EUROOPA KOHTU OTSUS (suurkoda)
5. juuni 2018(*)
Eelotsusetaotlus – Direktiiv 95/46/EÜ – Isikuandmed – Füüsiliste isikute kaitse isikuandmete töötlemisel – Korraldus inaktiveerida Facebooki lehekülg (fännileht), mis võimaldab koguda ja töödelda selle lehe külastajatega seotud teatavaid andmeid – Artikli 2 punkt d – Isikuandmete vastutav töötleja – Artikkel 4 – Kohaldatav liikmesriigi õigus – Artikkel 28 – Liikmesriikide järelevalveasutused – Järelevalveasutuste sekkumisvolitused
Kohtuasjas C‑210/16,
mille ese on ELTL artikli 267 alusel Bundesverwaltungsgericht’i (Saksamaa Liitvabariigi kõrgeim halduskohus) 25. veebruari 2016. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 14. aprillil 2016, menetluses
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
versus
Wirtschaftsakademie Schleswig-Holstein GmbH,
menetluses osalesid:
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident A. Tizzano (ettekandja), kodade presidendid M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský ja E. Levits, kohtunikud E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras ja E. Regan,
kohtujurist: Y. Bot,
kohtusekretär: ametnik C. Strömholm,
arvestades kirjalikku menetlust ja 27. juuni 2017. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, esindajad: Rechtsanwalt U. Karpenstein ja Rechtsanwalt M. Kottmann,
– Wirtschaftsakademie Schleswig-Holstein GmbH, esindaja: Rechtsanwalt C. Wolff,
– Facebook Ireland Ltd, esindajad: Rechtsanwalt C. Eggers, Rechtsanwalt H.‑G. Kamann, Rechtsanwalt M. Braun ja avvocato I. Perego,
– Saksamaa valitsus, esindaja: J. Möller,
– Belgia valitsus, esindajad: L. Van den Broeck, C. Pochet, P. Cottin ja J.‑C. Halleux,
– Tšehhi valitsus, esindajad: M. Smolek, J. Vláčil ja L. Březinová,
– Iirimaa, esindajad: M. Browne, L. Williams, E. Creedon, G. Gilmore ja A. Joyce,
– Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato P. Gentili,
– Madalmaade valitsus, esindajad: C. S. Schillemans ja M. K. Bulterman,
– Soome valitsus, esindaja: J. Heliskoski,
– Euroopa Komisjon, esindajad: H. Krämer ja D. Nardi,
olles 24. oktoobri 2017. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).
2 Taotlus on esitatud kohtuvaidluses, mille pooled on Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Schleswig-Holsteini liidumaa piirkondlik sõltumatu andmekaitseasutus, Saksamaa) (edaspidi „ULD“) ja haridusvaldkonnale spetsialiseerunud eraõiguslik äriühing Wirtschaftsakademie Schleswig-Holstein GmbH (edaspidi „Wirtschaftsakademie“) ning milles vaieldakse selle üle, kas ULD poolt Wirtschaftsakademiele tehtud korraldus inaktiveerida tema fännileht, mida majutatakse suhtlusvõrgustiku Facebook (edaspidi „Facebook“) veebisaidil, on õiguspärane.
Õiguslik raamistik
Liidu õigus
3 Direktiivi 95/46 põhjendustes 10, 18, 19 ja 26 on märgitud:
„(10) isikuandmete töötlemist käsitlevate õigusaktide eesmärk on kaitsta Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 ja [liidu] õiguse üldistes põhimõtetes tunnustatud põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele; nimetatud põhjusel ei tohi kõnealuste õigusaktide ühtlustamise tagajärjel nendega pakutav kaitse väheneda, vaid vastupidi – [liidus] tagatava kaitstuse tase peab olema kõrgem;
[…]
(18) tagamaks, et üksikisikud ei jää ilma kaitsest, millele neil on käesoleva direktiivi kohaselt õigus, peab igasugune isikuandmete töötlemine [liidus] toimuma ühe liikmesriigi õiguse kohaselt; seoses sellega peaks ühes liikmesriigis registreeritud vastutav töötleja andmeid töötlema vastavalt kõnealuse riigi õigusele;
(19) registreerimine liikmesriigi territooriumil eeldab tegelikku ja tulemuslikku tegutsemist ning stabiilset asukohta; selles suhtes ei ole määravaks asutatud üksuse õiguslik vorm, tegemist võib olla lihtsalt filiaali või juriidilisest isikust tütarettevõtjaga; kui üks vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, eelkõige tütarettevõtjate kaudu, peab ta tagama, et kõik ettevõtjad täidavad oma tegevuse suhtes kohaldatavast siseriiklikust õigusest tulenevaid kohustusi, et vältida võimalikku siseriiklikest eeskirjadest kõrvalehoidmist;
[…]
(26) kaitsmise põhimõtteid tuleb kohaldada igasuguse tuvastatud või tuvastatava isiku kohta käiva teabe suhtes; isiku tuvastatavuse kindlakstegemisel tuleb arvesse võtta kõiki vahendeid, mida volitatud töötleja või keegi muu võib andmesubjekti tuvastamiseks tõenäoliselt kasutada; kaitsmise põhimõtteid ei kohaldata teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada; […]“
4 Direktiivi 95/46 artiklis 1 „Direktiivi eesmärk“ on ette nähtud:
„1. Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.
2. Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega.“
5 Direktiivi artikkel 2 „Mõisted“ on sõnastatud järgmiselt:
„Käesolevas direktiivis kasutatakse järgmisi mõisteid:
[…]
b) isikuandmete töötlemine (edaspidi „töötlemine“) – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;
[…]
d) vastutav töötleja – füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja vahendid on kindlaks määratud siseriiklike või [liidu] õigusnormidega, võib vastutava töötleja või tema ametissemääramise sätestada siseriiklikus või [liidu] õiguses;
e) volitatud töötleja – füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;
f) kolmas isik – kõik füüsilised või juriidilised isikud, riigiasutused, esindused või muud organid, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;
[…]“
6 Direktiivi artikli 4 „Kohaldatav siseriiklik õigus“ lõikes 1 on sätestatud:
„Iga liikmesriik kohaldab isikuandmete töötlemise suhtes käesoleva direktiivi kohaselt vastuvõetud siseriiklikke õigusnorme, kui:
a) töötlemine toimub liikmesriigi territooriumil paikneva vastutava töötleja asutuse [mõiste „asutus“ asemel on edaspidi kasutatud täpsemat vastet „üksus“] tegevuse raames; kui sama vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, peab ta võtma vajalikke meetmeid tagamaks, et kõik kõnealused [üksused] järgivad kohaldatavates siseriiklikes õigusnormides sätestatud kohustusi;
b) vastutav töötleja ei ole registreeritud mitte liikmesriigi territooriumil, vaid kohas, kus asjaomase liikmesriigi õigusnorme kohaldatakse rahvusvahelise avaliku õiguse kohaselt;
c) vastutav töötleja ei ole registreeritud [liidu] territooriumil, kuid kasutab isikuandmete automatiseeritud või automatiseerimata töötlemiseks vahendeid, mis paiknevad kõnealuse liikmesriigi territooriumil, välja arvatud juhul, kui selliseid vahendeid kasutatakse ainult andmete edastamiseks [liidu] territooriumi kaudu.“
7 Direktiivi 95/46 artikli 17 „Töötlemise turvalisus“ lõigetes 1 ja 2 on ette nähtud:
„1. Liikmesriigid näevad ette, et vastutav töötleja peab rakendama vajalikke tehnilisi ja organisatsioonilisi meetmeid kaitsmaks isikuandmeid juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, ebaseadusliku avalikustamise või juurdepääsu eest, eelkõige juhul, kui töötlemine hõlmab andmete edastamist võrgu kaudu, ning igasuguse muu võimaliku ebaseadusliku töötlemise eest.
