EUROOPA KOHTU OTSUS (esimene koda)
12. jaanuar 2023(*)
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 15 lõike 1 punkt c – Andmesubjekti õigus tutvuda tema kohta käivate andmetega – Teave vastuvõtja või vastuvõtjate kategooriate kohta, kellele isikuandmeid on avalikustatud või edaspidi avalikustatakse – Piirangud
Kohtuasjas C‑154/21,
mille ese on ELTL artikli 267 alusel Oberster Gerichtshofi (Austria kõrgeim üldkohus) 18. veebruari 2021. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 9. märtsil 2021, menetluses
RW
versus
Österreichische Post AG,
EUROOPA KOHUS (esimene koda),
koosseisus: koja president A. Arabadjiev, Euroopa Kohtu asepresident L. Bay Larsen esimese koja kohtuniku ülesannetes, kohtunikud P. G. Xuereb, A. Kumin ja I. Ziemele (ettekandja),
kohtujurist: G. Pitruzzella,
kohtusekretär: A. Calot Escobar,
arvestades kirjalikku menetlust,
arvestades seisukohti, mille esitasid:
– RW, esindaja: Rechtsanwalt R. Haupt,
– Österreichische Post AG, esindaja: Rechtsanwalt R. Marko,
– Austria valitsus, esindajad: G. Kunnert, A. Posch ja J. Schmoll,
– Tšehhi valitsus, esindajad: M. Smolek ja J. Vláčil,
– Itaalia valitsus, esindaja: G. Palmieri, keda abistas avvocato dello Stato M. Russo,
– Läti valitsus, esindajad: J. Davidoviča, I. Hūna ja K. Pommere,
– Rumeenia valitsus, esindajad: L.‑E. Baţagoi, E. Gane ja A. Wellman,
– Rootsi valitsus, esindajad: H. Eklinder, J. Lundberg, C. Meyer‑Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev ja O. Simonsson,
– Euroopa Komisjon, esindajad: F. Erlbacher ja H. Kranenborg,
olles 9. juuni 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 15 lõike 1 punkti c.
2 Taotlus on esitatud RW ja Österreichische Post AG (edaspidi „Österreichische Post“) vahelises kohtuvaidluses isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c alusel esitatud taotluse üle tutvuda isikuandmetega.
Õiguslik raamistik
3 Isikuandmete kaitse üldmääruse põhjendused 4, 9, 10, 39, 63 ja 74 on sõnastatud järgmiselt:
„(4) […] Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. […]
[…]
(9) [Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta d]irektiivi 95/46/EÜ [üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355)] eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud [Euroopa L]iidus andmekaitse rakendamise killustumist, õiguskindlusetust ega avalikkuses laialt levinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud füüsiliste isikute kaitsele. Liikmesriikide poolt tagatavate füüsiliste isikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete liidusisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende liidu õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erinevustest direktiivi 95/46/EÜ rakendamisel ja kohaldamisel.
(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. […]
[…]
(39) Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. […]
[…]
(63) Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. […] Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate. […] See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. […]
[…]
(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.“
4 Isikuandmete kaitse üldmääruse artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 2 on sätestatud:
„Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.“
5 Isikuandmete kaitse üldmääruse artiklis 5 „Isikuandmete töötlemise põhimõtted“ on ette nähtud:
„1. Isikuandmete töötlemisel tagatakse, et:
a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);
[…]
2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).“
6 Selle määruse artiklis 12 „Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord“ on sätestatud:
„1. Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.
2. Vastutav töötleja aitab kaasa artiklite 15–22 kohaste andmesubjekti õiguste kasutamisele. Artikli 11 lõikes 2 osutatud juhtudel ei keeldu vastutav töötleja meetmete võtmisest andmesubjekti taotlusel tema artiklite 15–22 kohaste õiguste kasutamiseks, välja arvatud juhul, kui vastutav töötleja tõendab, et ta ei suuda andmesubjekti tuvastada.
[…]
5. Artiklite 13 ja 14 kohase teabe esitamine ning artiklite 15–22 ja 34 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja kas:
a) küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või
b) keelduda taotletud meetmete võtmisest.
Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.
[…]“.
7 Isikuandmete kaitse üldmääruse artikli 13 „Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt“ lõikes 1 on ette nähtud:
„Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:
[…]
e) asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta, […]
[…]“.
8 Isikuandmete kaitse üldmääruse artikli 14 „Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt“ lõikes 1 on ette nähtud:
„Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:
[…]
e) asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;
[…]“.
9 Isikuandmete kaitse üldmääruse artikkel 15 „Andmesubjekti õigus tutvuda andmetega“ on sõnastatud järgmiselt:
„1. Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:
a) töötlemise eesmärk;
b) asjaomaste isikuandmete liigid;
c) vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;
d) kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;
e) teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;
f) teave õiguse kohta esitada kaebus järelevalveasutusele;
g) kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;
h) teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.
2. Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, on andmesubjektil õigus olla teavitatud edastamisega seoses artikli 46 kohaselt kehtestatavatest asjakohastest kaitsemeetmetest.
3. Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt taotleb lisakoopiaid, võib vastutav töötleja küsida mõistlikku tasu halduskulude katmiseks. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.
4. Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.“
10 Isikuandmete kaitse üldmääruse artiklis 16 „Õigus andmete parandamisele“ on ette nähtud:
„Andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse andmete töötlemise eesmärke, on andmesubjektil õigus nõuda mittetäielike isikuandmete täiendamist, sealhulgas täiendava õiendi esitamise teel.“
11 Isikuandmete kaitse üldmääruse artiklis 17 „Õigus andmete kustutamisele („õigus olla unustatud“)“ on sätestatud:
„1. Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:
a) isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;
b) andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 6 lõike 1 punktile a või artikli 9 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;
c) andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid või andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 2 kohaselt;
d) isikuandmeid on töödeldud ebaseaduslikult;
e) isikuandmed tuleb kustutada selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust;
f) isikuandmeid koguti seoses artikli 8 lõikes 1 osutatud infoühiskonna teenuste pakkumisega.
2. Juhul kui vastutav töötleja on isikuandmed avalikustanud ja peab lõike 1 kohaselt isikuandmed kustutama, võtab vastutav töötleja kättesaadavat tehnoloogiat ja rakendamise kulusid arvestades tarvitusele mõistlikud abinõud, sealhulgas tehnilised meetmed, et teavitada kõnealuseid isikuandmeid töötlevaid vastutavaid töötlejaid sellest, et andmesubjekt taotleb neilt kõnealustele isikuandmetele osutavate linkide või andmekoopiate või -korduste kustutamist.
[…]“.
12 Isikuandmete kaitse üldmääruse artikli 18 „Õigus isikuandmete töötlemise piiramisele“ lõikes 1 on sätestatud:
„Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:
a) andmesubjekt vaidlustab isikuandmete õigsuse, ajaks, mis võimaldab vastutaval töötlejal isikuandmete õigsust kontrollida;
b) isikuandmete töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle isikuandmete kustutamist, vaid kasutamise piiramist;
c) vastutav töötleja ei vaja isikuandmeid enam töötlemise eesmärkidel, kuid need on andmesubjektile vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks,
d) andmesubjekt on esitanud isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt vastuväite, ajaks, kuni kontrollitakse, kas vastutava töötleja õiguspärased põhjused kaaluvad üles andmesubjekti põhjused.
[…]“.
13 Isikuandmete kaitse üldmääruse artikkel 19 on sõnastatud järgmiselt:
„Vastutav töötleja edastab teabe isikuandmete parandamise, kustutamise või isikuandmete töötlemise piiramise kohta vastavalt artiklile 16, artikli 17 lõikele 1 ja artiklile 18 kõigile vastuvõtjatele, kellele isikuandmed on avaldatud, välja arvatud juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi. Vastutav töötleja teavitab andmesubjekti nendest vastuvõtjatest andmesubjekti taotlusel.“
14 Isikuandmete kaitse üldmääruse artiklis 21 „Õigus esitada vastuväiteid“ on ette nähtud:
„1. Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.
2. Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sealhulgas profiilianalüüsi suhtes sel määral mil see on seotud kõnealuse otseturundusega.
