KOHTUJURISTI ETTEPANEK
MACIEJ SZPUNAR
esitatud 21. märtsil 2019(1)
Kohtuasi C‑673/17
Planet49 GmbH
versus
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
(eelotsusetaotlus, mille on esitanud Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus))
Eelotsusetaotlus – Direktiiv 95/46/EÜ – Direktiiv 2002/58/EÜ – Määrus (EL) 2016/679 – Isikuandmete töötlemine ja eraelu kaitse elektroonilise side sektoris – Küpsised – Mõiste „andmesubjekti nõusolek“ – Nõusoleku andmine eeltäidetud märkeruudu abil
I. Sissejuhatus
1. Osalemaks Planet49 korraldatud loteriil kuvati internetikasutajale kaks märkeruutu, mis tuli märgistada või millest märgistus kõrvaldada, enne kui sai vajutada „osalemisnuppu“. Ühes märkeruudus nõuti kasutaja nõusolekut selleks, et talle võiks oma kampaaniapakkumusi saata rida ettevõtjaid, teine märkeruut nõudis kasutaja nõusolekut küpsiste paigaldamiseks tema arvutisse. Need on kokkuvõetult käesoleva, Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) poolt esitatud eelotsusetaotluse faktilised asjaolud.
2. Nende pealtnäha lihtsate faktidega seonduvad aga liidu andmekaitseõiguse fundamentaalsed küsimused: millised täpselt on vabatahtlikult antava teadliku nõusoleku nõuded? Kas on vahet (pelgalt) isikuandmete töötlemisel ning küpsiste paigaldamisel ja neile juurdepääsul? Millised on kohaldatavad õigusnormid?
3. Oma ettepanekus põhjendan, et käesoleval ajal langevad direktiivis 95/46/EÜ(2) ja määruses (EL) 2016/679(3) sätestatud nõusoleku andmise nõuded kokku ning et kõnealuses asjas ei ole vahet, kas tegemist on isikuandmete töötlemist puudutava üldise küsimusega või konkreetsema, küpsiste abil teabe salvestamise ja sellele juurdepääsu küsimusega.
II. Õigusraamistik
A. ELi õigus
1. Direktiiv 95/46
4. Direktiivi 95/46 artiklis 2 „Mõisted“ on sätestatud:
„Käesolevas direktiivis kasutatakse järgmisi mõisteid:
[…]
h) andmesubjekti nõusolek – iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid andmeid.“
5. Selle direktiivi II jaos „Andmetöötluse seaduslikkuse kriteeriumid“ on artikli 7 punktis a sätestatud:
„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:
a) andmesubjekt on selleks andnud oma ühemõttelise nõusoleku või
[…]“.
6. Sama direktiivi artiklis 10 „Teave, mis tuleb esitada juhul, kui andmeid kogutakse andmesubjektilt“ on sätestatud:
„Liikmesriigid näevad ette, et vastutav töötleja või tema esindaja peab andmesubjektile, kellelt tema enda kohta andmeid kogutakse, esitama vähemalt järgmise teabe, kui ta seda juba ei tea:
a) vastutava töötleja ja tema võimaliku esindaja andmed;
b) andmete töötlemise eesmärk;
c) täiendav teave, näiteks
– andmete vastuvõtjad või vastuvõtjate kategooriad,
– kas küsimustele vastamine on kohustuslik või vabatahtlik ja vastamata jätmise võimalikud tagajärjed,
– isiku enda kohta käivate andmetega tutvumise ja nende parandamise õiguse olemasolu,
kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete kogumise konkreetseid asjaolusid.“
2. Direktiiv 2002/58/EÜ(4)
7. Direktiivi 2002/58/EÜ(5) põhjendustes 24 ja 25 märgitakse järgmist:
„(24) Elektrooniliste sidevõrkude kasutajate lõppseadmed ja sellistes seadmetes säilitatav teave moodustavad osa kasutajate eraelust, mida tuleb kaitsta inimõiguste ja põhivabaduste kaitse Euroopa konventsiooni kohaselt. Niinimetatud nuuskurvara, veebilutikad, varjatud identifikaatorid ja muud sellised vahendid võimaldavad kasutaja teadmata siseneda kasutaja lõppseadmesse, et pääseda juurde teabele, salvestada varjatud teavet või jälitada kasutaja tegevust, ning võimaldab tõsiselt sekkuda kõnealuste kasutajate eraellu. Selliste vahendite kasutamine peaks olema lubatud ainult õiguspärastel eesmärkidel ja asjaomaste kasutajate teadmisel.
(25) Samas võib selliste vahendite, näiteks niinimetatud küpsiste kasutamine olla seaduslik ja kasulik näiteks veebilehe kujunduse ja reklaami tulemuslikkuse hindamisel ja on-line-tehingutes osalevate kasutajate isiku kindlakstegemisel. Kui selliseid vahendeid, näiteks küpsiseid, kasutatakse õiguspärasel eesmärgil, näiteks infoühiskonna teenuste osutamise toetamiseks, võib neid lubada kasutada tingimusel, et kasutajatele antakse direktiivi 95/46/EÜ kohaselt selge ja täpne teave küpsiste või muude selliste vahendite kasutamise eesmärgi kohta, tagamaks, et kasutajad on teadlikud nende lõppseadmesse salvestatavast teabest. Kasutajatel peaks olema võimalik keelata küpsiste või muude selliste vahendite salvestamine oma lõppseadmes. See on eriti oluline, kui lõppseadmele ja seega ka sellises seadmes salvestatud ja eraelu puutumatuse seisukohast tundlikele andmetele pääsevad juurde teisedki kasutajad peale esmakasutaja. Teavet kasutaja eri lõppseadmesse salvestatavate vahendite kohta ja õigust neist keelduda võib pakkuda ühe korra ühe ja sama ühenduse ajal ning see võib hõlmata ka kõnealuste vahendite edaspidist kasutamist järgmiste ühenduste ajal. Teabe edastamine, keeldumisvõimaluse pakkumine või nõusoleku küsimine tuleks teha võimalikult kasutajasõbralikuks. Juurdepääs teatavale veebilehe sisule võib sõltuda küpsise või muu sellise vahendi teadlikust vastuvõtmisest, kui seda kasutatakse õiguspärasel eesmärgil.“
8. Selle direktiivi artikli 2 „Mõisted“ punktis f on sätestatud:
„Kui ei ole sätestatud teisiti, kohaldatakse direktiivis 95/46/EÜ ning Euroopa Parlamendi ja nõukogu 7. märtsi 2002. aasta direktiivis 2002/21/EÜ elektrooniliste sidevõrkude ja -teenuste ühise reguleeriva raamistiku kohta (raamdirektiiv)[(6)] sätestatud mõisteid.
Kasutatakse ka järgmisi mõisteid:
[…]
f) nõusolek, mille annab kasutaja või abonent, vastab direktiivis 95/46[…] määratletud andmesubjekti nõusolekule;
[…]“.
9. Selle direktiivi artikli 5 „Side konfidentsiaalsus“ lõikes 3 on sätestatud:
„Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasuta on andnud selleks oma nõusoleku ja talle on esitatud direktiivi 95/46/EÜ kohaselt selge ja arusaadav teave muu hulgas andmete töötlemise eesmärgi kohta. See ei takista andmete tehnilist salvestamist ega juurdepääsu, mille ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik sellise infoühiskonna teenuse osutamiseks, mida abonent või kasutaja on sõnaselgelt taotlenud.“ [Mõiste „arusaadav teave“ asemel on edaspidi kasutatud täpsemat vastet „igakülgne teave“.]