Võttes arvesse tehnika taset ja selliste meetmete elluviimise kulusid, peavad kõnealused meetmed tagama töötlemise ja kaitstavate andmete laadiga kaasnevale ohule vastava turvalisuse taseme.
2. Liikmesriigid sätestavad, et kui töötlemine toimub vastutava töötleja nimel, peab vastutav töötleja valima volitatud töötleja, kes esitab piisavad tagatised tehniliste turvameetmete ja töötlemist reguleerivate korralduslike meetmete kohta, ning kindlustama nimetatud meetmete järgimise.“
8 Direktiivi artiklis 24 „Sanktsioonid“ on ette nähtud:
„Liikmesriigid võtavad sobivaid meetmeid, et tagada käesoleva direktiivi sätete täielik rakendamine, ja sätestavad eelkõige sanktsioonid, mida kohaldatakse käesoleva direktiivi kohaselt vastuvõetud sätete rikkumise puhul.“
9 Direktiivi artikkel 28 „Järelevalveasutus” on sõnastatud järgmiselt:
„1. Iga liikmesriik näeb ette ühe või mitu riigiasutust, et teostada järelevalvet tema territooriumil käesoleva direktiivi kohaselt vastuvõetud sätete kohaldamise üle.
Kõnealused asutused tegutsevad neile usaldatud ülesannete täitmisel täiesti sõltumatult.
2. Iga liikmesriik näeb ette, et selliste haldusmeetmete võtmisel või õigusaktide koostamise käigus, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset isikuandmete töötlemisel, konsulteeritakse järelevalveasutustega.
3. Igal sellisel ametiasutusel on eelkõige:
– uurimisvolitused, näiteks volitused tutvuda töödeldavate andmetega ja koguda oma järelevalvekohustuse täitmiseks vajalikku teavet;
– tõhusad sekkumisvolitused, näiteks avaldada artikli 20 kohaselt arvamust enne töötlemise alustamist ja tagada sellise arvamuse asjakohane avalikustamine, anda korraldus andmete sulgemiseks, kustutamiseks või hävitamiseks, keelata töötlemine ajutiselt või alaliselt, hoiatada vastutavat töötlejat või teha talle märkus või suunata küsimus liikmesriigi parlamenti või teistesse poliitilisse institutsioonidesse,
– volitused osaleda kohtumenetlustes, kui käesoleva direktiivi kohaselt vastuvõetud siseriiklikke sätteid on rikutud, või juhtida kõnealustele rikkumistele õigusasutuste tähelepanu.
Kui järelevalveasutuse otsustega ei olda rahul, võib need edasi kaevata kohtusse.
[…]
6. Olenemata sellest, milliseid siseriiklikke õigusi kõnealuse töötlemise suhtes kohaldatakse, on iga järelevalveasutus pädev kasutama oma liikmesriigi territooriumil talle lõikega 3 antud volitusi. Teise liikmesriigi asutused võivad igalt järelevalveasutuselt taotleda, et see kasutaks oma volitusi.
Järelevalveasutused teevad üksteisega koostööd, kuivõrd see on vajalik nende ülesannete täitmiseks, eelkõige vahetades kasulikku teavet.
[…]“
Saksa õigus
10 Saksamaa föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz) põhikohtuasjadele kohaldatava redaktsiooni (edaspidi „BDSG“) § 3 lõige 7 on sõnastatud järgmiselt:
„Vastutav töötleja on isik või üksus, kes ise kogub, töötleb või kasutab isikuandmeid või on teise isiku volitanud seda tegema“.
11 BDSG § 11 „Isikuandmete kogumine, töötlemine või kasutamine volituse alusel“ on sõnastatud järgmiselt:
„(1) Kui isikuandmeid kogutakse, töödeldakse või kasutatakse teise isiku vahendusel, kes on selleks volitatud, vastutab volituse andnud töötleja käesoleva seaduse sätete ja muude andmekaitse alaste sätete järgimise eest. […]
(2) Volitatud töötleja tuleb valida hoolikalt, pöörates erilist tähelepanu tehnilistele ja korralduslikele meetmetele, mida ta on võtnud. Leping, millega antakse volitus töötlemiseks, peab olema kirjalik ja selles tuleb kindlaks määrata järgmised üksikasjad: […]
Volituse andnud vastutav töötleja peab enne andmete töötlemise algust veenduma ja hiljem regulaarselt kontrollima, et volitatud töötleja järgib enda võetud tehnilisi ja korralduslikke meetmeid. Kontrollimise tulemus tuleb dokumentaalselt talletada.
[…]“
12 BDSG § 38 lõikes 5 on sätestatud:
„Järelevalveasutus võib käesoleva seaduse ja muude andmekaitse õigusnormide järgimise tagamiseks anda korralduse isikuandmete kogumisel, töötlemisel või kasutamisel tuvastatud rikkumiste heastamiseks või tehniliste või korralduslike puuduste kõrvaldamiseks. Raske rikkumise või oluliste puuduste korral, eelkõige kui need kujutavad endast konkreetset ohtu rikkuda õigust eraelu puutumatusele, võib ta keelata andmete kogumise, töötlemise või kasutamise või teatavate menetluste kasutamise, kui rikkumisi või puudusi esimeses lauses osutatud korraldust eirates ja trahvi kohaldamisele vaatamata õigeaegselt ei kõrvaldata. Järelevalveasutus võib nõuda andmekaitsetöötaja töölepingu ülesütlemist, kui ta ei ole oma ülesannete täitmiseks vajalikul määral asjatundlik ja usaldusväärne.“
13 26. veebruari 2007. aasta elektroonilise side seaduse (Telemediengesetz; BGBl. 2007 I, lk 179, edaspidi „TMG“) § 12 on sõnastatud järgmiselt:
„(1) Teenuseosutaja võib elektrooniliste teabe- ja sideteenuste kättesaadavaks tegemisel koguda ja kasutada isikuandmeid üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul.
