Language of document : ECLI:EU:C:2018:1039

KOHTUJURISTI ETTEPANEK

MICHAL BOBEK

esitatud 19. detsembril 2018(1)

Kohtuasi C40/17

Fashion ID GmbH & Co. KG

versus

Verbraucherzentrale NRW e.V.

menetlusse astujad:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

(eelotsusetaotlus, mille on esitanud Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa))

Eelotsusetaotlus – Direktiiv 95/46/EÜ – Veebisaidi kasutajate isikuandmete kaitse – Tarbijakaitseühenduse õigus kohtusse pöörduda – Veebisaidi haldaja vastutus – Isikuandmete edastamine kolmandale isikule – Veebilehele lisatud pistikprogramm – Facebooki „like“-nupp – Õigustatud huvid – Andmesubjekti nõusolek – Teavitamiskohustus






I.      Sissejuhatus

1.        Fashion ID GmbH & Co. KG tegeleb moekaupade jaemüügiga internetis. Ta lisas oma veebisaidile pistikprogrammi – Facebooki „like“-nupu. Selle tulemusel edastatakse teave Fashion ID veebisaiti külastava kasutaja IP-aadressi ja veebilehitseja stringi kohta Facebookile. See edastamine toimub automaatselt Fashion ID veebisaidi laadimisel olenemata sellest, kas kasutaja on klõpsanud „like“-nuppu või kas tal on Facebooki konto.

2.        Saksamaa tarbijakaitseühendus Verbraucherzentrale NRW e.V taotles kohtult Fashion ID suhtes ettekirjutuse tegemist selle alusel, et kõnealuse pistikprogrammi kasutamine rikub andmekaitsealaseid õigusnorme.

3.        Asja menetlev Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa) palub tõlgendada mitut direktiivi 95/46/EÜ (edaspidi „direktiiv 95/46“)(2) sätet. Sissejuhatava küsimusena pärib eelotsusetaotluse esitanud kohus, kas see direktiiv lubab anda liikmesriigi õigusnormidega tarbijate ühendusele õiguse esitada selline hagi, nagu on käesolevas asjas esitatud. Sellele järgnev sisuline küsimus käsitleb seda, kas Fashion ID tuleks lugeda andmetöötluse osas „vastutavaks töötlejaks“, ning kui see on nii, siis kui täpselt on direktiivis 95/46 ette nähtud üksikud kohustused sellisel juhul täidetud. Kelle õigustatud huve tuleb direktiivi 95/46 artikli 7 punktis f nõutud huvide tasakaalustamisel arvesse võtta? Kas Fashion ID on kohustatud teavitama andmesubjekte andmete töötlemisest? Ning kas see on samuti Fashion ID, kes peab koguma andmesubjektidelt selle kohta teadliku nõusoleku?

II.    Õiguslik raamistik

A.      ELi õigus

Direktiiv 95/46

4.        Direktiivi 95/46 eesmärk on ära toodud selle esimeses artiklis. Selle artikli lõikes 1 on kirjas: „Vastavalt käesolevale direktiivile kaitsevad liikmesriigid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele“. Sama artikli lõikes 2 on sätestatud, et „Liikmesriigid ei piira ega keela isikuandmete vaba liikumist liikmesriikide vahel põhjustel, mis on seotud lõikes 1 sätestatud kaitsega“.

5.        Artikkel 2 sisaldab järgmisi määratlusi:

„a)      isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal;

b)      isikuandmete töötlemine (edaspidi „töötlemine“) – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;

[…]

d)      vastutav töötleja – füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja vahendid on kindlaks määratud siseriiklike või ühenduse õigusnormidega, võib vastutava töötleja või tema ametissemääramise sätestada siseriiklikus või ühenduse õiguses;

[…]

h)      andmesubjekti nõusolek – iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid.“

6.        Artiklis 7 on sätestatud kriteeriumid, mida tuleb järgida, et andmetöötlus oleks seaduslik: „Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:

a)      andmesubjekt on selleks andnud oma ühemõttelise nõusoleku või

[…]

f)      töötlemine on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles artikli 1 lõike 1 kohaselt kaitstavate andmesubjekti põhiõiguste ja -vabadustega seotud huvid.“

7.        Artiklis 10 on sätestatud minimaalne teave, mis tuleb andmesubjektile esitada:

„Liikmesriigid näevad ette, et vastutav töötleja või tema esindaja peab andmesubjektile, kellelt tema enda kohta andmeid kogutakse, esitama vähemalt järgmise teabe, kui ta seda juba ei tea:

a)      vastutava töötleja ja tema võimaliku esindaja andmed;

b)      andmete töötlemise eesmärk;

c)      täiendav teave, näiteks

–        andmete vastuvõtjad või vastuvõtjate kategooriad,

–        kas küsimustele vastamine on kohustuslik või vabatahtlik ja vastamata jätmise võimalikud tagajärjed,

–        isiku enda kohta käivate andmetega tutvumise ja nende parandamise õiguse olemasolu

kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete kogumise konkreetseid asjaolusid.“

8.        Direktiivi 95/46 III peatükk käsitleb õiguskaitsevahendeid, vastutust ja sanktsioone. Selles sisalduvates artiklites 22–24 on sätestatud:

„Artikkel 22

Õiguskaitsevahendid

Liikmesriigid sätestavad kõigi isikute õiguse kasutada õiguskaitsevahendeid, kui on rikutud õigusi, mis neile on antud kõigi asjaomase töötlemise suhtes kohaldatavate siseriiklike õigusaktidega, ilma et see piiraks ühegi võimaliku sätestatava haldusliku kaitsevahendi kohaldamist, muu hulgas artiklis 28 osutatud järelevalveasutuse kaudu enne küsimuse suunamist kohtutele.

Artikkel 23

Vastutus

1. Liikmesriigid sätestavad, et kõigil isikutel, kes on kandnud kahju ebaseadusliku töötlemise või käesoleva direktiivi rakendamiseks võetud siseriiklike sätetega vastuolus oleva teo tagajärjel, on õigus saada vastutavalt töötlejalt kompensatsiooni kantud kahju eest.

Vastutava töötleja võib kõnealusest vastutusest tervikuna või osaliselt vabastada, kui ta tõestab, et tema ei ole kahju põhjustanud sündmuse eest vastutav.

Artikkel 24

Sanktsioonid

Liikmesriigid võtavad sobivaid meetmeid, et tagada käesoleva direktiivi sätete täielik rakendamine, ja sätestavad eelkõige sanktsioonid, mida kohaldatakse käesoleva direktiivi kohaselt vastuvõetud sätete rikkumise puhul.“

B.      Saksamaa õigus

Kõlvatu konkurentsi vastane seadus

9.        Kõlvatu konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb, edaspidi „UWG“) § 3 lõike 1 kohaselt on ebaausad kauplemisvõtted keelatud.

10.      UWG § 8 lõikes 1 ja lõike 3 punktis 3 on sätestatud, et „pädevad üksused“, mis on kantud ettekirjutuste seaduse (Unterlassungsklagengesetz) alusel koostatud nimekirja või direktiivi 2009/22/EÜ tarbijate huve kaitsvate ettekirjutuste kohta(3) artikli 4 lõike 3 alusel komisjoni koostatud pädevate üksuste nimekirja, võivad taotleda kohtult ettekirjutust ebaausate kauplemisvõtete kasutamise lõpetamise ja sellest hoidumise või selle keelamise kohta.

Ettekirjutuste seadus

11.      Ettekirjutuste seaduse § 2 lõikes 1 ja lõike 2 punktis 11 on sätestatud:

„(1)      Isikule, kes rikub tarbijate kaitseks kehtestatud õigusnorme (tarbijakaitsenorme) muul viisil kui tüüptingimuste kohaldamisel või soovitamisel, võidakse teha tarbijate kaitse huvides ettekirjutus tegevuse lõpetamise ja sellest hoidumise või selle keelamise kohta.

(2)      Käesoleva sätte tähenduses on „tarbijakaitsenormid“ eeskätt:

[…]

11.      eeskirjad, mis reguleerivad

(a)      ettevõtja poolt tarbija isikuandmete kogumise või

(b)      ettevõtja poolt tarbija kaudu kogutud isikuandmete töötlemise või kasutamise

lubatavust, kui asjaomaseid andmeid kogutakse, töödeldakse või kasutatakse reklaami eesmärgil, turu- või arvamusuuringuteks, taustakontrolliks, isiku- või kasutajaprofiilide loomiseks, aadresside või muude andmete müügiks pakkumise eesmärgil või võrreldaval turunduslikul eesmärgil.“

Elektrooniliste teabe- ja sideteenuste seadus

12.      Elektrooniliste teabe- ja sideteenuste seaduse (Telemediengesetz, edaspidi „TMG“) § 2 lõikes 1 on sätestatud:

„Käesoleva seaduse tähenduses

1.      on teenuseosutaja iga füüsiline või juriidiline isik, kes teeb kasutamiseks kättesaadavaks või vahendab oma või võõraid teabe- ja sideteenuseid; […]“.

13.      TMG § 12 lõikes 1 on sätestatud: „Teenuseosutaja võib elektrooniliste teabe- ja sideteenuste kättesaadavaks tegemisel koguda ja kasutada isikuandmeid üksnes juhul, kui see on lubatud käesoleva seadusega või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga või kasutaja nõusolekul.“

14.      TMG § 13 lõikes 1 on sätestatud:

„Teenuseosutaja peab side toimumise alguses teavitama kasutajat üldiselt arusaadavas vormis tema isikuandmete kogumise ja kasutamise viisist, ulatusest ja eesmärkidest ning tema andmete töötlemisest riikides väljaspool [direktiivi 95/46/] kohaldamisala, kui seda ei ole juba eelnevalt tehtud. Automatiseeritud toimingu korral, mis võimaldab kasutajat hiljem identifitseerida ja valmistab ette isikuandmete kogumise või kasutamise, tuleb kasutajat teavitada toimingu alguses. Teavituse sisu peab olema kasutajale igal ajal kättesaadav.“

15.      TMG § 15 lõikes 1 on sätestatud:

„Teenuseosutaja võib kasutaja isikuandmeid koguda ja kasutada üksnes juhul, kui see on vajalik elektrooniliste teabe- ja sideteenuste konkreetse kasutuselevõtu võimaldamiseks ja arve esitamiseks (kasutusandmed). Kasutusandmed on eelkõige:

1.      tunnused kasutaja tuvastamiseks,

2.      andmed side toimumise alguse ja lõpu ning kestuse kohta ning

3.      andmed kasutatud elektrooniliste teabe- ja sideteenuste kohta.“

III. Faktid, menetlus ja eelotsuse küsimused

16.      Fashion ID (edaspidi „kostja“) tegeleb jaemüügiga internetis. Ta müüb oma veebisaidil moekaupu. Kostja lisas oma veebisaidile Facebook Ireland Limitedi (edaspidi „Facebook Ireland“)(4) „like“-pistikprogrammi. Selle tulemusel kuvatakse kostja veebisaidil niinimetatud Facebooki „like“-nupp.

17.      Eelotsusetaotluses selgitatakse, kuidas selle pistikprogrammi (nähtamatu) osa töötab: kui külastaja saabub kostja veebisaidile, millele on paigutatud Facebooki „like“-nupp, siis edastab tema veebilehitseja automaatselt teabe tema IP-aadressi ja veebilehitseja stringi kohta Facebook Irelandile. Selle teabe edastamine ei sõltu sellest, kas Facebooki „like“-nuppu on tegelikkuses klõpsatud. Samuti märgitakse eelotsusetaotluses, et kui kostja veebisaiti külastatakse, paigaldab Facebook Ireland teist liiki küpsised (sessioon-, datr- ja fr-küpsise) kasutaja seadmesse.

