Kohtuasi C‑645/19
Facebook Ireland Limited,
Facebook Inc.
ja
Facebook Belgium BVBA
versus
Gegevensbeschermingsautoriteit
(eelotsusetaotlus, mille on esitanud hof van beroep te Brussel)
Euroopa Kohtu (suurkoda) 15. juuni 2021. aasta otsus
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 47 – Määrus (EL) 2016/679 – Isikuandmete piiriülene töötlemine – Ühtse kontaktpunkti mehhanism – Järelevalveasutuste lojaalne ja tõhus koostöö – Pädevus ja volitused – Õigus osaleda kohtumenetluses
1. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Ühtse kontaktpunkti mehhanism – Liikmesriikide järelevalveasutused – Volitused – Liikmesriigi järelevalveasutuse volitus osaleda kohtumenetluses juhul, kui ta ei ole juhtiv järelevalveasutus – Andmete piiriülene töötlemine – Teostamise tingimused – Liikmesriigi järelevalveasutuse pädevus sellise töötlemise suhtes – Järelevalveasutuste lojaalne ja tõhus koostöö
(Euroopa Liidu põhiõiguste harta, artiklid 7, 8 ja 47; Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 55 lõige 1, artiklid 56–58 ja 60–66)
(vt punktid 50–53, 56–59, 63–69 ja 75 ning resolutsiooni punkt 1)
2. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Ühtse kontaktpunkti mehhanism – Liikmesriikide järelevalveasutused – Volitused – Liikmesriigi järelevalveasutuse volitus osaleda kohtumenetluses juhul, kui ta ei ole juhtiv järelevalveasutus – Andmete piiriülene töötlemine – Teostamise tingimused – Nõue, et asjasse puutuval vastutaval töötlejal või volitatud töötlejal oleks peamine tegevuskoht või mõni muu tegevuskoht selle liikmesriigi territooriumil – Puudumine
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 3 lõige 1, artikli 56 lõige 1 ja artikli 58 lõige 5)
(vt punktid 79–84 ja resolutsiooni punkt 2)
3. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Ühtse kontaktpunkti mehhanism – Liikmesriikide järelevalveasutused – Volitused – Liikmesriigi järelevalveasutuse volitus osaleda kohtumenetluses juhul, kui ta ei ole juhtiv järelevalveasutus – Andmete piiriülene töötlemine – Volituse kasutamine nii vastutava töötleja peamise tegevuskoha suhtes, mis asub selle järelevalveasutuse liikmesriigis, kui ka vastutava töötleja muu tegevuskoha suhtes – Teostamise tingimused
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 56 lõige 1 ja artikli 58 lõige 5)
(vt punktid 88–91 ja 94–96 ning resolutsiooni punkt 3)
4. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Ühtse kontaktpunkti mehhanism – Liikmesriikide järelevalveasutused – Volitused – Liikmesriigi järelevalveasutuse volitus osaleda kohtumenetluses juhul, kui ta ei ole juhtiv järelevalveasutus – Andmete piiriülene töötlemine – Kohtumenetlus, mille see järelevalveasutus on algatanud enne määruse kohaldatavaks muutumist – Mõju tingimustele, mille kohaselt ta saab kasutada oma volitust osaleda kohtumenetluses – Selle menetluse jätkumine – Tingimused
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 56 lõige 1 ja artikli 58 lõige 5; Euroopa Parlamendi ja nõukogu direktiiv 95/46)
(vt punktid 99–105 ja resolutsiooni punkt 4)
5. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Liikmesriikide järelevalveasutused – Volitused – Säte, mis annab liikmesriigi järelevalveasutusele volituse osaleda kohtumenetluses – Vahetu õigusmõju
(ELTL artikli 288 teine lõik; Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 58 lõige 5)
(vt punktid 109–113 ja resolutsiooni punkt 5)
Kokkuvõte
Isikuandmete kaitse üldmäärus: Euroopa Kohus täpsustab tingimusi, mille kohaselt saavad liikmesriikide järelevalveasutused kasutada oma volitusi piiriülese andmetöötluse korral
Teatud tingimustel saab liikmesriigi järelevalveasutus kasutada volitust juhtida selle liikmesriigi kohtu tähelepanu isikuandmete kaitse üldmääruse väidetavale rikkumisele ka juhul, kui ta ei ole selle töötlemise osas juhtiv järelevalveasutus
Belgia eraelu puutumatuse kaitse komisjoni (edaspidi „CPVP“) esimees algatas 11. septembril 2015 Facebook Irelandi, Facebook Inc.‑i ja Facebook Belgiumi vastu Nederlandstalige rechtbank van eerste aanleg Brusselis (Brüsseli hollandikeelne esimese astme kohus, Belgia) rikkumise lõpetamise menetluse eesmärgiga lõpetada andmekaitse õigusaktide rikkumised, mida Facebook väidetavalt toime pani. Need rikkumised seisnesid eelkõige Belgia internetikasutajate veebikäitumist puudutava teabe kogumises ja kasutamises selliste erinevate tehnoloogiate abil nagu küpsised, sotsiaalmeedia pluginad(1) või pikslid olenemata sellest, kas need kasutajad omasid Facebooki kontot või mitte.
