viidatud kohtupraktika).
49 Mis puudutab direktiivi 2002/58 artikli 5 lõike 3 sõnastust, siis tuleb märkida, et kuigi see säte näeb sõnaselgelt ette, et kasutaja peab olema „andnud […] oma nõusoleku“ küpsiste salvestamiseks oma lõppseadmesse ja neile juurdepääsu saamiseks, ei ole selles sättes seevastu kirjas, mil viisil see nõusolek peab antud olema. Sellegipoolest saab sõnu „on andnud […] oma nõusoleku“ tõlgendada grammatiliselt nii, et kasutaja nõusoleku väljendamiseks on vaja tema tegevust. Sellega seoses ilmneb direktiivi 2002/58 põhjendusest 17, et kasutaja võib nõusoleku anda ükskõik millisel sobival viisil, mis võimaldab tal väljendada vabatahtlikku, konkreetset ja teadlikku tahteavaldust näiteks sellega, et „vajalik lahter märgistatakse“ veebilehel.
50 Direktiivi 2002/58 artikli 5 lõike 3 konteksti kohta tuleb rõhutada, et selle direktiivi artikli 2 punktis f, kus selle direktiivi tarbeks on määratletud mõiste „nõusolek“, on viidatud „andmesubjekti nõusolekule“, mis on sätestatud direktiivis 95/46. Direktiivi 2002/58 põhjenduses 17 on täpsustatud, et kasutaja nõusolekul peaks selle direktiivi kohaldamisel olema sama tähendus nagu andmesubjekti nõusolekul, mis on määratletud ja üksikasjalikumalt täpsustatud direktiivis 95/46.
51 Viimati nimetatud direktiivi artikli 2 punkti h määratluse kohaselt on „andmesubjekti nõusolek“ „iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid“.
52 Niisiis, nagu rõhutas kohtujurist oma ettepaneku punktis 60, viitab andmesubjekti tahte „avaldamise“ nõue selgelt aktiivsele, mitte passiivsele tegevusele. Eeltäidetud märkeruudu abil nõusoleku andmiseks ei ole aga vaja veebisaidi kasutaja aktiivset tegevust.
53 Seda tõlgendust kinnitab direktiivi 95/46 artikkel 7, mis näeb ette ammendava loetelu juhtudest, mil isikuandmete töötlemist saab pidada seaduslikuks (vt selle kohta 24. novembri 2011. aasta kohtuotsus Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 ja C‑469/10, EU:C:2011:777, punkt 30, ja 19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 57).
54 Täpsemalt on direktiivi 95/46 artikli 7 punktis a ette nähtud, et andmesubjekti nõusolek saab muuta sellise töötlemise seaduslikuks ainult juhul, kui andmesubjekt on selle nõusoleku andnud „ühemõtteliselt“. Selle nõude saab aga täita ainult isiku aktiivne tegevus oma nõusoleku väljendamisel.
55 Kui veebisaidi kasutaja on jätnud eeltäidetud märkeruudu tühjendamata, siis on praktiliselt võimatu objektiivselt kindlaks teha, kas ta on nõustunud oma isikuandmete töötlemisega, ning ammugi mitte, kas see nõusolek on antud teadlikult. Ei saa nimelt välistada, et see kasutaja ei lugenud eeltäidetud märkeruudu juures olevat teavet või isegi ei märganud seda ruutu enne oma tegevuse jätkamist veebisaidil, mida ta külastas.
56 Mis viimaseks puudutab direktiivi 2002/58 artikli 5 lõike 3 kujunemislugu, siis tuleb tõdeda, et selle sätte esialgses versioonis oli ette nähtud ainult nõue, et kasutajal peab olema „õigus keelduda“ küpsiste paigaldamisest, pärast seda, kui talle on esitatud direktiivi 95/46 kohaselt selge ja igakülgne teave muu hulgas andmete töötlemise eesmärgi kohta. Direktiiviga 2009/136 muudeti selle sätte sõnastust oluliselt, asendades selle väljendi sõnadega „on andnud […] oma nõusoleku“. Direktiivi 2002/58 artikli 5 lõike 3 kujunemislugu viitab seega sellele, et kasutaja nõusolekut ei saa nüüdsest enam eeldada ja see peab nähtuma tema aktiivsest tegevusest.