18.      Tarbijakaitseühendus Verbraucherzentrale NRW (edaspidi „hageja“) algatas menetluse kostja vastu Landgerichtis (esimese astme kohus, Saksamaa). Hageja taotleb, et kohus kohustaks kostjat lõpetama Facebooki sotsiaalvõrgustiku „like“-pistikprogrammi kasutamise selle alusel, et kostja väidetavalt:

–        „ei ole veebisaidi kasutajat sel viisil edastatud andmete kogumise ja kasutamise eesmärgist selgesti ja nähtavalt teavitanud veel enne seda, kui pistikprogrammi pakkuja hakkab asjaomase kasutaja IP‑aadressi või veebilehitseja stringi poole pöörduma, ja/või

–        ei ole küsinud veebisaidi kasutajatelt eelnevat nõusolekut nende IP‑aadressi ja veebilehitseja stringi poole pöördumiseks ja andmete kasutamiseks pistikprogrammi pakkuja poolt ja/või

–        ei ole kasutajaid, kes on andnud nõusoleku nõudepunkti 2 tähenduses, teavitanud selle tagasivõtmise võimalusest igal ajahetkel ning tulevikku suunatud toimega, ja/või

–        ei ole märkinud, et „Kui olete sotsiaalvõrgustiku kasutaja ega soovi, et sotsiaalvõrgustik kogub meie veebisaidi kaudu Teie kohta andmeid ja seostab neid sotsiaalvõrgustikus salvestatud kasutajaandmetega, siis peate enne meie veebisaidi külastamist sotsiaalvõrgustikust välja logima“.“

19.      Hageja väidab, et Facebook Inc. või Facebook Ireland salvestab vahendatud IP‑aadressi ja veebilehitseja stringi ning seostab selle teatava kasutajaga (olenemata sellest, kas ta on või ei ole sotsiaalvõrgustiku liige). Kostja vastuargument on, et ta ei ole sellest teadlik. Facebook Ireland väidab, et IP‑aadress muudetakse geneeriliseks IP‑aadressiks ja salvestatakse ainult sellisena ning et IP‑aadressi ja veebilehitseja stringi seostamist kasutajakontodega ei toimu.

20.      Landgericht (esimese astme kohus) tegi esimese kolme väite osas otsuse kostja kahjuks. Kostja esitas apellatsioonkaebuse. Hageja esitas neljanda väite osas vastuapellatsioonkaebuse.

21.      Selles faktilises ja õiguslikus kontekstis otsustas Oberlandesgericht Düsseldorf (liidumaa kõrgeim üldkohus Düsseldorfis) esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.      Kas Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artiklitega 22, 23 ja 24 on vastuolus selline siseriiklik õigusnorm, mis lisaks andmekaitseasutuste sekkumisõigusele ja andmesubjekti õiguskaitsevahendite kasutamise õigusele lubab rikkumiste korral pöörduda rikkuja vastu kohtusse tarbijate huve kaitsvatel mittetulundusühingutel?

Kui esimesele küsimusele tuleb vastata eitavalt:

2.      Kas sellises olukorras nagu käesolev, kus keegi lisab oma veebisaidile programmikoodi, mille tõttu kasutaja veebilehitseja pöördub kolmanda isiku pakutava sisu poole ja edastab selleks isikuandmeid kolmandale isikule, on programmkoodi lisaja „vastutav töötleja“ [direktiivi 95/46] artikli 2 punkti d tähenduses, kui ta ise ei saa asjaomast andmete töötlemist mõjutada?

3.      Kui teisele küsimusele tuleb vastata eitavalt: kas [direktiivi 95/46] artikli 2 punkti d tuleb tõlgendada nii, et see reguleerib vastutust ammendavalt, välistades kolmanda isiku tsiviilvastutuse, kui asjaomane isik ei ole „vastutav töötleja“, kuid annab võimaluse andmete töötlemiseks, seda ise mõjutamata?

4.      Kelle „õigustatud huvist“ tuleb sellises olukorras nagu käesolev lähtuda [direktiivi 95/46] artikli 7 punktis f ette nähtud kaalutlusõiguse teostamisel? Kas lähtuda tuleb huvist kolmandate isikute pakutava sisu lisamise vastu või kolmanda isiku huvist?

5.      Kellele tuleb sellises olukorras nagu käesolev anda [direktiivi 95/46] artikli 7 punktis a ja artikli 2 punktis h ette nähtud nõusolek?

6.      Kas [direktiivi 95/46] artikli 10 kohane teabe andmise kohustus kehtib sellises olukorras nagu käesolev ka veebisaidi käitaja suhtes, kes lisas veebisaidile kolmanda isiku pakutava sisu ja andis sellega kolmandale isikule võimaluse isikuandmete töötlemiseks?“

22.      Kirjalikud seisukohad on esitanud hageja, kostja, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Nordrhein-Westfaleni liidumaa andmekaitse- ja teabevabaduse volinik, edaspidi „LDI NW“), Belgia, Saksamaa, Itaalia, Austria, Poola ja komisjon. Kohtuistungil, mis peeti 6. septembril 2018, esitasid suulisi seisukohti hageja, kostja, Facebook Ireland, LDI NW, Belgia, Saksamaa, Austria ja komisjon.

IV.    Hinnang

23.      Asun käesolevas ettepanekus seisukohale, et direktiiviga 95/46 ei ole vastuolus liikmesriigi õigusnormid, mis annavad tarbijakaitseühendustele (nagu hageja) õiguse esitada hagi andmekaitsealaste õigusnormide väidetava rikkuja vastu (A). Samuti leian ma, et kostja on koos Facebook Irelandiga kaasvastutav töötleja, kusjuures tema vastutus piirdub andmetöötluse konkreetse etapiga (B). Kolmandaks olen seisukohal, et direktiivi 95/46 artikli 7 punktis f ette nähtud huvide tasakaalustamine nõuab, et arvesse võetaks mitte ainult kostja, vaid ka Facebook Irelandi õigustatud huve (ning muidugi ka andmesubjektide õigusi) (C). Neljandaks peab andmesubjekt olema andnud kostjale vastava andmetöötluse etapi kohta oma teadliku nõusoleku. Samuti on kostjal andmesubjektile teabe esitamise kohustus (D).

A.      Liikmesriigi õigusnormid, millega antakse kohtusse pöördumise õigus tarbijakaitseühendustele

24.      Esimeses küsimuses küsib eelotsusetaotluse esitanud kohus sisuliselt, kas direktiiviga 95/46 on vastuolus liikmesriigi õigusnorm, mis annab tarbijakaitseühendustele õiguse pöörduda kohtusse isiku vastu, kes väidetavalt rikub andmekaitsenorme. Sellega seoses viitab eelotsusetaotluse esitanud kohus konkreetselt direktiivi 95/46 artiklitele 22–24. Ta märgib, et vaidlusaluseid liikmesriigi õigusnorme võib pidada „sobivaks meetmeks“ artikli 24 tähenduses. Lisaks rõhutab ta, et direktiivi 95/46 asendanud määruse (EL) 2016/679 (edaspidi „GDPR“)(5) artikli 80 lõikes 2 on nüüd selline õigus ühendustele sõnaselgelt antud.(6)

25.      Kostja ja Facebook Ireland väidavad, et direktiiv 95/46 ei anna sellistele ühendustele kohtusse pöördumise õigust, kuna seda ei ole sõnaselgelt ette nähtud ja direktiivi 95/46 eesmärk on nende hinnangul täielik ühtlustamine. Kostja väitel ohustaks sellisel viisil kohtusse pöördumise õiguse andmine järelevalveasutuste sõltumatust tulenevalt avalikkuse survest, mille alla need asutused satuksid.

26.      Hageja, LDI NW ja kõik käesolevas asjas oma seisukoha esitanud valitsused on ühel meelel, et vaidlusalune regulatsioon ei ole vastuolus direktiiviga 95/46.

27.      Nõustun viimati esitatud seisukohaga.(7)

28.      Pean kõigepealt oluliseks meenutada ELTL artikli 288 kolmandas lõigus sisalduvat konstitutsioonilist (põhi)reeglit, mille kohaselt „direktiiv on saavutatava tulemuse seisukohalt siduv iga liikmesriigi suhtes, kellele see on adresseeritud, kuid jätab vormi ja meetodite valiku selle riigi ametiasutustele“, et nad leiaks parima viisi direktiivi eesmärgi saavutamiseks.(8)

29.      Sellest tuleneb, et direktiivis ette nähtud kohustuste täitmiseks on liikmesriigid vabad võtma nende poolt sobivaks peetavaid meetmeid, kui need ei ole direktiivis endas sõnaselgelt välistatud ega lähe vastuollu direktiivi eesmärgiga.

30.      Direktiivi 95/46 tekstis ei ole sõnaselgelt välistatud võimalust, et liikmesriigi õigusnormidega antakse kohtusse pöördumise õigus tarbijate õigusi kaitsvatele ühendustele.

31.      Direktiiviga 95/46 taotletav eesmärk on „tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste ning eelkõige nende eraelu puutumatuse tõhus ja täielik kaitse“.(9) Lisaks ei tohi direktiivi 95/46 põhjenduse 10 kohaselt „õigusaktide ühtlustamise tagajärjel nendega pakutav kaitse väheneda, vaid vastupidi – ühenduses tagatava kaitstuse tase peab olema kõrgem“.(10)

32.      Eelotsusetaotlusest võib välja lugeda, et Saksamaa on andnud kohtusse pöördumise õiguse sellistele ühendustele nagu hageja, kes võivad vaidlustada nende poolt ebaseaduslikuks peetava kaubandustava või praktika, mis rikub tarbijakaitse alaseid õigusnorme, sealhulgas andmekaitsenorme.

33.      Selles kontekstis ma ei mõista, kuidas sellise kohtusse pöördumise õiguse andmine võiks olla mingilgi moel vastuolus direktiivi 95/46 eesmärkidega või kahjustada nende eesmärkide saavutamist. Pigem näib seda liiki ühendustele kohtusse pöördumise õiguse andmine edendavat direktiivi eesmärkide saavutamist ja rakendamist, aidates tõhusalt kaasa andmesubjektide õiguste tugevdamisele kollektiivsete õiguskaitsevahendite abil.(11)

34.      Ma leian, et seega ei ole liikmesriikidel keelatud soovi korral anda ühendustele sellist kohtusse pöördumise õigust nagu see, mis lubab hagejal esitada hagi põhikohtuasjas.

35.      Seda vastust arvestades pean mõneti ekslikuks käesolevas menetluses tekkinud arutelu selle üle, kas vaidlusalused liikmesriigi õigusnormid peaksid olema „sobiva meetmena“ konkreetselt hõlmatud direktiivi 95/46 artikliga 24 või kuuluma hoopis artikli 22 kohaldamisalasse. Kui liikmesriikidel on õigus rakendada direktiivi mis tahes viisil, mida nad sobivaks peavad, ning konkreetne rakendusviis ei ole keelatud direktiivi sätte ega eesmärgiga, siis omab vaid teisejärgulist tähtsust see direktiivi konkreetne artikkel, mille alla võidakse teatav liikmesriigi meede liigitada.(12) Ning igal juhul võib artiklis 24 ette nähtud kohustust võtta „sobivaid meetmeid, et tagada käesoleva direktiivi sätete täielik rakendamine“ tõlgendada nii, et see hõlmab ka käesolevas asjas vaidluse all olevaid riigisiseseid norme.

36.      Ma ei arva, et seda üldist järeldust mõjutaksid kuidagi järgmised kaalutlused, mida käesoleva menetluse käigus arutati.

37.      Esiteks on tõsi, et direktiivi 95/46 ei ole nimetatud direktiivi 2009/22 I lisas olevas nimekirjas. Nimetatud direktiivis on sätestatud eeskirjad hagide kohta, mida võivad esitada niinimetatud „pädevate üksused“ tarbijate ühishuve edendamiseks.(13) Nimekiri I lisas sisaldab mitut direktiivi ning direktiivi 95/46 nende hulgas ei ole.

38.      Siiski, nagu Saksamaa valitsus märgib, ei või direktiivi 2009/22 I lisas olevat nimekirja pidada ammendavaks selles mõttes, et sellega oleksid vastuolus liikmesriigi õigusnormid, mis võimaldavad esitada ettekirjutust taotlevaid hagisid seoses direktiivi 2009/22 I lisas nimetamata direktiivides sisalduvate eeskirjadega. A fortiori oleks väga üllatav, kui sellist teiseses õigusaktis sisalduvat näitlikku nimekirja tuleks äkitselt tõlgendada nii, et sellega on liikmesriikidelt võetud neile aluslepingus ette nähtud võimalus valida, kuidas direktiivi rakendada.

39.      Teiseks käsitlen nüüd kostja ja Facebook Irelandi argumenti, mis puudutab direktiiviga 95/46 silmas peetud täielikku ühtlustamist, mis välistab nende arvates igasugused meetmed, mis ei ole sõnaselgelt ette nähtud.