3. Direktiiv 2009/136/EÜ(7)
10. Direktiivi 2009/136/EÜ(8) põhjenduses 66 on märgitud:
„Kolmandad isikud võivad soovida salvestada teavet kasutaja seadmetesse või saada juurdepääsu juba salvestatud teabele mitmetel erinevatel eesmärkidel, mis võivad olla nii põhjendatud (nagu teatavat liiki küpsised), kui ka sellised, mille käigus toimub põhjendamatu tungimine eraellu (nagu nuhkvara või viirused). Seetõttu on ülimalt tähtis, et kasutajaid teavitatakse selgelt ja arusaadavalt, kui nad hakkavad tegema midagi, mis võib kaasa tuua sellise salvestamise või juurdepääsu saamise. Teabe edastamine ja keeldumisvõimaluse pakkumine tuleks teha võimalikult kasutajasõbralikuks. Erandid kohustustest anda teavet ja pakkuda keeldumisvõimalust peaksid piirduma selliste olukordadega, kus tehniline salvestamine või juurdepääs on hädavajalik õiguspärasel eesmärgil, milleks on võimaldada kasutada konkreetset teenust, mida abonent või kasutaja on sõnaselgelt taotlenud. Kui see on tehniliselt võimalik ja tulemuslik vastavalt direktiivi 95/46/EÜ asjakohastele sätetele, võib kasutaja nõusolek andmete töötlemisega väljenduda kohaste brauseri vm rakenduse seadete kasutamises. Nimetatud nõuete täitmine tuleks muuta tulemuslikumaks, andes asjaomastele riigiasutustele suuremad volitused.“
4. Määrus 2016/679
11. Määruse 2016/679 põhjenduses 32 on märgitud:
„Nõusolek tuleks anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võiks hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik ning mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.“
12. Selle määruse artikli 4 „Mõisted“ punktis 11 on sätestatud:
„Käesolevas määruses kasutatakse järgmisi mõisteid:
[…]
11) andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;
[…]“.
13. Sama määruse artiklis 6 „Isikuandmete töötlemise seaduslikkus“ on sätestatud:
„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:
a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;
[…]“.
14. Määruse 2016/679 artikkel 7 kannab pealkirja „Nõusoleku andmise tingimused“. Artikli 7 lõikes 4 on sätestatud, et „[s]elle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku andmine isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks“.
B. Saksa õigus
1. Saksa tsiviilseadustik
15. Saksa tsiviilseadustiku (Bürgerliches Gesetzbuch; edaspidi „BGB“) artiklis 307(9) on sätestatud:
„(1) Tüüptingimus, mida lepingupool kasutab teise lepingupoole suhtes, on tühine, kui see hea usu põhimõtte vastaselt kahjustab teist lepingupoolt ebamõistlikult. Ebamõistlik kahjustamine võib tuleneda ka sellest, et tüüptingimus ei ole selge ja arusaadav.
(2) Ebamõistlikku kahjustamist tuleb kahtluse korral eeldada, kui:
1. tüüptingimusega kaldutakse kõrvale seaduse olulistest põhimõtetest, või
2. tüüptingimus piirab lepingu olemusest tulenevaid olulisi õigusi või kohustusi viisil, mis ohustab lepingu eesmärgi saavutamist.
(3) Lõikeid 1 ja 2 ning artikleid 308 ja 309 kohaldatakse ainult tüüptingimustele, milles on kokku lepitud õigusnormidest lahknemine või nende õigusnormide täiendamine. Muud tingimused võivad olla tühised lõike 1 teise lause alusel koostoimes lõike 1 esimese lausega.“
2. Kõlvatu konkurentsi vastane seadus
16. Kõlvatu konkurentsi vastane seadus (Gesetz gegen den unlauteren Wettbewerb) keelab turuosalist ebamõistlikult häirivad äripraktikad. Kõlvatu konkurentsi vastase seaduse artikli 7 lõike 2 punktis 2 on sätestatud, et „ebamõistlikku häirimist eeldatakse […] telefonireklaami korral tarbijale ilma eelneva sõnaselge nõusolekuta või muule turuosalisele ilma vähemalt eeldatava nõusolekuta“.
3. Elektrooniliste teabe- ja sideteenuste seadus
17. Elektrooniliste teabe- ja sideteenuste seadus (Telemediengesetz; edaspidi „TMG“) artikli 12 lõikega 1 on üle võetud direktiivi 95/46 artikli 7 punkt a ja selles on sätestatud tingimused, mille kohaselt tohib teenuseosutaja koguda ja kasutada isikuandmeid elektrooniliste teabe- ja sideteenuste osutamiseks. Selle artikli kohaselt on teenuseosutajal õigus koguda ja kasutada isikuandmeid elektrooniliste teabe- ja sideteenuste osutamiseks ainult siis, kui see on lubatud TMG‑ga või sõnaselgelt elektroonilisi teabe- ja sideteenuseid käsitleva muu õigusnormiga, või kui kasutaja on selleks andnud nõusoleku.
18. TMG artikli 12 lõikes 3 on sätestatud, et isikuandmete kaitset reguleerivaid õigusnorme tuleb kohaldada ka juhul, kui andmeid ei töödelda automaatselt.
19. TMG artikli 13 lõike 1 kohaselt peab teenuseosutaja teavitama kasutajat kasutusprotsessi alguses isikuandmete kogumise ja kasutamise liigist, mahust ja eesmärgist ning samuti andmete töötlemisest väljaspool direktiivi 95/46 kohaldamisala.
20. TMG artikli 15 lõikes 1 on sätestatud, et teenuseosutajad võivad koguda ja töödelda isikuandmeid ainult siis, kui see on vajalik sisu tarbimiseks internetis ja selle kasutamisega seotud arvete esitamiseks (edaspidi „kasutajaandmed“). Kasutajaandmed on määratletud kui andmed, mis võimaldavad kasutajate tuvastamist.
21. TMG artikli 15 lõikega 3 on üle võetud direktiivi 2002/58 artikli 5 lõige 3 ja selles lubatakse teenuseosutajal reklaami ja turu-uuringute eesmärgil või elektroonilise side vahendite vajadusepõhiseks kujundamiseks luua kasutajaprofiile, kasutades pseudonüüme, kui kasutaja, keda on eelnevalt sama seaduse artikli 13 lõikes 1 sätestatud teabe andmise kohustuse kohaselt teavitatud vastuväite esitamise õigusest, ei ole selle vastu.
4. Andmekaitseseadus
22. Föderaalse andmekaitseseaduse (Bundesdatenschutzgesetz, edaspidi „andmekaitseseadus“)(10) artikli 3 lõikega 1 on üle võetud direktiivi 95/46 artikli 2 punkt a ja selles on mõiste „isikuandmed“ määratletud kui tuvastatud või tuvastatava füüsilise isiku isikliku või faktilise olukorraga seotud andmed.
23. Andmekaitseseaduse artikli 4 punktiga a on liikmesriigi õigusse üle võetud direktiivi 95/46 artikli 2 punkt h ja selles on sätestatud, et nõusolek kehtib ainult siis, kui asjaomane isik on andnud selle vabatahtlikult.
