Kohtuasi C‑362/14

Maximillian Schrems

versus

Data Protection Commissioner

(eelotsusetaotlus, mille on esitanud High Court (Iirimaa))

Eelotsusetaotlus – Isikuandmed – Füüsiliste isikute kaitse seoses nende andmete töötlemisega – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 47 – Direktiiv 95/46/EÜ – Artiklid 25 ja 28 – Isikuandmete edastamine kolmandatesse riikidesse – Otsus 2000/520/EÜ – Isikuandmete edastamine Ameerika Ühendriikidesse – Kaitse ebapiisav tase – Kehtivus – Sellise füüsilise isiku kaebus, kelle andmed edastati Euroopa Liidust Ameerika Ühendriikidesse – Liikmesriigi järelevalveasutuste volitused

Kokkuvõte – Euroopa Kohtu otsus (suurkoda), 6. oktoober 2015

1.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Tõlgendamine lähtuvalt põhiõigustest

(Euroopa Liidu põhiõiguste harta; Euroopa Parlamendi ja nõukogu direktiiv 95/46)

2.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Siseriiklikud järelevalveasutused – Sõltumatuse nõue

(ELTL artikli 16 lõige 2; Euroopa Liidu põhiõiguste harta, artikli 8 lõige 3; Euroopa Parlamendi ja nõukogu direktiiv 95/46, põhjendus 62 ja artikli 28 lõige 1)

3.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Siseriiklikud järelevalveasutused – Volitused – Kontroll isikuandmete edastamise üle kolmandatesse riikidesse – Hõlmamine

(Euroopa Liidu põhiõiguste harta, artikli 8 lõige 3; Euroopa Parlamendi ja nõukogu direktiiv 95/46, art. 28)

4.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Isikuandmete edastamine kolmandatesse riikidesse – Komisjoni otsus, millega tuvastatakse kaitse piisav tase kolmandas riigis – Otsus, mis on kõikidele adressaadiks olevatele liikmesriikidele siduv – Sellise otsuse kehtivuse hindamine – Siseriiklike järelevalveasutuste ja siseriiklike kohtute vastav roll

(ELTL artikli 288 neljas lõik; Euroopa Liidu põhiõiguste harta, artikli 8 lõige 3 ja artikkel 47; Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 25 lõige 6 ja artikli 28 lõiked 3 ning 4)

5.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Isikuandmete edastamine kolmandatesse riikidesse – Komisjoni otsus, millega tuvastatakse kaitse piisav tase kolmandas riigis – Siseriiklik järelevalveasutus, kellele on esitatud avaldus isiku õiguste ja vabaduste kaitse kohta seoses teda puudutavate edastatud isikuandmete töötlemisega – Avaldaja, kes väidab, et kolmandas riigis ei ole kaitse tase piisav – Asutuse kohustus avaldus läbi vaadata – Kontrollimise ulatus

(Euroopa Liidu põhiõiguste harta, artiklid 7 8 ja 47; Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 25 lõige 6 ja artikkel 28)

6.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Isikuandmete edastamine kolmandatesse riikidesse – Komisjoni otsus, millega tuvastatakse kaitse piisav tase kolmandas riigis – Mõiste „kaitse piisav tase“ – Hindamiskriteeriumid – Komisjoni kaalutlusõigus

(Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 25 lõiked 2 ja 6)

7.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Isikuandmete edastamine kolmandatesse riikidesse – Komisjoni otsus, millega tuvastatakse kaitse piisav tase kolmandas riigis – Otsus 2000/520, millega tuvastatakse kaitse piisav tase Ameerika Ühendriikides – Kehtetus

(Euroopa Liidu põhiõiguste harta; Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 25 lõige 6 ja artikkel 28; komisjoni otsus 2000/520, artiklid 1–4)

8.        Põhiõigused – Eraelu austamine – Isikuandmete kaitse – Liidu õigusnormid, millega kaasneb sekkumine põhiõigustesse – Tingimused – Piisavad tagatised kuritarvitamise ohu vastu – Proportsionaalsuse põhimõtte järgimine

(Euroopa Liidu põhiõiguste harta, artiklid 7 ja 8)