40.      On tõsi, et Euroopa Kohus on järjekindlalt leidnud, et direktiivist 95/46 tulenev ühtlustamine ei ole minimaalne, vaid see toob kaasa „täieliku harmoniseerimise“.(14) Ent samas on ka märgitud, et sama direktiiv „annab liikmesriikidele teatavates valdkondades teatava manööverdamisruumi“, tingimusel et järgitakse direktiivi 95/46.(15)

41.      Nagu olen mujal välja pakkunud,(16) ei saa küsimusele, kas ELi õiguse tasandil on ette nähtud „täielik ühtlustamine“ (seadusandliku ammenduvuse tähenduses, välistades liikmesriikide poolt mis tahes õigusaktide kehtestamise), läheneda üldiselt terve õigusvaldkonna või direktiivi reguleerimiseseme alusel. Selle asemel tuleb selline hinnang anda asjaomase direktiivi iga konkreetse normi (teatava reegli või spetsiifilise aspekti) suhtes.

42.      Kui vaadata direktiivi 95/46 konkreetseid „menetluslikke“ sätteid, nimelt artikleid 22–24, mis on asjakohased käesolevas asjas, siis need on sõnastatud väga üldiselt.(17) Võttes arvesse nende sätete üldistatuse ja abstraktsuse taset, oleks üsna äärmuslik väita, et nende sätted on seadusandlikult ammendavad, välistades igasugused liikmesriikide meetmed, mida ei ole neis artiklites konkreetselt nimetatud.(18)

43.      Kolmandaks puudutas veel üks kostja argument järelevalveasutuste(19) sõltumatust. Sisuliselt väidetakse, et kui tarbijate ühendustele antaks kohtusse pöördumise õigus, siis esitaksid need ühendused nõudeid paralleelselt järelevalveasutusega ja/või tema asemel, mis tooks kaasa üldsuse surve järelevalveasutusele ja tema erapoolikuse ning põhjustaks lõpuks vastuolu direktiivi artikli 28 lõikes 1 sätestatud järelevalveasutuste täieliku sõltumatuse nõudega.

44.      See ei ole tõsine argument. Eeldades, et selline järelevalveasutus on tegelikkuses tõesti sõltumatu,(20) ei suuda ma – nagu ka Saksamaa valitsus – mõista, kuidas selline hagi nagu põhikohtuasjas võiks seda sõltumatust ohustada. Ühendus ei saa jõustada õigust selles mõttes, et tema seisukoht muutuks järelevalveasutusele kohustuslikuks. Selline pädevus on ainult kohtutel. Tarbijate ühendus saab ainult samamoodi nagu üksiktarbijagi esitada hagi. Väide, et eraisiku või tarbijate ühenduse iga (eraõiguslik) hagi paneks asutuse, kellele on pandud (avalik-õiguslik) järelevalvekohustus, surve alla ning et sellise hagi esitamise võimalust paralleelselt avalik-õigusliku jõustamissüsteemiga ei tohiks seetõttu lubada, on seetõttu sedavõrd kummaline, et puudub eriline vajadus seda argumenti rohkem käsitleda.(21)

45.      Neljanda ja viimasena käsitlen argumenti, mille kohaselt GDPR artikli 80 lõiget 2 tuleks mõista nii, et sellega muudetakse (vastupidiseks) eelnev olukord ja võimaldatakse midagi (ühenduste poolt kohtusse pöördumine), mis ei olnud varem lubatud.

46.      See ei ole veenev argument.

47.      Oluline on meelde tuletada, et direktiivi 95/46 asendamisel GDPRiga muutus asjaomaseid eeskirju sisaldava instrumendi liik direktiivist määruseks. See muudatus tähendab ka seda, et erinevalt direktiivist, mille puhul liikmesriikidele on jäetud vabadus valida ise viis selle õigusakti rakendamiseks, võib määrust rakendavaid liikmesriigi õigusnorme põhimõtteliselt kehtestada vaid siis, kui selleks on antud sõnaselge volitus.

48.      Sellest vaatenurgast on küsitav argument, justkui tähendaks asjaolu, et GDPRis on nüüd ette nähtud ühenduste kohtusse pöördumise õigus, et see oli direktiivi 95/46 kohaselt välistatud. Kui sellest võrdlusest üldse mingit järeldust teha,(22) siis oleks see pigem vastupidine: kui nimetatud direktiiviga ei olnud kohtusse pöördumise õiguse andvad normid keelatud (vastavalt minu poolt käesolevas ettepanekus esitatud argumentidele), siis õigusliku vormi muutumine direktiivist määruseks põhjendab sellekohase sätte lisamist, tegemaks selgeks, et selline võimalus on endiselt kehtiv.

49.      Eeltoodut arvesse võttes teen seetõttu esimese vahekokkuvõtte, et direktiiviga 95/46 ei ole vastuolus liikmesriigi õigusnormid, mis annavad avalikes huvides tegutsevatele ühendustele õiguse pöörduda väidetava andmekaitsenormide rikkuja vastu tarbijate huvide kaitseks kohtusse.

B.      Kas Fashion ID on andmete vastutav töötleja?

50.      Teise küsimusega küsib eelotsusetaotluse esitanud kohus, kas olukorras, kus kostja lisab oma veebisaidile pistikprogrammi, mille tõttu kasutaja veebilehitseja pöördub kolmanda isiku pakutava sisu poole ja edastab selleks isikuandmeid sellele kolmandale isikule, on kostja „vastutav töötleja“ direktiivi 95/46 artikli 2 punkti d tähenduses, isegi kui ta ise ei saa asjaomast andmete töötlemist mõjutada.

51.      Saan eelotsusetaotluse esitanud kohtu poolt selles küsimuses kasutatud väljendist „ei saa asjaomast andmete töötlemist mõjutada“ aru nii, et käesoleva asja kontekstis ei ole see seotud andmete edastamise protsessi põhjustamisega (ning faktilisel tasandil on kostjal selgelt võimalik seda mõjutada, sest tema on kõnealuse pistikprogrammi oma veebilehele lisanud). Pigem näib siin olevat silmas peetud andmete võimalikku edasist töötlemist Facebook Irelandi poolt.

52.      Nagu eelotsusetaotluse esitanud kohus märgib, ulatub tema teisele küsimusele antava vastuse mõju palju kaugemale käesolevast asjast ning Facebook Irelandi sotsiaalvõrgustikust. Erinevat liiki kolmandate isikute koodi on lisatud paljudele veebisaitidele. Kui selline isik nagu kostja loetaks „vastutavaks töötlejaks“, kes on (kaas)vastutav kogutud andmete igasuguse (järgneva) töötlemise eest, mis on võimalik seetõttu, et ta lisas veebisaidi käitajana sellele kolmanda isiku koodi, tehes sellega võimalikuks selliste andmete edastamise, siis sellisel seisukohal oleks kindlasti laiem mõju kolmandate isikute koodi kasutamisviisidele.

53.      Käesoleva asja kontekstis on teine küsimus ühtlasi ka võtmeküsimus, mis puudutab vahetult käesoleva vaidluse tuuma: kui veebisaidile on lisatud kolmanda isiku kood, siis kes on vastutav ja konkreetselt mille eest? Sellele küsimusele antava vastuse (eba)täpsus omab mõju ka vastamisel järgmistele küsimustele õigustatud huvide, nõusoleku ja teavitamiskohustuse kohta.

54.      Käesolevas osas esitan kõigepealt sissejuhatuseks isikuandmete mõiste kohta mõned käesolevas asjas asjakohased märkused (1). Seejärel kirjeldan Euroopa Kohtu hiljutist praktikat, millest lähtudes saaks teisele küsimusele vastata, kui rohkem midagi pärimata võttagi aluseks Euroopa Kohtu varasemad otsused (2). Seejärel selgitan, miks tuleks siiski võib-olla esitada veel mõned küsimused ja käesoleva asja kontekstis analüüsi mõneti täpsustada (3). Kokkuvõttes rõhutan seoses mõiste „(kaas)vastutus“ määratlemisega vajadust „eesmärkide ja vahendite“ ühtsuse järele, mis peab valitsema (kaas)vastutavate töötlejate vahel asjaomaste isikuandmete vastavate töötlemisetappide (töötlemistoimingute) osas (4).

1.      Isikuandmed käesolevas asjas

55.      Tuleb meelde tuletada, et mõiste „isikuandmed“ on direktiivi 95/46 artikli 2 punktis a määratletud kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta“. Sama direktiivi põhjendus 26 selgitab sellega seoses, et „isiku tuvastatavuse kindlakstegemisel tuleb arvesse võtta kõiki vahendeid, mida volitatud töötleja või keegi muu võib andmesubjekti tuvastamiseks tõenäoliselt kasutada“.

56.      Euroopa Kohus on juba selgitanud, et IP-aadressid võivad teatavatel tingimustel kujutada endast isikuandmeid.(23) Euroopa Kohus on lisaks märkinud, et „tuvastatava isiku“ olemasoluks direktiivi 95/46 artikli 2 punkti a tähenduses „ei pea need andmed ise võimaldama kõnealust isikut tuvastada“ ning et võib olla vaja kasutada täiendavaid andmeid. Samuti on ta märkinud, et „ei ole nõutud, et kõik isikut tuvastada võimaldavad andmed oleksid ühe isiku valduses“, kui võimalus ühendada vastavad andmed „kujutab endast meedet, mida võidakse tõenäoliselt kasutada kõnealuse isiku tuvastamiseks“.(24)

57.      Eelotsusetaotluse esitanud kohus ei selgita, kas asjaomane IP-aadress ise või ühendatuna veebilehitseja stringiga, mis samuti edastatakse, kujutab endast isikuandmeid nende kriteeriumide tähenduses. Facebook Ireland näib sellise kvalifikatsiooni vaidlustavat.(25)

58.      On selge, et sellekohase hindamise peab läbi viima liikmesriigi kohus. Üldiselt aga on seoses mis tahes lisatava pistikprogrammi või kolmanda isiku koodiga andmete isikuandmeteks liigitamiseks tingimata nõutav, et asjaomased andmed võimaldaksid andmesubjekti (otseselt või kaudselt) tuvastada. Loen käesolevas asjas enesestmõistetavaks, kuivõrd see näib tulenevat eelotsusetaotluse esitanud kohtu küsimustest, et IP-aadress ja veebilehitseja string kujutavad endast põhikohtuasja asjaoludel isikuandmeid ning vastavad direktiivi 95/46 artikli 2 punkti a kriteeriumidele, nagu Euroopa Kohus on neid selgitanud.

2.      Wirtschaftsakademie Schleswig-Holstein locuta, causa finita?

59.      Teise küsimuse vastuse osas väidavad kostja ja Facebook Ireland, et kostjat ei saa pidada vastutavaks töötlejaks, kuna tal puudub mõju töödeldavate isikuandmete üle. Nii võib ainult Facebook Irelandi lugeda vastutavaks töötlejaks. Teise võimalusena väidab Facebook Ireland, et kostja tegutseb koos temaga kaasvastutava töötlejana, kusjuures sellise isiku nagu kostja vastutus on samas piiratud tema tegeliku mõju sfääriga.

60.      Hageja, LDI NW ja kõik käesolevas asjas menetlusse astunud valitsused ning samuti komisjon jagavad sisuliselt seisukohta, et mõistel „vastutav töötleja“ on lai tähendus ja et see hõlmab kostjat. Ent nende seisukohad kostja vastutuse täpse ulatuse osas erinevad suuresti. Erimeelsused puudutavad küsimust, kas kostja vastutus peaks (või ei peaks) olema Facebook Irelandiga ühine, kas nende kaasvastutus peaks või ei peaks piirduma isikuandmete töötlemise etapiga, millesse kostja on tegelikult kaasatud, ja kas selles kontekstis tuleks neid kostja veebisaidi külastajad, kellel on Facebooki konto, eristada nendest külastajatest, kellel seda ei ole.

61.      Lähtekohana on direktiivi 95/46 artikli 2 punktist d selge, et mõiste „vastutav töötleja“ hõlmab isikut, kes „määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid“.(26) Mõiste „vastutav töötleja“ võib seega viidata mitmele isikuandmete töötlemises osalevale isikule(27) ja seda tuleks tõlgendada laialt(28).