III. Faktilised asjaolud, menetlus ja eelotsuse küsimused
24. Planet49 GmbH korraldas 24. septembril 2013 internetipõhise müügiedendusliku loterii aadressil „www.dein-macbook.de“.(11) Loteriis osalemiseks pidi internetikasutaja sisestama oma sihtnumbri, mille järel sattus ta veebilehele, kus tuli sisestada kasutaja nimi ja aadress. Aadressi lahtri all paiknesid kaks märkeruutudega teavitusteksti. Kasutan nende kohta edaspidi nimetust „esimene märkeruut“ ja „teine märkeruut“. Esimene teavitustekst, mille märkeruut ei olnud eeltäidetud, oli sõnastatud järgmiselt:
„Ma nõustun sellega, et mõned sponsorid ja koostööpartnerid teavitavad mind posti või telefoni või e-kirja/SMSi teel oma tegevusvaldkonna pakkumistest. Ma saan need siin ise määrata, aga kui ma seda ei tee, siis teeb valiku korraldaja. Nõusoleku saan ma igal ajal tagasi võtta. Täpsem teave on leitav siit.“
25. Teine teavitustekst, mille juures oli eeltäidetud märkeruut, kõlas järgmiselt:
„Ma nõustun sellega, et minu puhul kasutatakse veebianalüüsi teenust Remintrex. Selle tulemusena paigaldab auhinnamängu korraldaja Planet49 GmbH auhinnamänguks registreerimise järel küpsised, mis võimaldavad Planet49‑l analüüsida minu liikumis- ja kasutusharjumusi reklaamipartnerite veebisaitidel ning seeläbi Remintrexil edastada minu huvide põhist reklaami. Võin küpsiseid igal ajal uuesti kustutada. Lugege täpsemalt siit.“
26. Loteriis osalemine oli võimalik vaid juhul, kui märgistati vähemalt esimese teavitusteksti ees asuv lahter.
27. Esimeses teavitustekstis sisalduvate sõnadega „sponsorid ja koostööpartnerid“ ning sõnaga „siin“ seotud hüperlink viis 57 ettevõtjat sisaldavasse loetellu, mis hõlmas nende aadresse, reklaamitavat ettevõtlusvaldkonda ja reklaamiks kasutatavat teabevahetusliiki (e-kiri, post või telefon), ning iga ettevõtja järel olid allakriipsutatud sõnad „kustuta“. Loetelu ette oli paigutatud järgmine teavitus:
„Lingile „kustuta“ vajutamisega otsustan, et nimetatud partnerile/sponsorile ei tohi anda reklaamimiseks nõusolekut. Kui ma ei kustuta ühtegi või piisavalt mitut partnerit/sponsorit, siis valib Planet49 ise oma äranägemisel minu jaoks partnerid/sponsorid (maksimaalselt 30 partnerit/sponsorit).“
28. Teises teavitustekstis sõnaga „siin“ seotud hüperlingi aktiveerimisel ilmus järgmine teave:
„Paigaldatud küpsiste puhul on tegemist väikeste failidega, mis kannavad nimetusi ceng_cache, ceng_etag, ceng_png ja gcr ning mis salvestatakse Teie kõvakettale Teie kasutatava veebilehitseja abil ja mille kaudu liigub kindlat tüüpi teave, mis võimaldab reklaami teha tõhusamalt ja kasutajasõbralikumalt. Küpsised sisaldavad kindlat juhuslikult genereeritud numbrit (ID), mis on samal ajal seotud Teie registreerimisandmetega. Kui külastate seejärel Remintrexi jaoks registreeritud reklaamipartneri veebilehte (vaadake reklaamipartneri andmekaitsedeklaratsioonist, kas ettevõtja on registreeritud), registreerib Remintrex automaatselt sinna sisseehitatud iFrame’i abiga, et Te (st salvestatud ID-ga kasutaja) olete saiti külastanud, milline toode Teid huvitas ja kas sõlmiti leping.
Seejärel saab Planet49 GmbH saata Teile auhinnamänguks registreerimisel antud reklaaminõusoleku alusel reklaamkirju, mis võtavad arvesse Teie huve, mis kajastuvad reklaamipartnerite veebilehtedel. Pärast reklaaminõusoleku tagasivõtmist Te mõistagi reklaami sisaldavaid e‑kirju enam ei saa.
Küpsiste abil edastatavat teavet kasutatakse üksnes reklaamipartnerite tooteid tutvustava reklaami tegemiseks. Iga reklaamipartneri jaoks kogutakse, salvestatakse ja kasutatakse teavet eraldi. Mitte mingil juhul ei looda reklaamipartneriteüleseid kasutajaprofiile. Isikuandmeid ei anta ühelegi reklaamipartnerile.
Kui Teil puudub huvi edaspidi küpsiseid kasutada, siis võite need oma veebilehitseja abil igal ajal kustutada. Juhis selleks on leitav veebilehitseja abifunktsiooni all.
Küpsiste abil ei saa programme aktiveerida ega viirusi üle kanda.
Mõistagi on Teil võimalus nõusolek igal ajal tagasi võtta. Tagasivõtmisavalduse võite saata kirjalikus vormis PLANET49 GmbH-le [aadress]. Piisab aga ka e‑kirjast meie klienditeenindusele [e-kirja aadress].“
29. Põhikohtuasja hageja Bundesverband der Verbraucherzentralen (Saksamaa tarbijakaitsekeskuste ja tarbijakaitseliitude föderatsioon; edaspidi „Bundesverband“) on tarbijakaitsealaste õigusnormide rikkumise või muude eeskirjade eiramise korral ettekirjutuste taotlemise seaduse (Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen, edaspidi „UKlaG“) kohaselt kvalifitseeritud organisatsioonide loetellu kantud isik. Bundesverbandi väitel ei vasta Planet49 poolt kasutatavad eeltoodud nõusolekuavaldused BGB artikli 307, kõlvatu konkurentsi vastase seaduse artikli 7 lõike 2 punkti 2 ega TMG artikli 12 jj nõuetele. Kohtueelne nõue rikkumine lõpetada ei olnud edukas.
30. Bundesverband esitas hagi Landgericht Frankfurt am Maini (Frankfurt am Maini esimese astme kohus, Saksamaa), nõudes, et Planet49 lõpetaks eelnimetatud teavituste(12) kasutamise ning tasuks talle 214 eurot ja viivitusintressi alates 15. märtsist 2014.
31. Landgericht Frankfurt am Main (Frankfurt am Maini esimese astme kohus, Saksamaa) võttis teatavad nõuded menetlusse ja jättis ülejäänud hagi läbi vaatamata. Pärast apellatsioonikaebuse(13) lahendamist Oberlandesgericht Frankfurt am Mainis (liidumaa kõrgeim üldkohus, Frankfurt am Main, Saksamaa) esitati kassatsioonkaebus(14) Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus).
32. Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) leiab, et kassatsioonkaebuse edukus sõltub sellest, kuidas tõlgendada direktiivi 2002/58 artikli 5 lõiget 3 ja artikli 2 punkti f koostoimes direktiivi 95/46 artikli 2 punktiga h ning määruse 2016/679 artikli 6 lõike 1 punktiga a, ning on esitanud Euroopa Liidu Kohtule järgmised eelotsuse küsimused:
„1. a) Kas juhul, kui kasutaja peab nõusoleku andmisest keeldumiseks eemaldama märgistuse eeltäidetud märkeruudust, millega antakse luba teabe salvestamiseks kasutaja lõppseadmesse või juurdepääsuks sinna juba salvestatud teabele, on tegemist kehtiva nõusolekuga direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f tähenduses koostoimes direktiivi 95/46 artikli 2 punktiga h?
b) Kas direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f kohaldamisel koostoimes direktiivi 95/46 artikli 2 punktiga h on mingi erinevus selles, kas salvestatud või juurdepääsetava teabe puhul on tegemist isikuandmetega?
c) Kas esimese eelotsuseküsimuse punktis a nimetatud asjaolude puhul on tegemist kehtiva nõusolekuga määruse 2016/679 artikli 6 lõike 1 punkti a tähenduses?
