EUROOPA KOHTU OTSUS (kuues koda)
7. märts 2024(*)
Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Artiklid 2, 4, 6, 10 ja 86 – Kohtu valduses olevad andmed füüsilise isiku suhtes süüteoasjades tehtud süüdimõistvate kohtuotsuste kohta – Selliste andmete suuline avaldamine äriühingule viimase korraldatud konkursi tõttu – Mõiste „isikuandmete töötlemine“ – Nende andmetega tutvumist reguleerivad riigisisesed õigusnormid – Üldsuse õiguse tutvuda ametlike dokumentidega ja isikuandmete kaitse ühitamine
Kohtuasjas C‑740/22,
mille ese on ELTL artikli 267 alusel Itä-Suomen hovioikeuse (Ida-Soome apellatsioonikohus, Soome) 30. novembri 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 2. detsembril 2022, menetluses
Endemol Shine Finland Oy,
EUROOPA KOHUS (kuues koda),
koosseisus: koja president T. von Danwitz (ettekandja), kohtunikud P. G. Xuereb ja I. Ziemele,
kohtujurist: T. Ćapeta,
kohtusekretär: A. Calot Escobar,
arvestades kirjalikku menetlust,
arvestades seisukohti, mille esitasid:
– Soome valitsus, esindajad: A. Laine ja M. Pere,
– Portugali valitsus, esindajad: P. Barros da Costa, M. J. Ramos ja C. Vieira Guerra,
– Euroopa Komisjon, esindajad: A. Bouchagiar, H. Kranenborg ja I. Söderlund,
arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,
on teinud järgmise
otsuse
1 Eelotsusetaotluses palutakse tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; parandus ELT 2018, L 127, lk 3; edaspidi „isikuandmete kaitse üldmäärus“) artikli 2 lõiget 1, artikli 4 punkti 2 ja artiklit 86.
2 Taotlus on esitatud menetluses, mis puudutab liikmesriigi kohtu keeldumist avaldada Endemol Shine Finland Oy-le andmed süüteoasjades tehtud süüdimõistvate kohtuotsuste kohta, mis puudutavad kolmandat isikut.
Õiguslik raamistik
Liidu õigus
3 Isikuandmete kaitse üldmääruse põhjendused 4, 10, 11, 15, 19 ja 154 on sõnastatud järgmiselt:
„(4) Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja [Euroopa Liidu põhiõiguste hartas (edaspidi „harta“)] tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, […] isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele […].
[…]
(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. Seoses isikuandmete töötlemisega juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks peaks liikmesriikidel olema lubatud säilitada või kehtestada õigusnormid käesoleva määruse eeskirjade kohaldamise täpsustamiseks. Koostoimes andmekaitset käsitlevate üldiste ja horisontaalsete õigusaktidega, millega rakendatakse [Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta] direktiivi 95/46/EÜ[üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 1; ELT eriväljaanne 13/15, lk 355)], on liikmesriikidel mitmeid sektoripõhiseid õigusakte valdkondades, mis vajavad spetsiifilisemaid sätted. Samuti nähakse käesoleva määrusega liikmesriikidele ette manööverdamisruum oma eeskirjade, sealhulgas isikuandmete eriliikide [(edaspidi „tundlikud andmed“)] töötlemise eeskirjade täpsustamiseks. Sellega seoses ei välista käesolev määrus sellist liikmesriigi õigust, millega määratletakse konkreetsete töötlemisjuhtude asjaolud, sealhulgas määratakse täpsemalt kindlaks tingimused, mille alusel isikuandmete töötlemine on seaduslik. [täpsustatud sõnastus]
(11) Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.
[…]
(15) Selleks et vältida normide täitmisest kõrvalehoidumise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole teatavate kriteeriumide kohaselt korrastatud, ega nende esilehed.
[…]
(19) Füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil ning selliste andmete vaba liikumist käsitletakse eraldiseisvas liidu tasandi õigusaktis. Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate isikuandmete töötlemise toimingute suhtes. Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse kõnealustel eesmärkidel, tuleks aga reguleerida konkreetsema liidu tasandi õigusaktiga[, milleks on] Euroopa Parlamendi ja nõukogu [27. aprilli 2016. aasta] direktiiv (EL) 2016/680[, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89; parandus ELT 2018, L 127, lk 8)]. Liikmesriigid võivad anda pädevatele asutustele direktiivi (EL) 2016/680 tähenduses muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, käesoleva määruse kohaldamisalasse.