3. Kui andmesubjekt esitab vastuväiteid otseturunduse eesmärgil toimuva andmete töötlemise suhtes, ei tohi isikuandmeid sellisel eesmärgil enam töödelda.
4. Hiljemalt andmesubjekti esmakordsel teavitamisel juhitakse andmesubjekti tähelepanu selgesõnaliselt lõigetes 1 ja 2 osutatud õigusele ning vastav teave esitatakse selgelt ja eraldi igasugusest muust teabest.
5. Infoühiskonna teenuste kasutamisega seoses ja [Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta] direktiivi 2002/58/EÜ [isikuandmete töötlemise ja eraelu puutumatuse kaitse kohta elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514)] sätetest olenemata võib andmesubjekt kasutada oma õigust esitada vastuväiteid, tehes seda automatiseeritud vahendite teel, mis põhinevad tehnilistel kirjeldustel.
6. Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks.“
15 Isikuandmete kaitse üldmääruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on ette nähtud:
„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“
16 Isikuandmete kaitse üldmääruse artikli 82 „Õigus hüvitisele ja vastutus“ lõikes 1 on sätestatud:
„Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“
Põhikohtuasi ja eelotsuse küsimus
17 RW pöördus 15. jaanuaril 2019 Österreichische Posti poole, et tutvuda isikuandmete kaitse üldmääruse artikli 15 alusel teda puudutavate isikuandmetega, mida Österreichische Post säilitab või on varasemal ajal säilitanud, ning juhul, kui neid andmeid on avalikustatud kolmandatele isikutele, siis teabega vastuvõtjate kohta.
18 Vastuseks sellele taotlusele piirdus Österreichische Post märkimisega, et kasutab andmeid seadusega lubatud ulatuses oma tegevuse, nimelt telefonikataloogide väljaandmise tarbeks, ning et ta pakub isikuandmeid äripartneritele turunduse jaoks. Lisaks viitas ta veebisaidile, kust leiab lisateabe ja muud töötlemise eesmärgid. Ta ei edastanud RW‑le konkreetsete vastuvõtjate andmeid.
19 RW esitas Austria kohtule hagi, paludes, et Österreichische Posti kohustataks esitama talle teave konkreetse(te) vastuvõtja(te) kohta, kellele tema isikuandmeid on avalikustatud.
20 Kohtumenetluse käigus teatas Österreichische Post RW‑le, et on tema andmeid töödelnud turunduse eesmärgil ning edastanud neid klientidele, sealhulgas reklaamiettevõtjatele kaugmüügi ja traditsioonilise kaubanduse valdkonnas, IT‑ettevõtjatele, otseturunduse vahendajatele ning mitmesugustele ühingutele, näiteks heategevusorganisatsioonidele, valitsusvälistele organisatsioonidele või parteidele.
21 Esimese astme kohus ja apellatsioonikohus jätsid RW hagi rahuldamata põhjusel, et kuna isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis c on mainitud vastuvõtjaid või vastuvõtjate kategooriaid, annab see säte vastutavale töötlejale võimaluse piirduda sellega, et andmesubjektile tehakse teatavaks vastuvõtjate kategooriad, ilma kohustuseta nimetada isikuandmete konkreetseid vastuvõtjaid nimeliselt.
22 RW esitas kassatsioonkaebuse Oberster Gerichtshofile (Austria kõrgeim üldkohus), kes on eelotsusetaotluse esitanud kohus.
23 Eelotsusetaotluse esitanud kohus soovib teada, kuidas tõlgendada isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c, kuna selle sätte sõnastus ei võimalda üheselt kindlaks teha, kas see annab andmesubjektile õiguse saada teavet avalikustatud andmete konkreetsete vastuvõtjate kohta või on vastutaval töötlejal kaalutlusõigus otsustada, millisel viisil ta rahuldab taotluse saada teavet andmete vastuvõtjate kohta.