57 Eeltoodud asjaolusid arvestades ei ole nõusolek, mis on ette nähtud direktiivi 2002/58 artikli 2 punktis f ja artikli 5 lõikes 3 koostoimes direktiivi 95/46 artikli 2 punktiga h, antud kehtivalt, juhul kui teabe salvestamine veebisaidi kasutaja lõppseadmesse või juurdepääs sinna juba salvestatud teabele lubatakse teenuseosutaja poolt eeltäidetud märkeruudu abil, millest kasutaja peab oma nõusolekust keeldumiseks märgistuse eemaldama.
58 Olgu lisatud, et direktiivi 95/46 artikli 2 punktis h mainitud tahteavaldus peab muu hulgas olema „konkreetne“ selles mõttes, et see peab olema suunatud just asjasse puutuvate andmete töötlemisele ja seda ei saa tuletada muul otstarbel väljendatud tahtevaldusest.
59 Käesoleval juhul ei piisa, vastupidi Planet49 väidetele, asjaolust, et kasutaja klõpsab selle äriühingu korraldatud auhinnamängu osalemisnupul selleks, et asuda seisukohale, et ta on andnud kehtiva nõusoleku küpsiste paigaldamiseks.
60 Eeltoodud tõlgendus peab veelgi enam paika määrust 2016/679 arvestades.
61 Tuleb nimelt nõustuda kohtujuristiga, kes tõdes oma ettepaneku punktis 70 sisuliselt, et määruse 2016/679 artikli 4 punkti 11 sõnastus, millega selle määruse ja eriti selle artikli 6 lõike 1 punkti a kohaldamise tarbeks on määratletud „andmesubjekti nõusolek“, mis on esimese eelotsuseküsimuse punkti c ese, on veel kitsam kui direktiivi 95/46 artikli 2 punktis h esitatud määratlus, kuna see nõuab, et andmesubjekti tahteavaldus peab olema „vabatahtlik, konkreetne, teadlik ja ühemõtteline“ ning antud avalduse vormis või selget nõusolekut väljendava tegevusega, millega andmesubjekt nõustub tema kohta käivate isikuandmete töötlemisega.
62 Seega on määrusega 2016/679 nüüdsest sõnaselgelt ette nähtud aktiivne nõusolek. Siinkohal tuleb märkida, et nimetatud määruse põhjenduse 32 kohaselt saab nõusolekut muu hulgas väljendada lahtri märgistamisega veebisaidil. Selles põhjenduses on seevastu sõnaselgelt välistatud võimalus, et „vaikimist, eelnevalt märgistatud lahtreid või tegevusetust“ saaks pidada nõusolekuks.
63 Sellest järeldub, et nõusolek, mis on ette nähtud direktiivi 2002/58 artikli 2 punktis f ja artikli 5 lõikes 3 koostoimes määruse 2016/679 artikli 4 punktiga 11 ja artikli 6 lõike 1 punktiga a, ei ole antud kehtivalt, juhul kui teabe salvestamine veebisaidi kasutaja lõppseadmesse või juurdepääs sinna juba salvestatud teabele lubatakse eeltäidetud märkeruudu abil, millest kasutaja peaks oma nõusolekust keeldumiseks märgistuse eemaldama.
64 Viimaseks tuleb rõhutada, et eelotsusetaotluse esitanud kohus ei ole esitanud Euroopa Kohtule küsimust, kas asjaolu, et kasutaja nõusolek oma isikuandmete töötlemiseks reklaami eesmärgil mõjutab tema võimalust osaleda auhinnamängus, nii nagu see nähtuvalt eelotsusetaotluse esitanud kohtu poolt eelotsusetaotluses antud selgitustest tundub olevat käesolevas asjas vähemalt esimese märkeruudu puhul, on kooskõlas nõudega, et nõusolek peab olema „vabatahtlik“ direktiivi 95/46 artikli 2 punkti h ning määruse 2016/679 artikli 4 punkti 11 ja artikli 7 lõike 4 tähenduses. Neil asjaoludel ei ole Euroopa Kohtul alust seda küsimust käsitleda.
65 Eeltoodud kaalutlusi arvestades tuleb esimese küsimuse punktidele a ja c vastata, et direktiivi 2002/58 artikli 2 punkti f ja artikli 5 lõiget 3 koostoimes direktiivi 95/46 artikli 2 punktiga h ning määruse 2016/679 artikli 4 punktiga 11 ja artikli 6 lõike 1 punktiga a tuleb tõlgendada nii, et nendes sätetes mainitud nõusolek ei ole antud kehtivalt, kui luba küpsiste abil teabe salvestamiseks veebisaidi kasutaja lõppseadmesse või juurdepääsuks sinna juba salvestatud teabele on antud eeltäidetud märkeruudu abil, millest kasutaja peab nõusoleku andmisest keeldumiseks märgistuse eemaldama.