Nende pädevate asutuste poolt käesoleva määruse kohaldamisalasse kuuluvatel eesmärkidel teostatava isikuandmete töötlemise suhtes võivad liikmesriigid käesoleva määruse eeskirjade kohaldamise kohandamiseks säilitada või kehtestada konkreetsemad sätted. Selliste sätetega võib määratleda täpsemalt konkreetsed nõuded nende pädevate asutuste poolt teostatavale isikuandmete töötlemisele neil muudel eesmärkidel, võttes arvesse vastava liikmesriigi põhiseaduslikku, organisatsioonilist ja haldusstruktuuri. Kui isikuandmete töötlemine eraõiguslike asutuste poolt kuulub käesoleva määruse kohaldamisalasse, tuleks käesolevas määruses ette näha võimalus, et liikmesriigid saavad teatud tingimustel piirata õigusaktidega teatud kohustusi ja õigusi, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et kaitsta konkreetseid olulisi huve, sealhulgas avalik julgeolek ning süütegude tõkestamine, uurimine ja avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja ennetamine. See on asjakohane näiteks rahapesuvastaste meetmete või kohtuekspertiisi laborite tegevuse raames.
[…]
(154) Käesoleva määruse kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet. Üldsuse juurdepääsu ametlikele dokumentidele võib käsitleda avaliku huvina. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid peaks sel asutusel olema võimalik avalikustada siis, kui avalikustamine on ette nähtud liidu õiguses või selle liikmesriigi õiguses, kellele kõnealune avaliku sektori asutus või organ allub. Selliste õigusaktidega tuleks üldsuse juurdepääs ametlikele dokumentidele ja avaliku sektori valduses oleva teabe taaskasutamine viia vastavusse õigusega isikuandmete kaitsele ning nendega võib seega näha ette vajaliku vastavusseviimise õigusega isikuandmete kaitsele vastavalt käesolevale määrusele. Viide avaliku sektori asutustele ja organitele peaks selles kontekstis hõlmama kõiki asutusi või muid organeid, mida reguleeritakse dokumentidele üldsuse juurdepääsu käsitleva liikmesriigi õigusega. Euroopa Parlamendi ja nõukogu [17. novembri 2003. aasta] direktiiv 2003/98/EÜ [avaliku sektori valduses oleva teabe taaskasutamise kohta (EÜT 2003, L 345, lk 90; ELT eriväljaanne 13/32, lk 701)] ei kahjusta ega mõjuta füüsiliste isikute kaitse taset isikuandmete töötlemisel, nagu see on ette nähtud liidu ja liikmesriigi õigusega, ning eelkõige ei muuda see käesolevas määruses sätestatud kohustusi ja õigusi. Eelkõige ei tohiks kõnealust direktiivi kohaldada selliste dokumentide suhtes, millele juurdepääs on välistatud või piiratud juurdepääsukorraga isikuandmete kaitse tõttu, ning dokumentide osade suhtes, mis on selle korra alusel juurdepääsetavad ning sisaldavad isikuandmeid, mille taaskasutamine on seaduses sätestatud sellise õigusakti rikkumisena, millega reguleeritakse füüsiliste isikute kaitset isikuandmete töötlemisel.“
4 Isikuandmete kaitse üldmääruse artiklis 2 „Sisuline kohaldamisala“ on sätestatud:
„1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
2. Käesolevat määrust ei kohaldata, kui
a) isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;
b) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;
c) isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus;
d) isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.
3. Liidu institutsioonide, organite ja asutuste poolt isikuandmete töötlemise suhtes kohaldatakse [Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta] määrust (EÜ) nr 45/2001[üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT 2001, L 8, lk 1; ELT eriväljaanne 13/26, lk 102)]. Määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemisele kohaldatavaid liidu õigusakte tuleb kooskõlas artikliga 98 kohandada vastavalt käesoleva määruse põhimõtetele ja normidele.
4. Käesolev määrus ei piira [Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta] direktiivi 2000/31/EÜ[infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (EÜT 2000, L 178, lk 1; ELT eriväljaanne 13/25, lk 399)], eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate õigusnormide kohaldamist.“
5 Isikuandmete kaitse üldmääruse artikli 4 „Mõisted“ punktides 1, 2, 6 ja 7 on ette nähtud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;
2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
[…]
6) „andmete kogum“ – isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;
7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses“.
6 Nimetatud määruse artikkel 5 „Isikuandmete töötlemise põhimõtted“ on sõnastatud järgmiselt:
„1. Isikuandmete töötlemisel tagatakse, et
a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);
b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; […] („eesmärgi piirang“);
c) isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);
d) isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);
e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; […] („säilitamise piirang“);
f) isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);
[…]“.
7 Määruse artikli 6 „Isikuandmete töötlemise seaduslikkus“ lõigetes 1–3 on ette nähtud:
„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;
b) isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;
c) isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;
d) isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;
e) isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;
f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.
Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.
2. Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis.
3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:
a) liidu õigusega või
b) vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.
Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.“
8 Isikuandmete kaitse üldmääruse artiklis 10 „Süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine“ on sätestatud:
„Süüteoasjades süüdimõistvate kohtuotsuste ja süütegude või nendega seotud turvameetmetega seotud isikuandmeid töödeldakse artikli 6 lõike 1 kohaselt ainult ametiasutuse järelevalve all või siis, kui töötlemine on lubatud liidu või liikmesriigi õigusega, milles on sätestatud asjakohased kaitsemeetmed andmesubjektide õiguste ja vabaduste kaitseks. Süüteoasjades süüdimõistvate kohtuotsuste terviklikku registrit peetakse ainult ametiasutuse järelevalve all.“
9 Määruse artikkel 23 „Piirangud“ on sõnastatud järgmiselt:
„1. Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada
[…]
f) kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;
[…]“.