24 Eelotsusetaotluse esitanud kohus märgib siiski, et kõnealuse sätte ratio legis räägib pigem sellise tõlgenduse kasuks, mille kohaselt on andmesubjektil õigus valida, kas küsida teavet tema kohta käivate isikuandmete vastuvõtjate kategooriate või konkreetsete vastuvõtjate kohta. Tema sõnul kahjustaks teistsugune tõlgendus oluliselt andmesubjektile tema andmetega seotud õiguste kaitseks antud õiguskaitsevahendite tõhusust. Juhul kui vastutavatel töötlejatel oleks võimalus valida, kas teavitada andmesubjekte konkreetsetest vastuvõtjatest või ainult vastuvõtjate kategooriatest, siis ei annaks praktikas nimelt ükski neist kardetavasti teavet konkreetsete vastuvõtjate kohta.
25 Lisaks, erinevalt isikuandmete kaitse üldmääruse artikli 13 lõike 1 punktist e ja artikli 14 lõike 1 punktist e, mis näevad ette vastutava töötleja kohustuse anda nendes sätetes osutatud teavet, rõhutab kõnealuse määruse artikli 15 lõige 1 andmesubjekti õiguse tutvuda andmetega ulatust, mis viitab eelotsusetaotluse esitanud kohtu hinnangul ka sellele, et andmesubjektil on õigus valida, kas küsida teavet konkreetsete vastuvõtjate või vastuvõtjate kategooriate kohta.
26 Lõpuks lisab eelotsusetaotluse esitanud kohus, et isikuandmete kaitse üldmääruse artikli 15 lõikes 1 ette nähtud õigus tutvuda andmetega ei puuduta üksnes parasjagu töödeldavaid isikuandmeid, vaid ka kõiki varasemal ajal töödeldud andmeid. Ta täpsustab selle kohta, et 7. mai 2009. aasta kohtuotsuses Rijkeboer (C‑553/07, EU:C:2009:293) esitatud kaalutlused, milles võeti aluseks eesmärk, mis on direktiivis 95/46 ette nähtud andmetega tutvumise õigusel, on ülekantavad ka isikuandmete kaitse üldmääruse artiklis 15 ette nähtud õigusele tutvuda andmetega, iseäranis seetõttu, et selle määruse põhjendustest 9 ja 10 järeldub, et liidu seadusandja ei soovinud langetada viidatud direktiiviga ette nähtud kaitse taset.
27 Neil asjaoludel otsustas Oberster Gerichtshof (kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmise eelotsuse küsimuse:
„Kas [isikuandmete kaitse üldmääruse] artikli 15 lõike 1 punkti c tuleb tõlgendada nii, et kui andmete avalikustamist kavandades ei ole konkreetsed vastuvõtjad veel teada, siis piirdub andmesubjekti õigus tutvuda andmetega vastuvõtjate kategooriate kohta antava teabega, ent juhul, kui andmed on juba vastuvõtjatele avalikustatud, peab andmetega tutvumise õigus igal juhul hõlmama ka teavet nende vastuvõtjate kohta?“
Eelotsuse küsimuse analüüs
28 Eelotsuse küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tuleb tõlgendada nii, et selle sättega andmesubjektile antud õigus tutvuda tema kohta käivate isikuandmetega tähendab, et juhul, kui need andmed on avalikustatud või edaspidi avalikustatakse vastuvõtjatele, on vastutav töötleja kohustatud andma sellele isikule teada, kes on need konkreetsed vastuvõtjad.
29 Kõigepealt tuleb meenutada, et väljakujunenud kohtupraktika kohaselt ei tule liidu õigusnormi tõlgendamisel arvesse võtta mitte ainult normi sõnastust, vaid ka selle konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa norm on (15. märtsi 2022. aasta kohtuotsus Autorité des marchés financiers, C‑302/20, EU:C:2022:190, punkt 63). Lisaks, kui liidu õigusnormi saab tõlgendada mitut moodi, tuleb eelistada tõlgendust, mis tagab selle normi soovitava toime (7. märtsi 2018. aasta kohtuotsus Cristal Union, C‑31/17, EU:C:2018:168, punkt 41 ja seal viidatud kohtupraktika).
