EUROOPA KOHTU OTSUS (suurkoda)
24. september 2019(*)
Eelotsusetaotlus – Isikuandmed – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46/EÜ – Määrus (EL) 2016/679 – Otsingumootorid internetis – Veebilehtedel sisalduvate andmete töötlemine – Territoriaalne ulatus, mis on õigusel linkide eemaldamisele
Kohtuasjas C‑507/17,
mille ese on ELTL artikli 267 alusel Conseil d’État’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) 19. juuli 2017. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 21. augustil 2017, menetluses
Google LLC, Google Inc. õigusjärglane,
versus
Commission nationale de l’informatique et des libertés (CNIL),
menetluses osalesid:
Wikimedia Foundation Inc.,
Fondation pour la liberté de la presse,
Microsoft Corp.,
Reporters Committee for Freedom of the Press jt,
Article 19 jt,
Internet Freedom Foundation jt,
Défenseur des droits,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, kodade presidendid A. Arabadjiev, E. Regan, T. von Danwitz, C. Toader ja F. Biltgen, kohtunikud M. Ilešič (ettekandja), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda ja S. Rodin,
kohtujurist: M. Szpunar,
kohtusekretär: ametnik V. Giacobbo-Peyronnel,
arvestades kirjalikku menetlust ja 11. septembri 2018. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Google LLC, esindajad: avocat P. Spinosi, avocat Y. Pelosi ja avocat W. Maxwell,
– Commission nationale de l’informatique ja des libertés (CNIL), esindajad: I. Falque-Pierrotin, J. Lessi ja G. Le Grand,
– Wikimedia Foundation Inc., esindaja: avocate C. Rameix-Seguin,
– Fondation pour la liberté de la presse, esindaja: avocat T. Haas,
– Microsoft Corp., esindaja: avocat E. Piwnica,
– Reporters Committee for Freedom of the Press jt, esindajad: avocat F. Louis, Rechtsanwalt H.‑G. Kamann, Rechtsanwalt C. Schwedler ja Rechtsanwalt M. Braun,
– Article 19 jt, esindajad: avocat G. Tapie, G. Facenna, QC, ja barrister E. Metcalfe,
– Internet Freedom Foundation jt, esindaja: avocat T. Haas,
– Défenseur des droits, esindaja: J. Toubon,
– Prantsuse valitsus, esindajad: D. Colas, R. Coesme, E. de Moustier ja S. Ghiandoni,
– Iirimaa, esindajad: M. Browne, G. Hodge, J. Quaney ja A. Joyce, keda abistas M. Gray, BL,
– Kreeka valitsus, esindajad: E.‑M. Mamouna, G. Papadaki, E. Zisi ja S. Papaioannou,
– Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato R. Guizzi,
– Austria valitsus, esindajad: G. Eberhard ja G. Kunnert,
– Poola valitsus, esindajad: B. Majczyna, M. Pawlicka ja J. Sawicka,
– Euroopa Komisjon, esindajad: A. Buchet, H. Kranenborg ja D. Nardi,
olles 10. jaanuari 2019. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).
2 Taotlus on esitatud Google Inc. õigusjärglase Google LLC ja Commission nationale de l’informatique et des libertés’ (riiklik andmetöötluse ja vabaduste komisjon, CNIL) (Prantsusmaa) vahelises kohtuvaidluses, mis puudutab 100 000 euro suurust sanktsiooni, mille viimati nimetatud asutus määras Google’ile selle eest, et kui kõnealune äriühing rahuldab taotluse linkide eemaldamiseks, keeldub ta neid eemaldamast oma otsingumootori domeeninime kõigil laienditel.
Õiguslik raamistik
Liidu õigus
Direktiiv 95/46
3 Direktiivi 95/46 artikli 1 lõike 1 kohaselt on selle direktiivi eesmärk kaitsta isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele ning kõrvaldada takistused selliste andmete vabal liikumisel.
4 Direktiivi 95/46 põhjendustes 2, 7, 10, 18, 20 ja 37 on märgitud:
„(2) andmetöötlussüsteemid on loodud selleks, et teenida inimkonda; selliseid süsteeme kasutades tuleb füüsiliste isikute kodakondsusele ja elukohale vaatamata austada nende põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele, ning aidata kaasa […] üksikisikute heaolule;
[…]
(7) üksikisikute õiguste ja vabaduste, eelkõige eraelu puutumatuse õiguse kaitse tase seoses isikuandmete töötlemisega on liikmesriigiti erinev ja see võib takistada selliste andmete edastamist ühest liikmesriigist teise; seega võivad nimetatud erinevused saada takistuseks paljudele ühenduse tasandi majandustegevustele, […];
[…]
(10) isikuandmete töötlemist käsitlevate õigusaktide eesmärk on kaitsta [Roomas 4. novembril 1950 alla kirjutatud] Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 ja ühenduse õiguse üldistes põhimõtetes tunnustatud põhiõigusi ja -vabadusi, eelkõige õigust eraelu puutumatusele; nimetatud põhjusel ei tohi kõnealuste õigusaktide ühtlustamise tagajärjel nendega pakutav kaitse väheneda, vaid vastupidi – ühenduses tagatava kaitstuse tase peab olema kõrgem;
[…]
(18) tagamaks, et üksikisikud ei jää ilma kaitsest, millele neil on käesoleva direktiivi kohaselt õigus, peab igasugune isikuandmete töötlemine ühenduses toimuma ühe liikmesriigi õiguse kohaselt; […]
[…]
(20) asjaolu, et andmeid töötleb kolmandas riigis registreeritud isik, ei tohi takistada üksikisikute kaitsmist käesoleva direktiivi kohaselt; sellisel juhul peaks töötlemist reguleerima selle liikmesriigi õigus, kus asuvad kasutatavad vahendid, ning tagada tuleks see, et käesolevas direktiivis sätestatud õigusi ja kohustusi tegelikult järgitakse;
[…]
(37) kui isikuandmeid töödeldakse ajakirjanduse jaoks või kirjandusliku või kunstilise eneseväljenduse huvides, eelkõige audiovisuaalsektoris, tuleks teha erand käesoleva direktiivi teatavate sätete nõuetest, kuivõrd see on vajalik selleks, et viia vastavusse üksikisikute põhiõigused ja sõnavabadus, eelkõige Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikliga 10 tagatud õigus saada ja jagada teavet; seetõttu peaksid liikmesriigid kehtestama põhiõiguste tasakaalustatuseks vajalikud erandid ja vabastused, mis puudutavad üldmeetmeid andmete töötlemise seaduslikkuse kohta, […]“.
5 Direktiivi artiklis 2 on sätestatud:
„Käesolevas [direktiivis] kasutatakse järgmisi mõisteid:
a) isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta. […]
b) isikuandmete töötlemine (edaspidi „töötlemine“) – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;
[…]
d) vastutav töötleja – füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; […]
[…]“.