[…]
(3) Kui ei ole sätestatud teisiti, kohaldatakse isikuandmete kaitse kohta kehtivaid sätteid ka juhul, kui andmeid ei töödelda automaatselt.“
Põhikohtuasi ja eelotsuse küsimused
14 Wirtschaftsakademie pakub Facebookis majutatava fännilehe kaudu koolitusteenuseid.
15 Fännilehed on kasutajakontod, mida üksikisikud või ettevõtjad saavad Facebookis konfigureerida. Selleks peab fännilehe haldaja Facebookis kasutajaks registreeruma ja saab nii kasutada selle pakutavat platvormi enda tutvustamiseks selle suhtlusvõrgustiku kasutajatele ja teistele fännilehe külastajatele ning avaldada meedia- ja arvamusturul mis tahes liiki teateid. Fännilehtede haldajad võivad saada nende lehtede kasutajate kohta anonüümseid statistilisi andmeid töövahendi „Facebook Insights“ abil, mille Facebook annab muutmatute kasutustingimuste alusel tasuta nende käsutusse. Neid andmeid kogutakse tekstikujuliste failide abil (edaspidi „küpsis“), millest igaüks sisaldab kordumatut identifikaatorit, mis on aktiivne kaks aastat ja mille Facebook salvestab fännilehte külastanud isiku arvuti kõvakettale või muule andmekandjale. Identifikaatorit, mida saab seostada Facebookis registreeritud kasutajate ühendusandmetega, loetakse ja töödeldakse fännilehtede avamise ajal. Eelotsusetaotlusest selgub selle kohta, et ei Wirtschaftsakademie ega Facebook Ireland Ltd ei teavitanud kasutajat küpsise salvestamisest ja toimimisest ega sellele järgnenud andmetöötlusest, vähemalt mitte põhikohtuasjas asjasse puutuval ajavahemikul.
16 ULD kui järelevalveasutus direktiivi 95/46 artikli 28 tähenduses, kelle ülesanne on teostada Land Schleswig-Holsteini (Saksamaa) territooriumil järelevalvet selle direktiivi kohaldamiseks Saksamaa Liitvabariigi poolt vastu võetud sätete kohaldamise üle, andis 3. novembri 2011. aasta otsusega (edaspidi „vaidlustatud otsus“) BDSG § 38 lõike 5 esimese lause alusel Wirtschaftsakademie’le korralduse inaktiveerida fännileht, mille viimane oli Facebookis loonud aadressil https://www.facebook.com/wirtschaftsakademie, hoiatades korralduse määratud tähtajaks täitmata jätmise korral trahvi määramisega põhjusel, et Wirtschaftsakademie ega Facebook ei teavitanud fännilehe külastajaid, et viimane kogub küpsiste abil nende isikuandmeid ja seejärel nad töötlevad neid andmeid. Wirtschaftsakademie esitas selle otsuse peale vaide, milles ta väitis sisuliselt, et tema ei ole andmekaitseõiguse seisukohast vastutav ei Facebooki poolt andmete töötlemise ega viimase paigaldatud küpsiste eest.
17 ULD jättis 16. detsembri 2011. aasta otsusega vaide rahuldamata, leides, et Wirtschaftsakademie kui teenuseosutaja vastutus on tõendatud TMG § 3 lõike 3 punkti 4 ja § 12 lõike 1 kohaselt nende sätete koostoimes BDSG § 3 lõikega 7. ULD hinnangul aitas Wirtschaftsakademie fännilehe loomisega aktiivselt ja vabatahtlikult kaasa Facebooki poolt selle fännilehe külastajate isikuandmete kogumisele, millest ta sai väidetavalt kasu kasutajastatistika kaudu, mille see suhtlusvõrgustik talle kättesaadavaks tegi.
18 Wirtschaftsakademie esitas selle otsuse peale kaebuse Verwaltungsgerichtile (halduskohus, Saksamaa), väites, et teda ei saa Facebooki andmetöötlusoperatsioonide eest vastutavaks pidada ja et ta ei ole ka Facebookile BDSG § 11 tähenduses ülesandeks teinud andmetöötlust, mis toimuks tema kontrolli all või mida ta saaks mõjutada. Wirtschaftsakademie järeldas sellest, et ULD ei oleks pidanud tegema vaidlustatud otsust tema suhtes, vaid oleks pidanud pöörduma otse Facebooki vastu.
19 Verwaltungsgericht (halduskohus) tühistas vaidlustatud otsuse 9. oktoobri 2013. aasta kohtuotsusega sisuliselt põhjendusega, et Facebooki fännilehe haldaja ei ole „vastutav töötleja“ BDSG § 3 lõike 7 tähenduses ja et seega ei saa BDSG § 38 lõikes 5 ette nähtud meedet võtta Wirtschaftsakademie suhtes.
20 Oberverwaltungsgericht (liidumaa kõrgem halduskohus, Saksamaa) jättis ULD apellatsioonkaebuse selle kohtuotsuse peale põhjendamatuse tõttu rahuldamata. Nimetatud kohus leidis sisuliselt, et vaidlustatud otsuses kehtestatud andmetöötluskeeld on ebaseaduslik, kuna BDSG § 38 lõike 5 teises lauses on ette nähtud progressiivne menetlus, mille esimeses etapis on lubatud võtta ainult meetmeid andmetöötluses tuvastatud õigusrikkumiste kõrvaldamiseks. Andmetöötluse kohene keelamine on tema hinnangul mõeldav üksnes juhul, kui andmetöötlusprotsess on tervikuna õigusvastane ja rikkumise saab kõrvaldada üksnes selle protsessi peatamisega. Oberverwaltungsgerichti (liidumaa kõrgem halduskohus) hinnangul aga ei olnud see käesoleval juhul nii, sest Facebookil oli igati võimalik peatada õigusrikkumised, mida ULD väidab olevat aset leidnud.
21 Oberverwaltungsgericht (liidumaa kõrgem halduskohus) lisas, et vaidlustatud otsus on ebaseaduslik ka põhjusel, et BDSG § 38 lõikes 5 ette nähtud korraldust saab anda ainult BDSG § 3 lõike 7 tähenduses vastutava töötleja suhtes, kes Facebooki kogutavate andmete puhul ei ole Wirtschaftsakademie. Töövahendi „Facebook Insights“ jaoks kasutatavate isikuandmete kogumise ja töötlemise eesmärgi ja vahendite üle otsustab nimelt ainult Facebook, Wirtschaftsakademie aga saab üksnes statistilist teavet, mis on muudetud anonüümseks.
22 ULD esitas Bundesverwaltungsgerichtile (Saksamaa Liitvabariigi kõrgeim halduskohus) kassatsioonkaebuse, milles ta muude argumentide hulgas väidab, et apellatsiooniastme kohus on oma otsuses rikkunud BDSG § 38 lõiget 5 ja mitut menetlusnormi. Ta on seisukohal, et Wirtschaftsakademie õigusrikkumine seisneb selles, et ta tellis veebisaidi loomise, majutamise ja hoolduse teenust teenusepakkujalt, kes on ebasobiv – käesoleval juhul Facebook Ireland –, kuna see pakkuja ei järgi kohaldatavat andmekaitseõigust. Vaidlustatud otsusega Wirtschaftsakademiele tehtud korraldus inaktiveerida oma fännileht on antud selle rikkumise kõrvaldamiseks, kuna sellega keelatakse tal jätkata Facebooki keskkonna kasutamist oma veebisaidi tehnilise baasina.