62.      Euroopa Kohus on hiljuti käsitlenud kaasvastutuse küsimust oma otsuses Wirtschaftsakademie Schleswig-Holstein.(29)Seoses Facebooki fännilehe haldajaga leidis Euroopa Kohus, et see haldaja oli koos Facebook Irelandiga vastutav töötleja direktiivi 95/46 artikli 2 punkt d tähenduses. Seda sellepärast, et see haldaja osales koos Facebook Irelandiga fännilehe külastajate isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises.(30)

63.      Konkreetsemalt märkis Euroopa Kohus, et kõnealuse fännilehe loomisega andis haldaja Facebook Irelandile „võimaluse paigutada küpsiseid tema fännilehte külastanud isiku arvutisse või muusse seadmesse“ ja seega töödelda isikuandmeid.(31) Euroopa Kohus märkis, et „Facebookis majutatava fännilehe loomisel peab fännilehe haldaja määrama lähtuvalt oma sihtgrupist ja oma tegevuse juhtimise või müügiedenduse eesmärkidest fännilehe seaded, mis mõjutavad isikuandmete töötlemist fännilehe külastuste põhjal koostatava statistika tarbeks“.(32) Kõnealune töötlemine võimaldas Facebook Irelandil „arendada oma reklaamisüsteemi“, andes samal ajal haldajale vahendid juhtida anonümiseeritud statistika abil paremini oma tegevuse müügiedendust.(33)

64.      Euroopa Kohus järeldas, et kõnealune haldaja osaleb seeläbi, et ta „seadistab fännilehe“ oma fännilehe külastajate isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises. Seetõttu tuleb ta lugeda koos Facebook Irelandiga selle töötlemise eest vastutavaks töötlejaks (kusjuures „veelgi olulisem“ on tema vastutus seoses nende isikute isikuandmete töötlemisega, kes ei ole Facebooki kasutajad).(34)

65.      Kohtuotsuses Jehovan todistajat selgitas Euroopa Kohus veel ühte olulist seika seoses mõistega „kaasvastutav töötleja“: kaasvastutus ei eelda, et igal vastutaval töötlejal oleks juurdepääs (kõikidele) asjaomastele isikuandmetele. Nii võib usuühendus olla kaasvastutav töötleja ka juhtudel, kus sellel ühendusel endal ei ole ilmselt juurdepääsu asjaomastele kogutud andmetele. Selles kohtuasjas olid isikuandmed füüsiliselt üksikute Jehoova tunnistajate liikmete valduses. Piisas sellest, et nimetatud usuühendus korraldas, koordineeris ja julgustas kuulutustööd, mille käigus isikuandmeid koguti.(35)

66.      Kui pidada silmas kõrgemat abstraktsioonitasandit ning keskenduda ainult kaasvastutusele, siis ma kaldun nõustuma, et selliseid hiljutisi kohtu seisukohti arvestades tuleb järeldada, et kostja tegutseb vastutava töötlejana ning on koos Facebook Irelandiga andmetöötluse eest kaasvastutav.(36)

67.      Esiteks näib, et kostja võimaldas Facebook Irelandil saada oma valdusse kostja veebisaidi kasutajate isikuandmed, kasutades selleks kõnealust pistikprogrammi.

68.      Teiseks on tõsi, et erinevalt fännilehe haldajast kohtuasjas Wirtschaftsakademie Schleswig-Holstein ei näi kostja olevat kindlaks määranud mingeid seadeid oma lehe kasutajaid puudutava teabe kohta, mis oleks talle anonümiseeritult või muul kujul tagasi saadetud. Soovitav „kasu“ näib olevat tema toodete tasuta reklaam, mida väidetavalt tehakse, kui tema veebisaidi kasutaja otsustab vajutada Facebooki „like“-nuppu jagamaks oma Facebooki konto kaudu mõtteid näiteks musta õhtukleidi kohta. Seega, kui eelotsusetaotluse esitanud kohus seda faktilist asjaolu kinnitab, võimaldab pistikprogrammi kasutamine kostjal optimeerida oma toodete reklaamimist, tehes need nähtavaks Facebookis.

69.      Alternatiivselt saab teisest vaatenurgast lähtudes väita, et kostja määrab kogutavate andmete seaded (ühiselt) kindlaks juba pelgalt sellega, et lisab vaidlusaluse pistikprogrammi oma veebisaidile. See pistikprogramm määrab ise kindlaks kogutavate isikuandmete seaded. Nii on kostja selle tööriista vabatahtlikult oma veebisaidile paigaldades määranudki kindlaks kõnealused seaded iga tema veebisaidi külastaja suhtes.

70.      Kolmandaks ning igal juhul saab kohtuotsust Jehovan todistajat arvestades liigitada isiku kaasvastutavaks töötlejaks isegi siis, kui tal ei ole juurdepääsu „ühise töö viljadele“. Nii ei paista selles küsimuses olevat otsustav asjaolu, et kostjal ei ole juurdepääsu Facebookile edastatud andmetele või et ta ei saa ilmselt vastu mingit talle sobival viisil töödeldud või koondatud statistikat.

3.      Probleemid: kes siis ei ole kaasvastutav töötleja?

71.      Kas tõhusale kaitsele aitaks kaasa see, kui igaüks pandaks selle tagamise eest vastutama?

72.      See on kokkuvõetult käesolevas asjas ilmnenud sügavam moraalne ja praktiline dilemma, mis õiguslikult väljendub mõiste „(kaas)vastutav töötleja“ kohaldamisala küsimuses. Lähtudes mõistetavast soovist tagada isikuandmete tõhus kaitse, on Euroopa Kohtu viimase aja praktika olnud mõiste „(kaas)vastutav töötleja“ ühel või teisel moel sisustamisel väga kaasav. Ent siiani ei ole Euroopa Kohus pidanud kaaluma sellisest kõikehõlmavast määratlusest tulenevaid praktilisi tagajärgi seoses järgneva vajadusega panna paika kaasvastutavateks töötlejateks liigitatud isikute täpsed kohustused ja konkreetne vastutus. Kuna käesolev asi pakub just sellist võimalust, soovitan sellest kinni haarata ja suurendada täpsust, mida mõiste „(kaas)vastutav töötleja“ määratlus vajab.

a)      Kohustus ja vastutus

73.      Kui vaadata „kaasvastutava töötleja“ tuvastamiseks kohaldatavaid kriteeriume kriitiliselt, siis näib, et põhikriteeriumiks on pärast kohtuotsuseid Wirtschaftsakademie Schleswig-Holstein ja Jehovan todistajat kujunenud see, et asjaomane isik „võimaldab“ isikuandmete kogumist ja edastamist, ning sellega kaasneb võibolla mõningane sisend, mille selline kaasvastutav töötleja annab seoses seadetega (või kui ta need vähemalt vaikimisi heaks kiidab).(37) Kui see on nii, siis on isegi kohtuotsuses Wirtschaftsakademie Schleswig-Holstein selgelt märgitud vastupidisest kavatsusest(38)hoolimata raske näha, miks täpselt ei muutuks sotsiaalvõrgustike või muude koostööplatvormide laadsete veebirakenduste ja ka muude programmide(39) tavalised kasutajad samuti kaasvastutavateks töötlejateks. Kasutaja loob tavaliselt oma konto, andes selle haldajale seaded, kuidas tema konto peab olema struktureeritud, millist teavet ning mille kohta ja kellelt ta soovib saada. Samuti kutsub ta oma sõpru, kolleege ja muid isikuid jagama selle rakenduse kaudu teavet (tavaliselt üsna tundlikegi) isikuandmete kohta, seega mitte ainult jagades andmeid nende isikute kohta, vaid ühtlasi kutsudes ka neid isikuid endid sellega tegelema, aidates sellega selgelt kaasa nende isikute isikuandmete saamisele ja töötlemisele.

74.      Ning kuidas suhtuda teistesse „isikuandmete ahela“ osalistesse? Kui minna äärmuslikuks ja lugeda ainsaks asjakohaseks kaasvastutuse kriteeriumiks andmetöötluse võimaldamine, seega sisuliselt sellele töötlemisele mis tahes etapil kaasa aitamine, kas siis internetiteenuse pakkuja, kes teeb andmetöötluse võimalikuks sellega, et ta annab juurdepääsu internetile, või isegi elektritarnija ei ole samuti kaasvastutavad töötlejad, kes vastutavad potentsiaalselt ühiselt isikuandmete töötlemise eest?

75.      Intuitiivne vastus on muidugi eitav. Probleem seisneb selles, et mõiste „vastutav töötleja“ laiast määratlusest ei tulene vastutuse eraldusjooni. Kui see määratlus on liiga lai, siis valitseb oht, et isikuandmete töötlemise eest kaasvastutab terve rida isikuid.

76.      Ent erinevalt eelmises osas mainitud kohtuasjadest ei lõpe eelotsusetaotluse esitanud kohtu poolt käesolevas asjas esitatud küsimused sellega, kuidas määratleda mõistet „vastutav töötleja“. Järgnevates küsimustes uuritakse sellega seotud teemasid – kuidas peaksid jagunema direktiivis 95/46 ette nähtud konkreetsed kohustused. Need küsimused näitavad juba iseenesest probleeme, mis tekivad liiga hõlmavast mõiste „vastutav töötleja“ määratlusest ning mida võimendab direktiivis 95/46 täpsete eeskirjade puudumine selle kohta, mis täpselt on vastutavate töötlejate kohustused ja vastutus. Seda illustreerivad hästi viienda ja kuuenda küsimuse kohta esitatud menetlusosaliste seisukohad, milles käsitletakse direktiivist tulenevate kohustuste täpset jagunemist.

77.      Viiendas küsimuses küsitakse sisuliselt seda, kes peaks saama andmesubjekti nõusoleku ja mille kohta. Sellele küsimusele pakutud vastused erinevad märgatavalt.

78.      Hageja ja LDI NW on seisukohal, et kohustus saada andmesubjekti teadlik nõusolek lasub kostjal, kes otsustas oma veebilehele lisada vaidlusaluse pistikprogrammi. See on hageja hinnangul veelgi olulisem seoses Facebooki mittekasutajatega, kes ei ole nõustunud Facebooki üldtingimustega. Kostja on seisukohal, et nõusoleku peab andma kolmandale isikule, kellelt lisatud kood pärineb, nimelt Facebook Irelandile. Facebook Ireland on seisukohal, et nõusolekut ei ole vaja anda konkreetsele adressaadile, kuna direktiivis 95/46 on ette nähtud ainult see, et nõusolek peab olema vabatahtlik, konkreetne ja teadlik.

79.      Austria, Saksamaa ja Poola on seisukohal, et nõusolek tuleb anda enne andmete töötlemise alustamist ning Austria hinnangul peab see hõlmama nii andmete kogumist kui ka nende võimalikku edastamist. Poola rõhutab, et nõusolek tuleb anda kostjale. Saksamaa leiab, et see tuleb anda kostjale või lisatud koodi andnud kolmandale isikule (Facebook Ireland), kuna nad mõlemad on töötlemise eest kaasvastutavad. Kostja peab saama ainult nõusoleku andmete edastamiseks kolmandale isikule, kuna andmete kogu ülejäänud töötlemise ja kasutamise osas ei tegutse ta enam vastutava töötlejana. See aga ei välista võimalust, et veebisaidi haldaja saab nõusoleku andmete töötlemiseks kolmanda isiku poolt, mida võib reguleerida nendevahelise lepinguga. Itaalia on seisukohal, et nõusolek tuleb anda kõikidele isikutele, kes osalevad asjaomaste isikuandmete töötlemises, nimelt kostjale ja Facebook Irelandile. Belgia ja komisjon rõhutavad, et direktiivis 95/46 ei ole ette nähtud, kellele tuleb nõusolek anda.

80.      Samasugune seisukohtade erinevus valitseb seoses eelotsusetaotluse esitanud kohtu kuuenda küsimusega, mis käsitleb seda, kes on direktiivi 95/46 artikli 10 kohaselt kohustatud andmesubjekti teavitama ning millest täpselt.

81.      Hageja sõnul on vajaliku teabe kohustatud andmesubjektile andma veebisaidi haldaja. Kostja on esitanud vastupidise väite, rõhutades, et teavet on kohustatud andma Facebook Ireland, kuna kostjale ei ole see täpselt teada. Samamoodi rõhutab Facebook Ireland, et teavitamiskohustus on temal, kuna see kohustus on suunatud ainult vastutavale töötlejale (või tema esindajale). Ta märgib, et vastus kuuendale küsimusele on tihedalt seotud sellega, kas veebisaidi haldaja on vastutav töötleja. Artiklist 10 nähtub, et veebisaidi haldaja vastutavaks töötlejaks liigitamine ei ole kohane, kuna tal ei ole võimalik seda teavet anda. LDI NW leiab, et selle teabe peab andma veebisaidi haldaja, kuid möönab raskusi selle kindlaksmääramisel, mis teave tuleks esitada, kuna kostja ei saa mõjutada andmete töötlemist Facebook Irelandi poolt. Andmetöötluse eesmärkide omavahelisest seotusest tuleneb, et veebisaidi haldaja peaks olema kaasvastutav töötlemise eest, kuna tema on teinud selle võimalikuks.

