CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2019:801

Kohtuasi C‑673/17

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

versus

Planet49 GmbH

(eelotsusetaotlus, mille on esitanud Bundesgerichtshof)

Euroopa Kohtu (suurkoda) 1. oktoobri 2019. aasta otsus

Eelotsusetaotlus – Direktiiv 95/46/EÜ – Direktiiv 2002/58/EÜ – Määrus (EL) 2016/679 – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Küpsised – Mõiste „andmesubjekti nõusolek“ – Nõusoleku andmine eeltäidetud märkeruudu abil

1. Õigusaktide ühtlustamine – Elektroonilise side sektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Küpsised – Andmesubjekti nõusolek – Mõiste – Nõusoleku väljendamine eeltäidetud märkeruudu abil – Välistamine

(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 4 punkt 11 ja artikli 6 lõike 1 punkt a; Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 2 punkt h, ning direktiiv 2002/58 (muudetud direktiiviga 2009/136), artikli 2 punkt f ja artikli 5 lõige 3)

(vt punktid 49–58 ja 60–63 ning resolutsiooni punkt 1)

2. Õigusaktide ühtlustamine – Elektroonilise side sektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Küpsised – Andmesubjekti nõusolek – Mõiste – Andmed, mis salvestatakse või millele pääsetakse juurde ja mille puhul on või ei ole tegemist isikuandmetega – Mõju puudumine

(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 4 punkt 11 ja artikli 6 lõike 1 punkt a; Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 2 punkt h ja direktiiv 2002/58 (muudetud direktiiviga 2009/136), artikli 2 punkt f ja artikli 5 lõige 3)

(vt punktid 68–71 ja resolutsiooni punkt 2)

3. Õigusaktide ühtlustamine – Elektroonilise side sektor – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Direktiiv 2002/58 – Küpsised – Selge ja arusaadav teave, mille teenuseosutaja peab andma – Mõiste – Küpsiste kasutamise kestus – Hõlmamine – Küsimus, kas kolmandatel isikutel on võimalik küpsistele juurde pääseda või mitte – Hõlmamine

(Euroopa Parlamendi ja nõukogu direktiiv 2002/58 (muudetud direktiiviga 2009/136), artikli 5 lõige 3)

(vt punktid 74–81 ja resolutsiooni punkt 3)

Kokkuvõte

Küpsiste paigaldamine nõuab internetikasutaja aktiivset nõusolekut

Euroopa Kohtu suurkoda otsustas 1. oktoobri 2019. aasta kohtuotsuses Planet49 (C‑673/17), et nõusolek veebisaidi kasutaja lõppseadmesse paigaldatud küpsiste abil teabe salvestamiseks või salvestatud teabele juurdepääsuks ei ole kehtiv, kui see on antud eeltäidetud märkeruudu abil, ja seda olenemata asjaolust, kas kõnealuse teabe puhul on või ei ole tegemist isikuandmetega. Lisaks täpsustas Euroopa Kohus, et teenuseosutaja peab veebisaidi kasutajale teada andma ka küpsiste kasutamise kestuse ja selle, kas kolmandatel isikutel on võimalus neile küpsistele juurde pääseda.

Põhikohtuasja vaidlus käsitles müügiedendusliku auhinnamängu korraldamist Planet49 poolt veebisaidil www.dein-macbook.de. Mängus osalemiseks pidid internetikasutajad sisestama oma nime ja aadressi veebilehel, kus olid märkeruudud. Märkeruut küpsiste paigaldamise lubamiseks oli eeltäidetud. Bundesgerichtshofil (Saksamaa Liitvabariigi kõrgeim üldkohus) tekkis Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderatsiooni esitatud kassatsioonkaebust lahendades kahtlus nii selles, kas kasutajatelt eeltäidetud märkeruudu abil saadud nõusolek on kehtiv, kui ka selles, milline on teenuseosutaja teabe andmise kohustuse ulatus.