23 Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus) on samal seisukohal nagu Oberverwaltungsgericht (liidumaa kõrgeim halduskohus), et Wirtschaftsakademied ennast ei saa pidada vastutavaks andmetöötlejaks BDSG § 3 lõike 7 või direktiivi 95/46 artikli 2 punkti d tähenduses. Samas leiab esimesena nimetatud kohus, et põhimõtteliselt tuleb seda mõistet õiguse eraelu puutumatusele tõhusa kaitse huvides tõlgendada laialt, nagu Euroopa Kohus on selgitanud oma viimase aja kohtupraktikas selles valdkonnas. Teisalt kahtleb ta, kas ULD‑l on käesoleval juhul pädevus Facebook Germany suhtes, võttes arvesse asjaolu, et isikuandmete kogumise ja töötlemise eest on Facebooki kontsernis liidu tasandil vastutav Facebook Ireland. Viimaseks on tal ULD sekkumisvolituste teostamise seiskohalt küsimus, milline tähtsus on selle järelevalveasutuse hinnangutel, kellel on volitused Facebook Irelandi suhtes, kõnealuste isikuandmete töötlemise seaduslikkuse seisukohalt.
24 Neil asjaoludel otsustas Bundesverwaltungsgericht (Saksamaa Liitvabariigi kõrgeim halduskohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas direktiivi [95/46] artikli 2 punkti d tuleb tõlgendada nii, et see reguleerib vastutust andmekaitsealaste õigusnormide rikkumise eest täielikult ja ammendavalt, või vastutab [selle direktiivi] artikli 24 kohaste „sobivate meetmete“ ja [direktiivi] artikli 28 lõike 3 teise taande kohaste „tõhusate sekkumisvolituste“ raames oma teabe haldaja valimise eest teabe andjate mitmeastmeliste suhete puhul üksus, kes ei ole [nimetatud direktiivi] artikli 2 punkti d tähenduses vastutav andmetöötleja?
2. Kas liikmesriikidele direktiivi [95/46] artikli 17 lõikega 2 pandud kohustusest nõuda juhul, kui töötlemine toimub volitatud töötleja kaudu, et vastutav töötleja „peab valima volitatud töötleja, kes esitab piisavad tagatised tehniliste turvameetmete ja töötlemist reguleerivate korralduslike meetmete kohta“, tuleneb ümberpöördult, et teistsuguste kasutussuhete puhul, mis ei ole seotud andmete töötlemisega volitatud töötleja poolt [selle direktiivi] artikli 2 punkti e tähenduses, ei kehti valimisel hoolsuskohustus ja seda ei saa ka siseriikliku õiguse alusel kehtestada?
3. Kas juhtudel, kus väljaspool Euroopa Liitu asuval emaettevõtjal on eri liikmesriikides õiguslikult iseseisvad üksused (tütarettevõtjad), on ühe liikmesriigi (käesoleval juhul Saksamaa) järelevalveasutusel direktiivi [95/46] artikli 4 ja artikli 28 lõike 6 alusel õigus kasutada talle vastavalt [selle direktiivi] artikli 28 lõikele 3 antud volitusi ka tema territooriumil registreeritud üksuse suhtes, kui see üksus vastutab üksnes reklaamipinna edendamise ja müügi ning selle riigi elanikele suunatud muu turundustegevuse eest, samal ajal kui teises liikmesriigis (käesoleval juhul Iirimaa) registreeritud iseseisev üksus (tütarettevõtja) on vastavalt kontsernisisesele ülesannete jaotusele ainuvastutav isikuandmete kogumise ja töötlemise eest kogu Euroopa Liidu territooriumil ja seega ka selles teises liikmesriigis (käesoleval juhul Saksamaa), kui tegelikult otsustab andmete töötlemise üle emaettevõtja?
4. Kas direktiivi [95/46] artikli 4 lõiget 1 ja artikli 28 lõiget 3 tuleb tõlgendada nii, et kui vastutaval töötlejal on ühe liikmesriigi (käesoleval juhul Iirimaa) territooriumil üks üksus ja teise liikmesriigi (käesoleval juhul Saksamaa) territooriumil teine õiguslikult iseseisev üksus, kes vastutab muu hulgas ka reklaamimüügi eest ja kelle tegevus on suunatud selle riigi elanikele, võib selle teise liikmesriigi (käesoleval juhul Saksamaa) pädev järelevalveasutus võtta meetmeid ja anda korraldusi kohaldatava andmekaitse õiguse rakendamiseks ka teise (käesoleval juhul Saksamaa) üksuse vastu, kes ei ole kontsernisisese ülesannete ja vastutuse jagunemise kohaselt vastutav andmete töötleja, või peab sel juhul meetmeid võtma ja korraldusi andma ainult selle liikmesriigi (käesoleval juhul Iirimaa) järelevalveasutus, kelle territooriumil on kontsernisisese vastutava töötleja registrijärgne asukoht?
5. Kas direktiivi [95/46] artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi (käesoleval juhul Saksamaa) järelevalveasutus annab tema territooriumil tegutsevale isikule või üksusele [selle direktiivi] artikli 28 lõike 3 kohaselt korralduse seetõttu, et viimane on andmetöötlusesse kaasatud kolmanda isiku (käesoleval juhul Facebooki) valimisel rikkunud hoolsuskohustust, põhjendusel et see kolmas isik rikub andmekaitsealaseid õigusnorme, on meetmeid rakendavale järelevalveasutusele (käesoleval juhul Saksamaa järelevalveasutus) siduv niisuguse teise liikmesriigi järelevalveasutuse hinnang kohaldatavale andmekaitseõigusele, kus andmete töötlemise eest vastutav kolmas isik on registreeritud (käesoleval juhul Iirimaa), selles mõttes, et ta ei või anda sellest lahknevat õiguslikku hinnangut, või kas meetmeid rakendav järelevalveasutus (käesoleval juhul Saksamaa järelevalveasutus) võib teises liikmesriigis (käesoleval juhul Iirimaa) registreeritud kolmanda isiku teostatava andmetöötluse õiguspärasust täiendavalt iseseisvalt kontrollida?
6. Kas juhul, kui meetmeid rakendav järelevalveasutus (käesoleval juhul Saksamaa järelevalveasutus) võib teostada iseseisvat kontrolli, tuleb direktiivi [95/46] artikli 28 lõike 6 teist lauset tõlgendada nii, et see järelevalveasutus võib talle [selle] direktiivi artikli 28 lõike 3 alusel antud tõhusaid sekkumisvolitusi tema territooriumil registreeritud isiku või üksuse suhtes kaasvastutuse tõttu andmekaitsealaste õigusnormide rikkumise eest, mille on toime pannud teises liikmesriigis registreeritud kolmas isik, kasutada ainult ja alles siis, kui ta on eelnevalt kutsunud nimetatud teise liikmesriigi (käesoleval juhul Iirimaa) järelevalveasutust üles oma volitusi kasutama?“
Eelotsuse küsimuste analüüs
Esimene ja teine küsimus
25 Esimese ja teise küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikli 2 punkti d, artikli 17 lõiget 2, artiklit 24 ja artikli 28 lõike 3 teist taanet tuleb tõlgendada nii, et nende alusel võib isikuandmete kaitse eeskirjade rikkumise eest vastutavaks lugeda suhtlusvõrgustikus majutatavat fännilehte haldava üksuse, põhjusel et ta on valinud oma teabe pakkumiseks selle suhtlusvõrgustiku.