30 Mis kõigepealt puudutab isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c sõnastust, siis tuleb meenutada, et selles sättes on ette nähtud, et andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas tema kohta käivaid isikuandmeid töödeldakse, ning kui andmeid töödeldakse, siis teavet vastuvõtjate või vastuvõtjate kategooriate kohta, kellele isikuandmeid on avalikustatud või edaspidi avalikustatakse.
31 Sellega seoses tuleb märkida, et selles sättes kasutatud termineid „vastuvõtjad“ ja „vastuvõtjate kategooriad“ kasutatakse järjestikku, ilma et oleks võimalik tuletada nende tähtsuse järjekorda.
32 Seega tuleb tõdeda, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c sõnastus ei võimalda üheselt kindlaks teha, kas andmesubjektil on juhul, kui tema kohta käivaid isikuandmeid on avalikustatud või edaspidi avalikustatakse, õigus saada teavet konkreetsete vastuvõtjate kohta.
33 Mis järgmiseks puudutab isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c konteksti, siis tuleb esiteks meenutada, et selle määruse põhjenduses 63 on ette nähtud, et andmesubjektil peab muu hulgas olema õigus teada ja lasta ennast teavitada sellest, kes on tema kohta käivate isikuandmete vastuvõtjad, ning nagu märkis kohtujurist oma ettepaneku punktis 23, ei ole selles põhjenduses täpsustatud, et see õigus võiks piirduda ainult vastuvõtjate kategooriatega.
34 Teiseks tuleb ka meenutada, et andmetega tutvumise õiguse tagamiseks peab isikuandmete mis tahes töötlemine olema kooskõlas isikuandmete kaitse üldmääruse artiklis 5 sätestatud põhimõtetega (vt selle kohta 16. jaanuari 2019. aasta kohtuotsus Deutsche Post, C‑496/17, EU:C:2019:26, punkt 57).
35 Nende põhimõtete hulka kuulub aga isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis a nimetatud läbipaistvuse põhimõte, mis nähtuvalt selle määruse põhjendusest 39 tähendab, et andmesubjektil peab olema teave selle kohta, millisel viisil tema isikuandmeid töödeldakse, ning et see teave peab olema lihtsasti kättesaadav ja arusaadav.
36 Kolmandaks tuleb märkida, et – nagu rõhutas ka kohtujurist oma ettepaneku punktis 21 – erinevalt isikuandmete kaitse üldmääruse artiklitest 13 ja 14, mis panevad vastutavale töötlejale kohustuse edastada andmesubjektile teave tema kohta käivate isikuandmete vastuvõtjate kategooriate või konkreetsete vastuvõtjate kohta, kui selliseid andmeid on kogutud andmesubjektilt või ei ole temalt saadud, annab isikuandmete kaitse üldmääruse artikkel 15 andmesubjektile tegeliku õiguse andmetega tutvuda, mistõttu peab tal olema võimalus valida, kas ta tutvub võimaluse korral teabega konkreetsete vastuvõtjate kohta, kellele andmed on avalikustatud või edaspidi avalikustatakse, või teabega vastuvõtjate kategooriate kohta.
37 Neljandaks on Euroopa Kohus juba otsustanud, et selle andmetega tutvumise õiguse teostamine peab võimaldama andmesubjektil kontrollida lisaks sellele, kas teda puudutavad andmed on õiged, ka seda, kas neid töödeldakse seaduslikult (vt analoogia alusel 17. juuli 2014. aasta kohtuotsus YS jt, C‑141/12 ja C‑372/12, EU:C:2014:2081, punkt 44, ning 20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 57), ja sealhulgas, kas neid on edastatud heakskiidetud vastuvõtjatele (vt analoogia alusel 7. mai 2009. aasta kohtuotsus Rijkeboer, C‑553/07, EU:C:2009:293, punkt 49).