10 Selle määruse artikli 85 „Isikuandmete töötlemine ning sõna- ja teabevabadus“ lõikes 1 on ette nähtud:
„Liikmesriigid ühitavad õigusaktiga käesoleva määruse kohase õiguse isikuandmete kaitsele ning sõna- ja teabevabaduse õiguse, muu hulgas seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks.“
11 Isikuandmete kaitse üldmääruse artiklis 86 „Isikuandmete töötlemine ja üldsuse juurdepääs ametlikele dokumentidele“ on sätestatud:
„Avaliku sektori asutus või avaliku sektori organ või erasektori organ võib avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas liidu õigusega või kõnealusele avaliku sektori asutusele või organile kohaldatava liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja käesoleva määruse kohane õigus isikuandmete kaitsele.“
Soome õigus
Isikuandmete kaitse seadus (1050/2018)
12 Isikuandmete kaitse seaduse (1050/2018) (tietosuojalaki (1050/2018)) §-s 1 on sätestatud:
„Käesoleva seadusega täpsustatakse ja täiendatakse [isikuandmete kaitse üldmäärust] ja rakendatakse seda riigi tasandil.“
13 Selle seaduse § 28 on sõnastatud järgmiselt:
„Ametiasutuse peetavast isikuregistrist isikuandmetega tutvumise õigusele ja muul viisil isikuandmete avaldamisele kohaldatakse ametiasutuse tegevuse avalikkuse kohta sätestatut.“
Ametiasutuste tegevuse avalikkuse seadus (621/1999)
14 Ametiasutuste tegevuse avalikkuse seaduse (621/1999) (laki viranomaisten toiminnan julkisuudesta (621/1999)) §-s 13 on ette nähtud:
„Ametliku dokumendi sisuga seotud teabe edastamise taotlus peab olema piisavalt täpne, et ametiasutus saaks kindlaks teha, millist dokumenti taotlus puudutab. Teabe taotlejal tuleb registri ja kataloogide abil aidata tuvastada dokumenti, millega ta tutvuda soovib. Teabe taotleja ei pea oma isikut avalikustama ega oma taotlust põhjendama, välja arvatud juhul, kui see on vajalik, et ametiasutus saaks teostada oma kaalutlusõigust või kindlaks teha, kas taotlejal on õigus tutvuda kõnealuse dokumendi sisuga.
Kui teabe taotleja soovib tutvuda konfidentsiaalse dokumendiga, ametiasutuse valduses oleva, isikuid puudutava andmekogumi või muu dokumendiga, millega tutvuda on lubatud vaid teatud tingimustel, peab ta – kui seaduses ei ole eraldi sätestatud teisiti – märkima teabe kasutamise eesmärgi ja kõik muud asjaolud, mis on vajalikud teabe avaldamise tingimuste kindlaksmääramiseks, ning vajaduse korral märkima, kuidas korraldatakse nende andmete kaitse.“
15 Selle seaduse §-s 16 on sätestatud:
„Õigus tutvuda ametiasutuse valduses oleva dokumendi sisuga antakse suuliselt või dokument tehakse ametiasutuses kättesaadavaks, selleks et sellega tutvuda, teha sellest ärakiri või kuulata seda, või väljastades dokumendist koopia või väljatrüki. Dokumendi avaliku sisuga võimaldatakse vastavalt taotlusele tutvuda, välja arvatud juhul, kui dokumentide suure hulga, dokumendi kopeerimise keerukuse või muu sarnase põhjuse tõttu takistab see ebaproportsionaalselt ametiasutuse tegevust.
[…]
Kui seaduses ei ole eraldi sätestatud teisiti, võib ametiasutuse valduses olevast, isikuid puudutavast andmekogumist pärinevaid isikuandmeid avaldada koopiana, väljatrükina või elektrooniliselt, kui vastuvõtjal on isikuandmete kaitse sätete kohaselt õigus selliseid andmeid säilitada ja kasutada. Isikuandmeid võib aga otseturunduse ja arvamus- või turu-uuringute eesmärgil avaldada vaid juhul, kui see on eraldi sätestatud või kui andmesubjekt on andnud selleks nõusoleku.
[…]“.