26 Neile küsimustele vastamiseks olgu meenutatud, et nähtuvalt direktiivi 95/46 artikli 1 lõikest 1 ja põhjendusest 10 on selle direktiivi eesmärk tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse kõrgetasemeline kaitse (11. detsembri 2014. aasta kohtuotsus Ryneš, C‑212/13, EU:C:2014:2428, punkt 27 ja seal viidatud kohtupraktika).
27 Sellest eesmärgist lähtuvalt on direktiivi artikli 2 alapunktis d mõiste „vastutav töötleja“ määratletud laialt kui füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid.
28 Nagu Euroopa Kohus on juba selgitanud, on selle sätte eesmärk tagada mõiste „vastutav töötleja“ laia määratluse kaudu andmesubjektide tõhus ja täielik kaitse (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 34).
29 Lisaks, kuna direktiivi 95/46 artikli 2 punktis d sõnaselgelt ettenähtu kohaselt on „vastutava töötleja“ all silmas peetud üksust, kes määrab „üksi või koos teistega“ kindlaks isikuandmete töötlemise eesmärgid ja vahendid, ei viita see mõiste tingimata ühele ainsale üksusele ja võib hõlmata mitut töötlemises osalejat, kellest igaühe suhtes on seega kohaldatavad andmekaitse valdkonna õigusnormid.
30 Käesoleval juhul tuleb üksusteks, kes määravad põhiosas kindlaks Facebooki kasutajate ja Facebooki saidil majutatavaid fännilehti külastanute isikuandmete töötlemise eesmärgid ja vahendid, lugeda Facebook Inc. ja liidu puhul Facebook Ireland, ja seega kuuluvad nemad mõiste „vastutav töötleja“ alla direktiivi 95/46 artikli 2 punkti d tähenduses, ning selle üle ei ole käesolevas asjas vaidlust.
31 Samas tuleb esitatud küsimustele vastamiseks analüüsida, kas ja mil määral osaleb Facebooki saidil majutatava fännilehe haldaja, nagu Wirtschaftsakademie, selle fännilehe puhul koos Facebook Irelandi ja Facebook Inc‑iga selle fännilehe külastajate isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises, nii et ka teda saab lugeda „vastutavaks töötlejaks“ direktiivi 95/46 artikli 2 punkti d tähenduses.
32 Selle kohta ilmneb, et igaüks, kes soovib luua Facebookis fännilehe, sõlmib Facebook Irelandiga sellise lehe avamiseks vastava lepingu ja nõustub seejuures selle lehe kasutamise tingimustega, sealhulgas lehega seotud küpsiste poliitikaga – eelotsusetaotluse esitanud kohtul tuleb neid asjaolusid kontrollida.
33 Nagu selgub Euroopa Kohtule esitatud toimikust, seisneb põhikohtuasjas kõne all olev töötlemine põhiosas selles, et Facebook paigutab fännilehte külastanud isikute arvutisse või muusse seadmesse küpsised, mille eesmärk on salvestada veebilehitsejates andmeid ja mis jäävad aktiivseks kaheks aastaks, juhul kui neid ei kustutata. Toimikust ilmneb ka, et praktikas saab, salvestab ja töötleb Facebook küpsistes talletatud teavet eelkõige siis, kui isik kasutab „Facebooki teenuseid, teiste Facebooki kontserni kuuluvate äriühingute pakutavaid teenuseid ja Facebooki teenuseid kasutavate muude ettevõtjate poolt pakutavaid teenuseid“. Lisaks võivad ka muud üksused, näiteks Facebooki koostööpartnerid või isegi kolmandad isikud „kasutada Facebooki teenuste puhul küpsiseid, et [pakkuda teenuseid otse sellele suhtlusvõrgustikule] või Facebookis reklaami avaldavatele ettevõtjatele“.
34 Sellise isikuandmete töötlemise eesmärk on eelkõige võimaldada ühest küljest Facebookil parandada tema poolt oma võrgustikus levitatava reklaami süsteemi ja teisest küljest fännilehe haldajal saada Facebooki poolt selle lehe külastuste põhjal koostatud statistikat, et juhtida selle abil oma tegevuse müügiedendust, sest see statistika võimaldab tal näiteks teada saada, milline on nende külastajate profiil, kellele tema fännileht meeldib või kes kasutavad tema rakendusi, et ta saaks neile asjakohasemat sisu pakkuda ja arendada funktsioone, mis võivad külastajatele veelgi enam huvi pakkuda.
35 Samas, kuigi ainuüksi sellise suhtlusvõrgustiku nagu Facebook kasutamine ei muuda Facebooki kasutajat kaasvastutavaks isikuandmete töötlemise eest selle võrgustiku poolt, tuleb teisalt märkida, et Facebookis majutatava fännilehe haldaja annab sellise lehe loomisega Facebookile võimaluse paigutada küpsiseid tema fännilehte külastanud isiku arvutisse või muusse seadmesse, olenemata sellest, kas sellel isikul on või ei ole Facebooki kontot.
36 Selles raamistikus ilmneb Euroopa Kohtule esitatud teabest, et Facebookis majutatava fännilehe loomisel peab fännilehe haldaja määrama lähtuvalt oma sihtgrupist ja oma tegevuse juhtimise või müügiedenduse eesmärkidest fännilehe seaded, mis mõjutavad isikuandmete töötlemist fännilehe külastuste põhjal koostatava statistika tarbeks. Fännilehe haldaja võib Facebooki poolt tema kasutusse antud filtrite abil määrata kindlaks selle statistika koostamise aluseks olevad kriteeriumid ja isegi piiritleda isikute kategooriad, kelle isikuandmeid Facebook töötlema hakkab. Järelikult aitab Facebookis majutatava fännilehe haldaja kaasa oma lehe külastajate isikuandmete töötlemisele.
37 Täpsemalt võib fännilehe haldaja nõuda, et talle antaks – ja seega töödeldaks – demograafilisi andmeid tema sihtrühma kohta, eelkõige vanuse, soo, suhtestaatuse ja töö tendentside, sihtrühma elustiili ja huvide kohta ning teavet fännilehe külastajate ostude ja ostukäitumise kohta veebis, neile kõige enam huvi pakkuvate toote- või teenusekategooriate kohta ning geograafilisi andmeid, mille järgi saab fännilehe haldaja teada, kus teha erikampaaniaid või korraldada üritusi, ja üldisemalt, kuidas oma teabepakkumist paremini suunata.
38 Kuigi Facebooki koostatud kasutajastatistikat edastatakse fännilehe haldajale ainult anonüümseks muudetud kujul, ei muuda see tõsiasja, et selle statistika koostamine põhineb fännilehe külastajate isikuandmete eelneval kogumisel Facebooki poolt nende külastajate arvutisse või muusse seadmesse paigutatud küpsiste abil ja nende andmete töötlemisel statistika koostamiseks. Igal juhul ei nõua direktiiv 95/46 juhul, kui sama töötlemise eest kaasvastutab mitu töötlejat, et igaühel neist oleks juurdepääs asjasse puutuvatele isikuandmetele.