2. Millist teavet peab teenuseosutaja kasutajale andma direktiivi 2002/58 artikli 5 lõike 3 kohaselt esitatava selge ja igakülgse teabe raames? Kas siia hulka kuuluvad ka küpsiste kasutamise kestus ja asjaolu, kas kolmandatele isikutele antakse juurdepääs küpsistele?“
33. Eelotsusetaotlus saabus Euroopa Kohtusse 30. novembril 2017. Kirjalikud seisukohad esitasid Planet49, Bundesverband, Portugali ja Itaalia valitsus ning Euroopa Komisjon. Kohtuistung peeti 13. novembril 2018 ja sellel osalesid Planet49, Bundesverband, Saksamaa valitsus ja komisjon.
IV. Hinnang
34. Mõlemad Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) eelotsuse küsimused käsitlevad nõusoleku andmist teabe salvestamiseks ning juurdepääsuks kasutaja lõppseadmes juba salvestatud teabele, st küpsiste kasutamiseks konkreetselt seoses direktiivi 2002/58 sätetega koostoimes direktiivi 95/46 või määruse 2016/679 omadega.
35. Sissejuhatavates märkustes on minu meelest kasulik esitada mõned faktilised selgitused sellise nähtuse nagu küpsised ja nendega seotud mõistete kohta ning samuti õiguslikud selgitused käesolevas asjas kohaldatavate õigusnormide kohta.
A. Sissejuhatavad märkused
1. Küpsised
36. Küpsis on teabe kogumise vahend, mille genereerib veebisait ja mis salvestatakse internetikasutaja brauseri poolt.(15) Tegemist on väikese andme- või tekstifailiga, mille suurus on tavaliselt alla ühe kilobaidi ning mille veebisait palub internetikasutaja brauseril salvestada kohalikule kõvakettale või mobiilseadmesse.(16)
37. Küpsis võimaldab veebisaidil hiljem „mäletada“ kasutaja tegevusi või eelistusi. Enamik veebibrausereid toetab küpsiseid, kuid kasutajad saavad seadistada oma brauseri neid mitte aktsepteerima. Samuti võivad kasutajad küpsised alati kustutada. Nii seadistavadki paljud kasutajad oma brauserite küpsiseseaded selliselt, et küpsised kustutatakse brauseri sulgemisel automaatselt. Samas leidub ülekaalukaid tõendeid, et inimesed muudavad harva vaikesätteid, ning sellist nähtust on hakatud kutsuma „vaikeükskõiksuseks“.(17)
38. Veebisaidid kasutavad küpsiseid kasutajate tuvastamiseks, nende kohandatud eelistuste meelespidamiseks ning võimaldamaks kasutajatel lõpetada oma tegevused ilma teavet uuesti sisestamata, kui nad lehtede vahel liiguvad või naasevad saidile hiljem.
39. Küpsiseid saab samuti kasutada teabe kogumiseks veebikäitumise kohta reklaami ja turunduse sihistamise eesmärgil.(18) Nii kasutavad näiteks ettevõtjad tarkvara kasutaja käitumise jälgimiseks ja koostavad isikuprofiile, mis võimaldab näidata kasutajale tema varasemate otsingutega seotud reklaame.(19)
40. Leidub erinevat liiki küpsiseid, mida liigitatakse vastavalt küpsise elueale (nt seansiküpsised ja püsiküpsised) või nende päritoludomeenile (nt põhisaidi ja kolmanda osapoole küpsised).(20) Kui veebisaiti toetav veebiserver salvestab küpsise kasutaja arvutisse või mobiilseadmesse, nimetatakse seda „http-päise küpsiseks“.(21) Teine võimalus on salvestada küpsiseid asjaomasel lehel sisalduva või seal lingitud skriptikeele JavaScript abil.(22) Küpsise seadmesse paigutamiseks nõusoleku andmist ning asjaomaste erandite kohaldamist tuleks aga hinnata küpsise eesmärgi ja mitte selle tehniliste omaduste alusel.(23)
2. Kohaldatavad õigusaktid
41. Põhikohtuasjas kohaldatav õigusraamistik on välja kujunenud aastate jooksul, tipnedes hiljutisel ajal määruse 2016/679 jõustumisega.
42. Käesolevas asjas on kohaldatavad kaks liidu õigusaktide komplekti. Esiteks direktiiv 95/46 ja määrus 2016/679. Teiseks direktiiv 2002/58 muudetuna direktiiviga 2009/136.(24)
43. Esitaksin kummagi kohta paar tähelepanekut.
44. Esimene tähelepanek puudutab direktiivi 95/46 ja määruse 2016/679 kohaldatavust.
45. Alates 25. maist 2018(25) kohaldatava määrusega 2016/679 asendati alates nimetatud kuupäevast direktiiv 95/46(26).
46. Kuupäev 25. mai 2018 on hilisem 14. juulist 2017, mil peeti viimane kohtuistung eelotsusetaotluse esitanud kohtus, ning samuti hilisem 5. oktoobrist 2017, mil käesolev asi esitati Euroopa Liidu Kohtusse eelotsuse saamiseks.
47. Järelikult on enne 25. maid 2018 aset leidnu suhtes kohaldatav direktiiv 2002/58 koostoimes direktiiviga 95/46, ning alates 25. maist 2018 tuleb kohaldada direktiivi 2002/58 koos määrusega 2016/679.
48. Niivõrd kui Bundesverband soovib taotletava ettekirjutusega(27) keelata Planet49-l tulevikus senisel viisil käitumast, on käesolevas asjas kohaldatav määrus 2016/679. Seetõttu peab Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) oma otsuses tulevikku suunatud rikkumise lõpetamise nõude kohta võtma arvesse määruse 2016/679 nõudeid. Sellega seoses viitab Saksamaa valitsus rikkumise lõpetamise hagisid käsitlevale järjekindlale kohtupraktikale.(28)
49. Järelikult tuleb esitatud küsimustele vastata, võttes arvesse nii direktiivi 95/46 kui ka määrust 2016/679.(29)
50. Lisaks tuleb märkida, et direktiivis 2002/58 sisalduvad viited direktiivile 95/46 tuleb lugeda kui viideteks määrusele 2016/679.(30)
51. Teine märkus puudutab direktiivi 2002/58 artikli 5 lõike 3 arengulugu.
52. Direktiivi 2002/58 eesmärk on täielikult austada Euroopa Liidu põhiõiguste hartas, eelkõige selle artiklites 7 ja 8 sätestatud õigusi.(31) Artikli 5 eesmärk on tagada „side konfidentsiaalsus“. Konkreetsemalt reguleerib artikli 5 lõige 3 küpsiste kasutamist ning selles on sätestatud nõuded kasutaja arvutisse küpsiste abil teabe salvestamiseks ja juurdepääsuks sellisele teabele.