See kohus tunnistas 16. veebruari 2018. aasta otsuses ennast selle menetluse osas pädevaks ja leidis sisulistes küsimustes, et suhtlusvõrgustik Facebook ei teavitanud Belgia internetikasutajaid piisavalt asjaomase teabe kogumisest ja kasutamisest. Lisaks leidis see kohus, et internetikasutajate nõusolek selle teabe kogumiseks ja töötlemiseks oli kehtetu.
Facebook Ireland, Facebook Inc. ja Facebook Belgium esitasid 2. märtsil 2018 selle kohtuotsuse peale apellatsioonkaebuse Hof van beroep te Brusselile (Brüsseli apellatsioonikohus, Belgia), kes esitas käesolevas asjas eelotsusetaotluse. Belgia andmekaitseamet (edaspidi „APD“) osales apellatsioonimenetluses CPVP õigusjärglasena. Eelotsusetaotluse esitanud kohus leidis, et ta on pädev lahendama üksnes Facebook Belgiumi esitatud apellatsioonkaebust.
Eelotsusetaotluse esitanud kohus ei olnud kindel, kuidas mõjutab isikuandmete kaitse üldmääruses(2) ette nähtud ühtse kontaktpunkti mehhanismi kohaldamine APD pädevust, ja täpsemalt tekkis tal küsimus, kas APD saab isikuandmete kaitse üldmääruse kohaldatavaks muutumisest, st 25. maist 2018 hilisemate asjaolude puhul algatada menetluse Facebook Belgiumi vastu, võttes arvesse, et asjasse puutuvate andmete töötlemise eest vastutava töötlejana on tuvastatud Facebook Ireland. Sellest kuupäevast alates ja isikuandmete kaitse üldmääruses ette nähtud ühtse kontaktpunkti põhimõtte kohaselt näib nimelt, et rikkumise lõpetamise menetluse algatamise pädevus on ainult Iiri andmekaitsevolinikul, kes allub üksnes Iiri kohtute kontrollile.
Euroopa Kohus selgitas suurkoja tehtud kohtuotsuses pädevust, mille isikuandmete kaitse üldmäärus liikmesriikide järelevalveasutustele ette näeb. Täpsemalt otsustas ta, et piiriülese andmetöötluse(3) korral saab liikmesriigi järelevalveasutus teatud tingimustel kasutada oma volitust juhtida selle liikmesriigi kohtu tähelepanu isikuandmete kaitse üldmääruse väidetavale rikkumisele ja osaleda kohtumenetluses ka juhul, kui ta ei ole selle andmetöötluse osas juhtiv järelevalveasutus.
Euroopa Kohtu hinnang
Esiteks täpsustas Euroopa Kohus tingimusi, mille korral liikmesriigi järelevalveasutus, kes ei ole asjaomase piiriülese andmetöötluse osas juhtiv järelevalveasutus, peab selle määruse kohaldamise tagamiseks kasutama oma volitust juhtida selle liikmesriigi kohtu tähelepanu isikuandmete kaitse üldmääruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses. Selleks peab esimesena isikuandmete kaitse üldmäärus andma sellele järelevalveasutusele pädevuse võtta vastu otsus, millega tuvastatakse, et kõnealune töötlemine rikub selles määruses sisalduvaid norme, ja teisena tuleb järgida selles määruses ette nähtud koostöö ja järjepidevuse menetlusi(4).
Piiriülese andmetöötluse jaoks näeb isikuandmete kaitse üldmäärus nimelt ette ühtse kontaktpunkti mehhanismi,(5) mis põhineb pädevuse jaotusel juhtiva järelevalveasutuse ja teiste asjasse puutuvate järelevalveasutuste vahel. See mehhanism nõuab nende asutuste tihedat, lojaalset ja tõhusat koostööd, et tagada isikuandmete kaitse normide järjepidev ja ühtne kohaldamine ning seeläbi säilitada nende soovitav toime. Sellega seoses annab isikuandmete kaitse üldmäärus juhtivale järelevalveasutusele põhimõttelise pädevuse teha otsus, et piiriülene andmetöötlus rikub selle määruse norme(6), samas kui teiste liikmesriikide järelevalveasutuste isegi ajutine pädevus sellist otsust teha kujutab endast erandit(7). Sellele vaatamata ei saa juhtiv järelevalveasutus oma pädevuse teostamisel loobuda vältimatust dialoogist ning lojaalsest ja tõhusast koostööst teiste asjasse puutuvate järelevalveasutustega. Seetõttu ei saa juhtiv järelevalveasutus selle koostöö raames eirata teiste asjaomaste järelevalveasutuste seisukohti ning iga asjakohaste järelevalveasutuste esitatud vastuväite tagajärjel peatub vähemalt ajutiselt ka juhtiva järelevalveasutuse kavandatud otsuse vastuvõtmine.