6 Direktiivi artiklis 4 „Kohaldatav siseriiklik õigus“ on ette nähtud:
„1. Iga liikmesriik kohaldab isikuandmete töötlemise suhtes käesoleva direktiivi kohaselt vastuvõetud siseriiklikke õigusnorme, kui:
a) töötlemine toimub liikmesriigi territooriumil paikneva vastutava töötleja asutuse tegevuse raames; kui sama vastutav töötleja on registreeritud mitme liikmesriigi territooriumil, peab ta võtma vajalikke meetmeid tagamaks, et kõik kõnealused asutused järgivad kohaldatavates siseriiklikes õigusnormides sätestatud kohustusi;
b) vastutav töötleja ei ole registreeritud mitte liikmesriigi territooriumil, vaid kohas, kus asjaomase liikmesriigi õigusnorme kohaldatakse rahvusvahelise avaliku õiguse kohaselt;
c) vastutav töötleja ei ole registreeritud ühenduse territooriumil, kuid kasutab isikuandmete automatiseeritud või automatiseerimata töötlemiseks vahendeid, mis paiknevad kõnealuse liikmesriigi territooriumil, välja arvatud juhul, kui selliseid vahendeid kasutatakse ainult andmete edastamiseks ühenduse territooriumi kaudu.
2. Lõike 1 punktis c osutatud asjaoludel peab vastutav töötleja määrama ametisse kõnealuse liikmesriigi territooriumil asuva esindaja, kuid see ei piira õiguslikke meetmeid, mida võidakse võtta vastutava töötleja enda suhtes.“
7 Direktiivi 95/46 artiklis 9 „Isikuandmete töötlemine ja sõnavabadus“ on sätestatud:
„Kui isikuandmeid töödeldakse ainult ajakirjanduse jaoks või kirjandusliku või kunstilise eneseväljenduse huvides, sätestavad liikmesriigid erandid või kõrvalekalded käesoleva peatüki, IV peatüki ja VI peatüki sätetest ainult siis, kui see on vajalik selleks, et viia omavahel vastavusse eraelu puutumatuse õigust ja sõnavabadust reguleerivad eeskirjad.“
8 Direktiivi artiklis 12 „Õigus tutvuda andmetega“ on ette nähtud:
„Liikmesriigid tagavad, et igal andmesubjektil on õigus nõuda vastutavalt töötlejalt:
[…]
b) võimalust vastavalt vajadusele parandada, kustutada või sulgeda need andmed, mille töötlemine ei vasta käesoleva direktiivi sätetele, eelkõige seetõttu, et andmed on ebatäielikud või ebaõiged;
[…]“.
9 Direktiivi artiklis 14 „Andmesubjektide õigus esitada vastuväiteid“ on sätestatud:
„Liikmesriigid annavad andmesubjektidele õiguse:
a) esitada alati konkreetse olukorraga seotud õigustatud ja veenvatel põhjustel vastuväiteid teda käsitlevate andmete töötlemise suhtes vähemalt artikli 7 punktides e ja f osutatud juhtudel, kui siseriiklikes õigusaktides ei ole sätestatud teisiti. Kui tegemist on õigustatud vastuväitega, ei tohi vastutav töötleja kõnealuseid andmeid edasi töödelda;
[…]“.
10 Direktiivi 95/46 artiklis 24 „Sanktsioonid“ on ette nähtud:
„Liikmesriigid võtavad sobivaid meetmeid, et tagada käesoleva direktiivi sätete täielik rakendamine, ja sätestavad eelkõige sanktsioonid, mida kohaldatakse käesoleva direktiivi kohaselt vastuvõetud sätete rikkumise puhul.“
11 Direktiivi artikkel 28 „Järelevalveasutus“ on sõnastatud järgmiselt:
„1. Iga liikmesriik näeb ette ühe või mitu riigiasutust, et teostada järelevalvet tema territooriumil käesoleva direktiivi kohaselt vastuvõetud sätete kohaldamise üle.
[…]
3. Igal sellisel ametiasutusel on eelkõige:
– uurimisvolitused, näiteks volitused tutvuda töödeldavate andmetega ja koguda oma järelevalvekohustuse täitmiseks vajalikku teavet,
– tõhusad sekkumisvolitused, näiteks […] anda korraldus andmete sulgemiseks, kustutamiseks või hävitamiseks, keelata töötlemine ajutiselt või alaliselt […]
[…]
Kui järelevalveasutuse otsustega ei olda rahul, võib need edasi kaevata kohtusse.
4. Iga järelevalveasutus vaatab läbi kõigi isikute või kõnealuseid isikuid esindava ühenduse esitatud avaldused nende õiguste ja vabaduste kaitse kohta seoses isikuandmete töötlemisega. Andmesubjektile teatatakse avalduse tagajärgedest.
[…]
6. Olenemata sellest, milliseid siseriiklikke õigusi kõnealuse töötlemise suhtes kohaldatakse, on iga järelevalveasutus pädev kasutama oma liikmesriigi territooriumil talle lõikega 3 antud volitusi. Teise liikmesriigi asutused võivad igalt järelevalveasutuselt taotleda, et see kasutaks oma volitusi.
Järelevalveasutused teevad üksteisega koostööd, kuivõrd see on vajalik nende ülesannete täitmiseks, eelkõige vahetades kasulikku teavet.
[…]“.
Määrus (EL) 2016/679
12 ELTL artiklil 16 põhinev Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; parandus ELT 2018, L 127, lk 3) on vastavalt määruse artikli 99 lõikele 2 kohaldatav alates 25. maist 2018. Määruse artikli 94 lõikes 1 on sätestatud, et direktiiv 95/46 tunnistatakse kehtetuks alates samast kuupäevast.
13 Määruse põhjendustes 1, 4, 9–11, 13, 22–25 ja 65 on märgitud:
„(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja [ELTL] artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.
[…]
(4) Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu […] austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest […]
[…]
(9) Direktiiv[…] 95/46[…] ei ole ära hoidnud liidus andmekaitse rakendamise killustumist […]. Liikmesriikide poolt tagatava[…] kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete liidusisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust […].
(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. […]
(11) Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.