Esimese küsimuse punkt b
66 Esimese küsimuse punktiga b palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2002/58 artikli 2 punkti f ja artikli 5 lõiget 3 koostoimes direktiivi 95/46 artikli 2 punktiga h ning määruse 2016/679 artikli 4 punktiga 11 ja artikli 6 lõike 1 punktiga a tuleb tõlgendada erinevalt sõltuvalt sellest, kas teabe puhul, mis on salvestatud veebisaidi kasutaja lõppseadmesse või millele seal juurde pääsetakse, on tegemist isikuandmetega direktiivi 95/46 ja määruse 2016/679 tähenduses.
67 Nagu märgitud käesoleva kohtuotsuse punktis 45, ilmneb eelotsusetaotlusest, et põhikohtuasjas vaidluse all olev küpsiste paigaldamine on osa isikuandmete töötlemisest.
68 Olenemata sellest täpsustusest tuleb igal juhul tõdeda, et direktiivi 2002/58 artikli 5 lõikes 3 on mainitud „teabe salvestamist“ ja „juurdepääsu juba salvestatud teabele“ ilma selle teabe liiki määramata või täpsustamata, et selle puhul peaks tegemist olema isikuandmetega.
69 Nagu tõdes kohtujurist oma ettepaneku punktis 107, on selle sätte eesmärk kaitsta kasutajat tema eraellu tungimise eest, olenemata sellest, kas selline sekkumine puudutab isikuandmeid.
70 Seda tõlgendust kinnitab direktiivi 2002/58 põhjendus 24, mille kohaselt moodustavad elektroonilise side võrkude kasutajate lõppseadmed ja sellistes seadmetes säilitatav teave osa kasutajate eraelust, mida tuleb kaitsta inimõiguste ja põhivabaduste kaitse Euroopa konventsiooni kohaselt. See kaitse laieneb kogu lõppseadmetesse salvestatud teabele, olenemata sellest, kas tegemist on isikuandmetega või mitte, ja selle eesmärk on nähtuvalt samast põhjendusest kaitsta kasutajaid varjatud identifikaatorite ja muude analoogsete vahendite eest, mis võimaldavad kasutaja teadmata siseneda tema lõppseadmesse.
71 Eeltoodud kaalutlusi arvestades tuleb esimese küsimuse punktile b vastata, et direktiivi 2002/58 artikli 2 punkti f ja artikli 5 lõiget 3 koostoimes direktiivi 95/46 artikli 2 punktiga h ning määruse 2016/679 artikli 4 punktiga 11 ja artikli 6 lõike 1 punktiga a ei tule tõlgendada erinevalt sõltuvalt sellest, kas teabe puhul, mis on salvestatud veebisaidi kasutaja lõppseadmesse või millele seal juurde pääsetakse, on või ei ole tegemist isikuandmetega direktiivi 95/46 ja määruse 2016/679 tähenduses.
Teine küsimus
72 Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2002/58 artikli 5 lõiget 3 tuleb tõlgendada nii, et teabe hulka, mille teenuseosutaja peab veebisaidi kasutajale andma, kuuluvad ka küpsiste kasutamise kestus ja asjaolu, kas kolmandatele isikutele antakse neile küpsistele juurdepääs või mitte.
73 Nagu juba öeldud käesoleva kohtuotsuse punktis 46, nõuab direktiivi 2002/58 artikli 5 lõige 3, et kasutaja oleks andnud oma nõusoleku pärast seda, kui talle on esitatud „direktiivi [95/46] kohaselt“ selge ja igakülgne teave, muu hulgas andmete töötlemise eesmärgi kohta.
74 Nagu rõhutas kohtujurist oma ettepaneku punktis 115, peab selge ja igakülgne teave võimaldama kasutajal hõlpsasti kindlaks määrata tema nõusoleku tagajärjed ja tagama, et see nõusolek oleks antud kõiki asjaolusid teades. See peab olema selgelt arusaadav ja piisavalt üksikasjalik, et võimaldada kasutajal mõista kasutatavate küpsiste toimimist.
75 Kuid sellises olukorras, nagu on kõne all põhikohtuasjas, kus Euroopa Kohtule esitatud toimikus oleva teabe kohaselt on küpsiste eesmärk koguda teavet auhinnamängu korraldajate koostööpartnerite kaupade reklaamimise eesmärgil, kuuluvad nii küpsiste kasutamise kestus kui ka kolmandate isikute võimalus neile juurde pääseda selle selge ja igakülgse teabe hulka, mis tuleb direktiivi 2002/58 artikli 5 lõiget 3 alusel kasutajale esitada.