Üldkohtute menetluste avalikkuse seadus (370/2007)
16 Üldkohtute menetluste avalikkuse seaduse (370/2007) (laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007)) §-s 1 on sätestatud:
„Menetlus ja menetlustoimingud on avalikud, kui käesolevas seaduses või mõnes muus seaduses ei ole sätestatud teisiti.“
Seadus isikuandmete töötlemise kohta kriminaalasjades ja riigi julgeoleku säilitamise kontekstis (1054/2018)
17 Seaduse isikuandmete töötlemise kohta kriminaalasjades ja riigi julgeoleku säilitamise kontekstis (1054/2018) (laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018)) § 1 esimeses lõigus on sätestatud, et seadust kohaldatakse isikuandmete töötlemisele pädevate asutuste poolt muu hulgas juhul, kui kohus vaatab läbi kriminaalasja. Selle artikli neljanda lõigu kohaselt kohaldatakse seadust isikuandmete töötlemisele esimese lõigu tähenduses üksnes siis, kui töötlemine on täielikult või osaliselt automatiseeritud või kui töödeldavad andmed moodustavad andmekogumi või osa sellest või need andmed on mõeldud andmekogumi või sellest osa moodustamiseks.
18 Selle seaduse § 2 teises lõigus on sätestatud:
„Ametiasutuse peetavast isikuregistrist isikuandmetega tutvumise õigusele ja muul viisil isikuandmete avaldamisele kohaldatakse ametiasutuse tegevuse avalikkuse kohta sätestatut.“
Põhikohtuasi ja eelotsuse küsimused
19 Põhikohtuasja kaebaja Endemol Shine Finland palus Etelä-Savon käräjäoikeuselt (Lõuna-Savo esimese astme kohus, Soome) suuliselt teavet võimalike kantavate või juba kantud kriminaalkaristuste kohta füüsilise isiku puhul, kes osales selle äriühingu korraldatud konkursil, selleks et kindlaks teha isiku varasem kohtulik karistatus.
20 Etelä-Savon käräjäoikeus (Lõuna-Savo esimese astme kohus) jättis põhikohtuasja kaebaja nõude rahuldamata, leides samas, et nõue puudutab üldkohtute menetluste avalikkuse seaduse tähenduses otsuseid või avalikku teavet. Eelotsusetaotluse esitanud kohtu hinnangul ei kujuta põhikohtuasja kaebaja esitatud põhjus endast isikuandmete kaitse seaduse §-s 7 ette nähtud põhjust süüteoasjades süüdimõistvate kohtuotsuste või süütegude töötlemiseks. Ka otsing kohtu infosüsteemides oleks tähendanud isikuandmete töötlemist, mistõttu ei saanud taotletud teavet avaldada ka suuliselt.
21 Põhikohtuasja kaebaja esitas selle kohtuotsuse peale apellatsioonkaebuse eelotsusetaotluse esitanud kohtule, Itä-Suomen hovioikeusele (Ida-Soome apellatsioonikohus, Soome), väites, et taotletud teabe suuline avaldamine ei kujuta endast isikuandmete töötlemist isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses.
22 Eelotsusetaotluse esitanud kohus soovib teada, kas isikuandmete kaitse üldmääruse artikli 2 lõiget 1 ja artikli 4 punkti 2 tuleb tõlgendada nii, et füüsilise isiku võimalike kantavate või juba kantud kriminaalkaristuste kohta teabe suuline esitamine kujutab endast selle määruse tähenduses isikuandmete töötlemist. Eelotsusetaotluse esitanud kohus märgib sellega seoses, et isikuandmete töötlemist Soome ametiasutuste poolt reguleerib isikuandmete kaitse seadus. Piirangud, mis isikuandmete töötlemisega tavaliselt kaasnevad, ei ole siiski kohaldatavad nii nende asutuste valduses olevate andmete avalikkuse tõttu kui ka tulenevalt selle seaduse §-st 28 ja seaduse isikuandmete töötlemise kohta kriminaalasjades ja riigi julgeoleku säilitamise kontekstis (1054/2018) § 2 teisest lõigust.
23 Selleks et isikuandmete kaitse ühitada üldsuse õigusega tutvuda teabega, piirab ametiasutuste tegevuse avalikkuse seaduse (621/1999) § 16 selliste isikuandmete avaldamist koopiana, väljatrükina või elektrooniliselt, mis on pärit ametiasutuse peetavast isikuregistrist. Arvestades siiski, et seda paragrahvi ei kohaldata selliste isikuandmete suulisele avaldamisele, mis on kantud ametiasutuse peetavasse isikuregistrisse, tuleb selgitada, kuidas selline ühitamine tagada ja kuidas arvesse võtta olulisi isikuandmete kaitsega seotud kaalutlusi, kui sellised andmed, mis on kantud ametiasutuse isikuregistrisse, avaldatakse suuliselt.
24 Nendel asjaoludel otsustas Itä-Suomen hovioikeus (Ida-Soome apellatsioonikohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas isikuandmete suuline avaldamine kujutab endast isikuandmete töötlemist isikuandmete kaitse üldmääruse artikli 2 lõike 1 ja artikli 4 punkti 2 tähenduses?