[…]
(13) Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate […] jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel. […]
[…]
(22) Liidus paikneva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töödeldakse liidus või mitte. […]
(23) Selle tagamiseks, et füüsilise isikud ei jää ilma kaitsest, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool liitu asuva vastutava töötleja või volitatud töötleja poolt liidus olevate andmesubjektide isikuandmete töötlemise suhtes, kui isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega kõnealustele andmesubjektidele, sõltumata sellest, kas see on seotud maksega või mitte. Selleks et määrata kindlaks, kas selline vastutav töötleja või volitatud töötleja pakub liidus olevatele andmesubjektidele kaupu või teenuseid, tuleks kontrollida, kas on ilmne, et vastutav töötleja [või volitatud töötleja] kavatseb pakkuda teenuseid ühe või mitme liidu liikmesriigi andmesubjektidele. […]
(24) Käesolevat määrust tuleks kohaldada ka liidu territooriumil olevate andmesubjektide isikuandmete töötlemisele mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui see on seotud selliste andmesubjektide käitumise jälgimisega niivõrd, kuivõrd see käitumine toimub liidus. Selleks et teha kindlaks, kas isikuandmete töötlemise toimingut võib pidada andmesubjekti käitumise jälgimiseks, tuleks selgitada välja, kas füüsilist isikut jälgitakse internetis, sealhulgas selliste andmetöötlusmeetodite võimaliku kasutamisega, mis hõlmavad füüsilise isiku profiilianalüüsi eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid.
(25) Kui liikmesriigi õigust kohaldatakse rahvusvahelise avaliku õiguse alusel, tuleks käesolevat määrust kohaldada ka väljaspool liitu asuva vastutava töötleja, näiteks liikmesriigi diplomaatilise või konsulaaresinduse suhtes.
[…]
(65) Andmesubjektil peaks olema […] „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu või liikmesriigi õigust. […] Isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks […]“.
14 Määruse 2016/679 artikkel 3 „Territoriaalne kohaldamisala“ on sõnastatud järgmiselt:
„1. Käesolevat määrust kohaldatakse liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse liidus või väljaspool liitu.
2. Käesolevat määrust kohaldatakse liidus asuvate andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui andmete töötlemine on seotud
a) liidus asuvatele andmesubjektidele kaupade ja teenuste pakkumisega, olenemata sellest, kas andmesubjekt peab maksma tasu, või
b) nende tegevuse jälgimisega, kui see tegevus toimub liidus.
3. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust.“
15 Määruse artikli 4 punktis 23 on mõiste „isikuandmete piiriülene töötlemine“ määratletud järgmiselt:
„a) isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või
b) isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis“.
16 Määruse artikkel 17 „Õigus andmete kustutamisele („õigus olla unustatud“)“ on sõnastatud järgmiselt:
„1. Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:
a) isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
b) andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 6 lõike 1 punktile a või artikli 9 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;
c) andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid või andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 2 kohaselt;
d) isikuandmeid on töödeldud ebaseaduslikult;
e) isikuandmed tuleb kustutada selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust;
f) isikuandmeid koguti seoses artikli 8 lõikes 1 osutatud infoühiskonna teenuste pakkumisega.
[…]
3. Lõikeid 1 ja 2 ei kohaldata sel määral, mil isikuandmete töötlemine on vajalik
a) sõna- ja teabevabaduse õiguse teostamiseks;
[…]“.
17 Sama määruse artikli 21 „Õigus esitada vastuväiteid“ lõikes 1 on ette nähtud:
„Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.“
18 Määruse 2016/679 VI peatükki „Sõltumatud järelevalveasutused“ kuuluva artikli 55 „Pädevus“ lõikes 1 on sätestatud:
„Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.“
19 Määruse artiklis 56 „Juhtiva järelevalveasutuse pädevus“ on sätestatud:
„1. Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.
2. Erandina lõikest 1 on järelevalveasutus pädev menetlema talle esitatud kaebust või käesoleva määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte.
3. Käesoleva artikli lõikes 2 osutatud juhtudel teavitab järelevalveasutus sellest küsimusest viivitamatult juhtivat järelevalveasutust. Kolme nädala jooksul pärast teavitamist otsustab juhtiv järelevalveasutus, kas ta asub juhtumit kooskõlas artiklis 60 sätestatuga menetlema, võttes arvesse seda, kas vastutava töötleja või volitatud töötleja tegevuskoht on teda teavitanud järelevalveasutuse liikmesriigis.
4. Kui juhtiv järelevalveasutus otsustab juhtumit käsitleda, kohaldatakse artiklis 60 sätestatud menetlust. Juhtivat järelevalveasutust teavitanud järelevalveasutus võib juhtivale järelevalveasutusele esitada otsuse eelnõu. Juhtiv järelevalveasutus võtab seda eelnõu täiel määral arvesse artikli 60 lõikes 3 osutatud otsuse eelnõu ettevalmistamisel.
5. Kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda, käsitleb seda juhtumit kooskõlas artiklitega 61 ja 62 see järelevalveasutus, kes juhtivat järelevalveasutust teavitas.
6. Piiriülese isikuandmete töötlemise toimingu puhul on vastutava töötleja või volitatud töötleja ainus partner juhtiv järelevalveasutus.“
20 Määruse artikli 58 „Volitused“ lõikes 2 on ette nähtud:
„Järelevalveasutusel on järgmised parandusvolitused:
[…]
g) anda korraldus isikuandme[d] kustutada […] artiklite […] 17 […] alusel
[…];
i) määrata […] trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest“.
21 Määruse 2016/679 VII peatüki „Koostöö ja järjepidevus“ 1. jagu „Koostöö“ sisaldab määruse artikleid 60–62. Artiklis 60 „Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö“ on sätestatud:
„1. Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.
2. Juhtiv järelevalveasutus võib teistelt asjaomastelt järelevalveasutustelt igal ajal nõuda artikli 61 kohase vastastikuse abi osutamist ning läbi viia artikli 62 kohaseid ühisoperatsioone, eelkõige uurimiste läbiviimiseks või teises liikmesriigis asuva vastutava töötleja või volitatud töötleja suhtes võetud meetme rakendamise järelevalveks.
3. Juhtiv järelevalveasutus edastab küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele. Ta esitab otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võtab asjakohaselt arvesse nende seisukohti.
4. Kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on käesoleva artikli lõike 3 kohaselt otsuse eelnõu osas konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks artiklis 63 osutatud järjepidevuse mehhanismi raames.
5. Kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse lõikes 4 osutatud menetlust kahe nädala jooksul.
6. Juhul kui ükski teine asjaomane järelevalveasutus ei ole juhtiva järelevalveasutuse esitatud otsuse eelnõule lõigetes 4 ja 5 osutatud tähtaja jooksul vastuväidet esitanud, loetakse, et juhtiv järelevalveasutus ja asjaomased järelevalveasutused on otsuse eelnõus kokkuleppele jõudnud ja see on nende jaoks siduv.
7. Juhtiv järelevalveasutus võtab otsuse vastu ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitab teisi asjaomaseid järelevalveasutusi ja andmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjustest. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.
8. Erandina lõikest 7, juhul kui kaebus jäetakse rahuldamata või lükatakse tagasi, võtab järelevalveasutus, kellele kaebus esitati, otsuse vastu ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat.