Euroopa Kohus täpsustas veel, et asjaolu, et liikmesriigi järelevalveasutus, mis ei ole asjaomase piiriülese andmetöötluse osas juhtiv järelevalveasutus, saab volitust juhtida selle liikmesriigi kohtu tähelepanu isikuandmete kaitse üldmääruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses kasutada üksnes kooskõlas eeskirjadega, mis reguleerivad otsustuspädevuse jaotust juhtiva järelevalveasutuse ja teiste asjasse puutuvate järelevalveasutuste vahel(8), on vastavuses Euroopa Liidu põhiõiguste harta artiklitega 7, 8 ja 47, mis tagavad andmesubjektile õiguse tema isikuandmete kaitsele ja õiguse tõhusale õiguskaitsevahendile.
Teiseks otsustas Euroopa Kohus, et piiriülese andmetöötluse korral ei ole liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volituse algatada kohtumenetlus(9) kasutamiseks nõutav, et isikuandmete piiriülese töötlemise eest vastutaval töötlejal või volitatud töötlejal, kelle vastu menetlus algatatakse, oleks peamine tegevuskoht või mõni muu tegevuskoht selle liikmesriigi territooriumil. Selle volituse kasutamine peab aga kuuluma isikuandmete kaitse üldmääruse territoriaalsesse kohaldamisalasse(10), mis eeldab, et piiriülese andmetöötluse eest vastutaval töötlejal või volitatud töötlejal on liidu territooriumil tegevuskoht.
Kolmandaks otsustas Euroopa Kohus, et piiriülese andmetöötluse korral saab liikmesriigi järelevalveasutuse – kes ei ole juhtiv järelevalveasutus – volitust juhtida selle liikmesriigi kohtu tähelepanu isikuandmete kaitse üldmääruse väidetavale rikkumisele ja olenevalt asjaoludest osaleda kohtumenetluses kasutada nii isikuandmete piiriülese töötlemise eest vastutava töötleja peamise tegevuskoha vastu, mis asub selle järelevalveasutuse liikmesriigis, kui ka vastutava töötleja muu tegevuskoha vastu, tingimusel et kohtuasja ese on selle tegevuskoha tegevuse kontekstis toimunud andmetöötlus ja nimetatud järelevalveasutus on pädev seda volitust kasutama.
Euroopa Kohus täpsustas siiski, et selle volituse kasutamine eeldab, et isikuandmete kaitse üldmäärus on kohaldatav. Kuna käesolevas kohtuasjas sai Facebooki kontserni Belgias asuva tegevuskoha tegevust pidada lahutamatult seotuks põhikohtuasjas kõne all olnud isikuandmete töötlemisega, mille eest liidu territooriumi osas vastutas Facebook Ireland, tuli sellist töötlemist pidada toimunuks „vastutava töötleja […] tegevuskoha tegevuse kontekstis“ ja see kuulus seega isikuandmete kaitse üldmääruse kohaldamisalasse.
Neljandaks otsustas Euroopa Kohus, et kui liikmesriigi järelevalveasutus, mis ei ole juhtiv järelevalveasutus, on algatanud kohtumenetluse seoses isikuandmete piiriülese töötlemisega enne isikuandmete kaitse üldmääruse kohaldatavaks muutumist, siis võib see menetlus liidu õiguse alusel jätkuda andmekaitsedirektiivi(11) sätete alusel, kuna see direktiiv on jätkuvalt kohaldatav selles sätestatud normide rikkumise suhtes, mis on toime pandud kuni selle direktiivi kehtetuks tunnistamiseni. Lisaks võib nimetatud asutus algatada sellise menetluse pärast isikuandmete kaitse üldmääruse kohaldatavaks muutmise kuupäeva toime pandud rikkumiste suhtes, kui tegemist on ühega olukordadest, kus see määrus annab samale järelevalveasutusele erandina pädevuse võtta vastu otsus, milles tuvastatakse, et vaidlusaluse isikuandmete töötlemise puhul on rikutud selles määruses sisalduvaid norme, ja tingimusel, et selle otsuse tegemisel järgitakse määruses ette nähtud koostöömenetlusi.
Viiendaks ja viimaseks kinnitas Euroopa Kohus, et isikuandmete kaitse üldmääruse sättel, mille kohaselt peab iga liikmesriik seadusega ette nägema, et tema järelevalveasutus on volitatud juhtima õigusasutuste tähelepanu selle määruse rikkumistele ning olenevalt asjaoludest osalema kohtumenetluses, on vahetu õigusmõju. Seetõttu saab selline järelevalveasutus sellele sättele tugineda, et algatada menetlus eraõiguslike isikute vastu või seda menetlust jätkata, isegi kui seda sätet ei ole asjaomase liikmesriigi õiguses konkreetselt rakendatud.