2. Kas üldsuse õigust tutvuda ametlike dokumentidega on võimalik isikuandmete kaitse üldmääruse kohase õigusega isikuandmete kaitsele ühitada selle määruse artikli 86 tähenduses nii, et juhul, kui esitatakse taotlus avaldada teave taotlejale suuliselt, on süüteoasjades süüdimõistvaid kohtuotsuseid, mis puudutavad füüsilist isikut, või tema toime pandud süütegusid käsitlev teave kohtu peetavast isikuandmete registrist piiranguteta kättesaadav?
3. Kas teisele küsimusele vastamisel on oluline, kas taotleja on äriühing või üksikisik?“
Eelotsuse küsimuste analüüs
Esimene küsimus
25 Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 2 lõiget 1 ja artikli 4 punkti 2 tuleb tõlgendada nii, et sellise teabe suuline avaldamine, mis puudutab võimalikke kantavaid või juba kantud kriminaalkaristusi füüsilise isiku puhul, kujutab endast isikuandmete töötlemist selle määruse artikli 4 punkti 2 tähenduses, ning jaatava vastuse korral, kas see töötlemine kuulub selle määruse esemelisse kohaldamisalasse, nagu on määratletud artikli 2 lõikes 1.
26 Kõigepealt tuleb ühelt poolt märkida, et nende liidu õigusnormide tõlgendamisel ei tule arvesse võtta mitte ainult nende sõnastust, vaid ka konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa need sätted on (12. jaanuari 2023. aasta kohtuotsus Österreichische Post (teave isikuandmete vastuvõtjate kohta), C‑154/21, EU:C:2023:3, punkt 29).
27 Teiselt poolt on oluline rõhutada, et põhikohtuasjas ei ole vaidlust selles, et teave, mille avaldamist põhikohtuasja kaebaja taotleb, kujutab endast isikuandmeid isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses.
28 Selle määruse artikli 4 punktis 2 on mõiste „isikuandmete töötlemine“ määratletud kui „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum“.
29 Väljendist „[mis tahes] toiming“ nähtub eelkõige, et liidu seadusandja soovis anda mõistele „töötlemine“ laia ulatuse, mida kinnitab selles sättes nimetatud toimingute mitteammendav loetelu, mis selgub väljendist „nagu“ (vt selle kohta 24. veebruari 2022. aasta kohtuotsus Valsts ieņēmumu dienests (isikuandmete töötlemine maksustamise eesmärgil), C‑175/20, EU:C:2022:124, punkt 35, ja 22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punkt 46).
30 See loetelu hõlmab muu hulgas edastamist, levitamist ja „muul moel kättesaadavaks tegemist“, kusjuures neid toiminguid võib teha automatiseeritult või automatiseerimata. Isikuandmete kaitse üldmääruse artikli 4 punktis 2 ei ole sellega seoses sätestatud ühtegi tingimust „automatiseerimata“ töötlemise vormi kohta. Seega hõlmab mõiste „töötlemine“ suulist avaldamist.
31 Mõiste „töötlemine“ sellist tõlgendust kinnitab isikuandmete kaitse üldmääruse eesmärk, mis on selle artiklist 1 ning põhjendustest 1 ja 10 nähtuvalt eelkõige – kui töödeldakse neid puudutavaid isikuandmeid – tagada füüsiliste isikute põhiõiguste ja -vabaduste, eriti nende õiguse eraelu puutumatusele kõrgetasemeline kaitse, nagu need on sätestatud harta artikli 8 lõikes 1 ja ELTL artikli 16 lõikes 1 (vt selle kohta 4. mai 2023. aasta kohtuotsus Bundesrepublik Deutschland (kohtu elektrooniline postkast), C‑60/22, EU:C:2023:373, punkt 64). Selle eesmärgiga oleks aga ilmselgelt vastuolus võimalus hoida kõnealuse määruse kohaldamisest kõrvale nii, et isikuandmed avaldatakse suuliselt, selle asemel et seda teha kirjalikult.
32 Neil asjaoludel hõlmab isikuandmete kaitse üldmääruse artikli 4 punktis 2 viidatud mõiste „töötlemine“ tingimata isikuandmete suulist avaldamist.
33 Siiski tekib veel küsimus, kas selline töötlemine kuulub isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse. Määruse artiklis 2, kus on see kohaldamisala kindlaks määratud, on lõikes 1 sätestatud, et määrust kohaldatakse „täielikult või osaliselt automatiseeritud“ töötlemise suhtes ja „isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda“.
34 Sellega seoses nähtub viimati nimetatud sätte sõnastusest ja isikuandmete kaitse üldmääruse põhjendusest 15, et määrust kohaldatakse nii isikuandmete automatiseeritud kui ka manuaalse töötlemise suhtes, selleks et mitte seada selle määrusega isikutele, kelle andmeid töödeldakse, ette nähtud kaitset sõltuvusse kasutatavatest meetoditest ja vältida sellest kaitsest kõrvalehoidmise tõsist ohtu. Sellest ilmneb siiski ka, et määrus on isikuandmete manuaalsele töötlemisele kohaldatav üksnes juhul, kui töödeldavad andmed „kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda“ (vt analoogia alusel 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 53).