76 Sellega seoses tuleb märkida, et direktiivi 95/46 artikkel 10, millele viitab direktiivi 2002/58 artikli 5 lõige 3 ning määruse 2016/679 artikkel 13, määravad teabe, mille vastutav töötleja peab esitama andmesubjektile, kellelt tema enda kohta andmeid kogutakse.
77 Direktiivi 95/46 artikli 10 kohaselt hõlmab see teave lisaks vastutava töötleja andmetele ja andmete töötlemise eesmärgile muu hulgas sellist täiendavat teavet nagu andmete vastuvõtjad või vastuvõtjate kategooriad, juhul kui andmete kogumise konkreetseid asjaolusid arvesse võttes on selline täiendav teave vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine.
78 Kuigi selle teabe hulgas ei ole mainitud andmete töötlemise kestust, tuleneb direktiivi 95/46 artiklis 10 olevast sõnast „vähemalt“, et sealne loetelu ei ole ammendav. Teavet küpsiste kasutamise kestuse kohta tuleb aga lugeda selles artiklis ette nähtud õiglase andmetöötluse nõuet teenivaks, kuna sellises olukorras, nagu on kõne all põhikohtuasjas, tähendab pikk või piiramatu kestus ulatusliku teabe kogumist isiku veebikasutuse harjumuste kohta ning selle kohta, kui sageli ta külastab auhinnamängu korraldaja reklaamipartnerite veebisaite.
79 Seda tõlgendust toetab määruse 2016/679 artikli 13 lõike 2 punkt a, mis näeb ette, et vastutav töötleja esitab andmesubjektile õiglase ja läbipaistva töötlemise tagamiseks muu hulgas teabe isikuandmete säilitamise ajavahemiku või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumide kohta.
80 Mis puudutab kolmandate isikute võimalust küpsistele juurde pääseda või selle võimaluse puudumist, siis selle puhul on tegemist teabega, mis kuulub direktiivi 95/46 artikli 10 punktis c ja määruse 2016/679 artikli 13 lõike 1 punktis e mainitud teabe hulka, sest nendes sätetes on mainitud just nimelt isikuandmete vastuvõtjaid või vastuvõtjate kategooriaid.
81 Eeltoodud kaalutlusi arvestades tuleb teisele küsimusele vastata, et direktiivi 2002/58 artikli 5 lõiget 3 tuleb tõlgendada nii, et teabe hulka, mille teenuseosutaja peab veebisaidi kasutajale andma, kuuluvad ka küpsiste kasutamise kestus ja asjaolu, kas kolmandatel isikutel on võimalik neile küpsistele juurde pääseda või mitte.
Kohtukulud
82 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
1. Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ), artikli 2 punkti f ja artikli 5 lõiget 3 koostoimes Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 2 punktiga h ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punktiga 11 ja artikli 6 lõike 1 punktiga a tuleb tõlgendada nii, et nendes sätetes mainitud nõusolek ei ole antud kehtivalt, kui luba küpsiste abil teabe salvestamiseks veebisaidi kasutaja lõppseadmesse või juurdepääsuks sinna juba salvestatud teabele on antud eeltäidetud märkeruudu abil, millest kasutaja peab nõusoleku andmisest keeldumiseks märgistuse eemaldama.
2. Direktiivi 2002/58 (muudetud direktiiviga 2009/136) artikli 2 punkti f ja artikli 5 lõiget 3 koostoimes direktiivi 95/46 artikli 2 punktiga h ning määruse 2016/679 artikli 4 punktiga 11 ja artikli 6 lõike 1 punktiga a ei tule tõlgendada erinevalt sõltuvalt sellest, kas teabe puhul, mis on salvestatud veebisaidi kasutaja lõppseadmesse või millele seal juurde pääsetakse, on või ei ole tegemist isikuandmetega direktiivi 95/46 ja määruse 2016/679 tähenduses.
3. Direktiivi 2002/58 (muudetud direktiiviga 2009/136) artikli 5 lõiget 3 tuleb tõlgendada nii, et teabe hulka, mille teenuseosutaja peab veebisaidi kasutajale andma, kuuluvad ka küpsiste kasutamise kestus ja asjaolu, kas kolmandatele isikutele antakse neile küpsistele juurdepääs.
Allkirjad