82.      Belgia, Itaalia ja Poola on seisukohal, et teavitamiskohustus on kohaldatav ka sellisele veebisaidi haldajale nagu käesolevas asjas, kuivõrd ta tuleb lugeda vastutavaks töötlejaks. Belgia lisab, et veebisaidi haldajal võib samuti olla kohustus kontrollida edasise andmetöötluse eesmärki ja võtta vajalikke meetmeid füüsiliste isikute kaitse tagamiseks. Saksamaa valitsus väidab, et teavitamiskohustus on kohaldatav veebisaidi haldajale osas, milles ta töötlemise eest vastutab, nimelt andmete edastamise osas lisatud koodi omanikust kolmandale isikule, aga mitte kogu järgneva andmetöötluse osas, mille eest vastutab see kolmas isik. Austria ja komisjon on seisukohal, et direktiivi 95/46 artiklis 10 sätestatud teavitamiskohustus kehtib nii veebisaidi haldaja kui ka kõnealuse kolmanda isiku suhtes.

83.      Lisaks viienda ja kuuenda küsimusega tõstatatud teemadele võib lisada, et sarnased kontseptuaalsed raskused tekivad ka siis, kui kaalutakse teisi direktiivis 95/46 sätestatud kohustusi, nagu näiteks selle artiklis 12 ette nähtud õigust tutvuda andmetega. On tõsi, et Euroopa Kohtu poolt kohtuotsuses Wirtschaftsakademie Schleswig-Holstein märgitu kohaselt „ei nõua direktiiv 95/46 juhul, kui sama töötlemise eest kaasvastutab mitu töötlejat, et igaühel neist oleks juurdepääs asjasse puutuvatele isikuandmetele“.(40) Ent vastutav töötleja, kellel endal ei ole juurdepääsu andmetele, mille suhtes ta on sellele vaatamata liigitatud (kaas)vastutavaks töötlejaks, ei saa loogiliselt võimaldada andmesubjektil nende andmetega tutvuda (rääkimata täiendavatest toimingutest, nagu andmete parandamine või kustutamine).

84.      Seega muudab siin selguse puudumine kontseptuaalsel tasandil (kes on vastutav töötleja ja mille suhtes täpselt), mis võib mõnel puhul tuua kaasa selguse puudumise kohaldamise tasandil (mis on kellegi kohustused), potentsiaalse kaasvastutava töötleja jaoks sisuliselt võimatuks kehtivat õigust järgida.

85.      Muidugi võib väita, et vastutuse täpseks piiritlemiseks (potentsiaalselt päris mitme kaas)vastutava töötleja vahel tuleks sõlmida lepingud. Sellised lepingud ei võimaldaks mitte ainult piiritleda vastutuse jagunemise, vaid neis saaks määrata kindlaks ka direktiivis sätestatud iga konkreetset kohustust täitva lepinguosalise, sealhulgas selliste kohustuste osas, mida saab füüsiliselt täita vaid üks osapool.

86.      Minu meelest on selline väide väga problemaatiline. Esiteks on see täiesti ebarealistlik, võttes arvesse selliste formaalsete tüüplepingute tihedat võrgustikku, mille peaks sõlmima kõik asjaosalised, sealhulgas väga tõenäoliselt ka tavalised kasutajad.(41) Teiseks seataks sellega kehtiva õiguse kohaldamine ja selles ette nähtud vastutuse jaotus sõltuvusse eraõiguslikest lepingutest, millega kolmandatel isikutel, kes sooviksid oma õigusi kaitsta, ei ole võimalik tutvuda.

87.      Kolmandaks näib GDPRi artiklis 26 olevat võib-olla mõnda neist küsimustest ennetavalt kehtestatud uus kaasvastutuse kord. On muidugi tõsi, et GDPR ei olnud ratione temporis kohaldatav käesolevas asjas viidatud kohtuasjades ega ole seda ka käesolevas asjas. Ent kui asjakohaste mõistete määratlused uues õigusaktis konkreetselt või süsteemselt ei erine ja GDPR artiklis 4 ongi suuresti säilitatud samad võtmemõisted nagu direktiivi 95/46 artiklis 2 (lisades veel rea uusi), siis oleks üsna üllatav, kui selliste võtmemõistete nagu „vastutav töötleja“, „töötlemine“ või „isikuandmed“ tõlgendus lahkneks (ilma mõjuva põhjuseta) oluliselt senisest kohtupraktikast.

88.      Kui see on nii, siis võib GDPR artikli 26 lõikes 3 ette nähtud kaasvastutavate töötlejate ühise vastutuse kord osutuda märkimisväärseks väljakutseks. Ühelt poolt näeb GDPR artikli 26 lõige 1 ette, et kaasvastutavad töötlejad „määravad kaasvastutava töötleja vastutusvaldkonna […] kohustuste täitmisel“. Ent teiselt poolt, GDPR artikli 26 lõike 3 kohaselt „võib andmesubjekt kasutada […] õigusi [iga] vastutava töötleja suhtes ja vastu“ sõltumata sellise kokkuleppe tingimustest. Seega võib iga kaasvastutav töötleja olla vastutav kõnealuse andmetöötluse eest.

b)      Suurem pilt

89.      Kaua aega tagasi (teatava ulmesarja austajad võiksid siin lisada „ühes väga kauges galaktikas“) oli moodne olla sotsiaalvõrgustikus. Siis tuli aegamisi moodi mitte olla sotsiaalvõrgustikus. Tänapäeval näib seal olemist peetavat lausa kuriteoks (ning nende võrgustike suhtes on kehtestatud uudsed solidaarvastutuse vormid).

90.      Ei saa eitada, et kohtumõistmine leiab aset arenevas sotsiaalses kontekstis. Kohtupraktika peab muidugi sellele kontekstile reageerima, ent ei tohi lasta end sellest juhtida. Sotsiaalvõrgustik on vahend nagu iga teinegi rakendus või programm. Samamoodi nagu nuga või autot võib seda kasutada paljudel eri viisidel. Samuti puudub kahtlus, et kui seda kasutatakse valel eesmärgil, siis tuleks sellise kasutamise eest karistada. Ent võib-olla ei ole parim mõte karistada igaühte, kes on kunagi nuga kasutanud. Tavaliselt karistatakse noakasutajaid siis, kui nad on tekitanud kahju.

91.      Võim, kontroll ja vastutus peaksid kui mitte võib-olla täpselt üksteisele vastama, siis olema vähemasti mõistlikus omavahelises seoses. Kaasaegses õiguses leidub muidugi objektiivse vastutuse eri vorme, mis kuuluvad kohaldamisele pelgalt teatavate tagajärgede ilmnemisel. Ent need on pigem põhjendatud erandid. Kui ilma põhjenduseta pandaks vastutus kellelegi, kellel puudub kontroll asjaomase tagajärje üle, siis peetakse sellist vastutust tavaliselt ebamõistlikuks või ebaõiglaseks.(42)

92.      Lisaks vastaks Euroopa Liidu idapoolsest osast pärit skeptiline isik käesoleva osa alguses (punktis 71) esitatud küsimusele, arvestades oma ajaloolist kogemust, et millegi tõhus kaitse kipub oluliselt nõrgenema, kui kõik selle eest vastutama panna. Kui kõik peavad vastutama, siis ei vastuta tegelikult keegi. Või pigem isegi peidaks see üks isik, kes mingis asjas tegelikult kontrolli omab ja peaks selle eest tõepoolest vastutama, ennast tõenäoliselt nende kõikide nominaalsete „kaasvastutajate“ taha, mis lahjendaks oluliselt tõhusat kaitset.

93.      Ning viimasena tuleb veel märkida, et hea seaduse (tõlgenduse) mõjul ei peaks tekkima olukorda, kus seaduse adressaadid ei saaks tegelikult selles sätestatut täita. Kui ei soovita, et üldine (kaas)vastutuse määratlus ei muutuks kohtute poolt jõustatavaks käsuks kõikidele osapooltele sidemed katkestada ja hoiduda sotsiaalvõrgustike, pistikprogrammide ja võimaliku muu kolmandate isikute koodi kasutamisest, siis peaks kõnealuste kohustuste ja vastutuse määratlemisel võtma arvesse ka tegelikkust, sealhulgas selliseid küsimusi nagu teadlikkus ja tegelik läbirääkimisvõimekus ning võimalus mõjutada isikule omistatavaid tegevusi.(43)

4.      Tagasi (seadusandlike) juurte juurde: töötlemistoimingu vahendite ja eesmärkide ühtsus

94.      Lähtudes küll kohtuotsuses Wirtschaftsakademie Schleswig-Holstein üsnagi üldisest kaasvastutuse määratlusest, vihjas Euroopa Kohus samas ka vajadusele piirata (kaas)vastutava töötleja vastutust. Euroopa Kohtu sõnul „ei tähenda kaasvastutuse olemasolu tingimata, et isikuandmete töötlemisse kaasatud erinevad ettevõtjad vastutavad võrdselt. […] need ettevõtjad võivad olla isikuandmete töötlemisse kaasatud eri etappides ja erineval määral, mistõttu tuleb neist igaühe vastutust hinnata juhtumi kõiki tähtsust omavaid asjaolusid arvesse võttes“.(44)

95.      Kui kohtuasjas Wirtschaftsakademie Schleswig-Holstein ei olnud vaja seda konkreetset küsimust käsitleda, siis käesolevas asjas on see vajadus olemas ning eelotsusetaotluse esitanud kohus palub konkreetselt, et Euroopa Kohus määraks kindlaks kostja kohustused, mis tulenevad tema staatusest vastutava töötlejana.

96.      Kui võtta arvesse hiljuti kehtestatud kaasvastutuse korda GDPR artiklis 26, siis võib olla raske näha, kuidas kaasvastutus võiks tähendada erinevat vastutust seoses sama tagajärjega, mille isikuandmete potentsiaalselt (eba)seaduslik töötlemine põhjustab. Seda eriti arvestades GDPR artikli 26 lõiget 3, milles näib olevat võetud suund ühise (solidaar)vastutuse suunas.(45)

97.      Arvan siiski, et võtmetähtsusega on siin Euroopa Kohtu teine sedastus, nimelt et „need ettevõtjad võivad olla isikuandmete töötlemisse kaasatud eri etappides ja erineval määral“. Sellist seisukohta toetavad direktiivi 95/46 mõisted, eelkõige 1) mõiste „töötlemine“ artikli 2 punktis b ja 2) mõiste „vastutav töötleja“ artikli 2 punktis d.

98.      Esiteks on mõiste „isikuandmete töötlemine“ määratletud kui „iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine“.

99.      Ehkki mõiste „isikuandmete töötlemine“ on niisamuti üsna lai nagu mõiste „vastutav töötleja“,(46) peetakse selles selgelt silmas mingit töötlemise etappi: selles viidatakse toimingule või toimingute kogumile ja tuuakse ära selliste üksikute toimingute näitlik nimekiri. Ent siis peaks loogiliselt ka kontrolli küsimust hindama seoses iga asjaomase eraldiseisva toiminguga ja mitte seoses igasuguste tegevuste ebamäärase hulgaga, mida kogumis nimetatakse töötlemiseks.(47)

100. Teiseks ei ole mõistet „kaasvastutus“ direktiivis 95/46 konkreetselt määratletud. Ent loogiliselt rajaneb see mõiste mõistel „vastutav töötleja“ artikli 2 punktis d: kaasvastutuse olukord esineb siis, kui kaks või enam isikut määravad koos kindlaks isikuandmete töötlemise eesmärgid ja vahendid.(48) Ehk teisisõnu, et kaks (või enam) isikut loetaks kaasvastutavateks töötlejateks, peavad nende kummagi isikuandmete töötlemise eesmärgid ja vahendid ühtima.

101. Minu arvates tuleb kaasvastutavate töötlejate kohustused ja võimalik vastutus määrata kindlaks nende kahe mõiste kombinatsioonis. (Kaas)vastutav töötleja vastutab toimingu või toimingute kogumi eest, kui ta jagab asjaomase konkreetse töötlemistoimingu eesmärke ja vahendeid või osaleb nende kindlaksmääramisel. Seevastu ei saa sellist isikut pidada vastutavaks üldise töötlemisahela eelnevate ega järgnevate etappide eest, mille puhul tal ei olnud võimalik kindlaks määrata selle töötlemisetapi eesmärke ega vahendeid.

102. Käesolevas asjas seisneb asjaomane töötlemis(toimingut)e etapp isikuandmete kogumises ja edastamises, mis toimub Facebooki „like“-nupu abil.

