Kohtuasi C‑487/21
F.F.
versus
Österreichische Datenschutzbehörde ja CRIF GmbH
(eelotsusetaotlus, mille on esitanud Bundesverwaltungsgericht (Austria))
Euroopa Kohtu (esimene koda) 4. mai 2023. aasta otsus
Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – Andmesubjekti õigus tutvuda teda puudutavate töödeldavate andmetega – Artikli 15 lõige 3 – Andmete koopia esitamine – Mõiste „koopia“ – Mõiste „teave“
1. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Andmesubjekti õigus tutvuda teda puudutavate töödeldavate andmetega – Andmete koopia esitamine – Mõiste „koopia“ – Andmesubjektile nende andmete täpse ja arusaadava taasesituse andmine – Koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või ka väljavõtetest andmebaasidest, mis sisaldavad muu hulgas neid andmeid – Hõlmamine – Tingimus
(Euroopa Parlamendi ja nõukogu määrus 2016/679, põhjendused 58 ja 60 ning artikli 12 lõige 1 ja artikli 15 lõige 1 ning lõike 3 esimene lause)
(vt punktid 21, 28, 32 ja 36–45 ning resolutsiooni punkt 1)
2. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Andmesubjekti õigus tutvuda teda puudutavate töödeldavate andmetega – Andmete koopia esitamine – Mõiste „teave“ – Isikuandmed, mis vastutaval töötlejal tuleb esitada koopiana – Hõlmamine
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 15 lõike 3 kolmas lause)
(vt punktid 48–53 ja resolutsiooni punkt 2)
Kokkuvõte
Isikuandmete kaitse üldmäärus: õigus saada töödeldavate isikuandmete „koopia“ tähendab seda, et andmesubjektile antakse kõigi nende andmete täpne ja arusaadav taasesitus
See õigus eeldab õigust saada koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või ka väljavõtetest andmebaasidest, mis sisaldavad neid andmeid, kui see on hädavajalik, et võimaldada andmesubjektil tõhusalt kasutada talle selle määrusega antud õigusi
CRIF on ärikonsultatsioonide firma, kes annab oma klientide nõudmisel teavet kolmandate isikute maksevõime kohta. Sel eesmärgil töötles see firma põhikohtuasja kaebaja, kes on eraisik, isikuandmeid. Põhikohtuasja kaebaja esitas isikuandmete kaitse üldmääruse(1) alusel CRIFile taotluse tutvuda teda puudutavate isikuandmetega. Lisaks palus ta esitada koopia dokumentidest, nimelt e‑kirjad ja andmebaaside väljavõtted, mis sisaldavad muu hulgas tema andmeid „standardses tehnilises vormis“.
Vastuseks sellele taotlusele edastas CRIF põhikohtuasja kaebajale kokkuvõtlikus vormis loetelu teda puudutavatest töödeldavatest isikuandmetest. Kuna põhikohtuasja kaebaja leidis, et CRIF oleks pidanud talle edastama koopia kõigist tema isikuandmeid sisaldavatest dokumentidest, nagu e‑kirjad ja andmebaaside väljavõtted, esitas ta Österreichische Datenschutzbehördele (Austria andmekaitseasutus) kaebuse. See asutus jättis kaebuse rahuldamata, leides, et CRIF ei ole rikkunud põhikohtuasja kaebaja õigust tutvuda isikuandmetega.
Bundesverwaltungsgerichtil (Austria föderaalne halduskohus), kellele põhikohtuasja kaebaja esitas selle otsuse peale kaebuse, on tekkinud küsimus, milline on isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimeses lauses ette nähtud kohustuse esitada andmesubjektile teda puudutavate töödeldavate isikuandmete „koopia“ ulatus. Eelkõige soovib see kohus teada, kas see kohustus on täidetud, kui vastutav töötleja edastab isikuandmed kokkuvõtliku tabeli kujul, või hõlmab see kohustus ka väljavõtete edastamist dokumentidest või isegi tervetest dokumentidest ning väljavõtteid andmebaasidest, kus need andmed taasesitatakse. Eelotsusetaotluse esitanud kohus küsib veel täpsustusi selle kohta, mida hõlmab isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmandas lauses sisalduv mõiste „teave“(2).
Euroopa Kohus täpsustas oma otsuses andmesubjekti õiguse tutvuda teda puudutavate töödeldavate isikuandmetega sisu ja ulatust. Selles osas leidis Euroopa Kohus, et õigus saada vastutavalt töötlejalt töödeldavate isikuandmete koopia isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause alusel tähendab seda, et andmesubjektile antakse kõigi nende andmete täpne ja arusaadav taasesitus. See õigus eeldab õigust saada koopia dokumentide väljavõtetest või isegi tervetest dokumentidest või ka väljavõtetest andmebaasidest, mis sisaldavad muu hulgas neid andmeid, kui sellise koopia esitamine on hädavajalik, et võimaldada andmesubjektil tõhusalt kasutada talle isikuandmete kaitse üldmääruse määrusega antud õigusi, kusjuures sellega seoses tuleb arvesse võtta teiste isikute õigusi ja vabadusi. Euroopa Kohus täpsustas veel, et isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmandas lauses viidatud mõiste „teave“ puudutab üksnes isikuandmeid, mille koopia peab vastutav töötleja selle lõike esimese lause kohaselt esitama.