35 Kuna suuline avaldamine kui selline kujutab endast automatiseerimata töötlemist, peavad töödeldavad andmed seega „kuuluma“ „andmete kogumisse“ või „need kavatsetakse andmete kogumisse kanda“, selleks et kõnealune töötlemine kuuluks isikuandmete kaitse üldmääruse esemelisse kohaldamisalasse.
36 Mõiste „andmete kogum“ kohta on isikuandmete kaitse üldmääruse artikli 4 punktis 6 sätestatud, et see on „isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud“.
37 Sellega seoses on Euroopa Kohus juba otsustanud, et kooskõlas käesoleva kohtuotsuse punktis 34 meelde tuletatud eesmärgiga on mõiste „andmete kogum“ selles sättes määratletud laialt ehk nii, et see hõlmab „kõiki“ isikuandmete korrastatud kogumeid. Lisaks on nõue, et kõik isikuandmed peavad olema „korrastatud teatavate kriteeriumide põhjal“, suunatud üksnes sellele, et võimaldada konkreetse isikuga seotud andmeid hõlpsalt leida. Peale selle nõude ei ole isikuandmete kaitse üldmääruse artikli 4 punktis 6 sätestatud ei viisi, kuidas andmete kogum peab olema korrastatud, ega seda, millises vormis peab andmete kogum olema. Konkreetselt ei nähtu ei sellest sättest ega ka määruse ühestki teisest sättest, et asjaomased isikuandmed peaksid sisalduma andmete kogumis või spetsiifilistes loeteludes või ka mõnes muus otsingusüsteemis, selleks et oleks võimalik järeldada, et tegemist on selle määruse tähenduses andmete kogumiga (vt analoogia alusel 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punktid 56–58).
38 Käesoleval juhul nähtub eelotsusetaotlusest, et põhikohtuasja kaebaja taotletud andmed sisalduvad „kohtu peetavas isikuandmete registris“. Seega näib, et need andmed sisalduvad isikuandmete kaitse üldmääruse artikli 4 punkti 6 tähenduses andmete kogumis, mida peab siiski kontrollima eelotsusetaotluse esitanud kohus, ilma et oleks vaja teada, kas need andmed sisalduvad elektroonilistes andmebaasides või ka füüsilistes toimikutes või registrites.
39 Neil asjaoludel tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 2 lõiget 1 ja artikli 4 punkti 2 tuleb tõlgendada nii, et sellise teabe suuline avaldamine, mis puudutab võimalikke kantavaid või juba kantud kriminaalkaristusi füüsilise isiku puhul, kujutab endast isikuandmete töötlemist selle määruse artikli 4 punkti 2 tähenduses, mis kuulub selle määruse esemelisse kohaldamisalasse, kui need andmed kuuluvad andmete kogumisse või kavatsetakse sinna kanda.
Teine ja kolmas küsimus
40 Teise ja kolmanda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse sätteid, eelkõige selle artiklit 86, tuleb tõlgendada nii, et nendega on vastuolus see, kui süüteoasjades füüsilise isiku süüdimõistvaid kohtuotsuseid puudutavaid andmeid, mis on kantud kohtu peetavasse andmete kogumisse, võib suuliselt avaldada igale isikule, selleks et tagada üldsuse õigus tutvuda ametlike dokumentidega, ilma et teavet taotlev isik peaks tõendama konkreetset huvi nende andmete saamiseks, ja kas vastus sellele küsimusele erineb sõltuvalt sellest, kas isik on äriühing või üksikisik.
41 Esitatud küsimus on tingitud põhikohtuasjas kõne all olevatest riigisisestest õigusnormidest, kuna need ei nõua isikuandmete kaitset käsitlevate riigisiseste õigusnormide järgimist, kui sellised andmed avaldatakse suuliselt.
42 Sellega seoses tuleb kõigepealt meelde tuletada, et ELTL artikli 288 teise lõigu kohaselt on määrus tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides. Nii on määruste sätetel juba oma olemuse ja ülesande tõttu liidu õigusallikate süsteemis üldjuhul liikmesriikide õiguskordades vahetu mõju, ilma et liikmesriigi ametiasutused peaksid võtma rakendusmeetmeid (16. juuni 2022. aasta kohtuotsus Port de Bruxelles ja Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, punkt 47, ning 30. märtsi 2023. aasta kohtuotsus Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, punkt 77).
43 Seega on liikmesriigi kohus kohustatud kohaldama isikuandmete kaitse üldmääruse nõudeid tervikuna, isegi kui kohaldatavas riigisiseses õiguses ei ole konkreetset sätet, mis võimaldaks võtta arvesse selle isiku huve, kelle isikuandmetega on tegemist (vt selle kohta 2. märtsi 2023. aasta kohtuotsus Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, punktid 44 ja 59).