103. Esiteks, mis puudutab nende andmetöötlustoimingute vahendeid, siis nagu märgivad hageja, LDI NW ja Saksamaa valitsus, näib puuduvat vaidlus selle üle, et kostja otsustab isikuandmete kogumise ja edastamise vahendina kasutatava pistikprogrammi kasutamise. Andmete kogumise ja edastamise käivitab kostja veebisaidi külastamine. Selle pistikprogrammi andis kostjale Facebook Ireland. Facebook Ireland ja kostja näivad seega mõlemad olevat tahtlikult põhjustanud andmetöötluse kogumise ja edastamise etapi. Liikmesriigi kohus peab seda faktide osas muidugi kontrollima.

104. Teiseks, mis puudutab kõnealuse andmetöötluse eesmärki, siis eelotsusetaotluses ei ole märgitud põhjust, miks kostja otsustas lisada oma veebisaidile Facebooki „like“-nupu. Ent selle otsuse näib olevat ajendanud soov suurendada kostja toodete nähtavust sotsiaalvõrgustikus, muidugi kui eelotsusetaotluse esitanud kohus seda kinnitab. Samas näib ka, et Facebook Irelandile edastatud andmeid kasutatakse tema omaenda ärihuvides.

105. Vaatamata asjaolule, et andmete konkreetne äriline kasutamine ei pruugi olla sama, näivad kostja ja Facebook Ireland üldiselt taotlevat ärilisi eesmärke viisil, mis on vastastikku täiendav. Olemata küll identsed, näib siiski eksisteerivat ärilise ja reklaamialase eesmärgi ühtsus.

106. Käesoleva asja faktilistel asjaoludel näib seega olevat nii, et kostja ja Facebook Ireland otsustavad isikuandmete kogumise ja edastamise etapis ühiselt kõnealuse andmetöötluse eesmärgid ja vahendid. Selles osas tegutseb kostja vastutava töötlejana ning tema vastutus on selles osas samuti Facebook Irelandiga ühine.

107. Samas ma leian, et kostja vastutus peaks piirduma selle andmetöötluse etapiga, milles ta osaleb, ning see vastutus ei tohiks üle kanduda võimalikesse järgnevatesse andmetöötluse etappidesse, kui neis toimub töötlemine väljapool kostja kontrolli ja ilmselt ka tema teadmata.

108. Eeltoodut arvestades on minu teine vahekokkuvõte, et selline isik nagu kostja, kes on lisanud oma veebisaidile kolmanda isiku pistikprogrammi (kolmas isik on selle pistikprogrammi pakkuja), mis käivitab kasutajate isikuandmete kogumise ja edastamise, tuleb lugeda vastutavaks töötlejaks direktiivi 95/46 artikli 2 punkti d tähenduses. Ent selle vastutava töötleja (kaas)vastutus piirdub nende isikuandmete töötlemise toimingutega, mille eesmärkide ja vahendite kindlaksmääramisel ta tegelikult osaleb.

109. Tuleks lisada, et see järeldus vastab ka kolmandale eelotsuse küsimusele. Selle küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas direktiiviga 95/46 on vastuolus riigisisese õigusmõiste Störer (kaasaaitaja) kohaldamine kostja suhtes, kui tuvastatakse, et kostjat ei saa pidada vastutavaks töötlejaks. Eelotsusetaotluse kohaselt nõuab mõiste Störer, et isik, kes ise ei riku õigust, ent kes on loonud sellise rikkumise riski kolmanda isiku poolt või seda suurendanud, teeks kõik mõistlikult endast oleneva rikkumise ärahoidmiseks. Kui ka kostjat ei saa pidada vastutavaks töötlejaks, on eelotsusetaotluse esitanud kohtu hinnangul täidetud eeldused mõiste Störer kohaldamiseks, kuna Facebooki „like“-nupu pistikprogrammi lisamisega on kostja vähemasti põhjustanud rikkumise riski Facebooki poolt.

110. Arvestades eelotsusetaotluse esitanud kohtu teisele küsimusele esitatud vastust, puudub vajadus vastata kolmandale küsimusele. Kui on tuvastatud, et teatav isik tuleb liigitada vastutavaks töötlejaks direktiivi 95/46 tähenduses, siis tuleb tema kohustusi vastutava töötlejana hinnata selles direktiivis sätestatud kohustuste valguses. Vastupidine järeldus tooks teatavate rikkumiste korral kaasa vastutavate töötlejate erineva vastutuse eri liikmesriikides. Selles mõttes ning seoses mõistega „vastutav töötleja“ on direktiivi 95/46 eesmärk täielik ühtlustamine selle määratletud kohustuste adressaatide osas.(49)

C.      Õigustatud huvid, mida peab arvesse võtma vastavalt direktiivi 95/46 artikli 7 punktile f

111. Neljas käesolevas asjas esitatud küsimus käsitleb isikuandmete töötlemise õigustatust direktiivi 95/46 artikli 7 punktis a ette nähtud andmesubjekti nõusoleku puudumisel.

112. Selles suhtes viitab eelotsusetaotluse esitanud kohus direktiivi 95/46 artikli 7 punktile f, mille kohaselt võib isikuandmeid töödelda, kui see on „vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles […] andmesubjekti põhiõiguste ja -vabadustega seotud huvid“. Konkreetsemalt soovib eelotsusetaotluse esitanud kohus kindlaks teha, kelle õigustatud huve tuleb käesoleva asja kontekstis arvesse võtta: kas kolmanda isiku koodi lisanud kostja huve või selle kolmanda isiku (Facebook Irelandi) enda huve.(50)

113. Sissejuhatuseks tuleb märkida, et komisjoni hinnangul on neljas küsimus asjakohatu, kuna käesolevas asjas tuleb igal juhul saada kasutaja nõusolek, kuna kohaldamisele kuuluvad õigusnormid, millega on rakendatud direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (edaspidi „e-privaatsuse direktiiv“).(51)

114. Nõustun komisjoniga, et e-privaatsuse direktiiv (mis selle artikli 1 lõike 2 kohaselt täpsustab ja täiendab direktiivi 95/46 elektroonilise side sektoris)(52) näib olevat käesolevas asjas arutatava olukorra suhtes kohaldatav niivõrd, kuivõrd toimub küpsiste salvestamine kasutajate seadmetesse.(53) Lisaks on e-privaatsuse direktiivi artikli 2 punktis f ja põhjenduses 17 nõusolek määratletud viitega mõistele „nõusolek“ direktiivis 95/46.

115. Kohtuistungil arutati omajagu selle üle, kas põhikohtuasja arutatavas juhtumis oli tegemist kasutajate seadmetesse küpsiste salvestamisega. Liikmesriigi kohus peab seda fakti selgitama. Ent igal juhul märgib eelotsusetaotluse esitanud kohus eelotsusetaotluses, et tema hinnangul oli edastatud andmete puhul tegemist isikuandmetega.(54) Küpsiste teema ei näi seega pakkuvat vastust kõikidele küsimustele, mis käesolevas asjas seoses andmetöötlusega ilmselt tõusetuvad.(55)

116. Olen seetõttu seisukohal, et küsimus 4 nõuab täiendavat kaalumist.

117. Hageja väidab, et arvesse tuleb võtta kostja õigustatud huvi. Ta lisab, et ei kostja ega Facebook Ireland ei saa väita, et neil on käesolevas asjas õigustatud huvi.

118. Kostja ja Facebook Ireland väidavad sisuliselt, et kaaluda tuleb kolmanda isiku koodi lisanud isiku ning samuti asjaomase kolmanda isiku õigustatud huve, võttes samal ajal arvesse ka veebisaidi külastajate huve, kuna riivata võidakse nende põhiõigusi.

119. LDI NW, Poola, Saksamaa ja Itaalia leiavad, et arvesse tuleb võtta nii kostja kui ka Facebook Irelandi õigustatud huve, kuna nad mõlemad on teinud kõnealuse andmete töötlemise võimalikuks. Austria toetab sarnast seisukohta. Samamoodi ning viitega Euroopa Kohtu otsusele Google Spain rõhutab Belgia, et arvesse tuleb võtta vastutava töötleja õigustatud huve ning samuti nende kolmandate isikute omi, kellele asjaomased isikuandmed on edastatud.

120. Kõigepealt tuleb märkida, et igasugune isikuandmete töötlemine peab põhimõtteliselt muu hulgas vastama ühele andmetöötluse lubatavuse kriteeriumidest, mis on loetletud direktiivi 95/46 artiklis 7.(56)

121. Konkreetsemalt seoses artikli 7 punktiga f on Euroopa Kohus märkinud, et see säte näeb ette kolm kumulatiivset tingimust, mille täitmisel on isikuandmete töötlemine seaduslik: esiteks peab vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute tegevus olema suunatud oma õigustatud huvide elluviimisele, teiseks peab isikuandmete töötlemine olema vajalik nimetatud õigustatud huvide elluviimiseks, ja kolmandaks peab olema täidetud tingimus, et selliseid huve ei kaalu üles andmesubjekti kaitstavate põhiõiguste ja -vabadustega seotud huvid.(57)

122. Direktiivis 95/46 ei ole õigustatud huve määratletud ega loetletud. See mõiste näib olevat üsna elastne ja avatud.(58) Ükski huvide liik ei ole välistatud, seda muidugi tingimusel, et sellised huvid on seaduslikud. Nagu sisuliselt leiti kohtuistungil ning on märgitud käesolevas ettepanekus,(59) näib käesolevas asjas olevat tegemist isikuandmete kogumise ja edastamisega reklaami optimeerimise eesmärgil, ehkki kostja ja Facebook Irelandi ärilised lõppeesmärgid ei pruugi olla täpselt samad.

123. Neid kaalutlusi arvestades nõustun, et turustamine või reklaam võivad iseenesest olla selliseks õigustatud huviks.(60) Oleks väga keeruline sellest tõdemusest käesoleva asja kontekstis kaugemale minna, kuna peale nende üldiste avalduste puudub konkreetne teave selle kohta, kuidas selliselt edastatud ja saadud andmeid täpselt kasutatakse.

124. Ent eelotsusetaotluse esitanud kohus ei ole esitanud kaalutlusi ega palunud ka juhiseid seoses põhikohtuasjas esindatud konkreetsete õigustatud huvide hindamisega. Oma neljandas küsimuses soovib eelotsusetaotluse esitanud kohus kindlaks teha pelgalt seda, kelle õigustatud huve tuleb direktiivi 95/46 artikli 7 punktis f nõutud huvide tasakaalustamisel arvesse võtta.

125. Minu pakutud vastusest teisele küsimusele lähtudes leian, et arvesse tuleb võtta nii kostja kui ka Facebook Irelandi õigustatud huve, kuna nad mõlemad on kaasvastutavad töötlejad vastava isikuandmete töötlemistoimingu osas.

126. Kuna nende staatusest kaasvastutavate töötlejatena tuleneb, et neil on ühised isikuandmete töötlemise eesmärgid, siis peab vastavalt käesolevas ettepanekus selgitatule tuvastama vähemalt üldisel tasandil õigustatud huvi olemasolu nende mõlemate puhul. See huvi tuleb seejärel tasakaalustada andmesubjektide õigustega, nagu on ette nähtud direktiivi 95/46 artikli 7 punkti f viimases osas,(61) kusjuures see tasakaalustamine „sõltub põhimõtteliselt asjaomase üksikjuhtumi konkreetsetest asjaoludest“(62). Tuletan meele, et sellises olukorras peab andmetöötlus samuti vastama vajalikkuse tingimusele.(63)

127. Eeltoodust tulenevalt on mu kolmas vahekokkuvõte, et hinnates isikuandmete töötlemise võimalikkust direktiivi 95/46 artikli 7 punktis f sätestatud tingimuste alusel, tuleb arvesse võtta mõlema asjaomase kaasvastutava töötleja õigustatud huve ning tasakaalustada need andmesubjektide õigustega.

D.      Kostja kohustused seoses nõusolekuga, mis tuleb andmesubjektilt saada, ja teabega, mis tuleb andmesubjektile anda

128. Viienda küsimusega soovib eelotsusetaotluse esitanud kohus teada, kellele tuleb käesoleva asja asjaoludel anda direktiivi 95/46 artikli 7 punktis a ja artikli 2 punktis h nõutav nõusolek.

129. Kuuenda küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas direktiivi 95/46 artiklis 10 sätestatud teavitamiskohustus on käesoleva asja asjaoludel kohaldatav veebisaidi haldajale (nagu kostja), kes on lisanud oma saidile kolmanda isiku koodi ning sellega põhjustanud isikuandmete töötlemise selle kolmanda isiku poolt.