39 Neil asjaoludel tuleb asuda seisukohale, et selline Facebookis majutatava fännilehe haldaja nagu Wirtschaftsakademie osaleb seeläbi, et ta seadistab fännilehe lähtuvalt oma sihtrühmast ja oma tegevuse juhtimise või müügiedenduse eesmärkidest, oma fännilehe külastajate isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises. Seetõttu tuleb see haldaja käesoleval juhul lugeda koos Facebook Irelandiga selle töötlemise eest liidus vastutavaks direktiivi 95/46 artikli 2 punkti d tähenduses.
40 Asjaolu, et fännilehe haldaja kasutab Facebooki pakutavat platvormi, et saada kasu selle juurde kuuluvatest teenustest, ei vabasta teda nimelt isikuandmete kaitse kohustustest.
41 Siinkohal tuleb rõhutada, et Facebookis majutatavaid fännilehti võivad külastada ka isikud, kes ei ole Facebooki kasutajad ja kellel seega ei ole selles suhtlusvõrgustikus kontot. Sellisel juhul on fännilehe haldaja vastutus seoses nende isikute isikuandmete töötlemisega veelgi olulisem, kuna ainuüksi fännilehega tutvumine külastajate poolt toob automaatselt kaasa nende isikuandmete töötlemise.
42 Neil asjaoludel aitab see, kui tunnistada suhtlusvõrgustiku haldaja ja selles võrgustikus majutatava fännilehe haldaja kaasvastutavaks selle fännilehe külastajate isikuandmete töötlemise eest, tagada fännilehte külastavate isikute õiguste täielikuma kaitse vastavalt direktiivi 95/46 nõuetele.
43 Samas tuleb täpsustada, et nagu märkis kohtujurist oma ettepaneku punktides 75 ja 76, ei tähenda kaasvastutuse olemasolu tingimata, et isikuandmete töötlemisse kaasatud erinevad ettevõtjad vastutavad võrdselt. Vastupidi, need ettevõtjad võivad olla isikuandmete töötlemisse kaasatud eri etappides ja erineval määral, mistõttu tuleb neist igaühe vastutust hinnata juhtumi kõiki tähtsust omavaid asjaolusid arvesse võttes.
44 Eeltoodud kaalutlusi arvestades tuleb esimesele ja teisele küsimusele vastata, et direktiivi 95/46 artikli 2 punkti d tuleb tõlgendada nii, et suhtlusvõrgustikus majutatava fännilehe haldaja kuulub mõiste „vastutav töötleja“ alla selle sätte tähenduses.
Kolmas ja neljas küsimus
45 Kolmanda ja neljanda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikleid 4 ja 28 tuleb tõlgendada nii, et kui väljaspool liitu asutatud ettevõtjal on erinevates liikmesriikides mitu üksust, on ühe liikmesriigi järelevalveasutusel õigus kasutada talle selle direktiivi artikli 28 lõikega 3 antud volitusi ka selle liikmesriigi territooriumil asuva üksuse suhtes, olgugi et ühest küljest vastavalt kontsernisisesele ülesannete jaotusele on see üksus vastutav üksnes reklaamipinna müügi ja muu turundustegevuse eest selle liikmesriigi territooriumil, ning teisest küljest on isikuandmete kogumise ja töötlemise eest kogu liidu territooriumil ainuvastutav teises liikmesriigis asuv üksus, või peab viimati nimetatud üksuse üle järelevalvet teostama viimati nimetatud liikmesriigi järelevalveasutus.
46 ULD ja Itaalia valitsus kahtlevad nende küsimuste vastuvõetavuses, leides et need ei ole põhikohtuasja lahenduse seisukohalt asjakohased. Nad märgivad, et vaidlustatud otsuse adressaat on Wirtschaftsakademie ja see ei ole seega suunatud Facebook Inc‑ile ega tema ühelegi liidu territooriumil asuvale tütarettevõtjale.
47 Selle kohta tuleb meelde tuletada, et ELTL artiklis 267 sätestatud Euroopa Kohtu ja liikmesriikide kohtute koostöö raames on üksnes asja menetleval ja selle lahendamise eest vastutaval liikmesriigi kohtul õigus kohtuasja eripära arvesse võttes hinnata nii eelotsusetaotluse vajalikkust asjas otsuse langetamiseks kui ka Euroopa Kohtule esitatavate küsimuste asjakohasust. Seega, kui küsimused on esitatud liidu õiguse tõlgendamise kohta, on Euroopa Kohus üldjuhul kohustatud otsuse tegema (6. septembri 2016. aasta kohtuotsus Petruhhin, C‑182/15, EU:C:2016:630, punkt 19 ja seal viidatud kohtupraktika).
48 Käesoleval juhul tuleb märkida, et eelotsusetaotluse esitanud kohtu sõnul on tal Euroopa Kohtu vastust kolmandale ja neljandale eelotsuse küsimusele vaja põhikohtuasja vaidluse lahendamiseks. Ta selgitab nimelt, et kui seda vastust arvestades tuvastatakse, et ULD saab kõrvaldada õiguse isikuandmete kaitsele väidetava rikkumise, võttes meetme Facebook Germany vastu, siis võib selline asjaolu tähendada, et vaidlustatud otsuses on tehtud hindamisviga, kuna see on tehtud ebaõigesti Wirtschaftsakademie suhtes.
49 Neil asjaoludel on kolmas ja neljas küsimus vastuvõetavad.
50 Nendele küsimustele vastamiseks tuleb sissejuhatuseks meelde tuletada, et direktiivi 95/46 artikli 28 lõigete 1 ja 3 kohaselt kasutab iga järelevalveasutus oma liikmesriigi territooriumil kõiki talle selle liikmesriigi õigusega antud volitusi, et tagada sellel territooriumil andmekaitsealaste eeskirjade järgimine (vt selle kohta 1. oktoobri 2015. aasta kohtuotsus Weltimmo, C‑230/14, EU:C:2015:639, punkt 51).
51 Küsimust, millise liikmesriigi õigus on isikuandmete töötlemisele kohaldatav, reguleerib direktiivi 95/46 artikkel 4. Vastavalt selle artikli lõike 1 punktile a kohaldab iga liikmesriik isikuandmete töötlemise suhtes selle direktiivi kohaselt vastuvõetud riigisiseseid õigusnorme, kui töötlemine toimub selle liikmesriigi territooriumil paikneva vastutava töötleja üksuse tegevuse raames. Selles sättes on täpsustatud, et kui sama vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, peab ta võtma vajalikke meetmeid tagamaks, et kõik kõnealused üksused järgivad kohaldatavates riigisisestes õigusnormides sätestatud kohustusi.
52 Sellest sättest koostoimes direktiivi 95/46 artikli 28 lõigetega 1 ja 3 tuleneb seega, et kui järelevalveasutuse liikmesriigi sisene õigus on kohaldatav direktiivi artikli 4 lõike 1 punkti a alusel, sest kõnealune töötlemine toimub liikmesriigi territooriumil paikneva vastutava töötleja üksuse tegevuse raames, siis võib see järelevalveasutus kasutada kõiki volitusi, mis talle on selle üksuse suhtes antud, ja seda olenemata küsimusest, kas vastutaval töötlejal on üksusi ka teistes liikmesriikides.