44 Eeltoodud kaalutlustest tuleneb, et andmeid süüteoasjades füüsilise isiku süüdimõistvate kohtuotsuste kohta tohib suuliselt avaldada ainult siis, kui isikuandmete kaitse üldmääruses sätestatud tingimused on täidetud, kui need andmed kuuluvad andmete kogumisse või need kavatsetakse sinna kanda.
45 Sellega seoses tuleb meenutada, et Euroopa Kohtu väljakujunenud praktika kohaselt tuleb isikuandmete igasugusel töötlemisel ühelt poolt järgida andmete töötlemise põhimõtteid, mis on sätestatud isikuandmete kaitse üldmääruse artiklis 5, ning teiselt poolt, arvestades eelkõige selle artikli lõike 1 punktis a ette nähtud töötlemise seaduslikkuse põhimõtet, vastata ühele andmetöötluse seaduslikkuse tingimustest, mis on loetletud määruse artiklis 6 (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 96, ning 7. detsembri 2023. aasta kohtuotsus SCHUFA Holding jt (Scoring), C‑634/21, EU:C:2023:957, punkt 67).
46 Eelkõige võib põhikohtuasjas kõne all olev isikuandmete töötlemine, nimelt kuritegusid puudutavate andmete üldsusele suuline avaldamine, kuuluda isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti e kohaldamisalasse, mille kohaselt on töötlemine õiguspärane, kui ja niivõrd, kuivõrd isikuandmete töötlemine on „vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks“ (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 99).
47 Lisaks, mis puudutab konkreetsemalt andmeid süüteoasjades süüdimõistvate kohtuotsuste ja süütegude kohta, siis isikuandmete kaitse üldmääruse artikli 10 kohaselt kehtivad nende töötlemise suhtes täiendavad piirangud. Selle sätte kohaselt võib neid andmeid töödelda „ainult ametiasutuse järelevalve all“, välja arvatud juhul, kui see on „lubatud liidu või liikmesriigi õigusega, milles on sätestatud asjakohased kaitsemeetmed andmesubjektide õiguste ja vabaduste kaitseks“ (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 100).
48 Euroopa Kohus on juba otsustanud, et ei isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkt e ega selle määruse artikkel 10 ei keela üldiselt ja absoluutselt, et ametiasutusel on õigus või isegi kohustus avaldada isikuandmed neile, kes seda taotlevad (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 103).
49 Seega ei ole isikuandmete kaitse üldmäärusega vastuolus see, kui isikuandmeid edastatakse üldsusele, kui see on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks selle määruse artikli 6 lõike 1 punkti e tähenduses. Sama kehtib ka juhul, kui kõnealused andmed kuuluvad isikuandmete kaitse üldmääruse artikli 10 kohaldamisalasse, tingimusel et nende andmete avaldamist lubavates õigusaktides on andmesubjektide õiguste ja vabaduste kaitseks ette nähtud asjakohased kaitsemeetmed (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 104).
50 Käesoleval juhul nähtub nii eelotsusetaotlusest kui ka Soome valitsuse kirjalikest seisukohtadest, et ametiasutuste tegevuse ja üldkohtute menetluste avalikkust käsitletavate riigisiseste õigusnormide eesmärk on avalikes huvides oleva ülesande täitmine, mis võimaldab tagada üldsuse võimaluse tutvuda ametlike dokumentidega.
51 Neil asjaoludel soovib eelotsusetaotluse esitanud kohus täpsemalt välja selgitada, kas põhikohtuasjas kõne all olevat isikuandmete töötlemist võib proportsionaalsuse põhimõtte seisukohast pidada õiguspäraseks, arvestades eelkõige seda, et omavahel tuleb kaaluda ühelt poolt üldsuse õigust tutvuda ametlike dokumentidega, mis on ette nähtud isikuandmete kaitse üldmääruse artiklis 86, ning teiselt poolt põhiõigusi eraelu puutumatusele ja isikuandmete kaitsele, mis on sätestatud harta artiklites 7 ja 8.
52 Sellega seoses tuleb meenutada, et põhiõigused eraelu puutumatusele ja isikuandmete kaitsele ei ole absoluutsed eelisõigused, nagu selgub isikuandmete kaitse üldmääruse põhjendusest 4, vaid neid tuleb arvesse võtta vastavalt nende ülesandele ühiskonnas ning kaaluda teiste põhiõigustega. Seega võib piiranguid seada tingimusel, et vastavalt harta artikli 52 lõikele 1 on need ette nähtud seadusega ning arvestavad põhiõiguste olemust ja on kooskõlas proportsionaalsuse põhimõttega. Viimati nimetatud põhimõtte kohaselt võib piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi. Piirangud peavad piirduma rangelt vajalikuga ning riivet sisaldavas õigusaktis peavad olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 105).