38 Täpsemalt on andmetega tutvumise õigust vaja selleks, et võimaldada andmesubjektil vajaduse korral kasutada oma õigust andmete parandamisele, õigust andmete kustutamisele (õigus olla unustatud) ja õigust töötlemise piiramisele, mille talle annavad vastavalt isikuandmete kaitse üldmääruse artiklid 16, 17 ja 18 (vt analoogia alusel 17. juuli 2014. aasta kohtuotsus YS jt, C‑141/12 ja C‑372/12, EU:C:2014:2081, punkt 44, ning 20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 57), ning samuti talle isikuandmete kaitse üldmääruse artikliga 21 antud õigust esitada vastuväiteid tema kohta käivate isikuandmete töötlemisele ja isikuandmete kaitse üldmääruse artiklites 79 ja 82 ette nähtud hagi esitamise õigust, kui ta on kandnud kahju (vt analoogia alusel 7. mai 2009. aasta kohtuotsus Rijkeboer, C‑553/07, EU:C:2009:293, punkt 52).
39 Selleks et tagada kõikide käesoleva kohtuotsuse eelmises punktis nimetatud õiguste soovitav toime, on eelkõige vaja, et andmesubjektil oleks juhul, kui tema kohta käivad isikuandmed on juba avalikustatud, õigus saada teada, kes on andmete konkreetsed vastuvõtjad.
40 Niisugust tõlgendust kinnitab viiendaks ja viimaseks isikuandmete kaitse üldmääruse artikli 19 tekst, mille esimeses lauses on ette nähtud, et vastutav töötleja edastab teabe isikuandmete parandamise, kustutamise või töötlemise piiramise kohta põhimõtteliselt kõigile vastuvõtjatele, kellele isikuandmeid on avalikustatud, ning mille teise lause kohaselt esitab vastutav töötleja andmesubjektile teabe nende vastuvõtjate kohta, kui andmesubjekt seda taotleb.
41 Seega annab isikuandmete kaitse üldmääruse artikli 19 teine lause andmesubjektile sõnaselgelt õiguse saada vastutavalt töötlejalt teavet tema kohta käivate andmete konkreetsete vastuvõtjate kohta, mis on osa vastutava töötleja kohustusest teavitada kõiki vastuvõtjaid isikuandmete kaitse üldmääruse artikliga 16, artikli 17 lõikega 1 ja artikliga 18 andmesubjektile antud õiguste kasutamisest.
42 Eeltoodud kontekstipõhisest analüüsist tuleneb, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt c on üks sätetest, mille eesmärk on tagada isikuandmete töötlemise korra läbipaistvus andmesubjekti suhtes ja mis – nagu märkis kohtujurist oma ettepanekute punktis 33 – võimaldab andmesubjektil kasutada talle isikuandmete kaitse üldmääruse artiklites 16–19, 21, 79 ja 82 ette nähtud õigusi.
43 Järelikult tuleb asuda seisukohale, et teave, mis antakse andmesubjektile isikuandmete kaitse üldmääruse artikli 15 lõike 1 punktis c ette nähtud õiguse tutvuda andmetega alusel, peab olema võimalikult täpne. Konkreetsemalt tähendab see andmetega tutvumise õigus, et andmesubjektil peab olema võimalus saada vastutavalt töötlejalt teavet konkreetsete vastuvõtjate kohta, kellele andmed on avalikustatud või edaspidi avalikustatakse, või alternatiivina võimalus otsustada piirduda teabe küsimisega vastuvõtjate kategooriate kohta.
44 Viimaks tuleb märkida, et mis puudutab isikuandmete kaitse üldmääruse eesmärki, siis nagu nähtub selle määruse põhjendusest 10, on selle määruse eesmärk tagada liidus füüsiliste isikute kõrgetasemeline kaitse (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 207). Nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 14, rakendab isikuandmete kaitse üldmääruse loodud üldine õiguslik raamistik nõudeid, mis tulenevad Euroopa Liidu põhiõiguste harta artikliga 8 kaitstud põhiõigusest isikuandmete kaitsele, ja sealhulgas selle artikli lõikes 2 sõnaselgelt ette nähtud nõudeid (vt selle kohta 9. märtsi 2017. aasta kohtuotsus Manni, C‑398/15, EU:C:2017:197, punkt 40).
45 See eesmärk toetab aga isikuandmete kaitse üldmääruse artikli 15 lõike 1 tõlgendust, mis on esitatud käesoleva kohtuotsuse punktis 43.