9. Kui juhtiv järelevalveasutus ja asjaomased järelevalveasutused nõustuvad, et osa kaebusest jäetakse rahuldamata või lükatakse tagasi ja asjaomase kaebuse teine osa võetakse menetlusse, siis võetakse vastu otsus kaebuse menetletava osa kohta. […]
10. Pärast seda, kui juhtiva järelevalveasutuse otsus on lõigete 7 ja 9 kohaselt vastutavale töötlejale või volitatud töötlejale teatavaks tehtud, võtab vastutav töötleja või volitatud töötleja vajalikud meetmed isikuandmete töötlemise toimingute osas tehtud otsuse täitmise tagamiseks kõigis liidus asuvates tegevuskohtades. Vastutav töötleja või volitatud töötleja teavitab otsuse täitmiseks võetud meetmetest juhtivat järelevalveasutust, kes teavitab teisi asjaomaseid järelevalveasutusi.
11. Kui asjaomasel järelevalveasutusel on erandlike asjaolude korral põhjust arvata, et andmesubjektide huvide kaitsmiseks tuleb tegutseda kiiresti, kohaldatakse artiklis 66 osutatud kiirmenetlust.
[…]“.
22 Määruse artikli 61 „Vastastikune abi“ lõikes 1 on sätestatud:
„Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.“
23 Määruse artiklis 62 „Järelevalveasutuste ühisoperatsioonid“ on ette nähtud:
„1. Järelevalveasutused viivad asjakohasel juhul läbi ühisoperatsioone, sealhulgas ühiseid uurimisi ja ühiseid täitmise tagamise meetmeid, milles osalevad teiste liikmesriikide järelevalveasutuste liikmed või töötajad.
2. Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui isikuandmete töötlemise toimingud tõenäoliselt võivad oluliselt mõjutada märkimisväärset arvu andmesubjekte rohkem kui ühes liikmesriigis, on kõnealuse liikmesriigi järelevalveasutusel õigus ühisoperatsioonides osaleda. […]“
24 Määruse 2016/679 VII peatüki 2. jagu „Järjepidevus“ sisaldab määruse artikleid 63–67. Artikkel 63 „Järjepidevuse mehhanism“ on sõnastatud järgmiselt:
„Selleks et aidata käesolevat määrust kogu liidus järjepidevalt kohaldada, teevad järelevalveasutused koostööd üksteisega ja asjakohasel juhul komisjoniga käesolevas jaos sätestatud järjepidevuse mehhanismi kaudu.“
25 Määruse artikli 65 „Vaidluste lahendamine andmekaitsenõukogu poolt“ lõikes 1 on ette nähtud:
„Selleks et tagada käesoleva määruse nõuetekohane ja järjepidev kohaldamine üksikjuhtudel, võtab andmekaitsenõukogu vastu siduva otsuse järgmistel juhtudel:
a) kui asjaomane järelevalveasutus on artikli 60 lõikes 4 osutatud juhul tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta või kui juhtiv järelevalveasutus on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud. Siduv otsus puudutab kõiki asjakohases ja põhjendatud vastuväites käsitletud küsimusi, eelkõige küsimust, kas on toimunud käesoleva määruse rikkumine;
b) kui esineb lahkarvamusi selles osas, milline on peamise tegevuskoha jaoks pädev asjaomane järelevalveasutus […]
[…]“.
26 Sama määruse artikli 66 „Kiirmenetlus“ lõikes 1 on sätestatud:
„Erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, võib ta erandina artiklites 63, 64 ja 65 osutatud järjepidevuse mehhanismist või artiklis 60 osutatud menetlusest võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud. Järelevalveasutus edastab kõnealused meetmed ja nende vastuvõtmise põhjendused viivitamata teistele asjaomastele järelevalveasutustele, andmekaitsenõukogule ja komisjonile.“
27 Määruse 2016/679 artiklis 85 „Isikuandmete töötlemine ning sõna- ja teabevabadus“ on sätestatud:
„1. Liikmesriigid ühitavad õigusaktiga käesoleva määruse kohase õiguse isikuandmete kaitsele ning sõna- ja teabevabaduse õiguse, muu hulgas seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks.
2. Seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks näevad liikmesriigid ette vabastusi või erandeid II peatükist (põhimõtted), III peatükist (andmesubjekti õigused), IV peatükist (vastutav töötleja ja volitatud töötleja), V peatükist (isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele), VI peatükist (sõltumatud järelevalveasutused), VII peatükist (koostöö ja järjepidevus) ja IX peatükist (andmetöötluse eriolukorrad), kui need on vajalikud, et ühitada õigus isikuandmete kaitsele sõna- ja teabevabadusega.
[…]“.
Prantsuse õigus
28 Direktiivi 95/46 rakendamine Prantsuse õiguses on tagatud 6. jaanuari 1978. aasta andmetöötluse, failide ja vabaduste seadusega nr 78‑17 (loi no 78‑17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés) põhikohtuasja asjaoludele kohaldatavas redaktsioonis (edaspidi „6. jaanuari 1978. aasta seadus“).
29 Seaduse artiklis 45 on täpsustatud, et kui vastutav töötleja ei järgi sellest seadusest tulenevaid kohustusi, võib CNILi president teha talle ettekirjutuse lõpetada tuvastatud rikkumine tema määratud tähtaja jooksul. Kui vastutav töötleja ei täida talle tehtud ettekirjutust, võib CNIL kuueliikmelises koosseisus pärast võistlevat menetlust määrata muu hulgas rahalise sanktsiooni.
Põhikohtuasi ja eelotsuse küsimused
30 CNILi president tegi 21. mai 2015. aasta otsusega Google’ile ettekirjutuse, mille kohaselt juhul, kui ta rahuldab füüsilise isiku taotluse eemaldada selle isiku nimega tehtud otsingu tagajärjel kuvatavate tulemuste loetelust lingid, mis viivad veebilehtedele, peab ta need eemaldama oma otsingumootori kõigil domeeninime laienditel.
31 Google keeldus ettekirjutust täitmast ja piirdus kõnealuste linkide eemaldamisega ainult nendest tulemustest, mis kuvatakse vastuseks otsingutele, mis tehakse domeeninimede kaudu, mis vastavad otsingumootori versioonile liikmesriikides.
32 CNIL leidis ühtlasi, et ei piisa täiendavast nn geoblokeeringu kasutamise ettepanekust, mille tegi Google pärast ettekirjutuses ette nähtud tähtaja möödumist ja mis seisnes selles, et kaotatakse võimalus pääseda IP‑aadressilt (Internet Protocol address), mis loetakse asuvaks andmesubjekti elukohariigis, ligi vaidlusalustele tulemustele, mis saadakse tema nimega tehtud otsingu tagajärjel, ning seda olenemata otsingumootori versioonist, mida internetikasutaja kasutab.
33 Olles tuvastanud, et Google ei olnud ettekirjutust määratud tähtaja jooksul täitnud, määras CNIL 10. märtsi 2016. aasta otsusega sellele äriühingule 100 000 euro suuruse sanktsiooni, mis avalikustati.