1.        Vt otsuse tekst.

(vt punkt 38)

2.        Vt otsuse tekst.

(vt punktid 40 ja 41)

3.        Järelevalveasutustel on lai valik volitusi, mis on direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 28 lõikes 3 loetletud mitteammendavalt ja mis on nende kohustuste täitmiseks vajalikud vahendid, nagu on rõhutatud direktiivi põhjenduses 63. Nii on nendel asutustel muu hulgas uurimisvolitused, mille hulka kuulub õigus koguda oma järelevalvekohustuse täitmiseks vajalikku teavet, tõhusad sekkumisvolitused, mille hulka kuulub õigus keelata andmete töötlemine ajutiselt või alaliselt, ning volitused osaleda kohtumenetlustes.

Mis puudutab õigust kontrollida isikuandmete edastamist kolmandatesse riikidesse, siis nähtub direktiivi 95/46 artikli 28 lõigetest 1 ja 6, et liikmesriigi järelevalveasutuste pädevus puudutab isikuandmete töötlemist, mis toimub asutuse asukoha liikmesriigi territooriumil, mistõttu puudub neil artikli 28 kohaselt pädevus isikuandmete töötlemise suhtes, mis leiab aset mõne kolmanda riigi territooriumil. Toiming, mis seisneb isikuandmete edastamises liikmesriigist kolmandasse riiki, on iseenesest siiski käsitatav direktiivi 95/46 artikli 2 punkti b tähenduses isikuandmete töötlemisena, mis toimub liikmesriigi territooriumil. Seega, kuna Euroopa Liidu põhiõiguste harta artikli 8 lõike 3 ja direktiivi 95/46 artikli 28 kohaselt on liikmesriigi järelevalveasutuste ülesanne kontrollida füüsiliste isikute kaitset reguleerivate liidu õigusnormide järgimist isikuandmete töötlemisel, on igal sellisel asutusel seega pädevus kindlaks teha, kas isikuandmete edastamine asutuse asukoha liikmesriigist kolmandasse riiki vastab direktiiviga kehtestatud nõuetele.

(vt punktid 43–45 ja 47)

4.        Komisjon võib direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 25 lõike 6 alusel vastu võtta otsuse, milles ta tuvastab, et kolmas riik tagab kaitse piisava taseme. Sellise otsuse adressaadid on vastavalt selle artikli teisele lõigule liikmesriigid, kes peavad võtma otsuse järgimiseks vajalikud meetmed. ELTL artikli 288 neljanda lõigu kohaselt on see otsus kõikidele adressaatideks olevatele liikmesriikidele ja seega ka kõikidele nende organitele siduv, niivõrd kuivõrd sellega antakse luba edastada isikuandmeid liikmesriikidest otsuses nimetatud kolmandasse riiki.

Seega seni, kuni Euroopa Kohus – kellel ainsana on pädevus liidu õigusakt kehtetuks tunnistada – ei ole komisjoni otsust kehtetuks tunnistanud, ei tohi liikmesriigid ja nende organid, sealhulgas sõltumatud järelevalveasutused, tõepoolest võtta selle otsusega vastuolus olevaid meetmeid, nagu akte, milles siduvalt tuvastatakse, et otsuses nimetatud kolmas riik ei taga kaitse piisavat taset. Üldjuhul nimelt eeldatakse liidu institutsioonide aktide õiguspärasust ja need tekitavad seega õiguslikke tagajärgi seni, kuni neid ei ole tagasi võetud, tühistamishagi menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel või õigusvastasuse väite alusel kehtetuks tunnistatud.

Kuigi siseriiklikel kohtutel on küll õigus analüüsida liidu õigusakti kehtivust, puudub neil siiski pädevus seda õigusakti ise kehtetuks tunnistada. Seda enam, kui liikmesriigi järelevalveasutus vaatab läbi direktiivi artikli 28 lõike 4 tähenduses avaldust, mis käsitleb komisjoni otsuse kooskõla üksikisikute eraelu ning põhiõiguste ja ‑vabaduste kaitsega, ei ole tal õigust ise sellist otsust kehtetuks tunnistada.