130. Nagu on eespool märgitud,(64) pakutakse neile küsimustele tervet rida erinevaid vastuseid. Ent kui teises küsimuses silmas peetud kohustuste täpne laad on kord juba kindlaks määratud, nii kohustatud isiku (kes) kui ka kohustuste sisu (mis) osas, ning sellega on eelnev küsimus lahendatud, siis saab selgemaks ka vastus viiendale ja kuuendale küsimusele, mis puudutavad teatavaid järgnevaid kohustusi.

131. Ennekõike leian ma, et nii nõusolek kui ka esitatav teave peavad hõlmama kõiki andmetöötlustoimingu(te) aspekte, mille eest kaasvastutavad töötlejad ühiselt vastutavad, nimelt andmete kogumist ja edastamist. Seevastu ei laiene nõusolek ja teavitamiskohustus järgmistele andmetöötluse etappidele, milles kostja ei osale ning mille suhtes ta järelikult ei määra kindlaks ei vahendeid ega eesmärke.

132. Teiseks võib neil tingimustel väita, et nõusoleku võib anda ühele kaasvastutavatest töötlejatest. Ent käesolevas konkreetses olukorras tuleb nõusolek anda kostjale, kuna töötlemistoimingu käivitab tema veebisaidi külastamine. Andmesubjektide õiguste tõhusa ja õigeaegse kaitsmisega ei oleks ilmselt kooskõlas, kui nõusolek antaks ainult sellele kaasvastutavale töötlejale, kes (võibolla) kaasatakse hiljem, kui andmete kogumine ja edastamine on juba toimunud.

133. Samasugune vastus tuleb anda seoses teavitamiskohustusega, mis kostjal on vastavalt direktiivi 95/46 artiklile 10. Selles sättes on loetletud minimaalne teave, mille vastutav töötleja (või tema esindaja) peab andmesubjektile esitama. See hõlmab järgmisi elemente: vastutava töötleja (või tema esindaja) andmed, andmete töötlemise eesmärk ning täiendav teave, kui see on „vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete kogumise konkreetseid asjaolusid“. Artiklis 10 on esitatud sellise täiendava teabe näiteid, millest käesolevas asjas võib olla asjakohane teave andmete vastuvõtja kohta või teave isiku enda kohta käivate andmetega tutvumise ja nende parandamise õiguse olemasolu kohta.

134. Sellest loetelust on kostjal selgelt võimalik esitada teave kaasvastutavate töötlejate, asjaomase töötlemisetapi (toiming(ud) mille eest ta on kaasvastutav) ning samuti asjaolu kohta, et andmed edastatakse.

135. Mis aga puudutab andmetega tutvumise ja nende parandamise õigust, siis ma saan aru, et ka kostjal endal ei ole võimalik tutvuda Facebook Irelandile edastatud andmetega, kuna ta ei osale kuidagi nende andmete säilitamises. Nii võib näiteks väita, et seda küsimust peaks käsitlema leping Facebook Irelandiga.

136. Ent selliste ettepanekutega püütakse peale eespool esitatud argumentide(65) jällegi laiendada (kaas)vastutavate töötleja(te) kohustusi ja vastutust toimingitele, mille eest nad ei vastuta. Kui kaasvastutus tähendab vastutust toimingu(te) eest, mille osas valitseb vastutavate töötlejate eesmärkide ja vahendite ühtsus, siis loogiliselt peavad muud direktiivi kohaselt sellest tulenevad kohustused, nagu nõusolek, teavitamine, andmetega tutvumine või parandamine vastama selle algse kohustuse ulatusele.(66)

137. Komisjon märkis kohtuistungil samuti, et need külastajad, kellel on Facebooki konto, võivad olla juba varem andnud nõusoleku taoliseks andmete edastamiseks. See tooks kaasa kostja diferentseeritud vastutuse, sest komisjoni mõte näib ilmselt olevat, et kostja teavitamiskohustus ja nõusoleku küsimise kohustus on sellisel juhul kohaldatavad ainult nende tema veebisaidi külastajate suhtes, kellel ei ole Facebooki kontot.

138. Ma ei nõustu. Mul on raske võtta omaks ideed, et käesoleva asja asjaoludel tuleks „Facebooki kasutajaid“ kohelda diferentseeritult (vähem kaitsvalt), kuna nad on juba nõustunud võimalusega, et Facebook töötleb nende (mis tahes ja iga liiki) isikuandmeid. Selline argument tähendaks, et Facebooki konto avamisel annab selline „Facebooki kasutaja“ juba ette nõusoleku tema veebitegevust puudutavate andmete igasuguse töötlemisega mis tahes kolmanda isiku poolt, olgu nende suhe Facebookiga milline tahes. See on nii isegi olukordades, kus puuduvad ilmsed märgid sellise andmetöötluse kohta (nagu näib olevat olukord siis, kui isik pelgalt külastab kostja veebisaiti). Ehk teisisõnu, komisjoni pakutuga nõustumine tähendaks sisuliselt, et Facebooki konto avamisega on kasutaja suhetes Facebookiga sisuliselt loobunud oma isikuandmete igasugusest kaitsest.

139. Seetõttu ma leian, et kostja vastutus ja sellest tulenev nõusoleku küsimise ja teabe andmise kohustus peavad olema andmesubjektide suhtes samad olenemata sellest, kas neil on Facebooki konto või mitte.

140. Lisaks on samuti selge, et nõusolek ja teave tuleb anda enne andmete kogumist ja edastamist.(67)

141. Eeltoodust tulenevalt on mu viimane vahekokkuvõte vastuseks viiendale ja kuuendale küsimusele, et sellises olukorras nagu käesolevas asjas tuleb direktiivi 95/46 artikli 7 punktis a ette nähtud andmesubjekti nõusolek anda sellisele veebisaidi haldajale nagu kostja, kes on lisanud oma veebisaidile kolmanda isiku koodi. Direktiivi 95/46 artiklit 10 tuleb tõlgendada nii, et selles normis ette nähtud teavitamiskohustus kehtib ka taolise veebisaidi haldaja suhtes. Andmesubjekti nõusolek tuleb vastavalt direktiivi 95/46 artikli 7 punktile a saada ning teave vastavalt sama direktiivi artikli 10 anda enne andmete kogumist ja edastamist. Nende kohustuste ulatus peab vastama isikuandmete kogumist ja edastamist hõlmava haldaja kaasvastutuse ulatusele.

V.      Ettepanek

142. Eeltoodut arvestades teen Euroopa Kohtule ettepaneku vastata Oberlandesgericht Düsseldorfi (liidumaa kõrgeim üldkohus Düsseldorfis, Saksamaa) küsimustele järgmiselt:

–        Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiviga 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ei ole vastuolus liikmesriigi õigusnormid, mis annavad avalikes huvides tegutsevatele ühendustele õiguse pöörduda väidetava andmekaitsenormide rikkuja vastu tarbijate huvide kaitseks kohtusse.

–        Isik, kes on lisanud oma veebisaidile kolmanda isiku pistikprogrammi (kolmas isik on selle pistikprogrammi pakkuja), mis käivitab kasutajate isikuandmete kogumise ja edastamise, tuleb lugeda vastutavaks töötlejaks direktiivi 95/46 artikli 2 punkti d tähenduses. Ent selle vastutava töötleja (kaas)vastutus piirdub nende isikuandmete töötlemise toimingutega, mille eesmärkide ja vahendite kindlaksmääramisel ta tegelikult osaleb.

–        Hinnates isikuandmete töötlemise võimalikkust direktiivi 95/46 artikli 7 punktis f sätestatud tingimuste alusel, tuleb arvesse võtta mõlema asjaomase kaasvastutava töötleja õigustatud huve ning tasakaalustada need andmesubjektide õigustega.

–        Direktiivi 95/46 artikli 7 punktis a ette nähtud andmesubjekti nõusolek tuleb anda veebisaidi haldajale, kes on lisanud oma veebisaidile kolmanda isiku koodi. Direktiivi 95/46 artiklit 10 tuleb tõlgendada nii, et selles normis ette nähtud teavitamiskohustus kehtib ka taolise veebisaidi haldaja suhtes. Andmesubjekti nõusolek tuleb vastavalt direktiivi 95/46 artikli 7 punktile a saada ning teave vastavalt sama direktiivi artikli 10 anda enne andmete kogumist ja edastamist. Nende kohustuste ulatus peab vastama isikuandmete kogumist ja edastamist hõlmava haldaja kaasvastutuse ulatusele.


1      Algkeel: inglise.


2      Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355).


3      Euroopa Parlamendi ja nõukogu 23. aprilli 2009. aasta direktiiv (ELT 2009, L 110, lk 30).


4      Tuleb märkida, et eelotsusetaotluse kohaselt andis selle pistikprogrammi kostjale Facebook Ireland või tema emaettevõtja Facebook Inc., mille asukoht on Ameerika Ühendriikides. Ent nii eelotsusetaotluse esitanud kohtu kui ka Euroopa Kohtu menetluses näib Facebook Ireland olevat käesoleva menetluse kontekstis päri oma võimaliku vastutusega direktiivi 95/46 alusel. Seetõttu ma ei näe põhjust kaaluda direktiivi 95/46 võimalikku kohaldatavust Facebook Irelandi emaettevõtja suhtes.


5      Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1).


6      „Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.“


7      Lisan täielikkuse huvides, et ehkki 28. juuli 2016. aasta kohtuotsus Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612) käsitles direktiivi 95/46 tõlgendamise küsimust, mis tõusetus ühenduse algatatud menetluse kontekstis, ei analüüsinud Euroopa Kohus selles asjas asjaomase ühenduse kohtusse pöördumise õigust, kuna seda küsimust ei tõstatatud.


8      Nagu on korduvalt märgitud, näiteks 23. mai 1985. aasta kohtuotsuses komisjon vs. Saksamaa (C‑29/84, EU:C:1985:229, punkt 22); 14. veebruari 2012. aasta kohtuotsuses Flachglas Torgau (C‑204/09, EU:C:2012:71, punkt 60), ja 19. aprilli 2018. aasta kohtuotsuses CMR (C‑645/16, EU:C:2018:262, punkt 19).


9      13. mai 2014. aasta kohtuotsus Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 53).


10      Vt ka 16. detsembri 2008. aasta kohtuotsus Huber (C‑524/06, EU:C:2008:724, punkt 50).


11      Seega ei ole vastupidi 25. jaanuari 2018. aasta kohtuotsuses Schrems (C‑498/16, EU:C:2018:37) käsitletud olukorrale tegemist nõuete loovutamisega konkreetsele isikule ning sellel näib olevat riigisiseses õiguses selge õiguslik alus, mis seisneb ilmselt tarbijate huvide teatavas kollektiivses esindamises.


12      Või teisest vaatenurgast, liikmesriikidel on vaja ka eriti seoses institutsionaalse korralduse või menetlustega reguleerida tervet rida teisi küsimusi, millele direktiivis samuti sõnaselgelt ei viidata (näiteks õiguse kohtuliku jõustamise puhul mitte ainult kohtusse pöördumisega seotud tingimusi, vaid ka näiteks hagi esitamise tähtaegu, (vajadusel) riigilõive, kohtualluvust; jne). Kas nende kohta saaks siis samuti väita, et kuna neid direktiivi 95/46 artiklites 22 ja 24 ei mainita, siis ei ole liikmesriigil lubatud oma õiguses sellekohaseid küsimusi reguleerida?


13      Nagu on määratletud direktiivi 2009/22 artiklis 3.


14      Vt nt 6. novembri 2003. aasta kohtuotsus Lindqvist (C‑101/01, EU:C:2003:596, punkt 96); 16. detsembri 2008. aasta kohtuotsus Huber (C‑524/06, EU:C:2008:724, punkt 51); 24. novembri 2011. aasta kohtuotsus Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 ja C‑469/10, EU:C:2011:777, punkt 29), ja 7. novembri 2013. aasta kohtuotsus IPI (C‑473/12, EU:C:2013:715, punkt 31).


15      6. novembri 2003. aasta kohtuotsus Lindqvist (C‑101/01, EU:C:2003:596, punkt 97).


16      Vt minu ettepanek kohtuasjas Dzivev (C‑310/16, EU:C:2018:623, punktid 72 ja 74).


17      Ära toodud käesoleva ettepaneku punktis 8.