53. Direktiiviga 2009/136 tehti kasutajate kaitse parandamiseks olulisi muudatusi direktiivi 2002/58 artikli 5 lõikes 3 ette nähtud nõusoleku nõudes. Enne nimetatud direktiiviga tehtud muudatust nõuti artikli 5 lõikes 3 pelgalt seda, et kasutajatel oleks teadlik võimalus küpsiste abil andmete töötlemisest keelduda. Ehk teisisõnu pidi artikli 5 lõike 3 algse redaktsiooni kohaselt teenuseosutaja kasutaja lõppseadmesse teabe salvestamiseks või sellele juurdepääsuks andma kasutajale selge ja igakülgse teabe eelkõige andmete töötlemise eesmärgi kohta ning pakkuma kasutajale võimalust sellisest töötlemisest keelduda.
54. Direktiiv 2009/136 asendas selle keeldumisõigusest teavitamise nõude nõudega, et „asjaomane abonent või kasutaja on andnud selleks oma nõusoleku“, mis tähendab, et hõlpsasti järgitav teadliku keeldumise süsteem asendati teadliku valiku süsteemiga. Välja arvatud väga piiratud erandid, mis ei ole käesolevas asjas asjakohased,(32) on küpsiste kasutamine direktiivi 2002/58 muudetud artikli 5 lõike 3 kohaselt lubatud vaid siis, kui kasutaja on andnud nõusoleku pärast seda, kui talle on esitatud vastavalt direktiivile 95/46 selge ja igakülgne teave selle kohta, miks tema andmeid jälgitakse, see tähendab töötlemise eesmärkide kohta(33).
55. Nagu ma peatselt üksikasjalikumalt selgitan, on direktiivi 2002/58 artikli 5 lõikes 3 sätestatud teabe esitamise nõue käesolevas vaidluses võtmetähtsusega, eelkõige seoses interneti kasutamise vaikeseadetega.
B. Esimene küsimus
56. Oma esimese küsimuse punktis a pärib eelotsusetaotluse esitanud kohus, kas juhul, kui teabe salvestamine kasutaja lõppseadmesse või sinna juba salvestatud teabele juurdepääs lubatakse eeltäidetud märkeruuduga, millest kasutaja peab oma nõusoleku andmisest keeldumiseks märgistuse eemaldama, on tegemist kehtivalt antud nõusolekuga direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f tähenduses koostoimes direktiivi 95/46 artikli 2 punktiga h. Sellega seoses küsib eelotsusetaotluse esitanud kohus, kas seejuures oleks vahet, kas salvestatav või juurdepääsetav teave kujutab endast isikuandmeid (esimese küsimuse punkt b). Lõpuks soovib eelotsusetaotluse esitanud kohus teada, kas ka eelkirjeldatud asjaoludel on tegemist kehtivalt antud nõusolekuga määruse 2016/679 artikli 6 lõike 1 punkti a tähenduses (esimese küsimuse punkt c).
1. Vabatahtlik ja teadlik nõusolek
57. Liidu andmekaitse aluspõhimõte on nõusolek.
58. Enne konkreetselt küpsiste küsimuse arutamist toon kõigepealt ära direktiivist 95/46 tulenevad üldpõhimõtted nõusoleku andmise kohta.
a) Direktiivi 95/46 nõuded
1) Aktiivne nõusolek
59. Järeldan direktiivi 95/46 sätetest, et nõusolek peab olema väljendatud aktiivselt.(34)
60. Direktiivi 95/46 artikli 2 punktis h räägitakse andmesubjekti tahteavaldusest, mis viitab selgelt aktiivsele ja mitte passiivsele käitumisele. Lisaks on direktiivis 95/46 (isiku)andmete töötlemise kriteeriumide seaduslikkust käsitleva artikli 7 punktis a sätestatud, et andmesubjekt peab olema andnud ühemõttelise nõusoleku. Jällegi, mitmemõttelisust saab kõrvaldada ainult aktiivse ja mitte passiivse käitumisega.
61. Järeldan siit, et selles suhtes ei ole piisav, kui kasutaja nõusoleku kinnitus on eelnevalt formuleeritud ning kasutaja peab avaldama aktiivselt oma mittenõustumist andmete töötlemisega.
62. Viimati kirjeldatud olukorras ei ole teada, kas selline eelformuleeritud tekst on läbi loetud ja kas sellest on aru saadud. See olukord ei ole ühemõtteline. Kasutaja kas on teksti lugenud või siis ei ole. Ta võib olla seda mitte teinud puhtast hooletusest. Sellises olukorras ei ole võimalik tuvastada, kas nõusolek on antud vabatahtlikult.
2) Eraldi nõusolek
63. Aktiivse nõusoleku nõudega on tihedalt seotud eraldi nõusoleku nõue.(35)
64. Võib väita, nagu teeb Planet49, et andmesubjekt ei anna kehtivat nõusolekut mitte siis, kui ta jätab eelformuleeritud nõusoleku märgistuse eemaldamata, vaid siis, kui ta aktiivselt klõpsab internetiloterii osalemisnupul.
65. Ma ei nõustu sellise tõlgendusega.
66. Et nõusolek oleks „vabatahtlik“ ja „teadlik“, ei pea see olema mitte ainult aktiivne, vaid see tuleb lisaks anda eraldi. Tegevus, millega kasutaja internetis tegeleb (veebilehe lugemine, loteriis osalemine, video vaatamine jne), ning nõusoleku andmine ei või moodustada ühte tervikut. Eelkõige ei tohiks nõusoleku andmine kasutaja vaatenurgast näida loteriis osalemise alamtegevusena. Mõlemaid tegevusi tuleb eelkõige ka visuaalselt esitleda võrdsetena. Seetõttu ma kahtlen, kas kimp seotud tahteavaldusi, millest üks on nõusoleku andmine, on kooskõlas direktiivis 95/46 ette nähtud mõistega „nõusolek“.
3) Täieliku teavitamise kohustus
67. Selles suhtes tuleb teha kasutajale kristallselgeks, kas tegevus, millega ta internetis tegeleb, sõltub nõusoleku andmisest. Kasutajal peab olema võimalik hinnata, mil määral on ta valmis oma internetitegevuse võimaldamiseks oma andmeid loovutama. Selles suhtes ei tohi olla vähimatki mitmemõttelisust.(36) Kasutaja peab teadma, kas ja mil määral nõusoleku andmine tema internetitegevust mõjutab.
b) Määruse 2016/679 nõuded
68. Eespool kirjeldatud põhimõtted kehtivad samamoodi ka seoses määrusega 2016/679.
69. Määruse 2016/679 artikli 4 punktis 11 on määratletud andmesubjekti nõusolek kui vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.
70. Tuleb märkida, et see määratlus on rangem kui direktiivi 95/46 artikli 2 punktis h, kuivõrd selles nõutakse andmesubjekti ühemõttelist tahteavaldust ning isikuandmete töötlemiseks selget nõusolekut väljendavat tegevust.
71. Lisaks on eriti valgustavad määruse 2016/679 põhjendused. Kuna viitan järgnevalt palju põhjendustele,(37) siis tunnen kohustust märkida, et kuigi neil ei ole muidugi iseseisvat normatiivset väärtust,(38) tugineb Euroopa Kohus neile tihti liidu õigusnorme tõlgendades. ELi õiguskorras on õigusaktide põhjendused kirjeldavad ja mitte ettekirjutavad. Nende normatiivse väärtuse küsimust ei teki tavaliselt sel lihtsal põhjusel, et põhjendused peegelduvad reeglina direktiivi sätetes. Liidu poliitiliste institutsioonide hea seadusandlik tava on jõuda olukorrani, kus põhjendused moodustavad õigusakti sätete faktilise tausta.(39)
72. Määruse 2016/679 põhjenduse 32 kohaselt tuleks nõusolek anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võib hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadmete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud ruute või tegevusetust ei tohiks seega pidada nõusolekuks.