Kui järelevalveasutus jõuab järeldusele, et avalduse põhjendamiseks esitatud väited on alusetud, ning lükkab seetõttu avalduse tagasi, peab avalduse esitanud isikul tulenevalt direktiivi 95/46 artikli 28 lõike 3 teisest lõigust koostoimes Euroopa Liidu põhiõiguste harta artikliga 47 olema võimalik kasutada kohtulikke õiguskaitsevahendeid, mis võimaldavad tal tema huve kahjustava otsuse vaidlustada siseriiklikus kohtus. Neil asjaoludel peab siseriiklik kohus menetluse peatama ja kehtivuse hindamiseks esitama eelotsusetaotluse Euroopa Kohtule, kui ta leiab, et üks või mitu poolte esitatud või vajaduse korral kohtu omal algatusel tõstatatud väidet kehtetuse kohta on põhjendatud.

Vastasel juhul, kui järelevalveasutus peab põhjendatuks selle isiku esitatud väiteid, kes on tema poole pöördunud avaldusega oma õiguste ja vabaduste kaitse kohta seoses tema isikuandmete töötlemisega, peab liikmesriigi järelevalveasutusel vastavalt direktiivi 95/46 artikli 28 lõike 3 esimese lõigu kolmandale taandele koostoimes eelkõige Euroopa Liidu põhiõiguste harta artikli 8 lõikega 3 olema võimalik osaleda kohtumenetlustes. Sellega seoses on liikmesriigi seadusandja kohustatud ette nägema õiguskaitsevahendid, mis võimaldavad järelevalveasutusel esitada siseriiklikes kohtutes väiteid, mida ta peab põhjendatuks, selleks et kohtud juhul, kui neil on komisjoni otsuse kehtivuse suhtes samasugused kahtlused, esitaksid eelotsusetaotluse kõnealuse otsuse kehtivuse analüüsimiseks.

(vt punktid 51, 52, 61, 62, 64 ja 65)

5.        Direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 25 lõiget 6 koostoimes Euroopa Liidu põhiõiguste harta artiklitega 7, 8 ja 47 tuleb tõlgendada nii, et selle sätte alusel vastu võetud otsus, milles komisjon on tuvastanud, et kolmandas riigis on tagatud kaitse piisav tase, ei takista liikmesriigi järelevalveasutust direktiivi artikli 28 tähenduses läbi vaatamast isiku avaldust, mis puudutab tema õiguste ja vabaduste kaitset seoses tema selliste isikuandmete töötlemisega, mis on liikmesriigist edastatud sellesse kolmandasse riiki, kui kõnealune isik väidab, et selles riigis kehtiv õigus ja valitsev praktika ei taga kaitse piisavat taset.

Kui see oleks teisiti, jäetaks isikud, kelle isikuandmed on edastatud või võidakse edastada asjaomasesse kolmandasse riiki, ilma Euroopa Liidu põhiõiguste harta artikli 8 lõigetega 1 ja 3 tagatud õigusest esitada liikmesriigi järelevalveasutusele avaldus oma põhiõiguste kaitse kohta.

Direktiivi 95/46 artikli 28 lõike 4 tähenduses avaldust, milles selline isik väidab, et asjaomases riigis kehtiv õigus ja valitsev praktika ei taga kaitse piisavat taset hoolimata sellest, mida on komisjon järeldanud direktiivi artikli 25 lõike 6 alusel vastu võetud otsuses, tuleb mõista nii, et see puudutab sisuliselt kõnealuse otsuse kooskõla üksikisikute eraelu ning põhiõiguste ja ‑vabaduste kaitsega. Neil asjaoludel, kui isik, kelle isikuandmed on edastatud või võidakse edastada kolmandasse riiki, mida on nimetatud direktiivi 95/46 artikli 25 lõike 6 alusel komisjoni tehtud otsuses, esitab liikmesriigi järelevalveasutusele niisuguse avalduse, on kõnealune asutus kohustatud avalduse nõutava hoolsusega läbi vaatama.