Eelotsusetaotlus puudutas eelkõige seda, kuidas tõlgendada mõistet „nõusolek“, mis on sätestatud eraelu puutumatust ja elektroonilist sidet käsitlevas direktiivis(1) koostoimes direktiiviga 95/46(2) ning isikuandmete kaitse üldmäärusega(3).

Esiteks märkis Euroopa Kohus, et direktiivi 95/46 artikli 2 punktis h, millele viitab eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi artikli 2 punkt f, on andmesubjekti nõusolek määratletud kui „iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid“. Ta selgitas, et andmesubjekti tahte „avaldamise“ nõue viitab selgelt aktiivsele, mitte passiivsele tegevusele. Eeltäidetud märkeruudu abil nõusoleku andmiseks ei ole aga vaja veebisaidi kasutaja aktiivset tegevust. Direktiivi 2002/58 artikli 5 lõike 3 – mis näeb sellesse direktiiviga 2009/136 tehtud muudatusest saadik ette, et andmesubjekt peab küpsiste paigaldamiseks olema „andnud […] oma nõusoleku“ – kujunemislugu viitab lisaks sellele, et kasutaja nõusolekut ei tohi nüüdsest enam eeldada ja see peab nähtuma tema aktiivsest tegevusest. Viimaseks, isikuandmete kaitse üldmääruses(4) on nüüdsest ette nähtud aktiivne nõusolek, kuivõrd selle artikli 4 punktis 11 on nõutud tahteavaldust, mida muu hulgas võib väljendada „selge nõusolekut väljendava tegevusega“, ja selle põhjenduses 32 on sõnaselgelt välistatud võimalus, et „vaikimist, eelnevalt märgistatud lahtreid või tegevusetust“ saaks pidada nõusolekuks.

Euroopa Kohus asus seetõttu seisukohale, et nõusolek ei ole kehtiv, kui luba teabe salvestamiseks veebisaidi kasutaja lõppseadmesse või juurdepääsuks sinna juba salvestatud teabele on antud eeltäidetud märkeruudu abil, millest kasutaja peab nõusoleku andmisest keeldumiseks märgistuse eemaldama. Ta lisas, et asjaolust, et kasutaja klõpsab kõnealuse auhinnamängu osalemisnupul, ei piisa selleks, et leida, et ta on andnud kehtiva nõusoleku küpsiste paigaldamiseks.

Teiseks tõdes Euroopa Kohus, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi artikli 5 lõike 3 eesmärk on kaitsta kasutajat tema eraellu tungimise eest, olenemata sellest, kas selline sekkumine puudutab isikuandmeid. Sellest tuleneb, et nõusoleku mõistet ei tule tõlgendada erinevalt sõltuvalt sellest, kas teabe puhul, mis on salvestatud veebisaidi kasutaja lõppseadmesse või millele seal juurde pääsetakse, on või ei ole tegemist isikuandmetega.

Kolmandaks tõi Euroopa Kohus esile, et eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi artikli 5 lõige 3 nõuab, et kasutaja oleks andnud oma nõusoleku pärast seda, kui talle on esitatud selge ja igakülgne teave, muu hulgas andmete töötlemise eesmärgi kohta. Selge ja igakülgne teave peab võimaldama kasutajal hõlpsasti kindlaks määrata tema nõusoleku tagajärjed ja tagama, et see nõusolek oleks antud kõiki asjaolusid teades. Euroopa Kohus leidis sellega seoses, et selge ja igakülgse teabe hulka, mille teenuseosutaja peab internetikasutajale andma, kuuluvad nii küpsiste kasutamise kestus kui ka asjaolu, kas kolmandatel isikutel on võimalus neile juurde pääseda.

1 Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11)), artikli 2 punkt f ja artikli 5 lõige 3.

2 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 2 punkt h.

3 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1) artikli 6 lõike 1 punkt a.

4 Määruse 2016/679 artikli 6 lõike 1 punkt a.