73. Seega on määruses 2016/679 tänapäeval aktiivne nõusolek sõnaselgelt ette nähtud.
74. Lisaks märgitakse nimetatud määruse põhjenduses 43, et selle tagamiseks, et nõusolek on antud vabatahtlikult, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras, eriti juhul kui vastutav töötleja on avaliku sektori asutus, ning seega on ebatõenäoline, et nõusolek anti selle konkreetse olukorra kõigi asjaolude puhul vabatahtlikult. Nõusolekut ei loeta vabatahtlikuks, kui ei ole võimalik anda erinevatele isikuandmete töötlemise toimingutele eraldi nõusolekut, ehkki see on üksikutel juhtudel asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on pandud sõltuma sellisest nõusolekust, ehkki see ei ole lepingu täitmiseks vajalik.
75. Seega on eraldi nõusoleku vajadust käesoleval ajal selles põhjenduses eraldi rõhutatud.
c) Direktiiv 2002/58 – küpsiste küsimus
76. Direktiivi 2002/58 artikli 5 lõike 3 kohaselt peavad liikmesriigid tagama, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi 95/46 kohaselt selge ja igakülgne teave muu hulgas andmete töötlemise eesmärgi kohta.
77. Selles sättes ei leidu rohkem kriteeriume mõiste „nõusolek“ kohta.
78. Küll aga pakuvad direktiivi 2002/58 ja direktiivi 2009/136 põhjendused juhiseid küpsistele antava nõusoleku kohta.
79. Nii nähtub direktiivi 2002/58 põhjendusest 17, et nõusoleku võib anda ükskõik millisel sobival viisil, mis võimaldab kasutajal väljendada vabatahtlikku, konkreetset ja teadlikku tahteavaldust (veebilehel näiteks sellega, et vajalik lahter märgistatakse).(40)
80. Lisaks on direktiivi 2009/136 põhjenduse 66 kohaselt ülimalt tähtis, et kasutajatele antaks selge ja igakülgne teave, kui nende internetitegevus võib kaasa tuua teabe salvestamise nende seadmetesse või juurdepääsu sinna juba salvestatud teabele, ning et teabe andmise ja keeldumise võimaldamise meetodid oleksid võimalikult kasutajasõbralikud.
81. Sellega seoses sooviksin samuti viidata mittesiduvale, aga siiski valgustavale tööle, mida on teinud artikli 29 alusel asutatud andmekaitse töörühm,(41) mille hinnangul nõusolek tähendab kasutaja eelnevat aktiivset kinnitust küpsise salvestamise ja küpsise kasutamise kohta(42). Sama töörühma hinnangul paistab mõiste „tahteavaldus“ viitavat tegutsemise vajalikkusele.(43) Seda tõlgendust toetavad muud mõiste „nõusolek“ elemendid ning direktiivi 95/46 artikli 7 punktis a sisalduv täiendav nõue nõusoleku ühemõttelisuse kohta.(44) Nõue, et andmesubjekt peab „andma“ oma nõusoleku, tähendab, et pelk tegevusetus ei ole piisav ning et nõusolekuks on vaja teatavat tegevust, kuigi võimalik võib olla mitut liiki tegevus, mida tuleb hinnata „asjaomases kontekstis“.(45)
2. Kohaldamine käesolevas asjas
82. Asun nüüd kohaldama neid põhimõtteid käesolevas asjas. Käsitlen kõigepealt esimese küsimuse punkte a ja c, st küsimust, kas kõnealuste küpsiste salvestamise ja neile juurdepääsu suhtes on antud kehtiv nõusolek. See hõlmab teist märkeruutu.
83. Lisaks, kuivõrd vastavalt äsja selgitatule ei erine küpsiste kasutamise ja üldisemalt isikuandmete töötlemise nõusolekud teineteisest kuigipalju, on minu meelest täielikkuse ja selguse huvides ning liidu õiguse õigeks ja ühetaoliseks kohaldamiseks vaja lühidalt analüüsida ka seda, kas esimese märkeruuduga on antud kehtiv nõusolek isikuandmete töötlemiseks, ehkki eelotsusetaotluse esitanud kohus seda sõnaselgelt ei päri. Saan aru, et Bundesgerichtshof (Saksamaa Liitvabariigi kõrgeim üldkohus) peab oma menetluses tegema otsuse esimese märkeruudu kohta.(46)
a) Teine märkeruut – esimese küsimuse punktid a ja c
84. Eelotsusetaotluse esitanud kohus küsib, kas on tegemist kehtiva nõusolekuga direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f tähenduses koostoimes direktiivi 95/46 artikli 2 punktiga h, kui teabe salvestamine või juurdepääs kasutaja lõppseadmesse juba salvestatud teabele lubatakse eeltäidetud märkeruudu abil, millest kasutaja peab oma nõusolekust keeldumiseks märgistuse eemaldama.
85. Seoses selle küsimusega on kesksed direktiivi 95/46 artikli 2 punktis h ja määruse 2016/679 artikli 4 punktis 11 sisalduvad mõisted „vabatahtlik“ ja „teadlik“. Küsimus seisneb selles, kas eelotsusetaotluse esitanud kohtu kirjeldatud olukorras saab nõusoleku anda vabatahtlikult ja teadlikult.
86. Planet49 hinnangul on see nii. Ükski teine menetlusosaline(47) sellega ei nõustu. Selles kontekstis keskendus menetlusosaliste õiguslik vaidlus sellele, kas eeltäidetud märkeruudu märgistamine või märgistuse eemaldamine vastab neile nõuetele. Vaidlus käib aktiivsuse ja passiivsuse küsimuse ümber. Ent see aspekt, olles küll oluline, on ainult üks osa kõnealustest nõuetest. Seda sellepärast, et see puudutab ainult nõusoleku aktiivsust, aga mitte selle andmist eraldi.
87. Minu arvates tuleb eespool määratletud kriteeriumide alusel vastata, et käesolevas asjas puudub kehtiv nõusolek.
88. Esiteks ei vasta aktiivse nõusoleku kriteeriumile see, kui kasutaja peab märkeruudu märgistuse eemaldama ja seega ise aktiivselt tegutsema, kui ta ei ole nõus küpsiste paigaldamisega. Sellises olukorras on sisuliselt võimatu objektiivselt tuvastada, kas kasutaja ikka on andnud oma nõusoleku vabatahtliku ja teadliku otsuse alusel. Seevastu siis, kui kasutaja peaks ruudu ise märgistama, oleks selline eeldus märksa tõenäolisem.
89. Teine ja olulisem asjaolu on see, et osalemine internetiloteriis ja nõusoleku andmine küpsiste paigaldamiseks ei või moodustada ühte toimingut. Kuid just sellega ongi tegemist käesolevas asjas. Lõppkokkuvõttes teeb kasutaja loteriis osalemiseks ainult ühe klõpsu osalemisnupul. Sellega annab ta ühtlasi nõusoleku küpsiste paigaldamiseks. Kaks tahteavaldust (osalemine loteriis ja nõusoleku andmine küpsiste paigaldamiseks) tehakse korraga. Neid kahte tahteavaldust ei tohiks teha sama osalemisnupuga. Nii näib käesolevas asjas nõusolek küpsiste paigaldamiseks olevat oma laadilt alltoiming, st et ei ole üldse selge, et see kujutab endast eraldi tahteavaldust. Ehk teisisõnu näib küpsiseid käsitleva märkeruudu märgistamine või selle märgistuse eemaldamine olevat ettevalmistav toiming lõplikuks ja õiguslikuks siduvaks toiminguks, milleks on osalemisnupu „vajutamine“.