53 Selleks, et kindlaks teha, kas süüteoasjades süüdimõistvaid kohtuotsuseid puudutavate isikuandmete niisugune üldsusele avaldamine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti e tähenduses ning kas sellist avaldamist lubavates õigusnormides on ette nähtud asjakohased kaitsemeetmed andmesubjektide õiguste ja vabaduste kaitseks selle määruse artikli 10 tähenduses, tuleb konkreetselt kontrollida, kas arvestades eraelu puutumatust ja isikuandmete kaitset puudutavate põhiõiguste riive raskust – mis on tingitud kõnealusest isikuandmete edastamisest –, on see põhjendatud ja eelkõige proportsionaalne taotletavate eesmärkide saavutamisega (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 106).
54 Mis puudutab nende õiguste riive raskust, siis on Euroopa Kohus juba otsustanud, et süüteoasjades süüdimõistvate kohtuotsuste ja süütegude või nendega seotud turvameetmetega seotud andmete töötlemine võib nende andmete erilise tundlikkuse tõttu kujutada endast eriti tõsist sekkumist põhiõigusesse eraelu puutumatusele ja põhiõigusesse isikuandmete kaitsele, mis on tagatud harta artiklitega 7 ja 8. Nimelt, kuna niisugused andmed puudutavad tegevust, millega kaasneb ühiskonna hukkamõist, võib nende andmetega tutvumise võimaldamine stigmatiseerida asjaomast isikut ja kujutada endast seega tõsist sekkumist tema era- või tööellu (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punktid 74, 75 ja 112).
55 Kuigi üldsuse võimalus tutvuda ametlike dokumentidega, millele viitab eelotsusetaotluse esitanud kohus, kujutab endast – nagu see selgub isikuandmete kaitse üldmääruse põhjendusest 154 – avalikku huvi, mis muudab sellistes dokumentides sisalduvate isikuandmete avaldamise õiguspäraseks, peab tutvumise õigus olema siiski ühitatud põhiõigustega eraelu puutumatusele ja isikuandmete kaitsele, nagu seda nõuab sõnaselgelt ka määruse artikkel 86. Lähtudes eelkõige süüteoasjades süüdimõistvaid kohtuotsuseid puudutavate andmete tundlikkusest ning asjaolust, et nende andmete avaldamine toob endaga kaasa andmesubjektide põhiõiguste eraelu puutumatusele ja isikuandmete kaitsele tõsise riive, tuleb aga tõdeda, et need õigused kaaluvad üles avaliku huvi tutvuda ametlike dokumentidega (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 120).
56 Samal põhjusel ei saa isikuandmete kaitse üldmääruse artiklis 85 ette nähtud õigust teabevabadusele tõlgendada nii, et see õigustab teabe avaldamist igale isikule, kes taotleb isikuandmeid süüteoasjades süüdimõistvate kohtuotsuste kohta (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 121).
57 Sellega seoses ei ole oluline, kas isik, kes soovib tutvuda süüteoasjades süüdimõistvaid kohtuotsuseid puudutavate andmetega, on äriühing või üksikisik või kas need andmed avaldatakse kirjalikult või suuliselt.
58 Eeltoodud kaalutlusi arvestades tuleb teisele ja kolmandale eelotsuse küsimusele vastata, et isikuandmete kaitse üldmääruse sätteid, eelkõige selle artikli 6 lõike 1 punkti e ja artiklit 10, tuleb tõlgendada nii, et nendega on vastuolus see, kui süüteoasjades füüsilise isiku süüdimõistvaid kohtuotsuseid puudutavaid andmeid, mis on kantud kohtu peetavasse andmete kogumisse, võib suuliselt avaldada igale isikule, selleks et tagada üldsuse õigus tutvuda ametlike dokumentidega, ilma et teavet taotlev isik peaks tõendama konkreetset huvi nende andmete saamiseks, kusjuures selles suhtes ei ole tähtsust asjaolul, kas isik on äriühing või üksikisik.
Kohtukulud
59 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (kuues koda) otsustab:
1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 2 lõiget 1 ja artikli 4 punkti 2
tuleb tõlgendada nii, et
sellise teabe suuline avaldamine, mis puudutab võimalikke kantavaid või juba kantud kriminaalkaristusi füüsilise isiku puhul, kujutab endast isikuandmete töötlemist selle määruse artikli 4 punkti 2 tähenduses, mis kuulub selle määruse esemelisse kohaldamisalasse, kui need andmed kuuluvad andmete kogumisse või kavatsetakse sinna kanda.
2. Määruse 2016/679 sätteid, eelkõige artikli 6 lõike 1 punkti e ja artiklit 10
tuleb tõlgendada nii, et
nendega on vastuolus see, kui süüteoasjades füüsilise isiku süüdimõistvaid kohtuotsuseid puudutavaid andmeid, mis on kantud kohtu peetavasse andmete kogumisse, võib suuliselt avaldada igale isikule, selleks et tagada üldsuse õigus tutvuda ametlike dokumentidega, ilma et teavet taotlev isik peaks tõendama konkreetset huvi nende andmete saamiseks, kusjuures selles suhtes ei ole tähtsust asjaolul, kas isik on äriühing või üksikisik.
Allkirjad