34 Conseil d’État’le (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) esitatud kaebusega palub Google selle otsuse tühistada.
35 Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) tõdeb, et arvestades reklaamipindade turustamise ja müügi tegevust, millega Prantsusmaal tegeleb Google’i tütarettevõtja Google France, kuulub isikuandmete töötlemine Google’i hallatava otsingumootori poolt 6. jaanuari 1978. aasta seaduse kohaldamisalasse.
36 Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) märgib lisaks, et Google’i hallataval otsingumootoril on geograafiliste laiendite tõttu mitu domeeninime, et kohandada kuvatavad tulemused nende erinevate riikide eripäraga – eriti keelelise eripäraga –, kus see äriühing tegutseb. Kui otsing tehakse aadressilt „google.com“, suunab Google selle otsingu üldjuhul automaatselt domeeninimele, mis vastab riigile, kus see otsing internetikasutaja IP‑aadressi tuvastamise põhjal loetakse olevat tehtud. Internetikasutaja võib olenemata oma asukohast siiski vabalt teha otsingud otsingumootori teiste domeeninimede kaudu. Kuigi tulemused võivad olla erinevad sõltuvalt domeeninimest, millel otsing mootoriga tehakse, on selge, et otsingule vastuseks kuvatud lingid pärinevad ühtsetest andmebaasidest ja on ühtse indekseerimistöö tulemus.
37 Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) leiab, et võttes arvesse esiteks asjaolu, et Google’i otsingumootori domeeninimed on kõik Prantsusmaa territooriumil kättesaadavad, ja teiseks asjaolu, et nende erinevate domeeninimede vahel eksisteerivad ühendused, millest annavad tunnistust eelkõige automaatne edasisuunamine ja see, et veebisaidi külastuse tuvastajad ehk „küpsised“ eksisteerivad otsingumootori teistelgi laienditel kui see, kuhu need esialgu paigutati, tuleb seda mootorit, mille kohta on CNILile pealegi tehtud ainult üks avaldus, käsitada 6. jaanuari 1978. aasta seaduse kohaldamisel nii, et sellega toimub ühekordne isikuandmete töötlemine. Sellest järeldub tema sõnul, et isikuandmete töötlemine Google’i hallatava otsingumootoriga toimub ühes tema tegevuskohtadest, Google France’is, mis asub Prantsusmaa territooriumil, mistõttu kehtib sellele 6. jaanuari 1978. aasta seadus.
38 Google väidab Conseil d’État’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) menetluses, et vaidlusalune sanktsioon põhineb 6. jaanuari 1978. aasta seaduse sätete – millega on üle võetud direktiivi 95/46 artikli 12 punkt b ja artikli 14 esimese lõigu punkt a, mille alusel Euroopa Kohus tunnustas oma 13. mai 2014. aasta otsuses Google Spain ja Google (C‑131/12, EU:C:2014:317) „õigust linkide eemaldamisele“ – vääral tõlgendusel. Google väidab, et see õigus ei tähenda tingimata, et vaidlusalused lingid tuleb ilma geograafiliste piiranguteta eemaldada kõigil tema otsingumootori domeeninimedel. Lisaks on CNIL niisugusest tõlgendusest lähtudes Google’i arvates eiranud rahvusvahelises avalikus õiguses tunnustatud viisakuse ja mittesekkumise põhimõtteid ning ebaproportsionaalselt riivanud eelkõige harta artikliga 11 tagatud sõna-, teabe-, kommunikatsiooni- ja ajakirjandusvabadust.
39 Olles tuvastanud, et need argumendid tõstatavad mitu tõsist raskust direktiivi 95/46 tõlgendamisel, otsustas Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas „õigust linkide eemaldamisele“, nagu [Euroopa Kohus] on seda tunnustanud oma 13. mai 2014. aasta otsuses [Google Spain ja Google (C‑131/12, EU:C:2014:317)] direktiivi [95/46] artikli 12 punkti b ja artikli 14 [esimese lõigu] punkti a alusel, tuleb tõlgendada nii, et kui otsingumootori haldaja rahuldab taotluse linkide eemaldamiseks, on ta kohustatud need eemaldama oma otsingumootori kõigil domeeninimedel, nii et vaidlusaluseid linke ei kuvata enam olenemata kohast, kus otsing taotleja nimega tehakse, sealhulgas väljaspool direktiivi [95/46] territoriaalset kohaldamisala?
2. Kas juhul, kui vastus esimesele küsimusele on eitav, tuleb „õigust linkide eemaldamisele“, nagu [Euroopa Kohus] on seda tunnustanud oma eespool viidatud otsuses, tõlgendada nii, et kui otsingumootori haldaja rahuldab taotluse linkide eemaldamiseks, on ta üksnes kohustatud eemaldama vaidlusalused lingid tulemustest, mis kuvatakse selle otsingu tagajärjel, mis tehakse taotleja nimega selle domeeninime kaudu, mis vastab riigile, kus taotlus loetakse olevat esitatud, või üldisemalt otsingumootori nende domeeninimede kaudu, mis vastavad selle mootori kõikide […] liikmesriikide riigipõhistele laienditele?
3. Kas lisaks [teises küsimuses] nimetatud kohustusele tuleb „õigust linkide eemaldamisele“, nagu [Euroopa Kohus] on seda tunnustanud oma eespool viidatud otsuses, tõlgendada nii, et otsingumootori haldaja, kes rahuldab taotluse linkide eemaldamiseks, on kohustatud nn geoblokeeringu meetodil IP‑aadressi põhjal, mis loetakse asuvaks „õiguse linkide eemaldamisele“ omaja elukohariigis, eemaldama tema nimega tehtud otsingu tagajärjel saadud vaidlusalused tulemused või isegi üldisemalt IP‑aadressi põhjal, mis loetakse asuvaks ühes liikmesriikidest, mille suhtes kohaldatakse direktiivi [95/46], ning seda olenemata domeeninimest, mida kasutab internetikasutaja, kes päringu teeb?“
Eelotsuse küsimuste analüüs
40 Põhikohtuasi on alguse saanud Google’i ja CNILi vahelisest kohtuvaidlusest, mis puudutab küsimust, mil viisil peab otsingumootori haldaja juhul, kui ta tuvastab, et andmesubjektil on õigus sellele, et üks või mitu linki – mis suunavad veebilehtedele, mis sisaldavad teda puudutavaid isikuandmeid – eemaldataks tulemuste loetelust, mis kuvatakse tema nimega tehtud otsingu tagajärjel, rakendama õigust linkide eemaldamisele. Kuigi eelotsusetaotluse esitamise ajal oli kohaldatav direktiiv 95/46, tunnistati see alates 25. maist 2018 kehtetuks ning alates sellest kuupäevast on kohaldatav määrus 2016/679.