53 Seega tuleb selleks, et kindlaks teha, kas järelevalveasutusel on sellistel asjaoludel nagu põhikohtuasjas õigus kasutada tema asukohajärgses liikmesriigis asuva üksuse suhtes talle liikmesriigi õigusega antud volitusi, kontrollida, kas täidetud on kaks direktiivi 96/46 artikli 4 lõike 1 punktis a ette nähtud tingimust ehk esiteks tingimus, et tegemist on „vastutava töötleja üksusega“ selle sätte tähenduses, ja teiseks, et see töötlemine toimub selle üksuse „tegevuse raames“ sama sätte tähenduses.
54 Mis esiteks puudutab tingimust, et isikuandmete vastutaval töötlejal peab järelevalveasutuse asukoha liikmesriigi territooriumil olema üksus, siis tuleb meelde tuletada, et direktiivi 95/46 põhjenduse 19 kohaselt eeldab üksuse registreerimine liikmesriigi territooriumil tõelist ja tegelikku tegutsemist ning stabiilset asukohta, ning et selles suhtes ei ole määrav asutatud üksuse õiguslik vorm ehk kas tegemist on filiaali või õigusvõimelise tütarettevõtjaga (1. oktoobri 2015. aasta kohtuotsus Weltimmo, C‑230/14, EU:C:2015:639, punkt 28 ja seal viidatud kohtupraktika).
55 Käesoleval juhul ei ole vaidlust selles, et Facebook Inc‑il kui isikuandmete vastutaval töötlejal on koos Facebook Irelandiga Saksamaal Hamburgis asuv püsiv üksus Facebook Germany ja viimati nimetatud äriühing tegutseb selles liikmesriigis tegelikult ja tõeliselt. Ta on seega üksus direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses.
56 Mis teiseks puudutab tingimust, et isikuandmete töötlemine peab toimuma asjaomase üksuse „tegevuse raames“, siis tuleb kõigepealt meelde tuletada, et arvestades direktiiviga 95/46 taotletavat eesmärki tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste ning eelkõige nende eraelu puutumatuse tõhus ja täielik kaitse, ei või väljendit „üksuse tegevuse raames“ tõlgendada kitsalt (1. oktoobri 2015. aasta kohtuotsus Weltimmo, C‑230/14, EU:C:2015:639, punkt 25 ja seal viidatud kohtupraktika).
57 Järgmiseks tuleb rõhutada, et direktiivi 95/46 artikli 4 lõike 1 punkt a ei nõua, et kõnealuseid isikuandmeid töötleks asjaomane üksus ise, vaid üksnes, et see toimuks tema „tegevuse raames“ (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 52).
58 Käesoleval juhul ilmneb nii eelotsusetaotlusest kui ka Facebook Irelandi kirjalikest seisukohtadest, et Facebook Germany on vastutav reklaamipindade müügiedenduse ja müügi eest ning tema tegevus on suunatud Saksamaal elavatele isikutele.
59 Nagu meenutatud käesoleva kohtuotsuse punktides 33 ja 34, on põhikohtuasjas vaidluse all olev isikuandmete töötlemise – mida teostab Facebook Inc. koos Facebook Irelandiga ja mis seisneb selliste andmete kogumises küpsiste abil, mis paigutatakse Facebookis majutatavate fännilehtede külastajate arvutitesse või muudesse seadmetesse – eesmärk eelkõige võimaldada sellel suhtlusvõrgustikul arendada oma reklaamisüsteemi, et oma levitatavaid teateid paremini suunata.
60 Samas tuleb nõustuda kohtujuristiga, kes märkis oma ettepaneku punktis 94, et võttes ühest küljest arvesse, et suur hulk sellise suhtlusvõrgustiku nagu Facebook tulust teenitakse reklaamiga, mis paigutatakse kasutajate loodud ja nende külastatavatele veebisaitidele, ja teisest küljest, et Saksamaal asuv Facebooki üksus on vastutav Facebooki teenuseid kasumlikumaks muutva reklaamipinna edendamise ja müügi eest selles liikmesriigis, siis tuleb selle üksuse tegevus lugeda lahutamatult seotuks põhikohtuasjas vaidluse all oleva isikuandmete töötlemisega, mille eest Facebook Inc. vastutab koos Facebook Irelandiga. Seetõttu tuleb seda töötlemist käsitada töötlemise eest vastutava üksuse tegevuse raames toimuvana direktiivi 95/46 artikli 4 lõike 1 punkti a tähenduses (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punktid 55 ja 56).
61 Sellest järeldub, et kuna põhikohtuasjas vaidluse all olevale isikuandmete töötlemisele on vastavalt direktiivi 95/46 artikli 4 lõike 1 punktile a kohaldatav Saksa õigus, siis oli Saksamaa järelevalveasutus selle direktiivi artikli 28 lõike 1 järgi pädev seda õigust nimetatud töötlemisele kohaldama.
62 Seetõttu oli see järelevalveasutus pädev kasutama isikuandmete kaitse eeskirjade järgimise tagamiseks Saksamaa territooriumil Facebook Germany suhtes kõiki volitusi, mis tal on direktiivi 95/46 artikli 28 lõike 3 üle võtnud riigisiseste õigusnormide alusel.
63 Tuleb veel täpsustada, et eelotsusetaotluse esitanud kohtu kolmandas küsimuses esile toodud asjaolu, et strateegilised otsused liidu territooriumil elavate isikute isikuandmete kogumise ja töötlemise kohta teeb kolmandas riigis asuv emaettevõtja, nagu käesoleval juhul Facebook Inc., ei sea kahtluse alla liikmesriigis asuva järelevalveasutuse pädevust samas liikmesriigis asuva üksuse suhtes, kes vastutab nende andmete töötlemise eest.
64 Eelnevat arvestades tuleb kolmandale ja neljandale küsimusele vastata, et direktiivi 95/46 artikleid 4 ja 28 tuleb tõlgendada nii, et kui väljaspool liitu asutatud ettevõtjal on erinevates liikmesriikides mitu üksust, on ühe liikmesriigi järelevalveasutusel õigus kasutada talle selle direktiivi artikli 28 lõikega 3 antud volitusi selle ettevõtja üksuse suhtes, mis asub nimetatud liikmesriigi territooriumil, olgugi et vastavalt kontsernisisesele ülesannete jaotusele on see üksus vastutav üksnes reklaamipinna müügi ja muu turundustegevuse eest selle liikmesriigi territooriumil, samal ajal kui isikuandmete kogumise ja töötlemise eest on kogu liidu territooriumil ainuvastutav teises liikmesriigis asuv üksus.
Viies ja kuues küsimus
65 Viienda ja kuuenda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi järelevalveasutus soovib selle liikmesriigi territooriumil asuva üksuse suhtes kasutada talle selle direktiivi artikli 28 lõikega 3 antud sekkumisvolitusi isikuandmete kaitse eeskirjade rikkumise tõttu, mille on toime pannud nende andmete töötlemise eest vastutav teises liikmesriigis asuv kolmas isik, siis on see järelevalveasutus sõltumata teise liikmesriigi järelevalveasutusest pädev hindama sellise andmetöötluse seaduslikkust ja võib oma tema territooriumil asuva üksuse suhtes kasutada oma sekkumisvolitusi, ilma et ta peaks eelnevalt paluma teise liikmesriigi järelevalveasutusel sekkuda.