Euroopa Kohtu hinnang
Kõigepealt tõlgendas Euroopa Kohus grammatiliselt, süstemaatiliselt ja teleoloogiliselt isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimest lauset, mis näeb ette andmesubjekti õiguse saada teda puudutavate töödeldavate isikuandmete koopia.
Euroopa Kohus märkis isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause sõnastuse kohta, et kuigi see säte ei sisalda mõiste „koopia“ määratlust, tuleb arvesse võtta selle mõiste tavatähendust, mis tähistab originaali täpset taasesitust või üleskirjutust, mistõttu ei vasta töödeldavate andmete ainult üldine kirjeldus või viide isikuandmete liikidele sellele määratlusele. Lisaks nähtub selle sätte sõnastusest, et teabe edastamise kohustus puudutab töödeldavaid isikuandmeid. Pärast nimetatud sätte grammatilist analüüsi leidis Euroopa Kohus, et säte annab seega andmesubjektile õiguse saada täpne taasesitus oma isikuandmetest, mida mõistetakse laias tähenduses ja mille suhtes tehakse toiminguid, mille vastutav töötleja peab kvalifitseerima töötlemiseks.
Mis puudutab isikuandmete kaitse üldmääruse artikli 15 lõike 3 esimese lause konteksti, siis märkis Euroopa Kohus, et selle määruse artikli 15 lõikes 1 on määratletud andmesubjekti õiguse tutvuda andmetega ese ja kohaldamisala. Isikuandmete kaitse üldmääruse artikli 15 lõikes 3 on täpsustatud vastutava töötleja kohustuse täitmise kord, kusjuures eelkõige selle esimeses lauses on täpsustatud, millises vormis peab vastutav töötleja „töödeldavad isikuandmed“ esitama – nimelt „koopiana“. Järelikult ei saa isikuandmete kaitse üldmääruse artiklit 15 tõlgendada nii, nagu oleks selle lõike 3 esimeses lauses ette nähtud muu õigus kui selle artikli lõikes 1. Lisaks täpsustas Euroopa Kohus, et mõiste „koopia“ ei puuduta dokumenti kui sellist, vaid isikuandmeid, mida see sisaldab ja mida tuleb täiendada. Koopia peab seega sisaldama kõiki töödeldavaid isikuandmeid.
Isikuandmete kaitse üldmääruse artikli 15 eesmärgi kohta märkis Euroopa Kohus, et selles artiklis ette nähtud õigus andmetega tutvuda peab võimaldama andmesubjektil veenduda, et teda puudutavad isikuandmed on õiged ja neid töödeldakse seaduslikult.
Lisaks tuleneb Euroopa Kohtu hinnangul isikuandmete kaitse üldmäärusest(3), et vastutav töötleja on kohustatud rakendama asjakohaseid meetmeid, et edastada andmesubjektile kogu viidatud teave kokkuvõtlikul, läbipaistval, loetaval ja kergesti arusaadaval kujul, selges ja lihtsas sõnastuses, ning teave tuleb esitada kirjalikult või muul viisil, sealhulgas vajaduse korral elektrooniliselt, välja arvatud juhul, kui andmesubjekt taotleb selle suulist esitamist. Sellest tuleneb, et töödeldavate isikuandmete koopial, mille vastutav töötleja peab esitama, peavad olema kõik tunnused, mis võimaldavad andmesubjektil tõhusalt teostada oma õigusi, mis tulenevad isikuandmete kaitse üldmäärusest, ning selles tuleb järelikult need andmed täielikult ja täpselt taasesitada.
Selleks, et tagada, et selliselt esitatud teavet oleks lihtne mõista, võib osutuda hädavajalikuks dokumentide väljavõtete või isegi tervete dokumentide või ka selliste andmebaaside väljavõtete esitamine, mis sisaldavad muu hulgas töödeldavaid isikuandmeid. Eelkõige juhul, kui isikuandmed luuakse muudest andmetest või kui need andmed pärinevad vabadelt andmeväljadelt, st kui puudub teave andmesubjekti kohta, on selliste andmete töötlemise kontekst hädavajalik selleks, et tagada andmesubjektile läbipaistvus andmetega tutvumisel ja nende andmete arusaadav esitusviis.
Euroopa Kohus leidis, et juhul, kui on vastuolu ühelt poolt isikuandmetega täieliku tutvumise õiguse teostamise ja teiselt poolt teiste isikute õiguste või vabaduste vahel, tuleb kõnealuste õiguste ja vabaduste vahel leida tasakaal. Võimaluse korral on vaja valida isikuandmete edastamise viisid, mis ei riku teiste isikute õigusi ega vabadusi, pidades meeles, et sellise kaalutlemise tulemuseks ei tohi olla andmesubjektile teabe andmisest keeldumine.
Seejärel analüüsis Euroopa Kohus küsimust sellest, mida hõlmab isikuandmete kaitse üldmääruse artikli 15 lõike 3 kolmandas lauses viidatud mõiste „teave“. Kuigi selles sättes ei ole täpsustatud, mida tuleb mõista mõiste „teave“ all, tuleneb selle kontekstist, et selles nimetatud „teave“ vastab tingimata isikuandmetele, millest vastutav töötleja peab esitama vastavalt selle lõike esimesele lausele koopia.