41 Euroopa Kohus käsitleb esitatud küsimusi nii lähtuvalt sellest direktiivist kui ka sellest määrusest, et tagada, et tema vastustest on eelotsusetaotluse esitanud kohtule igal juhul kasu.
42 Euroopa Kohtu menetluses märkis Google, et pärast eelotsusetaotluse esitamist seadis ta sisse oma otsingumootori riigipõhiste versioonide uue mudeli, mille puhul internetikasutaja sisestatud domeeninimi ei määra enam kindlaks otsingumootori riigipõhist versiooni, mida ta kasutab. Internetikasutaja suunatakse nüüd automaatselt Google’i otsingumootori riigipõhise versiooni juurde, mis vastab kohale, kus ta otsingu oletatavalt teeb, ja otsingu tulemused kuvatakse olenevalt sellest kohast, mille teeb Google kindlaks geopositsioneerimise teel.
43 Neil asjaoludel tuleb esitatud küsimusi, mida on sobilik käsitleda koos, mõista nii, et nendega palutakse sisuliselt selgitada, kas direktiivi 95/46 artikli 12 punkti b ja artikli 14 esimese lõigu punkti a ning määruse 2016/679 artikli 17 lõiget 1 tuleb tõlgendada nii, et kui otsingumootori haldaja rahuldab nende sätete alusel taotluse linkide eemaldamiseks, on ta kohustatud lingid eemaldama kõigist oma otsingumootori versioonidest, või on ta hoopis kohustatud lingid eemaldama üksnes otsingumootori versioonidest, mis vastavad kõigile liikmesriikidele, või hoopis ainult selle liikmesriigi versioonist, kus taotlus linkide eemaldamiseks on esitatud, olenevalt olukorrast koos nn geoblokeeringu meetodi kasutamisega, selleks et tagada, et internetikasutaja ei saaks olenemata kasutatavast otsingumootori riigipõhisest versioonist pääseda otsingu – mis on tehtud IP‑aadressilt, mis loetakse asuvaks linkide eemaldamise õiguse omaja elukoha liikmesriigis – kaudu ligi linkidele, mis on eemaldatud.
44 Kõigepealt väärib meeldetuletamist, et Euroopa Kohus on leidnud, et direktiivi 95/46 artikli 12 punkti b ja artikli 14 esimese lõigu punkti a tuleb tõlgendada nii, et nendes sätetes ette nähtud õiguste tagamiseks, ja kui neis sätestatud tingimused on tõepoolest täidetud, on otsingumootori haldaja kohustatud kõrvaldama isiku nime põhjal tehtud otsingu tagajärjel kuvatavast tulemuste loetelust lingid veebilehtedele, mille on avaldanud kolmandad isikud ja mis sisaldavad teavet selle isiku kohta, ka juhul, kui seda nime või teavet ei ole varem või samal ajal neilt veebilehtedelt kustutatud, isegi kui selle nime või teabe avaldamine neil veebilehtedel on õiguspärane (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 88).
45 Euroopa Kohus täpsustas lisaks, et nende sätete kohaldamise tingimuste hindamisel tuleb eelkõige analüüsida, kas andmesubjektil on õigus sellele, et tema isiku kohta käiv teave ei oleks käesoleval ajal enam tema nimega seostatav tulemuste loetelu kaudu, mis kuvatakse tema nimega tehtud otsingu tagajärjel, ilma et niisuguse õiguse tuvastamine siiski eeldaks, et selle teabe lisamine tulemuste loetellu tekitaks andmesubjektile kahju. Kuna andmesubjekt võib harta artiklitest 7 ja 8 tulenevaid põhiõigusi arvesse võttes nõuda, et kõnealust teavet ei tehtaks enam laiale üldsusele kättesaadavaks selle teabe lisamisega tulemuste loetellu, siis kaaluvad need õigused üldjuhul üles mitte üksnes otsingumootori haldaja majandushuvi, vaid ka üldsuse huvi vastava isiku nimega tehtud otsingu abil seda teavet leida. See ei oleks nii aga juhul, kui konkreetsetel põhjustel, näiteks isiku rolli tõttu avalikus elus, õigustaks tema põhiõiguste riivet ülekaalukas üldsuse huvi pääseda niisuguse loetellu lisamisega kõnealusele teabele ligi (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 99).
46 Määruses 2016/679 põhineb andmesubjekti õigus linkide eemaldamisele määruse artiklil 17, mis konkreetselt reguleerib „õigust andmete kustutamisele“, mida on selle artikli pealkirjas nimetatud ka „õiguseks olla unustatud“.
47 Vastavalt määruse 2016/679 artikli 17 lõikele 1 on andmesubjektil õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui esineb üks selles sättes loetletud asjaoludest. Määruse artikli 17 lõikes 3 on täpsustatud, et artikli 17 lõiget 1 ei kohaldata juhul, kui isikuandmete töötlemine on vajalik mõnel lõikes 3 nimetatud põhjusel. Need põhjused hõlmavad määruse artikli 17 lõike 3 punkti a kohaselt muu hulgas internetikasutajate teabevabaduse õiguse teostamist.
48 Direktiivi 95/46 artikli 4 lõike 1 punktist a ja määruse 2016/679 artikli 3 lõikest 1 tuleneb, et nii direktiiv kui ka määrus võimaldavad andmesubjektidel tugineda oma õigusele linkide eemaldamisele otsingumootori haldaja vastu, kellel on liidu territooriumil üks või mitu tegevuskohta, mille tegevuse raames ta töötleb nende isikute isikuandmeid, ning seda sõltumata küsimusest, kas töötlemine toimub liidus või mitte.
49 Sellega seoses on Euroopa Kohus leidnud, et isikuandmete töötlemine toimub vastutava töötleja tegevuskoha – mis asub liikmesriigi territooriumil – tegevuse raames, kui otsingumootori haldaja asutab liikmesriigis filiaali või tütarettevõtja, mille eesmärk on tagada otsingumootori pakutava reklaamipinna turustamine ja müük ning mille tegevus on suunatud selle liikmesriigi elanikele (13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 60).
50 Niisugustel asjaoludel on otsingumootori haldaja tegevus nimelt lahutamatult seotud tema liidus asuva tegevuskoha tegevusega, kuna reklaamipinnaga seotud tegevus on vahend, et muuta otsingumootor majanduslikult kasumlikuks, ning otsingumootor on samal ajal vahend, mis võimaldab seda tegevust ellu viia, kuivõrd koos tulemuste loeteluga kuvatakse samal leheküljel ka otsingusõnadega seotud reklaam (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punktid 56 ja 57).
51 Sellises olukorras ei saa asjaolu, et otsingumootorit haldab kolmanda riigi ettevõtja, tuua kaasa seda, et isikuandmete töötlemine, mis otsingumootori toimimiseks toimub liikmesriigi territooriumil selle töötlemise eest vastutava tegevuskoha reklaami- ja äritegevuse raames, jäetaks välja direktiivis 95/46 ja määruses 2016/679 ette nähtud kohustuste ja tagatiste kohaldamisalast (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 58).