90. Sellises olukorras ei anna kasutaja vabatahtlikult eraldi nõusolekut oma lõppseadmesse teabe salvestamiseks ega juurdepääsuks sinna juba salvestatud teabele.
91. Lisaks on eespool tuvastatud, et loteriis osalemine oli võimalik ainult siis, kui vähemalt esimene märkeruut märgistati. Järelikult ei sõltunud loteriis osalemine(48) nõusoleku andmisest küpsiste paigaldamiseks ja kasutamiseks. Kasutaja oleks võinud niisama hästi märgistada (ainult) esimese märkeruudu.
92. Kuid niipalju kui mina tean, siis kasutajat sellest kuskil ei teavitatud. See ei vasta eespool kirjeldatud kasutajate täieliku teavitamise kriteeriumile.
93. Kokkuvõttes teen ettepaneku vastata esimese küsimuse punktidele a ja c, et sellises olukorras nagu põhikohtuasjas, kus teabe salvestamine kasutaja lõppseadmesse või juurdepääs sellesse juba salvestatud teabele lubatakse eeltäidetud märkeruuduga, mille märgistuse peab kasutaja oma nõusoleku andmisest keeldumiseks eemaldama, ning kus nõusolekut ei anta eraldi, vaid samal ajal internetiloteriis osalemise kinnitusega, puudub kehtiv nõusolek direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f tähenduses koostoimes direktiivi 95/46 artikli 2 punktiga h. Sama kehtib ka direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f tõlgenduse kohta koostoimes määruse 2016/679 artikli 4 punktiga 11.
b) Esimene märkeruut
94. Ehkki eelotsusetaotluse esitanud kohtu küsimused puudutavad vaid teist märkeruutu, sooviksin esitada esimese märkeruudu kohta kaks konkreetset tähelepanekut, mis võivad abistada eelotsusetaotluse esitanud kohut oma lõpliku otsuse tegemisel.
95. Tuletan meelde, et esimene märkeruut ei käsitle küpsiseid, vaid ainult isikuandmete töötlemist. Sellega ei anna kasutaja nõusolekut teabe salvestamiseks tema seadmesse, vaid (pelgalt) selleks, et temaga võtab ühendust rida ettevõtjaid posti, telefoni või e-kirja teel.
96. Esiteks kehtivad aktiivse ja eraldi nõusoleku ja täieliku teabe andmise kriteeriumid ilmselt ka esimese märkeruudu suhtes. Aktiivne nõusolek ei näi olevat probleemiks, kuna see märkeruut ei ole eelmärgistatud. Samas eraldi nõusoleku osas on mul mõned kahtlused. Eespool esitatud käesoleva asja faktiliste asjaolude analüüsi kohaselt(49) oleks parem, kui isikuandmete töötlemiseks nõusoleku andmisel tuleks klõpsata piltlikult öeldes eraldi nupul(50) ja mitte pelgalt märgistada märkeruut.
97. Teiseks tuleb seoses sponsorite ja koostööpartnerite poolset kontakteerumist käsitleva esimese märkeruuduga arvesse võtta määruse 2016/679 artikli 7 lõiget 4. See säte näeb ette, et kui hinnatakse, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusolek isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks. Määruse 2016/679 artikli 7 lõikes 4 on seega käesoleval ajal kodifitseeritud „sidumiskeeld“.(51)
98. Fraasist „tuleb võimalikult suurel määral võtta arvesse“ nähtub, et sidumiskeeld ei ole oma laadilt absoluutne.(52)
99. Siin on pädeva kohtu ülesanne hinnata, kas isikuandmete töötlemisega nõustumine on vajalik loteriis osalemiseks. Sellega seoses tuleb meeles pidada, et loteriis osalemise peamine eesmärk on isikuandmete „müümine“ (st nõustumine „sponsorite“ poolse kontakteerumisega müügipakkumuste tegemiseks). Ehk teisisõnu kujutab loteriis osalemisel isikuandmete andmine endast kasutaja põhikohustust. Sellises olukorras näib mulle, et isikuandmete töötlemine on vajalik loteriis osalemiseks.(53)
3. Isikuandmete teema (esimese küsimuse punkt b)
100. Nüüd tuleb uurida, kas direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f kohaldamisel koostoimes direktiivi 95/46 artikli 2 punktiga h on mingi erinevus selles, kas salvestatud või juurdepääsetava teabe puhul on tegemist isikuandmetega.
101. Selle küsimuse mõistmiseks tuleb arvesse võtta Saksa norme, millega on üle võetud direktiivi 2002/58 artikli 5 lõige 3.(54) Saksa õiguses tehakse nimelt vahet isikuandmete ja muude andmete kogumise ja kasutamise vahel.
102. TMG artikli 12 lõike 1 kohaselt võib teenuseosutaja koguda ja kasutada isikuandmeid ühe võimalusena siis, kui kasutaja on andnud selleks nõusoleku.
103. Seevastu TMG artikli 15 lõike 3 kohaselt lubatakse teenuseosutajal muu hulgas reklaami ja turu-uuringute eesmärgil luua kasutajaprofiile, kasutades pseudonüüme, kui kasutaja ei ole selle vastu. Järelikult on kõnealune nõue Saksa õiguses vähem range juhul, kui ei ole tegemist isikuandmetega: sellisel juhul ei nõuta nõusolekut, vaid piisab, kui ei olda vastu.
104. Isikuandmed on õiguslikult määratletud määruse 2016/679 artikli 4 punktis 1 kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.
105. Minu arvates pole kahtlust, et vähemalt käesolevas asjas kujutab direktiivi 2002/58 artikli 5 lõikes 3 nimetatud „teave“ endast „isikuandmeid“. Seda näib arvavat ka eelotsusetaotluse esitanud kohus, kes märgib oma eelotsusetaotluses selgelt, et kostja kasutatavatest küpsistest andmete saamiseks on seega vaja TMG artikli 12 lõike 1 kohast nõusolekut, sest need andmed on isikuandmed.(55) Lisaks ei näi põhikohtuasja poolte vahel valitsevat erimeelsust selles, et tegemist on isikuandmetega.
106. Seetõttu võib tekkida kahtlus, kas see küsimus on käesolevas asjas asjakohane ning ega see ei ole hüpoteetiline.(56)
107. Igal juhul on vastus sellele küsimusele vägagi ühene: ei ole vahet, kas salvestatav või juurdepääsetav teave kujutab endast isikuandmeid. Direktiivi 2002/58 artikli 5 lõige 3 sisaldab fraasi „teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele“.(57) On selge, et selline teave on seotud eraeluga, olenemata sellest, kas see kujutab või ei kujuta endast „isikuandmeid“ määruse 2016/679 artikli 4 punkti 1 tähenduses. Nagu komisjon õigesti rõhutab, on direktiivi 2002/58 artikli 5 lõike 3 eesmärk kaitsta kasutajat tema eraellu tungimise eest, olenemata sellest, kas selline sekkumine puudutab isikuandmeid või muid andmeid.