(vt punktid 58, 59, 63, 66 ja resolutsiooni punkt 1)

6.        Direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 25 lõikes 6 sisalduvat väljendit „kaitse piisav tase” tuleb mõista nii, et see nõuab, et kolmas riik tõepoolest tagab oma siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega põhiõiguste ja ‑vabaduste kaitse taseme, mis on sisuliselt samaväärne sellega, mis on liidus tagatud vastavalt sellele direktiivile koostoimes Euroopa Liidu põhiõiguste hartaga.

Neil asjaoludel on komisjon kolmanda riigi pakutava kaitsetaseme analüüsimisel kohustatud hindama selle riigi siseriiklikust õigusest või endale võetud rahvusvahelistest kohustustest tulenevate kohaldatavate õigusnormide sisu ning nende õigusnormide järgimise tagamise praktikat, kusjuures institutsioon peab direktiivi 95/46 artikli 25 lõike 2 kohaselt arvesse võtma kõiki isikuandmete kolmandasse riiki edastamisega seotud asjaolusid. Samuti, kuna kolmanda riigi tagatav kaitsetase võib muutuda, peab komisjon pärast direktiivi 95/46 artikli 25 lõike 6 alusel otsuse tegemist regulaarselt kontrollima, kas järeldus kõnealuse kolmanda riigi tagatava kaitse piisava taseme kohta on jätkuvalt faktiliselt ja õiguslikult põhjendatud. Niisugune kontrollimine on igal juhul nõutav, kui teatud asjaolud tekitavad vastava kahtluse.

Arvestades esiteks olulist rolli, mis on isikuandmete kaitsel eraelu puutumatuse põhiõiguse seisukohast, ja teiseks nende isikute suurt arvu, kelle põhiõigusi võidakse rikkuda, kui isikuandmeid edastatakse kolmandasse riiki, kus ei ole tagatud kaitse piisav tase, on komisjoni kaalutlusruum kolmanda riigi tagatava kaitsetaseme piisavuse hindamisel väike, mistõttu tuleb direktiivi 95/46 artiklist 25 koostoimes Euroopa Liidu põhiõiguste hartaga tulenevaid nõudeid kontrollida rangelt.

(vt punktid 73, 75, 76 ja 78)

7.        Direktiivi 95/46 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 25 lõike 6 alusel komisjoni otsuse – nagu otsus 2000/520 piisava kaitse kohta, mis on ette nähtud programmi Safe Harbor põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja andnud Ameerika Ühendriikide kaubandusministeerium – tegemine nõuab, et see institutsioon oleks jõudnud nõuetekohaselt põhjendatud järeldusele, et asjassepuutuvas kolmandas riigis on siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega tõepoolest tagatud põhiõiguste kaitse tase, mis on sisuliselt samaväärne liidu õiguskorras tagatuga.

Kuna aga komisjon oma otsuses 2000/520 seda ei teinud, eirab otsuse artikkel 1 nõudeid, mis on ette nähtud direktiivi 95/46 artikli 25 lõikes 6 koostoimes Euroopa Liidu põhiõiguste hartaga, ning seetõttu on kõnealune otsus kehtetu. Safe Harbor’ põhimõtted on nimelt kohaldatavad ainult Ameerika Ühendriikide organisatsioonidele, kes on kinnituse andnud ja saavad isikuandmeid liidust, ilma et oleks nõutav, et Ameerika Ühendriikide ametiasutused oleksid kohustatud neid põhimõtteid järgima. Lisaks muudab otsus 2000/520 võimalikuks Ameerika Ühendriikide riiklikku julgeolekut ja avalikku huvi puudutavatel nõuetel või selle riigi sisemisel õigusel põhinevad sekkumised nende isikute põhiõigustesse, kelle isikuandmed on edastatud või võidakse edastada liidust Ameerika Ühendriikidesse, ilma et see otsus sisaldaks järeldusi selle kohta, et Ameerika Ühendriikides kehtiks riigi tasandil õigusnorme, mille eesmärk oleks piirata võimalikke sekkumisi põhiõigustesse, ja ilma et sellest nähtuks, et sedalaadi sekkumiste vastu oleks olemas tõhus õiguslik kaitse.