46 Seega tuleneb isikuandmete kaitse üldmäärusega taotletavast eesmärgist ühtlasi, et andmesubjektil on õigus saada vastutavalt töötlejalt teavet konkreetsete vastuvõtjate kohta, kellele andmesubjekti kohta käivaid isikuandmeid on avalikustatud või edaspidi avalikustatakse.
47 Seda arvestades on siiski oluline rõhutada, et nagu on märgitud isikuandmete kaitse üldmääruse põhjenduses 4, ei ole õigus isikuandmete kaitsele absoluutne õigus. Seda õigust tuleb nimelt käsitleda lähtuvalt selle ülesandest ühiskonnas ja kaaluda võrreldes muude põhiõigustega vastavalt proportsionaalsuse põhimõttele, nagu Euroopa Kohus sisuliselt kinnitas 16. juuli 2020. aasta kohtuotsuse Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559) punktis 172.
48 Seega võib olla mõeldav, et teatavatel asjaoludel ei ole võimalik konkreetsete vastuvõtjate kohta teavet anda. Seetõttu võib teabega tutvumise õigus olla piiratud ainult teabega vastuvõtjate kategooriate kohta, juhul kui konkreetseid vastuvõtjaid ei ole võimalik teatavaks teha ja iseäranis kui need vastuvõtjad ei ole veel teada.
49 Lisaks tuleb meenutada, et isikuandmete kaitse üldmääruse artikli 12 lõike 5 punkti b kohaselt võib vastutav töötleja vastavalt selle määruse artikli 5 lõikes 2 ja põhjenduses 74 ette nähtud vastutuse põhimõttele keelduda andmesubjekti taotluste rahuldamisest, kui need on selgelt põhjendamatud või ülemäärased, kusjuures tuleb täpsustada, et taotluste ilmselget põhjendamatust või ülemäärasust peab tõendama vastutav töötleja ise.
50 Käesoleval juhul nähtub eelotsusetaotlusest, et Österreichische Post jättis rahuldamata RW poolt isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel esitatud taotluse, et Österreichische Post edastaks RW‑le teabe nende vastuvõtjate kohta, kellele ta oli avalikustanud RW kohta käivaid isikuandmeid. Eelotsusetaotluse esitanud kohtu ülesanne on kontrollida, kas Österreichische Post on põhikohtuasja asjaolusid arvestades tõendanud, et see taotlus on selgelt põhjendamatu või ülemäärane.
51 Kõiki eeltoodud kaalutlusi arvestades tuleb eelotsuse küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkti c tuleb tõlgendada nii, et selle sättega andmesubjektile antud õigus tutvuda tema kohta käivate isikuandmetega tähendab, et juhul, kui need andmed on avalikustatud või edaspidi avalikustatakse vastuvõtjatele, on vastutav töötleja kohustatud esitama andmesubjektile konkreetsete vastuvõtjate andmed, välja arvatud juhul, kui neid vastuvõtjaid ei ole võimalik kindlaks teha või kui vastutav töötleja tõendab, et andmesubjekti taotlused teabega tutvumiseks on selgelt põhjendamatud või ülemäärased isikuandmete kaitse üldmääruse artikli 12 lõike 5 tähenduses – viimati nimetatud juhtudel võib vastutav töötleja teatada andmesubjektile ainult vastuvõtjate kategooriad.
Kohtukulud
52 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus poolelioleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (esimene koda) otsustab:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 15 lõike 1 punkti c
tuleb tõlgendada nii, et
selle sättega andmesubjektile antud õigus tutvuda tema kohta käivate isikuandmetega tähendab, et juhul, kui need andmed on avalikustatud või edaspidi avalikustatakse vastuvõtjatele, on vastutav töötleja kohustatud esitama andmesubjektile konkreetsete vastuvõtjate andmed, välja arvatud juhul, kui neid vastuvõtjaid ei ole võimalik kindlaks teha või kui vastutav töötleja tõendab, et andmesubjekti taotlused teabega tutvumiseks on selgelt põhjendamatud või ülemäärased määruse 2016/679 artikli 12 lõike 5 tähenduses – viimati nimetatud juhtudel võib vastutav töötleja teatada andmesubjektile ainult vastuvõtjate kategooriad.
Allkirjad