108. Sellist arusaama direktiivi 2002/58 artikli 5 lõikest 3 kinnitavad lisaks nii selle direktiivi põhjendused 24(58) ja 25(59) kui ka artikli 29 alusel asutatud andmekaitse töörühma arvamus. Nimetatud töörühm tõdeb, et „artikli 5 lõiget 3 kohaldatakse „teabe“ suhtes (mida salvestatakse ja/või millele saadakse juurdepääs). Teabe olemust ei täpsustata. Nimetatud sätte kohaldamine ei eelda, et tegemist oleks isikuandmetega direktiivi 95/46 tähenduses“.(60)
109. Sellest tulenevalt näib, et TMG artikli 15 lõikega 3 ei ole direktiivi 2002/58 artikli 5 lõike 3 nõudeid täielikult Saksa õigusse üle võetud.(61)
110. Teen seetõttu ettepaneku vastata esimese küsimuse punktile b, et direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f kohaldamisel koostoimes direktiivi 95/46/EÜ artikli 2 punktiga h ei ole vahet, kas salvestatav või juurdepääsetav teave kujutab endast isikuandmeid.
C. Teine küsimus
111. Teise küsimusega soovib eelotsusetaotluse esitanud kohus teada, millist teavet peab teenuseosutaja kasutajale andma vastavalt direktiivi 2002/58 artikli 5 lõikes 3 sätestatud nõudele esitada selge ja igakülgne teave ning kas selle teabe hulka kuuluvad ka küpsiste kasutamise kestus ja teave nende kasutamise kohta kolmandate isikute poolt.
1. Selge ja igakülgne teave
112. Direktiivi 95/46 artiklites 10 ja 11 (ning määruse 2016/679 artiklites 13 ja 14) on sätestatud kohustus anda andmesubjektidele teavet. See teavitamiskohustus on seotud nõusolekuga selliselt, et nõusolekut ei saa olla enne eelneva teabeta.
113. Kuivõrd mõisted „internetikasutaja“ (ja „teenuseosutaja“) ning tarbija (ja „kaupleja“)(62) on mõisteliselt väga lähedased, võib käesolevas etapis võtta lähtekohaks sellise keskmise Euroopa tarbija, kes on piisavalt informeeritud, mõistlikult tähelepanelik ja arukas(63) ning kes suudab asjasse puutuvat ülevaadet omades otsustada, kas leping sõlmida(64).
114. Ent võttes arvesse küpsiste tehnilist keerukust, teenuseosutaja ja kasutaja asümmeetrilist informeeritust ning üldisemalt teabe suhtelist puudumist kõigil keskmistel internetikasutajatel, ei saa kasutajatelt eeldada, et neil oleksid suured teadmised küpsiste toimimisest.
115. Seega tähendab selge ja igakülgse teabe nõue, et kasutajal peab olema võimalik hõlpsasti kindlaks määrata iga tema võimaliku nõusoleku tagajärjed. Selleks peab tal olema võimalik hinnata oma tegude tagajärgi. Antav teave peab olema selgelt arusaadav ega tohi olla mitmeti mõistetav või tõlgendatav. See peab olema piisavalt üksikasjalik, et võimaldada kasutajal mõista reaalselt kasutatavate küpsiste toimimist.
116. See hõlmab, nagu eelotsusetaotluse esitanud kohus õigesti märgib, nii küpsiste kasutamise kestust kui ka teavet nende kasutamise kohta kolmandate isikute poolt.
2. Teave küpsiste kasutamise kestuse kohta
117. Tulenevalt direktiivi 2002/58 põhjendustest 23 ja 26 on küpsiste kasutamise kestus üks teadliku nõusoleku nõude elemente, mis tähendab, et teenuseosutajad peaksid „abonentidele alati teatama, millist liiki teavet nad töötlevad ning millistel eesmärkidel ja kui kaua seda tehakse“. Isegi kui tegemist on vajaliku küpsisega, tuleb küsimust, mil määral see eraellu sekkub, analüüsida nõusoleku kontekstis tervikolukorra alusel. Lisaks küsimusele, mis teavet iga küpsis sisaldab ja kas see on seostatud mingi muu teabega kasutaja kohta, peavad teenuseosutajad kaaluma küpsise kasutamise kestust ning seda, kas see kestus on küpsise eesmärki arvestades kohane.
118. Küpsiste kasutamise kestus on seotud sõnaselge teadliku nõusoleku nõudega, mille kasutajad saavad anda kvaliteetse ja arusaadava teabe alusel. See teave on väga oluline, et isikud saaksid teha enne töötlemist teadlikke otsuseid.(65) Portugali ja Itaalia valitsus märkisid, et kuna küpsiste abil kogutud andmed tuleb kustutada, kui neid ei ole enam vaja algsel eesmärgil, siis järeldub sellest, et kogutud andmete säilitamise tähtaeg tuleb kasutajale selgelt teada anda.
3. Teave kolmandate isikute juurdepääsu kohta
119. Sellega seoses väidab Planet49, et kui kolmandatele isikutele antakse juurdepääs küpsisele, siis tuleb kasutajaid ka sellest teavitada. Ent kui küpsist kasutab ainult selle paigaldav teenuseosutaja, nagu see on käesolevas asjas, siis piisab sellele asjaolule viitamisest. Asjaolule, et kolmandad isikud seda ei kasuta, ei ole vaja eraldi tähelepanu juhtida. Selline kohustus ei oleks kooskõlas seadusandja tahtega, et andmekaitsealased tekstid oleksid kasutajasõbralikud ja lühidad.
120. Ma ei saa selle tõlgendusega nõustuda. Pigem tuleb kasutajale selleks, et teave oleks selge ja igakülgne, sõnaselgelt teada anda, kas kolmandatel isikutel on juurdepääs paigaldatud küpsistele. Ning kui kolmandatel isikutel on see võimalus, siis tuleb edastada andmed nende kohta. Nagu Bundesverband õigesti rõhutab, on see teadliku nõusoleku tagamiseks möödapääsmatu.
4. Järeldus
121. Teen seetõttu ettepaneku vastata teisele küsimusele, et selge ja igakülgne teave, mille teenuseosutaja peab kasutajale direktiivi 2002/58 artikli 5 lõike 3 kohaselt andma, hõlmab küpsiste kasutamise kestust ning küsimust, kas kolmandatele isikutele on või ei ole antud juurdepääs neile küpsistele.
V. Ettepanek
122. Teen eeltoodud kaalutlustest lähtudes Euroopa Kohtule ettepaneku vastata Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) küsimustele järgmiselt:
1. Sellises olukorras nagu põhikohtuasjas, kus teabe salvestamine kasutaja lõppseadmesse või juurdepääs sinna juba salvestatud teabele lubatakse eeltäidetud märkeruuduga, mille märgistuse peab kasutaja oma nõusoleku andmisest keeldumiseks eemaldama, ning kus nõusolekut ei anta eraldi, vaid samal ajal internetiloteriis osalemise kinnitusega, puudub kehtiv nõusolek Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), artikli 5 lõike 3 ja artikli 2 punkti f tähenduses koostoimes Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 2 punktiga h.
2. Sama kehtib ka direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f tõlgendamisel koostoimes Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punktiga 11.
3. Direktiivi 2002/58 artikli 5 lõike 3 ja artikli 2 punkti f kohaldamisel koostoimes direktiivi 95/46 artikli 2 punktiga h ei ole vahet, kas salvestatav või juurdepääsetav teave kujutab endast isikuandmeid.
4. Selge ja igakülgne teave, mille teenuseosutaja peab kasutajale direktiivi 2002/58 artikli 5 lõike 3 kohaselt andma, hõlmab küpsiste kasutamise kestust ning asjaolu, kas kolmandatele isikutele on või ei ole antud juurdepääs neile küpsistele.