Lisaks ületas komisjon otsuse 2000/520 artikli 3 vastuvõtmisel pädevust, mis on talle antud direktiivi 95/46 artikli 25 lõike 6 koostoimes Euroopa Liidu põhiõiguste hartaga, mistõttu on see artikkel kehtetu. Seda artiklit tuleb nimelt mõista nii, et see jätab liikmesriigi järelevalveasutused pädevusest, mis neil on tulenevalt direktiivi 95/46 artiklist 28, ilma juhul, kui isik selle sätte alusel esitatud avalduses toob esile asjaolud, mis võivad seada kahtluse alla selle, kas üksikisikute eraelu puutumatuse ning põhiõiguste ja ‑vabaduste kaitsega on kooskõlas komisjoni otsus, milles direktiivi artikli 25 lõike 6 alusel on tuvastatud, et kolmas riik tagab kaitse piisava taseme. Rakenduspädevus, mille liidu seadusandja on komisjonile direktiivi 95/46 artikli 25 lõikega 6 andnud, ei omista aga sellele institutsioonile pädevust piirata liikmesriigi järelevalveasutuste kõnealuseid volitusi.

Kuna otsuse 2000/520 artiklid 1 ja 3 on artiklitest 2 ja 4 ning otsuse lisadest lahutamatud, mõjutab nende kehtetus kogu otsuse kehtivust.

(vt punktid 82, 87–89, 96–98, 102–105 ja resolutsiooni punkt 2)

8.        Liidu õigusakt, millega kaasneb sekkumine Euroopa Liidu põhiõiguste harta artiklitega 7 ja 8 tagatud põhiõigustesse, peab sisaldama selgeid ja täpseid õigusnorme, mis reguleerivad meetme ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded, nii et isikutel, kelle isikuandmed on asjassepuutuvad, on piisavad tagatised, mis võimaldavad nende andmeid tõhusalt kaitsta kuritarvitamise ohu ning ebaseadusliku juurdepääsu ja kasutamise eest. Niisuguste tagatiste olemasolu on veel vajalikum siis, kui isikuandmeid töödeldakse automaatselt ja kui esineb suur oht, et neile andmetele pääsetakse juurde ebaseaduslikult. Lisaks ja eelkõige nõuab eraelu puutumatuse põhiõiguse kaitsmine liidu tasandil, et isikuandmete kaitse erandid ja piirangud piirduksid rangelt vajalikuga.

Rangelt vajalikuga ei piirdu õigusakt, mis annab üldise loa säilitada kõikide selliste isikute kõik isikuandmed, kelle andmed on edastatud liidust, ilma et olenevalt taotletavast eesmärgist esineks eristamist, piiranguid või erandeid ning ilma, et oleks ette nähtud objektiivset kriteeriumi, mis võimaldaks piiritleda ametiasutuste juurdepääsu andmetele ja nende hilisemat kasutamist konkreetsetel rangelt piiritletud eesmärkidel, millega nii andmete tutvumise kui ka kasutamisega kaasnev sekkumine võib olla põhjendatud.

Täpsemalt tuleb õigusakti, mis võimaldab ametiasutustel elektroonilise side sisuga üldiselt tutvuda, pidada Euroopa Liidu põhiõiguste harta artikliga 7 tagatud eraelu puutumatuse põhiõiguse põhisisu kahjustavaks.

Samuti ei järgi õigusakt, milles ei ole andmesubjektile ette nähtud mingit võimalust kasutada õiguskaitsevahendeid, et tutvuda teda puudutavate isikuandmetega või lasta neisse parandusi teha või neid kustutada, Euroopa Liidu põhiõiguste harta artiklis 47 sätestatud põhiõiguse tõhusale kohtulikule kaitsele põhisisu. Selle artikli esimene lõik nõuab nimelt, et igaühel, kelle liidu õigusega tagatud õigusi või vabadusi rikutakse, on selles artiklis kehtestatud tingimuste kohaselt õigus tõhusale õiguskaitsevahendile kohtus. Juba tõhusa kohtuliku kontrolli olemasolu, mille eesmärk on tagada liidu õigusnormide järgimine, on õigusriigi olemuslik tunnus.

(vt punktid 91–95)