52 Käesolevas asjas nähtub eelotsusetaotluses esitatud andmetest esiteks, et tegevuskoht, mis on Google’il Prantsusmaa territooriumil, tegeleb eelkõige äri- ja reklaamitegevusega, mis on lahutamatult seotud asjaomase otsingumootori toimimiseks vajaliku isikuandmete töötlemisega, ning teiseks, et otsingumootorit tuleb eelkõige selle erinevate riigipõhiste versioonide vahel eksisteerivaid ühendusi arvestades pidada selliseks, milles toimub ühekordne isikuandmete töötlemine. Eelotsusetaotluse esitanud kohus leiab, et sellistel asjaoludel toimub töötlemine Google’i tegevuskohas, mis asub Prantsusmaa territooriumil. Seega ilmneb, et niisugune olukord kuulub direktiivi 95/46 ja määruse 2016/679 territoriaalsesse kohaldamisalasse.
53 Eelotsusetaotluse esitanud kohtu küsimuste eesmärk on kindlaks määrata, millise territoriaalse ulatusega peab linkide eemaldamine niisuguses olukorras olema.
54 Sellega seoses nähtub direktiivi 95/46 põhjendusest 10 ja ELTL artikli 16 alusel vastu võetud määruse 2016/679 põhjendustest 10, 11 ja 13, et direktiivi ja määruse eesmärk on tagada isikuandmete kõrgetasemeline kaitse kogu liidus.
55 Linkide eemaldamine kõigist otsingumootori versioonidest on tõepoolest sobilik seda eesmärki täielikult täitma.
56 Internet on nimelt piirideta ülemaailmne võrk ning otsingumootorid muudavad füüsilise isiku nimega tehtud otsingu tagajärjel kuvatavas tulemuste loetelus sisalduvad teabe ja lingid kõikjal kättesaadavaks (vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google, C‑131/12, EU:C:2014:317, punkt 80, ning 17. oktoobri 2017. aasta kohtuotsus Bolagsupplysningen ja Ilsjan, C‑194/16, EU:C:2017:766, punkt 48).
57 Globaliseerunud maailmas võib see, et internetikasutajatele, eelkõige nendele, kes asuvad väljaspool liitu, on kättesaadav otsingutulemustes sisalduv link, mis suunab teabe juurde, mis puudutab isikut, kelle huvide kese on liidus, avaldada sellele isikule vahetut olulist mõju isegi liidu siseselt.
58 Sellised kaalutlused võivad õigustada liidu seadusandja pädevust näha ette otsingumootori haldaja kohustus – juhul kui ta rahuldab sellise isiku esitatud taotluse linkide eemaldamiseks – eemaldada need lingid kõigist oma otsingumootori versioonidest.
59 Samas tuleb rõhutada, et paljud kolmandad riigid ei tunne õigust linkide eemaldamisele või on neil selle õiguse suhtes teistsugune lähenemisviis.
60 Pealegi ei ole õigus isikuandmete kaitsele absoluutne õigus, vaid seda tuleb käsitleda lähtuvalt selle ülesandest ühiskonnas ning kaaluda võrreldes muude põhiõigustega vastavalt proportsionaalsuse põhimõttele (vt selle kohta 9. novembri 2010. aasta kohtuotsus Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, punkt 48, ning 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 136). Sellele lisandub asjaolu, et tasakaal ühelt poolt õiguse eraelu puutumatusele ja isikuandmete kaitsele ning teiselt poolt internetikasutajate teabevabaduse vahel võib maailma eri paikades oluliselt erineda.
61 Kuigi liidu seadusandja kaalus määruse 2016/679 artikli 17 lõike 3 punktis a seda õigust ja seda vabadust liidu siseselt (vt selle kohta tänane kohtuotsus, GC jt (delikaatsetele andmetele viitavate linkide eemaldamine), C‑136/17, punkt 59), tuleb siiski tõdeda, et seevastu ei ole ta praeguseni sellise kaalumisega tegelenud seoses linkide eemaldamisega väljaspool liitu.
62 Täpsemalt ei nähtu kuidagi direktiivi 95/46 artikli 12 punkti b ja artikli 14 esimese lõigu punkti a sõnastusest ega määruse 2016/679 artikli 17 sõnastusest, et liidu seadusandja oleks käesoleva kohtuotsuse punktis 54 nimetatud eesmärgi saavutamise tagamiseks otsustanud omistada nende sätetega tunnustatud õigustele ulatuse, mis väljub liikmesriikide territooriumilt, ja et ta oleks kavatsenud panna sellisele ettevõtjale, kes nagu Google kuulub selle direktiivi või määruse kohaldamisalasse, linkide eemaldamise kohustuse, mis hõlmab ka tema otsingumootori riigipõhiseid versioone, mis ei vasta liikmesriikidele.
63 Lisaks tuleb märkida, et kuigi määruse 2016/679 artiklitega 56 ja 60–66 on liikmesriikide järelevalveasutustele antud vahendid ja mehhanismid, mis võimaldavad neil vajaduse korral teha koostööd, et jõuda ühisele otsusele, mis põhineb sellel, et kaalutakse andmesubjekti õigust eraelu puutumatusele ja tema isikuandmete kaitsele ning eri liikmesriikide üldsuse huvi teabega tutvuda, siis tuleb tõdeda, et liidu õiguses ei ole praegu ette nähtud selliseid vahendeid ja koostöömehhanisme seoses väljaspool liitu toimuva linkide eemaldamise ulatusega.
64 Sellest järeldub, et praeguses olukorras ei ole otsingumootori haldajal, kes rahuldab andmesubjekti taotluse linkide eemaldamiseks – tehes seda vajaduse korral liikmesriigi järelevalveasutuse või kohtu ettekirjutuse alusel –, liidu õigusest tulenevat kohustust eemaldada lingid kõigist otsingumootori versioonidest.
65 Kõiki neid kaalutlusi arvesse võttes ei saa otsingumootori haldaja olla direktiivi 95/46 artikli 12 punkti b ja artikli 14 esimese lõigu punkti a ning määruse 2016/679 artikli 17 lõike 1 alusel kohustatud eemaldama lingid kõigist oma otsingumootori versioonidest.
66 Mis puudutab küsimust, kas lingid tuleb eemaldada liikmesriikidele vastavatest otsingumootori versioonidest või ainult sellest versioonist, mis vastab eemaldamise taotleja elukoha liikmesriigile, siis tuleneb eelkõige asjaolust, et liidu seadusandja otsustas nüüd kehtestada andmekaitse eeskirjad määrusega, mis on vahetult kohaldatav kõikides liikmesriikides, ning seda eesmärgiga – nagu on rõhutatud määruse 2016/679 põhjenduses 10 – tagada järjekindel ja kõrgetasemeline kaitse kogu liidus ning kõrvaldada takistused andmete liikumisel liidus, et kõnealune eemaldamine peaks üldjuhul toimuma kõigis liikmesriikides.