18      Vt jälle näiteid käesoleva ettepaneku 12. joonealuses märkuses.


19      Mille ülesanne on vastavalt direktiivi 95/46 artiklile 28 järelevalve direktiivi kohaselt vastu võetud sätete kohaldamise üle.


20      Direktiivi 95/46 artikli 28 lõikes 1 nõutava standardi kohta vaata 9. märtsi 2010. aasta kohtuotsus komisjon vs. Saksamaa (C‑518/07, EU:C:2010:125, punktid 18–30) ja 16. oktoobri 2012. aasta kohtuotsus komisjon vs. Austria (C‑614/10, EU:C:2012:631, punktid 41–66).


21      Kui võrrelda teise õigusvaldkonnaga, siis kas näiteks konkurentsiõiguse eraõiguslik jõustamine ohustab samuti (riikliku) konkurentsiameti sõltumatust? Vt 20. septembri 2001. aasta kohtuotsus Courage ja Crehan (C‑453/99, EU:C:2001:465, punktid 26–27 ja 29) ja 13. juuli 2006. aasta kohtuotsus Manfredi jt (C‑295/04 – C‑298/04, EU:C:2006:461, punktid 59–60). Vt ka Euroopa Parlamendi ja nõukogu 26. novembri 2014. aasta direktiivi 2014/104/EL teatavate eeskirjade kohta, millega reguleeritakse liikmesriikide õiguse kohaseid kahju hüvitamise hagisid liikmesriikide ja Euroopa Liidu konkurentsiõiguse rikkumise korral (ELT 2014, L 349, lk 1), põhjendus 5.


22      Mida üldse (olenemata konkreetsest õigusliku vormi muutumise küsimusest) tähendab õigusakti tõlgendamisel asjaolu, et seadusandja lisas selle järgnevasse versiooni midagi, mida selle eelnevates versioonides ei olnud? Vägagi hästi võib olla nii, et asjaomane põhimõte oli eelnevas versioonis „vaikimisi olemas“ ning on nüüd selgelt välja toodud. Ent see võib tähendada ka, et just seetõttu, et varem sellist sätet ei olnud, on nüüd tegemist muudatusega. Arvestades argumendi „see on alati nii olnud, lihtsalt nüüd on see sõnaselgelt kirja pandud“ sagedast ja küsitavat (väär)kasutamist, millega sisuliselt laiendatakse uue normi kohaldamist kaugele üle selle ajalise kohaldamisala piiride, tuleks sedasorti argumente kasutada ettevaatlikult, kui üldse.


23      Seoses dünaamiliste IP-aadresside küsimusega vt 19. oktoobri 2016. aasta kohtuotsus Breyer (C‑582/14, EU:C:2016:779, punktid 33 jj). Vt ka 24. novembri 2011. aasta kohtuotsus Scarlet Extended (C‑70/10, EU:C:2011:771, punkt 51).


24      19. oktoobri 2016. aasta kohtuotsus Breyer (C‑582/14, EU:C:2016:779, punktid 41–45).


25      Käesoleva ettepaneku punkt 19.


26      Kohtujuristi kursiiv.


27      5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkt 29), ja 10. juuli 2018. aasta kohtuotsus Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 65).


28      Vt 13. mai 2014. aasta kohtuotsus Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 34), ning 10. juuli 2018. aasta kohtuotsus Jehovan todistajat (C‑25/17, EU:C:2018:551, punkt 66).


29      5. juuni 2018. aasta kohtuotsus (C‑210/16, EU:C:2018:388).


30      5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkt 39).


31      5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkt 35).


32      5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkt 36).


33      5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punktid 34 ja 38).


34      5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punktid 39 ja 41).


35      10. juuli 2018. aasta kohtuotsus (C‑25/17, EU:C:2018:551, punktid 68–72).


36      Nagu pakkus välja kohtujurist Bot oma ettepanekus kohtuasjas Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, punktid 66–72).


37      Kusjuures analoogia tarbijakaitsega, mis läbirääkimiste osas tähendab, et „mittekutselisel“ osapoolel peaks olema samaväärne võimalus tingimuste üle läbi rääkida, ei näi olevat selles kontekstis kohaldatav. Seega on vaieldav, kui palju saab fännilehe haldaja tegelikult „määrata seadeid“ (ning mil määral on tegemist nagu iga teise „tarbija“ puhul lihtsalt mehaanilise klikkimisega ja valimisega eelnevalt kindlaks määratud võimaluste vahel).


38      5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, punkt 35).


39      Paljud programmid ja rakendused edastavad tänapäeval kasutajate sõnaselge või võib-olla alati mitte nii selge nõusoleku alusel asjaomase tarkvara arendajale või müüjale analüütilist teavet, mis võib hõlmata ka isikuandmeid.


40      5. juuni 2018. aasta kohtuotsus (C‑210/16, EU:C:2018:388, punkt 38).


41      Jällegi on lahtine see, täpselt mis tingimustel ja milliste võimalustega läbirääkimisteks seda tehakse (vt ka käesoleva ettepaneku 37. joonealune märkus).


42      Või nagu Sir Humphrey Appleby (kasutades ilmselt vanemat teadmata päritoluga tsitaati) vähem diplomaatiliselt märkis: „Vastutus ilma võimuta – see on läbi aegade olnud kohimeeste eesõigus.“ (Telesari „Jah, härra peaminister“, 2. hooaeg, 7. episood „Riiklik Haridusteenistus“, esimest korda eetris 21. jaanuaril 1988.)


43      Samuti käesoleva ettepaneku punktis 73 ning 38. ja 42. joonealuses märkuses piiritletud tähenduses.


44      5. juuni 2018. aasta kohtuotsus (C‑210/16, EU:C:2018:388, punkt 43).


45      Vt käesoleva ettepaneku punktid 87–88.


46      Vt ka artikliga 29 loodud andmekaitse töörühma (direktiivi 95/46 artikliga 29 loodud nõuandev organ, mille on nüüdseks asendanud GDPR artikliga 68 loodud Euroopa Andmekaitsenõukogu) 20. juuni 2007. aasta arvamus 4/2007 isikuandmete mõiste kohta, 01248/07/EN WP 136, lk 4.


47      Võttes arvesse ka lihtsat fakti, et vaevalt kunagi on tegemist lineaarse töötlemisega, mille raames teeb üks isik ükshaaval ja järjest kõik artikli 2 punktis b nimetatud toimingud. Pigem on isikuandmete liikumisteekond tsükliline ja korduv, andmekogumeid võidakse lahutada, koondada eri kohtades, uurida eri isikute poolt, pärast mida neid koondatakse ja uuritakse taas, seejärel võib-olla struktureeritakse uuesti ja edastatakse eri isikutele jne.


48      Artikliga 29 loodud andmekaitse töörühm pakkus, et „[ü]hine töötlemine leiab aset siis, kui eri osapooled otsustavad seoses konkreetsete töötlemistoimingutega nende eesmärgi või siis vahendite põhielemendid“. Vt 16. veebruari 2010. aasta arvamus 1/2010 mõistete „vastutav töötleja“ ja „volitatud töötleja“ kohta, artikliga 29 loodud andmekaitse töörühm, dokument 00264/10/EN WP 169, lk 19.


49      Vastupidi olukorrale, mida kaalusin seoses esimese küsimusega käesoleva ettepaneku punktides 39–42.


50      Lugedes küsimuse saksakeelset algversiooni, saan aru, et selle eelotsusetaotluse esitanud kohtu küsimusega soovitakse seoses huvide tasakaalustamise kohustusega tuvastada vaid need huvid, mida tuleb arvesse võtta, ning mitte, nagu võib aru saada küsimuse ingliskeelsest tõlkest, need huvid, mis on otsustavad (selles mõttes, et nad omavad rohkem kaalu). Seega näib, et selle küsimusega küsitakse sisendit tasakaalustamiseks ning mitte seda, mis peaks olema selle tulemus.


51      Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514).


52      Vt ka 5. mai 2011. aasta kohtuotsus Deutsche Telekom (C‑543/09, EU:C:2011:279, punkt 50). E-privaatsuse direktiivi põhjenduses 10 on märgitud, et „[e]lektroonilise side sektoris kohaldatakse direktiivi [95/46] eelkõige kõigil põhiõiguste ja -vabaduste kaitsmisega seotud juhtudel, mis ei kuulu täpselt käesoleva direktiivi kohaldamisalasse, sealhulgas vastutava töötleja kohustuste ja üksikisiku õiguste puhul. Direktiivi [95/46] kohaldatakse sideteenuste puhul, mis ei ole üldkasutatavad“.


53      Vt selles kontekstis e-privaatsuse direktiivi artikli 5 lõige 3, milles on sätestatud, et „Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi [95/46] kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta. […]“.


54      Viitan selles kontekstis jällegi sissejuhatavale osale B.1. (käesoleva ettepaneku punktid 55–58) ning vajadusele faktide osas kontrollida, mida täpselt edastatakse ning kas see teave üleüldse kujutabki endast isikuandmeid.


55      Vt ka artikliga 29 loodud andmekaitse töörühma 2. oktoobri 2013. aasta dokument 02/2013, milles antakse juhiseid küpsiste jaoks nõusoleku küsimisele, 1676/13/EN WP 208, lk 5–6, milles soovitatakse, et „kuna küpsiste abil kasutajate seadmetesse teabe salvestamine või selliselt juba salvestatud teabe kasutamine võib hõlmata isikuandmete töötlemist, on andmekaitsenormid sellisel juhul selgelt kohaldatavad“.


56      Vt selle kohta 13. mai 2014. aasta kohtuotsus Google Spain ja Google (C‑131/12, EU:C:2014:317, punkt 71 ja seal viidatud kohtupraktika) ning 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 25).


57      4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 28). Vt ka 24. novembri 2011. aasta kohtuotsus Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 ja C‑469/10, EU:C:2011:777, punkt 38).


58      Vt minu ettepanek kohtuasjas Rīgas satiksme (C‑13/16, EU:C:2017:43, punktid 64 ja 65). Nagu ma seal märkisin, kuuluvad Euroopa Kohtu hinnangul selliste huvide hulka läbipaistvus (9. novembri 2010. aasta kohtuotsus Volker und Markus Schecke ja Eifert (C‑92/09 ja C‑93/09, EU:C:2010:662, punkt 77)) ning perekonnaliikmete vara, tervise ja elu kaitsmine (11. detsembri 2014. aasta kohtuotsus Ryneš (C‑212/13, EU:C:2014:2428, punkt 34)). Vt ka 29. jaanuari 2008. aasta kohtuotsus Promusicae (C‑275/06, (EU:C:2008:54, punkt 53) ja 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 29).


59      Vt käesoleva ettepaneku punktid 104–105.


60      Vt ka direktiivi artikli 29 alusel asutatud andmekaitse töörühma arvamus 06/2014 mõiste „vastutava töötleja õigustatud huvid“ direktiivi 95/46/EÜ artikli 7 tähenduses kohta (844/14/EN WP 217), lk 25.


61      Olen mujal märkinud, et „vajalik on mitte ainult konkureerivate õigustatud huvide kindlaksmääramine, vaid need huvid peavad ka üles kaaluma andmesubjekti põhiõiguste ja ‑vabadustega seotud huvid“, mis tulenevad harta artiklitest 7 ja 8. Vt minu ettepanek kohtuasjas Rīgas satiksme (C‑13/16, EU:C:2017:43, punkt 56 ja punktid 66–69 ja seal viidatud kohtupraktika).


62      4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 31 ja seal viidatud kohtupraktika).


63      Seega peab eksisteerima kohane suhe eesmärkide (väidetavad õigustatud huvid) ja valitud vahendite (töödeldavad isikuandmed) vahel. Vt selles mõttes 4. mai 2017. aasta kohtuotsus Rīgas satiksme (C‑13/16, EU:C:2017:336, punkt 30 ja seal viidatud kohtupraktika).


64      Käesoleva ettepaneku punktid 76–82.


65      Käesoleva ettepaneku punktid 84–88.


66      Mis muidugi ei välista seda, et teistel/järgmistel vastutavatel töötlejatel võib olla selline kohustus seoses nende vastavate andmetöötlustoimingutega.


67      Käesoleva ettepaneku punkt 132. Vt artikliga 29 loodud andmekaitse töörühma 2. oktoobri 2013. aasta dokument 02/2013, milles antakse juhiseid küpsistele nõusoleku saamise kohta, 1676/13/EN WP 208, lk 4. Vt artikliga 29 loodud andmekaitse töörühma 13. juuli 2011. aasta arvamus 15/2011 nõusoleku mõiste kohta, 1197/11/EN WP187, lk 9.