66 Neile küsimustele vastamiseks tuleb meelde tuletada, et nagu nähtub esimesele ja teisele eelotsuse küsimusele antud vastusest, tuleb direktiivi 95/46 artikli 2 punkti d tõlgendada nii, et selle sätte alusel saab põhikohtuasjas kõne all olevatel asjaoludel isikuandmete kaitse eeskirjade rikkumise eest vastutavaks lugeda sellise üksuse nagu Wirtschaftsakademie kui Facebookis majutatava fännilehe haldaja.
67 Sellest järeldub, et direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõigete 1 ja 3 kohaselt on selle liikmesriigi järelevalveasutus, kelle territooriumil kõnealune üksus asub, pädev kohaldama oma liikmesriigi õigust ning seega kasutama selle üksuse suhtes kõiki volitusi, mis talle liikmesriigi õigusega on selle direktiivi artikli 28 lõike 3 alusel antud.
68 Nagu on ette nähtud selle direktiivi artikli 28 lõike 1 teises lõigus, tegutsevad järelevalveasutused, kelle ülesanne on teostada liikmesriigi territooriumil kontrolli direktiivi ülevõtmiseks vastuvõetud sätete kohaldamise üle, neile usaldatud ülesannete täitmisel täiesti sõltumatult. See nõue tuleneb ka liidu esmasest õigusest, eelkõige Euroopa Liidu põhiõiguste harta artikli 8 lõikest 3 ja ELTL artikli 16 lõikest 2 (vt selle kohta 6. oktoobri 2015. aasta kohtuotsus Schrems, C‑362/14, EU:C:2015:650, punkt 40).
69 Lisaks, kuigi järelevalveasutused teevad direktiivi 95/46 artikli 28 lõike 6 teise lõigu kohaselt üksteisega koostööd niivõrd, kui see on vajalik nende ülesannete täitmiseks, eelkõige vahetades kasulikku teavet, ei ole selles direktiivis ette nähtud ühtegi kriteeriumi, mis annaks ühele järelevalveasutusele sekkumiseks eelisõiguse teise järelevalveasutuse ees, ja sellega ei panda järelevalveasutusele kohustust nõustuda teise liikmesriigi järelevalveasutuse avaldatud seisukohaga.
70 Seega ei kohusta miski liikmesriigi järelevalveasutust, kellele on pädevus antud tema liikmesriigi õiguse alusel, kasutama sama lahendust kui teine järelevalveasutus sarnases olukorras.
71 Selle kohta tuleb meelde tuletada, et kuna põhiõiguste harta artikli 8 lõike 3 ja direktiivi 95/46 artikli 28 kohaselt on liikmesriigi järelevalveasutuste ülesanne kontrollida füüsiliste isikute kaitset reguleerivate liidu õigusnormide järgimist isikuandmete töötlemisel, on igal sellisel asutusel seega pädevus kindlaks teha, kas isikuandmete töötlemine tema asukoha liikmesriigis toimub direktiiviga 95/46 kehtestatud nõuete kohaselt (vt selle kohta 6. oktoobri 2015. aasta kohtuotsus Schrems, C‑362/14, EU:C:2015:650, punkt 47).
72 Kuna direktiivi 95/46 artikkel 28 on sellist laadi, et see on kohaldatav isikuandmete mis tahes töötlemisele isegi teise liikmesriigi järelevalveasutuse otsuse olemasolu korral, peab liikmesriigi järelevalveasutustel, kellele isik on esitanud avalduse oma õiguste ja vabaduste kaitse kohta seoses tema isikuandmete töötlemisega, olema võimalik täiesti sõltumatult analüüsida, kas nende andmete töötlemine vastab mainitud direktiiviga kehtestatud nõuetele (vt selle kohta 6. oktoobri 2015. aasta kohtuotsus Schrems, C‑362/14, EU:C:2015:650, punkt 57).
73 Sellest järeldub, et käesoleval juhul oli ULD‑l direktiiviga 95/46 loodud süsteemi alusel õigus hinnata põhikohtuasjas vaidluse all oleva andmetöötluse seaduslikkust Iiri järelevalveasutuse hinnangutest sõltumatult.
74 Seetõttu tuleb viiendale ja kuuendale küsimusele vastata, et direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi järelevalveasutus soovib selle liikmesriigi territooriumil asuva üksuse suhtes kasutada talle selle direktiivi artikli 28 lõikega 3 antud sekkumisvolitusi isikuandmete kaitse eeskirjade rikkumise tõttu, mille on toime pannud nende andmete töötlemise eest vastutav teises liikmesriigis asuv kolmas isik, siis on see järelevalveasutus sõltumata teise liikmesriigi järelevalveasutusest pädev hindama sellise andmetöötluse seaduslikkust ja ta võib oma liikmesriigi territooriumil asuva üksuse suhtes kasutada oma sekkumisvolitusi, ilma et ta peaks eelnevalt paluma teise liikmesriigi järelevalveasutusel sekkuda.
Kohtukulud
75 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulud, välja arvatud poolte kohtukulud, ei ole hüvitatavad.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
1. Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 2 punkti d tuleb tõlgendada nii, et suhtlusvõrgustikus majutatava fännilehe haldaja kuulub mõiste „vastutav töötleja“ alla selle sätte tähenduses.
2. Direktiivi 95/46 artikleid 4 ja 28 tuleb tõlgendada nii, et kui väljaspool liitu asutatud ettevõtjal on erinevates liikmesriikides mitu üksust, on ühe liikmesriigi järelevalveasutusel õigus kasutada talle selle direktiivi artikli 28 lõikega 3 antud volitusi selle ettevõtja üksuse suhtes, mis asub nimetatud liikmesriigi territooriumil, olgugi et vastavalt kontsernisisesele ülesannete jaotusele on see üksus vastutav üksnes reklaamipinna müügi ja muu turundustegevuse eest selle liikmesriigi territooriumil, samal ajal kui isikuandmete kogumise ja töötlemise eest on kogu liidu territooriumil ainuvastutav teises liikmesriigis asuv üksus.
3. Direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi järelevalveasutus soovib selle liikmesriigi territooriumil asuva üksuse suhtes kasutada talle selle direktiivi artikli 28 lõikega 3 antud sekkumisvolitusi isikuandmete kaitse eeskirjade rikkumise tõttu, mille on toime pannud nende andmete töötlemise eest vastutav teises liikmesriigis asuv kolmas isik, siis on see järelevalveasutus sõltumata teise liikmesriigi järelevalveasutusest pädev hindama sellise andmetöötluse seaduslikkust ja ta võib oma liikmesriigi territooriumil asuva üksuse suhtes kasutada oma sekkumisvolitusi, ilma et ta peaks eelnevalt paluma teise liikmesriigi järelevalveasutusel sekkuda.
Allkirjad