Language of document : ECLI:EU:C:2018:388

Kohtuasi C210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

versus

Wirtschaftsakademie Schleswig-Holstein GmbH

(eelotsusetaotlus, mille on esitanud Bundesverwaltungsgericht)

Eelotsusetaotlus – Direktiiv 95/46/EÜ – Isikuandmed – Füüsiliste isikute kaitse isikuandmete töötlemisel – Korraldus inaktiveerida Facebooki lehekülg (fännileht), mis võimaldab koguda ja töödelda selle lehe külastajatega seotud teatavaid andmeid – Artikli 2 punkt d – Isikuandmete vastutav töötleja – Artikkel 4 – Kohaldatav liikmesriigi õigus – Artikkel 28 – Liikmesriikide järelevalveasutused – Järelevalveasutuste sekkumisvolitused

Kokkuvõte – Euroopa Kohtu (suurkoda) 5. juuni 2018. aasta otsus

1.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Vastutav töötleja – Mõiste – Suhtlusvõrgustikus majutatava fännilehe haldaja – Hõlmamine

(Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 2 punkt d)

2.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Liikmesriigi järelevalveasutused – Volitused – Uurimisvolitused, sekkumisvolitused ja volitused osaleda kohtumenetlustes – Liikmesriigi järelevalveasutusel õigus kasutada talle antud volitusi ettevõtja suhtes, mis asub nimetatud liikmesriigi territooriumil – Ettevõtja kuulumine kontserni, mille siseselt on isikuandmete kogumise ja töötlemise eest vastutav teises liikmesriigis asuv üksus – Mõju puudumine

(Euroopa Parlamendi ja nõukogu direktiiv 95/46, artiklid 4 ja 28)

3.        Õigusaktide ühtlustamine – Füüsiliste isikute kaitse isikuandmete töötlemisel – Direktiiv 95/46 – Liikmesriikide järelevalveasutused – Volitused – Sekkumisvolitused – Volituste kasutamine isikuandmete töötlemise eest vastutava teises liikmesriigis asuva kolmanda isiku suhtes – Pädevus hinnata andmetöötluse seaduslikkust ja kasutada sekkumisvolitusi ilma teise liikmesriigi järelevalveasutuse abita

(Euroopa Parlamendi ja nõukogu direktiiv 95/46, artikli 4 lõike 1 punkt a ning artikli 28 lõiked 3 ja 6)

1.      Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 2 punkti d tuleb tõlgendada nii, et suhtlusvõrgustikus majutatava fännilehe haldaja kuulub mõiste „vastutav töötleja“ alla selle sätte tähenduses.

Samas, kuigi ainuüksi sellise suhtlusvõrgustiku nagu Facebook kasutamine ei muuda Facebooki kasutajat kaasvastutavaks isikuandmete töötlemise eest selle võrgustiku poolt, tuleb teisalt märkida, et Facebookis majutatava fännilehe haldaja annab sellise lehe loomisega Facebookile võimaluse paigutada küpsiseid tema fännilehte külastanud isiku arvutisse või muusse seadmesse, olenemata sellest, kas sellel isikul on või ei ole Facebooki kontot. Neil asjaoludel tuleb asuda seisukohale, et selline Facebookis majutatava fännilehe haldaja nagu Wirtschaftsakademie osaleb seeläbi, et ta seadistab fännilehe lähtuvalt oma sihtrühmast ja oma tegevuse juhtimise või müügiedenduse eesmärkidest, oma fännilehe külastajate isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises. Seetõttu tuleb see haldaja käesoleval juhul lugeda koos Facebook Irelandiga selle töötlemise eest liidus vastutavaks direktiivi 95/46 artikli 2 punkti d tähenduses. Asjaolu, et fännilehe haldaja kasutab Facebooki pakutavat platvormi, et saada kasu selle juurde kuuluvatest teenustest, ei vabasta teda nimelt isikuandmete kaitse kohustustest. Neil asjaoludel aitab see, kui tunnistada suhtlusvõrgustiku haldaja ja selles võrgustikus majutatava fännilehe haldaja kaasvastutavaks selle fännilehe külastajate isikuandmete töötlemise eest, tagada fännilehte külastavate isikute õiguste täielikuma kaitse vastavalt direktiivi 95/46 nõuetele.

(vt punktid 35, 39, 40, 42 ja 44 ning resolutsiooni punkt 1)

2.      Direktiivi 95/46 artikleid 4 ja 28 tuleb tõlgendada nii, et kui väljaspool liitu asutatud ettevõtjal on erinevates liikmesriikides mitu üksust, on ühe liikmesriigi järelevalveasutusel õigus kasutada talle selle direktiivi artikli 28 lõikega 3 antud volitusi selle ettevõtja üksuse suhtes, mis asub nimetatud liikmesriigi territooriumil, olgugi et vastavalt kontsernisisesele ülesannete jaotusele on see üksus vastutav üksnes reklaamipinna müügi ja muu turundustegevuse eest selle liikmesriigi territooriumil, samal ajal kui isikuandmete kogumise ja töötlemise eest on kogu liidu territooriumil ainuvastutav teises liikmesriigis asuv üksus.

(vt punkt 64 ja resolutsiooni punkt 2)

3.      Direktiivi 95/46 artikli 4 lõike 1 punkti a ning artikli 28 lõikeid 3 ja 6 tuleb tõlgendada nii, et kui ühe liikmesriigi järelevalveasutus soovib selle liikmesriigi territooriumil asuva üksuse suhtes kasutada talle selle direktiivi artikli 28 lõikega 3 antud sekkumisvolitusi isikuandmete kaitse eeskirjade rikkumise tõttu, mille on toime pannud nende andmete töötlemise eest vastutav teises liikmesriigis asuv kolmas isik, siis on see järelevalveasutus sõltumata teise liikmesriigi järelevalveasutusest pädev hindama sellise andmetöötluse seaduslikkust ja ta võib oma liikmesriigi territooriumil asuva üksuse suhtes kasutada oma sekkumisvolitusi, ilma et ta peaks eelnevalt paluma teise liikmesriigi järelevalveasutusel sekkuda.

(vt punkt 74 ja resolutsiooni punkt 3)