67 Siiski on oluline märkida, et üldsuse huvi teatud teabega tutvuda võib isegi liidu piires liikmesriigiti erineda, mistõttu ühelt poolt selle huvi ning teiselt poolt andmesubjekti õiguse eraelu puutumatusele ja isikuandmete kaitsele kaalumise tulemus ei ole tingimata samasugune kõikide liikmesriikide jaoks, seda enam, et vastavalt direktiivi 95/46 artiklile 9 ja määruse 2016/679 artiklile 85 peavad liikmesriigid seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel või kunstilise või kirjandusliku eneseväljenduse tarbeks ette nägema vabastusi ja erandeid, mis on vajalikud, et ühitada need õigused eelkõige teabevabadusega.
68 Määruse 2016/679 artiklitest 56 ja 60 ilmneb, et kui artikli 56 lõikest 2 ei tulene vastupidist, peavad isikuandmete piiriülese töötlemise korral artikli 4 punkti 23 tähenduses erinevad asjasse puutuvad riigisisesed järelevalveasutused nendes sätetes ette nähtud menetluse kohaselt koostööd tegema, et saavutada konsensus ja ühtne otsus, mis on siduv kõigile neile asutustele ja mille järgimise peab vastutav töötleja tagama töötlemisel, mis toimub kõikides tema tegevuskohtades liidus. Lisaks kohustab määruse 2016/679 artikli 61 lõige 1 järelevalveasutusi muu hulgas andma üksteisele asjakohast teavet ja osutama vastastikust abi määruse järjepidevaks rakendamiseks ja kohaldamiseks kogu liidus ning määruse artiklis 63 on täpsustatud, et sel eesmärgil on ette nähtud järjepidevuse kontrollimise mehhanism, mis on kehtestatud määruse 2016/679 artiklitega 64 ja 65. Lõpuks võimaldab määruse 2016/679 artiklis 66 ette nähtud kiirmenetlus erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, viivitamata võtta ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud.
69 See õiguslik raamistik annab seega riigisisestele järelevalveasutustele vahendid ja mehhanismid, mis on vajalikud, et ühitada andmesubjekti õigus eraelu puutumatusele ja isikuandmete kaitsele kõikide liikmesriikide üldsuse huviga tutvuda kõnealuse teabega ning seega vajaduse korral teha linkide eemaldamise otsus, mis hõlmab kõiki selle isiku nimega liidu territooriumil tehtud otsinguid.
70 Lisaks peab otsingumootori haldaja võtma vajaduse korral piisavalt tõhusaid meetmeid, et tagada andmesubjekti põhiõiguste tõhus kaitse. Need meetmed ise peavad vastama kõigile seadusest tulenevatele nõuetele ja takistama internetikasutajatel liikmesriikides selle isiku nimega tehtud otsingu tulemusel kõnealustele linkidele ligi pääseda või vähemalt tõsiselt pärssima nende tahet seda teha (vt analoogia alusel 27. märtsi 2014. aasta kohtuotsus UPC Telekabel Wien, C‑314/12, EU:C:2014:192, punkt 62, ja 15. septembri 2016. aasta kohtuotsus Mc Fadden, C‑484/14, EU:C:2016:689, punkt 96).
71 Eelotsusetaotluse esitanud kohus peab kontrollima, kas – arvestades ka hiljutisi muudatusi, mis Google on oma otsingumootoris teinud ja mida on kirjeldatud käesoleva kohtuotsuse punktis 42 – Google’i võetud või välja pakutud meetmed vastavad nendele nõuetele.
72 Lõpuks on oluline rõhutada, et kuigi – nagu on märgitud käesoleva kohtuotsuse punktis 64 – kehtiv liidu õigus ei nõua, et kui linkide eemaldamise taotlus rahuldatakse, tuleb need eemaldada kõigist asjaomase otsingumootori versioonidest, ei ole see liidu õiguse kohaselt ka keelatud. Järelikult jääb liikmesriigi järelevalveasutusele või kohtule pädevus põhiõiguste kaitse riigisiseseid standardeid silmas pidades kaaluda (vt selle kohta 26. veebruari 2013. aasta kohtuotsus Åkerberg Fransson, C‑617/10, EU:C:2013:105, punkt 29, ja 26. veebruari 2013. aasta kohtuotsus Melloni, C‑399/11, EU:C:2013:107, punkt 60) ühelt poolt andmesubjekti õigust eraelu puutumatusele ja tema isikuandmete kaitsele ning teiselt poolt õigust teabevabadusele, ja kaalumise tulemusel vajaduse korral kohustada otsingumootori haldajat eemaldama lingid kõigist otsingumootori versioonidest.
73 Arvestades kõike eespool toodut, tuleb esitatud küsimustele vastata, et direktiivi 95/46 artikli 12 punkti b ja artikli 14 esimese lõigu punkti a ning määruse 2016/679 artikli 17 lõiget 1 tuleb tõlgendada nii, et kui otsingumootori haldaja rahuldab nende sätete alusel taotluse linkide eemaldamiseks, on ta kohustatud lingid eemaldama mitte kõigist oma otsingumootori versioonidest, vaid selle versioonidest, mis vastavad kõigile liikmesriikidele, ning seda vajaduse korral koos meetmetega, mis vastavad seadusest tulenevatele nõuetele ja võimaldavad samas tõhusalt takistada internetikasutajatel, kes teevad andmesubjekti nimega otsingu mõnes liikmesriigis, pääseda selle otsingu tagajärjel kuvatava tulemuste loetelu kaudu ligi taotluse esemeks olevatele linkidele, või vähemalt tõsiselt pärssima nende tahet seda teha.
Kohtukulud
74 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 12 punkti b ja artikli 14 esimese lõigu punkti a ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 17 lõiget 1 tuleb tõlgendada nii, et kui otsingumootori haldaja rahuldab nende sätete alusel taotluse linkide eemaldamiseks, on ta kohustatud lingid eemaldama mitte kõigist oma otsingumootori versioonidest, vaid selle versioonidest, mis vastavad kõigile liikmesriikidele, ning seda vajaduse korral koos meetmetega, mis vastavad seadusest tulenevatele nõuetele ja võimaldavad samas tõhusalt takistada internetikasutajatel, kes teevad andmesubjekti nimega otsingu mõnes liikmesriigis, pääseda selle otsingu tagajärjel kuvatava tulemuste loetelu kaudu ligi taotluse esemeks olevatele linkidele, või vähemalt tõsiselt pärssima nende tahet seda teha.
Allkirjad